Ситуация такая.
Сервер:
Есть удаленный VPS с centos-4-i386 на котором установлен OpenVPN. Выход в инет я так понимаю прямой.

Клиент:
есть комп в локалке подключаемый в инет через ADSL модем
IP модема 192.168.1.1
комп 192.168.1.2 WinXP SP2


Задача
1.направить весь мой трафик через openvpn тунель(т.е. все приложения: браузер, почтовая программа и т. д. должны ходить в Интернет через тунель.),
2.иметь ip адрес не свой родной, а иностранный,
3.шифрование трафика.
Устанавливал и настраивал VPS и openvpn на компе по инструкциям которыt нарыл на форумах.
в частности здесь http://dedicatesupport.com/?p=8

В результате клиент коннектится, устанавливается соединение, клиент получает IP 10.8.0.6,
сервер(10.8.0.1) пингуется, клиент сам себя пингует(но не всегда), выйти в нет не получается....

прилагаю конфигурацию на обеих сторонах - и на сервере и на клиенте
Server.ovpn

proto udp
dev tun
port 1194

ca ca.crt
cert server.crt
key server.key
dh dh1024.pem

mode server
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

push "redirect-gateway def1"
push "dhcp-option DNS 10.8.0.1"
push "dhcp-option WINS 10.8.0.1"

keepalive 10 120
cipher DES-EDE3-CBC # Triple-DES

comp-lzo

user nobody
group nobody
persist-key
persist-tun
verb 0
---------------------------------------------------------------

client
proto udp
remote ip..my.servera
port 1194
dev tun

resolv-retry infinite

route-method exe
#route-gateway 10.8.0.1 #пробовал разные комбинации настроек
#dhcp-option DNS 10.8.0.1
#redirect-gateway
#ip-win32 netsh
#route-delay 10

persist-key
persist-tun

ca ../keys/ca.crt
cert ../keys/client3.crt
key ../keys/client3.key
cipher DES-EDE3-CBC # Triple-DES
comp-lzo
verb 3

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@



ipconfig /all до установки ovpn-соединения.


Windows IP Configuration

Host Name . . . . . . . . . . . . : bigdude
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No


Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Marvell Yukon Gigabit Ethernet 10/10
0/1000Base-T Adapter, Copper RJ-45
Physical Address. . . . . . . . . : 00-0F-EA-E9-1D-30
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.1.2
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1
DNS Servers . . . . . . . . . . . : MY RODNOI PROVIDER DNS
MY RODNOI PROVIDER DNS

Ethernet adapter TAP VPN:

Media State . . . . . . . . . . . : Media disconnected
Description . . . . . . . . . . . : TAP-Win32 Adapter V8
Physical Address. . . . . . . . . : 00-FF-8E-46-A2-C0

----------------------------------------------------------------------------
ipconfig /all и route print установки ovpn-соединения.

Windows IP Configuration

Host Name . . . . . . . . . . . . : bigdude
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No


Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Marvell Yukon Gigabit Ethernet 10/10
0/1000Base-T Adapter, Copper RJ-45
Physical Address. . . . . . . . . : 00-0F-EA-E9-1D-30
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.1.2
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1
DNS Servers . . . . . . . . . . . : MY RODNOI PROVIDER DNS
MY RODNOI PROVIDER DNS

Ethernet adapter TAP VPN:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TAP-Win32 Adapter V8
Physical Address. . . . . . . . . : 00-FF-8E-46-A2-C0
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 10.8.0.6
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . : 10.8.0.5
DHCP Server . . . . . . . . . . . : 10.8.0.5
DNS Servers . . . . . . . . . . . : 10.8.0.1
Lease Obtained. . . . . . . . . . : Sunday, March 11, 2007 12:06:48 PM
Lease Expires . . . . . . . . . . : Monday, March 10, 2008 12:06:48 PM

-------------------------------------------
route print

===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x4 ...00 0f ea e9 1d 30 ...... Marvell Yukon Gigabit Ethernet 10/100/1000Base-T
Adapter, Copper RJ-45 - Packet Scheduler Miniport
0x5 ...00 ff 8e 46 a2 c0 ...... TAP-Win32 Adapter V8 - Packet Scheduler Miniport

