openvpnサーバーは着信トラフィックをNATしません

openvpnサーバーは着信トラフィックをNATしません

最近、openVPNにどのような問題があるのか​​を把握するのが困難です。数日前、DebianサーバーとUbuntuクライアントにopenVPNをインストールして設定しました。奇妙な動作に直面しました。 OpenVPNサーバーは常に着信トラフィックをNATできますが、必ずしもそうではありません!

そうだiptablesDebianサーバーのルールは毎日指定された時間に削除されます(ただし、わかりません)。翌日、以下のようにiptableルール(NATおよびDNSクエリの配信用)を再入力すると、

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i tun+ -p udp --dport 53 -j DNAT --to-destination 8.8.8.8

openvpnデーモンを強制的に再ロードし(両端で)openvpnを再起動すると、トラフィックは期待どおりにルーティングされます。iptablesルールをファイルに保存しました/etc/iptables.conf起動時にリロードします(/etc/rc.local)、しかし問題はまだ存在します。これは私のコンテンツです/etc/iptables.conf:

# Generated by iptables-save v1.4.14 on Tue Apr 15 13:50:46 2014
*security
:INPUT ACCEPT [166249:16762540]
:FORWARD ACCEPT [3659:1318578]
:OUTPUT ACCEPT [165776:17724102]
COMMIT
# Completed on Tue Apr 15 13:50:46 2014
# Generated by iptables-save v1.4.14 on Tue Apr 15 13:50:46 2014
*raw
:PREROUTING ACCEPT [169911:18081298]
:OUTPUT ACCEPT [165776:17724102]
COMMIT
# Completed on Tue Apr 15 13:50:46 2014
# Generated by iptables-save v1.4.14 on Tue Apr 15 13:50:46 2014
*nat
:PREROUTING ACCEPT [42:2524]
:INPUT ACCEPT [1:40]
:OUTPUT ACCEPT [24:1504]
:POSTROUTING ACCEPT [24:1504]
-A PREROUTING -i tun+ -p udp -m udp --dport 53 -j DNAT --to-destination 8.8.8.8
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue Apr 15 13:50:46 2014
# Generated by iptables-save v1.4.14 on Tue Apr 15 13:50:46 2014
*mangle
:PREROUTING ACCEPT [169911:18081298]
:INPUT ACCEPT [166249:16762540]
:FORWARD ACCEPT [3659:1318578]
:OUTPUT ACCEPT [165776:17724102]
:POSTROUTING ACCEPT [169435:19042680]
COMMIT
# Completed on Tue Apr 15 13:50:46 2014
# Generated by iptables-save v1.4.14 on Tue Apr 15 13:50:46 2014
*filter
:INPUT ACCEPT [166249:16762540]
:FORWARD ACCEPT [3659:1318578]
:OUTPUT ACCEPT [165776:17724102]
COMMIT
# Completed on Tue Apr 15 13:50:46 2014

ここ設定ファイルを公開しました。その投稿での作業 client.conf と server.conf の違いは次のとおりです。

# client.conf

user nobody
group nogroup    
redirect-gateway def1 #bypass-dns bypass-dhcp

仕える人:

# server.conf

; duplicate-cn #not needed, commented out    
user nobody
group nogroup    

この混乱した状況で私を救ってくれたら本当にありがとうございます!

関連情報