После подключения к ocserv трафик не проходит через него?

Question

[cebb]

Добрый день. Попробовал настроить ocserv на арендуемом сервере по https://www.linuxbabe.com/ubuntu/openconnect-vpn-s.... Установил, запустил, даже могу подключиться. Но при подключении трафик идет мимо сервера. NAT вроде включил, маскарад тоже. До этого на сервере уже стоял Outline.

Comments

[Drno]

Какая ОС на сервере?
покажите вывод
sysctl -p
и
sudo iptables -L -n -v -t nat --line-numbers
и
sudo ip a

[cebb]

Написал вывод в отдельный комментарий.

[Drno]

cebb, оно у Вас в докере? как ниже указали в конифге ocserv надо прописать что он является шлюзом по умолчанию
по идее больше в докере ничего делать не потребуется

[cebb]

[Valentin Barbolin]

Я смотрю у тебя docker стоит, значить цепочка FORWARD поумолчанию не ACCEPT. Соответственно трафик не проходит.

[Alexey Dmitriev]

Valentin Barbolin, покажите вывод netstat -r на машине с клиентом openconnect после установления соединения с сервером.

[cebb]

Я вроде бы пробовал iptables -P FORWARD ACCEPT до этого.

[Valentin Barbolin]

cebb, Это только догадка т.к. вывод не полный.
Лучше так

sudo iptables-save

Answer 1

[Alexey Dmitriev]

Если трафик идет мимо сервера, значит в ocserv.conf не включено присвоение VPN соединению default gateway.
Покажите вывод netstat -r на машине с клиентом openconnect после установления соединения с сервером.

Comments

[cebb]

netstat -r

===========================================================================
Interface List
18...02 50 e3 7e 85 33 ......Famatech Radmin VPN Ethernet Adapter
8...04 d9 f5 cd f3 a5 ......Intel(R) I211 Gigabit Network Connection #2
9...........................OpenConnect Tunnel
27...04 d9 f5 cd f3 a6 ......Realtek PCIe 2.5GbE Family Controller #2
15...5c f3 70 9c f5 d9 ......Bluetooth Device (Personal Area Network) #2
1...........................Software Loopback Interface 1
17...00 00 00 00 00 00 00 e0 Microsoft Teredo Tunneling Adapter
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 26.0.0.1 26.170.135.132 9257
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.113 25
10.10.10.0 255.255.255.0 10.10.10.141 10.10.10.141 6
10.10.10.141 255.255.255.255 On-link 10.10.10.141 261
26.0.0.0 255.0.0.0 On-link 26.170.135.132 257
26.170.135.132 255.255.255.255 On-link 26.170.135.132 257
26.255.255.255 255.255.255.255 On-link 26.170.135.132 257
37.120.239.186 255.255.255.255 26.0.0.1 26.170.135.132 2
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.0.0 255.255.0.0 10.10.10.141 10.10.10.141 6
192.168.0.0 255.255.255.0 On-link 192.168.0.113 281
192.168.0.113 255.255.255.255 On-link 192.168.0.113 281
192.168.0.255 255.255.255.255 On-link 192.168.0.113 281
192.168.5.0 255.255.255.0 26.0.0.1 26.170.135.132 2
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 26.170.135.132 257
224.0.0.0 240.0.0.0 On-link 192.168.0.113 281
224.0.0.0 240.0.0.0 On-link 10.10.10.141 261
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 26.170.135.132 257
255.255.255.255 255.255.255.255 On-link 192.168.0.113 281
255.255.255.255 255.255.255.255 On-link 10.10.10.141 261
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 26.0.0.1 9256
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 331 ::1/128 On-link
9 261 2000::/3 fe80::8
17 331 2001::/32 On-link
17 331 2001:0:284a:364:28a2:28f:3f57:ff8e/128
On-link
9 261 fda9:4efe:7e3b:833f::/64 On-link
9 261 fda9:4efe:7e3b:833f:3254:47be:38f5:e805/128
On-link
18 291 fdfd::/64 On-link
18 291 fdfd::1aaa:8784/128 On-link
18 291 fe80::/64 On-link
27 281 fe80::/64 On-link
17 331 fe80::/64 On-link
9 261 fe80::/64 On-link
27 281 fe80::23e8:4f1:7972:1f70/128
On-link
17 331 fe80::28a2:28f:3f57:ff8e/128
On-link
9 261 fe80::5680:6531:7f61:c99a/128
On-link
18 291 fe80::b6e8:ee9d:d75d:5b1/128
On-link
1 331 ff00::/8 On-link
18 291 ff00::/8 On-link
27 281 ff00::/8 On-link
17 331 ff00::/8 On-link
9 261 ff00::/8 On-link
===========================================================================
Persistent Routes:
None

edit: тормознул, в спойлере было не то

[Alexey Dmitriev]

cebb, не понятно, что это за строка
"0.0.0.0 0.0.0.0 26.0.0.1 26.170.135.132 9257"
У вас при подключении и настроенном в конфиге маршруте 0.0.0.0 должна появиться запись с ip вашего интерфейса VPN.
tracert -d google.com куда уходит?

[cebb]

Туда же, куда и с отключенным OpenConnect.

Tracing route to google.com [173.194.73.138]
over a maximum of 30 hops:

1 <1 ms <1 ms <1 ms 192.168.0.1
2 1 ms <1 ms <1 ms 10.12.59.1
3 1 ms 1 ms 5 ms 10.1.4.90
4 1 ms 1 ms 1 ms 10.1.4.149
5 1 ms 1 ms 1 ms 10.1.5.49
и так далее.

Подключается и идет мимо не только на этом компьютере - я пробовал с ещё одного компьютера и с телефона, и из другой сети.

[Alexey Dmitriev]

cebb, значит у вас route 0.0.0.0 в ocserv.conf не выставлен

[cebb]

Alexey Dmitriev, спасибо, теперь все работает.

Answer 2

[rubicomtech]

Попробуйте проверить не только SNAT на стороне openconnect-сервера, но и правила фаерволла на стороне сервера: стандартную политику и правила для Forward/Input. Выглядит, как будто некорректно работает что-то их них. А также проверьте, что в вашем конфиге ocserv корректно добавлены необходимые маршруты и что traceroute или просмотр маршрутов на клиенте отражает желаемую конфигурацию.

Если у вас будут вопросы по конфигурации openconnect server, вы можете обратиться в rubicom.tech для получения готовых шаблонов конфигурации сервера для быстрого запуска, в том числе с LDAP, 2FA