Меню Рубрики

Установка openvpn сервер debian

Установка и настройка сервера OpenVPN на Debian

Инструкция по установке и настройке OpenVPN-сервера на базе Linux -дистрибутива Debian 8 Jessie.

Для работы OpenVPN необходима поддержка TUN/TAP интерфейса на сервере. Если вы устанавливаете OpenVPN на физической машине, либо используете виртуализацию KVM, в с этим не должно возникнуть проблем.
В случае использования OpenVZ, необходимо активировать поддержку TUN/TAP в настройках контейнера.

Проверяем поддержку в системе tun/tap-интерфейсов:

Клиенты будут использовать на сервере аутентификацию по ключу. Для этого создадим директорию в которую будут скопированы сгенерированные ключи:

И скопируем в нее утилиты и конфиги для работы с ключами:

переходим в созданную директорию:

В файле vars можно настроить параметры ключей и сертификатов. Данный пункт не обязательный и при желании его можно пропустить.

Меняем (по желанию) следующие строки:

Остальное оставляем по умолчанию.

После правки vars инициализируем переменные и очищаем каталог keys/serverот старых сертификатов и ключей:

Создание сертификатов

Создаем корневой сертификат:

В квадратных скобках будут указаны значения по умолчанию, которые вы записали в файле vars. Если вы не планируете их менять, то просто нажимайте Enter.

Генерируем сертификаты сервера и клиента:

Для каждого клиента должны быть сгенерированы отдельные ключи.

Генерируем ключ Диффи — Хеллмана:

Cоздаем ключ для tls-аутификации:

Все сгенерированные сертификаты и ключи находятся в директории /etc/openvpn/easy-rsa/keys/
Копируем сертификаты и ключи сервера в директорию OpenVPN:

На клиентскую машину OpenVPN необходимо скопировать следующие ключи и сертификаты:

client1.crt
client1.key
ca.crt
ta.key

Для понимания назначения и расположения соответствующих файлов, я сделал небольшую таблицу:

Имя файла Где необходим Назначение Секретный
ca.crt сервер + все клиенты Корневой CA-сертификат НЕТ
ca.key машина для подписи ключей Корневой CA-ключ ДА
dh.pem только сервер Параметры Diffie Hellman’а НЕТ
server.crt только сервер Сертификат сервера НЕТ
server.key только сервер Ключ сервера ДА
client1.crt только клиент1 Сертификат клиента1 НЕТ
client1.key только клиент1 Ключ клиента1 ДА
client2.crt только клиент2 Сертификат клиента2 НЕТ
client2.key только клиент2 Ключ клиента2 ДА

На этом установка сервера OpenVPN завершена, осталось настроить конфигурацию сервера.

Пример конфигурационного файла OpenVPN расположен в директории /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz, копируем и распаковываем его в /etc/openvpn:

# cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
# gzip -d /etc/openvpn/server.conf.gz

В зависимости от потребностей, изменяем настройки сервера OpenVPN:

Если вам нужно чтобы , чтобы после подключения у клиента весь траффик шел через сервер OpenVPN, то раскомментируйте строку 20:

Таким образом шлюзом по умолчанию для клиентов у вас станет OpenVPN — сервер.

Для повышения безопасности на linux-системах можно понизить права VPN-сервера, раскомментировав в конфиге сервера следующие строки:

Создаем директорию для клиентских настроек и перезагружаем сервер:

После завершения настройки OpenVPN, перезагружаем сервер:

В случае успешного запуска OpenVPN в системе должен появиться новый tun0 интерфейс:

Наличие данного интерфейса означает, что OpenVPN Запущен и работает. Если по каким-либо причинам он не появился, то смотрим лог-файл на наличие ошибок:

После подключения клиента к серверу OpenVPN, если он (клиент) находится в локальной сети, нужно дополнительно настроить маршрутизацию для доступа к ресурсам внутри сети. Для этого создаем файл в каталоге ccd с тем же именем ключа клиента:

Добавим в файл следующие параметры:

Первая строка добавляет маршрут в локальную сеть клиента. Проще говоря — говорит клиенту OpenVPN «ходить» в сеть 192.168.2.0 через сервер OpenVPN. Если ваша локалка связана еще с какой-либо подсетью, то её также нужно указать.

