我已经设置并运行了 OpenVPN。我的办公室是一栋大楼的一部分,该大楼运行着多个 VLAN。显然,从我们自己的 VLAN 中,我可以访问本地资源,从世界其他地方,我可以使用 OpenVPN。但当连接到同一机构中的其他 VLAN 时,我无法做到这两点。
OpenVPN 发出抱怨,因为它正在连接到建筑物的外部 IP 地址,但回复正在内部路由回来(通过我无法控制的交换机),这意味着回复不是来自预期的 IP。结果:
来自 [AF_INET]10.67.5.1:1194[2] 的传入数据包被拒绝, 预期对等地址:[AF_INET]195.xxx:1194 (通过删除来允许此传入源地址/端口 --remote 或添加 --float)
(xxx = 受审查的公共 IP)
有人帮忙吗?(我意识到这类似于其他帖子但我认为我的问题有点不同,并证明有必要提出一个单独的问题)
根据要求,服务器配置:
端口 1194 原始 UDP 开发调谐 ca 证书 证书服务器.crt 密钥服务器.key # 此文件应保密 dh dh1024.pem 服务器 10.67.15.0 255.255.255.0 ifconfig-pool-persist ipp.txt 推“路由 10.67.5.0 255.255.255.0” 保持活动 10 120 康普 持久密钥 坚持-tun 状态 openvpn-status.log 动词 3
客户端配置
客户 远程示例.org ca /etc/openvpn/ca.crt 证书 /etc/openvpn/client_rich.crt 密钥 /etc/openvpn/client_rich.key comp-lzo 是 开发调谐 原始 UDP 不绑定 身份验证无缓存 脚本安全 2 持久密钥 坚持-tun 用户 openvpn 群组 openvpn
答案1
正如它所说,float
向客户端配置添加一个选项并再试一次。
--float
允许远程对等端更改其 IP 地址和/或端口号,例如由于 DHCP(如果- 偏僻的未使用)。 - 漂浮 当指定- 偏僻的允许 OpenVPN 会话最初连接到已知地址的对等端,但是如果数据包来自新地址并通过所有身份验证测试,则新地址将控制会话。当您连接到拥有动态地址(例如拨入用户或 DHCP 客户端)的对等端时,这很有用。
本质上,- 漂浮告诉 OpenVPN 接受来自任何地址的经过验证的数据包,而不仅仅是- 偏僻的选项。