https://www.opennet.ru/openforum/vsluhforumID1/94993.html Openvpn<br>Сервер настроен весьма параноидально.<br><br>Имеется клиентский конфиг<br>client<br>tls-client<br>verb 3<br>dev tap<br>proto udp<br>remote server.ru 1194<br>nobind<br>persist-key<br>persist-tun<br>redirect-gateway<br><br>ca "server.ru/ca.crt"<br>cert "server.ru/client1.crt"<br>key "server.ru/client1.key"<br>tls-auth "server.ru/ta.key" 1<br><br>Коннект успешен, но видим только сам сервер- признак того, что на сервере iptables надо править.<br><br>вроде бы так<br><br> iptables -A FORWARD -i tap0 -o br0 -j ACCEPT<br> iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE<br><br><br>ifconfig - br0 основной, <br>tap0 Link encap:Ethernet HWaddr A2:ED:93:FA:82:C9<br> inet addr:10.8.0.1 Bcast:10.8.0.255 Mask:255.255.255.0<br><br>/proc/sys/net/ipv4/ip_forward<br>1<br><br><br>Что забыл?<br> https://www.opennet.ru/openforum/vsluhforumID1/94993.html#4 Wed, 18 Sep 2013 09:43:02 GMT Начинаем.<br>Открываем 1194 порт<br>Смотрим<br><br>tcpdump dst port 1194<br><br>12:23:27.716664 IP CentOS-63-64-minimal.openvpn &gt; l5-128-36-15.cn.ru.openvpn: UDP, length 142<br>12:23:27.716691 IP CentOS-63-64-minimal.openvpn &gt; l5-128-36-15.cn.ru.openvpn: UDP, length 96<br>12:23:27.836392 IP l5-128-36-15.cn.ru.openvpn &gt; CentOS-63-64-minimal.openvpn: UDP, length 50<br>12:23:27.836414 IP l5-128-36-15.cn.ru.openvpn &gt; CentOS-63-64-minimal.openvpn: UDP, length 50<br>12:23:27.836424 IP l5-128-36-15.cn.ru.openvpn &gt; CentOS-63-64-minimal.openvpn: UDP, length 50<br>12:23:27.836431 IP l5-128-36-15.cn.ru.openvpn &gt; CentOS-63-64-minimal.openvpn: UDP, length 50<br><br>tcpdump src port 1194<br><br>12:27:08.242730 IP l5-128-36-15.cn.ru.openvpn &gt; CentOS-63-64-minimal.openvpn: UDP, length 53<br>12:27:17.635426 IP l5-128-36-15.cn.ru.openvpn &gt; CentOS-63-64-minimal.openvpn: UDP, length 53<br>12:27:18.795852 IP CentOS-63-64-minimal.openvpn &gt; l5-128-36-15.cn.ru.openvpn: UDP, length 53<br><br><br><br>Круто.<br>Коннект прошел.<br>Клиент начинает при пинге выдавать <br><br>From 10.8.0. https://www.opennet.ru/openforum/vsluhforumID1/94993.html#3 Tue, 10 Sep 2013 07:52:19 GMT &gt; iptables -A FORWARD -i tap0 -o br0 -j ACCEPT <br>&gt; iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE <br><br>Должен быть accept на уже установленные соединения. Можно погуглить howto'шки примитивного проброса соединений, простого шлюза. Там точно будет.<br><br>Полезно найти схему NetFilter цепочек таблиц. Вот такая неплоха: https://upload.wikimedia.org/wikipedia/ru/f/f4/Iptables-traversal.svg Отмедитировать, со схемой перед глазами, на предмет: что нужно получить и через какие таблицы в цепочках это пройдёт. Иногда уже на этом этапе становится всё понятно.<br><br>Ну, и со схемой наперевес поставить в цепочках правила записи в системный лог. Типа: iptables ... -j log (если мне склероз не изменяет).<br><br>Дальше копаться в этих логах, потом уже (или - просто независимо) смотреть tcpdump.<br><br>Важно: не все сразу понимают, что искомый трафик через некоторые таблицы не идёт совсем. В этом случае непонимания могут ставить нужные правила в таблицы, где эти правила смысла не имеют.<br> https://www.opennet.ru/openforum/vsluhforumID1/94993.html#2 Mon, 09 Sep 2013 10:18:13 GMT &gt; Openvpn <br>&gt; Сервер настроен весьма параноидально.<br><br>То, что было выше приведено (конфиг опенвпн) - далеко не параноидально.<br><br>&gt; Что забыл?<br><br>Воспользоваться tcpdump для диагностики.<br> https://www.opennet.ru/openforum/vsluhforumID1/94993.html#1 Mon, 09 Sep 2013 09:29:37 GMT &gt;[оверквотинг удален]<br>&gt; persist-tun <br>&gt; redirect-gateway <br>&gt; ca "server.ru/ca.crt" <br>&gt; cert "server.ru/client1.crt" <br>&gt; key "server.ru/client1.key" <br>&gt; tls-auth "server.ru/ta.key" 1 <br>&gt; Коннект успешен, но видим только сам сервер- признак того, что на <br>&gt; сервере iptables надо править.<br>&gt; вроде бы так <br>&gt; iptables -A FORWARD -i tap0 -o br0 -j ACCEPT <br><br>а в обратную где?<br>&gt; iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE <br>&gt; ifconfig - br0 основной, <br>&gt; tap0 Link encap:Ethernet HWaddr A2:ED:93:FA:82:C9 <br>&gt; inet addr:10.8.0.1 <br>&gt; Bcast:10.8.0.255 Mask:255.255.255.0 <br>&gt; /proc/sys/net/ipv4/ip_forward <br>&gt; 1 <br>&gt; Что забыл?