Вторая строка задает DNS-сервер, который будет использоваться после подключения (Если в вашей локальной сети DNS-сервер отсутствует, то можно указать ns от Google — 8.8.8.8, либо не указывать вообще.

Включаем NAT на OpenVPN сервере

Чтобы использовать OpenVPN для выхода в интернет, на сервере необходимо задать правило для маршрутизации трафика из сети OpenVPN в локальную сеть или сеть интернет-провайдера и обратно.

Чтобы включить поддержку IP forwarding, нужно в файле /etc/sysctl.conf раскомментировать строчку:

Применяем изменения (загружаем переменные ядра):

Не забываем прописать правила iptables. Нам нужно разрешить клиентам из подсети 10.10.10.0/24 доступ в интернет, разрешить принимать пакеты из интернета и пропустить трафик клиентов через NAT.

В первой строке мы разрешаем форвардинг пакетов на интерфейсе tun0.
Второй строкой разрешаем форвардинг с tun0 на eth0.
Третей — разрешаем формардинг с eth0 на tun0.

Замените eth0 на имя своего внешнего интерфейса. Следует отметить, что MASQUERADE создает нагрузку на процессор. Поэтому, предпочтительнее использовать SNAT:

iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j SNAT —to-source ВНЕШНИЙ_IP
(в моем случае внешним IP был локальный адрес OpenVPN-сервера)

Разница между SNAT и MASQUERADE:
Маскарадинг постоянно запрашивает IP адрес у интерфейса, тем самым создавая нагрузку на процессор, в то время как SNAT «знает» IP (в нашем случае мы его указываем явно, т.к он статический).

Сохраняем правила и добавляем их в автозагрузку:

Настройка клиента OpenVPN

Если OpenVPN не установлен, то установим его::

Копируем на компьютер клиента следующие ключи и сертификаты:

Затем переносим их в директорию OpenVPN — /etc/openvpn/

Копируем и распаковываем пример конфигурационного файла в содержимое директории OpenVPN:

Добавим в содержимое файла следующие параметры:

Для Windows-машин нужно положить файл client.ovpn в папку:

C:\Program Files\OpenVPN\config\

Опции протокола, шифрования и сжатия у клиента и сервера должны быть одинаковые.

На этом настройка OpenVPN в Debian закончена, проверяем его работоспособность:

Подключаемся с клиентской машины к OpenVPN-серверу , и пингуем с неё OpenVPN-сервер:

Если пинг проходит, то все хорошо, если же нет, то смотрим логи и проверяем настройки маршрутизации.

P.S. Если у вас на сервере динамический IP, то можете воспользоваться скриптом замены IP в конфиге OpenVPN, и последующей его отправкой на email.

Если возникнут какие-либо вопросы — пишите в комментариях.

источник

Как установить и настроить OpenVPN сервер на Debian 9 за 5 минут

Как установить бесплатный VPN (виртуальная частная сеть) сервер на Debian Linux версии 9.x или 8.x для защиты вашей активности в интернете от злоумышленников при открытом wi-fi или другом открытом интернет соединении?

ОpenVPN — это бесплатное и общедоступное программное обеспечение для систем типа Linux/Unix. Таким образом осуществляется двух или трех уровневая OSI защита сетевого подключения на основе протокола SSL/TLS. VPN позволяет осуществлять защищенные соединения в незащищенных общественных сетях, таких как wi-fi сеть в аэропорту или отеле. Виртуальной частной сети так же необходим доступ к вашему корпоративному, домашнему серверу или серверу компании. Вы можете обойти сайты с защитой по геолокации, повысить вашу приватность и безопасность онлайн.

Этот туториал содержит в себе пошаговые инструкции для настройки OpenVPN сервера на Debian Linux v8.x/9.x, включая настройки фаервола ufw/iptables .

  1. Найти и записать свой публичный IP адрес.
  2. Установить скрипт openvpn-install.sh.
  3. Запустить openvpn-install.sh для установки OpenVPN сервера.
  4. Подсоединить OpenVPN сервер используя IOS/Android/Linux/Windows клиент.
  5. Подтвердить возможность соединения.

Шаг 1 – Найти ваш публичный IP адрес

Используйте любую из приведенных ниже команд для определения вашего публичного IPv4 адреса. Если ваш интерфейс назван eth0 или eth1, введите:

Так же можно использовать команды host или dig как показано ниже:


Запишите публичный IP адрес 104.237.156.154, то есть публичный IP адрес вашего сервера OpenVPN.

Шаг 2 – Обновить вашу систему и установить ufw

Введите команду apt-get/команду apt для обновления системы:

После установки ядра Linux необходима перезагрузка. Для этого нужно ввести следующую команду:

Установить ufw (Простой фаервол)

Для установки ufw на Debian 9/8, нужно ввести команду apt-get

Необходимо открыть затребованные порты, такие как SHH port 22, 80, 443 и так далее:

Для включения фаервола запустим:

Состояние правил фаервола:

Шаг 3 – Установка скрипта openvpn-install.sh

Запустим скрипт openvpn-install.sh для установки и настройки сервера OpenVPN автоматически:

Когда будет установлен IP адрес 104.237.156.154 (замените 104.237.156.154 на ваш актуальный IP) и порт на 1194 (или 443, если вы не используете веб сервер). Используйте OpenDNS или Google DNS серверы с VPN. Далее, введите имя клиента (например, iPhone, Nexus6, LinuxRouter, BackupServer и другие). Наконец, нажмите клавишу ‘Enter’ для установки и настройки OpenVPN на вашей системе:


На этом всё, ваш OpenVPN сервер настроен и готов к работе. Вы можете посмотреть файл добавленных правил фаервола /etc/rc.local используя команду cat:

Вы можете посмотреть настройки вашего OpenVPN сервера сгенерировав их скриптом приведенным ниже (не редактируйте этот файл вручную):

Как запускать/останавливать/перезапускать OpenVPN сервер на Debian Linux 9.x/8.x LTS?

Для остановки службы OpenVPN:

Для запуска службы OpenVPN:

Для перезапуска службы OpenVPN:

Шаг 4 – Настройка клиента

На сервере вы найдете файл настройки клиента по имени

/macos-vpn-client.ovpn. Всё, что вам нужно сделать – скопировать этот файл на ваш локальный рабочий стол используя scp и предоставить этому файлу соединение с вашим OpenVPN клиентом:

Далее вам нужно установить OpenVPN клиент для вашей операционной системы:

Настройки клиента OpenVPN MacOS/OS X

Для начала установите OpenVPN macos клиент. Далее дважды нажмите на файл macos-vpn-client.ovpn и он откроется в вашем клиенте tunnelblick. Нажмите “Only me” для установки.


Единожды нажав на кнопку ‘Connect’ вы будете онлайн. Используйте приведенные ниже команды на клиентах MacOS для подтверждения замены вашего публичного IP на IP VPN сервера (введите в вашем локальном Linux/Unix/MacOS)

Вы можете проверить связь OpenVPN сервера частного IP:

Настройка клиента Linux OpenVPN

Установка клиента OpenVPN на RHEL/CentOS Linux командой yum:

Или установки клиента OpenVPN на Debian/Ubuntu Linux Linux используйте команду apt:

Далее, скопируйте macos-vpn-client.ovpn как показано ниже:

Проверьте соединение от CLI:

Ваша система Linux будет автоматически подключена, когда компьютер перезапустится используя скрипт /etc/init.d/openvpn:

Для систем построенных на systemd нужно поступать следующим образом:

Настройка клиента FreeBSD OpenVPN

Первое, установите клиент OpenVPN, введите:

Далее, скопируйте macos-vpn-client.ovpn следующим образом:

Редактирование /etc/rc.conf и добавление по примеру приведенному ниже:

На этом всё, у вас установлен OpenVPN сервер, что поможет достигнуть нового уровня приватности на только вашем облачном сервере Debian 9.x/8.x.

Спасибо за уделенное время на прочтение статьи!

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University.

Курсы Cisco и Linux с трудоустройством!

  • Поможем стать экспертом в сетевом администрировании и получить международные сертификаты Cisco CCNA Routing & Switching или Linux LPI.
  • Предлагаем проверенную программу и учебник экспертов из Cisco Networking Academy и Linux Professional Institute, сертифицированных инструкторов и личного куратора.
  • Поможем с трудоустройством и сделать карьеру. 100% наших выпускников трудоустраиваются.
  • Проводим вечерние онлайн-лекции на нашей платформе или обучайтесь очно на базе Киевского офиса.
  • Спросим у вас об удобном времени для практик и подстроимся: понимаем, что времени учиться мало.
  • Если хотите индивидуальный график — обсудим и осуществим.
  • Выставим четкие дедлайны для самоорганизации. Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
  • отредактировать резюме;
  • подготовиться к техническим интервью;
  • подготовиться к конкурсу на понравившуюся вакансию;
  • устроим на работу в Cisco по программе Cisco Incubator, New Graduate и Experienced. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.

