Điểm:0

OpenVPN LAN đã kết nối - nhưng không có internet trên máy khách

lá cờ us

Tôi đã cố gắng làm cho nó hoạt động được một lúc, tôi có một máy chủ openvpn (được cài đặt bằng Angristan https://github.com/angristan/openvpn-install ) trên Openvz 7 vps chạy debian 10 . Vì vậy, hầu hết những thứ cấu hình đã được xử lý bởi nó.Nó đã tạo một tệp cấu hình máy khách (myClient.ovpn) mà tôi đã tải xuống trên máy khách. Trên máy khách (là linux mint 20.3), tôi đang thử kết nối bằng cách sử dụng:

openvpn --client --config myClient.ovpn

Nó kết nối tốt, bây giờ tôi có thể ping cổng vpn tức là. (từ khách hàng):

PING 10.8.0.1 (10.8.0.1) 56(84) byte dữ liệu.
64 byte từ 10.8.0.1: icmp_seq=1 ttl=64 time=87,9 ms
64 byte từ 10.8.0.1: icmp_seq=2 ttl=64 time=86,6 ms
64 byte từ 10.8.0.1: icmp_seq=3 ttl=64 time=86,6 ms
^C
--- Thống kê ping 10.8.0.1 ---
Truyền 3 gói, nhận 3 gói, mất gói 0%, thời gian 2003ms
rtt tối thiểu/trung bình/tối đa/mdev = 86,551/87,041/87,946/0,640 ms

Nhưng tôi không thể ping google hoặc bất cứ thứ gì khác, rõ ràng là vấn đề định tuyến/NAT của nó. Tôi không thể tìm ra lỗi với kiến ​​thức hạn chế của mình:

ping 8.8.8.8 Đang thất bại .

Dns đang hoạt động bình thường như thể tôi sử dụng ping yahoo.com thì nó chuyển thành IP của yahoo nhưng lại không thể ping được.

$ping yahoo.com
PING yahoo.com (74.6.143.25) 56(84) byte dữ liệu.

--- thống kê ping yahoo.com ---
Đã truyền 4 gói, 0 nhận, mất gói 100%, thời gian 3154ms```

Chi tiết máy chủ:

Phiên bản openvpn:

~# openvpn --version
OpenVPN 2.4.7 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] được xây dựng vào ngày 28 tháng 4 năm 2021
phiên bản thư viện: OpenSSL 1.1.1d 10 tháng 9 năm 2019, LZO 2.10
Ban đầu được phát triển bởi James Yonan

uname -a

~#uname -a
Linux mySerer.domainHost.com 4.19.0 #1 SMP Thứ ba ngày 25 tháng 8 11:59:26 MSK 2020 x86_64 GNU/Linux

Lưu ý: Đây là vps dựa trên openvz 7

Cấu hình máy chủ:

người phục vụ
con mèo /etc/openvpn/server.conf
cổng 2220
proto udp
nhà phát triển điều chỉnh
người dùng không ai
nhóm không có nhóm
phím kiên trì
kiên trì điều chỉnh
lưu giữ 10 120
mạng con cấu trúc liên kết
máy chủ 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
đẩy "DNS tùy chọn dhcp 208.67.222.222"
đẩy "DNS tùy chọn dhcp 208.67.220.220"
đẩy "chuyển hướng cổng def1 bỏ qua-dhcp"
dh không
ecdh-đường cong prime256v1
tls-crypt tls-crypt.key
crl-xác minh crl.pem
ca ca.crt
máy chủ chứng chỉ_JCJHDggypybdTuKJ.crt
khóa máy chủ_JCJHDggypybdTuKJ.key
xác thực SHA256
mật mã AES-128-GCM
mật mã ncp AES-128-GCM
máy chủ tls
tls-phiên bản-tối thiểu 1.2
mật mã tls TLS-ECDHE-ECDSA-VỚI-AES-128-GCM-SHA256
client-config-dir /etc/openvpn/ccd
trạng thái /var/log/openvpn/status.log
động từ 4 

Chi tiết mạng sau khi khởi động máy chủ openvpn:

~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 trạng thái qdisc noqueue nhóm UNKNOWN mặc định qlen 1000
    liên kết/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    máy chủ phạm vi inet 127.0.0.1/8 lo
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
    inet6 ::1/128 máy chủ phạm vi
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
2: venet0: <BROADCAST,POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1500 trạng thái qdisc noqueue nhóm UNKNOWN mặc định
    liên kết/khoảng trống
    inet 127.0.0.1/32 phạm vi máy chủ venet0
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
    inet Y.Y.Y.Y/32 brd Y.Y.Y.Y phạm vi toàn cầu venet0:0
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
    inet6 2402:x:x:x:x::dc37/80 phạm vi toàn cầu
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
    inet6 ::2/128 phạm vi toàn cầu
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
7: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 trạng thái qdisc pfifo_fast nhóm UNKNOWN mặc định qlen 500
    liên kết/không có
    inet 10.8.0.1/24 brd 10.8.0.255 phạm vi toàn cầu tun0
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
    inet6 fe80::505f:b97:1101:5f33/64 phạm vi liên kết ổn định-riêng tư
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi

Trên máy chủ (quy tắc iptables)

  iptables -t nat -L -n -v
Chuỗi PREROUTING (chính sách CHẤP NHẬN 0 gói, 0 byte)
 pkts byte đích prot chọn không tham gia đích nguồn

Chuỗi INPUT (chính sách CHẤP NHẬN 0 gói, 0 byte)
 pkts byte đích prot chọn không tham gia đích nguồn

Chuỗi POSTROUTING (chính sách CHẤP NHẬN 0 gói, 0 byte)
 pkts byte đích prot chọn không tham gia đích nguồn
    0 0 GIẢ MẠO tất cả -- * venet0 10.8.0.0/24 0.0.0.0/0

ĐẦU RA chuỗi (chính sách CHẤP NHẬN 0 gói, 0 byte)
 pkts byte đích prot chọn không tham gia đích nguồn
# Cảnh báo: có bảng iptables-legacy, hãy sử dụng iptables-legacy để xem chúng 

Trên máy chủ, tuyến ip:

 tuyến đường $ ip
liên kết phạm vi dev venet0 mặc định
10.8.0.0/24 dev tun0 liên kết phạm vi kernel proto src 10.8.0.1

Trạng thái chuyển tiếp (trên máy chủ)

hệ thống -a | chuyển tiếp grep
net.ipv4.conf.all.chuyển tiếp = 1
net.ipv4.conf.all.mc_forwarding = 0
net.ipv4.conf.default.forwarding = 1
net.ipv4.conf.default.mc_forwarding = 0
net.ipv4.conf.lo.chuyển tiếp = 1
net.ipv4.conf.lo.mc_forwarding = 0
net.ipv4.conf.tun0.chuyển tiếp = 1
net.ipv4.conf.tun0.mc_forwarding = 0
net.ipv4.conf.venet0.forwarding = 1
net.ipv4.conf.venet0.mc_forwarding = 0
net.ipv6.conf.all.chuyển tiếp = 0
net.ipv6.conf.all.mc_forwarding = 0
net.ipv6.conf.default.forwarding = 0
net.ipv6.conf.default.mc_forwarding = 0
net.ipv6.conf.lo.chuyển tiếp = 0
net.ipv6.conf.lo.mc_forwarding = 0
net.ipv6.conf.tun0.chuyển tiếp = 0
net.ipv6.conf.tun0.mc_forwarding = 0
net.ipv6.conf.venet0.forwarding = 0
net.ipv6.conf.venet0.mc_forwarding = 0

Máy khách có thể kết nối với VPN, tôi có thể ping cổng vpn (10.8.0.1) như đã đề cập ở trên.

định tuyến trên máy khách sau khi kết nối với VPN:

định tuyến sau khi kết nối với VPN: 
tuyến đường $
Bảng định tuyến IP hạt nhân
Cổng đích Genmask Flag Metric Ref Sử dụng Iface
0.0.0.0 10.8.0.1 128.0.0.0 UG 0 0 0 tun0
mặc định CLIENT-HOSTNAME 0.0.0.0 UG 0 0 0 eth0
10.8.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
128.0.0.0 10.8.0.1 128.0.0.0 UG 0 0 0 tun0
MÁY CHỦ-HOSTNAME KHÁCH HÀNG-HOSTNAME 255.255.255.255 UGH 0 0 0 eth0
192.168.224.0 0.0.0.0 255.255.240.0 U 0 0 0 eth0

Tôi hiện không có ý tưởng nào, mặc dù các quy tắc NAT có vẻ ổn trên máy chủ, tuyến máy khách cũng hiển thị cấu hình phù hợp. Vì tôi không tham gia mạng, nên không thể tìm ra điều này. Việc thiết lập VPN đơn giản hóa ra lại tốn kém thời gian. Nó có liên quan gì đến máy chủ dựa trên openVZ 7 không.

CSF đang hoạt động bình thường nên tôi cho rằng các mô-đun cần thiết cho iptabless có sẵn trên máy chủ.

perl csftest.pl
Đang kiểm tra ip_tables/iptable_filter...OK
Đang kiểm tra ipt_LOG...OK
Kiểm tra ipt_multiport/xt_multiport...OK
Đang kiểm tra ipt_REJECT...OK
Kiểm tra ipt_state/xt_state...OK
Kiểm tra ipt_limit/xt_limit...OK
Đang kiểm tra ipt_recent...OK
Đang kiểm tra xt_connlimit...OK
Đang kiểm tra ipt_owner/xt_owner...OK
Đang kiểm tra iptable_nat/ipt_REDIRECT...OK
Kiểm tra iptable_nat/ipt_DNAT...OK

Tôi cũng đã dùng thử trên ứng dụng khách Debian 10 cũng như linuxmin 20.x, hành vi tương tự, ứng dụng khách có thể kết nối, có thể sử dụng VPN lan nhưng không thể duyệt internet.

Nếu bất cứ điều gì khác là cần thiết, xin vui lòng cho tôi biết.

lá cờ in
tcpdump các giao diện để đảm bảo các gói đến trên giao diện vpn trên máy chủ, sau đó kiểm tra xem chúng có đi ra khỏi giao diện định tuyến mặc định từ máy chủ hay không và liệu chúng có quay lại hay không. vân vân.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.