Не проходит трафик через поднятый TUN openvpn?

Question

[DenZel]

Всем привет!Прошу помощи у сообщества единомышленников!
Столкнулся с такой проблемой:
- создал свой сервер openvpn
- подключаюсь с клиента к нему openvpn --config client.ovpn &
- соединение устанавливается, поднимается tun интерфейс
- но при проверке пути прохождения трафик mtr 8.8.8.8 показывает что следующий hop 0.0.0.0 и трафик не идет, хотя на сервере настроен ipv4 forwarding, отключен iptables.
Не пойму в чем может быть дело? Как диагностировать и локализовать ошибку?
PS: раньше с таким никогда не сталкивался, на сервере пушу маршруты клиенту push route
Спасибо!

Comments

[mureevms]

Что-то не так с маршрутами на клиенте, показывайте конфиг.

[DenZel]

mureevms, сейчас рядом доступа к книгам нету, но там получаются по push от сервера следующие маршруты:
route ""vpn-network" 255.255.255.0"
route "0.0.0.0 128.0.0.0"

[mureevms]

DenZel, ерунда какая-то. Прочтите мою статью про настройку OVPN, вероятно поймете в чем причина

[DenZel]

mureevms, Спасибо, сейчас прочту. Да вот не пойму раньше работало все, а с какого то момента при создании нового сервера openvpn такая вот проблема(

[DenZel]

mureevms, подскажите а как диагностировать лучше всего мою проблему?
вот почему tun поднимается на клиенте, а при mtr 8.8.8.8 уходит трафик на 0.0.0.0, хотя должен уходить на поднятый tun интерфейс vpn сервера?

[mureevms]

DenZel, зависит от конфига. Если на сервере есть строка
push "redirect-gateway def1"
то у клиента переписывается шлюз по умолчанию и все пакеты идут через vpn сервер. Соответственно, если такой строки нет, то и пакеты должны идти по дефолту.

Начните с удаления строки route "0.0.0.0 128.0.0.0" и добавьте только те, которые есть в статье. К тому же, вы не сказали чего хотите добиться. Чтобы клиент ходил в инет через ВПН или просто дать ему доступ к ВПН подсети.

[Александр]

отключен iptables.

Включи. Возможно тебе нужен FORWARD и POSTROUTING

[DenZel]

mureevms, чтоб клиент ходил через vpn сервер.
В вашей строке def1 что обозначает?

[DenZel]

Александр, это настроено у меня, я не правильно выразился, я имел ввиду что отключены правила которые могли бы блокировать трафик.

[mureevms]

DenZel,
def1 -- Use this flag to override the default gateway by using 0.0.0.0/1 and 128.0.0.0/1 rather than 0.0.0.0/0. This has the benefit of overriding but not wiping out the original default gateway.

[mureevms]

DenZel, сделано то, о чем я говорил?

Answer 1

[DenZel]

Нашел проблему:
некорректно было настроено tls-auth на сервере и клиенте.

Answer 2

[Berkutman]

iptables -t nat -A POSTROUTING -o OUT-INTERFACE -s NETWORK-OPENVPN -j MASQUERADE
iptables -A FORWARD -i tun0 -j ACCEPT
net.ipv4.ip_forward=1 >> /etc/sysctl.conf
sysctl -p

push "redirect-gateway def1"

Сетку которую ты построил в тунеле надо же за натить как минимум или опубликовать в процесс маршрутизации )

Comments

[res2001]

Обычно не нужно натить впн сетку. Бывает, что это надо делать в специфических конфигурациях.
Но почему то все кому не лень суют нат в настройку впн.

[Berkutman]

res2001, Ты строишь тунель не бридж , у тебя новый пул. Как другие подсети узнают об этом пуле ? Либо маршрутизация , либо же нам нужно иметь с впн доступ до частной сети, самое простое нат. С учетом того что он хочет выходить в интернет через впн сервер, хотя хз зачем. Нужен нат.

[res2001]

Berkutman, Конечно маршрутизация. На хрена эти заморочки с натом. К тому же дополнительная нафиг не нужная нагрузка.

[DenZel]

res2001, да у меня настроен и нат для сетки vpn, и я ее отдаю тоже через push клиенту. Получается не нужен нат, когда я использую push для выхода через vpn сервер

[mureevms]

DenZel, это все слова. Вы можете неверно понимать конфиг. Пока не будет конфига разговаривать бесполезно.

[res2001]

DenZel, Не нужен. Но нужно правильно настроить маршрутизацию на всех этапах пересылки пакетов. Маршрутизация на узлах ВПН настраивается конфигом openvpn, компы внутри локальных сетей, находящихся за узлами ВПН должны настраиваться отдельно, когда это необходимо.

[DenZel]

Спасибо за ответы всем, попробую для начала сделать push "redirect-gateway def1"