Похожие записи

Список 7 лучших инструментов удаленного рабочего стола в Linux

Как установить и отключить переменные локальной, пользовательской и системной среды в Linux

Установка Docker и обучение базовым манипуляциям с контейнерами в CentOS и RHEL 7/6 — часть 1

49 комментариев . Оставить новый

Содержимое скрипта авторизации /etc/openvpn/auth.sh:
#!/bin/bash

test «$user1» = «$» && test «$pass1» = «$» && exit 0

Этот файл нужно сделать исполняемым:
chmod +x /etc/openvpn/auth.sh

В файле клиента client.conf нужно добавить:
auth-user-pass

И должно все работать: авторизация в OpenVPN с логином и паролем.

UFW — обязателен. Собственно, он делает NAT и выход в интернет.

# sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
ERROR: problem running ufw-init
modprobe: ERROR: ../libkmod/libkmod.c:586 kmod_search_moddep() could not open moddep file ‘/lib/modules/3.4.0-gad29d11/modules.dep.bin’
modprobe: FATAL: Module nf_conntrack_ftp not found in directory /lib/modules/3.4.0-gad29d11
modprobe: ERROR: ../libkmod/libkmod.c:586 kmod_search_moddep() could not open moddep file ‘/lib/modules/3.4.0-gad29d11/modules.dep.bin’
modprobe: FATAL: Module nf_nat_ftp not found in directory /lib/modules/3.4.0-gad29d11
modprobe: ERROR: ../libkmod/libkmod.c:586 kmod_search_moddep() could not open moddep file ‘/lib/modules/3.4.0-gad29d11/modules.dep.bin’
modprobe: FATAL: Module nf_conntrack_netbios_ns not found in directory /lib/modules/3.4.0-gad29d11
iptables-restore: line 77 failed
iptables-restore: line 30 failed
ip6tables-restore: line 138 failed

Problem running ‘/etc/ufw/before.rules’
Problem running ‘/etc/ufw/after.rules’
Problem running ‘/etc/ufw/before6.rules’

# sudo ufw status
Status: active

To Action From
— —— —-
22 ALLOW Anywhere
80 ALLOW Anywhere
443 ALLOW Anywhere
3128 ALLOW Anywhere
1194 ALLOW Anywhere
22 (v6) ALLOW Anywhere (v6)
80 (v6) ALLOW Anywhere (v6)
443 (v6) ALLOW Anywhere (v6)
3128 (v6) ALLOW Anywhere (v6)
1194 (v6) ALLOW Anywhere (v6)

Буду благодарен за помощь!

#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
# ufw-before-input
# ufw-before-output
# ufw-before-forward
#

# START OPENVPN RULES
# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]
# Allow traffic from OpenVPN client to eth0
-A POSTROUTING -s 192.168.0.0/16 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.0.0.0/8 -o eth0 -j MASQUERADE
-A POSTROUTING -s 172.16.0.0/12 -o eth0 -j MASQUERADE
COMMIT
# END OPENVPN RULES

# Don’t delete these required lines, otherwise there will be errors
*filter
:ufw-before-input — [0:0]
:ufw-before-output — [0:0]
:ufw-before-forward — [0:0]
:ufw-not-local — [0:0]
# End required lines

Добавьте то чего у вас не хватает.

Прокси работает от ip сервера и для него не нужен NAT, а для OpenVPN — нужен.

