Полная версия этой страницы: OpenVPN за полчаса (FAQ)
michail1958
Наконец появилось время, написать небольшой FAQ по использованю OpenVPN-сервера совместно с Траффпро. Итак, какие преимущества даёт VPN канал при использовании совместно с Траффпро? Первое и самое главное, если на Вашем сервере не проедусмотрены Сервисы для доступа из Интернета например FTP или WWW, Вы можете включить защиту Сервера, и запретить соединения из вне по всем портам. Для доступа к внутренним ресурсам сети будет использоваться защищенный VPN-канал. Не придётся писать длинные цепочки правил IP-TABLES, и потом проверять не нарушают ли они работу системы.  
Для администрирования самого сервера из Интернета, думаю целесообразно оставить доступ к нему только по SSH. 
Итак имеем свеженький Сервер Ubuntu8.10 с установленным ТРАФФПРО.
Сеть: внешняя - eth0 333.222.111.123, внутренняя - eth1 192.168.124.1 
Очень рекомендую поднять на нём-же кэширующий DNC. Это избавит от необходимости открывать клиентам внутренней сети порт 53. Так-же у меня поднят SSH-сервер SQUID и сервер DHCP3 (лениво ходить и прописывать юзерам ip-ишники, шлюзы и днс-ы).
 Ставим OpenVPN, для сервера и клиента Linux пакет один и то-же. Для Ubuntu команда: 
apt-get install openvpn 

Для других Линуксов соответствующая команда......
Файлы конфигурации будем укладывать в директорию /etc/openvpn/ , после установки openvpn она пустая, а если там что и есть, лучше енто не трогать. Для того что-бы её не загромождать файлами создадим папку для ключей и сертификатов сервера:
mkdir /etc/openvpn/vpnkeys  

Далее создадим файл конфигурации сервера:
touch /etc/openvpn/server.conf

Создадим файл, где будут отображаться выданные клиентам ip адреса.
touch /etc/openvpn/ipp.txt

Создадим папку куда сервер будет писать логи:
mkdir /var/log/openvpn

Далее наполняем файл server.conf

# Порт на котором сервер работает, протокол и тип интерфейса 
port 1194
proto udp
dev tun
#Место храннения ключей и сертификатов
ca /etc/openvpn/vpnkeys/ca.crt
cert /etc/openvpn/vpnkeys/server.crt
key /etc/openvpn/vpnkeys/server.key # Данный фаил хранить в боольшом секрете!!!!
dh /etc/openvpn/vpnkeys/dh1024.pem
# включаем TLS аутификацию
tls-server
# указываем tls-ключ, и указываем 0 для сервера(1 ставиться для клиента).
tls-auth \"/etc/openvpn/vpnkeys/ta.key\" 0
# время до переподключения 
tls-timeout 120
auth MD5
#Пул выдаваемых клиентам адресов
server 10.10.10.0 255.255.255.0
#Сюда будем писать какее адреса сервер выдал клиенту
ifconfig-pool-persist \"/etc/openvpn/ipp.txt\"
#Задаем МАРШРУТ, который передаём клиенту и маску подсети для того чтобы он #\"видел\" сеть за OpenVPN сервером (сеть 192.168.124.0/24)
push \"route 192.168.124.0 255.255.255.0\"
# DNS-сервер внутренней сети. Если поднят «настоящий» локальный DNS, тогда
# при установленном vpn-соединении, если подключаться например по Microsoft RDP
# достаточно набрать имя компьютера а не вбивать его ip-шник
push \"dhcp-option DNS 192.168.124.1\"
# Удерживать установленное соединение(если есть nat или прокся)
keepalive 10 120
# Включаем шифрацию пакетов
cipher BF-CBC
# Включить сжатие
comp-lzo
# Максимум число клиентов
max-clients 6
#Прописываем пользователя и группу, от имени которых будет запускаться VPN:
user nobody
group nogroup
# Не перечитывать ключи после получения
# SIGUSR1 или ping-restart
persist-key
# Не закрывать и переоткрывать TUN\\TAP
# устройство, после получения
# SIGUSR1 или ping-restart
persist-tun
# Даём возможность клиентам \"видеть\" друг друга(не пробовал работает ли это)
client-to-client
# Логи сервера
status \"/var/log/openvpn/openvpn-status.log\"
log \"/var/log/openvpn/openvpn.log\"
log-append \"/var/log/openvpn/openvpn.log\"
# Уровень детализации в логах
verb 3


Ну вот, кажись конфигурацию серверв написали, теперь приступим к созданию ключей для клиентов и сервера
Переходим в директорию со скриптами для генерации ключей
cd /usr/share/doc/openvpn/examples/easy-rsa/2.0

Далее выполняем:
bash

. ./vars

# Очищаем старые ключи, если они есть
./clean-all

# Создаём ca.key (авторитетный сертификат).
./build-ca

# Отвечаем на вопросы где, когда, что......
# Создадём сертификат и приватный ключ для сервера:
./build-key-server server

И отвечаем на вопросы.............
Создаём файл параметров Диффи-Хелмана(О КАК!), предназначенного для обеспечения более надежной защиты данных при установке соединения клиента с сервером, выполняем:
./build-dh

Создаём сертификаты для удаленных клиентов(vova и masha), запускаем:
./build-key vova

И отвечаем на вопросы.............
Далее создаём следующего клиента:
./build-key masha

