подземные стуки с openvpn за nat'ом.

To: Debian-russian <debian-russian@lists.debian.org>
Subject: подземные стуки с openvpn за nat'ом.
From: Vladimir Elizarov <xengelpublicx@gmail.com>
Date: Sun, 15 Feb 2009 16:47:26 +0300
Message-id: <49981CEE.4090107@gmail.com>

Есть openvpn-сервер, находится за nat'ом. К нему проброшенн порт udp 443следующими правилами (по умолчанию для всех цепочек, кроме nat (ACCEPT),политика DROP):


iptables -A INPUT -p udp -m udp -d $WAN_IP -i $WAN_IF --dport 443 -j ACCEPT
iptables -A FORWARD -i $WAN_IF -p udp -m udp --dport 443 -j ACCEPT

iptables -t nat -A PREROUTING -p udp -m udp -i $LAN_IF --dport 443 -d$WAN_IP -j DNAT --to-destination $OPENVPN:443iptables -t nat -A POSTROUTING -d $OPENVPN -o $LAN_IF -p udp -m udp--dport 443 -j SNAT --to-source $LAN_IP:443


WAN_IP = внешний ip-адрес
WAN_IF = внешний интерфейс
LAN_IF = внутрений интерфейс
OPENVPN = ip-адрес шлюза openvpn.gw

схема подключения:

client -> gw:443 udp -> openvpn.gw:443

Собственна проблема: клиент подключается сразу либо через какое-тоогромное количество попыток. Посмотрел tcpdump'ом:


Удачное подключение:
*Первый клиент:*

client -> gw
# tcpdump -vvni eth1 udp port 443

tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 96bytes07:31:40.171087 IP (tos 0x0, ttl 120, id 1849, offset 0, flags [none],proto UDP (17), length 42) client_ip.19 > gw_ip.443: [udp sum ok] UDP,length 1407:31:40.171087 IP (tos 0x0, ttl 63, id 0, offset 0, flags [DF], protoUDP (17), length 54) gw_ip.443 > client_ip.19: [udp sum ok] UDP, length 2607:31:40.171087 IP (tos 0x0, ttl 120, id 1850, offset 0, flags [none],proto UDP (17), length 50) client_ip.19 > gw_ip.443: [udp sum ok] UDP,length 2207:31:40.171087 IP (tos 0x0, ttl 120, id 1851, offset 0, flags [none],proto UDP (17), length 130) client_ip.19 > gw_ip.443: UDP, length 10207:31:40.183088 IP (tos 0x0, ttl 63, id 0, offset 0, flags [DF], protoUDP (17), length 154) gw_ip.443 > client_ip.19: UDP, length 126


gw -> openvpn.gw

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96bytes10:31:33.615162 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], protoUDP (17), length 81) openvpn.gw_ip.443 > gw_local_ip.443: [udp sum ok]UDP, length 5310:31:41.512159 IP (tos 0x0, ttl 119, id 1849, offset 0, flags [none],proto UDP (17), length 42) gw_local_ip.443 > openvpn.gw_ip.443: [udp sumok] UDP, length 1410:31:41.512307 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], protoUDP (17), length 54) openvpn.gw_ip.443 > gw_local_ip.443: [udp sum ok]UDP, length 2610:31:41.515312 IP (tos 0x0, ttl 119, id 1850, offset 0, flags [none],proto UDP (17), length 50) gw_local_ip.443 > openvpn.gw_ip.443: [udp sumok] UDP, length 2210:31:41.515323 IP (tos 0x0, ttl 119, id 1851, offset 0, flags [none],proto UDP (17), length 130) gw_local_ip.443 > openvpn.gw_ip.443: UDP,length 102


Неудачные подключения:

*первый клиент:*
client -> gw

13:20:55.614254 IP (tos 0x0, ttl 120, id 21681, offset 0, flags [none],proto UDP (17), length 42) client_ip.443 > gw_ip.443: [udp sum ok] UDP,length 1413:20:58.086042 IP (tos 0x0, ttl 120, id 21694, offset 0, flags [none],proto UDP (17), length 42) client_ip.443 > gw_ip.443: [udp sum ok] UDP,length 1413:21:00.553979 IP (tos 0x0, ttl 120, id 21707, offset 0, flags [none],proto UDP (17), length 42) client_ip.443 > gw_ip.443: [udp sum ok] UDP,length 1413:21:02.942003 IP (tos 0x0, ttl 120, id 21720, offset 0, flags [none],proto UDP (17), length 42) client_ip.443 > gw_ip.443: [udp sum ok] UDP,length 14


gw -> openvpn.gw
пусто

*второй клиент:*
client -> gw

13:17:26.535197 IP (tos 0x0, ttl 119, id 147, offset 0, flags [none],proto UDP (17), length 42) client_ip2.171 > gw_ip.443: [udp sum ok] UDP,length 1413:17:29.035200 IP (tos 0x0, ttl 119, id 148, offset 0, flags [none],proto UDP (17), length 42) client_ip2.171 > gw_ip.443: [udp sum ok] UDP,length 1413:17:30.395201 IP (tos 0x0, ttl 119, id 149, offset 0, flags [none],proto UDP (17), length 42) client_ip2.171 > gw_ip.443: [udp sum ok] UDP,length 1413:17:32.999203 IP (tos 0x0, ttl 119, id 150, offset 0, flags [none],proto UDP (17), length 42) client_ip2.171 > gw_ip.443: [udp sum ok] UDP,length 14


gw -> openvpn.gw
пусто

Клиенты находяться за NAT'ом (пробовал через разных провайдеров).Собственно не обнаружил из-за чего не пробрасываются пакеты

Reply to:

Follow-Ups:
- Re: подземные стуки с openvpn за nat'ом.
  - From: Sergey Spiridonov <sena@hurd.homeunix.org>
- Re: подземные стуки с openvpn за nat'ом.
  - From: Alexey Lobanov <A.Lobanov@gctrials.com>
- Re: подземные стуки с openvpn за nat'ом.
  - From: Nicholas <spam@networkgate.us>
- Re: подземные стуки с openvpn за nat'ом.
  - From: Eugene Berdnikov <bd4@protva.ru>

Prev by Date: Re: Lenny, LXDE и разрешение
Next by Date: Re: гномские defaults для открытия файлов
Previous by thread: Re: Выпущен Debian GNU/Linux 5.0
Next by thread: Re: подземные стуки с openvpn за nat'ом.
Index(es):
- Date
- Thread