无法让 OpenVPN 运行

tag-icon tag-icon ubuntu openvpn firewalld
无法让 OpenVPN 运行

我正在尝试设置 OpenVPN 来访问我的远程服务器的内部网络及其互联网连接,但似乎无法让它工作。

我的服务器的网络接口:

ens32: WAN (10.10.1.11/24)
ens33: Local network (10.11.1.1/24)
tun0: OpenVPN (10.11.2.1/24)

我的服务器运行 Ubuntu 18.04、firewalld 和 OpenVPN 2.4.4。它充当 NAT 网关,使用ens33以下内容:

  1. net.ipv4.ip_forward = 1
  2. firewall-cmd --permanent --zone=public --add-interface=ens32
  3. firewall-cmd --permanent --zone=internal --add-interface=ens33
  4. firewall-cmd --permanent --zone=internal --add-interface=tun0
  5. firewall-cmd --permanent --zone=public --add-masquerade

我希望我的 VPN 客户端tun0能够访问其他服务器以及我的服务器的 Internet 连接。但是,当客户端(Windows 10 和 OpenVPN 2.4.7, )连接到 VPNens33时,会发生以下情况:10.11.2.2

  1. 客户端无法访问互联网。
    ping结果www.google.com
Pinging www.google.com [172.217.27.4] with 32 bytes of data:
Reply from 10.10.1.2: TTL expired in transit.
Reply from 10.10.1.2: TTL expired in transit.
Reply from 10.10.1.2: TTL expired in transit.
Reply from 10.10.1.2: TTL expired in transit.

tracert的结果www.google.com

Tracing route to www.google.com [172.217.27.4]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  10.11.2.1
  2    <1 ms    <1 ms    <1 ms  10.10.1.2
  3     3 ms    46 ms    44 ms  10.11.2.1
  4    43 ms    48 ms    50 ms  10.10.1.2
  5     2 ms    47 ms    49 ms  10.11.2.1
  6     6 ms    48 ms    46 ms  10.10.1.2
  7     3 ms    49 ms    48 ms  10.11.2.1
  8     2 ms    46 ms    52 ms  10.10.1.2
  9     9 ms    48 ms    28 ms  10.11.2.1
  ...

PS10.10.1.2是我的服务器WAN接口的网关(ens32)。

  1. 客户端可以 ping 通我的服务器ens3310.11.1.21)中的另一台服务器,但无法访问其上的 HTTP 服务器。
    tracert结果10.11.1.21
Tracing route to 10.11.1.21 over a maximum of 30 hops

  1     1 ms    <1 ms    <1 ms  10.11.2.1
  2     3 ms     2 ms     3 ms  10.11.1.21

Firefox 显示Unable to connect错误。

  1. 10.11.1.21失去与我的服务器(10.11.1.1)和互联网的连接。
ping: www.google.com: Temporary failure in name resolution

Ping10.11.1.1导致 100% 数据包丢失。
当客户端未连接到我的服务器时,它们工作正常。

server.conf

port             10000
proto            tcp
dev              tun

ca               /etc/openssl/server/ca.crt
cert             /etc/openssl/server/server.crt
key              /etc/openssl/server/server.key
dh               none
tls-crypt        /etc/openssl/server/ta.key 0

tls-version-min  1.2
ecdh-curve       prime256v1
cipher           AES-128-GCM

topology         subnet

server           10.11.2.0 255.255.255.0

push             "route 10.11.1.0 255.255.255.0"
push             "redirect-gateway autolocal def1 bypass-dhcp"
push             "remote-gateway 10.11.2.1"
push             "dhcp-option DNS 1.1.1.1"

keepalive        10 120

max-clients      10

user             nobody
group            nogroup

persist-key
persist-tun

status           /var/log/openvpn/openvpn-status.log
log-append       /var/log/openvpn/openvpn-log.log
verb             4
mute             20

client.conf

client
proto            tcp
remote           10.10.1.11 10000
dev              tun
nobind

ca               "D:/vpn/client/key/ca.crt"
cert             "D:/vpn/client/key/client.crt"
key              "D:/vpn/client/key/client.key"
dh               none
tls-crypt        "D:/vpn/client/key/ta.key" 1

tls-client
tls-version-min  1.2
ecdh-curve       prime256v1
cipher           AES-128-GCM

auth-nocache

remote-cert-tls  server

resolv-retry     infinite

persist-key
persist-tun

verb             4

mute             20

先感谢您。

相关内容