Как пустить трафик через OpenVPN на конкретный IP?

Question

[DigitalGod]

Доброго дня.
Имеется в наличии роутер Asus. Нужно поднять на нем OpenVPN сервер, чтобы получить доступ к локальной сети, а так же пустить через него трафик на конкретные IP в интернете.
Конфиг выглядит вот так:

daemon ovpn-server1
topology subnet
server 10.8.0.0 255.255.255.0
proto udp
port 1194
dev tun21
txqueuelen 1000
ncp-ciphers AES-128-GCM:AES-256-GCM:AES-128-CBC:AES-256-CBC
cipher AES-128-CBC
keepalive 15 60
verb 3
push "route 192.168.10.0 255.255.255.0 vpn_gateway 500"
client-config-dir ccd
duplicate-cn
tls-crypt static.key
plugin /usr/lib/openvpn-plugin-auth-pam.so openvpn
ca ca.crt
dh dh.pem
cert server.crt
key server.key
script-security 2
up updown.sh
down updown.sh
status-version 2
status status 5

Локальную сеть вижу, все отлично. Если добавляю push "redirect-gateway def1" - весть трафик идет через впн. Пробую задать конкретный IP - push "route IP 255.255.255.255 vpn_gateway" - сервер сразу же становится недоступным.
Не пойму в какую сторону копать? Вроде же надо просто прописать маршрут на IP через шлюз впн?

Answer 1

[Radjah]

А на принимающей стороне форвардинг настроен, чтобы пакеты из tun дальше передавались?

Comments

[DigitalGod]

Имеется ввиду роутер? Или непосредственно сервер куда я стучусь?
И что в данном случае форвардинг? Маршруты из сети 10.8.0.0 в интернет?

[Radjah]

Сервер, к которому твой роутер коннектится.
На нём должен быть разрешен форвардинг
net.ipv4.ip_forward=1
Я у себя прописывал маскарадинг:

iptables -t nat -A POSTROUTING -s 10.128.0.0/24 -j MASQUERADE

В этом случае пакеты из tun0 будут транслироваться в eth0

[DigitalGod]

Там к сожалению вообще не мой сервер, и я даже не знаю что и как там настроено.

[Radjah]

DigitalGod, так, стоп.
> dev tun21
> tun
Тут в route надо указывать только подсеть. GW подставится автоматически сервером.
push "route IP 255.255.255.255"

Дальше он сам всё разрулит внутри себя.

[DigitalGod]

Radjah, эту часть

push "route 192.168.10.0 255.255.255.0 vpn_gateway 500"

роутер генерит автоматом. Все что я могу сделать - добавить код в конце конфига :)

Answer 2

[Евген]

это вроде нужно делать на самом роутере, а не в конфигах openVPN, путем маршрутизации, маркировки пакетов, натов и т.д.

Comments

[DigitalGod]

Нет, тут именно с настройками OpenVPN надо играть - т.к. либо у меня весь трафик на него заворачивается, либо только локальная сеть. А маршруты эти создает клиент openvpn на конечном компьютере.

Answer 3

[ky0]

push "route 1.2.3.4 255.255.255.255"

Comments

[DigitalGod]

В таком ключе получаю такой результат:
На примере сайта myip.ru - 178.62.9.171

Трассировка маршрута к myip.ru [178.62.9.171]
с максимальным числом прыжков 30:

  1    21 ms    28 ms    27 ms  10.8.0.1
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
  5     *        *        *     Превышен интервал ожидания для запроса.
  6     *        *        *     Превышен интервал ожидания для запроса.
  7     *        *        *     Превышен интервал ожидания для запроса.
  8     *        *        *     Превышен интервал ожидания для запроса.
  9     *        *        *     Превышен интервал ожидания для запроса.
 10     *        *        *     Превышен интервал ожидания для запроса.
 11     *        *        *     Превышен интервал ожидания для запроса.
 12     *        *        *     Превышен интервал ожидания для запроса.
 13     *        *        *     Превышен интервал ожидания для запроса.
 14     *        *        *     Превышен интервал ожидания для запроса.
 15     *        *        *     Превышен интервал ожидания для запроса.
 16     *        *        *     Превышен интервал ожидания для запроса.
 17     *        *        *     Превышен интервал ожидания для запроса.
 18     *        *        *     Превышен интервал ожидания для запроса.
 19     *        *        *     Превышен интервал ожидания для запроса.
 20     *        *        *     Превышен интервал ожидания для запроса.
 21     *        *        *     Превышен интервал ожидания для запроса.
 22     *        *       78 ms  myip.ru [178.62.9.171]

[ky0]

DigitalGod, а кто вам сказал, что пинг должен проходить дальше впн-сервера? Вы на нём самом-то в фаерволле добавили соответствующее правило?

[DigitalGod]

ky0, это обычный домашний роутер. Там все открыто. Да и с redirect-gateway все работает.