Как организовать OpenVPN подключениe через eth0 выход в сеть через eth1?

Question

[shershennm]

Дано: Ubuntu 14.04 Instance на Amazon EC2 c 2 network interfaces, каждый из которых привязан к Elastic IP. 2 сетевой интерфейс доступ через eth1 и настроен по этому гайду . OpenVPN настроен автоматически этой штукой . OpenVPN доступен по айпишнику eth0, но не доступен по eth1, хотя он всё остальное по нему доступно(ssh, nginx, etc.).
Пытался пробовать OpenVPN bridge, но не помогло.
Подскажите в какую сторону копать. Спасибо.
Конфиг OpenVPN:

port 1194
proto udp
dev tun
sndbuf 0
rcvbuf 0
ca ca.crt
cert server.crt
key server.key
dh dh.pem
tls-auth ta.key 0
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 192.168.0.2"
keepalive 10 120
cipher AES-128-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem

route -n:

0.0.0.0         192.168.0.1      0.0.0.0         UG    0      0        0 eth0
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.0.0      0.0.0.0         255.255.240.0   U     0      0        0 eth0
192.168.0.0      0.0.0.0         255.255.240.0   U     0      0        0 eth1

ifocnfig:

eth0      Link encap:Ethernet  HWaddr 06:08:94:fb:5e:99  
          inet addr:192.168.6.101  Bcast:192.168.15.255  Mask:255.255.240.0
          inet6 addr: xxxx::408:94ff:fefb:5e99/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:9001  Metric:1
          RX packets:63138 errors:0 dropped:0 overruns:0 frame:0
          TX packets:49344 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:35175048 (35.1 MB)  TX bytes:17629611 (17.6 MB)

eth1      Link encap:Ethernet  HWaddr 06:94:df:32:9f:dd  
          inet addr:192.168.14.69  Bcast:0.0.0.0  Mask:255.255.240.0
          inet6 addr: xxxx::494:dfff:fe32:9fdd/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:9001  Metric:1
          RX packets:5810 errors:0 dropped:0 overruns:0 frame:0
          TX packets:146 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:324810 (324.8 KB)  TX bytes:25630 (25.6 KB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.8.0.1  P-t-P:10.8.0.1  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:14254 errors:0 dropped:0 overruns:0 frame:0
          TX packets:13198 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:4902816 (4.9 MB)  TX bytes:8105152 (8.1 MB)

Answer 1

[SergeySL]

Что показывает lsof -ni4 | grep 1194?

Comments

[shershennm]

Пусто

[SergeySL]

А как же OpenVPN работает, если никто не слушает 1194 порт?

[shershennm]

SergeySL: хз. раскопал только вот такое:
openvpn 2214 nobody 6u IPv4 11097 0t0 UDP *:openvpn

[SergeySL]

shershennm: Получается, что слушает все интерфейсы.

[SergeySL]

shershennm: а sysctl net.ipv4.ip_forward что показывает?

[shershennm]

SergeySL: net.ipv4.ip_forward = 1

[SergeySL]

shershennm: остается файрвол.

[SergeySL]

shershennm: еще странный момент:
192.168.0.0 0.0.0.0 255.255.240.0 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.240.0 U 0 0 0 eth1

[SergeySL]

shershennm: получается, что интерфейсы eth0 и eth1 подключены к сети 192.168.0.0/28, хотя имеют адреса не из этой сети. Еще BCast'ы у интерфейсов очень странные. Неужели все, кроме OpenVPN, работает?

[shershennm]

SergeySL: 192.168 соответствует 172.31 . Всё, кроме OpenVPN, работает.

[SergeySL]

shershennm: в каком смысле соответствует?

[shershennm]

SergeySL: в примерах конфигов поменял 172.31 на 192.168

[SergeySL]

shershennm: может ничего не менять в ifconfig и route? Так понятнее будет.

[shershennm]

SergeySL: ifconfig:
eth0 Link encap:Ethernet HWaddr 06:08:94:fb:5e:99
inet addr:172.31.6.101 Bcast:172.31.15.255 Mask:255.255.240.0
inet6 addr: fe80::408:94ff:fefb:5e99/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:9001 Metric:1
RX packets:68058 errors:0 dropped:0 overruns:0 frame:0
TX packets:53702 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:36254883 (36.2 MB) TX bytes:18743920 (18.7 MB)

eth1 Link encap:Ethernet HWaddr 06:94:df:32:9f:dd
inet addr:172.31.14.69 Bcast:0.0.0.0 Mask:255.255.240.0
inet6 addr: fe80::494:dfff:fe32:9fdd/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:9001 Metric:1
RX packets:6660 errors:0 dropped:0 overruns:0 frame:0
TX packets:946 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:379434 (379.4 KB) TX bytes:89864 (89.8 KB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.1 P-t-P:10.8.0.1 Mask:255.255.255.0
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:14735 errors:0 dropped:0 overruns:0 frame:0
TX packets:13781 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:5014857 (5.0 MB) TX bytes:8361057 (8.3 MB)

route -n:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 172.31.0.1 0.0.0.0 UG 0 0 0 eth0
10.8.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
172.31.0.0 0.0.0.0 255.255.240.0 U 0 0 0 eth0
172.31.0.0 0.0.0.0 255.255.240.0 U 0 0 0 eth1

ip route list:
default via 172.31.0.1 dev eth0
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.1
172.31.0.0/20 dev eth0 proto kernel scope link src 172.31.6.101
172.31.0.0/20 dev eth1 proto kernel scope link src 172.31.14.69

ip rule list:
0: from all lookup local
1000: from 172.31.14.69 lookup eth1_rt
32766: from all lookup main
32767: from all lookup default

[shershennm]

SergeySL: iptables пустые

[SergeySL]

shershennm: Не понимаю, как вот такое происходит:
172.31.0.0/20 dev eth0 proto kernel scope link src 172.31.6.101
172.31.0.0/20 dev eth1 proto kernel scope link src 172.31.14.69
Вы с какого IP-подключаетесь к eth0 и eth1?

