我正在使用 Windows Server 2019。
我有一个 OpenVPN 服务器监听 IP 为 192.16.2.10(子网 255.255.255.0)的 NIC。已连接到 Fritz!Box 路由器。路由器配置为将 UDP 端口 1194 转发到相应的 NIC。
内部 LAN 具有不同的 NIC,其 IP 为 192.168.16.205(子网 255.255.255.0)。
我可以从外部连接到 OpenVPN 服务器,并且获得成功的连接。
但是从外部 VPN 客户端 Ping 到本地网络中的另一台服务器(例如 DNS 服务器 192.168.16.201)失败。
我对文档很困惑
https://community.openvpn.net/openvpn/wiki/HOWTO#ExpandingthescopeoftheVPNtoincludeadditionalmachinesoneithertheclientorserversubnet告诉我我什么也不用做,因为我用dev tap
确保您已在 OpenVPN 服务器上启用 IP 和 TUN/TAP 转发。
使用桥接 VPN(dev tap)时在服务器端包含多台机器使用以太网桥接的好处之一是您可以免费获得它而无需任何额外的配置。
所有防火墙(Windows 防火墙)都已关闭。所有提示仅指向防火墙设置...
- 我无法 ping 通本地网络 192.168.16.x 中的任何服务器
- 我无法使用 RDP 访问本地网络 192.168.16.x 中的任何服务器。
- DNS 也不起作用。(DNS 服务器位于 192.168.16.201)
有任何想法吗?
这是我的 server.ovpn 文件:
#################################################
# OpenVPN
#################################################
local 192.168.2.10
port 1194
proto udp
dev tap
topology subnet
#----------------------------------------------
#Zertifikate
#----------------------------------------------
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\dh.pem"
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\issued\\VPNServer-01.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\private\\VPNServer-01.key"
#----------------------------------------------
#Server-Setup
#----------------------------------------------
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist "C:\\Program Files\\OpenVPN\\ipp.txt"
client-to-client
#----------------------------------------------
#Client-Settings (inkl Special Dir) Files - OPTIONAL
#----------------------------------------------
#client-config-dir "C:\\Program Files\\OpenVPN\\ccd"
push "route 192.168.16.0 255.255.255.0"
push "dhcp-option DNS 192.168.16.201"
push "dhcp-option DOMAIN vpn.xyz.loc"
#----------------------------------------------
#Defaults
#----------------------------------------------
keepalive 10 120
persist-key
persist-tun
allow-compression yes
cipher AES-256-GCM
data-ciphers-fallback AES-256-CBC
#----------------------------------------------
# Logging
# ----------------------------------------------
status "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log"
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
# log-append "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
verb 3
PS:我dev tap根据以下链接使用,第二个答案似乎与我的情况相符:
https://serverfault.com/questions/21157/should-i-use-tap-or-tun-for-openvpn
答案1
dev tap是第 2 层 VPN,这意味着您正在192.168.16.0通过隧道扩展服务器的本地子网(无 IP 路由)
不要使用server [ip-pool]。你需要服务器桥push "route"而不是 TAP,如文档中所述。除非您想通过 VPN 发送 .16 以外的子网的客户端流量,否则您也不需要
# bridge vpn to an adapter on server
# example of allowing client IPs .100 to .200
server-bridge 192.168.16.202 255.255.255.0 192.168.16.100 192.168.16.200
操作指南中介绍了更多设置桥接的步骤,但这取决于你的服务器配置和偏好