Как настроить проброску интернета в VPN на ArchLinux?

Question

[beduin01]

Использую openconnect. (Сказали, что 192.168.2.0/24 лучше не использовать т.к. IP с маской могут конфликтовать с хостом):
```
ipv4-network = 192.168.147.0/24
# роутим все маршруты
route = default
# я правильно понимаю что это имя tun device которое в iptable должно фигурировать?
device = vpns
```

В /etc/rc.local добавил (где 66.42.22.11 IP моего серевера):
```
iptables -t nat -A POSTROUTING -s 192.168.147.0/24 -o enp1s0 -j SNAT --to-source 66.42.22.11
```

Включил forwarding:
```
# в /etc/sysctl.conf (и потом сделать sysctl -p)
net.ipv4.ip_forward = 1
```
```
sysctl -a | grep forwarding | grep ipv4
net.ipv4.conf.all.bc_forwarding = 0
net.ipv4.conf.all.forwarding = 0
net.ipv4.conf.all.mc_forwarding = 0
net.ipv4.conf.default.bc_forwarding = 0
net.ipv4.conf.default.forwarding = 0
net.ipv4.conf.default.mc_forwarding = 0
net.ipv4.conf.enp1s0.bc_forwarding = 0
net.ipv4.conf.enp1s0.forwarding = 0
net.ipv4.conf.enp1s0.mc_forwarding = 0
net.ipv4.conf.lo.bc_forwarding = 0
net.ipv4.conf.lo.forwarding = 0
net.ipv4.conf.lo.mc_forwarding = 0
```

Пробовал делать:
```
sysctl -w net.ipv4.conf.all.forwarding=1
sysctl -w net.ipv4.conf.enp1s0.forwarding=1
```
Не помогло.

В итоге сайты не открываются
ping 8.8.8.8 не пингуется

В чем может быть причина.

iptables:
```
[root@server ~]# cat /etc/iptables/iptables.rules
# Generated by iptables-save v1.8.10 (nf_tables) on Fri Feb 16 07:27:14 2024
*filter
:INPUT ACCEPT [24:1555]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [25:1551]
COMMIT
# Completed on Fri Feb 16 07:27:14 2024
# Generated by iptables-save v1.8.10 (nf_tables) on Fri Feb 16 07:27:14 2024
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Fri Feb 16 07:27:14 2024
```
и вот:
```
[root@server ~]# ip addr
1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host noprefixroute
valid_lft forever preferred_lft forever
2: enp1s0: mtu 1500 qdisc fq state UP group default qlen 1000
link/ether 56:00:04:c4:b9:c3 brd ff:ff:ff:ff:ff:ff
inet 66.42.22.11/23 brd 66.42.109.255 scope global dynamic noprefixroute enp1s0
valid_lft 83827sec preferred_lft 83827sec
inet6 2001:19f0:6001:5689:5400:4ff:fec4:b9c3/64 scope global dynamic mngtmpaddr noprefixroute
valid_lft 2591991sec preferred_lft 604791sec
inet6 fe80::5400:4ff:fec4:b9c3/64 scope link noprefixroute
valid_lft forever preferred_lft forever
```

Делал по этой инструкции https://habr.com/ru/articles/776256/

Соединение поднимается. Интернета нет.

Comments

[Bermut]

Петя Петя, ты дурак? Приличия ради дай вывод
ip a
и
ip r

[#]

В чем может быть причина.

в маске

[beduin01]

#, что с ней не так?

[#]

beduin01, у вас 3й октет другой, а маска открывает только 4й

[beduin01]

#, покажи плиз правильный, я вообще не сетевик.

192.168.2.0/24 такой вариант лучше?

[#]

beduin01, не.
- маска 24
- четвертый октет 0 это вообще адрес сети.. ни какого хоста в ней, адрес всей сети
... может те все же покурить тему?

Answer 1

[Drno]

Для убунту -
включаем маскард в ядре
echo net.ipv4.ip_forward=1 >> /etc/sysctl.conf
sysctl -p

Включаем маскард в iptables
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE;
И для ВПН интерфейса так то тоже..
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE; (ну или какой он у Вас там по названию)

Comments

[beduin01]

# ip tuntap show
vpns: tun persist

Получается что у меня vpns называется в примере где у вас tun0 ?

[Drno]

beduin01, ip a - покажет сетевые интерфейсы

[beduin01]

Я сделал:
```
iptables -t nat -A POSTROUTING -o enp1s0 -j MASQUERADE;
iptables -t nat -A POSTROUTING -o vpns -j MASQUERADE;
```
Однако после подключения интернет не работает. И после:
```
ocserv[2024]: worker[user]: ::ffff:46.138.51.253 adding DNS 1.1.1.1
ocserv[2024]: worker[user]: ::ffff:46.138.51.253 adding DNS 8.8.8.8
ocserv[2024]: worker[user]: ::ffff:46.138.51.253 Link MTU is 1447 bytes
```
Не отображается ничего когда браузер пытаюсь открыть. Такое чувство что трафик с Windows не идет по тунелю вообще.