===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 128.0.0.0 10.8.0.5 10.8.0.6 1
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.2 20
10.8.0.1 255.255.255.255 10.8.0.5 10.8.0.6 1
10.8.0.4 255.255.255.252 10.8.0.6 10.8.0.6 30
10.8.0.6 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 30
ip..my.servera 255.255.255.255 192.168.1.1 192.168.1.2 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
128.0.0.0 128.0.0.0 10.8.0.5 10.8.0.6 1
192.168.1.0 255.255.255.0 192.168.1.2 192.168.1.2 20
192.168.1.2 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.255 255.255.255.255 192.168.1.2 192.168.1.2 20
192.168.49.0 255.255.255.0 192.168.49.1 192.168.49.1 20
192.168.49.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.49.255 255.255.255.255 192.168.49.1 192.168.49.1 20
192.168.220.0 255.255.255.0 192.168.220.1 192.168.220.1 20
192.168.220.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.220.255 255.255.255.255 192.168.220.1 192.168.220.1 20
224.0.0.0 240.0.0.0 10.8.0.6 10.8.0.6 30
224.0.0.0 240.0.0.0 192.168.1.2 192.168.1.2 20
224.0.0.0 240.0.0.0 192.168.49.1 192.168.49.1 20
224.0.0.0 240.0.0.0 192.168.220.1 192.168.220.1 20
255.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 1
255.255.255.255 255.255.255.255 192.168.1.2 192.168.1.2 1
255.255.255.255 255.255.255.255 192.168.49.1 192.168.49.1 1
255.255.255.255 255.255.255.255 192.168.220.1 192.168.220.1 1
Default Gateway: 10.8.0.5
===========================================================================
Persistent Routes:
None

10.8.0.1 s WINXP pinguetsa
10.8.0.6 na etot raz ne pinguetsa
tracert 194.87.0.50 -d (это www.ru) - с WinXP не работает!
ping 10.8.0.1 со стороны сервера проходит


Sun Mar 11 12:06:41 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Sun Mar 11 12:06:41 2007 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sun Mar 11 12:06:41 2007 LZO compression initialized
Sun Mar 11 12:06:41 2007 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Mar 11 12:06:41 2007 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Mar 11 12:06:41 2007 Local Options hash (VER=V4): '827c9ed0'
Sun Mar 11 12:06:41 2007 Expected Remote Options hash (VER=V4): '974bef3f'
Sun Mar 11 12:06:41 2007 UDPv4 link local (bound): [undef]:1194
Sun Mar 11 12:06:41 2007 UDPv4 link remote: ip..my.servera:1194
Sun Mar 11 12:06:41 2007 TLS: Initial packet from ip..my.servera:1194, sid=3de75598 95fdb21f
Sun Mar 11 12:06:42 2007 VERIFY OK: depth=1, /C=KG/ST=NA/L=BISHKEK/O=OpenVPN-TEST/CN=_OpenVPN-CA/emailAddress=me@myhost.mydomain
Sun Mar 11 12:06:42 2007 VERIFY OK: depth=0, /C=KG/ST=NA/O=OpenVPN-TEST/CN=server/emailAddress=me@myhost.mydomain
Sun Mar 11 12:06:45 2007 Data Channel Encrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key
Sun Mar 11 12:06:45 2007 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Mar 11 12:06:45 2007 Data Channel Decrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key
Sun Mar 11 12:06:45 2007 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Mar 11 12:06:45 2007 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sun Mar 11 12:06:45 2007 [server] Peer Connection Initiated with ip..my.servera:1194
Sun Mar 11 12:06:46 2007 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Sun Mar 11 12:06:46 2007 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS 10.8.0.1,route 10.8.0.1,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Sun Mar 11 12:06:46 2007 OPTIONS IMPORT: timers and/or timeouts modified
Sun Mar 11 12:06:46 2007 OPTIONS IMPORT: --ifconfig/up options modified
Sun Mar 11 12:06:46 2007 OPTIONS IMPORT: route options modified
Sun Mar 11 12:06:46 2007 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sun Mar 11 12:06:46 2007 TAP-WIN32 device [TAP VPN] opened: \\.\Global\{8E46A2C0-D2A8-439F-81FB-13C0891DF1EA}.tap
Sun Mar 11 12:06:46 2007 TAP-Win32 Driver Version 8.4
Sun Mar 11 12:06:46 2007 TAP-Win32 MTU=1500
Sun Mar 11 12:06:46 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {8E46A2C0-D2A8-439F-81FB-13C0891DF1EA} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Sun Mar 11 12:06:46 2007 Successful ARP Flush on interface [5] {8E46A2C0-D2A8-439F-81FB-13C0891DF1EA}
Sun Mar 11 12:06:46 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Sun Mar 11 12:06:46 2007 Route: Waiting for TUN/TAP interface to come up...
Sun Mar 11 12:06:47 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Sun Mar 11 12:06:47 2007 Route: Waiting for TUN/TAP interface to come up...
Sun Mar 11 12:06:48 2007 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up
Sun Mar 11 12:06:48 2007 route ADD ip..my.servera MASK 255.255.255.255 192.168.1.1
Sun Mar 11 12:06:49 2007 route ADD 0.0.0.0 MASK 128.0.0.0 10.8.0.5
Sun Mar 11 12:06:49 2007 route ADD 128.0.0.0 MASK 128.0.0.0 10.8.0.5
Sun Mar 11 12:06:49 2007 route ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
Sun Mar 11 12:06:49 2007 Initialization Sequence Completed


