当我远程进入家庭 LAN 时无法访问 VPN 后面的 IP(严格策略规则)

当我远程进入家庭 LAN 时无法访问 VPN 后面的 IP(严格策略规则)

这是我的环境。

  • 华硕 RT-AC88U 上的 AsusWRT-Merlin FW 380.67
  • 使用 AirVPN 在我的路由器上设置 OpenVPN 客户端
  • 在我的路由器上启用了 10.8.1.0/24 的 OpenVPN 服务器
  • 内部家庭 LAN 为 192.168.xx/24
  • 我有一个运行多个监狱的 FreeNAS 服务器 - 192.168.1.26 = 通过 OpenVPN 客户端传输到互联网

当我使用 VPN 时,我仅访问家庭内部 LAN 上 192.168.1.26 的传输监狱时遇到问题。发生这种情况是因为在路由器页面的“OpenVPN 客户端”选项卡下的“重定向 Internet 流量”选项下,我“ m 使用“严格策略规则”设置。使用严格选项可提高安全性,但需要使用专门针对隧道接口的规则以允许转发流量。当我将其更改为“策略规则”时,我可以 ping 并到达传输服务器,但我希望提高安全性。请帮我写一下这条规则。以下是 Merlin 对 380.66(2017 年 5 月 12 日)变更日志的解释,

新功能:为 OpenVPN 客户端添加了新的 Internet 重定向模式,称为“策略规则(严格)”。与现有的“策略规则”模式的不同之处在于,在严格模式下,只会使用专门针对隧道接口的规则。这可确保您不会通过全局或其他隧道路由泄漏流量,但这也意味着您在 WAN 级别定义的任何静态路由也不会被复制。

这让我想到了 iptables。这是我的 nat-start 脚本。我的目标是拥有一个具有一定安全性的半简单脚本,同时允许我访问传输 IP。您将从我的脚本中看到,我尝试了不同的行,当它们不起作用时,我只是将它们注释掉。

#!/bin/sh

iptables -I FORWARD -i br0 -o tun11 -j ACCEPT
iptables -I FORWARD -i tun11 -o br0 -j ACCEPT
iptables -I FORWARD -i br0 -o vlan1 -j DROP
#iptables -I INPUT -i tun11 -j REJECT
iptables -t nat -A POSTROUTING -o tun11 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o tun21 -j MASQUERADE

iptables -t nat -I PREROUTING -i tun11 -p tcp --dport xxxxx-j DNAT --to-destination 192.168.1.26
iptables -t nat -I PREROUTING -i tun11 -p udp --dport xxxxx-j DNAT --to-destination 192.168.1.26
iptables -I FORWARD -i tun11 -p udp -d 192.168.1.26 --dport xxxxx--state RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD -i tun11 -p tcp -d 192.168.1.26 --dport xxxxx--state RELATED,ESTABLISHED -j ACCEPT

很感谢任何形式的帮助。

相关内容