需要 Cisco 路由来将 VPN 客户端路由到数据中心

tag-icon tag-icon cisco routing openvpn route
需要 Cisco 路由来将 VPN 客户端路由到数据中心

我在办公室的服务器上设置了一个 OpenVPN 服务器,供人们通过 VPN 访问。他们可以顺利访问办公室网络上的任何主机,但如果他们尝试访问我们位于另一个子网上的数据中心,则不会发生任何事情。我相信它在思科路由器的访问列表中,但无法弄清楚。

Office LAN: 192.168.71.0/24
DataCenter Lan: 192.168.100.0/24
OpenVPN Server: 192.168.71.15
VPN LAN: 192.168.61.0/24
Office Router IP: 192.168.71.1

因此,当客户端连接时,他们的路由表如下所示

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.61.5    0.0.0.0         255.255.255.255 UH    0      0        0 tun0
192.168.61.1    192.168.61.5    255.255.255.255 UGH   0      0        0 tun0
192.168.100.0   192.168.61.5    255.255.255.0   UG    0      0        0 tun0
192.168.71.0    192.168.61.5    255.255.255.0   UG    0      0        0 tun0
192.168.1.0     0.0.0.0         255.255.255.0   U     2      0        0 wlan0
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 wlan0

到数据中心的跟踪路由如下

traceroute to 192.168.100.52 (192.168.100.52), 30 hops max, 60 byte packets
 1  192.168.61.1 (192.168.61.1)  18.851 ms  39.294 ms  39.297 ms
 2  192.168.71.1 (192.168.71.1)  39.287 ms  39.278 ms  39.269 ms
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *

这是 openvpn 服务器上的路由表

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.61.2    0.0.0.0         255.255.255.255 UH    0      0        0 tun0
192.168.71.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.61.0    192.168.61.2    255.255.255.0   UG    0      0        0 tun0
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth0
0.0.0.0         192.168.71.1    0.0.0.0         UG    0      0        0 eth0
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 eth0

所以在我看来,这个数据包正在到达办公室路由器

这是我的思科路由器的路由配置

ip route 0.0.0.0 0.0.0.0 216.173.2.217
ip route 10.1.168.0 255.255.255.0 192.168.71.5
ip route 10.100.1.0 255.255.255.0 192.168.72.5
ip route 192.168.61.0 255.255.255.0 192.168.71.15

这是我的访问列表

access-list 1 remark CCP_ACL Category=2
access-list 1 permit 192.168.71.0 0.0.0.255
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 100 remark CCP_ACL Category=4
access-list 100 permit ip 192.168.0.0 0.0.255.255 any
access-list 101 deny   ip any 192.168.0.0 0.0.255.255
access-list 101 deny   ip any 172.16.0.0 0.15.255.255
access-list 101 deny   ip any 10.0.0.0 0.255.255.255
access-list 101 permit ip 192.168.71.0 0.0.0.255 any
access-list 102 remark CCP_ACL Category=4
access-list 102 permit ip 192.168.71.0 0.0.0.255 any
access-list 103 remark CCP_ACL Category=4
access-list 103 permit ip 192.168.71.0 0.0.0.255 any
access-list 103 permit ip 192.168.100.0 0.0.0.255 any
access-list 120 permit ip 192.168.71.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 701 deny   0007.e917.876f   0000.0000.0000

有任何帮助或指点吗?

答案1

我猜测您的思科路由器有两个“支路”:一个用于办公室局域网,一个用于数据中心局域网。

来自 VPN 用户的数据包正在到达您的数据中心,但它们没有返回的路由,因为 Cisco 不知道 Open VPN 服务器是 VPN LAN 的路由器。

您需要在 Cisco 中添加一条路由,告诉它将目的地为 192.168.61.0/24 的数据包路由到 192.168.71.15,该路由器作为 OpenVPN 路由器,具有到该网络的路由,并将依次将数据包转发到 VPN 主机。

相关内容