younghacker

Как я понимаю целевой сервер не ваш.

Пинганите одновременно
- внешний IP WireGuard сервера
- и IP гейта на другом конце туннеля (полагаю тот что вы пинговали)

Сравните разницу.
Если есть значительная разница есть (пинг снаружи быстрее и не пропадает) и сервер не ваш - выберите другой сервер. Этот просто не справляется. Хотя возможен и вариант DPI пакостей от провайдера.
Если разницы почти нет, и пинги пропадают даже снаружи то поменяйте целевой сервер и/или провайдера.
Или сделайте "сервер проставку" между вами и целевым сервером.

Картинка - сотни слов дороже!!!

Включение отключение интерфейса в винде на какое-то время решает проблему, но потом эта хрень повторяется.

Какое отношение интерфейс винды имеет к туннелю?

Какая логика/схема маршрутизации? Default gate у микротиков - два? У каждого свой?

Что происходит на микротиках в плане CPU/RAM/traffic/количество сессий ?
Что происходит с пингом из офисных сетей в инет и на внешний IP противоположного офиса?
А что с пингом на оба внешних IP из интернета?

Мне нравится этот парень! :)
Люди ведут борьбу за то чтобы ни один пакет не "пролился" мимо VPN, и тут находится смельчак который хочет в обход VPN загрузить html страницу с сотнями "поводков" собирающими информацию о посетителе.

О структуре вашей сети ничего не известно поэтому буду импровизировать.

• Выключить VPN - всё нормализуется само собой. :)
  
• Удалить маршрут по умолчанию через VPN, перестать "PUSH-ить" его с сервера.
  
• Поднять VPN сервер у себя в сети :)
  
• Поднять у себя в локалке прокси. Настроить в браузере прокси. Если вдруг это будет другая подсеть то нужно прокинуть статический маршрут до прокси чтобы он был доступен с устройства.
  
• Запустите в локалке машину с браузером. Подключайтесь к нему через RDP или VNC из iOS
  
• есть несколько других способов но в разрезе iOS даже не знаю применимы ли они
  

Прописать маршрут в обход не получится. Вернее получится но криво. На любой html странице прилетает куча ссылок "поводков" в разные места интернета, осложняется всё ещё и тем что страницы динамические никогда не знаешь что на следующем запросе тебе пришлёт сервер.

Можно вопрос? Зачем Вам VPN ? Ответить можете в телеграме, конечно если у Вас он работает.

Измените конфиг
Напишите пути к сертификатм как положено для линукс (для винды пути с двумя слешами)
Смените расширение файла в .conf
добавьте
user nobody
group nobody
поставьте владельца root.root и права 600 для файлов и 700 для каталогов если ключи в подкаталогах.
установите OpenVPN
проверьте SELinux если вдруг сервер не стартует.
Обычно хватает restorecon -R /etc/openvpn/
И для лога, если он требуется, нужны правильные SELinux метки.
Не стартанёт - пишите разберёмся.

Пример: винда и линукс конфиг
==== openvpn.ovpn ====
client
dev tun
proto udp
remote 59.32.44.09 19745
resolv-retry infinite
nobind

persist-key
persist-tun

tls-auth "C:\\Program Files\\OpenVPN\\config\\vpn07.gw01.vpn.com-ta.key" 1
key "C:\\Program Files\\OpenVPN\\config\\vpn07.gw01.vpn.com-client1.key"
cert "C:\\Program Files\\OpenVPN\\config\\vpn07.gw01.vpn.com-client1.crt"
ca "C:\\Program Files\\OpenVPN\\config\\vpn07.gw01.vpn.com-ca.crt"

log "C:\\Program Files\\OpenVPN\\log\\openvpn.vpn07.gw01.vpn.com-client1.log"

remote-cert-tls server # OpenVPN 2.1 and above
ns-cert-type server # OpenVPN 2.0 and below

cipher AES-256-CBC
comp-lzo
verb 3

ping 10
ping-restart 60

==== openvpn.conf ====

client
dev tun # for linux you can sutup tun number for example tun1
proto udp
remote 59.32.44.09 19745
resolv-retry infinite
nobind

user nobody
group nobody

persist-key
persist-tun

tls-auth /etc/openvpn/certsvpn07/vpn07.gw01.vpn.com-ta.key 1
key /etc/openvpn/certsvpn07/vpn07.gw01.vpn.com-client1.key
cert /etc/openvpn/certsvpn07/vpn07.gw01.vpn.com-client1.crt
ca /etc/openvpn/certsvpn07/vpn07.gw01.vpn.com-ca.crt

log /var/log/openvpn.vpn07.gw01.vpn.com-client1.log
verb 3
mute 20

remote-cert-tls server # OpenVPN 2.1 and above
ns-cert-type server # OpenVPN 2.0 and below

cipher AES-256-CBC
comp-lzo

ping 10
ping-restart 60

Нужно передать DNS со стороны сервера на клиента , и на клиенте как уже сказали выше рубануть исходящий и входящий трафик на 53 порту везде кроме tun интерфейса.
Разумеется в этом случае адрес VPN сервера должен быть указал в цифровом виде. Не доменный.
iptables на клиенте будет выглядить как-то так:

-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o tun+ -j ACCEPT
-A OUTPUT -o eth0 -d adresservera -p udp -dport vpnport -j ACCEPT
-A OUTPUT -j DROP

кусочек конфига openvpn сервера:

push "dhcp-option DNS 10.1.10.1"
push "redirect-gateway"

Разумеется DNS должен быть проксирован или проброшен снаружи через туннель
Если всё ещё актуально, постучитесь в скайп - поясню/помогу.

Схема как я понял такая:
windows7 --> lubuntu --> router(pptp)

На lubuntu маршрутизация включена? IPv4 ?
Проверьте разрешён ли forward в iptables между интерфейсами внутренним там где виртуалка и внешним там где роутер. Нет ли блокировки по портам протоколам и целевым адресам.
Если на lubuntu Вы не используете NAT тогда роутер должен знать о том куда отправить ответ!!!
Тоесть в роутере должен быть роутинг в сеть где находится виртуалка через внешний интерфейс вашего lubuntu

windows7 проверить ping до lubuntu интерфейс который ближе интерфейс который дальше
затем проверить ping до router

Разумеется на пинг роутер и лубунту должны отвечать (ICMP)

На лубунте можно понаюлюдать за трафиком пинга

apt-get install tcpdump
# tcpdump -i any proto ICMP

Если сети разные то ключевое слово в ответе - routing

Все хосты в сети А должны знать что сеть Б находится за гейтом А1
(или если А1 является default gateway для хостов в сети А то он (А1) должен знать что сеть Б находится за роутером Б1)

Все хосты в сети Б должны знать что сеть А находится за гейтом Б1
(или если Б1 является default gateway для хостов в сети Б то он (Б1) должен знать что сеть А находится за роутером А1)

сеть А ==== А1 ---[VPN]--- Б1 ====== сеть Б

Работу с шифрованием хорошо начинать с освоения криптоматематики.
Она сразу поставит всё на свои места. Если осилите тогда дерзайте дальше.
Параллельно можно почитать классику в подлинниках например OpenVPN, IPSEC.
Постарайтесь найти проблемы в OpenVPN сравните потом свои достижения с результатами аудита кода профессионалами (как известно на аудит OpenVPN собраны деньги).

Дмитрий Шицков дело говорит!
Маршрутизируются только те пакеты которые должны идти в чужие сети!
У Вас обе сети по сути одна сеть. Имеется в виду сеть подкласса С, 254 адреса.
Ни один клиент в этой сети не пошлёт пакет в маршрутизатор пока он видит что пакет предназначен в его родную сеть.
Подсказка:
Если в сетях не более 126 хостов поделите их пополам маской.
Вот калькуляция.

[user001@localhost ~]$ ipcalc 192.168.0.0/24
Network:        192.168.0.0/24
Address space:  Private Use
Address class:  Class C
Netmask:        255.255.255.0 = 24
Broadcast:      192.168.0.255

HostMin:        192.168.0.1
HostMax:        192.168.0.254
Hosts/Net:      254

[user001@localhost ~]$ ipcalc 192.168.0.0/25
Network:        192.168.0.0/25
Address space:  Private Use
Address class:  Class C
Netmask:        255.255.255.128 = 25
Broadcast:      192.168.0.127

HostMin:        192.168.0.1
HostMax:        192.168.0.126
Hosts/Net:      126

[user001@localhost ~]$ ipcalc 192.168.0.128/25
Network:        192.168.0.128/25
Address space:  Private Use
Address class:  Class C
Netmask:        255.255.255.128 = 25
Broadcast:      192.168.0.255

HostMin:        192.168.0.129
HostMax:        192.168.0.254
Hosts/Net:      126

Когда получите свой VDS/VPS тогда пробросите всё что угодно. Сделаете SIP сервер в DMZ настроите роутинг через туннель и он целиком будет доступен в интернет.

Кстати при помощи внешнего сервера можете продиагностировать проблему провайдера. Какой протокол по каким портам они режут.

Определение:
Анонимность это Безименность, неизвестность; умолчание, скрытие имени.

Решение:
На пути между Вами и интернетом не должно быть ничего что может связать Вас с вашим соединением. И вы не можете вести себя как обычно. При этом Ваше обычное поведение в это же время должно быть записано ложно.

Кто Вы такой можно узнать
1) Финансовый след
приобретение устройств и услуг которые обеспечивали Ваш доступ в интернет
получение выгоды из интернета в виде финансов, товаров и услуг
2) Электронный след
IP, MAC, время, встроенные камеры, wifi, gsm, gps, микрофон.
операционные системы, программы, плагины и прочее.
эти людишки снующие вокруг с мобилами в которых стоит софт по сбору информации не только о владельце мобилы но и о окружающем радиоэфире. Координаты GPS, базовые станции GSM, WiFi хотспоты, bluethooth девайсы и т д. А вон блондинка говорит по телефону, а её камера втихаря снимает что Вы посмотрели в её сторону. Это не потому что на шпионка, а потому что ставит на телефон всё без разбору.
3) След метаданных
почерк: скорость, характерные особенности Вашей работы в интернет. Стиль набора текста на клавиатуре имеет свой отпечаток. Орфографические ошибки, исправляемые опечатки, пунктуация и т д. Строка поиска гугла в в любом браузере при помощи JS (если он разрешён) передаётся на сервер гугла непрерывно пока Вы печатаете. Считайте что информация о характере набора передаётся в интернет. Гугл делает всё чтобы знать вас в лицо даже если на нём находится маска. Не забываем про мышку или тачпад.
информация которую Вы ищете без маски анонимоуса может Вас выдать при попытке сделать тоже самое в маске. Нужно иметь чётко прописанные инструкции чего делать нельзя и чётко ограниченные действия. Ваша анонимная жизнь должна быть похожа на будни шпиона. Это самодисциплина, это труд, это постоянное пополнение знаний и применение их на практике. Очень сложно не спалиться на практике когда за тобой 24 часа следят и делают это ненапрягаясь.
с прискорбием помолчим о том что ваши друзья напротив вашего Ника или номера телефона заботливо напишут ваше имя дату рождения, отношение, фотографию и аплоаднут на эпл или гугл, а все приложения имеющие доступ к адресной книжке (а туда не лезет только ленивый) знают это сразу.