после коррекции запустил ufw , тот же исход,запускается но с теми же ошибками
[email protected]:

# sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
ERROR: problem running ufw-init
modprobe: ERROR: ../libkmod/libkmod.c:586 kmod_search_moddep() could not open moddep file ‘/lib/modules/3.4.0-gad29d11/modules.dep.bin’
modprobe: FATAL: Module nf_conntrack_ftp not found in directory /lib/modules/3.4.0-gad29d11
modprobe: ERROR: ../libkmod/libkmod.c:586 kmod_search_moddep() could not open moddep file ‘/lib/modules/3.4.0-gad29d11/modules.dep.bin’
modprobe: FATAL: Module nf_nat_ftp not found in directory /lib/modules/3.4.0-gad29d11
modprobe: ERROR: ../libkmod/libkmod.c:586 kmod_search_moddep() could not open moddep file ‘/lib/modules/3.4.0-gad29d11/modules.dep.bin’
modprobe: FATAL: Module nf_conntrack_netbios_ns not found in directory /lib/modules/3.4.0-gad29d11
iptables-restore: line 88 failed
iptables-restore: line 30 failed
ip6tables-restore: line 138 failed

Problem running ‘/etc/ufw/before.rules’
Problem running ‘/etc/ufw/after.rules’
Problem running ‘/etc/ufw/before6.rules’

я так понимаю из за последних трех в нет и не пускает.

Chain INPUT (policy ACCEPT)
target prot opt source destination
bw_INPUT all — anywhere anywhere
fw_INPUT all — anywhere anywhere
ufw-before-logging-input all — anywhere anywhere
ufw-before-input all — anywhere anywhere
ufw-after-input all — anywhere anywhere
ufw-after-logging-input all — anywhere anywhere
ufw-reject-input all — anywhere anywhere
ufw-track-input all — anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
oem_fwd all — anywhere anywhere
fw_FORWARD all — anywhere anywhere
bw_FORWARD all — anywhere anywhere
natctrl_FORWARD all — anywhere anywhere
ufw-before-logging-forward all — anywhere anywhere
ufw-before-forward all — anywhere anywhere
ufw-after-forward all — anywhere anywhere
ufw-after-logging-forward all — anywhere anywhere
ufw-reject-forward all — anywhere anywhere
ufw-track-forward all — anywhere anywhere
ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all — 10.8.0.0/24 anywhere
REJECT all — anywhere anywhere reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
oem_out all — anywhere anywhere
fw_OUTPUT all — anywhere anywhere
st_OUTPUT all — anywhere anywhere
bw_OUTPUT all — anywhere anywhere
ufw-before-logging-output all — anywhere anywhere
ufw-before-output all — anywhere anywhere
ufw-after-output all — anywhere anywhere
ufw-after-logging-output all — anywhere anywhere
ufw-reject-output all — anywhere anywhere
ufw-track-output all — anywhere anywhere

Chain bw_FORWARD (1 references)
target prot opt source destination

Chain bw_INPUT (1 references)
target prot opt source destination
all — anywhere anywhere UNKNOWN match `quota2′
all — anywhere anywhere owner socket exists

Chain bw_OUTPUT (1 references)
target prot opt source destination
all — anywhere anywhere UNKNOWN match `quota2′
all — anywhere anywhere owner socket exists

Chain bw_costly_shared (0 references)
target prot opt source destination
bw_penalty_box all — anywhere anywhere

Chain bw_happy_box (0 references)
target prot opt source destination

Chain bw_penalty_box (1 references)
target prot opt source destination

Chain fw_FORWARD (1 references)
target prot opt source destination

Chain fw_INPUT (1 references)
target prot opt source destination
fw_standby all — anywhere anywhere

Chain fw_OUTPUT (1 references)
target prot opt source destination
fw_standby all — anywhere anywhere

Chain fw_dozable (0 references)
target prot opt source destination
RETURN all — anywhere anywhere owner UID match 10446
RETURN all — anywhere anywhere owner UID match aid_radio
RETURN all — anywhere anywhere owner UID match aid_nfc
RETURN all — anywhere anywhere owner UID match 10009
RETURN all — anywhere anywhere owner UID match 10024
RETURN all — anywhere anywhere owner UID match 10026
RETURN all — anywhere anywhere owner UID match 10075
RETURN all — anywhere anywhere owner UID match 10188
RETURN all — anywhere anywhere owner UID match 0-9999
DROP all — anywhere anywhere

