Jump to content
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

NAT в OpenVPN

PoliceMan
 Share

Recommended Posts

PoliceMan Advanced Member

PoliceMan

Posted
Posted (edited)

Всем привет!

Есть роутер кинетик ультра и сервер в облаке в интернете, на сервере установлен openvpn, конфиг сервера простейший: 

# cat /etc/openvpn/server.conf
dev tun
ifconfig 172.31.255.253 172.31.255.254
cipher AES-256-CBC
verb 3
<secret>
#
# 2048 bit OpenVPN static key
#
</secret>

Конфиг на кинетике: 

dev tun
remote 66.66.66.66
ifconfig 172.31.255.254 172.31.255.253
cipher AES-256-CBC
verb 3
<secret>
#
# 2048 bit OpenVPN static key
#
</secret>

У кинетика статический белый IP, пусть будет 77.77.77.77.

Тунель устанавливается без проблем, пинги с домашних устройств за кинетиком ходят до 172.31.255.253.

Теперь хочется, например, пустить трафик до гугл днс через VPN. Добавляем в кинетике маршрут 8.8.8.8/32 via 172.31.255.254 и с самого кинетика все начинает отлично работать. Но вот с домашних устройств не работает. Если смотреть tcpdump на сервере, то пакеты на него прилетают с src=77.77.77.77 через тунель, помогите разобраться почему, плз)

Теперь фокус, если на сервере указать push "route 8.8.8.8 255.255.255.255" а на кинетике поставить опцию "получать маршруты от удаленной стороны", то при установке туннеля маршрут не поялвяется, но если прописать его опять вручную, то все работает! Даже с хостов за кинетиком, пакеты на сервер прилетают с адресом 172.31.255.254, т.е. как и должны, но такое у меня получилось только с одним хостом, если в push route указать подсеть, то магия пропадает)

Я правильно понимаю, что проблема в ip nat и ip static мне поможет? Если да, то вопрос, почему это работает с единичным IP и может всетаки можно обойтись без полного отключения ip nat?

Интернет на кинетике через pppoe, галка использовать это подключение для выхода в интернет на соединении openvpn не установлена.

Заранее благодарен!

Edited by PoliceMan
Link to comment
Share on other sites
PoliceMan Advanced Member

PoliceMan

Posted
  • Author
Posted

Потестировал еще, какая-то нестабильная фигня. ip static помогло, но ненадолго. Некоторое время работает, затем пакеты начинают прилетать с адресом внутреннего интерфейса без nat.

Заработало так же и при ip nat, сразу после перезагрузки, но через некоторое время отваливается и пакеты начинают опять прилетать с адресом 77.77.77.77, но для 8.8.8.8 прилетают с внешним IP, а пинги на 8.8.4.4 работают и все ок, причем для одного внутреннего хоста так, а для хоста подключающегося к кинетику по l2tp/ipsec все продолжает работать нормально. Похоже на какой-то кеш, который работает не совсем корректно.

Вот сейчас, не трогая никаких настроек, опять заработало. Чудеса какие-то) 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...