[beduin01]

Drno, сделал ip a:
```
....
10: vpns: mtu 1500 qdisc fq state DOWN group default qlen 500
link/none
```

[Drno]

beduin01, для того что бы понять как идте трафик - достаточно сделать трассировку
в конфиге ocesrv включено разрешение на прохождение трафика?
route = default - стоит?

[Drno]

beduin01, это разве все интерфейсы?

[beduin01]

Drno, Вот все:
```
1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host noprefixroute
valid_lft forever preferred_lft forever
2: enp1s0: mtu 1500 qdisc fq state UP group default qlen 1000
link/ether 56:00:04:c4:b9:c3 brd ff:ff:ff:ff:ff:ff
inet 66.42.22.11/23 brd 66.42.109.255 scope global dynamic noprefixroute enp1s0
valid_lft 77147sec preferred_lft 77147sec
inet6 2001:19f0:6001:5689:5400:4ff:fec4:b9c3/64 scope global dynamic noprefixroute
valid_lft 2591655sec preferred_lft 604455sec
inet6 fe80::5400:4ff:fec4:b9c3/64 scope link noprefixroute
valid_lft forever preferred_lft forever
10: vpns: mtu 1500 qdisc fq state DOWN group default qlen 500
```

в конфиге ocesrv включено разрешение на прохождение трафика?
route = default

Да именно так.

[beduin01]

При включеном VPN ситация такая:
```
tracert ya.ru

Трассировка маршрута к ya.ru [5.255.255.242]
с максимальным числом прыжков 30:

1 * * * Превышен интервал ожидания для запроса.
```

[Drno]

beduin01, ну основной интерфейс.. правила для него надо
enp1s0

судя по всему vpn - да, vpns интерфейс. и он выключен

возможно еще мешает ipv6. как вариант можно его отключить вообще для теста

[beduin01]

vpns интерфейс. и он выключен

Разве? Персист вроде бы включен?

[beduin01]

Отключение ipv6 не помогло

[Drno]

beduin01,
2: enp1s0: mtu 1500 qdisc fq state UP group default qlen 1000

10: vpns: mtu 1500 qdisc fq state DOWN group default qlen 500

могу конечно ошибаться..

[beduin01]

Drno, сделал
ip link set dev vpns up

но трафик по прежнему через VPN не идет. В логах VPN вижу факт подключения и всё.

[beduin01]

Еще сделал:
```
tracert 8.8.8.8

Трассировка маршрута к dns.google [8.8.8.8]
с максимальным числом прыжков 30:

1 * * * Превышен интервал ожидания для запроса.
```

[Drno]

beduin01, по внутренним адресам пинг ходит? от сервера до клиента и обратно?

[beduin01]

Drno, да сервер пингуется нормально

[#]

beduin01, ну ну..

[Drno]

beduin01, если внутри ВПНа всё пингуется - и сервер клиента, и клиент сервер, предлагаю -
удалить всё что ты понаделал - я про iptables итд..
и сделать пошагово, по моему первому сообщению

[beduin01]

Drno, сделал все по шагам
https://pastecode.io/s/434dqwau

Опять не работает

[beduin01]

Drno, вот как раз с сервера клиент не пингуется

Answer 2

[#]

Сказали, что 192.168.2.0/24 лучше не использовать т.к. IP с маской могут конфликтовать с хостом

кто сказал?
- у вас роутер? dhcp? многие роутеры любят хапать диапазон от *.*.*2 до от *.*.*254
- сам люблю урезать их до *.*.*100 до от *.*.*199 (к примеру, сотка для дома выше крыши, избранным хостам даем ip вне диапазона, можно еще логику какую.. типа адрес меньше 100, это хост, 200+ принтер или сканер..
.. допускаю что вы спотыкаетесь все таки на маске, и/или отсутствии на интерфейсе второго адреса
но мой рецепт, скорее всего самый простой, удачи

Comments

[#]

вопросы:
- где VPN?
- вы хорошо понимаете роли "клиент"/"сервер"?
- они у вас в одной сети? (это домашняя сеть под роутером?)

[beduin01]

VPN сервер поднят на VPS. С компа планирую стучаться туда. Соответственно в разных сетях.
Подключение идет. Сам VPN сервер при подключении пингуется. Однако в логах кроме успешного подключения клиента ничего нет.