作为概念验证,我尝试在各自的私有网络上配置一个 OpenVPN 访问服务器 (AS),其中包含两个客户端。实验的目标是让客户端通过使用多种协议的隧道相互通信,透明地通过各自的 NAT 路由器(即无需在路由器上进行端口转发或静态路由)。
该设置看起来像这样:
在这里,我使用两台 Windows PC 作为不同专用网络上的客户端。它们都能够连接并 ping 通 OpenVPN AS 的 VPN IP 地址 10.8.0.1。但是,AS 无法 ping 通任何一个客户端,客户端也无法相互 ping 通,尽管它们“实际上”位于同一网络上。(两个客户端都分配有 10.8.0.0/24 上的动态 VPN IP 地址)。
我怀疑该问题与服务器端的路由有关,但我缺乏足够的了解来证明这一点!
在 OpenVPN 访问服务器上
openvpnas@openvpnas2:~$ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 172.30.0.1 0.0.0.0 UG 0 0 0 eth0
10.8.0.0 0.0.0.0 255.255.255.0 U 0 0 0 as0t0
172.30.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
openvpnas@openvpnas2:~$ ping 10.8.0.59
PING 10.8.0.59 (10.8.0.59) 56(84) bytes of data.
^C
--- 10.8.0.59 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 1999ms
其中 10.8.0.59 是 Windows 8 机器的 VPN IP 地址。
但我可以 telnet 到同一个客户端端口 443。
openvpnas@openvpnas2:~$ telnet 10.8.0.59 443
Trying 10.8.0.59...
Connected to 10.8.0.59.
Escape character is '^]'.
^]
telnet> quit
Connection closed.
在 Windows 客户端上
AS 是通过 Web 界面配置的,到目前为止我无法在 AS 上找到 server.conf。
我已允许 Windows 防火墙中两个客户端的 UDP 1194 和 TCP 443 上的入站流量。
客户端配置文件如下所示(内联证书、密钥和签名已被删除)。
setenv FORWARD_COMPATIBLE 1
client
proto udp
nobind
remote 54.169.10.97
port 1194
dev tun
dev-type tun
ns-cert-type server
reneg-sec 604800
sndbuf 100000
rcvbuf 100000
# NOTE: LZO commands are pushed by the Access Server at connect time.
# NOTE: The below line doesn't disable LZO.
comp-lzo no
verb 3
setenv PUSH_PEER_INFO
感觉我已经尝试了 AS 上的每一个配置选项,但我快要失去活下去的意志了!我真的需要一些关于如何系统地诊断问题的帮助。如果您需要我在这里发布命令的输出,请随时询问...