Почему не запускается OpenVPN?

Question

Max Payne @YardalGedal

yeah boy

Почему не запускается OpenVPN?

Настроил сервер (на KVM VPS) и клиент OpenVPN по этому мануалу. Далее подключился клиентом к серверу, и в логах сервера увидел следующую строку

primary virtual IP for client/ip_сервера:18766: 10.8.0.6

Мне нужно чтобы все запросы приходящие на

http://ip_сервера # 80 port
https://ip_сервера # 443 port

уходили на клиентский сервер. Настроил iptables (который почему-то не был установлен на VPS) следующим образом:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.8.0.6:80
iptables -t nat -A PREROUTING -p udp --dport 80 -j DNAT --to-destination 10.8.0.6:80
iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 10.8.0.6:443
iptables -t nat -A PREROUTING -p udp --dport 443 -j DNAT --to-destination 10.8.0.6:443
iptables -t nat -A POSTROUTING -j MASQUERADE

Но, почему-то, не работает.

netstat -tuwpan

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      544/sshd
tcp        0    276 ip_сервера:22         37.45.244.85:48312      ESTABLISHED 771/1
tcp        0      0 ip_сервера:22         37.45.211.79:31138      ESTABLISHED 572/0
tcp6       0      0 :::22                   :::*                    LISTEN      544/sshd
udp        0      0 0.0.0.0:1194            0.0.0.0:*                           333/openvpn

Вопрос задан более трёх лет назад
3402 просмотра

Комментировать

Подписаться 1 Средний Комментировать

Решения вопроса 1

Комментировать

Пригласить эксперта

Ответы на вопрос 1

8 комментариев

Max Payne @YardalGedal Автор вопроса

Можно поподробней? Если есть какой-нибудь мануал - пришлите ссылку и дополните им ответ.

Написано более трёх лет назад
Максим Гришин @vesper-bot

DNAT правильно делать как преобразование одной пары IP:port в другую пару IP:port, и для полноты картины фильтровать по интерфейсу. Например, нужно пробросить порт 80 с айпишника 1.2.3.4 на 10.8.0.6, пишешь:

iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp --dport 80 -j DNAT --to-destination=10.8.0.6:80

У тебя в правилах отсутствует -d IP, в результате если твой сервер из-за впн полезет на http://куда-нибудь.ком, пакет будет оттранслирован на IP 10.8.0.6, потому что у него destination port 80.

То же с маскарадом - маскарадить нужно только пакеты, которые уходят в интернет из локальной сети, иначе приходящий из интернета ответный пакет будет SNAT'ен в внутренний адрес VPS. Т.е. пакет, который идет в 10.8.0.6, маскарадить нельзя, иначе клиент на второй стороне VPN получит ответ от непонятного адреса. Если на второй стороне есть подсеть, скажем, x.x.x.0/24, нужно её писать в правилах, вроде такого:

iptables -t nat -I POSTROUTING 1 -d x.x.x.0/24 -o eth0 -j ACCEPT

eth0 тут интерфейс, который смотрит в VPN. Если там L2TP/PPTP, то интерфейс будет ppp0 (в общем виде ppp+), и писать тогда надо его.

Вообще тема большая, я начитался довольно большого количества манов по iptables, включая отдельно ман по нату типа вот этого wm-help.net/lib/b/book/1259475082/141

Написано более трёх лет назад
Max Payne @YardalGedal Автор вопроса

Максим Гришин, вместо 1.2.3.4 мне нужно указывать локальный адрес 10.8.0.1 или глобальный 37.37.37.37, например?

Написано более трёх лет назад

Max Payne @YardalGedal Автор вопроса

Максим Гришин, Не совсем понимаю зачем мне вообще маскарад.
Я полностью почистил ipatables, в том числе iptables -F, сделал 4 записи и перезагрузил VPS - результата никакого.

iptables -t nat -A PREROUTING -d 37.46.130.61 -p tcp --dport 80 -j DNAT --to-destination=10.8.0.6:80
iptables -t nat -A PREROUTING -d 37.46.130.61 -p tcp --dport 443 -j DNAT --to-destination=10.8.0.6:443
iptables -t nat -A PREROUTING -d 37.46.130.61 -p udp --dport 80 -j DNAT --to-destination=10.8.0.6:80
iptables -t nat -A PREROUTING -d 37.46.130.61 -p udp --dport 443 -j DNAT --to-destination=10.8.0.6:443

iptables -t nat -A POSTROUTING -d 10.8.0.6 -p tcp --dport 80 -j SNAT --to-source 10.8.0.1
 iptables -t nat -A POSTROUTING -d 10.8.0.6 -p tcp --dport 443 -j SNAT --to-source 10.8.0.1
 iptables -t nat -A POSTROUTING -d 10.8.0.6 -p udp --dport 80 -j SNAT --to-source 10.8.0.1
 iptables -t nat -A POSTROUTING -d 10.8.0.6 -p udp --dport 443 -j SNAT --to-source 10.8.0.1

Написано более трёх лет назад

Максим Гришин @vesper-bot

Max Payne, PREROUTING - OK, POSTROUTING лишний - соединения идут внутрь. А на каком порту у вас работает openvpn? Если как в мануале (1194) то нормально. Если на 443, тогда трафик на него может DNAT'иться и openvpn поломается.

