Recentemente, durante a configuração do servidor VPN, a única coisa que enfrentei foi: não tenho acesso à Internet conectado através do meu servidor VPN. Na verdade eu uso o VPS (Debian 8), onde instalei uma VPN. O cliente se conecta normalmente Eu usei o comando trace route para detectar onde o tráfego para, e obviamente ele para no meu servidor VPN. Eu realmente não sei como lidar com isso. Qualquer um me ajude por favor :) Aqui está minha configuração do servidor e configuração do cliente. E sim, meu lado cliente é o Windows 7 e o 10.
Configuração do servidor.
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
Configuração do cliente. Nota: o IP do servidor está oculto.
client
dev tun
proto udp
remote 107.155.1x4.1x2 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca "C:\OVPN\ca.crt"
cert "C:\OVPN\client1.crt"
key "C:\OVPN\client1.key"
ns-cert-type server
comp-lzo
verb 3
Do lado do cliente, tentei testar o servidor DNS do Google 8.8.8.8 - ainda assim, isso não funciona. Eu acho que o problema está em algumas das interfaces no lado do servidor, que são abertas para a internet. Então, qualquer um que sugira algo, apenas me ajude com conselhos úteis.
"Adicione a saída dos seguintes comandos, por favor: sysctl net.ipv4.ip_forward, iptables-save, ip route show. No cliente talvez: route print. - rda"
1) O outuput para sysctl net.ipv4.ip_forward
é
net.ipv4.ip_forward = 1
2) A saída para ip route show
é
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1
10.8.0.0/24 via 10.8.02 dev tun0
default dev venet0 scope link
3) E Outuput para iptables-save
é
*mangle
:PREROUTING ACCEPT [241673:29858781]
:INPUT ACCEPT [232866:29385621]
:FORWARD ACCEPT [8803:472884]
:OUTPUT ACCEPT [250884:4018010]
:POSTROUTING ACCEPT [259688:40653794]
COMMIT
*filter
:INPUT ACCEPT [232866:29385621]
:FORWARD ACCEPT [8804:472884]
:OUTUPUT ACCEPT [250884:40180910]
COMMIT
*nat
:PREROUTING ACCEPT [20668:1262348]
:POSTROUTING ACCEPT [14826:1006759]
:OUTPUT ACCEPT [10970:791257]
COMMIT
*raw
:PREROUTING ACCEPT [241673:29858781]
:OUTPUT ACCEPT [250884:40180910]
COMMIT
11 de junho
Eu acredito que o problema está nas tabelas de roteamento, eu executei o comando - netstat -nr
, e surpreendentemente eu descobri que na minha tabela de roteamento eu tenho endereços IP estranhos que são atribuídos apenas para VPN usando. **
Aqui, dê uma olhada:
Tabela de roteamento de IP do kernel (Observação: os parâmetros da tabela de roteamento são os seguintes na coluna (!), Ex: o IP da tabela de roteamento recebe todos os primeiros parâmetros da primeira coluna e três parâmetros MSS Window irtt
são iguais para cada valor da tabela de roteamento.
Destination face 10.8.0.2 un0 10.8.0.0 un0 0.0.0.0 enet0
Gateway face 0.0.0.0 un0 10.8.0.2 un0 0.0.0.0 enet0
Genmask face 255.255.255.255 un0 255.255.255.0 un0 0.0.0.0 enet0
Flags face UH un0 UG un0 U enet0
MSS Window irtt face 0 0 0 un0 0 0 0 un0 0 0 0 enet0
15 de junho
Ei amigo! Obrigado pela sua resposta novamente!
a saída para ip route show
é:
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1 10.8.0.0/24 via
10.8.0.2 dev tun0 default dev venet0 scope link
a saída para o seguinte comando no VPS ip route get 8.8.8.8
is (Nota: o endereço IP está oculto):
8.8.8.8 dev venet0 src 107.155.1x4.1x2
cache mtu 1500 advmss 1460 hoplimit 64
No lado do cliente - eu usei este comando route print
- Eu tenho uma grande página de endereços IP, mas não sei o que é importante aqui para resolver este problema ...
Quais são os próximos passos?
Um grande obrigado a você novamente por sua ajuda, realmente
Atualização 15 de junho
Então aqui está a saída para o comando route print
no windows client:
IPv4 Route Table
===========================================================================
Active routes:
Network address Subnet mask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.88.1 192.168.88.208 20
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.50.0 255.255.255.0 On-link 192.168.50.1 276
192.168.50.1 255.255.255.255 On-link 192.168.50.1 276
192.168.50.255 255.255.255.255 On-link 192.168.50.1 276
192.168.56.0 255.255.255.0 On-link 192.168.56.1 266
192.168.56.1 255.255.255.255 On-link 192.168.56.1 266
192.168.56.255 255.255.255.255 On-link 192.168.56.1 266
192.168.88.0 255.255.255.0 On-link 192.168.88.208 276
192.168.88.208 255.255.255.255 On-link 192.168.88.208 276
192.168.88.255 255.255.255.255 On-link 192.168.88.208 276
192.168.100.0 255.255.255.0 On-link 192.168.100.1 276
192.168.100.1 255.255.255.255 On-link 192.168.100.1 276
192.168.100.255 255.255.255.255 On-link 192.168.100.1 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.88.208 276
224.0.0.0 240.0.0.0 On-link 192.168.100.1 276
224.0.0.0 240.0.0.0 On-link 192.168.50.1 276
224.0.0.0 240.0.0.0 On-link 192.168.56.1 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.88.208 276
255.255.255.255 255.255.255.255 On-link 192.168.100.1 276
255.255.255.255 255.255.255.255 On-link 192.168.50.1 276
255.255.255.255 255.255.255.255 On-link 192.168.56.1 266
===========================================================================
Permanent routes:
Atualização de 17 de junho
Hey amigo, eu tentei usar esses comandos que permitem NAT no servidor, infelizmente, novamente, não funciona. A saída para ip route show
é a mesma que era antes:
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1
10.8.0.0/24 via 10.8.0.2 dev tun0
default dev venet0 scope link
Esses comandos que você me deu estavam funcionando sem problemas, mas não trouxeram resultados. Assim, a nova rota IP simplesmente não aparece na saída! Tentei adicionar a mesma rota de maneiras diferentes, até mudei a máscara de / 16 para / 24, ainda nada.
A única coisa importante que me fez sentir estranho é - eu tenho o meu OVPN Gui no lado do cliente, e eu sei que a internet não funciona, e o que eu vejo, do começar minha página no Facebook começa a carregar, mas outros como google.com ou linkedin.com - ou qualquer outro site - eles simplesmente não abrem ...
Algumas pequenas coisas sobre o meu provedor de VPS, na página de Perguntas frequentes, eles dizem o seguinte:
**22
Do you support TUN/TAP? IPSEC?
Yes, TUN/TAP and IPSEC are enabled on all VPS by default.**
**2
What kind of virtualization is offered/used?
We utilize OpenVZ on our infrastructure. If you require KVM virtualization we recommend SpeedyKVM.**
O que este problema pode ser? E como podemos superar isso?
Novamente muito obrigado a você!