我正在尝试在专用网络和连接到该网络的家庭客户端之间设置 OpenVPN。 (客户端不需要相互连接)。网络拓扑有点有趣。 10.7.42.0/24 有一个公共/大学网络。我们在该网络上有一些 IP,将公共端口转发给它们,但我们对这些 IP 进行了限制,因此我们在 192.168.203.0/24 的专用网络上放置了很多 IP。所有机器都至少有一个私有IP,有些机器同时具有公共和私有IP(两个适配器。这一切都是在虚拟机中完成的,但就像有两个物理上独立的网络)
OpenVPN 服务器也是公共/专用网络之间的网关。它有一个 10.7.42.x 地址,一个默认网关 10.7.42.1(大学网关),它伪装/IP 转发任意到任意,并且它有一个内部地址 192.168.203.1。它成功地适用于 NAT/网关。
我的开放 VPN 服务器配置如下所示:
local 10.42.7.226
port 443
proto tcp
dev tun
ca /etc/openvpn/easy-rsa-2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa-2.0/keys/server.crt
key /etc/openvpn/easy-rsa-2.0/keys/server.key # This file should be kept secret
dh /etc/openvpn/easy-rsa-2.0/keys/dh1024.pem
server 192.168.137.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/ipp.txt
route 192.168.203.0 255.255.255.0
push "route 192.168.203.0 255.255.255.0"
push "dhcp-option DNS 192.168.203.100"
keepalive 10 120
cipher BF-CBC # Blowfish (default)
comp-lzo
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-pam.so login
client-cert-not-required
username-as-common-name
max-clients 201
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
log-append /var/log/openvpn.log
ifconfig 看起来像这样:
eth0 Link encap:Ethernet HWaddr XX:XX:XX:XX:XX:XX
inet addr:192.168.203.1 Bcast:192.168.203.255 Mask:255.255.255.0
inet6 addr: fe80::8c2c:6bff:fe5b:5406/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:183488 errors:0 dropped:4 overruns:0 frame:0
TX packets:198145 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:15024794 (14.3 Mb) TX bytes:186885934 (178.2 Mb)
Interrupt:32 Base address:0xa000
eth1 Link encap:Ethernet HWaddr XX:XX:XX:XX:XX:XX
inet addr:10.42.7.226 Bcast:10.42.7.255 Mask:255.255.255.0
inet6 addr: fe80::a011:59ff:fe3e:c3aa/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:436236 errors:0 dropped:99041 overruns:0 frame:0
TX packets:202673 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:239838327 (228.7 Mb) TX bytes:20537299 (19.5 Mb)
Interrupt:36 Base address:0xe100
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:2 errors:0 dropped:0 overruns:0 frame:0
TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:100 (100.0 b) TX bytes:100 (100.0 b)
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:192.168.137.1 P-t-P:192.168.173.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:631 errors:0 dropped:0 overruns:0 frame:0
TX packets:88 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:48118 (46.9 Kb) TX bytes:13725 (13.4 Kb)
我的路线如下所示:
192.168.137.2 * 255.255.255.255 UH 0 0 0 tun0
10.42.7.0 * 255.255.255.0 U 0 0 0 eth1
192.168.203.0 * 255.255.255.0 U 0 0 0 eth0
192.168.137.0 192.168.137.2 255.255.255.0 UG 0 0 0 tun0
link-local * 255.255.0.0 U 0 0 0 eth0
loopback * 255.0.0.0 U 0 0 0 lo
default 10.42.7.1 0.0.0.0 UG 0 0 0 eth1
客户端看起来像这样:
dev tun
remote vpn.mydomain.com
ca ca.crt
client
port 443
proto tcp
tls-client
auth-user-pass
comp-lzo
ping 15
verb 9
log-append /tmp/openvpn.log
问题是我只能通过 ssh 访问 192.168.137.1 才能访问 OpenVPN 服务器。我无法连接到任何 192.168.203.0/24 地址。如果我进行跟踪路由,它只会经过一跳,并且需要 30 秒才能通过 VPN 到达远程 tun 适配器。
私有机器使用 192.168.203.1(OpenVPN 服务器)作为网关,因此数据包至少对于那些机器来说应该可以顺利返回(实际上它们在出去时会经过 NAT,所以它应该能够到达同时具有以下两个地址的机器):公共和私人适配器也是如此)
我之前已经设置过这些 OpenVPN 网络,并且我知道我以前遇到过这个确切的问题,但我不记得解决方案。
答案1
我发现了这个问题。这是我的防火墙。如果我禁用防火墙并使用 iptables 手动输入所需的规则,则效果很好。 (根据 freenode.net 上的 #openvpn 聊天室,人们对 OpenVPN 的第一大问题通常是基于防火墙)。然后我调整了防火墙脚本以允许我的 tun0 流量并重新启动它。