Como configuro o OpenVPN para acessar a Internet com uma NIC? [fechadas]

2

Depois de ler muitas perguntas, o HOWTO , o FAQ e até partes de um guia às redes Linux , não consigo obter uma conexão com a Internet à Internet.

Estou tentando configurar um servidor OpenVPN em um VPS, que será usado para:

  • acesso seguro à Internet
  • ignorando restrições de porta (directadmin / 2222, por exemplo)
  • uma conexão IPv6 (meu cliente só tem conectividade IPv4, enquanto o VPS tem conectividade IPv4 e IPv6 nativa) (se possível)

Eu posso conectar-me ao meu servidor e acessar a máquina (HTTP), mas a conectividade com a Internet falha completamente. Estou usando ping 8.8.8.8 para testar se minha conexão funciona ou não.

Usando tcpdump e iptables -t nat -A POSTROUTING -j LOG , posso confirmar que os pacotes chegam ao meu servidor. Se eu pingar para 8.8.8.8 no VPS, recebo um echo-reply de 8.8.8.8 conforme o esperado. Ao fazer o ping do cliente, não obtenho um echo-reply .

O VPS tem apenas um NIC: etho . Ele é executado no Xen. Eu gostaria de evitar a ponte de rede (br0).

Resumo: Eu quero ter uma conexão segura entre meu laptop e a Internet usando o OpenVPN. Se isso funcionar, também quero ter conectividade IPv6.

Configuração de rede e software:

 Home laptop    (eth0: 192.168.2.10) (tap0: 10.8.0.2)
  |      |       (running Kubuntu 10.10; OpenVPN 2.1.0-3ubuntu1)
  | wifi |
router/gateway  (gateway 192.168.2.1)
      |
  INTERNET
      |
     VPS        (eth0:1.2.3.4)       (gateway, tap0: 10.8.0.1)
                  (running Debian 6; OpenVPN 2.1.3-2)

O wifi e meu roteador doméstico não devem causar problemas, pois todo o tráfego é criptografado pela porta UDP 1194.

Transformei o encaminhamento de IP em:

# echo 1 > /proc/sys/net/ipv4/ip_forward

iptables foi configurado para permitir o encaminhamento de tráfego também:

iptables -F FORWARD
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -A FORWARD -j DROP

Eu tentei cada uma dessas regras separadamente sem sorte (liberando as correntes antes de executar):

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to 1.2.3.4
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

route -n before (servidor):

1.2.3.4         0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         1.2.3.4         0.0.0.0         UG    0      0        0 eth0

route -n after (servidor):

1.2.3.4         0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
0.0.0.0         1.2.3.4         0.0.0.0         UG    0      0        0 eth0

route -n antes (cliente):

192.168.2.0     0.0.0.0         255.255.255.0   U     2      0        0 wlan0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 wlan0
0.0.0.0         192.168.2.1     0.0.0.0         UG    0      0        0 wlan0

route -n after (client):

1.2.3.4         192.168.2.1     255.255.255.255 UGH   0      0        0 wlan0
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
192.168.2.0     0.0.0.0         255.255.255.0   U     2      0        0 wlan0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 wlan0
0.0.0.0         10.8.0.1        128.0.0.0       UG    0      0        0 tap0
128.0.0.0       10.8.0.1        128.0.0.0       UG    0      0        0 tap0
0.0.0.0         192.168.2.1     0.0.0.0         UG    0      0        0 wlan0

Configuração do SERVIDOR

proto udp
dev tap
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1"
ifconfig-pool-persist ipp.txt
keepalive 10 120
tls-auth ta.key 0
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
log-append openvpn-log
verb 3
mute 10

Configuração CLIENT

dev tap
proto udp
remote 1.2.3.4 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
tls-auth ta.key 1
comp-lzo
user nobody
group nogroup
verb 3
mute 20

traceroute 8.8.8.8 funciona como esperado (saída similar sem o OpenVPN ativado):

 1  10.8.0.1 (10.8.0.1)  24.276 ms  26.891 ms  29.454 ms
 2  gw03.sbp.directvps.nl (178.21.112.1)  31.161 ms  31.890 ms  34.458 ms
 3  ge0-v0652.cr0.nik-ams.nl.as8312.net (195.210.57.105)  35.353 ms  36.874 ms  38.403 ms
 4  ge0-v3900.cr0.nik-ams.nl.as8312.net (195.210.57.53)  41.311 ms  41.561 ms  43.006 ms
 5  * * *
 6  209.85.248.88 (209.85.248.88)  147.061 ms  36.931 ms  28.063 ms
 7  216.239.49.36 (216.239.49.36)  31.109 ms  33.292 ms 216.239.49.28 (216.239.49.28)  64.723 ms
 8  209.85.255.130 (209.85.255.130)  49.350 ms 209.85.255.126 (209.85.255.126)  49.619 ms 209.85.255.122 (209.85.255.122)  52.416 ms
 9  google-public-dns-a.google.com (8.8.8.8)  41.266 ms  44.054 ms  44.730 ms

Se você tiver alguma sugestão, por favor, comente ou responda.

Obrigado antecipadamente.

    
por Lekensteyn 15.02.2011 / 00:30

2 respostas

3

Isso se tornou um problema no lado dos provedores, eles tinham configurações de rede desatualizadas para o Xen. Para a jornada do IPv6, consulte Como posso configurar o OpenVPN com IPv4 e IPv6 usando um dispositivo de toque? .

    
por 21.02.2011 / 23:58
0

Não tenho certeza se estou indo para algo aqui, mas parece que você permite o encaminhamento quando a origem é 10.8.0.0/24, portanto, como você espera que a resposta do destino 8.8.8.8 passe para 10.8. 0.0 / 24 então?

    
por 15.02.2011 / 09:41

Tags