Почему не запускается OpenVPN?

Question

[Max Payne]

Настроил сервер (на KVM VPS) и клиент OpenVPN по этому мануалу. Далее подключился клиентом к серверу, и в логах сервера увидел следующую строку

primary virtual IP for client/ip_сервера:18766: 10.8.0.6

Мне нужно чтобы все запросы приходящие на

http://ip_сервера # 80 port
https://ip_сервера # 443 port

уходили на клиентский сервер. Настроил iptables (который почему-то не был установлен на VPS) следующим образом:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.8.0.6:80
iptables -t nat -A PREROUTING -p udp --dport 80 -j DNAT --to-destination 10.8.0.6:80
iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 10.8.0.6:443
iptables -t nat -A PREROUTING -p udp --dport 443 -j DNAT --to-destination 10.8.0.6:443
iptables -t nat -A POSTROUTING -j MASQUERADE

Но, почему-то, не работает.

netstat -tuwpan

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      544/sshd
tcp        0    276 ip_сервера:22         37.45.244.85:48312      ESTABLISHED 771/1
tcp        0      0 ip_сервера:22         37.45.211.79:31138      ESTABLISHED 572/0
tcp6       0      0 :::22                   :::*                    LISTEN      544/sshd
udp        0      0 0.0.0.0:1194            0.0.0.0:*                           333/openvpn

Answer 1

[Max Payne]

Нашёл решение для себя отказавшись от использования iptables
Все манипуляции производил на VPS
1. Сначала очистил iptables, чтобы устаревшие правила никак не повлияли на будущую работу
iptables -F
2. Далее установил nginx
sudo apt-get install nginx
3. И в его конфиге прописал настройки для использования его в качестве прокси-сервера с перенаправлением на локальный сервер без статического айпи

user www-data;
worker_processes auto;
pid /run/nginx.pid;
events {
        worker_connections 768;
        multi_accept on;
}
http {
        sendfile on;
        keepalive_timeout 15;
        proxy_buffers 8 64k;
        proxy_intercept_errors on;
        proxy_connect_timeout 1s;
        proxy_read_timeout 3s;
        proxy_send_timeout 3s;
        server {
            listen 80;
            server_name a.ru b.ru;
            access_log /var/log/nginx/1.access_log;
            error_log /var/log/nginx/1.error_log warn;
            charset utf-8;
            ssi on;
            ssi_value_length 1024;
            location / {
                proxy_pass http://10.8.0.6:9000;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_intercept_errors off;
                proxy_read_timeout 5s;
                proxy_send_timeout 3s;
                gzip on;
                gzip_min_length 1024;
                gzip_proxied expired no-cache no-store private auth;
                gzip_types text/plain application/xml;
            }
        }
}

Answer 2

[Максим Гришин]

Пакеты, уходящие в VPN, нельзя натить. Добавляйте в POSTROUTING в начало правила для ACCEPT'a пакетов, которые должны лезть в VPN.
Кроме того, а где фильтрация по destination IP в правилах SNAT? Иначе весь HTTP/S трафик вместе с транзитным (возможно, исключая OpenVPN, но не факт) будет отправлен на 10.8.0.6.

Comments

[Max Payne]

Можно поподробней? Если есть какой-нибудь мануал - пришлите ссылку и дополните им ответ.

[Максим Гришин]

DNAT правильно делать как преобразование одной пары IP:port в другую пару IP:port, и для полноты картины фильтровать по интерфейсу. Например, нужно пробросить порт 80 с айпишника 1.2.3.4 на 10.8.0.6, пишешь:

iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp --dport 80 -j DNAT --to-destination=10.8.0.6:80

У тебя в правилах отсутствует -d IP, в результате если твой сервер из-за впн полезет на http://куда-нибудь.ком, пакет будет оттранслирован на IP 10.8.0.6, потому что у него destination port 80.

То же с маскарадом - маскарадить нужно только пакеты, которые уходят в интернет из локальной сети, иначе приходящий из интернета ответный пакет будет SNAT'ен в внутренний адрес VPS. Т.е. пакет, который идет в 10.8.0.6, маскарадить нельзя, иначе клиент на второй стороне VPN получит ответ от непонятного адреса. Если на второй стороне есть подсеть, скажем, x.x.x.0/24, нужно её писать в правилах, вроде такого:

iptables -t nat -I POSTROUTING 1 -d x.x.x.0/24 -o eth0 -j ACCEPT

eth0 тут интерфейс, который смотрит в VPN. Если там L2TP/PPTP, то интерфейс будет ppp0 (в общем виде ppp+), и писать тогда надо его.

Вообще тема большая, я начитался довольно большого количества манов по iptables, включая отдельно ман по нату типа вот этого wm-help.net/lib/b/book/1259475082/141

[Max Payne]

Максим Гришин, вместо 1.2.3.4 мне нужно указывать локальный адрес 10.8.0.1 или глобальный 37.37.37.37, например?

[Max Payne]

Максим Гришин, Не совсем понимаю зачем мне вообще маскарад.
Я полностью почистил ipatables, в том числе iptables -F, сделал 4 записи и перезагрузил VPS - результата никакого.

iptables -t nat -A PREROUTING -d 37.46.130.61 -p tcp --dport 80 -j DNAT --to-destination=10.8.0.6:80
iptables -t nat -A PREROUTING -d 37.46.130.61 -p tcp --dport 443 -j DNAT --to-destination=10.8.0.6:443
iptables -t nat -A PREROUTING -d 37.46.130.61 -p udp --dport 80 -j DNAT --to-destination=10.8.0.6:80
iptables -t nat -A PREROUTING -d 37.46.130.61 -p udp --dport 443 -j DNAT --to-destination=10.8.0.6:443

iptables -t nat -A POSTROUTING -d 10.8.0.6 -p tcp --dport 80 -j SNAT --to-source 10.8.0.1
 iptables -t nat -A POSTROUTING -d 10.8.0.6 -p tcp --dport 443 -j SNAT --to-source 10.8.0.1
 iptables -t nat -A POSTROUTING -d 10.8.0.6 -p udp --dport 80 -j SNAT --to-source 10.8.0.1
 iptables -t nat -A POSTROUTING -d 10.8.0.6 -p udp --dport 443 -j SNAT --to-source 10.8.0.1

[Максим Гришин]

Max Payne, PREROUTING - OK, POSTROUTING лишний - соединения идут внутрь. А на каком порту у вас работает openvpn? Если как в мануале (1194) то нормально. Если на 443, тогда трафик на него может DNAT'иться и openvpn поломается.

Маскарад нужен, если вы после соединения с сервером полезете с него в интернет, в этом случае пакеты должны уходить от "имени" публичного адреса. Соответственно, маскараду подлежат только пакеты с сервера в интернет, а пакеты в VPN - нет.

[Max Payne]

Максим Гришин, так ответ ведь нужно вернуть. Клиент -> впс -> домашний сервер -> впс -> клиент

[Максим Гришин]

Max Payne, за обратное транслирование ответа отвечает вход в нат-таблице, создающийся при обработке файрволлом syn-пакета. Модуль conntrack (state) в iptables. Кстати, правило iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT именно разрешает трафик, относящийся к установленному или устанавливаемому соединению, и должно быть (в INPUT, если трафик от локалхоста, в FORWARD, если хост - роутер) в принципе всегда.

[Max Payne]

Максим Гришин, Хм, а есть простой способ как ВЕСЬ (вне зависимости от порта) трафик приходящий на VPS пересылать клиенту + ВСЕ ответы клиента возвращать пользователю?