Здравствуйте.
Сделал настройку сервера по инструкции из статьи
https://interface31.ru/tech_it/2019/10/nastroyka-openvpn-servera-dlya-dostupa-v-internet.htmlПри подключении к VPN серверу клиентов подключается, но пропадает интернет у клиентов.
Моя конфигурация Ubuntu сервера:
1) netplan
network:
version: 2
renderer: networkd
ethernets:
ens3:
addresses: [ 62.113.113.59/24 ]
gateway4: 62.113.113.1
nameservers:
addresses:
- "8.8.8.8"
2) создал файл iptables.up.v4.rules и запустил его
#!/bin/sh
# Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward
# Сбрасываем настройки брандмауэра
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
# Разрешаем инициированные нами подключения извне
iptables -A INPUT -i ens3 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Разрешаем подключения по SSH
iptables -A INPUT -i ens3 -p tcp --dport 22 -j ACCEPT
# Разрешаем подключения к OpenVPN
iptables -A INPUT -i ens3 -p udp --dport 1194 -j ACCEPT
#Запрещаем входящие извне
iptables -A INPUT -i ens3 -j DROP
# Разрешаем инициированные нами транзитные подключения извне
iptables -A FORWARD -i ens3 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Запрещаем транзитный трафик извне
iptables -A FORWARD -i ens3 -o tun0 -j DROP
# Включаем маскарадинг для локальной сети
iptables -t nat -A POSTROUTING -o ens3 -s 10.88.0.0/24 -j MASQUERADE
3) После этого сохранил полученные правила через iptables-save в файле /etc/iptables.rules
в папке /etc/ip.tables.rules
# Generated by iptables-save v1.6.1 on Wed Apr 1 17:13:20 2020
*nat
:PREROUTING ACCEPT [65:3317]
:INPUT ACCEPT [5:304]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.88.0.0/24 -o ens3 -j MASQUERADE
COMMIT
# Completed on Wed Apr 1 17:13:20 2020
# Generated by iptables-save v1.6.1 on Wed Apr 1 17:13:20 2020
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [145:21021]
-A INPUT -i ens3 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ens3 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i ens3 -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -i ens3 -j DROP
-A FORWARD -i ens3 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ens3 -o tun0 -j DROP
COMMIT
# Completed on Wed Apr 1 17:13:20 2020
4) Затем эти правила добавил в автозагрузку
iptables
в папку if-pre-up.d добавил файл iptables с содержимым
#!/bin/sh
/sbin/iptables-restore < /etc/iptables.rules
5) Конфигурация OpenVPN сервера имеет вид
;local a.b.c.d
port 1194
;proto tcp
proto udp
;dev tap
dev tun
;dev-node MyTap
ca keys/ca.crt
cert keys/server.crt
key keys/server.key # This file should be kept secret
dh keys/dh2048.pem
topology subnet
server 10.88.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
;server-bridge
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
;learn-address ./script
push "redirect-gateway def1"
push "remote-gateway 10.88.0.1"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
client-to-client
;duplicate-cn
keepalive 10 120
#tls-auth ta.key 0 # This file is secret
#ncp-disable
auth SHA256
cipher AES-256-CBC
#compress lz4-v2
#push "compress lz4-v2"
#comp-lzo
;max-clients 100
#user nobody
#group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
;log-append /var/log/openvpn/openvpn.log
verb 4
;mute 20
explicit-exit-notify 1
6) Конфигурация OpenVPN клиента
client
;dev tap
dev tun
redirect-gateway def1
;dev-node MyTap
;proto tcp
proto udp
remote 62.113.113.59 1194
;remote my-server-2 1194
;remote-random
resolv-retry infinite
nobind
;user nobody
;group nogroup
persist-key
persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;mute-replay-warnings
ca C:\\OpenVPN\\keys\\ca.crt
cert C:\\OpenVPN\\keys\\client1.crt
key C:\\OpenVPN\\keys\\client1.key
remote-cert-tls server
#tls-auth ta.key 1
auth SHA256
cipher AES-256-CBC
#comp-lzo
verb 4
;mute 20
7) Пинг до сервера 10.88.0.1 идет. Между клиентами есть пинг, но интернет на них пропадает
8.) Трассировка от клиента ко внешнему IP сервера
Трассировка маршрута к 62.113.113.59 с максимальным числом прыжков 30
1 1 ms <1 мс <1 мс 10.115.21.1
2 <1 мс <1 мс <1 мс 10.115.6.2
3 1 ms <1 мс <1 мс 91.233.223.19
4 1 ms <1 мс <1 мс 10.20.4.49
5 <1 мс <1 мс <1 мс 91.233.223.218
и т.д.
9) Маршруты у клиента OpenVPN
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.115.21.1 10.115.21.180 20
0.0.0.0 128.0.0.0 10.88.0.1 10.88.0.3 266
10.88.0.0 255.255.255.0 On-link 10.88.0.3 266
и т.д.
Почему может не работать интернет у клиентов при подключении по VPN ?
Спасибо