我已经在 Mikrotik 路由器上配置了 OVPN 服务器。
我的 LAN 地址为:192.168.0.0/24 我已将 VPN 本地地址设置为:192.168.1.5 和远程地址 192.168.1.6 运行 VPN 服务器的路由器的 IP 为 192.168.0.30
问题是我只能 ping 192.168.0.30 和 192.168.1.5(本地 vpn 地址)。我无法 ping 网络中的其他设备。
在防火墙规则中我有:
- 接受链:输入;协议:tcp;目标端口 1723
- 接受链:输入/输出/转发;src:192.168.1.5
在我设定的路线中:
- 目标:192.168.0.0/24,网关为 ovpn-test
我不太熟悉网络和 Linux 系统,因此也欢迎任何有关如何改进这个问题并提供更多细节的建议。
我的客户端脚本:
dev tun
proto tcp-client
remote xx.xx.xx.xx 11723
ca ca.crt
key picom.key
cert picom.crt
tls-client
port 11723
persist-tun
persist-key
verb 3
auth SHA1
pull
auth-user-pass
route-method exe
route-delay 2
route 192.168.0.0 255.255.255.0
route 192.168.1.0 255.255.255.0
编辑:
- 路由器 IP 地址是 192.168.0.30
- VPN 服务器本地地址为 192.168.1.5
- 远程地址是 192.168.1.6
- VPN客户端获取地址192.168.1.6。不知道我理解的对吗?
- VPN 客户端使用另一个 ISP 连接到不同的网络
- 具有外部 IP 的路由器的端口 11723 被转发到带有 VPN 服务器的路由器的 1723。不幸的是,我无法访问此路由器配置。
答案1
您不能在两个不同的地方使用相同的网络地址范围。
- 您的 LAN 是 192.168.0.0/24。LAN 本身不得使用其他地址。
- 您的 OpenVPN 路由不能是 192.168.0/24。请使用地址 192.168.1.0/24 或任何其他 RFC1918 地址。但不能使用 192.168.0.0/24。
- 如果您要在路由器上为 VPN 子网 192.168.1.0/24 设置到 VPN 服务器的静态路由,则必须引用 LAN 地址为 192.168.0.30 的 VPN 服务器(参见要点 1)。
您可能还需要启用转发。要测试(直到下次重新启动)此功能是否有效,您可以运行
sysctl -w net.ipv4.ip_forward=1
满意后,您可以将其添加net.ipv4.ip_forward=1到系统文件中/etc/sysctl.conf,或者在 下创建自己的文件/etc/sysctl.d/。您可能会发现该行已经存在,但只是被注释掉了。显然,在这种情况下,您可以取消注释该行。
我从评论中看到您已添加从客户端到 LAN 的路由。不要忘记 LAN 客户端返回 VPN 的反向条目。
答案2
需要为 192.168.1.0(OpenVPN 作为源地址)的 srcnat 链设置 NAT 伪装。