В чем может быть проблема.
Насколько я понял оснвная проблема в настроейке роутинга. Знаю, что и на сервере нужно еще задать
нужные роутинги (но не знаю как, не силен в Linux). Может быть подскажете, как заставить это все-таки работать?

Попробуйте натить есил vps позволяет.

NAT точно не поднят... потому что я не знаю как это сделать
поясни если можно поподробнее....

я такую строку забивал....
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

могу результаты traceroute или ifconfig на сервере показать, первый раз настраиваю, объясните ламеру на пальцах, please

еще вопросик, какую OС оптимально ставить на VPS / dedicated? хозайство будет использоваться только для Onenvpn туннеля?

http://help.mirhosting.com/?documentId=49

MIRhosting.com Я все делал в соответствии с этими инструкциями
(даже более подробными http://dedicatesupport.com/?p=8)
ссылка на обсуждение проблемы
Здесь
Буду благодарен если сможете помочь разобраться

ip_forward то включен?

Смотрите, должно быть
1. Включены ip_tables, если конкретно, то в файле конфигурации Вашего VPS должно быть прописано вроде:
IPTABLES="ipt_REJECT ipt_tos ipt_TOS ipt_LOG ip_conntrack ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_state iptable_nat ip_nat_ftp"

2. Должен быть подключен tun/tap доступ. Тут несколько нюансов.
а) прежде всего этот tun модуль должен быть загружен _ДО_ запуска vz start на ноде. Т.е. должен быть виден через lsmod повторюсь до запуска vz.
b) после этого нужно выполнить
vzctl set 101 --devices c:10:200:rw --save
где 101 - номер Вашего VPS.
с) после этого нужно уже внутри VPS сделать:
mkdir -p /dev/net && mknod /dev/net/tun c 10 200 && chmod 600 /dev/net/tun

3. Не помешает перезагрузка VPS.
Дальше все делается по нашему howto, Обращаю внимание на:



Все работает замечательно.

Если совсем не в какую - пишите в ПМ, помогу

Разве на openvz можно ppp реализовать?

Кто сказал что это
1. openvz
2. ppp

Проблема с настройкой openvpn на VPS успешно решена! спасибо чел с http://dedicatesupport.com помог с настройкой и грамотной консультацией.
Сразу видно, шарит в этом деле. Так что рекомендую, берет не дорого. стучался на 3533106

Уважаемый модератор! Не могли бы Вы подсказать бедному админу где можно разместить отзывы о его работе. Ну где в рунете найти такой сайт. Причем независимый. Я думал что такое место у ВАС. Рекламы хостинга никакой не было. Свои услуги я тоже не рекламирую, и по мере своих сил помогаю клиентам с их linux серверами. Многим моя работа нравится. Где разместить отзывы?
P.S. Поверьте - это не из-за обиды на удаление постов. Это просьба о помощи. Может стоит сделать еще одну тему, где бы хостеры и их клиенты могли оставить отзыв о работе тех или иных специалистов.
Извините за офтоп.

pterik, ответ у Вас в личных сообщениях.