OpenVPN 无法访问客户端 Lan

tag-icon tag-icon vpn amazon-web-services openvpn ping route
OpenVPN 无法访问客户端 Lan

我有一个关于 OpenVPN 的问题,我已经在我的办公室网络和 Amazon 上的 VPC 之间建立了“dev tun”连接。但是......

简而言之:一切正常,除了:我无法从服务器 LAN ping 通客户端 LAN。

正如您在图表(下面的链接)上看到的,Vpn 服务器在办公网络中的 Synology Nas 上运行。 图表

客户端成功连接到服务器,并可以访问整个办公室网络(使用 192.168.1.XXX ip)。(是的!)。但是,从办公室网络,我无法 ping 通客户端局域网(使用 10.0.0.XXX),甚至无法从服务器 ping 通。当然,我可以从服务器和局域网 ping 通使用 10.8.0.6 的客户端。

要知道:

  • 所有 EC2 实例上都禁用源/目标检查。
  • VPNServer 上的防火墙已禁用
  • VPNClient 上的所有防火墙均已禁用

我花了太多时间来寻找解决方案。现在到处添加和删除路线让我真的很抓狂 :/

有人能帮我澄清一下这个问题吗?提前谢谢了。

服务器配置:

push "route 192.168.1.0 255.255.255.0"
push "route 10.8.0.0 255.255.255.0" 
route 10.0.0.0 255.255.255.0
#route 192.168.1.0 255.255.255.0   
dev tun 

management 127.0.0.1 1195

server 10.8.0.0 255.255.255.0

dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh1024.pem
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key
max-clients 5
client-to-client
client-config-dir /var/packages/VPNCenter/target/etc/openvpn/ccd 
comp-lzo
persist-tun
persist-key
verb 3
#log-append /var/log/openvpn.log
keepalive 10 60
reneg-sec 0
plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf
client-cert-not-required
username-as-common-name
duplicate-cn    
status /tmp/ovpn_status_2_result 30
status-version 2
proto udp6
port 1194

CCD 文件:

iroute 10.0.0.0 255.255.255.0

客户端配置:

dev tun
tls-client
remote XXX.XXX.XXX.XXX 1194
pull
proto udp   
script-security 2 
ca ca.crt
comp-lzo
reneg-sec 0
auth-user-pass

OPENVPN 服务器路由:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         bbox.lan        0.0.0.0         UG    0      0        0 eth1
10.0.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth1

客户端路线:

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0         10.0.0.1       10.0.0.171     10
         10.0.0.0    255.255.255.0         On-link        10.0.0.171    266
       10.0.0.171  255.255.255.255         On-link        10.0.0.171    266
       10.0.0.255  255.255.255.255         On-link        10.0.0.171    266
         10.8.0.0    255.255.255.0         10.8.0.5         10.8.0.6     20
         10.8.0.4  255.255.255.252         On-link          10.8.0.6    276
         10.8.0.6  255.255.255.255         On-link          10.8.0.6    276
         10.8.0.7  255.255.255.255         On-link          10.8.0.6    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  169.254.169.250  255.255.255.255         10.0.0.1       10.0.0.171     10
  169.254.169.251  255.255.255.255         10.0.0.1       10.0.0.171     10
  169.254.169.254  255.255.255.255         10.0.0.1       10.0.0.171     10
      192.168.1.0    255.255.255.0         10.8.0.5         10.8.0.6     20
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link        10.0.0.171    266
        224.0.0.0        240.0.0.0         On-link          10.8.0.6    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link        10.0.0.171    266
  255.255.255.255  255.255.255.255         On-link          10.8.0.6    276

答案1

听起来好像你某处有防火墙在丢弃 ICMP 数据包。这是一种相当常见的配置,它会丢弃 ping 以及其他 ICMP 协议。

相关内容