Сколько хотим клиентов столько и создаём....,но не более того что указали в конфиге.
Под завязку создадим общий для клиента и сервера TLS-ключ:
openvpn --genkey --secret ta.key

Итак, после всех операций в директориии 
/usr/share/doc/openvpn/examples/easy-rsa/2.0/keys мы имеем набор ключей для нашего сервера и клиентов vova и masha
А в директории /usr/share/doc/openvpn/examples/easy-rsa/2.0 лежит ключик ta.key 
который нужен и клиентам и серверу
Для сервера нужны файлы:
server.crt
server.key
ca.crt
ta.key
dh1024.pem
Поместим эти файлы в директорию /etc/openvpn/vpnkeys/
Для клиента vova:
vova.crt
vova.key
ca.crt
ta.key
Для клиента masha:
masha.crt
masha.key
ca.crt
ta.key
Эти ключики передадим нашим клиентам.
Перезапускаем OpenVPN сервер:
/etc/init.d/openvpn restart

Если не ругаеться, то всё нормально, если не стартовал, смотрим логи:
/var/log/openvpn/ и ищем ошибки....

Дальше правим файл traffpro_rule.cfg
Добавим две строчки, давая возможность удалённому клиенту подключаться к ресурсам внутренней сети:
iptables -I FORWARD 1 -i eth1 -o tun0 -j ACCEPT
iptables -I FORWARD 1 -o eth1 -i tun0 -j ACCEPT

tun0 – “внешний” интефейс нашего OpenVPN сервера. 
Набор правил в traffpro_rule.cfg, можно оставить минимальный, ну к примеру только для SSH, Squid и FTP-клиентов во внетренней сети.
Теперь перейдём к клиентам OpenVPN.
Файл конфигурации клиента Windows выглядит так:
client
dev tun
proto udp
#Адрес и порт нашего сервера
remote 333.222.111.123 1194
resolv-retry infinite # Говорят, нужен если пользуешся службой DynDNS
nobind
persist-key
persist-tun
ca \"C:\\\\Program Files\\\\OpenVPN\\\\config\\\\ca.crt\"
cert \"C:\\\\Program Files\\\\OpenVPN\\\\config\\\\vova.crt\"
key \"C:\\\\Program Files\\\\OpenVPN\\\\config\\\\vova.key\"
tls-client
tls-auth \"C:\\\\Program Files\\\\OpenVPN\\\\config\\\\ta.key\" 1
auth MD5
ns-cert-type server
comp-lzo
verb 3


Файл конфигурации клиента Linux, создаёться на клиенском компьютере в директории /etc/openvpn/ и называеться client.conf, так-же необходило создать директорию для хранения ключиков клиента, например /etc/openvpn/client/.
Файл конфигурации клиента Linux выглядит так:
remote 333.222.111.123 1194
client
dev tun
proto udp
resolv-retry infinite 
nobind
user nobody
group nogroup
persist-key
persist-tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client/masha.crt
key /etc/openvpn/client/masha.key
tls-client
tls-auth /etc/openvpn/client/ta.key 1
auth MD5
comp-lzo
verb 4
mute 20


Ну а дальше всё зависит от тех прав которые Вы предоставите своим удалённым клиентам при доступе в Вашу локальную сеть.
Теперь о подсчёте трафика. При включенной защите сервера, Весь трафик по OpenVPN будет отображаться в отчете по серверу, но порт, по которому набежал трафик VPN-сервера, определяться не будет, так-как соединений идёт по протоколу UDP. Трафик компьютера внутренней сети, к которому Вы подключились через VPN-соединение, Траффпро считать не будет, так-как для него это соединение внути Вашей сетки. И поэтому количество трафика по VPN-соединениям можно оценить только коственно в отчёте по серверу. Теперь о неприятном моменте с которым я столкнулся при работе со SQIUD-ом! При включенном прозрачном СКВИД-е и защите сервера, Траффпро начинает приплюсовывать по СЕРВЕРУ ВЕСЬ ТРАФИК прошедший через Проксю. То есть в отчете «ПО ПОЛЬЗОВАТЕЛЯМ» где фигурируют все клиенты, в том числе и Ваш сервер в графе «ВСЕГО», получиться УДВОЕННЫЙ трафик Ваших клиентов, плюс то что набежало за счёт служб запущенных на сервере. Я думаю разработчики Траффпро знают про эту проблему и найдут пути её решения, так-как от Squid-а отказываться не хочеться....
Вот полезные ссылки по вопровам настройки OpenVPN Сервера:
http://openvpn.net/
И ещё очень хорошая статья по настройке на русском языке:
http://bozza.ru/?c=341&p=content

Примечание: Если требуется объеденить 2 подсети то необходимо в конфиг добавить параметр:
client-config-dir /etc/openvpn/ccd
создать каталог с таким путём
/etc/openvpn/ccd
и положить в него файлик с названием как назвали клиента при генерации ключа с таким примерно содержанием:
iroute 192.168.2.0 255.255.255.0
dadka
Доброго времени суток. Можете помочь в поднятии VPN на Fedora 12? Делаю все, как написано в Вашей статье. \\\"Запнулся\\\" на шаге - Переходим в директорию со скриптами для генерации ключей. Дело в том, что у меня подобной директории нет. Подскажите, какой файл надо запустить.
michail1958

Все процедуры по генерации ключей вызываются соответствующими скриптами.

