Ru-Board.club
← Вернуться в раздел «UNIX»

» CentOS OpenVPN iptables

Автор: xxx2008
Дата сообщения: 16.06.2009 18:17
Народ, помоги на сабже настроить iptables для работы с OpenVPN. Если максимально абстрагироваться и начать с нуля, то есть OpenVPN сервис на 1723 порту, локальный ип сервера на котором висит опенвпн 123.123.123 с адаптером eth0, внутренняя OpenVPN сеть 10.8.0.0/24 с интерфейсом tun0 в которой помещаются клиенты. Мне надо настроить нат так, чтобы клиенты из впн сети могли ходить в интернет через сервер 123.123.123.123.
Допустим, в /etc/sysconfig/iptables есть только эти строчки:

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
UTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
#OpenVPN (разрешает подключения к сервису)
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 1723 -j ACCEPT

Пробовал по раазному настраивать - максимум чего добился это пинг идущие на внешние ипы, а вот на сайт попасть нельзя. Посоветуйте плз. Спасибо!

P.S. часть /etc/openvpn/server.conf

server 10.8.0.0 255.255.255.0
push "redirect-gateway def1" (чтобы всё было автоматом через это подключения у клиентов)

def1 - может eth0 или tun0? Так и не понял до конца что надо.
Автор: s1ash
Дата сообщения: 16.06.2009 20:56
а айпитаблах разрешить ходить на 80 порт для веб и другие которые могут понадобится
Автор: xxx2008
Дата сообщения: 16.06.2009 21:33
Эээ, с радостью бы, можно правило?
Уже хочу всё построчно написанное, чтобы проблем не было, а то сам напишу бяку какую-нибудь.

Добавлено:
Спасибо за наводку! Точно, сделал уже сам - разрешил коннекты и всё запахало. Фухх!

З.Ы. А можно сделать так, чтобы если есть реальный диапазон ипов для инета, то они бы раздавались OpenVPN клиентам и были видны с инета, а не ип сервера?

Добавлено:
З.З.Ы. А какие требуются настройки в OpenVPN чтобы клиентам раздавать как можно меньше ключей и отсутсвие конфига как такового, т.е. чтобы через командную строку все параметры передавались? (желательно чтобы вообще никаких не было ключей или один)
Автор: s1ash
Дата сообщения: 17.06.2009 08:08
давно не возился с опенвпн
советую почитать официальный хауту там очень подробно все расписано
http://openvpn.net/index.php/access-server/howto-openvpn-as.html
Автор: xxx2008
Дата сообщения: 17.06.2009 08:18
не это не то - у меня не openvpn access server
Автор: xxx2008
Дата сообщения: 19.06.2009 16:42
народ, подскажи - как настроить опенвпн чтобы ипы внутренний сети были у каждого клиента внешними - т.е. есть выкупленный диапазон, с которого будут назначаться адреса опенвпн клиентам и надо чтобы клиенты с этих адресов ходили в инет

Страницы: 1

Предыдущая тема: IPsec VPN. Debian 5 <-> Watchguard Firebox

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.