Openvpn cho máy khách / máy chủ trong cùng một mạng con

8

Tôi đang cố gắng mở mạng vào văn phòng (192.168.1.0/24) từ một khách hàng đang ngồi trên mạng có cùng mạng con (cũng 192.168.1.0/24). Nó là một máy chủ linux (ubfox 9.10) và máy khách windows.

Tôi đã làm theo hướng dẫn tài liệu cộng đồng openvpn Ubuntu này và từ những gì tôi có thể nói kết nối cơ sở hoạt động tốt. Tất nhiên tôi nhận được một loạt các lỗi / cảnh báo về xung đột địa chỉ ip.

Sau đó, tôi đã cố gắng làm theo hướng dẫn này về 'Thủ thuật NAT bẩn để có được VPN hoạt động với các máy khách cũng được đánh số trong không gian địa chỉ riêng' nhưng không thành công. Trong khi tôi có một sự hiểu biết lý thuyết về định tuyến / giả mạo, tôi có tương đối ít kinh nghiệm thực tế và không chắc chắn điều gì là sai.

Cho đến nay, tôi đã đi đến điểm mà máy khách kết nối với máy chủ và được gán IP 10.22.8.10. Tuy nhiên tôi không thể ping máy chủ ip 10.22.8.1 như tài liệu gợi ý rằng tôi sẽ có thể.

Cấu hình máy chủ về cơ bản giống với hướng dẫn 1 với các sửa đổi từ hướng dẫn 2 , tức là đặt 'cầu máy chủ 10.22.8.1 255.255.255.0 10.22.8.10 10.22.8.120' và 'đẩy "tuyến 10.22.0.0 255.255.0.0 10.22.8.1 "'. Ngoài ra, tôi thêm các lệnh cấu hình giao diện nhấn vào up.sh.

Cấu hình máy khách vẫn giống như hướng dẫn 1 .

Máy chủ 'ifconfig tap0' (chỉnh sửa: xin lỗi nếu điều này có vẻ khó hiểu. Trong khung xem trước của chỉnh sửa bài đăng này có vẻ ổn)

tap0 Liên kết mã hóa: Ethernet HWaddr ee: ee: a8: 04: 8a: fc inet addr: 10.22.8.1 Bcast: 0.0.0.0 Mặt nạ: 255.255.255.0 inet6 addr: fe80 :: ecee: a8ff: fe04: 8afc / 64 Liên kết LÊN TẢI XUỐNG RUNNING KHUYẾN MÃI MTU: 1500 Số liệu: 1 Gói RX: 610 lỗi: 0 rớt: 0 tràn: 0 khung: 0 Gói TX: 4533 lỗi: 0 rớt: 0 tràn: 0 va chạm: 0 va chạm: 0 txqueuelen Các byte RX: 111341 (111,3 KB) TX byte: 650830 (650,8 KB)

Nhật ký khách hàng kết nối:

  Mon Mar 01 00:30:13 2010 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009  
    Mon Mar 01 00:30:13 2010 WARNING: No server certificate verification method has been enabled.  See URL-REDACTED for more info.
    Mon Mar 01 00:30:13 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Mon Mar 01 00:30:13 2010 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
    Mon Mar 01 00:30:13 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Mar 01 00:30:13 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Mar 01 00:30:13 2010 LZO compression initialized
    Mon Mar 01 00:30:13 2010 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
    Mon Mar 01 00:30:13 2010 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
    Mon Mar 01 00:30:13 2010 Local Options hash (VER=V4): '13a273ba'
    Mon Mar 01 00:30:13 2010 Expected Remote Options hash (VER=V4): '360696c5'
    Mon Mar 01 00:30:13 2010 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Mon Mar 01 00:30:13 2010 UDPv4 link local: [undef]
    Mon Mar 01 00:30:13 2010 UDPv4 link remote: REDACTED:1194
    Mon Mar 01 00:30:13 2010 TLS: Initial packet from REDACTED:1194, sid=11055cf2 cc0d1ea0
    Mon Mar 01 00:30:14 2010 VERIFY OK: depth=1, REDACTED
    Mon Mar 01 00:30:14 2010 VERIFY OK: depth=0, REDACTED
    Mon Mar 01 00:30:14 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Mon Mar 01 00:30:14 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Mar 01 00:30:14 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Mon Mar 01 00:30:14 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Mar 01 00:30:14 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
    Mon Mar 01 00:30:14 2010 [server] Peer Connection Initiated with REDACTED:1194
    Mon Mar 01 00:30:17 2010 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
    Mon Mar 01 00:30:17 2010 PUSH: Received control message: 'PUSH_REPLY,route 10.22.0.0 255.255.0.0 10.22.8.1,route-gateway 10.22.8.1,ping 10,ping-restart 120,ifconfig 10.22.8.10 255.255.255.0'
    Mon Mar 01 00:30:17 2010 OPTIONS IMPORT: timers and/or timeouts modified
    Mon Mar 01 00:30:17 2010 OPTIONS IMPORT: --ifconfig/up options modified
    Mon Mar 01 00:30:17 2010 OPTIONS IMPORT: route options modified
    Mon Mar 01 00:30:17 2010 OPTIONS IMPORT: route-related options modified
    Mon Mar 01 00:30:17 2010 ROUTE default_gateway=192.168.1.254
    Mon Mar 01 00:30:17 2010 TAP-WIN32 device [Local Area Connection 2] opened: \\.\Global\{7464875E-98E9-46AF-8F86-69FF32FFB722}.tap
    Mon Mar 01 00:30:17 2010 TAP-Win32 Driver Version 9.6 
    Mon Mar 01 00:30:17 2010 TAP-Win32 MTU=1500
    Mon Mar 01 00:30:17 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.22.8.10/255.255.255.0 on interface {7464875E-98E9-46AF-8F86-69FF32FFB722} [DHCP-serv: 10.22.8.0, lease-time: 31536000]
    Mon Mar 01 00:30:17 2010 Successful ARP Flush on interface [33] {7464875E-98E9-46AF-8F86-69FF32FFB722}
    Mon Mar 01 00:30:22 2010 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
    Mon Mar 01 00:30:22 2010 C:\WINDOWS\system32\route.exe ADD 10.22.0.0 MASK 255.255.0.0 10.22.8.1
    Mon Mar 01 00:30:22 2010 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
    Mon Mar 01 00:30:22 2010 Route addition via IPAPI succeeded [adaptive]
    Mon Mar 01 00:30:22 2010 Initialization Sequence Completed
    Mon Mar 01 01:30:14 2010 TLS: soft reset sec=0 bytes=648728/0 pkts=3922/0
    Mon Mar 01 01:30:14 2010 VERIFY OK: depth=1, REDACTED
    Mon Mar 01 01:30:14 2010 VERIFY OK: depth=0, REDACTED
    Mon Mar 01 01:30:15 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Mon Mar 01 01:30:15 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Mar 01 01:30:15 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Mon Mar 01 01:30:15 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Mar 01 01:30:15 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA

Tuyến khách hàng dường như được đẩy ok (in tuyến đường):

  Active Routes:
    Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    192.168.1.254     192.168.1.23     25
        10.22.0.0      255.255.0.0        10.22.8.1       10.22.8.10     30
        10.22.8.0    255.255.255.0         On-link        10.22.8.10    286
       10.22.8.10  255.255.255.255         On-link        10.22.8.10    286
      10.22.8.255  255.255.255.255         On-link        10.22.8.10    286
    ...

Tuy nhiên, khi tôi cố gắng đến bản 10.22.8.1, dường như tôi vẫn muốn thoát khỏi kết nối internet cục bộ của mình:

  C:\Windows\system32>tracert 10.22.8.1
    Tracing route to 10.22.8.1 over a maximum of 30 hops
      1     1 ms     1 ms     1 ms  home.gateway [192.168.1.254]
      2  nexthop.qld.iinet.net.au [203.55.228.88]  reports: Destination net unreachable.

Ai đó có thể tư vấn cho tôi về những gì tôi đang làm sai không (hoặc cách khác, nếu có một cách dễ dàng, dễ thực hiện hơn những gì tôi muốn - lưu ý rằng theo giải pháp số 1 trong hướng dẫn 2 , không thể đổi tên mạng con)

vpn  routing  openvpn  subnet 
bồi dưỡng
nguồn
Tôi nghĩ rằng đây là một câu hỏi rất thú vị và tôi sẽ không cố gắng sao chép nó - mặc dù tôi nghĩ rằng nó có thể có một chút vấn đề đối với tôi để tạo ra kịch bản này. Dựa trên cơ sở của bạn route print, bạn đang sử dụng thứ gì đó không phải XP - Windows Vista hoặc 7, có thể? Bạn có thể cho tôi biết để tôi có thể tạo VM phù hợp để thử nghiệm không?
phân hạch
@fission: Tôi đang sử dụng Windows 7. Nếu bạn quan tâm, có lẽ tôi có thể dùng thử trên máy Windows XP. Hãy cho tôi biết nếu bạn muốn biết thêm thông tin.
fostandy

Câu trả lời:

3

Giá trị số liệu tuyến mặc định của bạn thấp hơn tuyến 10.22.0.0/16 và được định tuyến đến tuyến mặc định. Trong việc giải quyết các tuyến đường, nếu có nhiều hơn một tuyến khớp với đích, tuyến có giá trị số liệu thấp hơn sẽ được ưu tiên.

Hoặc đẩy một tuyến mặc định thông qua VPN hoặc số liệu thấp hơn cho 10.22.0.0/16 (tăng số liệu cho tuyến mặc định).

Nó sẽ giống như thế này:

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
      0.0.0.0          0.0.0.0    192.168.1.254     192.168.1.23    1000
    10.22.0.0      255.255.0.0        10.22.8.1       10.22.8.10     30
    10.22.8.0    255.255.255.0         On-link        10.22.8.10    286
   10.22.8.10  255.255.255.255         On-link        10.22.8.10    286
  10.22.8.255  255.255.255.255         On-link        10.22.8.10    286
Konrad
nguồn
1

Những gì bạn cần làm là xóa tuyến đường mặc định và chỉ thêm một tuyến đường cụ thể vào máy chủ VPN của bạn và đánh dấu nó có sẵn thông qua bộ định tuyến cục bộ của bạn.

Vì vậy, bạn nên có 3 tuyến đường:

vpn.example.com 255.255.255.255 gw 192.168.1.254
192.168.1.0 255.255.255.0 gw 10.22.8.1
0,0.0.0 0,0.0.0 gw 10.22.8.1
Hubert Kario
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.