我正在尝试允许 OpenVPN 客户端访问可以访问两个不同子网的 OpenVPN。10.203.1.61 有一个公共网络,当客户端访问 OpenVPN 时使用,而 172.28 (ens4) 是该网络的私有 IP。我希望他们也能访问在 ens4 上运行的网络。
ens3:标志=4163 <UP,BROADCAST,RUNNING,MULTICAST> mtu 9000 inet 10.203.1.61 网络掩码 255.255.192.0 广播 10.203.63.255
ens4:标志=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 9000 inet 172.28.255.61 网络掩码 255.255.255.0 广播 0.0.0.0
我在 server.conf 中有以下配置,但似乎不起作用。有人能帮我吗?
谢谢
local 10.203.1.61
port 443
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 10.8.0.0 255.255.255.0
push "route 10.203.0.0 255.255.192.0"
push "route 172.28.255.0 255.255.255.0"
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 10.203.1.11"
push "dhcp-option DNS 10.203.1.14"
push "dhcp-option DOMAIN acme.com"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
verb 3
crl-verify crl.pem
duplicate-cn
explicit-exit-notify
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/auth/ldap.conf
这是我在服务器上的路线
[root@openvpn01 ~]# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default gateway 0.0.0.0 UG 0 0 0 ens3
10.8.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
10.203.0.0 0.0.0.0 255.255.192.0 U 0 0 0 ens3
link-local 0.0.0.0 255.255.0.0 U 0 0 0 ens3
link-local 0.0.0.0 255.255.0.0 U 1002 0 0 ens3
172.28.255.0 0.0.0.0 255.255.255.0 U 0 0 0 ens4
答案1
如果路线正确推送给客户端,请尝试下一步:
- 使用
sysctl net.ipv4.ip_forward=1命令更多信息在 Linux 系统中启用 IP 转发文件 - 通过 Iptables 允许 IP 转发:
- 清除 Iptables 规则
iptables -F(以防被拒绝) - 默认允许所有转发流量
iptables -P FORWARD ACCEPT
- 清除 Iptables 规则
笔记:请记住,网络172.28.255.0/24需要一条路由才能10.8.0.0/24通过您的 OpenVPN 服务器进行访问。
答案2
谢谢回复。我添加了 ipv4 forward(以及 sysctl.conf)。iptables 显示我已经有 -P FORWARD ACCEPT
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -p udp -m udp --dport 443 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -j ACCEPT
我还添加了 172.28.255 网络的路由,这样当 10.8.0.0/24 发送回 172.28.255.61(openvpn 辅助 vnic)时,但这似乎也无济于事。我已将辅助 VNIC 设置为跳过源/目标检查(在 OCI 中)