Chain fw_standby (2 references)
target prot opt source destination
DROP all — anywhere anywhere owner UID match 10096
DROP all — anywhere anywhere owner UID match 10437
DROP all — anywhere anywhere owner UID match 10034
DROP all — anywhere anywhere owner UID match 10116
DROP all — anywhere anywhere owner UID match 10088
DROP all — anywhere anywhere owner UID match 10000
DROP all — anywhere anywhere owner UID match 10090
DROP all — anywhere anywhere owner UID match 10048
DROP all — anywhere anywhere owner UID match 10133
DROP all — anywhere anywhere owner UID match 10063
DROP all — anywhere anywhere owner UID match 10065
DROP all — anywhere anywhere owner UID match 10109
DROP all — anywhere anywhere owner UID match 10443
DROP all — anywhere anywhere owner UID match 10441
DROP all — anywhere anywhere owner UID match 10003
DROP all — anywhere anywhere owner UID match 10089
DROP all — anywhere anywhere owner UID match 10132
DROP all — anywhere anywhere owner UID match 10369
DROP all — anywhere anywhere owner UID match 10445
DROP all — anywhere anywhere owner UID match 10041
DROP all — anywhere anywhere owner UID match 10178
DROP all — anywhere anywhere owner UID match 10320
DROP all — anywhere anywhere owner UID match 10442
DROP all — anywhere anywhere owner UID match 10001
DROP all — anywhere anywhere owner UID match 10008
DROP all — anywhere anywhere owner UID match 10010
DROP all — anywhere anywhere owner UID match 10011
DROP all — anywhere anywhere owner UID match 10012
DROP all — anywhere anywhere owner UID match 10015
DROP all — anywhere anywhere owner UID match 10016
DROP all — anywhere anywhere owner UID match 10017
DROP all — anywhere anywhere owner UID match 10018
DROP all — anywhere anywhere owner UID match 10020
DROP all — anywhere anywhere owner UID match 10021
DROP all — anywhere anywhere owner UID match 10022
DROP all — anywhere anywhere owner UID match 10023
DROP all — anywhere anywhere owner UID match 10025
DROP all — anywhere anywhere owner UID match 10027
DROP all — anywhere anywhere owner UID match 10028
DROP all — anywhere anywhere owner UID match 10029
DROP all — anywhere anywhere owner UID match 10030
DROP all — anywhere anywhere owner UID match 10032
DROP all — anywhere anywhere owner UID match 10035
DROP all — anywhere anywhere owner UID match 10037
DROP all — anywhere anywhere owner UID match 10038
DROP all — anywhere anywhere owner UID match 10039
DROP all — anywhere anywhere owner UID match 10040
DROP all — anywhere anywhere owner UID match 10042
DROP all — anywhere anywhere owner UID match 10043
DROP all — anywhere anywhere owner UID match 10044
DROP all — anywhere anywhere owner UID match 10045
DROP all — anywhere anywhere owner UID match 10047
DROP all — anywhere anywhere owner UID match 10049
DROP all — anywhere anywhere owner UID match 10050
DROP all — anywhere anywhere owner UID match 10051
DROP all — anywhere anywhere owner UID match 10052
DROP all — anywhere anywhere owner UID match 10055
DROP all — anywhere anywhere owner UID match 10056
DROP all — anywhere anywhere owner UID match 10057
DROP all — anywhere anywhere owner UID match 10058
DROP all — anywhere anywhere owner UID match 10059
DROP all — anywhere anywhere owner UID match 10060
DROP all — anywhere anywhere owner UID match 10061
DROP all — anywhere anywhere owner UID match 10062
DROP all — anywhere anywhere owner UID match 10064
DROP all — anywhere anywhere owner UID match 10069
DROP all — anywhere anywhere owner UID match 10071
DROP all — anywhere anywhere owner UID match 10074
DROP all — anywhere anywhere owner UID match 10077
DROP all — anywhere anywhere owner UID match 10081
DROP all — anywhere anywhere owner UID match 10082
DROP all — anywhere anywhere owner UID match 10083
DROP all — anywhere anywhere owner UID match 10085
DROP all — anywhere anywhere owner UID match 10086
DROP all — anywhere anywhere owner UID match 10091
DROP all — anywhere anywhere owner UID match 10097
DROP all — anywhere anywhere owner UID match 10103
DROP all — anywhere anywhere owner UID match 10105
DROP all — anywhere anywhere owner UID match 10113
DROP all — anywhere anywhere owner UID match 10122
DROP all — anywhere anywhere owner UID match 10129
DROP all — anywhere anywhere owner UID match 10131
DROP all — anywhere anywhere owner UID match 10137
DROP all — anywhere anywhere owner UID match 10138
DROP all — anywhere anywhere owner UID match 10140
DROP all — anywhere anywhere owner UID match 10159
DROP all — anywhere anywhere owner UID match 10160
DROP all — anywhere anywhere owner UID match 10171
DROP all — anywhere anywhere owner UID match 10199
DROP all — anywhere anywhere owner UID match 10231
DROP all — anywhere anywhere owner UID match 10300
DROP all — anywhere anywhere owner UID match 10302
DROP all — anywhere anywhere owner UID match 10321
DROP all — anywhere anywhere owner UID match 10357
DROP all — anywhere anywhere owner UID match 10373
DROP all — anywhere anywhere owner UID match 10381
DROP all — anywhere anywhere owner UID match 10406
DROP all — anywhere anywhere owner UID match 10411
DROP all — anywhere anywhere owner UID match 10424
DROP all — anywhere anywhere owner UID match 10447

