Маршрутизация openvpn в яндекс облаке?

Пытаюсь настроить маршрутизацию через впн шлюз в три подсети яндекс.облака. Пока что только пинг ходит от удалённой машины 10.128.0.26 При попытке сделать курл с удалённой машины 10.128.0.26:9000 команда висит не может зарезолвить хост.
С самого впн сервера 10.129.0.24 курл до 10.128.0.26:9000 работает. Более того работает курл и с впн сервера до удалённой машины 10.9.0.6
Схема сети
6030e50d0789e019222030.png
Конфиг openvpn
# Ansible managed

port 8500
proto udp
dev tun

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh.pem
tls-auth /etc/openvpn/keys/ta.key 0
tls-server
auth SHA256
cipher AES-256-CBC
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256

server 10.9.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

push "dhcp-option DNS 10.129.0.2"
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 8.8.8.8"
push "route 10.128.0.0 255.255.255.0"
push "route 10.129.0.0 255.255.255.0"
push "route 10.130.0.0 255.255.255.0"
keepalive 5 30
compress lz4-v2
persist-key
persist-tun
user nobody
group nogroup


status status-openvpn_udp_8500.log
status-version 1
log-append /var/log/openvpn.log
verb 3

Маршруты возникающие на удалённой машине
10.9.0.1        10.9.0.5        255.255.255.255 UGH   0      0        0 tun0
10.9.0.4        0.0.0.0         255.255.255.252 U     0      0        0 tun0
10.128.0.0      10.9.0.5        255.255.255.0   UG    0      0        0 tun0
10.129.0.0      10.9.0.5        255.255.255.0   UG    0      0        0 tun0
10.130.0.0      10.9.0.5        255.255.255.0   UG    0      0        0 tun0

Что я упускаю?)
  • Вопрос задан
  • 1170 просмотров
Решения вопроса 1
inf
@inf Автор вопроса
DevOps Engineer
Проблема оказалась в сломанной компрессии openvpn. И по факту её необходимо отключать https://community.openvpn.net/openvpn/wiki/VORACLE
Так же не лишне настроить статические маршруты между впн сетью и сетью яндекса https://cloud.yandex.ru/docs/vpc/concepts/static-routes
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 2
ky0
@ky0 Куратор тега Системное администрирование
Миллиардер, филантроп, патологический лгун
Маршрутизация, маскарадинг или форвардинг пакетов на впн-сервере - классический набор. Берёте tcpdump и смотрите, что куда едет или не едет.
Ответ написан
Комментировать
@Tabletko
никого не трогаю, починяю примус
push "dhcp-option DNS 10.129.0.2"
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 8.8.8.8"

Упускаете то, что dns запрос может улететь на любой из этих dns серверов.
Ну и не понятно как в обратную сторону трафик ходит (nat или на vm есть обратные маршруты)
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы