Recentemente, durante a configuração do servidor VPN, a única coisa que enfrentei foi: não tenho acesso à Internet conectado através do meu servidor VPN. Na verdade eu uso o VPS (Debian 8), onde instalei uma VPN. O cliente se conecta normalmente. Usei o comando trace route para detectar onde o tráfego para e, obviamente, ele para no meu servidor VPN. Eu realmente não sei como lidar com isso. Alguém me ajude, por favor :) Aqui está a configuração do meu servidor e do cliente. E sim, meu lado do cliente é o Windows 7 e 10.
Configuração do servidor.
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
Configuração do cliente. Nota: O IP do servidor está oculto.
client
dev tun
proto udp
remote 107.155.1x4.1x2 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca "C:\\OVPN\\ca.crt"
cert "C:\\OVPN\\client1.crt"
key "C:\\OVPN\\client1.key"
ns-cert-type server
comp-lzo
verb 3
Do lado do cliente, tentei testar o servidor DNS 8.8.8.8 do Google - mas ainda assim não funciona. Acho que o problema está em algumas das interfaces do lado do servidor que chegam à Internet. Então, quem sugerir algo, apenas me ajude com conselhos úteis.
"Adicione a saída dos seguintes comandos: sysctl net.ipv4.ip_forward, iptables-save, ip route show. No cliente talvez: route print. – rda "
1) A saída para sysctl net.ipv4.ip_forwardé
net.ipv4.ip_forward = 1
2) A saída para ip route showé
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1
10.8.0.0/24 via 10.8.02 dev tun0
default dev venet0 scope link
3) E a saída para iptables-saveé
*mangle
:PREROUTING ACCEPT [241673:29858781]
:INPUT ACCEPT [232866:29385621]
:FORWARD ACCEPT [8803:472884]
:OUTPUT ACCEPT [250884:4018010]
:POSTROUTING ACCEPT [259688:40653794]
COMMIT
*filter
:INPUT ACCEPT [232866:29385621]
:FORWARD ACCEPT [8804:472884]
:OUTUPUT ACCEPT [250884:40180910]
COMMIT
*nat
:PREROUTING ACCEPT [20668:1262348]
:POSTROUTING ACCEPT [14826:1006759]
:OUTPUT ACCEPT [10970:791257]
COMMIT
*raw
:PREROUTING ACCEPT [241673:29858781]
:OUTPUT ACCEPT [250884:40180910]
COMMIT
11 de junho
Acredito que o problema esteja nas tabelas de roteamento, executei o comando - netstat -nre, surpreendentemente, descobri que em minha tabela de roteamento tenho endereços IP estranhos que são atribuídos apenas para uso de VPN.**
Aqui, dê uma olhada:
Tabela de roteamento IP do kernel (Nota: os parâmetros da tabela de roteamento são os seguintes na coluna (!), Ex: o IP da tabela de roteamento pega todos os primeiros parâmetros da primeira coluna. E os três últimos parâmetros MSS Window irttsão iguais para cada valor da tabela de roteamento.
Destination face 10.8.0.2 un0 10.8.0.0 un0 0.0.0.0 enet0
Gateway face 0.0.0.0 un0 10.8.0.2 un0 0.0.0.0 enet0
Genmask face 255.255.255.255 un0 255.255.255.0 un0 0.0.0.0 enet0
Flags face UH un0 UG un0 U enet0
MSS Window irtt face 0 0 0 un0 0 0 0 un0 0 0 0 enet0
15 de junho
Ei amigo! Obrigado pela sua resposta novamente!
a saída para ip route showé:
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1 10.8.0.0/24 via
10.8.0.2 dev tun0 default dev venet0 scope link
a saída para o seguinte comando no VPS ip route get 8.8.8.8é (Nota: o endereço IP está oculto):
8.8.8.8 dev venet0 src 107.155.1x4.1x2
cache mtu 1500 advmss 1460 hoplimit 64
Do lado do cliente - usei esse comando route print- recebi uma página enorme de endereços IP, mas não sei o que é importante aqui para resolver esse problema...
Quais são os próximos passos?
Muito obrigado novamente por sua ajuda, de verdade
Atualização 15 de junho
Então aqui está a saída do comando route printno cliente Windows:
IPv4 Route Table
===========================================================================
Active routes:
Network address Subnet mask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.88.1 192.168.88.208 20
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.50.0 255.255.255.0 On-link 192.168.50.1 276
192.168.50.1 255.255.255.255 On-link 192.168.50.1 276
192.168.50.255 255.255.255.255 On-link 192.168.50.1 276
192.168.56.0 255.255.255.0 On-link 192.168.56.1 266
192.168.56.1 255.255.255.255 On-link 192.168.56.1 266
192.168.56.255 255.255.255.255 On-link 192.168.56.1 266
192.168.88.0 255.255.255.0 On-link 192.168.88.208 276
192.168.88.208 255.255.255.255 On-link 192.168.88.208 276
192.168.88.255 255.255.255.255 On-link 192.168.88.208 276
192.168.100.0 255.255.255.0 On-link 192.168.100.1 276
192.168.100.1 255.255.255.255 On-link 192.168.100.1 276
192.168.100.255 255.255.255.255 On-link 192.168.100.1 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.88.208 276
224.0.0.0 240.0.0.0 On-link 192.168.100.1 276
224.0.0.0 240.0.0.0 On-link 192.168.50.1 276
224.0.0.0 240.0.0.0 On-link 192.168.56.1 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.88.208 276
255.255.255.255 255.255.255.255 On-link 192.168.100.1 276
255.255.255.255 255.255.255.255 On-link 192.168.50.1 276
255.255.255.255 255.255.255.255 On-link 192.168.56.1 266
===========================================================================
Permanent routes:
Atualização em 17 de junho
Olá amigo, tentei usar aqueles comandos que habilitam NAT no servidor, infelizmente novamente não funciona. A saída para ip route showé a mesma de antes:
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1
10.8.0.0/24 via 10.8.0.2 dev tun0
default dev venet0 scope link
Esses comandos que você me deu estavam funcionando perfeitamente, mas não trouxeram nenhum resultado. Então, a nova rota IP simplesmente não aparece na saída! Tentei adicionar a mesma rota de diferentes maneiras, até mudei a máscara de/16 para/24, mas nada.
O únicoimportanteO que me deixou estranho foi - rodei meu OVPN Gui no lado do cliente e sei que a internet não funciona, e o que vejo, desde o início minha página do Facebook começa a carregar, mas outras como o google. com ou linkedin.com - ou qualquer outro site - eles simplesmente não abrem...
Algumas pequenas coisas sobre meu provedor VPS, na página de perguntas frequentes, elas dizem o seguinte:
**22
Do you support TUN/TAP? IPSEC?
Yes, TUN/TAP and IPSEC are enabled on all VPS by default.**
**2
What kind of virtualization is offered/used?
We utilize OpenVZ on our infrastructure. If you require KVM virtualization we recommend SpeedyKVM.**
Qual pode ser esse problema e como podemos superá-lo?
Mais uma vez muito obrigado a você!
Responder1
Você precisa habilitar o NAT no servidor.
SNAT para endereço IP estático:
iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -o <if> -j SNAT --to <ip>
Ou se você tiver um endereço IP atribuído dinamicamente, use MASQUERADE(mais lento):
iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -o <if> -j MASQUERADE
enquanto
<if>é o nome da interface externa (ou sejavenet0)<ip>é o endereço IP da interface externa