Я думаю Вам достатьчно запустить поиск файла по названию(имя файла, то что стоит после символов   ./ ) Они все находяться в одной директории. К сожалению Fedora знаю плохо и где лежат соответствующие скрипты после установки OpenVPN подсказать не могу. И ещё, когда найдёте папку со скриптами, советую скопировать её например в свою HOME, тогда не придется каждый раз вспоминать где они лежат, если понадобиться заблокировать чей- нибудь ключ или создать новый.

gabbler
Цитата: michail1958
Ну а дальше всё зависит от тех прав которые Вы предоставите своим удалённым клиентам при доступе в Вашу локальную сеть.
можно подробнее об этом?
все сделано так же как описано выше. Клиент ВПН с сервером связывается успешно. пинги идут от сервера к клиенту, от клиента к серверу. из локалки к клиенту, а вот от клиента в локалку не идут. думаю как раз трафпро и режет трафик от клиента.
Sly
из локалки к клиенту, а вот от клиента в локалку не идут. думаю как раз трафпро и режет трафик от клиента


Если идут в одном направлении значит должны идти в обратном.
gabbler
Цитата: Sly
Если идут в одном направлении значит должны идти в обратном.

необязательно вовсе.
в общем проблема решена путем добавления в iptables маскарадинга интерфейса локалки.
но меня гложат сомнения в правильности этого.

возник другой вопрос.
как лучше настроить трафпро, чтобы вести учет по клиентам впн.
я создал новую группу, сделал внешний интерфейс с адресом впн-сервера, привязал к нему группу, завел нового пользователя. порты не конкретизировал. создал трафик примерно 10 Мб
в отчете мне traffpro выдает:
133 OVPN-Zhirnovsk 0.001
Sly
в общем проблема решена путем добавления в iptables маскарадинга интерфейса локалки.


Координально не верно.

133 OVPN-Zhirnovsk 0.001


Скорее всего вы что то напортачили с iptables
gabbler
Цитата: Sly
Скорее всего вы что то напортачили с iptables

могу выложить вывод iptables -L
заодно может и подскажете, где я напортачил, что у меня впн не заходит в сеть

Chain INPUT (policy DROP)
target     prot opt source               destination        
SSHBRUT    tcp  --  anywhere             anywhere            tcp dpt:rockwell-csp2 state NEW recent: UPDATE seconds: 900 hit_count: 2 name: DEFAULT side: source
SSHCONNECT  tcp  --  anywhere             anywhere            tcp dpt:rockwell-csp2 state NEW recent: SET name: DEFAULT side: source
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:rockwell-csp2
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            state RELATED
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:nicname
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:imap
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:rmt
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:xinuexpansion3
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:6843
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:openvpn
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:pptp
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:sip
ACCEPT     tcp  --  anywhere             anywhere            tcp dpts:ndmp:dnp
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:5900
ACCEPT     tcp  --  anywhere             anywhere            tcp dpts:5900:5906
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:tproxy
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:oms
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:6883
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:51413
ACCEPT     udp  --  anywhere             anywhere            udp dpts:avt-profile-1:5082
ACCEPT     udp  --  anywhere             anywhere            udp dpts:ndmp:dnp
bad_tcp_packets  tcp  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     udp  --  anywhere             anywhere            state NEW
ACCEPT     icmp --  192.168.0.0/21       anywhere            
icmp_packets  icmp --  anywhere             anywhere            
tcp_packets  tcp  --  192.168.0.0/21       anywhere            
DROP       tcp  --  anywhere             anywhere            
udp_packets  udp  --  192.168.0.0/21       anywhere            
DROP       udp  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
LOG        tcp  --  anywhere             anywhere            tcp flags:RST/RST,ACK limit: avg 5/min burst 5 LOG level notice prefix `SYN/RST\'
DROP       tcp  --  anywhere             anywhere            tcp flags:RST/RST,ACK
ACCEPT     tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
ACCEPT     tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request limit: avg 1/sec burst 5

Chain FORWARD (policy DROP)
target     prot opt source               destination        
DROP       tcp  --  192.168.0.0/21       anywhere            tcp dpt:smtp
bad_tcp_packets  tcp  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     udp  --  anywhere             anywhere            state NEW
ACCEPT     all  --  anywhere             anywhere            

Chain SSHBRUT (1 references)
target     prot opt source               destination        
LOG        all  --  anywhere             anywhere            LOG level debug prefix `BROUTFORCE:\'
REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable

Chain SSHCONNECT (1 references)
target     prot opt source               destination        
LOG        all  --  anywhere             anywhere            LOG level debug prefix `SSHINCON:\'

Chain bad_tcp_packets (2 references)
target     prot opt source               destination        
REJECT     tcp  --  anywhere             anywhere            tcp flags:SYN,ACK/SYN,ACK state NEW reject-with tcp-reset

Chain icmp_packets (1 references)
target     prot opt source               destination        
ACCEPT     icmp --  anywhere             anywhere            icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded
DROP       icmp --  anywhere             anywhere            

Chain tcp_packets (1 references)
target     prot opt source               destination        
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:nicname
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imap
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:rmt
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:xinuexpansion3
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:6843
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:openvpn
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pptp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:sip
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:5900
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:tproxy
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:oms
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:6883
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:51413
DROP       tcp  --  anywhere             anywhere            

Chain udp_packets (1 references)
target     prot opt source               destination        
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
ACCEPT     udp  --  anywhere             anywhere            udp dpt:openvpn
ACCEPT     udp  --  anywhere             anywhere            udp dpt:61194
ACCEPT     udp  --  anywhere             anywhere            udp dpt:oms
ACCEPT     udp  --  anywhere             anywhere            udp dpt:rfa
ACCEPT     udp  --  anywhere             anywhere            udp dpt:6357
ACCEPT     udp  --  anywhere             anywhere            udp dpt:6883
DROP       udp  --  anywhere             anywhere
Sly
а можно такой командой:

iptables-save -c

только с ключём -c обязательно
gabbler
конечно можно.
iptables-save -c
# Generated by iptables-save v1.3.5 on Mon Apr 11 21:16:49 2011
*nat
:PREROUTING ACCEPT [1540:116718]
:POSTROUTING ACCEPT [269:22596]
:OUTPUT ACCEPT [426:34625]
[562:54798] -A POSTROUTING -o eth0 -j MASQUERADE
[0:0] -A POSTROUTING -o eth2 -j MASQUERADE
[0:0] -A POSTROUTING -o tap0 -j MASQUERADE
[0:0] -A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Mon Apr 11 21:16:49 2011
# Generated by iptables-save v1.3.5 on Mon Apr 11 21:16:49 2011
*mangle
:PREROUTING ACCEPT [11675:1338448]
:INPUT ACCEPT [5186887:677115381]
:FORWARD ACCEPT [14753770:6540821193]
:OUTPUT ACCEPT [11642:3349715]
:POSTROUTING ACCEPT [2942734:1776353641]
COMMIT
# Completed on Mon Apr 11 21:16:49 2011
# Generated by iptables-save v1.3.5 on Mon Apr 11 21:16:49 2011
*filter
:INPUT DROP [0:0]
:FORWARD DROP [1:40]
:OUTPUT ACCEPT [89:32574]
:SSHBRUT - [0:0]
:SSHCONNECT - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
[0:0] -A INPUT -i eth0 -p tcp -m tcp --dport 2222 -m state --state NEW -m recent --update --seconds 900 --hitcount 2 --name DEFAULT --rsource -j SSHBRUT
[1:60] -A INPUT -i eth0 -p tcp -m tcp --dport 2222 -m state --state NEW -m recent --set --name DEFAULT --rsource -j SSHCONNECT
[668:50789] -A INPUT -i eth0 -p tcp -m tcp --dport 2222 -j ACCEPT
[587:48524] -A INPUT -i lo -j ACCEPT
[6873:793525] -A INPUT -m state --state ESTABLISHED -j ACCEPT
[1:70] -A INPUT -m state --state RELATED -j ACCEPT
[1:60] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 43 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 143 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 411 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 2023 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 6843 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 1194 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 1723 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 5060 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --dport 10000:20000 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 5900 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --dport 5900:5906 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 8081 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 4662 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 6883 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 51413 -j ACCEPT
[0:0] -A INPUT -i eth0 -p udp -m udp --dport 5004:5082 -j ACCEPT
[0:0] -A INPUT -i eth0 -p udp -m udp --dport 10000:20000 -j ACCEPT
[614:29488] -A INPUT -p tcp -j bad_tcp_packets
[0:0] -A INPUT -i lo -j ACCEPT
[0:0] -A INPUT -i lo -j ACCEPT
[915:72640] -A INPUT -i eth1 -j ACCEPT
[0:0] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INPUT -p udp -m state --state NEW -j ACCEPT
[0:0] -A INPUT -s 192.168.0.0/255.255.248.0 -i eth1 -p icmp -j ACCEPT
[2:122] -A INPUT -i eth0 -p icmp -j icmp_packets
[0:0] -A INPUT -s 192.168.0.0/255.255.248.0 -i eth1 -p tcp -j tcp_packets
[5:232] -A INPUT -i eth0 -p tcp -j DROP
[0:0] -A INPUT -s 192.168.0.0/255.255.248.0 -i eth1 -p udp -j udp_packets
[0:0] -A INPUT -i eth0 -p udp -j DROP
[0:0] -A INPUT -i tap+ -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --tcp-flags RST RST,ACK -m limit --limit 5/min -j LOG --log-prefix \"SYN/RST\" --log-level 5
[0:0] -A INPUT -i eth0 -p tcp -m tcp --tcp-flags RST RST,ACK -j DROP
[49:2376] -A INPUT -i ! eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
[0:0] -A INPUT -i ! eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
[0:0] -A INPUT -i ! eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
[0:0] -A FORWARD -s 192.168.0.0/255.255.248.0 -i eth0 -p tcp -m tcp --dport 25 -j DROP
[1353:237658] -A FORWARD -p tcp -j bad_tcp_packets
[1249:118134] -A FORWARD -i eth1 -j ACCEPT
[1078:244847] -A FORWARD -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A FORWARD -o tap+ -j ACCEPT
[0:0] -A FORWARD -i tap+ -j ACCEPT
[0:0] -A FORWARD -o tun+ -j ACCEPT
[0:0] -A FORWARD -i tun+ -j ACCEPT
[587:48524] -A OUTPUT -o lo -j ACCEPT
[5561:2502092] -A OUTPUT -o eth1 -j ACCEPT
[5316:760208] -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[89:6317] -A OUTPUT -p udp -m state --state NEW -j ACCEPT
[0:0] -A OUTPUT -o tap+ -j ACCEPT
[0:0] -A SSHBRUT -j LOG --log-prefix \"BROUTFORCE:\" --log-level 7
[0:0] -A SSHBRUT -j REJECT --reject-with icmp-port-unreachable
[1:60] -A SSHCONNECT -j LOG --log-prefix \"SSHINCON:\" --log-level 7
[0:0] -A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
[0:0] -A icmp_packets -p icmp -m icmp --icmp-type 3 -j ACCEPT
[2:122] -A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
[0:0] -A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
[0:0] -A icmp_packets -p icmp -j DROP
[0:0] -A tcp_packets -p tcp -m tcp --dport 21 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 43 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 53 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 80 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 110 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 143 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 443 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 411 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 2023 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 6843 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 1194 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 1723 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 5060 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 5900 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 8081 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 4662 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 6883 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 51413 -j ACCEPT
[0:0] -A tcp_packets -p tcp -j DROP
[0:0] -A udp_packets -i eth0 -p udp -m udp --dport 53 -j ACCEPT
[0:0] -A udp_packets -i eth0 -p udp -m udp --dport 1194 -j ACCEPT
[0:0] -A udp_packets -i eth0 -p udp -m udp --dport 61194 -j ACCEPT
[0:0] -A udp_packets -i eth0 -p udp -m udp --dport 4662 -j ACCEPT
[0:0] -A udp_packets -i eth0 -p udp -m udp --dport 4672 -j ACCEPT
[0:0] -A udp_packets -i eth0 -p udp -m udp --dport 6357 -j ACCEPT
[0:0] -A udp_packets -i eth0 -p udp -m udp --dport 6883 -j ACCEPT
[0:0] -A udp_packets -i eth0 -p udp -j DROP
COMMIT
# Completed on Mon Apr 11 21:16:49 2011

на самом деле уже просто закопался с этим вопросом.
может уже мозг не работает в нужном направлении
тут обнаружил, на форуме вы уже писали, что надо пару строк добавить
в /etc/traffpro/traffpro_rule.cfg
iptables -A FORWARD -i net1 -o net2 -j ACCEPT
iptables -A FORWARD -o net1 -i net2 -j ACCEPT
у меня они есть. но net1 и net2 указаны интерфейсами.
может правильнее сделать адресами сетей?? 10.8.0.1/24 192.168.0.0/21
gabbler
с утра еще покурил сэмпл-конфиг из опенвпн (/usr/share/doc/openvpn/sample-config-files/firewall.sh)
во последних строках скрипта
# Masquerade local subnet
# Masquerade local subnet
iptables -t nat -A POSTROUTING -s 10.8.1.0/24 -o eth0 -j MASQUERADE
Sly
У Вас вообще то iptables не верно настроен, сотрите все свои правила, вытрите файл /etc/sysconfig/iptables, так же затрите правила которые писали в traffpro_rule.cfg.
И ещё один момент, почему openvpn?
Мы с ним один раз уже не хорошо столкнулись, он сам правила ставит в iptables и чем начинает конфликтовать с traffpro. Он открывает доступ всем и вся. по этом у вас трафик и 0.0001, в настройках openvpn мы где то отключали, но это нужно уточнять что тогда выключили.
gabbler
Цитата: Sly
он сам правила ставит в iptables и чем начинает конфликтовать с traffpro.
остановил OpenVPN. переписал правила.
чисто для эксперимента стартанул OpenVPN и еще раз вывел правила. ничего он в iptables не добавил.
Цитата: Sly
И ещё один момент, почему openvpn?
а почему TraffPro?
мне начальство заявило, что только трафпро и опенвпн.

Цитата: Sly
У Вас вообще то iptables не верно настроен,

он у меня переписывается при запуске системы скриптом, который много лет уже работает во многих местах и никаких нареканий не было (правда в паре со сквидом). а после в него добавляются правила трафпро

Цитата: Sly
сотрите все свои правила, вытрите файл /etc/sysconfig/iptables, так же затрите правила которые писали в traffpro_rule.cfg.
и выкиньте сервер winked
gabbler
Цитата: Sly
И ещё один момент, почему openvpn?

например поэтому
darknet
Цитата: gabbler
мне начальство заявило, что только трафпро и опенвпн.

спасибо, посмеялся
Sly
он у меня переписывается при запуске системы скриптом, который много лет уже работает во многих местах и никаких нареканий не было (правда в паре со сквидом). а после в него добавляются правила трафпро



А вы уверены что своимми правилами не перекрыли правила traffpro?

[1249:118134] -A FORWARD -i eth1 -j ACCEPT
[1078:244847] -A FORWARD -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A FORWARD -o tap+ -j ACCEPT
[0:0] -A FORWARD -i tap+ -j ACCEPT
[0:0] -A FORWARD -o tun+ -j ACCEPT
[0:0] -A FORWARD -i tun+ -j ACCEPT
[587:48524] -A OUTPUT -o lo -j ACCEPT


Вы перекрыли данными правилами учёт и у вас большая часть трафа пошла мимо traffpro, по этому я и сказал Вам затереть свои правила.
gabbler
Цитата: Sly
Вы перекрыли данными правилами учёт и у вас большая часть трафа пошла мимо traffpro, по этому я и сказал Вам затереть свои правила.
что я там затер неизвестно. я только неделю на новом месте. iptables у сервака девственно чистые, как будто вчера поставлен. а судя по логам уже пол-года минимум.
Sly, я только сегодня утром прочел следующее
Цитата: voler
Также если вы используете защиту TRAFFPRO рекомендую цепочки ssh оставить -j ACCEPT, а все остальные должны быть -j QUEUE. А иначе трафик по ним считаться не будет.

