最近,在 VPN 服务器配置过程中,我遇到的一件事是 - 我无法通过 VPN 服务器连接互联网。实际上我使用VPS(Debian 8),我在那里安装了VPN。客户端连接正常我使用了traceroute命令来检测流量停止的位置,显然它停止在我的VPN服务器上。我真的不知道该如何处理。请任何人帮助我:)这是我的服务器配置和客户端配置。是的,我的客户端是 Windows 7 和 10。
服务器配置。
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
客户端配置。注意:服务器的IP是隐藏的。
client
dev tun
proto udp
remote 107.155.1x4.1x2 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca "C:\\OVPN\\ca.crt"
cert "C:\\OVPN\\client1.crt"
key "C:\\OVPN\\client1.key"
ns-cert-type server
comp-lzo
verb 3
从客户端我尝试测试 Google 的 DNS 服务器 8.8.8.8 - 仍然不起作用。我认为问题出在服务器端的一些接口上,这些接口突破了互联网。因此,任何提出建议的人,请帮助我提供有用的建议。
“请添加以下命令的输出:sysctl net.ipv4.ip_forward、iptables-save、ip route show。在客户端上可能是:route print。-rda”
1) 的输出sysctl net.ipv4.ip_forward是
net.ipv4.ip_forward = 1
2) 的输出ip route show为
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1
10.8.0.0/24 via 10.8.02 dev tun0
default dev venet0 scope link
3)输出iptables-save为
*mangle
:PREROUTING ACCEPT [241673:29858781]
:INPUT ACCEPT [232866:29385621]
:FORWARD ACCEPT [8803:472884]
:OUTPUT ACCEPT [250884:4018010]
:POSTROUTING ACCEPT [259688:40653794]
COMMIT
*filter
:INPUT ACCEPT [232866:29385621]
:FORWARD ACCEPT [8804:472884]
:OUTUPUT ACCEPT [250884:40180910]
COMMIT
*nat
:PREROUTING ACCEPT [20668:1262348]
:POSTROUTING ACCEPT [14826:1006759]
:OUTPUT ACCEPT [10970:791257]
COMMIT
*raw
:PREROUTING ACCEPT [241673:29858781]
:OUTPUT ACCEPT [250884:40180910]
COMMIT
6月11日
我相信问题出在路由表中,我运行了命令 - netstat -nr,令人惊讶的是我发现在我的路由表中我有奇怪的 IP 地址,这些地址仅分配给 VPN 使用。 **
在这里,请看一下:
内核IP路由表(注意:路由表参数如下列(!),例如:路由表的IP采用第一列中的所有第一个参数。最后三个参数MSS Window irtt对于路由表的每个值都是相同的。
Destination face 10.8.0.2 un0 10.8.0.0 un0 0.0.0.0 enet0
Gateway face 0.0.0.0 un0 10.8.0.2 un0 0.0.0.0 enet0
Genmask face 255.255.255.255 un0 255.255.255.0 un0 0.0.0.0 enet0
Flags face UH un0 UG un0 U enet0
MSS Window irtt face 0 0 0 un0 0 0 0 un0 0 0 0 enet0
6月15日
你好朋友!再次感谢您的回复!
的输出ip route show是:
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1 10.8.0.0/24 via
10.8.0.2 dev tun0 default dev venet0 scope link
VPS 上以下命令的输出ip route get 8.8.8.8是(注意:IP 地址是隐藏的):
8.8.8.8 dev venet0 src 107.155.1x4.1x2
cache mtu 1500 advmss 1460 hoplimit 64
在客户端 - 我使用了这个命令route print- 我得到了一大堆 IP 地址,但我不知道解决这个问题最重要的是什么......
什么是下一个步骤?
再次非常感谢您的帮助,真的
6月15日更新
route print这是Windows 客户端上命令的输出:
IPv4 Route Table
===========================================================================
Active routes:
Network address Subnet mask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.88.1 192.168.88.208 20
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.50.0 255.255.255.0 On-link 192.168.50.1 276
192.168.50.1 255.255.255.255 On-link 192.168.50.1 276
192.168.50.255 255.255.255.255 On-link 192.168.50.1 276
192.168.56.0 255.255.255.0 On-link 192.168.56.1 266
192.168.56.1 255.255.255.255 On-link 192.168.56.1 266
192.168.56.255 255.255.255.255 On-link 192.168.56.1 266
192.168.88.0 255.255.255.0 On-link 192.168.88.208 276
192.168.88.208 255.255.255.255 On-link 192.168.88.208 276
192.168.88.255 255.255.255.255 On-link 192.168.88.208 276
192.168.100.0 255.255.255.0 On-link 192.168.100.1 276
192.168.100.1 255.255.255.255 On-link 192.168.100.1 276
192.168.100.255 255.255.255.255 On-link 192.168.100.1 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.88.208 276
224.0.0.0 240.0.0.0 On-link 192.168.100.1 276
224.0.0.0 240.0.0.0 On-link 192.168.50.1 276
224.0.0.0 240.0.0.0 On-link 192.168.56.1 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.88.208 276
255.255.255.255 255.255.255.255 On-link 192.168.100.1 276
255.255.255.255 255.255.255.255 On-link 192.168.50.1 276
255.255.255.255 255.255.255.255 On-link 192.168.56.1 266
===========================================================================
Permanent routes:
6 月 17 日更新
嘿,伙计,我尝试过使用那些在服务器上启用 NAT 的命令,不幸的是它又不起作用。的输出ip route show与之前相同:
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1
10.8.0.0/24 via 10.8.0.2 dev tun0
default dev venet0 scope link
你给我的那些命令运行得很顺利,但没有带来任何结果。因此,新的 IP 路由不会出现在输出中!我尝试以不同的方式添加相同的路线,甚至将掩码从/16更改为/24,仍然没有任何结果。
唯一的重要的让我感到奇怪的是 - 我在客户端运行了我的 OVPN Gui,我知道互联网不起作用,我看到的是,从一开始我的 Facebook 页面就开始加载,但其他页面如谷歌。 com 或 linkedin.com - 或任何其他网站 - 他们只是打不开......
关于我的 VPS 提供商的一些小事情,在常见问题解答页面上,他们讲述了以下内容:
**22
Do you support TUN/TAP? IPSEC?
Yes, TUN/TAP and IPSEC are enabled on all VPS by default.**
**2
What kind of virtualization is offered/used?
We utilize OpenVZ on our infrastructure. If you require KVM virtualization we recommend SpeedyKVM.**
这个问题可能是什么?我们如何克服这个问题?
再次非常感谢你!
答案1
您必须在服务器上启用 NAT。
静态 IP 地址的 SNAT:
iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -o <if> -j SNAT --to <ip>
或者,如果您有动态分配的 IP 地址,请使用MASQUERADE(速度较慢):
iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -o <if> -j MASQUERADE
尽管
<if>是外部接口的名称(即venet0)<ip>是外部接口的IP地址