Подключение к интернету можно украсть, купить симку с GPRS у цыган, но как Вы спрячетесь от видеокамер заботливо расставляемых по всему миру. RFID чипы от банков, библиотек, метрополитена заботливо рассованны по вашим карманам. Удостоверение личности становится биометрическим и его наличие в кармане в общественном месте навязывается законом.
Чем современее компьютер телефон тем с больше вероятность наличия в нём заводского бэкдора на уровне чипов, или бэкдора от перекупщика или службы доставки. Вы думаете что установив Tails или Кали Линукс Вы решили проблему - ошибаетесь вам нужно ещё и собрать компьютер на лампах :). Или вот вы таскаете с собой свой телефон он дарит провадеру информацию о том где Вы находились 24 часа в сутки. Дарит ему Ваши ежедневные привычки. Вот Вася едет на работу, вот с работы. А вот внезапно Вася пропал с радаров, хотя обычно в это время он ездит по маршруту А или Б. Странненько. Аномалия. А теперь если вся эта информация попадает в одни руки и анализируется, что получается? Получается что круг подозреваемых резко сужается. Васю находят на камерах на Митино, он покупает симку у циган, или стоит около библиотеки в автомобиле с ноутбуком на коленях.

А то что Вася пользуется TOR, VPN и необычной операционкой это для провайдера не секрет. Просто ему до времени нет дела до Васи. Записанный трафик можно вскрывать и потом.

Так что подпишусь под словами АртемЪ
Хотите аномнимности в интернет, не пользуйтесь интернетом.

Схема непонятна.
Как я её вижу: Приходит пакет на Ваш публичный IP потом он зачем-то попадает в VPN после него он уходит в локальную сеть и там находит конечное устройство. Между вашим IP и локальной сетью включён VPN хотя обычно его включают между внешними публичными IP при передаче информации по чужим линиям связи.

Попробую угадать схему и проблему.
Вы пытаетесь подключившись снаружи через VPN добраться до устройства которое ничего не знает о Вашем существовании. Уточняю. Вы приходите из сети скажем с адресами 10.0.0.0/24, а устройство подключено в сеть с адресным пространством 192.168.1.0/24.
Вопросы:

• На конечном устройстве настроен Default Gate? Иначе оно не знает куда слать ответ в чужую сеть;
  
• Default Gate находится на том же ядре на котором поднят VPN? Иначе откуда ему знать где находится Gate для сети 10.0.0.0/24;
  
• Там где поднят VPN включена маршрутизация? И в ядре и в VPN?
  

Есть два пути:
1) настроить маршрутизацию
2) настроить порт форвардинг или DMZ

tcpdump Вам откроет все тайны сетей.

В дополнение решения с прокси, о которых уже высказались добавлю, что можно эти "некоторые" программы которые обязаны ходить только через TAP поставить в Виртуалку. И там же в виртуалке поднять этот TAP (но почему автор пишет TAP...). А снаружи и внутри резать весь исходящий трафик кроме того что идёт в адрес VPN сервера.
Но я не знаю как в Windows настроить per-interface rules для Firewall (просьба не путать с классами или типами).

Ошибка означает то что невозможно открыть ppp устройство. Скорее всего его нет.

Но что это за недо-VDS? OpenVZ? OpenVZ не подходит для целей VPN. Поменяйте на нормальный VDS где Вы сам себе админ. На нормальный гипервизор KVM, XEN, Vmware, Hyper-V.

Вы не написали где установлен OpenVPN и как устроена сеть.
Для windows
route print
или
ip route
линукс/мак
Смотритe куда настроен default gate или 0.0.0.0/0 на той машине где установлен OpenVPN.

В конфиг сервера нужно добавить:
script-security 2 # to run scripts
client-disconnect "scripts/on-client-disconnect.sh"

Заготовка скрипта.

/etc/openvpn/script/on-client-disconnect.sh

#!/bin/bash
## Parse variables

if [ ! -z "${time_ascii}" ]; then
  sessionStart=${time_ascii}
else
  sessionStart="UNSET"
fi

if [ ! -z "${trusted_ip}" ]; then
  clientHostAddress=${trusted_ip}
else
  clientHostAddress="UNSET"
fi

if [ ! -z "${username}" ]; then
  clientUID=${username}
else
  clientUID="UNSET"
fi

if [ ! -z "${time_duration}" ]; then
  sessionDuration=${time_duration}
else
  sessionDuration="UNSET"
fi

if [ ! -z "${bytes_sent}" ]; then
  txVolume=${bytes_sent}
else
  txVolume="UNSET"
fi

if [ ! -z "${bytes_received}" ]; then
  rxVolume=${bytes_received}
else
  rxVolume="UNSET"
fi

if [ ! -z "${common_name}" ]; then
  client_cn=${common_name}
else
  client_cn="UNSET"
fi

## Send to syslog
logger -t openvpn -- "Disconnect: CommonName: ${client_cn} Username: ${clientUID} HostIP: ${clientHostAddress} Duration: ${sessionDuration} seconds opened at ${sessionStart} Session Traffic: TX: ${txVolume} bytes RX: ${rxVolume} bytes"

В логе будут такие вот записи, которые Вы можете затем парсить.

Sep 17 17:02:35 gw1-vpn openvpn: Disconnect: CommonName: vpn-client14 Username: UNSET HostIP: 444.555.666.777 Duration: 755 seconds opened at Sat Sep 17 16:50:00 2016 Session Traffic: TX: 20676207 bytes RX: 3596392 bytes

В скрипте Вы всегда можете запустить export и слить его в файл. Увидите там переменные которые установил OpenVPN.

И не забудьте поставить для скрипта атрибут на запуск и добавить в selinux правило открывающее доступ openvpn демону к этому файлу.

Я бы поставил на статическом IP в интернете OpenVPN сервер. На Raspberry Pi OpenVPN клиент. Вернее настроил бы как клиента. Настроил бы iptables на нужные пробросы portforwarding или же включил бы маршрутизацию и анонсировал бы адрес Raspberry Pi на VPN сервер, а оттуда на клиентов которые будут к нему подключаться чтобы получить доступ к Raspberry Pi. Или http прямо на публичный интерфейс как у Вас нарисовано на схеме.

Выход наружу через виртуалку?
Основная система с гипервизором — Windows? Может ещё и Windows 10? Если это так то это всё слишком завёрнуто. Сделайте наоборот. Гипервизор на Linux на нём же поднять VPN и DNS и только уже внутри виртуальной машины запустить лучше линукс, но можно и Windows. Firewall настроить на хост системе так чтобы по умолчанию блокировал весь входящий и исходящий трафик. Затем потихоньку разрешать. В этом случае трафик отфильтруется очень просто.
Есть специально заточенные дистрибутивы Linux для таких целей. Например WHONIX.
Там две виртуалки, одна клиентская другая служит гейтом. Но всё это можно сделать самостоятельно на любом полноценном дистрибутиве Linux.

Ещё одна возможность, взять роутер который можно прошить OpenWRT на нём поднять VPN компьютер подключить к нему. Такой вариант наиболее надёжный. Роутер разумеется тоже нужно настроить чтобы при падении VPN не выбросил пакет в открытом виде.

На линукс, для того чтобы трафик не уходил в обход VPN нужно прописать правила для интерфейсов. Блокируем весь исходящий трафик кроме адреса на VPN сервер и даже порт прописать в правило. А остальной трафик в том числе DNS разрешить через TUNx интерфейс. Всё это очень просто. А вот как это сделать на Windows тем более средствами OpenSource файрволов — не знаю, сам ищу ответ.

Но вопрос слишком общий. Будут конкретные вопросы будут и конкретные ответы.

Если у вас нет рутового доступа к серверам, то это будет вложенный VPN.

Вам нужен роут через внешний интерфейс от вас до первого VPN1.
Затем внутр полученного TUN1 нужно положить роут до второго VPN2 поднимем и получим TUN2. В него нужно отправить роут до третьего VPN3. Поднять VPN3 и в полученный TUN3 отправить Default route.

Не забыть про DNS leak
Законопатить на клиенте Firewall так чтобы пакет ни один пакет не прошмыгнул через ваш WAN интерфейс. Через WAN вам позволяется только один путь IP VPN1:PORT. Всё остальное DROP.

Но логичнее взять три виртуалки и поднять свой нормальный трипл VPN с DNS.