в соответствии с этим подредактировал скрипт. сейчас учет работает.
просто нигде в документации на этом моменте не заостряется внимание.
думаю это надо поправить. потому что это вызывает много вопросов, которых бы не было.
Цитата: darknet
спасибо, посмеялся

я бы тоже посмеялся но в связи с недельным пребыванием на новом месте вынужден смеяться про себя ))
kazakov-fmf
Здравствуйте. Может кто нить помочь с настройкой openvpn?
Есть 4 офиса. В 2х самых крупных используется ideco ics 4. В остальных (2) траффпро. Соединение используется точка-точка, уже подключены 2 офиса с ideco, необходимо подключить 3й с ubuntu.

Внутрення сеть в головном офисе 192.168.1.0/24, для опенвпн 10.128.0.0
Во втором офисе 192.168.9.0/24. для опенвпн 10.10.0.0


Прописаны маршруты:
route add -net

192.168.1.0 tun0
10.128.0.0 tun0
(второй офис)
и
192.168.9.0 интерфейс_openvpn
10.10.0.0/24 интерфейс_openvpn
(головной офис)

Как мне подключить офис с ubuntu к головному филиалу (клиент серверный вариант не предлагать)?

Прописал конфиг в ubuntu.

mode p2p
local внешний_адрес_ubuntu_client
remote внешний_адрес_ideco_главный_офис
secret /etc/openvpn/keys/openvpn.rsa.key
port 1194
proto udp
dev tun0
dev-type tun
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
ifconfig 10.10.0.1 192.168.1.254
verb 1



Поднимается устройство tun0

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.10.0.1 P-t-P:192.168.1.254 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:504 (504.0 B)

Пробую с ubuntu сделать ping 192.168.1.254 (локальный ip ideco) - некатит...

С другого терминала:
tcpdump -pnvi tun0
tcpdump: listening on tun0, link-type RAW (Raw IP), capture size 96 bytes
13:21:42.983832 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
10.10.0.1 > 192.168.1.254: ICMP echo request, id 11288, seq 1, length 64
13:21:43.991117 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)




вот openvpn.log

Mon Jul 25 17:48:19 2011 SIGUSR1[soft,ping-restart] received, process restarting
Mon Jul 25 17:48:21 2011 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Mon Jul 25 17:48:21 2011 /usr/sbin/openvpn-vulnkey -q /etc/openvpn/keys/openvpn.rsa.key
Mon Jul 25 17:48:21 2011 Re-using pre-shared static key
Mon Jul 25 17:48:21 2011 LZO compression initialized
Mon Jul 25 17:48:21 2011 Preserving previous TUN/TAP instance: tun0
Mon Jul 25 17:48:21 2011 UDPv4 link local (bound): [AF_INET]85.123.32.205:1194
Mon Jul 25 17:48:21 2011 UDPv4 link remote: [AF_INET]85.234.31.26:1194
Mon Jul 25 17:50:21 2011 Inactivity timeout (--ping-restart), restarting
Mon Jul 25 17:50:21 2011 SIGUSR1[soft,ping-restart] received, process restarting
Mon Jul 25 17:50:23 2011 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Mon Jul 25 17:50:23 2011 /usr/sbin/openvpn-vulnkey -q /etc/openvpn/keys/openvpn.rsa.key
Mon Jul 25 17:50:23 2011 Re-using pre-shared static key
Mon Jul 25 17:50:23 2011 LZO compression initialized
Mon Jul 25 17:50:23 2011 Preserving previous TUN/TAP instance: tun0
Mon Jul 25 17:50:23 2011 UDPv4 link local (bound): [AF_INET]85.123.32.205:1194
Mon Jul 25 17:50:23 2011 UDPv4 link remote: [AF_INET]85.234.31.26:1194



Что я сделал не так?
voler
Стоит задача объединить два сервера с Траафпро по openvpn.

Вот листинг настроек сервера.
port 1194
proto udp
dev tun
ca /etc/openvpn/vpnkeys/ca.crt
cert /etc/openvpn/vpnkeys/server.crt
key /etc/openvpn/vpnkeys/server.key
dh /etc/openvpn/vpnkeys/dh1024.pem
tls-server
tls-auth \"/etc/openvpn/vpnkeys/ta.key\" 0
tls-timeout 120
auth MD5
server 10.10.10.0 255.255.255.0
ifconfig-pool-persist \"/etc/openvpn/ipp\"
push \"route 192.168.10.0 255.255.255.0\"
push \"route 192.168.11.0 255.255.255.0\"
push \"dhcp-option DNS 192.168.20.1\"
keepalive 10 120
cipher BF-CBC
comp-lzo
max-clients 6
user nobody
group nobody
persist-key
persist-tun
client-to-client
status \"/var/log/openvpn/openvpn-status.log\"
log \"/var/log/openvpn/openvpn.log\"
log-append \"/var/log/openvpn/openvpn.log\"
verb 3


Добавил правила iptables
iptables -t mangle -A PREROUTING -s 10.10.10.0/24 -d 192.168.10.0/24 -j ACCEPT
iptables -t mangle -A POSTROUTING -d 10.10.10.0/24 -s 192.168.10.0/24 -j ACCEPT
iptables -t mangle -A POSTROUTING -s 10.10.10.0/24 -d 192.168.10.0/24 -j ACCEPT
iptables -t mangle -A PREROUTING -d 10.10.10.0/24 -s 192.168.10.0/24 -j ACCEPT


Перешел к настройке openvpn клиента на втором сервере с установленным Траффпро.
client
dev tun
proto udp
remote 91.ХХ.ХХХ.ХХ 1194
resolv-retry infinite
nobind
user nobody
group nobody
persist-key
persist-tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/kursakovo.crt
key /etc/openvpn/kursakovo.key
tls-client
tls-auth \"/etc/openvpn/ta.key\" 1
auth MD5
ns-cert-type server
comp-lzo
verb 3


И добавил правила
iptables -t mangle -A PREROUTING -s 192.168.10.0/24 -d 10.10.10.0/24 -j ACCEPT
iptables -t mangle -A POSTROUTING -d 192.168.10.0/24 -s 10.10.10.0/24 -j ACCEPT
iptables -t mangle -A POSTROUTING -s 192.168.10.0/24 -d 10.10.10.0/24 -j ACCEPT
iptables -t mangle -A PREROUTING -d 192.168.10.0/24 -s 10.10.10.0/24 -j ACCEPT


Связь появилась, т.е. сервер Траффпро являющейся клиентом OPENVPN стал видеть подсети другого роутера.
Но вот заставить видеть подсети с сервера openvpn клиента не получается.
Так на обоих серверах включен редирект авторизации, это усложняет работу.



ULtimAte
Добрый день!
пытаюсь поднять openvpn и возникла следующая проблема..
Есть сервер траффпро с двумя провайдерами, работающими одновременно
1 провайдер выдает статический ip адрес
нужно соответственно клиента подцепить к локальной сети через этого провайдера, чтобы он видел файловый сервер в локальной сети и выходил в интернет уже через траффпро.

проблема в следующем:
подключается клиент, получает ip адрес, видит сервер(виртуальный ip сервера с openvpn и локальный ip траффпро), видит интернет, но не видит локальную сеть

сервер видит клиента..
из локальной сети невидно клиента...

собственно настройки сервера openvpn:

port 1194
proto udp
dev tun
ca /etc/openvpn/vpnkeys/ca.crt
cert /etc/openvpn/vpnkeys/server.crt
key /etc/openvpn/vpnkeys/server.key dh /etc/openvpn/vpnkeys/dh1024.pem
tls-server
tls-auth \"/etc/openvpn/vpnkeys/ta.key\" 0
tls-timeout 120
auth MD5
server 192.168.50.0 255.255.255.0
ifconfig-pool-persist \"/etc/openvpn/ipp.txt\"
push \"route 192.168.0.0 255.255.255.255 192.168.50.0\"
push redirect-gateway
push \"dhcp-option DNS 192.168.0.30\"
push \"dhcp-option DNS 94.100.91.2\" #днс провайдера
keepalive 10 120
cipher BF-CBC
comp-lzo
max-clients 6
user nobody
group nogroup
persist-key
persist-tun
client-to-client
status \"/var/log/openvpn/openvpn-status.log\"
log \"/var/log/openvpn/openvpn.log\"
log-append \"/var/log/openvpn/openvpn.log\"
verb 3



Буду благодарен за помощь... надо добить данную проблему и можно смело покупать))) в остальном полностью устраивает функционал

я так понимаю затык в маршрутизации...

