在内部机器上配置 OpenVPN,作为内部网络的路由器

在内部机器上配置 OpenVPN,作为内部网络的路由器

我将非常感激能够收到一份包含一些优秀网站的简短列表,这些网站可以指导我如何设置以下场景。(您可能认为我现在对 OpenVPN 总体上相当熟悉。)

我想设置永远在线(Macintosh、OS/X El Capitan,使用“TunnelBlick”)内部网络中的计算机,作为远程​​网络的安全路由器任何内部网络内的机器。

以下是我目前的想法...和问题...:

  1. 首先,必须设置 Mac(当然 ...)以便可以作为客户端到达并连接到远程系统。(假设这已经完成。)

  2. 需要关闭或修改 Mac 的板载防火墙,以允许(在这种情况下)HTTP 和 HTTPS 流量将被定向到它。

  3. 内部网络的物理路由器必须具有静态路由规则,该规则将往返于远程 IP 地址的流量首先定向到此 Macintosh,作为“网关”。

  4. (现在我的思维变得模糊了......)该机器上运行的 OpenVPN 客户端必须以某种方式正确处理这些“多重连接”,因为它们来自不同的内部 IP 地址。这实际上是一个特例吗?

为了方便您理解,以下是当前客户端config.ovpn文件的净化摘录:(你可以认为它有效,因为它确实有效。)

client
dev tun0
proto udp
remote 111.222.333.444 1194
pull
resolv-retry infinite
nobind
ca ca.crt
cert thisMacintosh.crt
key  thisMacintosh.key
ns-cert-type server
tls-auth ta.key 1
cipher AES-256-CBC
comp-lzo
verb 3

我的问题是具体来说关于使用这台机器作为路由器它将作为“其本地网络上的任何其他机器”的网关。

更多细节:

  • 我们正在与互联网上“某个地址”的服务器进行通信。为了举例说明,我们假设它是101.102.103.104(向那些真正知道地址的人致歉……)
  • 一台“位于内部网络”的机器(例如192.168.1.20)将充当“内部网络其余部分”的路由器:192.168.1.x。它永远不需要关心任何其他内部子网。
  • 远程安全网络的 IP 地址范围为(说) 10.2.3.x.
  • 有问题的 Mac 目前已安装了必要的 OpenVPN 软件,使用.conf与上述类似的方法,并且现已成功通信与互联网主机。
  • ... 所以,我需要做的就是“最后几步”。因此,要知道“最后几步”是!

供参考:这 ”隧道布利克我所说的软件只是一个“非常好的 Macintosh 友好包装”适用于 OpenVPN。(Windows 等操作系统也有类似的版本。)它负责确保每次重新启动计算机时 OpenVPN 都会启动,以及其他麻烦的细节。但它只是主办方处理实际通信的 OpenVPN 进程,否则将很正常。因此,我相信我的问题“基本上适用于任何操作系统”,并且“我的答案一定非常简单”。

您不需要回答“就iptables...而言”,也不需要就 Macintosh 使用的实际等效命令而言。(除非你“想” “跟我说 Mac”。)如果你能帮我理解什么需要做什么,我可以弄清楚要采取什么步骤来说服 Macintosh 和本地硬件路由器去做这件事。

我最近学习过的页面以及正在继续学习的页面(特别是第二个)

(根据第二页的内容,我现在有一种模糊的直觉,我需要做的“与iroute...但我也可能完全弄错了。”(这台客户端机器“是否将其所属的其余内部网络置于其‘后面’?”或者,“这是否不相关(即错误),因为所有其他将通过这台机器进行通信的机器“都在这里?”)哦,太困惑了。这就是我现在问你们这些好心人的原因!)

(当你发表答案时,请同时发表评论因为我可以存在评论,但我还没有发现如何获取“我最近的问题......”列表)

答案1

我发现这个老问题实际上从未得到过“答案”。所以,我现在就提供一个简短的答案。

  • 双方路由器必须知道route去往对方网络的流量,OpenVPN 本身使用的 IP 地址范围,到运行 OpenVPN 软件的计算机。所有地方的防火墙规则都不能阻止这一点。

  • OpenVPN 配置还必须包含iroute指令,告知其存在的地址范围在后面每个遥控器。即使只有一个这样的遥控器,这也是必要的。

写得非常好: https://backreference.org/2009/11/15/openvpn-and-iroute/

这种方法在一段时间内效果很好,直到客户意识到他们非常昂贵的网络基础设施本身就支持 ipSEC 式 VPN,VMWare 在云端也支持。因此,他们改用这项技术作为连接家庭办公室和云系统的主要管道,事实证明这对他们来说是一个不错的“设置后就忘掉”的提议。他们继续使用 OpenVPN 为“公路战士”提供数字证书和支持tls-auth

相关内容