Маскарад нужен, если вы после соединения с сервером полезете с него в интернет, в этом случае пакеты должны уходить от "имени" публичного адреса. Соответственно, маскараду подлежат только пакеты с сервера в интернет, а пакеты в VPN - нет.

Написано более трёх лет назад
Max Payne @YardalGedal Автор вопроса

Максим Гришин, так ответ ведь нужно вернуть. Клиент -> впс -> домашний сервер -> впс -> клиент

Написано более трёх лет назад
Максим Гришин @vesper-bot

Max Payne, за обратное транслирование ответа отвечает вход в нат-таблице, создающийся при обработке файрволлом syn-пакета. Модуль conntrack (state) в iptables. Кстати, правило iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT именно разрешает трафик, относящийся к установленному или устанавливаемому соединению, и должно быть (в INPUT, если трафик от локалхоста, в FORWARD, если хост - роутер) в принципе всегда.

Написано более трёх лет назад
Max Payne @YardalGedal Автор вопроса

Максим Гришин, Хм, а есть простой способ как ВЕСЬ (вне зависимости от порта) трафик приходящий на VPS пересылать клиенту + ВСЕ ответы клиента возвращать пользователю?

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Linux

+3 ещё

Простой
Как решить проблемы с клавиатурой в файловом менеджере far2l в Ubuntu 24.04 в сеансе Wayland?
- 1 подписчик
- 2 часа назад
- 49 просмотров
1

ответ
Linux

+1 ещё

Простой
BigBlueButton ошибка подключения по 443 порту?
- 1 подписчик
- 7 часов назад
- 139 просмотров
1

ответ
Linux

+2 ещё

Простой
Linphone, sip keepalife или что?
- 2 подписчика
- 7 часов назад
- 105 просмотров
1

ответ
VPN

Простой
Как скрыть, что пользуешься VPN в играх?
- 2 подписчика
- 12 часов назад
- 629 просмотров
1

ответ
Linux

+2 ещё

Средний
Почему не получается произвести аутентификацию нод?
- 1 подписчик
- вчера
- 67 просмотров
0

ответов
Linux

+1 ещё

Простой
Как сделать так, чтобы программы не закрывались при входе системы в режим ожидания?
- 1 подписчик
- вчера
- 69 просмотров
0

ответов
Linux

+1 ещё

Простой
Что за файлы и как с ними жить дальше?
- 3 подписчика
- вчера
- 1134 просмотра
1

ответ
Linux

+2 ещё

Простой
Почему в centos lvm не видит pv на shared iscsi lun?
- 2 подписчика
- вчера
- 67 просмотров
1

ответ
Linux

+2 ещё

Простой
Как правильно настроить SSH и RDP через reverse ssh через третий хост?
- 1 подписчик
- вчера
- 84 просмотра
0

ответов
Linux

+2 ещё

Простой
Как создать ICQ сервер?
- 1 подписчик
- вчера
- 309 просмотров
2

ответа
Показать ещё Загружается…

Программист C для Embedded Linux

Radiofid • Санкт-Петербург

от 120 000 до 180 000 ₽

Linux Администратор DevOps

ИМАГ • Москва

от 150 000 до 170 000 ₽

Программист C/C++ embedded Linux

РТК Автоматика • Москва

от 170 000 до 250 000 ₽

Написать модуль подключения матрицы Sony к ПЛИС (Verilog)

26 апр. 2024, в 21:30

15000 руб./за проект

8266 f12 требуется сделать ревью и оптимизировать работу

26 апр. 2024, в 20:42

2000 руб./за проект

Доработать и интегрировать модуль на WordPress

26 апр. 2024, в 19:53

5000 руб./за проект

Answer 1 · 2017-12-29 17:21:00

Нашёл решение для себя отказавшись от использования iptables
Все манипуляции производил на VPS
1. Сначала очистил iptables, чтобы устаревшие правила никак не повлияли на будущую работу
iptables -F
2. Далее установил nginx
sudo apt-get install nginx
3. И в его конфиге прописал настройки для использования его в качестве прокси-сервера с перенаправлением на локальный сервер без статического айпи

user www-data;
worker_processes auto;
pid /run/nginx.pid;
events {
        worker_connections 768;
        multi_accept on;
}
http {
        sendfile on;
        keepalive_timeout 15;
        proxy_buffers 8 64k;
        proxy_intercept_errors on;
        proxy_connect_timeout 1s;
        proxy_read_timeout 3s;
        proxy_send_timeout 3s;
        server {
            listen 80;
            server_name a.ru b.ru;
            access_log /var/log/nginx/1.access_log;
            error_log /var/log/nginx/1.error_log warn;
            charset utf-8;
            ssi on;
            ssi_value_length 1024;
            location / {
                proxy_pass http://10.8.0.6:9000;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_intercept_errors off;
                proxy_read_timeout 5s;
                proxy_send_timeout 3s;
                gzip on;
                gzip_min_length 1024;
                gzip_proxied expired no-cache no-store private auth;
                gzip_types text/plain application/xml;
            }
        }
}

Answer 2 · 2017-12-06 12:03:41

Пакеты, уходящие в VPN, нельзя натить. Добавляйте в POSTROUTING в начало правила для ACCEPT'a пакетов, которые должны лезть в VPN.
Кроме того, а где фильтрация по destination IP в правилах SNAT? Иначе весь HTTP/S трафик вместе с транзитным (возможно, исключая OpenVPN, но не факт) будет отправлен на 10.8.0.6.

Почему не запускается OpenVPN?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт