我们的局域网连接到我们的办公室网关机器(192.168.1.1),该机器连接到互联网。
我已经为此目的设置了 NAT/Masquerading,没有任何问题。
我们还使用 OpenVPN 连接到我们的数据中心(OpenVPN 服务器位于数据中心)。
我没有直接配置所有内部客户端,而是将网关服务器设为 OpenVPN 服务器 (10.91.3.1) 的客户端 (10.91.3.102)
我们的 VPN 网络速度太快了,我不知道哪里丢失了什么东西。
这是在职的,但我猜数据包已经丢失。
互联网模式/路由器 - 192.168.0.1
网关 eth1 - 192.168.0.2 (到 Internet) eth2 - 192.168.1.1 (到 LAN) tun0 - 10.91.3.102 (到 VPN)
局域网 192.168.1.0/24
在网关机器上...
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o tun0 -j SNAT --to-source 10.91.3.102
-A POSTROUTING -o eth1 -j SNAT --to-source 192.168.0.2
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
# accept everything coming from our LAN (eth2)
-A INPUT -i eth2 -j ACCEPT
# accept everything on the VPN
-A INPUT -i tun0 -j ACCEPT
# reject anything else
-A INPUT -j REJECT --reject-with icmp-host-prohibited
# vpn
-A FORWARD -i eth2 -o tun0 -j ACCEPT
-A FORWARD -i tun0 -o eth2 -j ACCEPT
# allow traffic to flow between the Internet (eth1) and our LAN (eth2)
-A FORWARD -i eth2 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
答案1
如果连接已建立,则可能不是防火墙规则。检查是否可以从一个网关 ping 到另一个网关,并指定接口。例如 ping -I tun0 192.168.0.1。两种方式都试一下。
最好能看到 OpenVPN 服务器和客户端的 VPN 配置。有几种可能的解释:
- 您可能遇到 MTU 不匹配/兼容问题。
- 根据所使用的端口,您可能会受到 ISP 流量整形的影响。
- 您是否使用代理服务器?
- 路由规则是什么(检查“ip route”)?
- 在不同情况下,协议的性能会有所不同。UDP 上的 OpenVPN 性能最佳。
- 尝试隧道模式 (TUN) 和桥接模式 (TAP)。OpenVPN 网站上有相关说明。
- 尝试关闭两侧的压缩。
- 检查您是否在双方使用最新/相同版本的 OpenVPN。
在每个网关端使用类似 speedtest.net 的工具,无需 VPN。VPN 建立后,再次测量网关之间的速度,以排除两侧的 LAN 故障。
最后但并非最不重要的一点是,我想您不希望 LAN 客户端的 Internet 访问通过其他站点进行路由?如果您只希望 VPN 用于站点到站点的流量,而不是 Internet 访问,则应将 OpenVPN 客户端配置为不更改默认网关来发送所有流量。路由规则应仅重定向通过 VPN 发往其他站点的流量。默认网关仍然是原始 ISP 连接。