[SergeySL]

shershennm: дайте заодно traceroute с Вашего компьютера до первого и второго IP-адресов сервера.

[shershennm]

eth0:
16 ae-1.amazon.plalca01.us.bb.gin.ntt.net (140.174.21.182) 204.205 ms ae-0.amazon.plalca01.us.bb.gin.ntt.net (129.250.194.122) 178.697 ms ae-2.amazon.plalca01.us.bb.gin.ntt.net (140.174.21.186) 178.687 ms
17 54.240.243.32 (54.240.243.32) 204.862 ms * *
18 54.240.243.147 (54.240.243.147) 199.614 ms * 54.240.243.27 (54.240.243.27) 196.073 ms
19 72.21.222.19 (72.21.222.19) 193.429 ms 190.738 ms 194.993 ms
20 ec2-52-9-132-30.us-west-1.compute.amazonaws.com (52.9.132.30) 195.013 ms 195.298 ms 195.265 ms
eth1:
16 ae-1.amazon.plalca01.us.bb.gin.ntt.net (140.174.21.182) 191.497 ms 187.806 ms ae-0.amazon.plalca01.us.bb.gin.ntt.net (129.250.194.122) 179.558 ms
17 54.240.243.32 (54.240.243.32) 205.769 ms 54.240.243.30 (54.240.243.30) 195.357 ms 54.240.243.150 (54.240.243.150) 215.903 ms
18 54.240.243.147 (54.240.243.147) 194.520 ms 54.240.243.127 (54.240.243.127) 192.335 ms 190.315 ms
19 72.21.222.19 (72.21.222.19) 216.319 ms 190.773 ms 190.722 ms
20 ec2-52-9-132-30.us-west-1.compute.amazonaws.com (52.9.132.30) 190.657 ms 191.410 ms 195.401 ms
eth1:
16 ae-2.amazon.plalca01.us.bb.gin.ntt.net (140.174.21.186) 180.080 ms 183.023 ms ae-1.amazon.plalca01.us.bb.gin.ntt.net (140.174.21.182) 191.400 ms
17 * 54.240.243.150 (54.240.243.150) 214.214 ms 54.240.243.92 (54.240.243.92) 217.119 ms
18 54.240.243.127 (54.240.243.127) 190.097 ms 54.240.243.87 (54.240.243.87) 196.238 ms 54.240.243.127 (54.240.243.127) 193.391 ms
19 72.21.222.19 (72.21.222.19) 195.831 ms 197.888 ms 199.003 ms
20 ec2-52-52-36-244.us-west-1.compute.amazonaws.com (52.52.36.244) 196.359 ms 195.982 ms 192.401 ms

[shershennm]

172.31.6.101 => 52.9.132.30
172.31.14.69 => 52.52.36.244

[SergeySL]

shershennm: Тяжелый случай (для меня). Попробуйте включить TCP вместо UDP в конфиге сервера и клиента OpenVPN. Просто для проверки.

[shershennm]

SergeySL: с tcp работает

[SergeySL]

shershennm: тогда в саппорт с вопросом, кто и где режет трафик UDP со второго интерфейса.

[shershennm]

SergeySL: ясно. Спасибо!

[SergeySL]

shershennm: На здоровье!

Answer 2

[silverjoe]

Можно явно указать. https://openvpn.net/index.php/open-source/document...

# Which local IP address should OpenVPN
# listen on? (optional)
;local a.b.c.d

Answer 3

[noname-ded]

можно простыми правилами iptables, все делать из под рута:

в конфиге openvpn сервера /etc/openvpn/server.conf явно укажи ip сетевой карты eth0, добавь в него строку к примеру:
local 95.195.25.15

затем посмотри, что у тебя творится в iptables можно командой
iptables-save > iptables.txt

тебе нужно удалить старые правила относящиеся к tun интерфейсу и добавить новые:

iptables -I INPUT 1 -i eth0 -p udp --dport 1194 -j ACCEPT
iptables -t nat -I POSTROUTING 1 -s 10.8.0.0/24 -o eth1 -j MASQUERADE
iptables -I INPUT 1 -i tun0 -j ACCEPT
iptables -I FORWARD 1 -i eth1 -o tun0 -j ACCEPT
iptables -I FORWARD 1 -i tun0 -o eth1 -j ACCEPT

p.s.
кстати для установки openvpn лучше использовать скрипт от angristan'a
https://github.com/angristan/openvpn-install

его скрипт сохраняет все правила роутинга (iptables) в файл /etc/iptables/add-openvpn-rules.sh
и в нем удобно их править, после перезагрузки они подтянутся автоматически..