On 21 Feb 2019, at 16:50, Miroslav Misek <miroslav.misek@netgarden.cz> wrote:

Tohle natuje vsechny odchozi pakety. Tzn i ty primo z VPS. Tim nechci rict, ze je to spatne :-)
Posli jeste vypis:
iptables -L -v -n
sysctl -a | grep net.ipv4.ip_forward

On 21. 02. 19 16:44, Lukáš Němec wrote:

Ahoj,

už jsem našel ten iptables, a zdá se že to nějaké pakety natuje, ale klient stále nepingá nikam :/

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination

13469  842K SNAT       all  --  *      venet0  0.0.0.0/0            0.0.0.0/0            to:37.205.10.108

Díky,

Lukáš

On 21 Feb 2019, at 16:41, Lukáš Němec <lu.nemec@gmail.com> wrote:

Ahoj,

díky za odpovědi, zkusil jsem co jste psali, a stále nefunguje. Připojím se OK, ale ping 8.8.8.8 píše no route to host, nebo timeoutuje.

IPv4 forwarding jsem zapl, a přidal nat dle wiki, ale tahle část se mi nějak nezdá, když se snažím vylistovat pravidla v POSTROUTING, píše mi iptables že takový chain nezná. To nechápu.

root@nemec /etc/openvpn # ip addr show dev venet0:0 scope global                                                                       

2: venet0: <BROADCAST,POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN

    link/void

    inet 37.205.10.108/32 brd 37.205.10.108 scope global venet0:0

    inet6 2a01:430:17:1::ffff:71/128 scope global

       valid_lft forever preferred_lft forever

root@nemec /etc/openvpn # iptables -t nat -A POSTROUTING  -o venet0 -j SNAT --to 37.205.10.108                                         

root@nemec /etc/openvpn # iptables -L POSTROUTING                                                                                     

iptables: No chain/target/match by that name. 

Můj server config:

mode server

tls-server

port 1194

proto tcp-server

dev tap1

client-config-dir ccd

tun-mtu 1500

ca /etc/openvpn/easy-rsa/keys/ca.crt

cert /etc/openvpn/easy-rsa/keys/nemec.crt

key /etc/openvpn/easy-rsa/keys/nemec.key

dh /etc/openvpn/easy-rsa/keys/dh2048.pem

topology subnet

server 172.16.123.0 255.255.255.0

push "redirect-gateway def1 bypass-dhcp"

push "dhcp-option DNS 8.8.8.8"

ifconfig-pool-persist ipp.txt

keepalive 10 120

max-clients 10

cipher AES-256-CBC

user nobody

group nogroup

persist-key

persist-tun

status /tmp/openvpn.status 1

log-append /var/log/openvpn.log

status-version 3

verb 4

mute 20

reneg-sec 180

Díky za jakékoliv rady,

Lukáš

On 21 Feb 2019, at 14:57, Miroslav Misek <miroslav.misek@netgarden.cz> wrote:

Pokud ma OpenVPN fungovat jako gateway (tzn klient pak bude posilat vsechny data do internetu pres VPN),
tak je potreba jeste nastavit bud na klientovi:
  redirect-gateway
nebo na serveru:
  push "redirect-gateway"

A navic v iptables (firewalld) nastavit masquerade (aby data pochazejici z vpn pri preposilani do internetu mela source ip toho VPSka.
A jak uz bylo napsano v predeslem emailu je potreba povolit ip forwarding (echo 1 > /proc/sys/net/ipv4/ip_forward) a taky forwarding ve firewallu (iptables, firewalld).

Miroslav Misek

On 21. 02. 19 14:16, Jiri Drozd wrote:

Ahoj,

uz nevim podle ceho sem to nastavoval, tady je muj config ktery funguje:

port 1111
proto udp
dev tun
ca /etc/openvpn/full/keys/ca.crt
cert /etc/openvpn/full/keys/server.crt
key /etc/openvpn/full/keys/server.key
dh /etc/openvpn/full/keys/dh2048.pem
topology subnet
server 172.16.123.0 255.255.255.0
ifconfig-pool-persist ipp-full.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 30
tls-auth /etc/openvpn/easy-rsa-full/keys/ta.key 0
cipher AES-256-CBC
comp-lzo
max-clients 100
user nobody
group nogroup
persist-key
persist-tun
status openvpn-full-status.log
verb 3
mute 20
reneg-sec 180

treba mit jeste povoleny forwarding https://linuxconfig.org/how-to-turn-on-off-ip-forwarding-in-linux

a pokud mas zaple iptables tak zkontroluj, ze ti tam ten traffic nic neblokuje (asi nejlepsi nachvilku vypnout firewall uplne)

JDrozd / Buger

---

From: "Lukáš Němec" <lu.nemec@gmail.com>
To: "vpsFree.cz Community list" <community-list@lists.vpsfree.cz>
Sent: Friday, February 15, 2019 5:29:57 PM
Subject: [vpsFree.cz: community-list] OpenVPN config

Ahoj,

Snažím se rozjet openvpn jako internet gateway na vpsce. Jel jsem podle návodu na wiki vpsfree ale zdá se zastaralý. Už jsem ve stavu kdy se v pohodě připojím na vps vpn, ale net nefunguje-asi bude špatně ip adresa pro nat v návodu wiki? (https://kb.vpsfree.cz/navody/server/openvpn)

Našel jsem ještě maily z 2017 z tohoto listu ale nevím jestli ta konfigurace bude platit.

Poradíte? Btw configy mám stejné jako v návodu-jel jsem krok za krokem.

Díky,

Lukáš

_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list

_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list

_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list

_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list

_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list