OpenVPN

spool · Сообщение **spool** » 03.08.2015 17:07

Приветствую. Установил на вдс openvpn сервер и пытаюсь подключится к нему с kubuntu. Если подключаться через консоль посредством

Код: Выделить всё

sudo openvpn client.conf

то все проходит нормально и в логах сервера вижу это подключение, но трафик все равно не идет через впн и на сайтах отображается реальный IP. Виртуальный IP внутри туннеля при этом с клиентской машины пингуется.
Если же настроить соединение через network manager, то при попытке подключения нет никакой реакции как в самом NM, так и в логах сервера.
До этого момента нужды в vpn не было, поэтому не имею опыта настройки. Делал по инструкции. Что я сделал не так? Заранее благодарен.

s.xbatob · Сообщение **s.xbatob** » 03.08.2015 17:30

А вы чего хотите?
Если анонимайзер, то так и спрашивайте. Надо у себя добавить маршрут на сервер через старый шлюз, а маршрут по умолчанию - в туннель. Ни того, ни другого он сам не сделает - он вообще-то на такое применение изначально не рассчитан.
Если доступ в удалённую локальную сеть, то, вероятно, сервер вам не "вытолкал" нужный маршрут или много чего ещё не...
В любом случае смотрите маршрутизацию у себя и на сервере.

spool · Сообщение **spool** » 03.08.2015 17:38

Думал, что анонимайзер иет "из коробки". Но мне изначально нужно шифрование трафика, ибо долгое время планирую использовать открытую сеть. Могли бы вы скинуть ман, как прокинуть нужные маршруты?

MrClon · Сообщение **MrClon** » 03.08.2015 18:43

s.xbatob писал(а): ↑
03.08.2015 17:30
Надо у себя добавить маршрут на сервер через старый шлюз

Если речь о маршруте до VPN сервера то этот маршрут OpenVPN клиент создаёт автоматически. По крайней мере если сервер пушит клиенту хоть какие-то маршруты.
А вот новый маршрут по умолчанию конечно-же сам не появится.

spool · Сообщение **spool** » 03.08.2015 21:07

Роут на сервере

Код: Выделить всё

default         185.86.хх.х     0.0.0.0         UG    0      0        0 eth0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
185.86.хх.х     *               255.255.255.0   U     0      0        0 eth0

Роут на клиенте

Код: Выделить всё

default         192.168.1.1     0.0.0.0         UG    0      0        0 eth0
10.8.0.1        10.8.0.5        255.255.255.255 UGH   0      0        0 tun0
10.8.0.5        *               255.255.255.255 UH    0      0        0 tun0
10.8.0.5        *               255.255.255.255 UH    0      0        0 tun1
192.168.1.0     *               255.255.255.0   U     1      0        0 eth0

Но, в то же время, шифрования не происходит, хотя подключение к серверу в логах на сервере отображается. Шифрование включено. Ниже привожу часть вывода tcpdump

Spoiler

$ sudo tcpdump -i eth0
20:59:56.896632 IP 192.168.1.100.64784 > 192.168.1.1.domain: 16304+ A? vk.com. (24)
20:59:56.914940 IP 192.168.1.1.domain > 192.168.1.100.64784: 16304 3/0/0 A 87.240.131.99, A 87.240.143.241, A 87.240.131.97 (72)
20:59:56.915285 IP 192.168.1.100.36851 > srv99-131-240-87.vk.com.http: Flags [S], seq 541259284, win 29200, options [mss 1460,sackOK,TS val 11258507 ecr 0,nop,wscale 7], length 0
20:59:56.916817 IP gameua.su.openvpn > 192.168.1.100.43460: UDP, length 53
20:59:56.970039 IP srv99-131-240-87.vk.com.http > 192.168.1.100.36851: Flags [S.], seq 3397782899, ack 541259285, win 14480, options [mss 1460,sackOK,TS val 232744234 ecr 11258507,nop,wscale 2], length 0
20:59:56.970097 IP 192.168.1.100.36851 > srv99-131-240-87.vk.com.http: Flags [.], ack 1, win 229, options [nop,nop,TS val 11258521 ecr 232744234], length 0
20:59:56.970345 IP 192.168.1.100.36851 > srv99-131-240-87.vk.com.http: Flags [P.], seq 1:848, ack 1, win 229, options [nop,nop,TS val 11258521 ecr 232744234], length 847

Куда можно копнуть?

MrClon · Сообщение **MrClon** » 03.08.2015 21:18

Код: Выделить всё

default         192.168.1.1     0.0.0.0         UG    0      0        0 eth0

Вот эта вот строчка означает что трафик в интернеты пойдёт через хост 192.168.1.1 (скорее всего это твой домашний роутер).

P.S. в пиведённом выхлопе tcpdump ничего не указывает на то что шифрование не работает (или что оно работает). Виден трафик до вконтакта и один пакет от OpenVPN сервера.
Шифрование это про то в каком виде передаётся трафик, а не про то куда идёт пакеты.

spool · Сообщение **spool** » 03.08.2015 23:39

MrClon да, но разве должен быть виден контакт на клиенте? Я предполагал, что должен быть виден только мой локальный адрес и адрес впн, ведь "общение" идет с ним.
192.168.1.1 - действительно роутер. Как можно проверить наличие шифрования?

