Openvpn не работает NAT почему?

Обсуждение ПО и его настройки
Ответить
vlad.tatarintsev
Сообщения: 4
Зарегистрирован: 20 сен 2018, 10:01

Всем привет, есть маршрутизатор и на нём есть автономная система,и заблокированные сайты провайдера.
Для обхода поднял на vps openvpn, коннект есть, пинги на заблоченные сайты есть, на самом микроте через интерфейс если пинга.
но в сеть абонам ничего не прилетает.
Блок айпи абонов 172.16.0.0/16 адрес внутренненго адреса OVPN туннеля.
Помогите разобраться.
 
4 chain=srcnat action=same to-addresses=193.57.47.2 same-not-by-dst=yes src-address=172.16.2.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
5 chain=srcnat action=same to-addresses=193.57.47.3 same-not-by-dst=yes src-address=172.16.21.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
6 chain=srcnat action=same to-addresses=193.57.47.3 same-not-by-dst=yes src-address=172.16.3.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
7 chain=srcnat action=same to-addresses=193.57.47.4 same-not-by-dst=yes src-address=172.16.4.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
8 chain=srcnat action=same to-addresses=193.57.47.4 same-not-by-dst=yes src-address=172.16.41.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
9 chain=srcnat action=same to-addresses=193.57.47.6 same-not-by-dst=yes src-address=172.16.6.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
10 chain=srcnat action=same to-addresses=193.57.47.6 same-not-by-dst=yes src-address=172.16.61.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
11 chain=srcnat action=same to-addresses=193.57.47.8 same-not-by-dst=yes src-address=172.16.8.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
12 chain=srcnat action=same to-addresses=193.57.47.8 same-not-by-dst=yes src-address=172.16.81.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
13 chain=srcnat action=same to-addresses=193.57.47.10 same-not-by-dst=yes src-address=172.16.10.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
14 chain=srcnat action=same to-addresses=193.57.47.12 same-not-by-dst=yes src-address=172.16.12.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
15 chain=srcnat action=same to-addresses=193.57.47.14 same-not-by-dst=yes src-address=172.16.14.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
16 chain=srcnat action=same to-addresses=193.57.47.16 same-not-by-dst=yes src-address=172.16.16.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
17 chain=srcnat action=same to-addresses=193.57.47.18 same-not-by-dst=yes src-address=172.16.18.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
18 chain=srcnat action=same to-addresses=193.57.47.20 same-not-by-dst=yes src-address=172.16.20.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
19 chain=srcnat action=same to-addresses=193.57.47.22 same-not-by-dst=yes src-address=172.16.22.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
20 chain=srcnat action=same to-addresses=193.57.47.22 same-not-by-dst=yes src-address=172.16.221.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
21 chain=srcnat action=same to-addresses=193.57.47.22 same-not-by-dst=yes src-address=172.16.222.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
22 chain=srcnat action=same to-addresses=193.57.47.23 same-not-by-dst=yes src-address=172.16.23.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
23 chain=srcnat action=same to-addresses=193.57.47.24 same-not-by-dst=yes src-address=172.16.24.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
24 chain=srcnat action=same to-addresses=193.57.47.25 same-not-by-dst=yes src-address=172.16.25.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
25 chain=srcnat action=same to-addresses=193.57.47.26 same-not-by-dst=yes src-address=172.16.26.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
26 chain=srcnat action=same to-addresses=193.57.47.27 same-not-by-dst=yes src-address=172.16.27.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
27 chain=srcnat action=same to-addresses=193.57.47.28 same-not-by-dst=yes src-address=172.16.28.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
28 chain=srcnat action=same to-addresses=193.57.47.30 same-not-by-dst=yes src-address=172.16.30.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""

name="OVPN" mac-address=02:2E:0D:15:BC:FC max-mtu=1500 connect-to=185.229.225.86 port=1194 mode=ip user="root" password="" profile=default certificate=client.crt_0 auth=sha1 cipher=aes256 add-default-route=no

10.8.0.2/24 10.8.0.0 OVPN

172.16.0.0/16 абонентские внутренние адреса,
193.57.47.0/24 блок айпи автономной системы,
10.8.0.2.24 это внутренний адрес VPS.
Например беру, собираю стенд, на абонентском роутере.Поднимаю опенвпн.То всё работает.
Нат работает вот так,
chain=srcnat action=same to-addresses=10.8.0.2 same-not-by-dst=no out-interface=OVPN log=no log-prefix=""


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Не присутствует ли некоторая избыточность у вас в правилах? Да ещё этот параметр same, вы уверены в его правильном применении? Чем вам обычный маскарад не угодил? Или src-nat к примеру?
Ведь в простейшем случае правила с маскарадом выглядят примерно так:

Код: Выделить всё

ip firewall nat
add action=masquerade chain=srcnat dst-address-list=Zapret out-interface=ovpn-out src-address-list="My user"
add action=masquerade chain=srcnat dst-address-list=!Zapret out-interface=WAN src-address-list="My user"
Где -
dst-address-list=Zapret включает все ресурсы, которые вы хотите показать несмотря на запрет
src-address-list="My user" включает список юзеров и сетей, для которых работает правило
интерфейсы понятны из их наименований
А same больше подходит для выдачи клиенту адреса из диапазона, хотя можно попробовать и у вас всё прописать. А что это у вас за src-address-list=ENABLE ? И точно ли именно src-address-list ? Параметр same-not-by-dst=yes теряет смысл, если у вас в диапазоне описан один адрес...
На форуме есть только одно толковое упоминание параметра - viewtopic.php?t=6331


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить