Какой маршрут по умолчанию нужен для VPN?

Question

[beduin01]

ipconfig в Windows при подключенном VPN для интерфейса VPN показывает следующее:

Адаптер Ethernet Ethernet 3:

   DNS-суффикс подключения . . . . . :
   Локальный IPv6-адрес канала . . . : fe80::21ac:360d:56a2:c866%11
   Основной шлюз. . . . . . . . . : 10.0.1.23

Вбиваю по ssh в Linux следующие команды и на последней теряю ssh подключение:

iptables -t nat -A POSTROUTING -j MASQUERADE 

iptables -I FORWARD -d 10.0.1.0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.0.1.0 -j ACCEPT

ip tuntap add dev vpns0 mode tun
ip addr add 10.0.1.2/24 dev vpns0
ip link set vpns0 up
ip route add default via 10.0.1.23

route print https://paste.ofcode.org/YFqXG4WiBZuxnHkcWvrssS

Помогает или перезагрузка сервера или удаление последней команды через VNS.

Comments

[Drno]

ну так и должно быть.. ты же пускаешь весь трафик внутрь ВПН.. поэтому сервер становится доступн только по ВПН адресу.
что надо сделать то?

[Akina]

ipconfig в Windows при подключенном VPN для интерфейса VPN показывает следующее

А ты ещё на route print посмотри...

Вбиваю по ssh в Linux следующие команды и на последней теряю ssh подключение

Угу... потому что эта команда заставляет трафик на VPN-сервер слать не напрямую, как раньше, а через VPN-канал. Так что сперва надо создать частный маршрут для удалённого узла.

[beduin01]

Drno, да у меня по прежнему нет интернета после подключения к VPN.

Ethernet 3 это имя интерфейса на винде который создал OpenConnect клиент.

Делаю вот так: https://paste.ofcode.org/Vma9L2xZm9eKrV89sZNhB

Akina, а как "создать частный маршрут для удалённого узла."? Принт-роут добавил в тело вопроса.

[Akina]

route print https://paste.ofcode.org/YFqXG4WiBZuxnHkcWvrssS

Вот геморройщик. Поотключай все лишние, ненужные для понимания ситуации, адаптеры. Авось попроще будет.

[Drno]

beduin01, да сколько можно то... там же всё очень просто)) возьми убунту, закинь туда ocserv и вот тебе конфиг
https://pastebin.com/raw/DgbFMwvN
DNS на клиентах должны быть публичные

Все остальное я уже говорил. отключи UFW (если он есть)
удали команды iptables которые там навводились(чтоб не разбираться)
и просто введи несколько команд iptables
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o vpn0 -j MASQUERADE

[beduin01]

Drno, да мне дистрибутив менять не хотелось бы... просто что с Арч не то то?

Почистил правила, вот полный лог: команд
https://pastecode.io/s/0wr7uhdd

Опять инет не работает при включенном VPN.

[Drno]

beduin01, а имена интерфейсов то совпадают? с Вашей системой?

[Valentin Barbolin]

beduin01, Перед дефолтом, пропиши маршрут к сети из которой подключашся по ssh через eth0 или как там он у тебя называется.

[beduin01]

Drno, или я не понимаю вопроса или ответ такой, что в Linux интерфейс тунеля называется: "ip tuntap show
vpns0: tun persist". А сам сетевой интерфейс: enp1s0
А В Windows "Ethernet 3" -- его установщик OpenConnect создал.

[beduin01]

Valentin Barbolin, вот настройки которые показывает Windows для VPN адаптера:
https://pastecode.io/s/apr2qhm1

Почему-то шлюз у него указан как: 0.0.0.0

[Drno]

beduin01, я про интерфейсы в линукс. Вы же там вводте команды iptables. а они должны четко указывать интерфейс, желательно
Вам надо включить маскард для интерфеса интернета и интерфейса VPN

NAT в ядре включен? проверьте это тоже

[beduin01]

Drno, да NAT включен. Вот как проверял
https://pastecode.io/s/1v6jfvm0

Маскарад тоже включен вот так:
iptables -t nat -A POSTROUTING -o vpns0 -j MASQUERADE;
iptables -t nat -A POSTROUTING -o enp1s0 -j MASQUERADE;

И интернет по прежнему через VPN не работает.

[Drno]

beduin01, а чего за SNAT и еще куча лишнего в iptables ?

[beduin01]

Drno, я деалал iptables -F && iptables -X или этого мало чтобы почистить все правила?

[Drno]

beduin01, в Вашем выводе есть правила, помимо моих.
https://pastecode.io/s/1v6jfvm0
но при этом нет моих правил)

гугл выдает вот такой сброс iptables

sudo iptables -t nat -F
sudo iptables -t mangle -F
sudo iptables -F
sudo iptables -X

[beduin01]

Drno, сделал вот лог https://pastecode.io/s/qbskcqiq

[Drno]

beduin01, зачем ты пользуешься iptables-save ? правила обычно сохраняют только после того, как их протестировали...
-A POSTROUTING -s 192.168.0.0/24 -o ens3 -j SNAT --to-source 65.20.87.158 - вот это что за правило?

сделай вот так -

sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT

sudo sh -c "iptables-save > /etc/iptables/rules.v4"

Потом

sudo iptables -t nat -A POSTROUTING -o vpns0 -j MASQUERADE
sudo iptables -t nat -A POSTROUTING -o enp1s0 -j MASQUERADE

И теперь проверь

[beduin01]

Drno, сделал. Вот лог. Ничего не изменилось. Инет по прежнему при включении VPN не работает.
https://pastecode.io/s/p8gqine9

[Drno]

beduin01, значит с Вашей ОС что то не так. При таких настройках линукс работает как шлюз…
Я ж правильно понял что это настройки с впн сервера?)

Можете конечно написать мне в тг, если готовы дать доступ до сервера. Я бы глянул ради интереса. Но чет пока идей нет)

А развернуть нормальную ОС там не вариант? Ту же убунту

Answer 1

[MVV]

Видите этот маршрут в route pring

65.20.87.158  255.255.255.255      192.168.1.1      192.168.1.7     36

- к хосту (маска 255.255.255.255 ) - серверу VPN (65.20.87.158 ) через шлюз локальной сети (192.168.1.1)?
Именно он отвечает за сохранение в Windows пересылки трафика самого VPN на сервер VPN 65.20.87.158 , чтобы после смены маршрута по умолчанию через VPN пакеты на сервер VPN могли идти.
В Windows это делает автоматически системный клиентский компонент службы удаленного доступа (как я понимаю, OpenVPN тоже им пользуется), причем адрес сервера VPN берется из реально установленного соединения с этим сервером.
Такой же маршрут надо прописать и в Linux. Но как получить адрес сервера VPN для него - это я вам не скажу: для этого надо курить manы.