我想配置一个可以在别名 IP 上工作的 OpenVPN 服务器。我更改了客户端配置,将别名 IP 作为远程 IP,并在 OpenVPN 配置中添加了“本地 188.xx.xx.55”,这是我们的别名 IP。还设置了“netd_interface=188.xx.xx.55”,这也是别名 IP。当 VPN 连接时,我检查我的公共 IP,它显示 xx.xx.207.4,这是原始 IP,而不是我们希望它工作的别名 IP。有人可以指导我如何让它与 NATD 或 PF 一起工作吗?如果您需要更多信息,请在评论中提问,我会发布它。
更正:“00050 divert 8668 ip4 from any to any via bge0”此 ipfw 规则配置可能导致此问题。请查看下面的 IP 配置。
bge0:标志=8843 度量 0 mtu 1500 选项=c019b 以太 xx:xx:97:xx:e5:xx hwaddr xx:xx:97:xx:e5:xx inet xx.xx.207.4网络掩码 0xffffffc0 广播 xx.xx.xx.63 inet 188.xx.xx.55网络掩码 0xffffffff 广播 188.xx.xx.55 nd6 选项=29 媒体:以太网自动选择(1000baseT)状态:活动
openvpn.conf: 本地 188.xx.xx.55 端口 50983 推送“路由 188.xx.xx.55 255.255.255.255” askpass proto udp dev tun ca ca.crt cert server.crt 密钥 server.key dh dh.pem 服务器 10.8.0.0 255.255.255.0 keepalive 10 120 comp-lzo persist-key persist-tun verify-client-cert none 插件 /usr/local/lib/openvpn/plugins/open$ 状态 openvpn-status.log 动词 3 推送“重定向网关自动本地 def1”推送“重定向网关本地 def1”推送“dhcp 选项 DNS 8.8.8.8”推送“dhcp 选项 DNS 8.8.4.4”
rc.conf: 防火墙启用="YES" 防火墙类型="open" 主机名="example.com" ifconfig_bge0="inet xx.xx.207.4 网络掩码 255.255.255.197 defaultrouter="xx.xx.207.1" ifconfig_bge0_alias0="inet 188.xx.xx.55 n$ 网关启用="YES" natd_enable="YES" natd_flags="-alias_address 188.xx.xx.55" openvpn_enable="YES" openvpn_if="tun"
ipfw 规则: 00050 通过 bge0 将 8668 ip4 从任意地址转移到任意地址 00100 通过 lo0 允许 ip 从任意地址转移到任意地址 00200 拒绝 ip 从任意地址到 127.0.0.0/8 00300 拒绝 ip 从 127.0.0.0/8 到任意地址 00400 拒绝 ip 从任意地址到 ::1 00500 拒绝 ip 从 ::1 到任意地址 00600 允许 ipv6-icmp 从 :: 到 ff02::/16 00700 允许 ipv6-icmp 从 fe80::/10 到 fe$ 00800 允许 ipv6-icmp 从 fe80::/10 到 ff$ 00900 允许 ipv6-icmp 从任意地址到任意 ip6 $ 01000 允许 ipv6-icmp 从任意地址到任意 ip6 $ 65000 允许 ip 从任意地址到任何 65535 拒绝任何到任何的 IP
答案1
您实际上使用的natd是 NAT,因为这是 FreeBSD,并且您的ipfw规则使用转移套接字将流量转发给它。查看您的/etc/rc.conffornat_interface选项,它当前设置为您的输出接口名称。
默认情况下,使用此配置,natd将使用指定接口的主地址作为伪装。要更改此行为,您必须natd_interface从中删除节rc.conf,并更改natd_flags那里的行(如果不存在,则创建一个)以包含以下内容:
natd_flags="-alias_address A.B.C.D"
其中 ABCD 应该是您想要的伪装 IP 地址。
答案2
终于成功了。我重启了 natif 和路由,还有 natd。@Peter Zhabin +1。非常感谢兄弟。你终于救了我。遗憾的是我的声誉不超过 15,因为我也是新来的,所以我不能赞成你的答案,但你的解决方案确实有效。