通过一个 VPN 建立隧道时调试 iptables

通过一个 VPN 建立隧道时调试 iptables

我试图通过一个 SSL VPN(F5,在我的 debian 笔记本电脑上运行== client)通过另一个(OpenVPN,在 debian linode 上运行== )建立隧道,但在 F5VPN 连接后server丢失所有客户端网络(包括,例如)。ping我不确定这是否是由于我的 OpenVPN 配置或我的服务器的防火墙/iptables 造成的,但怀疑是后者。不幸的是,我对网络并不了解,因此我非常感谢您提供的任何帮助。

我需要远程(脱离物理 LAN)通过 SSH 进入一些受防火墙保护的计算集群来进行环境建模(例如,)。以前我可以在我的 Debian 笔记本电脑上使用集群提供商强制的 F5VPN,其客户端被称为F5NAP(“网络访问[浏览器]插件”。”但是,访问策略已更改(特别是需要一个注册的IP#),所以我不能再“直接”执行此操作(即,仅从我的笔记本电脑运行F5VPN)。我寻求通过从我的客户端/笔记本电脑通过 debian linode 服务器/跳转箱实现 VPN 隧道来适应新政策(并恢复我的项目工作)。设计细节请看这里,但我的设计可以用以下 ASCII 艺术来粗略概括:

                     <-MY CONTROL | AGENCY CONTROL->
                                  |                    firewall
+----------+      +-----------+   |   +---------------+   ||   +---------+
| laptop + |      | linode  + |   |   | remote-access |   ||   | cluster |
| F5NAP  + | <--> | OpenVPN   | <-|-> | website +     | <-||-> | node(s) |
| OpenVPN  |      | server  + |   |   | F5VPN server  |   ||   |         |
| client   |      | security  |   |   |               |   ||   |         |
+----------+      +-----------+   |   +---------------+   ||   +---------+

实施细节在这里。请注意F5NAP==F5VPN 客户端。)好消息是,以下序列有效:我可以

  1. 在我的 linode 上启动 OpenVPN 服务器(又名“服务器”)
  2. 在我的笔记本电脑上启动 OpenVPN 客户端, 之后Whatismyip.com显示服务器的IP#(已注册)
  3. 启动 F5VPN 客户端(F5NAP 版 Firefox),从中仍然可以看到服务器的 IP#。
  4. 使用F5VPN客户端,登录该机构的远程访问网站,并调出F5VPN的控制UI(例如,启动/停止/注销)。

坏消息(详情这里)是,一旦我启动 F5VPN,并在其 Web UI 中看到状态==已连接,我的客户端/笔记本电脑就会失去 IP 网络。我原本以为这只是一个 DNS 问题,但我什至无法识别pingIP#,例如,

me@client:~ $ ping -c 4 141.101.120.15 # == www.whatismyip.com
PING 141.101.120.15 (141.101.120.15) 56(84) bytes of data.

--- 141.101.120.15 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3022ms

(这里唯一的安慰是网络故障终止了隧道,这导致我的客户端重新获得其网络......而且还可以访问注册的 IP#。)

我原以为这个问题是由于我的 OpenVPN 配置错误造成的,但现在怀疑我需要调整我的服务器防火墙(即iptables,在 Debian 7.8 上运行)为了让我的 OpenVPN 配置正常工作:查看客户端命令行调试会话这里

还有一个复杂的情况:F5VPN是专有的,并且(恕我直言)不受 F5(供应商)或集群提供商(他们的客户,又名“代理机构”)特别好的支持。特别是,我不知道(但已询问)该机构 VPN 服务器的 IP#:我只知道我所访问的远程访问网站的名称(DNS 告诉我 IP#:-)需要用来登录F5VPN。

相关内容