Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

NAT в OpenVPN

PoliceMan
 Поделиться

Рекомендуемые сообщения

PoliceMan Продвинутый пользователь

PoliceMan

Опубликовано
Опубликовано (изменено)

Всем привет!

Есть роутер кинетик ультра и сервер в облаке в интернете, на сервере установлен openvpn, конфиг сервера простейший: 

# cat /etc/openvpn/server.conf
dev tun
ifconfig 172.31.255.253 172.31.255.254
cipher AES-256-CBC
verb 3
<secret>
#
# 2048 bit OpenVPN static key
#
</secret>

Конфиг на кинетике: 

dev tun
remote 66.66.66.66
ifconfig 172.31.255.254 172.31.255.253
cipher AES-256-CBC
verb 3
<secret>
#
# 2048 bit OpenVPN static key
#
</secret>

У кинетика статический белый IP, пусть будет 77.77.77.77.

Тунель устанавливается без проблем, пинги с домашних устройств за кинетиком ходят до 172.31.255.253.

Теперь хочется, например, пустить трафик до гугл днс через VPN. Добавляем в кинетике маршрут 8.8.8.8/32 via 172.31.255.254 и с самого кинетика все начинает отлично работать. Но вот с домашних устройств не работает. Если смотреть tcpdump на сервере, то пакеты на него прилетают с src=77.77.77.77 через тунель, помогите разобраться почему, плз)

Теперь фокус, если на сервере указать push "route 8.8.8.8 255.255.255.255" а на кинетике поставить опцию "получать маршруты от удаленной стороны", то при установке туннеля маршрут не поялвяется, но если прописать его опять вручную, то все работает! Даже с хостов за кинетиком, пакеты на сервер прилетают с адресом 172.31.255.254, т.е. как и должны, но такое у меня получилось только с одним хостом, если в push route указать подсеть, то магия пропадает)

Я правильно понимаю, что проблема в ip nat и ip static мне поможет? Если да, то вопрос, почему это работает с единичным IP и может всетаки можно обойтись без полного отключения ip nat?

Интернет на кинетике через pppoe, галка использовать это подключение для выхода в интернет на соединении openvpn не установлена.

Заранее благодарен!

Изменено пользователем PoliceMan
PoliceMan Продвинутый пользователь

PoliceMan

Опубликовано
  • Автор
Опубликовано

Потестировал еще, какая-то нестабильная фигня. ip static помогло, но ненадолго. Некоторое время работает, затем пакеты начинают прилетать с адресом внутреннего интерфейса без nat.

Заработало так же и при ip nat, сразу после перезагрузки, но через некоторое время отваливается и пакеты начинают опять прилетать с адресом 77.77.77.77, но для 8.8.8.8 прилетают с внешним IP, а пинги на 8.8.4.4 работают и все ок, причем для одного внутреннего хоста так, а для хоста подключающегося к кинетику по l2tp/ipsec все продолжает работать нормально. Похоже на какой-то кеш, который работает не совсем корректно.

Вот сейчас, не трогая никаких настроек, опять заработало. Чудеса какие-то) 

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю