我正在尝试弄清楚如何在不使用 NAT/PAT 的情况下路由 OpenVPN 客户端。我想要做的是将客户端向 OpenVPN 服务器进行身份验证时分配给它们的 IP 地址路由到网络(在 server.conf 文件中)。我的 OpenVPN 服务器直接连接到我的网关。我不希望它伪装,因为这样很难通过 IP 追踪单个客户端并导致其他问题。我确信这可能是我需要在 iptables 中做的事情,但我不知道如何去做。任何帮助都将不胜感激。
OP 澄清
“我希望 server.conf 提供给客户端的 IP 能够遍历我的网络内部 - 我可能因为暗示我不想让该 IP 地址工作而让一些人感到困惑……如果是这样,我很抱歉。我想要的是在 tun0 接口和我的 OpenVPN 服务器的内部接口之间不必进行 PAT。我希望每个客户端在网络内部都有自己的 IP 地址,而不是服务器内部接口的 IP 地址。”
由 barlop 添加
以下是一张图表
答案1
OpenVPN 服务器将完美运行有还是没有NAT/PAT。问题在于从10.1.1.0/24
子网接收数据包的机器;它们不知道如何回复,因为它们没有路由(并且每台机器的软件防火墙可能还需要10.1.1.0/24
专门允许子网)。在子网的目标机器上添加静态路由10.1.1.0/24
。