Почему нет подключения к интернету при попытке маршрутизировать траффик после успешного создания общей локальной сети?

Question

[maksimwork1980]

После создания локальной сети через VPN и подключении (убедился через netcat на двух раннее не связанных ПК) возникла потребность маршрутизировать весь трафик через шлюз VPS сервера, т.к. что бы он работал как обычный VPN сервис для аномизации.
Выяснил, что нужно добавить следующую строчку в конфигурацию сервера:
push "redirect-gateway def1"
Но теперь при подключении к OpenVPN серверу нет доступа к сайтам.
И при попытке выяснить до куда идёт траффик оказывается, что дальше сервера не идёт:

tracepath 2ip.ru

1?: [LOCALHOST]                      pmtu 1500
 1:  10.8.0.1                                            105.411ms 
 2:  no reply
 3:  no reply
 4:  no reply
 5:  no reply
 6:  no reply
 7:  no reply
 8:  no reply
 9:  no reply
10:  no reply

server.conf

port 1194
proto udp
dev tun
ca ca.crt
cert MaxHomeOpenVPNServer.crt
key MaxHomeOpenVPNServer.key  # This file should be kept secret
dh dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-256-CBC
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
push "redirect-gateway def1"

client.conf

client
dev tun
proto udp
remote xx.xx.xx.xx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert MaxHomeVPNClient.crt
key MaxHomeVPNClient.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-CBC
verb 3

Дополнительная информация, не знаю точно, что потребуется:

Клиент - ifconfig

enp2s0: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        ether b4:a9:fc:fc:5f:c2  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Локальная петля (Loopback))
        RX packets 58302  bytes 5510454 (5.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 58302  bytes 5510454 (5.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 10.8.0.6  netmask 255.255.255.255  destination 10.8.0.5
        inet6 fe80::bb08:7c9:3e3b:625d  prefixlen 64  scopeid 0x20<link>
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 500  (UNSPEC)
        RX packets 1  bytes 576 (576.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1168  bytes 194960 (194.9 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

wlp3s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.102  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::15e4:62ca:e2d9:f8ea  prefixlen 64  scopeid 0x20<link>
        ether fc:44:82:a8:c5:a0  txqueuelen 1000  (Ethernet)
        RX packets 702605  bytes 627330743 (627.3 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 465862  bytes 127942541 (127.9 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

server - ifconfig

ens3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet xx.xx.xx.xx  netmask 255.255.255.255  broadcast xx.xx.xx.xx
        inet6 fe80::5054:ff:fe17:fbe5  prefixlen 64  scopeid 0x20<link>
        inet6 2a12:5940:1d5c::2  prefixlen 48  scopeid 0x0<global>
        ether 52:54:00:17:fb:e5  txqueuelen 1000  (Ethernet)
        RX packets 122812  bytes 13772171 (13.7 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 100502  bytes 15636403 (15.6 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 284  bytes 21380 (21.3 KB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 284  bytes 21380 (21.3 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 10.8.0.1  netmask 255.255.255.255  destination 10.8.0.2
        inet6 fe80::747:1e1a:4f90:9f26  prefixlen 64  scopeid 0x20<link>
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 500  (UNSPEC)
        RX packets 937  bytes 181140 (181.1 KB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 14  bytes 1200 (1.2 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Клиент - ip route

0.0.0.0/1 via 10.8.0.5 dev tun0 
default via 192.168.1.254 dev wlp3s0 proto dhcp metric 600 
10.8.0.1 via 10.8.0.5 dev tun0 
10.8.0.5 dev tun0 proto kernel scope link src 10.8.0.6 
128.0.0.0/1 via 10.8.0.5 dev tun0 
xx.xx.xx.xx via 192.168.1.254 dev wlp3s0 
169.254.0.0/16 dev wlp3s0 scope link metric 1000 
192.168.1.0/24 dev wlp3s0 proto kernel scope link src 192.168.1.102 metric 600

Сервер - ip route

default via 10.0.0.1 dev ens3 onlink 
10.8.0.0/24 via 10.8.0.2 dev tun0 
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1

Фаервол сейчас отключён.
В /etc/sysctl.conf net.ipv4.ip_forward=1.

Что можно ещё проверить или попробовать?
Такое ощущение что просто не хватает маршрутизации, что бы все пакеты идущие по сети OpenVPN должны выходить через шлюз VPS сервера. Но я делал по инструкции.

Answer 1

[Дмитрий]

>> Фаервол сейчас отключён
Молодец. А кто NAT будет делать между локалкой и интернетом?

Answer 2

[Drno]

На сервере -
вот это включить - /etc/sysctl.conf net.ipv4.ip_forward=1.

И маскард включить -
iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE;
где ens3 - Ваш интернет интерфейс

Comments

[maksimwork1980]

Большое спасибо!
Похоже мне просто стоит по нормальному разобраться в сетях, я о маскараде впервые слышу.

[Drno]

maksimwork1980, ну иначе бы Ваш роутер не работал. он делает тоже самое..
а в сетях да - надо разобраться, например есть цикл статей - "сети для самых маленьких"