reklama

Dotaz k OpenVPN, možná k iptables

Milan

Dotaz k OpenVPN, možná k iptables
« kdy: 10. 11. 2018, 17:49:14 »
Zdravím.
Mám problém s připojením ke svému domácímu serveru skrze OpenVPN.
Věc se má asi takhle.
Doma mám router s veřejnou IP na němž běží OpenVPN server.
Tady je pravděpodobně vše v pořádku.
Z venku se dostanu do domácí sítě bez problémů.
Ale na domácí souborový server, který je jako klient připojený ke komerční OpenVPN se nemohu dostat.
Pokud server odpojím od této VPN, tak vše běhá bez problémů.
Předpokládám, že bude potřeba více nastavení, asi v iptables.
Můžete někdo poradit? S iptables vůbec neumím.
Distribuce na serveru je Debian stable.
Díky moc.

reklama


Jose D

  • ****
  • 491
    • Zobrazit profil
Re:Dotaz k OpenVPN, možná k iptables
« Odpověď #1 kdy: 10. 11. 2018, 18:22:59 »
Pokud server odpojím od této VPN, tak vše běhá bez problémů.
No, tipoval bych, že tvůj provider openVPN napushuje default route do tvého serveru, tj. server je napřímo dostupný jen z lokální sítě, protože ji má na interface, a jinak jde všechno přes gateway (komerční) VPNky.

Řešením je přidat na zařízení routu, která rozsah tvé privátní openVPN bude posílat na tvůj openVPN server, nejspíše tedy router.

Takže teď chceš:
1) pustit 3rd party VPN a kouknout na routy na tvém serveru, zkusit traceroute na tvůj openVPN server
2) vypnout 3rd party VPN a kouknout na routy na tvém serveru, zkusit traceroute na tvůj openVPN server, nejspíše uvidíš ten rozdíl.
3) přidáš routu na tvém serveru aby pakety z tvé VPNky šly na tvoji VPN gateway, bez ohledu na to, jestli ten box má puštěnou tu 3rd party VPN klienta, nebo ne.

v závislosti jaký OS na tom serveru máš se zeptej google, jak se to dělá. v dotazu to uvedeno není, hádat to tedy nebudu ;)
« Poslední změna: 10. 11. 2018, 18:27:11 od Jose D »

Milan

Re:Dotaz k OpenVPN, možná k iptables
« Odpověď #2 kdy: 10. 11. 2018, 19:54:24 »
Díky, ale přiznám se, že z toho nejsem o moc chytřejší. OS je Debian stable, na konci dotazu to je uvedeno.
Nechce se mi to rozvrtat nějakým pokusem. Mohlo by se stát, že už bych to neuměl vrátit do funkčního stavu.
Mohl by ses na to kouknout?

Server připojený k ProtonVPN
IP 10.0.0.226
Kód: [Vybrat]
Směrovací tabulka v jádru pro IP
Adresát         Brána           Maska           Přízn   MSS Okno    irtt Rozhraní
0.0.0.0         10.8.8.1        128.0.0.0       UG        0 0          0 tun0
0.0.0.0         10.0.0.1        0.0.0.0         UG        0 0          0 enp2s0
10.0.0.0        0.0.0.0         255.255.255.0   U         0 0          0 enp2s0
10.8.8.0        0.0.0.0         255.255.255.0   U         0 0          0 tun0
89.39.107.209   10.0.0.1        255.255.255.255 UGH       0 0          0 enp2s0
128.0.0.0       10.8.8.1        128.0.0.0       UG        0 0          0 tun0

Router
IP 10.0.0.1
Moje OpenVPN 10.70.0.0
Kód: [Vybrat]
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         0.0.0.0         255.255.255.0   U         0 0          0 vtun4
0.0.0.0         10.10.10.1      0.0.0.0         UG        0 0          0 eth4
10.0.0.0        0.0.0.0         255.255.255.0   U         0 0          0 switch0
10.10.10.0      0.0.0.0         255.255.255.0   U         0 0          0 eth4
10.70.0.0       0.0.0.0         255.255.255.0   U         0 0          0 vtun4


Jose D

  • ****
  • 491
    • Zobrazit profil
Re:Dotaz k OpenVPN, možná k iptables
« Odpověď #3 kdy: 10. 11. 2018, 23:24:20 »
pakety pro tvoji VPN  10.70.0.0 se posílají na defaultní GW ve ProtonVPN. Chceš si přidat routu pro tvoji síť na tvůj VPN router.

Mohlo by se stát, že už bych to neuměl vrátit do funkčního stavu.

Tak to neukládej a v nejhorším stroj restartuješ. Pokud je to něco kritického, tak si to otestuj nejdřív na nějakém přebytečném HW. Až budeš mít routování otestované, pak ho teprve ulož.

Milan

Re:Dotaz k OpenVPN, možná k iptables
« Odpověď #4 kdy: 11. 11. 2018, 13:24:19 »
Udělal jsem na serveru tohle a zatím to funguje:

Kód: [Vybrat]
ip route add 10.70.0.0/24 via 10.0.0.1
Je to tak správně?

reklama


TKL

Re:Dotaz k OpenVPN, možná k iptables
« Odpověď #5 kdy: 11. 11. 2018, 14:50:40 »
Udělal jsem na serveru tohle a zatím to funguje:

Kód: [Vybrat]
ip route add 10.70.0.0/24 via 10.0.0.1
Je to tak správně?

Ano.
Aby to fungovalo i po restartu, zadejte do souboru /etc/network/interfaces na jeho úplný konec:
up route add -net 10.70.0.0 netmask 255.255.255.0 gw 10.0.0.1

Milan

Re:Dotaz k OpenVPN, možná k iptables
« Odpověď #6 kdy: 11. 11. 2018, 14:57:14 »
Ok. Díky moc.

 

reklama