@beduin01

Как настроить проброску интернета в VPN на ArchLinux?

Использую openconnect. (Сказали, что 192.168.2.0/24 лучше не использовать т.к. IP с маской могут конфликтовать с хостом):
```
ipv4-network = 192.168.147.0/24
# роутим все маршруты
route = default
# я правильно понимаю что это имя tun device которое в iptable должно фигурировать?
device = vpns
```

В /etc/rc.local добавил (где 66.42.22.11 IP моего серевера):
```
iptables -t nat -A POSTROUTING -s 192.168.147.0/24 -o enp1s0 -j SNAT --to-source 66.42.22.11
```

Включил forwarding:
```
# в /etc/sysctl.conf (и потом сделать sysctl -p)
net.ipv4.ip_forward = 1
```
```
sysctl -a | grep forwarding | grep ipv4
net.ipv4.conf.all.bc_forwarding = 0
net.ipv4.conf.all.forwarding = 0
net.ipv4.conf.all.mc_forwarding = 0
net.ipv4.conf.default.bc_forwarding = 0
net.ipv4.conf.default.forwarding = 0
net.ipv4.conf.default.mc_forwarding = 0
net.ipv4.conf.enp1s0.bc_forwarding = 0
net.ipv4.conf.enp1s0.forwarding = 0
net.ipv4.conf.enp1s0.mc_forwarding = 0
net.ipv4.conf.lo.bc_forwarding = 0
net.ipv4.conf.lo.forwarding = 0
net.ipv4.conf.lo.mc_forwarding = 0
```

Пробовал делать:
```
sysctl -w net.ipv4.conf.all.forwarding=1
sysctl -w net.ipv4.conf.enp1s0.forwarding=1
```
Не помогло.

В итоге сайты не открываются
ping 8.8.8.8 не пингуется

В чем может быть причина.

iptables:
```
[root@server ~]# cat /etc/iptables/iptables.rules
# Generated by iptables-save v1.8.10 (nf_tables) on Fri Feb 16 07:27:14 2024
*filter
:INPUT ACCEPT [24:1555]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [25:1551]
COMMIT
# Completed on Fri Feb 16 07:27:14 2024
# Generated by iptables-save v1.8.10 (nf_tables) on Fri Feb 16 07:27:14 2024
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Fri Feb 16 07:27:14 2024
```
и вот:
```
[root@server ~]# ip addr
1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host noprefixroute
valid_lft forever preferred_lft forever
2: enp1s0: mtu 1500 qdisc fq state UP group default qlen 1000
link/ether 56:00:04:c4:b9:c3 brd ff:ff:ff:ff:ff:ff
inet 66.42.22.11/23 brd 66.42.109.255 scope global dynamic noprefixroute enp1s0
valid_lft 83827sec preferred_lft 83827sec
inet6 2001:19f0:6001:5689:5400:4ff:fec4:b9c3/64 scope global dynamic mngtmpaddr noprefixroute
valid_lft 2591991sec preferred_lft 604791sec
inet6 fe80::5400:4ff:fec4:b9c3/64 scope link noprefixroute
valid_lft forever preferred_lft forever
```

Делал по этой инструкции https://habr.com/ru/articles/776256/

Соединение поднимается. Интернета нет.
  • Вопрос задан
  • 159 просмотров
Пригласить эксперта
Ответы на вопрос 2
@Drno
Для убунту -
включаем маскард в ядре
echo net.ipv4.ip_forward=1 >> /etc/sysctl.conf
sysctl -p

Включаем маскард в iptables
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE;
И для ВПН интерфейса так то тоже..
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE; (ну или какой он у Вас там по названию)
Ответ написан
mindtester
@mindtester
http://iczin.su/hexagram_48
Сказали, что 192.168.2.0/24 лучше не использовать т.к. IP с маской могут конфликтовать с хостом
кто сказал?
- у вас роутер? dhcp? многие роутеры любят хапать диапазон от *.*.*2 до от *.*.*254
- сам люблю урезать их до *.*.*100 до от *.*.*199 (к примеру, сотка для дома выше крыши, избранным хостам даем ip вне диапазона, можно еще логику какую.. типа адрес меньше 100, это хост, 200+ принтер или сканер..
.. допускаю что вы спотыкаетесь все таки на маске, и/или отсутствии на интерфейсе второго адреса
но мой рецепт, скорее всего самый простой, удачи
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы