সমস্ত ট্র্যাফিকের জন্য ওপেনভিপিএন ডিফল্ট গেটওয়ে নয়

আমি ওপেনভিপিএন চালিত ভিপিএসের মাধ্যমে আমার ক্লায়েন্টকে সমস্ত ট্র্যাফিক এগিয়ে দেওয়ার চেষ্টা করছি। আপনি দেখতে পাচ্ছেন, এটি উভয় ডোমেন এবং কাঁচা আইপি ঠিকানার পিংগুলিকে অনুমতি দেবে, তবে এটি কার্ল এবং ট্রেস্রোয়েটের মাধ্যমে তৈরি ট্র্যাফিককে কিছু দিয়ে আসে না। ভিপিএন এর সাথে সংযুক্ত না হয়ে ট্র্যাফিক সঠিকভাবে কাজ করে।

সমস্ত তথ্য এখানে: https://pastebin.com/tGspNefn

ধন্যবাদ.

ওয়ার্কিং কনফিগারেশন নীচে সমাধান ধন্যবাদ:

সার্ভার:

port <integer>
proto udp
dev tun
ca ca.crt
cert vpnserver.crt
key vpnserver.key  # This file should be kept secret
dh dh4096.pem
tls-auth ta.key 0
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway autolocal"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
cipher AES-256-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

ক্লায়েন্ট:

client
dev tun
proto udp
remote x.x.x.x <port number>
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert vpnclient.crt
key vpnclient.key
tls-auth ta.key 1
ns-cert-type server
cipher AES-256-CBC
comp-lzo
verb 3

সমাধানের দুটি অংশ রয়েছে:

1. সমস্ত ট্রাফিক টানেলটিতে পুনর্নির্দেশ করুন

সবচেয়ে সহজ সমাধান - ওপেনভিপিএন এর --redirect-gateway autolocalবিকল্পটি ব্যবহার করুন (বা এটি কনফিগারেশন ফাইলে রাখুন redirect-gateway autolocal।

2. ওপেনভিপিএন সার্ভারে ট্র্যাফিক পরিচালনা করুন

টানেলটি এখন সমস্ত ট্র্যাফিকটি টানেলের মধ্যে চলে যায় এবং tun0ইন্টারফেস থেকে সার্ভারের শেষে পপ আপ হয় ।

এটিকে কাজ করতে আপনাকে দুটি জিনিস কনফিগার করতে হবে:

ক। প্যাকেট ফরওয়ার্ডিং সক্ষম করুন

বেশিরভাগ বিতরণে ডিফল্টরূপে প্যাকেট ফরোয়ার্ডিং অক্ষম থাকে, তাই টানেল ইন্টারফেসের প্যাকেটগুলি কখনই এটি সর্বজনীন ইন্টারফেসে পরিণত করে না। আপনাকে অবশ্যই এর সাথে ফরওয়ার্ডিং সক্ষম করতে হবে:

~ # sysctl net.ipv4.ip_forward=1
net.ipv4.ip_forward = 1

একবার পরীক্ষা করা হলে পরিবর্তনটি স্থায়ী করে নিন /etc/sysctl.conf

এছাড়াও নিশ্চিত হয়ে নিন যে iptablesফরওয়ার্ড করা ট্র্যাফিক অবরোধ করছে না:

~ # iptables -I FORWARD -j ACCEPT

এটি পরীক্ষার জন্য যথেষ্ট ভাল - উত্পাদনে আপনি ফায়ারওয়াল নিয়মগুলি কিছুটা আরও সুনির্দিষ্ট করে তুলতে চাইবেন তবে এটি এখানে সুযোগের বাইরে নেই।

খ। টানেল থেকে বহির্গামী প্যাকেটগুলি NAT করুন

ফরোয়ার্ডিং সক্ষম করার সাথে প্যাকেটগুলি ডিফল্টরূপে তাদের উত্সের ঠিকানাটি অপরিবর্তিত রেখে ফরোয়ার্ড করা হয়, এটি আপনার ক্ষেত্রে 10.8.0.6- যেমন প্যাকেটগুলি হয় আইএসপি গেটওয়েতে ফেলে দেওয়া হয় এমনকি তারা এটিকে গন্তব্যস্থলে নিয়ে গেলেও উত্তর কখনই ফিরে আসে না। এই ব্যক্তিগত ঠিকানাগুলি ইন্টারনেটে রাউটেবল নয়।

সমাধানটি হ'ল 10.8.0.6এড্রেস ট্র্যাফিক, অর্থাৎ ভিপিএন সার্ভারের পাবলিক আইপি দিয়ে ব্যক্তিগত ঠিকানাটি প্রতিস্থাপন করুন । এটি নিশ্চিত করবে যে উত্তরগুলি ভিপিএন সার্ভারে পৌঁছেছে এবং সেখানে তারা আবার সুড়ঙ্গে ফরোয়ার্ড পাবে।

~ # iptables -t nat -I POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

3. এটি পরীক্ষা করুন

এখন ping 8.8.4.4আপনার ভিপিএন ক্লায়েন্ট থেকে চেষ্টা করুন । আপনার একটি উত্তর দেখতে হবে। না হলে আমাদের জানাবেন :)