iptables-save -c



# Generated by iptables-save v1.4.8 on Tue May 15 12:42:51 2012
*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
[30335:3941191] -A INPUT -i lo -j ACCEPT
[84146:17410495] -A INPUT -i eth0 -j NFQUEUE --queue-num 0
[35864:6610795] -A INPUT -i eth1 -j NFQUEUE --queue-num 0
[132762:15665056] -A INPUT -j ACCEPT
[0:0] -A INPUT -i lo -j ACCEPT
[0:0] -A INPUT -i eth0 -j NFQUEUE --queue-num 0
[0:0] -A INPUT -i eth1 -j NFQUEUE --queue-num 0
[0:0] -A INPUT -j ACCEPT
[0:0] -A FORWARD -p tcp -m mark --mark 0xfffd -j DROP
[0:0] -A FORWARD -p tcp -m mark --mark 0xfffe -j DROP
[0:0] -A FORWARD -p tcp -m mark --mark 0xffff -j DROP
[1:60] -A FORWARD -i eth2 -o tun0 -j ACCEPT
[0:0] -A FORWARD -i tun0 -o eth2 -j ACCEPT
[73302:62375339] -A FORWARD -j ACCEPT
[30414:3948774] -A OUTPUT -o lo -j ACCEPT
[89987:8249558] -A OUTPUT -o eth0 -j NFQUEUE --queue-num 0
[39060:3167428] -A OUTPUT -o eth1 -j NFQUEUE --queue-num 0
[84751:20828748] -A OUTPUT -j ACCEPT
[0:0] -A OUTPUT -o lo -j ACCEPT
[0:0] -A OUTPUT -o eth0 -j NFQUEUE --queue-num 0
[0:0] -A OUTPUT -o eth1 -j NFQUEUE --queue-num 0
[0:0] -A OUTPUT -j ACCEPT
COMMIT
# Completed on Tue May 15 12:42:51 2012
# Generated by iptables-save v1.4.8 on Tue May 15 12:42:51 2012
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [3407:628434]
:FORWARD ACCEPT [73303:62375399]
:OUTPUT ACCEPT [3672:1639692]
:POSTROUTING ACCEPT [0:0]
[108:12940] -A PREROUTING -i lo -j ACCEPT
[53223:60586485] -A PREROUTING -i eth0 -j ACCEPT
[0:0] -A PREROUTING -i lo -j ACCEPT
[0:0] -A PREROUTING -i eth1 -j ACCEPT
[384:24256] -A PREROUTING -d 192.168.0.30/32 -j ACCEPT
[276:19592] -A PREROUTING -d 192.168.0.35/32 -j ACCEPT
[0:0] -A PREROUTING -i lo -j ACCEPT
[25112:2730382] -A PREROUTING -j NFQUEUE --queue-num 0
[108:12940] -A POSTROUTING -o lo -j ACCEPT
[25395:3791584] -A POSTROUTING -o eth0 -j ACCEPT
[0:0] -A POSTROUTING -o lo -j ACCEPT
[64:5376] -A POSTROUTING -o eth1 -j ACCEPT
[382:79739] -A POSTROUTING -s 192.168.0.30/32 -j ACCEPT
[269:88744] -A POSTROUTING -s 192.168.0.35/32 -j ACCEPT
[0:0] -A POSTROUTING -o lo -j ACCEPT
[50745:60035930] -A POSTROUTING -j NFQUEUE --queue-num 0
COMMIT
# Completed on Tue May 15 12:42:51 2012
# Generated by iptables-save v1.4.8 on Tue May 15 12:42:51 2012
*nat
:PREROUTING ACCEPT [1923:114638]
:POSTROUTING ACCEPT [7:492]
:OUTPUT ACCEPT [1056:77863]
[0:0] -A PREROUTING -p tcp -m mark --mark 0xfffd -j REDIRECT --to-ports 80
[0:0] -A PREROUTING -p tcp -m mark --mark 0xfffe -j REDIRECT --to-ports 80
[0:0] -A PREROUTING -p tcp -m mark --mark 0xffff -j REDIRECT --to-ports 80
[2376:150776] -A POSTROUTING -o eth0 -j SNAT --to-source 95.172.43.170
[16:1344] -A POSTROUTING -o eth1 -j SNAT --to-source 192.168.10.10
COMMIT
# Completed on Tue May 15 12:42:51 2012

Sly
Посмотрите в сторону этой строки, действительно здесь всё верно указанно?
push \\\"route 192.168.0.0 255.255.255.255 192.168.50.0\\\"

Ну и собственно посмотрите ещё в FAQ по этому поводу:
Как отключить контроль между двух сетей

Собственно когда у вас VPN поднимается у вас как раз и организовывается вторая сеть которая должна видеть вашу серую сеть мимо traffpro.
ULtimAte
push \\\"route 192.168.0.0 255.255.255.255 192.168.50.0\\\"
указал таким образом, т.к. если указать например
push \\\"route 192.168.0.0 255.255.255.255\\\" или
push \\\"route 192.168.0.0 255.255.255.0\\\" или
push \\\"route 192.168.0.0 255.255.255.0 192.168.50.0\\\"

то шлюз вначале передается на vpn сеть, а потом сразу отваливается, в итоге: подключение vpn как бы есть, но невидно ни от клиента сервер, ни от сервера клиента...

FAQ смотрел, прописывал различные правила, с ребутом сервиса траффпро... эффекта 0
Sly
Если эфекта 0 значит:

1 - не те правила вписали(покажите какие правила прописали).
2 - проблема в OpenVPN с его маршрутами (это скорее вопрос к разработчикам OpenVPN).
Третьего не дано.
ULtimAte
на данный момент в traffpro_rule прописал:

iptables -A FORWARD -i eth2 -o tun0 -j ACCEPT
iptables -A FORWARD -o eth2 -i tun0 -j ACCEPT

iptables -t mangle -A PREROUTING -s 192.168.50.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -t mangle -A POSTROUTING -d 192.168.50.0/24 -s 192.168.0.0/24 -j ACCEPT
iptables -t mangle -A POSTROUTING -s 192.168.50.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -t mangle -A PREROUTING -d 192.168.50.0/24 -s 192.168.0.0/24 -j ACCEPT

iptables -t nat -I POSTROUTING 1 -s 192.168.50.0 -j ACCEPT
iptables -t nat -I POSTROUTING 1 -d 192.168.50.0 -j ACCEPT


в итоге из локалки вижу клиента... но клиент не видит локалку

больше ничего в traffpro_rule не прописано
Sly
Ну у вас сейчас соглассно вашим правилам traffpro не учавствует в трафике между этими сетями, значит копайте OpenVPN, что то у него с маршрутами. Помню была какаето бяка подобная, что сделали, к сожалению что то подзабыл, был какой то параметр не выставлен, тоже видел внутренние карты, а сеть не видел.
Для просмотра полной версии этой страницы, пожалуйста, пройдите по ссылке.