Chain natctrl_FORWARD (1 references)
target prot opt source destination
DROP all — anywhere anywhere

Chain natctrl_tether_counters (0 references)
target prot opt source destination

Chain oem_fwd (1 references)
target prot opt source destination

Chain oem_out (1 references)
target prot opt source destination

Chain st_OUTPUT (1 references)
target prot opt source destination

Chain st_clear_caught (2 references)
target prot opt source destination

Chain st_clear_detect (0 references)
target prot opt source destination
REJECT all — anywhere anywhere connmark match 0x2000000/0x2000000 reject-with icmp-port-unreachable
RETURN all — anywhere anywhere connmark match 0x1000000/0x1000000
CONNMARK tcp — anywhere anywhere u32 «0x0>>0x16&[email protected]>>0x1a&[email protected]&0xffff0000=0x16030000&&0x0>>0x16&[email protected]>>0x1a&[email protected]&0xff0000=0x10000» CONNMARK or 0x1000000
CONNMARK udp — anywhere anywhere u32 «0x0>>0x16&[email protected]&0xffff0000=0x16fe0000&&0x0>>0x16&[email protected]&0xff0000=0x10000» CONNMARK or 0x1000000
RETURN all — anywhere anywhere connmark match 0x1000000/0x1000000
st_clear_caught tcp — anywhere anywhere state ESTABLISHED u32 «0x0>>0x16&[email protected]>>0x1a&[email protected]&0x0=0x0»
st_clear_caught udp — anywhere anywhere

Chain st_penalty_log (0 references)
target prot opt source destination
CONNMARK all — anywhere anywhere CONNMARK or 0x1000000
NFLOG all — anywhere anywhere

Chain st_penalty_reject (0 references)
target prot opt source destination
CONNMARK all — anywhere anywhere CONNMARK or 0x2000000
NFLOG all — anywhere anywhere
REJECT all — anywhere anywhere reject-with icmp-port-unreachable

Chain ufw-after-forward (1 references)
target prot opt source destination

Chain ufw-after-input (1 references)
target prot opt source destination

Chain ufw-after-logging-forward (1 references)
target prot opt source destination

Chain ufw-after-logging-input (1 references)
target prot opt source destination

Chain ufw-after-logging-output (1 references)
target prot opt source destination

Chain ufw-after-output (1 references)
target prot opt source destination

Chain ufw-before-forward (1 references)
target prot opt source destination

Chain ufw-before-input (1 references)
target prot opt source destination

Chain ufw-before-logging-forward (1 references)
target prot opt source destination

Chain ufw-before-logging-input (1 references)
target prot opt source destination

Chain ufw-before-logging-output (1 references)
target prot opt source destination

Chain ufw-before-output (1 references)
target prot opt source destination

Chain ufw-reject-forward (1 references)
target prot opt source destination

Chain ufw-reject-input (1 references)
target prot opt source destination

Chain ufw-reject-output (1 references)
target prot opt source destination

Chain ufw-track-forward (1 references)
target prot opt source destination

Chain ufw-track-input (1 references)
target prot opt source destination

Chain ufw-track-output (1 references)
target prot opt source destination

netstat -rn
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 10.2.2.1 0.0.0.0 UG 0 0 0 eth0
10.2.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
10.8.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0

IP-Forward на сервере включил, но все равно клиент без интернета. Настройки сервера OVPN такие же как в этой статье.
Что можно ещё попробовать ?

источник

Читайте также:  Установка виндовса на mac

Добавить комментарий