我正在尝试设置 OpenVPN 来访问我的远程服务器的内部网络及其互联网连接,但似乎无法让它工作。
我的服务器的网络接口:
ens32: WAN (10.10.1.11/24)
ens33: Local network (10.11.1.1/24)
tun0: OpenVPN (10.11.2.1/24)
我的服务器运行 Ubuntu 18.04、firewalld 和 OpenVPN 2.4.4。它充当 NAT 网关,使用ens33
以下内容:
net.ipv4.ip_forward = 1
firewall-cmd --permanent --zone=public --add-interface=ens32
firewall-cmd --permanent --zone=internal --add-interface=ens33
firewall-cmd --permanent --zone=internal --add-interface=tun0
firewall-cmd --permanent --zone=public --add-masquerade
我希望我的 VPN 客户端tun0
能够访问其他服务器以及我的服务器的 Internet 连接。但是,当客户端(Windows 10 和 OpenVPN 2.4.7, )连接到 VPNens33
时,会发生以下情况:10.11.2.2
- 客户端无法访问互联网。
ping
结果www.google.com
:
Pinging www.google.com [172.217.27.4] with 32 bytes of data:
Reply from 10.10.1.2: TTL expired in transit.
Reply from 10.10.1.2: TTL expired in transit.
Reply from 10.10.1.2: TTL expired in transit.
Reply from 10.10.1.2: TTL expired in transit.
tracert
的结果www.google.com
:
Tracing route to www.google.com [172.217.27.4]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms 10.11.2.1
2 <1 ms <1 ms <1 ms 10.10.1.2
3 3 ms 46 ms 44 ms 10.11.2.1
4 43 ms 48 ms 50 ms 10.10.1.2
5 2 ms 47 ms 49 ms 10.11.2.1
6 6 ms 48 ms 46 ms 10.10.1.2
7 3 ms 49 ms 48 ms 10.11.2.1
8 2 ms 46 ms 52 ms 10.10.1.2
9 9 ms 48 ms 28 ms 10.11.2.1
...
PS10.10.1.2
是我的服务器WAN接口的网关(ens32
)。
- 客户端可以 ping 通我的服务器
ens33
(10.11.1.21
)中的另一台服务器,但无法访问其上的 HTTP 服务器。
tracert
结果10.11.1.21
:
Tracing route to 10.11.1.21 over a maximum of 30 hops
1 1 ms <1 ms <1 ms 10.11.2.1
2 3 ms 2 ms 3 ms 10.11.1.21
Firefox 显示Unable to connect
错误。
10.11.1.21
失去与我的服务器(10.11.1.1
)和互联网的连接。
ping: www.google.com: Temporary failure in name resolution
Ping10.11.1.1
导致 100% 数据包丢失。
当客户端未连接到我的服务器时,它们工作正常。
server.conf
:
port 10000
proto tcp
dev tun
ca /etc/openssl/server/ca.crt
cert /etc/openssl/server/server.crt
key /etc/openssl/server/server.key
dh none
tls-crypt /etc/openssl/server/ta.key 0
tls-version-min 1.2
ecdh-curve prime256v1
cipher AES-128-GCM
topology subnet
server 10.11.2.0 255.255.255.0
push "route 10.11.1.0 255.255.255.0"
push "redirect-gateway autolocal def1 bypass-dhcp"
push "remote-gateway 10.11.2.1"
push "dhcp-option DNS 1.1.1.1"
keepalive 10 120
max-clients 10
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn-log.log
verb 4
mute 20
client.conf
:
client
proto tcp
remote 10.10.1.11 10000
dev tun
nobind
ca "D:/vpn/client/key/ca.crt"
cert "D:/vpn/client/key/client.crt"
key "D:/vpn/client/key/client.key"
dh none
tls-crypt "D:/vpn/client/key/ta.key" 1
tls-client
tls-version-min 1.2
ecdh-curve prime256v1
cipher AES-128-GCM
auth-nocache
remote-cert-tls server
resolv-retry infinite
persist-key
persist-tun
verb 4
mute 20
先感谢您。