我试过此解决方案但它不起作用。基本上,我可以通过 OpenVPN 连接到我的远程网络,但只能连接到网络上的一个 IP。对于基于服务器的连接,我通过 ssh 使用了端口转发。这有效,我获得了对一些资源的访问权限,但我仍然无法连接到我需要访问的一些网络共享。
有什么想法/提示/解决方法吗?
编辑 -配置如下:
客户
dev tun
proto udp
remote remote.mydomain.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert cert.crt
key key.key
comp-lzo
verb 3
服务器
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.8.0.0. 255.255.255.0
ifconfig-pool-persist
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-kiey
persist-tun
status openvpn-status.log
verb 3
我应该指出,此配置已工作了好几个月。它仍然有效(某种程度上),因为我可以通过 VPN 隧道访问运行 VPN 的服务器。我只是无法在没有解决方法的情况下访问网络上的其他 IP(这是新行为)。
我能想到的唯一改变是我在同一个网络上使用 samba 重新配置了 Drobo。
编辑2-以下是有关此情况的网络设置的更多信息:
我所在的位置是本地网络:192.168.5.0/24
我工作的地方是另一个本地网络:192.168.1.0/24
VPN 网络:10.8.0.0/24
在 192.168.1.0 网络上,有几个服务器(其中一个是 OpenVPN 服务器)和几个我需要访问的网络共享。使用 ssh 端口转发,我可以连接到 WRT 路由器(192.168.1.1 - 它有一个用于 VPN 的端口转发,通过端口 1194)和我需要的另一个 CRM 服务器:192.168.1.20。当我使用现有的 VPN 配置(见上文)时,运行 VPN 的机器(192.168.1.10)是唯一可访问的 IP,以前运行良好(这意味着,我可以访问 192.168.1.0 网络上的所有网络共享、所有服务器、所有本地共享机器)。
其中一个网络共享位于 192.168.1.15。我之前讨论过的 Drobo 位于 CRM 服务器 (192.168.1.20) 上。Drobo 以前是 DroboShare,有自己的 IP (192.168.1.16)。最近更改了 IP。我可以将此处讨论的网络共享安装到 192.168.1.10(因为我可以通过 ssh 访问这台机器),因此从技术上讲,我可以访问我需要的一切。问题是,这样做很麻烦,特别是因为我习惯了 VPN 正常工作。
希望这次编辑能让事情变得更加清晰。
答案1
我猜想是网络上的其他机器不知道如何路由到 OpenVPN 客户端正在使用的 IP 范围(在您的例子中是 10.8.0.0/24)。如果运行 OpenVPN 服务器的机器不是默认路由器,那么网络主机可能会将其数据包发送到 10.8.0.x 路由器,而不是 OpenVPN 服务器。
最简单的解决方法是在路由器上为 10.8.0.0/255.255.255.0 添加静态路由,其中网关是 OpenVPN 服务器的 LAN IP 地址。如果这不可行,您还可以向客户端需要与之通信的每个服务器或主机添加相同的静态路由。
还可以将 OpenVPN 配置为以桥接模式工作,这样客户端看起来与 OpenVPN 服务器位于同一 LAN 子网中。这设置起来比较棘手;在 Linux 上,您需要创建一个 tap 接口并将其桥接到以太网接口。
答案2
根据 VPN 设计,您可能需要包含以下服务器配置指令:
serverdev tunpush route <network>client-to-client(这将取决于架构 - 如果每个人都通过 VPN 连接到服务器,而不是服务器与某些机器位于同一网络上,其他机器通过 VPN 访问它们,则需要这样做)
有很多地方可能出错例如
- 没有针对服务器地址推送路由
- 服务器仅通过 VPN 连接到 VPN 服务器,而不是物理 LAN,并且
client-to-client未开启 - OpenVPN 中不为人知的漏洞(希望不是这个!)
您能发布服务器和客户端配置文件的(删节版)副本吗?或者您能给我们介绍一下网络架构的基本概念吗?