Configurez le server pour apather tout le trafic via OpenVPN

J'ai une configuration openvpn qui fonctionne très bien. Il y a environ 50 clients connectés et tout est un dandy pratique. J'ai besoin de l'un de ces clients pour apather tout le trafic à travers le vpn. J'ai configuré un ccd pour ce client en particulier et j'ai ajouté la push "redirect-gateway def1" . La table de routing semble être mise à jour dans le client. Je peux accéder à tous les hôtes dans le vpn mais je ne peux pas accéder à rien d'autre en dehors du vpn. Lors du suivi du client, tout va vers la passerelle vpn, mais après cela, pas plus loin. Je crois que le coupable est la configuration iptables dans le server.

C'est la configuration

  • J'ai un openvpn utilisant le sous-réseau 10.170.xx avec la passerelle vpn au 10.170.0.1 (VPNGATEWAY)
  • J'ai un sous-réseau différent 10.171.xx qui obtient son ip atsortingbué via les loggings ccd (c'est le réseau admin et a 3 clients)
  • Le client que je souhaite avoir tout son trafic à travers le vpn est 10.171.0.1 (CLIENT)

À partir de 10.171.0.1 (CLIENT), je peux faire un ping 10.170.0.1 (VPNGATEWAY). En fait, je peux faire un ping sur tous les hôtes dans 10.170.xx et 10.171.xx Mais ne peut pas faire de ping 8.8.8.8.

C'est le iptables conf

Il y a beaucoup de règles et j'ai pris pour simplifier.

 *filter :INPUT DROP [1000:900000] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -s 127.0.0.1 -j ACCEPT # here were some rules accepting certain ports 22, 80, etc -A INPUT -p icmp -m icmp --icmp-type 8 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 13 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 30 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT # this is the client that needs internet thru the gateway # i've sortinged to make as permissive as possible but still to no avail -A INPUT -s 10.171.0.1 -j ACCEPT -A FORWARD -s 10.171.0.1 -j ACCEPT -A FORWARD -j REJECT --reject-with icmp-port-unreachable -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT COMMIT 

J'ai en outre essayé d'append

 iptables -t nat -A POSTROUTING -s 10.171.0.1 -o eth0 -j MASQUERADE 

Mais toujours pas de travail. Des idées?

One Solution collect form web for “Configurez le server pour apather tout le trafic via OpenVPN”

Vous avez ces deux règles pour permettre votre trafic. Mais ces règles ne sont probablement pas ce que vous voulez.
ou du less non seulement ce que vous voulez.

 -A INPUT -s 10.171.0.1 -j ACCEPT -A FORWARD -s 10.171.0.1 -j ACCEPT 

Votre jeu de règles de pare-feu semble être conçu pour être en état, mais ces deux règles sont apasortingdes. Vous devez soit append deux règles pour gérer le trafic dans l'autre sens, soit append une correspondance d'état.

  • udp à travers nat
  • Combien la distance et le ms peuvent-ils affecter sur la vitesse de téléchargement?
  • Ubuntu Ignorant les packages du réseau A sur eth0 lorsque eth4 est configuré sur le réseau A
  • Inter VLAN Routing
  • Partager la connection Internet sur Windows XP avec 2 NIC et des réseaux séparés
  • Supprimez la route quagga / zebra en utilisant la route ip
  • Nouveau server inaccessible pour un time après l'échange de l'adresse IP
  • Routage vers un LAN secondaire avec Shorewall
  • RRAS avec IPSec possible?
  • pfSense en cas de basculement ne roulera pas avec GW sur un sous-réseau complètement différent
  • Cisco Router: select la passerelle sortante en fonction de l'IP source
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.