Интернет через OpenVPN клиента

[Илья Ганжин]

Добрый день, помогите пожалуйста настроить схему. На работе выход в интернет ограничен специальным государственным шлюзом, но при этом на компе белый ip адрес и доступны входящие соединения по любым портам.

Получается что соединиться с роутером настроенным как VPN сервер я не могу, но он может подключиться к моему рабочему компу. Возможно ли в таком случае как-то использовать интернет клиента (домашнего роутера)?

 

[keenet07]

А этот шлюз выпустит вас по произвольному адресу на https? Не включенному в черный список. Если да, то лучше дома SSTP сервер настроить он по 443 работает и не заметен никак прокси, ни как VPN.

[Илья Ганжин]

я пробовал делать на домашнем роутере сервер SSTP, но подключиться с рабочего компа к нему не могу

Ошибка: 0x800b0109: Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия.

[keenet07]

Должен быть настроен KeenDNS на роутере и всё заработает. Там ничего сложного.

Edited November 4, 2019 by keenet07

[Илья Ганжин]

KeenDNS настроен, получен домен .pro и сертификат

[keenet07]

Значит что-то где-то вы упустили в настройке. Должно работать по вашей схеме.

С OpenVPN будет сложнее. Хотите сервер на ПК поставить?

Edited November 4, 2019 by keenet07

[Илья Ганжин]

Для выхода в интернет через этот шлюз нужно устанавливать на компьютер специальный корневой сертификат. Я думаю проблема в этом.

Остается вариант поставить на рабочем компе какой нибудь VPN сервер (OpenVPN проще всего), подключить к нему домашний роутер и как-то настроить маршрутизацию чтобы трафик компьютера шел через него

[Кинетиковод]

41 минуту назад, GanjaKyp сказал:

Для выхода в интернет через этот шлюз нужно устанавливать на компьютер специальный корневой сертификат. Я думаю проблема в этом.

Остается вариант поставить на рабочем компе какой нибудь VPN сервер (OpenVPN проще всего), подключить к нему домашний роутер и как-то настроить маршрутизацию чтобы трафик компьютера шел через него

Теоретически если бриджануть tap клиента на Кинетике, то через него можно будет ходить в сеть. Главное знать что делать с сервером. Да и порт для сервера нужно открывать. Предусмотрел ли такую возможность администратор шлюза неизвестно.

[Илья Ганжин]

Только что, Кинетиковод сказал:

Теоретически если бриджануть tap клиента на Кинетике, то через него можно будет ходить в сеть. Главное знать что делать с сервером. Да и порт для сервера нужно открывать. Предусмотрел ли такую возможность администратор шлюза неизвестно.

Все порты для входящих соединений открыты. Закрыт только исходящий трафик

[keenet07]

5 минут назад, GanjaKyp сказал:

Все порты для входящих соединений открыты. Закрыт только исходящий трафик

Вообще это очень странный фаервол - наоборот. Называется заходите гости дорогие. Скачивайте что хотите.

[Илья Ганжин]

Входящие порты нужны мне для разработки клиент-серверного ПО, поэтому их для меня открыли

Edited November 4, 2019 by GanjaKyp

[Кинетиковод]

Только что, GanjaKyp сказал:

Все порты для входящих соединений открыты. Закрыт только исходящий трафик

Тогда пробуйте. Tap клиент телепортирует вас в домашнюю сеть, если сервер осилите. Ещё это может сделать EoIP, но на компе его нет. Через других клиентов выйти в сеть будет затруднительно.

Либо можно попробовать двойной туннель, например попробовать пробросить с кинетика на комп wireguard, а уже через него подключиться к tap серверу на Кинетике. Плюс в том, что wireguard настраивается в несколько кликов. Двойной туннель успешно работает в связке Кинетик-Кинетик, но с ПК я такое не пробовал. Думаю должно завестись. 

[Илья Ганжин]

Дело в том, что я не разбираюсь в этом, поэтому и написал на форум) Мне бы более менее подробную инструкцию как что делать, если вас не затруднит

[Кинетиковод]

1 час назад, GanjaKyp сказал:

Мне бы более менее подробную инструкцию как что делать

Нет такой инструкции, тем более по таким извращениям. Я вам схему обрисовал, но если вам нужна инструкция, то даже и не знаю. Как же вы сервер собрались ставить?

Я бы начал с wireguard, т.к. он самый простой. Конфиг сервера и клиента на скринах.

Скрытый текст

В данном случае Андроид подключается напрямую к компу за NAT. Нужно по идее открывать порт, но у вас они и так открыты. Вместо Андроида у вас будет Кинетик. Но одно дело схема Кинетик-Кинетик, а другое комп. Двойное подключение на компе может работать криво, да и wireguard пока довольно сырой.

Попробуйте для начала со своей мобилы подключиться к компу. Если всё получиться, то есть надежда на позитивный результат. Что там у вас за хитрый государственный NAT неизвестно.

Если wg не поможет, тогда надо мутить openvpn сервер, но это сложнее.

 

[Илья Ганжин]

Подключение OpenVPN я сделал, роуер подключается к компу как клиент, но нужно как то завернуть в него весь трафик компа

[Илья Ганжин]

route add 0.0.0.0 mask 0.0.0.0 192.168.20.1 не работает, интернета нет. Подозреваю что нужно делать какие то манипуляции на кинетике

[keenet07]

Ну конечно инета не будет. На клиентской части же нет NAT.

[Кинетиковод]

6 минут назад, GanjaKyp сказал:

Подозреваю что нужно делать какие то манипуляции на кинетике

Раз сеть Кинетика теперь доступна, то можно пробовать подключаться к серверу на Кинетике. Главное чтобы на компе клиент и сервер не конфликтовали.

[keenet07]

Туннель в туннеле чтоли? )

[Кинетиковод]

2 минуты назад, keenet07 сказал:

Туннель в туннеле чтоли? )

Ага.

[keenet07]

А что-нибудь вроде

ip nat <интерфейс OpenVPN клиента>

  не сработает для включения NAT?

Edited November 4, 2019 by keenet07

[Илья Ганжин]

18 минут назад, Кинетиковод сказал:

Раз сеть Кинетика теперь доступна, то можно пробовать подключаться к серверу на Кинетике. Главное чтобы на компе клиент и сервер не конфликтовали.

То есть подключить роутер к компу через OpenVPN, а потом подключить комп к роуту через PPTP по ip адресу выданному ему OpenVPN сервером?)

[keenet07]

Как вариант. Если вообще подключится через подсеть OpenVPN. Может быть потребуется Aliace прописывать. ))

Edited November 4, 2019 by keenet07

[Кинетиковод]

18 минут назад, GanjaKyp сказал:

То есть подключить роутер к компу через OpenVPN, а потом подключить комп к роуту через PPTP по ip адресу выданному ему OpenVPN сервером?)

Я подключался к tap серверу, т.к. мне нужен был доступ к вебморде удаленного модема. PPTP и L2TP наверное не взлетят. Естественно и в сеть через tap можно было ходить.

Как вариант действительно попробуйте NAT на клиенте завести, мне NAT не нужен был, да и клиентом был L2TP. Надо пробовать. По крайней мере схема двойного туннеля работает.

[keenet07]

Так же не забудьте добавить входящие разрешающие правила в Межсетевом экране. Т.к. скорее всего входящие в сторону клиента закрыты в целях безопасности.

[Кинетиковод]

Wireguard на Кинетиках в разы быстрее openvpn. Так что если нужна скорость имейте ввиду. Но раз уж взялись за openvpn, то заведите сначала его, потом можно будет не спеша wireguard поковырять.

[Илья Ганжин]

ip nat OpenVPN1 вроде включился, нопроверить смогу только завтра. Нужно будет на компьютере добавить маршрут route add 0.0.0.0 mask 0.0.0.0 10.1.0.2?

[keenet07]

5 минут назад, GanjaKyp сказал:

ip nat OpenVPN1 вроде включился, нопроверить смогу только завтра. Нужно будет на компьютере добавить маршрут route add 0.0.0.0 mask 0.0.0.0 10.1.0.2?

А почему 10.1.0.2? Это же наверное адрес клиента. Вам нужно через адрес сервера пустить. Он наверное у вас 10.1.0.1?

Ну вообще попробуйте оба варианта по отдельности.

Edited November 4, 2019 by keenet07

[Илья Ганжин]

сервер же  компьютер, он 10.1.0.1, а роутер клиент 10.1.0.2

[Илья Ганжин]

В общем настроил OpenVPN, роутер подключается к серверу-компьютеру, пинги идут, но через 5-10 секунд пакеты перестают ходить, само подключение остается работать  В чем может быть дело? Конфиг одинаковый на обеих сторонах, за исключением remote...

dev tap
remote ... 1194
cipher AES-128-CBC
verb 5
#tun-mtu 1500
#keepalive 10 120
#persist-key
#persist-tun

<secret>
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</secret>

 

Edited November 7, 2019 by GanjaKyp