Как заходить только на 1 ип через OPENVPN?

Question

[sailorpapay]

Весь тракфик через опенвпн - понятно
Но необходимо только 10.8.0.5
На сервере с опенвпн прописан редирект

iptables -t nat -I PREROUTING -d 11.8.0.5 -j DNAT --to-destination 77.X.X.X
редирект работает, но заходит не под впн

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
dh dh2048.pem
server 10.8.0.0 255.255.255.0
push "route 10.8.0.5 255.255.255.255"

#push "redirect-gateway"
ifconfig-pool-persist ipp.txt

;client-config-dir ccd

#push "redirect-gateway def1 bypass-dhcp"
#push "dhcp-option DNS 208.67.222.222"
#push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-128-CBC # AES

comp-lzo
;user nobody
;group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

Client

client

dev tun
proto udp
remote 165.XXXXXXXXX
resolv-retry infinite
nobind
;user nobody
;group nogroup
persist-key
persist-tun
#ca ca.crt
#cert client.crt
#key client.key
remote-cert-tls server
;tls-auth ta.key 1
cipher AES-128-CBC
key-direction 1
comp-lzo

verb 3

Собственно добавлено push "route 10.8.0.5 255.255.255.255"
Редирект гв отключен.

заходит на ресурс не с под впн

Answer 1

[younghacker]

В конфиге сервера у вас опция требовать от клиентов HMAC во время "рукопожатия":
tls-auth ta.key 0 # This file is secret

В конфиге клиента она закоментирована:
;tls-auth ta.key 1

По логике работы этого ключа VPN сервер должен выбросить пакеты без должного HMAC без дальнейшей обработки. Соответственно VPN не должен подняться. Ключ в конфигах должен быть с обеих сторон, либо закоментируйте с обеих сторон (не рекомендуется).

Посмотрите логи на клиенте и на сервере.
Попробуйте пингануть сервер 10.8.0.1 (пинг должен быть разрешён в файрволах)
Посмотрите появился ли интерфейс и роут на клиенте.

P.S.
Но вашу формулировку задачи, с утра, на сонную голову - я не понял.
Качество вопроса определяет качество и точность ответов. :)

Comments

[sailorpapay]

Впн поднимается и работает на ура.
Попробую еще раз обьяснить.

Есть OPENVPN сервер на ubuntu.
Есть клиенты котороые подключаются к серверу.
Есть сайт VK.COM. (например).

Необходимо:
Клиент подключается к серверу ОПенВПН. В интернет он ходит со своим ИП который ему дал провайдер.
Клиент набирает в адрессной строке браузера 10.8.0.15 (не важно, можно любой локальный ип с сети Openvpn), и тут уже в интернет он идет не со своим ИП провайдера, а через VPN Сервер, на котором настроен редирект, что 10.8.0.15 - это ссайт vk.com.

Тоесть, клиент пишет в адрессной строке 10.8.0.15, у него открывается сайт VK.COM с под VPN, а не с под его провайдера интернета.

[younghacker]

Хм...
Виртуальный адрес в локальной сети OpenVPN можно пробросить в сторону VK.COM средствами iptables в таблице NAT. Посылаете TCP/UDP пакет на этот адрес и он улетает куда настроено и адрес источника подменяет на OpenVPN-овский.

НО!!!

1) Если в строке браузера Вы напишете IP адрес то браузер внутри HTTP запроса передаст на веб сервер то что набрано в строке браузера тоесть IP адрес. Веб сервер в этом случае должен ожидать что ему подсунут такой запрос иначе он вернёт обратно _default_ страницу, для апача обычно тестовую. Тоесть по хорошему Вам нужно подменить содержимое http запроса.

2) Веб сервер обычно в браузер возвращает HTML страницу, на этой странице куча JS скриптов ссылки на файлы css и прочее, прочее, всё это зачастую сопровождается префиксом протокол (http/https)://адрес сайта (обычно домен)/путь к файлу/имя файла. В вашем случае VK.COM вернёт вам не ваш 10.8.0.15, а https://vk.com/ и путь к файлу. Далее браузер, подгружает этот контент без участия пользователя, а пользователь только наблюдает как загружается картинка.

Другими словами Вам нужен либо свой VK.COM который будет себя вести как нужно Вам, либо прокси который будет на лету подменять содержимое сайта. Последнее возможно только если JS не обфусцирован, и домены не зашифрованы каким либо способом чтобы избежать автоматической парсировки. Короче, я смогу сделать сайт который у Вас поломается (будет выглядеть криво) и/или отдаст мне реальный IP вашего клиента.

Можно конечно изменить файл hosts или настроить свой DNS который на *.vk.com вернёт 10.8.0.15 и частично это решит вашу проблему. Частично потому что если владелец vk.com может изменить страницу так что какая-то часть контента будет запрошена с другого домена и адреса и Вы спалите реальный IP.

Иначе говоря это нужно решать иначе.

[sailorpapay]

younghacker, Спасибо за развернутый ответ