OpenVPN и раздача инета

[m1cr0]

Здравствуйте! имею VPS, поставил openvpn, мучаюсь с настройками. Хочу: ПК -> VPS -> интернет.

Максимум, что получил - локальный ип адрес. Но никакого шифрования траффика, смена IP нету.

Вот server.conf:

Код: Выделить всё

port 1194
proto udp
dev tap1
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/enfix.crt
key /etc/openvpn/keys/enfix.key
dh /etc/openvpn/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway local def1"
push "dhcp-option DNS 10.8.0.1"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3

[Nigga]

http://openvpn.net/index.php/open-source/d...wto.html#config тут все подробно описано.
+ маскарадинг

Код: Выделить всё

iptables -A FORWARD -s  10.8.0.0/24 -j ACCEPT
iptables -A FORWARD -d  10.8.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0(интернет интерфейс) -s  10.8.0.0/24 -j MASQUERADE

[m1cr0]

пробовал ваш конфиг, ип выдается, но никуда не могу зайти, пинг не проходит.

ПРобовал

Код: Выделить всё

[root@vps openvpn]# iptables -t nat -A POSTROUTING -o venet0 -s  10.8.0.0/24 -j MASQUERADE
iptables: No chain/target/match by that name

выдает
iptables: No chain/target/match by that name

[Nigga]

пробовал ваш конфиг, ип выдается, но никуда не могу зайти, пинг не проходит.

=) извините, ето ваш конфиг, я его зацытировал и собирался править до нужного вам состояния, но перередумал и решил что вы сами все найдете в представленном howto. А стереть его забыл.
вот интересующие вас опции:
cipher - шифрование
client-config-dir - для контроля кому какой IP давать.
В howto описание етих опций.

iptables: No chain/target/match by that name

попробуйте

Код: Выделить всё

modprobe iptable_nat ip_conntrack
iptables -t nat -A POSTROUTING -o venet0 -s  10.8.0.0/24 -j MASQUERADE

и приведите вывод iptables -t nat -L

[m1cr0]

=) не заметил

Код: Выделить всё

 [root@vps ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  10.8.0.0/24          anywhere            to:209.250.241.240
SNAT       all  --  10.8.0.0/24          anywhere            to:209.250.241.240
MASQUERADE  all  --  10.8.0.0/24          anywhere
MASQUERADE  all  --  10.8.0.0/24          anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

теперь пинги проходят, но 2ip.ru показывает мой ип, а не ип vps

[Nigga]

потому что вам не присваивается gateway, попробуйте заменить push "redirect-gateway local def1" на push "redirect-gateway bypass-dhcp", и если не поможет, запостите лог клиента.

[m1cr0]

лог сервера:

Код: Выделить всё

Thu Jun 25 15:30:56 2009 OpenVPN 2.1_rc15 i386-redhat-linux-gnu [SSL] [LZO2] [EPOLL] built on Nov 30 2008
Thu Jun 25 15:30:56 2009 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Thu Jun 25 15:30:56 2009 Diffie-Hellman initialized with 1024 bit key
Thu Jun 25 15:30:56 2009 TLS-Auth MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Jun 25 15:30:56 2009 TUN/TAP device tap1 opened
Thu Jun 25 15:30:56 2009 Note: Cannot set tx queue length on tap1: Operation not permitted (errno=1)
Thu Jun 25 15:30:56 2009 /sbin/ip link set dev tap1 up mtu 1500
Thu Jun 25 15:30:56 2009 /sbin/ip addr add dev tap1 10.8.0.1/24 broadcast 10.8.0.255
Thu Jun 25 15:30:56 2009 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Jun 25 15:30:56 2009 GID set to openvpn
Thu Jun 25 15:30:56 2009 UID set to openvpn
Thu Jun 25 15:30:56 2009 Socket Buffers: R=[113664->131072] S=[113664->131072]
Thu Jun 25 15:30:56 2009 UDPv4 link local (bound): [undef]:1194
Thu Jun 25 15:30:56 2009 UDPv4 link remote: [undef]
Thu Jun 25 15:30:56 2009 MULTI: multi_init called, r=256 v=256
Thu Jun 25 15:30:56 2009 IFCONFIG POOL: base=10.8.0.2 size=253
Thu Jun 25 15:30:56 2009 Initialization Sequence Completed
Thu Jun 25 15:31:14 2009 MULTI: multi_create_instance called
Thu Jun 25 15:31:14 2009 91.122.212.168:55225 Re-using SSL/TLS context
Thu Jun 25 15:31:14 2009 91.122.212.168:55225 LZO compression initialized
Thu Jun 25 15:31:14 2009 91.122.212.168:55225 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Jun 25 15:31:14 2009 91.122.212.168:55225 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Jun 25 15:31:14 2009 91.122.212.168:55225 Local Options hash (VER=V4): 'f7df56b8'
Thu Jun 25 15:31:14 2009 91.122.212.168:55225 Expected Remote Options hash (VER=V4): 'd79ca330'
Thu Jun 25 15:31:14 2009 91.122.212.168:55225 TLS: Initial packet from 91.122.212.168:55225, sid=db17e274 e52ef9ff
Thu Jun 25 15:31:16 2009 91.122.212.168:55225 VERIFY OK: depth=1, /C=RU/ST=RU/L=Moscow/O=Fort-Funston/CN=enfix/name=Home/emailAddress=admin@r3al.ru
Thu Jun 25 15:31:16 2009 91.122.212.168:55225 VERIFY OK: depth=0, /C=RU/ST=RU/L=Moscow/O=Fort-Funston/CN=enfix/name=r3al/emailAddress=support@r3al.ru
Thu Jun 25 15:31:17 2009 91.122.212.168:55225 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jun 25 15:31:17 2009 91.122.212.168:55225 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 25 15:31:17 2009 91.122.212.168:55225 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jun 25 15:31:17 2009 91.122.212.168:55225 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 25 15:31:17 2009 91.122.212.168:55225 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Jun 25 15:31:17 2009 91.122.212.168:55225 [enfix] Peer Connection Initiated with 91.122.212.168:55225
Thu Jun 25 15:31:18 2009 enfix/91.122.212.168:55225 PUSH: Received control message: 'PUSH_REQUEST'
Thu Jun 25 15:31:18 2009 enfix/91.122.212.168:55225 SENT CONTROL [enfix]: 'PUSH_REPLY,redirect-gateway bypass-dhcp,dhcp-option DNS 10.8.0.1,route-gateway 10.8.0.1,ping 10,ping-restart 120,ifconfig 10.8.0.2 255.255.255.0' (status=1)
Thu Jun 25 15:31:18 2009 enfix/91.122.212.168:55225 MULTI: Learn: 00:ff:46:4b:f7:22 -> enfix/91.122.212.168:55225

