Clientes VPN que não chegam à Internet

2

Recentemente, durante a configuração do servidor VPN, a única coisa que enfrentei foi: não tenho acesso à Internet conectado através do meu servidor VPN. Na verdade eu uso o VPS (Debian 8), onde instalei uma VPN. O cliente se conecta normalmente Eu usei o comando trace route para detectar onde o tráfego para, e obviamente ele para no meu servidor VPN. Eu realmente não sei como lidar com isso. Qualquer um me ajude por favor :) Aqui está minha configuração do servidor e configuração do cliente. E sim, meu lado cliente é o Windows 7 e o 10.

Configuração do servidor.

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

Configuração do cliente. Nota: o IP do servidor está oculto.

client
dev tun
proto udp
remote 107.155.1x4.1x2 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca "C:\OVPN\ca.crt"
cert "C:\OVPN\client1.crt"
key "C:\OVPN\client1.key"
ns-cert-type server
comp-lzo
verb 3

Do lado do cliente, tentei testar o servidor DNS do Google 8.8.8.8 - ainda assim, isso não funciona. Eu acho que o problema está em algumas das interfaces no lado do servidor, que são abertas para a internet. Então, qualquer um que sugira algo, apenas me ajude com conselhos úteis.

"Adicione a saída dos seguintes comandos, por favor: sysctl net.ipv4.ip_forward, iptables-save, ip route show. No cliente talvez: route print. - rda"

1) O outuput para sysctl net.ipv4.ip_forward é

net.ipv4.ip_forward = 1

2) A saída para ip route show é

10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1
10.8.0.0/24 via 10.8.02 dev tun0
default dev venet0 scope link

3) E Outuput para iptables-save é

*mangle
:PREROUTING ACCEPT [241673:29858781]
:INPUT ACCEPT [232866:29385621]
:FORWARD ACCEPT [8803:472884]
:OUTPUT ACCEPT [250884:4018010]
:POSTROUTING ACCEPT [259688:40653794]
COMMIT
*filter
:INPUT ACCEPT [232866:29385621]
:FORWARD ACCEPT [8804:472884]
:OUTUPUT ACCEPT [250884:40180910]
COMMIT
*nat
:PREROUTING ACCEPT [20668:1262348]
:POSTROUTING ACCEPT [14826:1006759]
:OUTPUT ACCEPT [10970:791257]
COMMIT
*raw
:PREROUTING ACCEPT [241673:29858781]
:OUTPUT ACCEPT [250884:40180910]
COMMIT

11 de junho

Eu acredito que o problema está nas tabelas de roteamento, eu executei o comando - netstat -nr , e surpreendentemente eu descobri que na minha tabela de roteamento eu tenho endereços IP estranhos que são atribuídos apenas para VPN usando. **

Aqui, dê uma olhada:

Tabela de roteamento de IP do kernel (Observação: os parâmetros da tabela de roteamento são os seguintes na coluna (!), Ex: o IP da tabela de roteamento recebe todos os primeiros parâmetros da primeira coluna e três parâmetros MSS Window irtt são iguais para cada valor da tabela de roteamento.

Destination face 10.8.0.2 un0 10.8.0.0 un0 0.0.0.0 enet0 

Gateway face 0.0.0.0 un0 10.8.0.2 un0 0.0.0.0 enet0 

Genmask face 255.255.255.255 un0 255.255.255.0 un0 0.0.0.0 enet0 

Flags face UH un0 UG un0 U enet0 

MSS Window irtt face 0 0 0 un0 0 0 0 un0 0 0 0 enet0

15 de junho

Ei amigo! Obrigado pela sua resposta novamente!

a saída para ip route show é:

10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1 10.8.0.0/24 via 
10.8.0.2 dev tun0 default dev venet0 scope link 

a saída para o seguinte comando no VPS ip route get 8.8.8.8 is (Nota: o endereço IP está oculto):

8.8.8.8 dev venet0 src 107.155.1x4.1x2 
    cache mtu 1500 advmss 1460 hoplimit 64

No lado do cliente - eu usei este comando route print - Eu tenho uma grande página de endereços IP, mas não sei o que é importante aqui para resolver este problema ...

