办公室内第二个子网内的 OpenVPN 连接?

办公室内第二个子网内的 OpenVPN 连接?

我已经设置并运行了 OpenVPN。我的办公室是一栋大楼的一部分,该大楼运行着多个 VLAN。显然,从我们自己的 VLAN 中,我可以访问本地资源,从世界其他地方,我可以使用 OpenVPN。但当连接到同一机构中的其他 VLAN 时,我无法做到这两点。

OpenVPN 发出抱怨,因为它正在连接到建筑物的外部 IP 地址,但回复正在内部路由回来(通过我无法控制的交换机),这意味着回复不是来自预期的 IP。结果:

来自 [AF_INET]10.67.5.1:1194[2] 的传入数据包被拒绝,
   预期对等地址:[AF_INET]195.xxx:1194
   (通过删除来允许此传入源地址/端口
   --remote 或添加 --float)

(xxx = 受审查的公共 IP)

有人帮忙吗?(我意识到这类似于其他帖子但我认为我的问题有点不同,并证明有必要提出一个单独的问题)

根据要求,服务器配置:

端口 1194
原始 UDP
开发调谐
ca 证书
证书服务器.crt
密钥服务器.key # 此文件应保密
dh dh1024.pem
服务器 10.67.15.0 255.255.255.0
ifconfig-pool-persist ipp.txt
推“路由 10.67.5.0 255.255.255.0”
保持活动 10 120
康普
持久密钥
坚持-tun
状态 openvpn-status.log
动词 3

客户端配置

客户
远程示例.org
ca /etc/openvpn/ca.crt
证书 /etc/openvpn/client_rich.crt
密钥 /etc/openvpn/client_rich.key
comp-lzo 是
开发调谐
原始 UDP
不绑定
身份验证无缓存
脚本安全 2
持久密钥
坚持-tun
用户 openvpn
群组 openvpn

答案1

正如它所说,float向客户端配置添加一个选项并再试一次。

--float

允许远程对等端更改其 IP 地址和/或端口号,例如由于 DHCP(如果- 偏僻的未使用)。 - 漂浮 当指定- 偏僻的允许 OpenVPN 会话最初连接到已知地址的对等端,但是如果数据包来自新地址并通过所有身份验证测试,则新地址将控制会话。当您连接到拥有动态地址(例如拨入用户或 DHCP 客户端)的对等端时,这很有用。

本质上,- 漂浮告诉 OpenVPN 接受来自任何地址的经过验证的数据包,而不仅仅是- 偏僻的选项。

相关内容