我试图通过一个 SSL VPN(F5,在我的 debian 笔记本电脑上运行== client
)通过另一个(OpenVPN,在 debian linode 上运行== )建立隧道,但在 F5VPN 连接后server
丢失所有客户端网络(包括,例如)。ping
我不确定这是否是由于我的 OpenVPN 配置或我的服务器的防火墙/iptables 造成的,但怀疑是后者。不幸的是,我对网络并不了解,因此我非常感谢您提供的任何帮助。
我需要远程(脱离物理 LAN)通过 SSH 进入一些受防火墙保护的计算集群来进行环境建模(例如,这)。以前我可以在我的 Debian 笔记本电脑上使用集群提供商强制的 F5VPN,其客户端被称为F5NAP
(“网络访问[浏览器]插件”。”但是,访问策略已更改(特别是需要一个注册的IP#),所以我不能再“直接”执行此操作(即,仅从我的笔记本电脑运行F5VPN)。我寻求通过从我的客户端/笔记本电脑通过 debian linode 服务器/跳转箱实现 VPN 隧道来适应新政策(并恢复我的项目工作)。设计细节请看这里,但我的设计可以用以下 ASCII 艺术来粗略概括:
<-MY CONTROL | AGENCY CONTROL->
| firewall
+----------+ +-----------+ | +---------------+ || +---------+
| laptop + | | linode + | | | remote-access | || | cluster |
| F5NAP + | <--> | OpenVPN | <-|-> | website + | <-||-> | node(s) |
| OpenVPN | | server + | | | F5VPN server | || | |
| client | | security | | | | || | |
+----------+ +-----------+ | +---------------+ || +---------+
(实施细节在这里。请注意F5NAP
==F5VPN 客户端。)好消息是,以下序列有效:我可以
- 在我的 linode 上启动 OpenVPN 服务器(又名“服务器”)
- 在我的笔记本电脑上启动 OpenVPN 客户端, 之后Whatismyip.com显示服务器的IP#(已注册)
- 启动 F5VPN 客户端(F5NAP 版 Firefox),从中仍然可以看到服务器的 IP#。
- 使用F5VPN客户端,登录该机构的远程访问网站,并调出F5VPN的控制UI(例如,启动/停止/注销)。
坏消息(详情这里)是,一旦我启动 F5VPN,并在其 Web UI 中看到状态==已连接,我的客户端/笔记本电脑就会失去 IP 网络。我原本以为这只是一个 DNS 问题,但我什至无法识别ping
IP#,例如,
me@client:~ $ ping -c 4 141.101.120.15 # == www.whatismyip.com
PING 141.101.120.15 (141.101.120.15) 56(84) bytes of data.
--- 141.101.120.15 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3022ms
(这里唯一的安慰是网络故障终止了隧道,这导致我的客户端重新获得其网络......而且还可以访问注册的 IP#。)
我原以为这个问题是由于我的 OpenVPN 配置错误造成的,但现在怀疑我需要调整我的服务器防火墙(即iptables
,在 Debian 7.8 上运行)为了让我的 OpenVPN 配置正常工作:查看客户端命令行调试会话这里。
还有一个复杂的情况:F5VPN是专有的,并且(恕我直言)不受 F5(供应商)或集群提供商(他们的客户,又名“代理机构”)特别好的支持。特别是,我不知道(但已询问)该机构 VPN 服务器的 IP#:我只知道我所访问的远程访问网站的名称(DNS 告诉我 IP#:-)需要用来登录F5VPN。