Quais são os próximos passos?

Um grande obrigado a você novamente por sua ajuda, realmente

Atualização 15 de junho

Então aqui está a saída para o comando route print no windows client:

IPv4 Route Table
===========================================================================
Active routes:
Network address        Subnet mask        Gateway          Interface   Metric
          0.0.0.0          0.0.0.0     192.168.88.1   192.168.88.208     20
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
     192.168.50.0    255.255.255.0         On-link      192.168.50.1    276
     192.168.50.1  255.255.255.255         On-link      192.168.50.1    276
   192.168.50.255  255.255.255.255         On-link      192.168.50.1    276
     192.168.56.0    255.255.255.0         On-link      192.168.56.1    266
     192.168.56.1  255.255.255.255         On-link      192.168.56.1    266
   192.168.56.255  255.255.255.255         On-link      192.168.56.1    266
     192.168.88.0    255.255.255.0         On-link    192.168.88.208    276
   192.168.88.208  255.255.255.255         On-link    192.168.88.208    276
   192.168.88.255  255.255.255.255         On-link    192.168.88.208    276
    192.168.100.0    255.255.255.0         On-link     192.168.100.1    276
    192.168.100.1  255.255.255.255         On-link     192.168.100.1    276
  192.168.100.255  255.255.255.255         On-link     192.168.100.1    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link    192.168.88.208    276
        224.0.0.0        240.0.0.0         On-link     192.168.100.1    276
        224.0.0.0        240.0.0.0         On-link      192.168.50.1    276
        224.0.0.0        240.0.0.0         On-link      192.168.56.1    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link    192.168.88.208    276
  255.255.255.255  255.255.255.255         On-link     192.168.100.1    276
  255.255.255.255  255.255.255.255         On-link      192.168.50.1    276
  255.255.255.255  255.255.255.255         On-link      192.168.56.1    266
===========================================================================
Permanent routes:

Atualização de 17 de junho

Hey amigo, eu tentei usar esses comandos que permitem NAT no servidor, infelizmente, novamente, não funciona. A saída para ip route show é a mesma que era antes:

10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1
10.8.0.0/24 via 10.8.0.2 dev tun0
default dev venet0 scope link

Esses comandos que você me deu estavam funcionando sem problemas, mas não trouxeram resultados. Assim, a nova rota IP simplesmente não aparece na saída! Tentei adicionar a mesma rota de maneiras diferentes, até mudei a máscara de / 16 para / 24, ainda nada.

A única coisa importante que me fez sentir estranho é - eu tenho o meu OVPN Gui no lado do cliente, e eu sei que a internet não funciona, e o que eu vejo, do começar minha página no Facebook começa a carregar, mas outros como google.com ou linkedin.com - ou qualquer outro site - eles simplesmente não abrem ...

Algumas pequenas coisas sobre o meu provedor de VPS, na página de Perguntas frequentes, eles dizem o seguinte:

**22
    Do you support TUN/TAP? IPSEC?

    Yes, TUN/TAP and IPSEC are enabled on all VPS by default.**


**2
What kind of virtualization is offered/used?

We utilize OpenVZ on our infrastructure. If you require KVM virtualization we recommend SpeedyKVM.**

O que este problema pode ser? E como podemos superar isso?

Novamente muito obrigado a você!

    
por woozyman 10.06.2016 / 11:34

1 resposta

0

Você precisa ativar o NAT no servidor.

SNAT para endereço IP estático:

iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -o <if> -j SNAT --to <ip>

Ou, se você tiver um endereço IP atribuído dinamicamente, use MASQUERADE (mais lento):

iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -o <if> -j MASQUERADE

enquanto

  • <if> é o nome da interface externa (por exemplo, venet0 )
  • <ip> é o endereço IP da interface externa
por 12.06.2016 / 18:12