MrClon · Сообщение **MrClon** » 04.08.2015 00:13

spool писал(а): ↑
03.08.2015 23:39
Я предполагал, что должен быть виден только мой локальный адрес и адрес впн, ведь "общение" идет с ним.

Ага, только это никак не связано с шифрованием, это связанно с туннелированием. В туннеле может идти и не шифрованный трафик.

Но в твоём случае это не важно, потому-что трафик вообще не идёт в тоннель.

spool · Сообщение **spool** » 04.08.2015 08:11

MrClon дык а как трафик туда завернуть?

Goodvin · Сообщение **Goodvin** » 04.08.2015 10:00

spool писал(а): ↑
03.08.2015 17:38
Думал, что анонимайзер иет "из коробки".

Из какой именно "коробки"?
Вы ставите и используете инструмент построения VPN, а ждёте какого-то "анонимайзера".
VPN - это Virtual Private Network, Виртуальная Частная Сеть.
А уже Вы сами должны понимать и разбираться для чего её используете.

spool писал(а): ↑
03.08.2015 17:38
Но мне изначально нужно шифрование трафика, ибо долгое время планирую использовать открытую сеть.

Вы для начала внятно сформулируйте условия задачи, в первую очередь для себя самого.
Поддерживают ли Ваше желание шифровать трафик все те, с кем Вы этим трафиком собираетесь обмениваеться?
Вы понмаете, что после Вашего VPN-сервера трафик всё равно выйдет в "открытую сеть"?
И какая связь между шифрованием и анонимайзером?
Смотрите красную ссылку в моей подписи.

spool писал(а): ↑
03.08.2015 17:38
Могли бы вы скинуть ман, как прокинуть нужные маршруты?

Вот здесь Вы найдёте исчерпывающую информацию:
http://www.lartc.org/

spool · Сообщение **spool** » 04.08.2015 10:26

Goodvin я предполагал, что шифрование уже подразумевает изменение IP, т.к. трафик шел бы через прокси. Я понимаю, что трафик выйдет в открытую сеть, но, как я написал в своем посте, я буду пользоваться открытой wifi-сетью и мне главное, чтобы мои данные не перехватили там.
Информацию исчерпывающую я бы и нашел, возможно, если бы знал, что мне нужно сделать.
Это все равно, что вы хотели бы просто припаять сопротивление, но не знали, как использовать паяльник. И кто-то вместо того, чтобы показать вам использование паяльника, дал бы кипу книг по электротехнике.

Goodvin · Сообщение **Goodvin** » 04.08.2015 13:59

spool писал(а): ↑
04.08.2015 10:26
Goodvin я предполагал, что шифрование уже подразумевает изменение IP, т.к. трафик шел бы через прокси.

Вы снова путаете тёплое с мягким.
Какая связь между шифрованием и изменением IP?

spool писал(а): ↑
04.08.2015 10:26
Я понимаю, что трафик выйдет в открытую сеть, но, как я написал в своем посте, я буду пользоваться открытой wifi-сетью

Вы ничего не писали ни про какой Wi-Fi.
Вы писали про какой-то "анонимайзер":

spool Дата Вчера, в 17:38
Думал, что анонимайзер иет "из коробки"

spool писал(а): ↑
04.08.2015 10:26
и мне главное, чтобы мои данные не перехватили там.

Для этого нужен шифрованный туннель к доверенному хосту за пределами недоверенной WiFi-сети, а не анонимайзер.
А уже внутри туннеля корректная маршрутизация туда, куда надо идти дальше.

spool писал(а): ↑
04.08.2015 10:26
Информацию исчерпывающую я бы и нашел, возможно, если бы знал, что мне нужно сделать.

Как раз об этом я и написал выше: чётко и внятно сформулировать постановку задачи, в первую очередь для самого себя.
А уже потом задавать вопросы по тем местам, реализация которых Вам непонятна/неизвестна.

spool писал(а): ↑
04.08.2015 10:26
Это все равно, что вы хотели бы просто припаять сопротивление, но не знали, как использовать паяльник. И кто-то вместо того, чтобы показать вам использование паяльника, дал бы кипу книг по электротехнике.

Да, при условии, что на самом деле нужно не сопротивление, а ёмкость и не припаять, а гальванически развязать. И понять это не поможет только лишь правильный хват паяльника. ))

Но Вы можете продолжать упорствовать, дело Ваше и задача Ваша.

s.xbatob · Сообщение **s.xbatob** » 04.08.2015 14:30

Шаг первый: меняете маршруты руками:

Код: Выделить всё

ip route add адрес-сервера-впн via 192.168.1.1 # защищаю маршрут к серверу vpn
ip route del default via 192.168.1.1 # убираю старый маршрут по умолчанию
ip route add default via 10.8.0.1 # добавляю новый

Если ничего не заработает, разбирайтесь с маскарадингом на сервере.

И ещё раз напоминаю: вы фактически используете туннель не по прямому назначению, так что повозиться с настройками придётся.

unixforum.org

OpenVPN

OpenVPN

Re: OpenVPN

Re: OpenVPN

Re: OpenVPN

Re: OpenVPN

Re: OpenVPN

Re: OpenVPN

Re: OpenVPN

Re: OpenVPN

Re: OpenVPN

Re: OpenVPN

Re: OpenVPN

Re: OpenVPN