клиент:

Код: Выделить всё

Fri Jun 26 01:31:02 2009 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Fri Jun 26 01:31:02 2009 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Fri Jun 26 01:31:02 2009 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri Jun 26 01:31:02 2009 LZO compression initialized
Fri Jun 26 01:31:02 2009 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Jun 26 01:31:02 2009 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Fri Jun 26 01:31:02 2009 Local Options hash (VER=V4): 'd79ca330'
Fri Jun 26 01:31:02 2009 Expected Remote Options hash (VER=V4): 'f7df56b8'
Fri Jun 26 01:31:02 2009 UDPv4 link local: [undef]
Fri Jun 26 01:31:02 2009 UDPv4 link remote: 209.250.241.240:1194
Fri Jun 26 01:31:02 2009 TLS: Initial packet from 209.250.241.240:1194, sid=cbe4352b ae99b300
Fri Jun 26 01:31:03 2009 VERIFY OK: depth=1, /C=RU/ST=RU/L=Moscow/O=Fort-Funston/CN=enfix/name=Home/emailAddress=admin@r3al.ru
Fri Jun 26 01:31:03 2009 VERIFY OK: depth=0, /C=RU/ST=Ru/L=Moscow/O=Fort-Funston/CN=enfix/name=r3al/emailAddress=enfix@r3al.ru
Fri Jun 26 01:31:05 2009 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Jun 26 01:31:05 2009 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Jun 26 01:31:05 2009 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Jun 26 01:31:05 2009 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Jun 26 01:31:05 2009 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Jun 26 01:31:05 2009 [enfix] Peer Connection Initiated with 209.250.241.240:1194
Fri Jun 26 01:31:06 2009 SENT CONTROL [enfix]: 'PUSH_REQUEST' (status=1)
Fri Jun 26 01:31:06 2009 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway bypass-dhcp,dhcp-option DNS 10.8.0.1,route-gateway 10.8.0.1,ping 10,ping-restart 120,ifconfig 10.8.0.2 255.255.255.0'
Fri Jun 26 01:31:06 2009 Options error: unknown --redirect-gateway flag: bypass-dhcp
Fri Jun 26 01:31:06 2009 OPTIONS IMPORT: timers and/or timeouts modified
Fri Jun 26 01:31:06 2009 OPTIONS IMPORT: --ifconfig/up options modified
Fri Jun 26 01:31:06 2009 OPTIONS IMPORT: route options modified
Fri Jun 26 01:31:06 2009 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Fri Jun 26 01:31:06 2009 TAP-WIN32 device [Подключение по локальной сети 3] opened: \\.\Global\{464BF722-BE4A-4B5F-9993-0CAA3E684D48}.tap
Fri Jun 26 01:31:06 2009 TAP-Win32 Driver Version 8.4
Fri Jun 26 01:31:06 2009 TAP-Win32 MTU=1500
Fri Jun 26 01:31:06 2009 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.0 on interface {464BF722-BE4A-4B5F-9993-0CAA3E684D48} [DHCP-serv: 10.8.0.0, lease-time: 31536000]
Fri Jun 26 01:31:06 2009 Successful ARP Flush on interface [17] {464BF722-BE4A-4B5F-9993-0CAA3E684D48}
Fri Jun 26 01:31:07 2009 TEST ROUTES: 0/0 succeeded len=0 ret=1 a=0 u/d=up
Fri Jun 26 01:31:07 2009 Initialization Sequence Completed

[Nigga]

попробуйте еще такой вариант

Код: Выделить всё

push "redirect-gateway def1"

на сервере.
или

Код: Выделить всё

redirect-gateway

на клиенте. и отчитайтесь логом клиента.

[danger08]

посмотреть по таблице роутинга, какой шлюз назначается при установке vpn-соединения (и назначается ли вообще).
про то, как назначить шлюз для openvpn-клиента, Nigga уже сказал.

далее, на стороне сервера openvpn, вам нужно настроить файрвол для форварда трафика с vpn-интерфейса, и маскарадить весь трафик, идущий от клиентов (через интерфейс openvpn).