VPN istemcilerinin sunucu LAN içindeki tüm sunuculara erişmesine izin verecek şekilde OpenVPN nasıl kurulur?

12

Sunucumun LAN IP'si 192.168.1.1 ve 192.168.1.2'de bir intranet web sunucusu var OpenVPN arka plan programı istemcilere 192.168.2. * Adresleri verecek şekilde yapılandırıldı.

push "route 192.168.1.0 255.255.255.0"Yapılandırmada VPN istemcilerinin 192.168.1.0 ağının tamamına erişmesini beklediğim bir satır var , ancak yalnızca 192.168.1.1'e (VPN sunucusunun kendisi) erişebilirler.

Ben sağlayan denedim net.ipv4.ip_forward = 1içinde /etc/sysctl.confama bu yardımcı olmuyor.

Herhangi bir fikir?

PS: Sunucu Ubuntu 12.04 çalıştırıyor.
PPS: OpenVPN, tunUDP üzerinden modda çalışır .

vpn  openvpn 
Ivan
kaynak
Sevgili @FrandsHansen, Ben sadece aynı zamanda 1. sorulara mantıksal olarak doğru cevaplar olan cevapları kabul ediyorum, 2. çalışmak için benim tarafımdan test edilmiştir.
Ivan

Yanıtlar:

19

IP yönlendirmenin etkin bir şekilde etkinleştirildiğinden emin olun

echo 1 > /proc/sys/net/ipv4/ip_forward

Ayrıca, rota push'un çalışması için içerideki sunucuların OpenVPN istemci IP adresinize giden rotayı da bilmesi gerekir. Bu yüzden 192.168.2.0/24 yolunu bilmeleri gerekecek

Büyük olasılıkla iptables kullanarak maskeli balo ile yönlendirmeyi yapabilirsiniz

/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
Frands Hansen
kaynak
echo 1 > /proc/sys/net/ipv4/ip_forwardverir -bash: /proc/sys/net/ipv4/ip_forward: Permission denied- bu durumda ne anlama geliyor?
Ivan
Büyük olasılıkla kök olarak yapmıyorsunuz demektir. Kök olarak yapmayı deneyin
Frands Hansen
İle aynı etki sudo. Sonuç ne olmalıdır?
Ivan
1
Sudo'yu komutun önüne koymak, dosyaya (> işaretinden sonra) ayrıcalıklar eklemeyecektir, bu nedenle root'a yükseltmeniz ve sonra yapmanız gerekir.
Frands Hansen
1
veya kullanınecho 1 | sudo tee
ygrek
2

LAN ağınız gerçekten 192.168.1.0/24 ise, birçok sorunla karşılaşabilirsiniz. Çünkü çoğu yönlendiricide bu varsayılan ağ vardır. Böylece, konuk ağında olduğunuzda, bilgisayarınız 192.168.1.0/24 ağından bir ip alabilir. Dolayısıyla, uzak ağınıza erişemezsiniz, ancak konuk ağınıza erişebilirsiniz. LAN ve VPN'niz için başka bir ağ seçmenizi öneririm. örneğin LAN için 192.170.15.0/24 ve vpn için 10.0.5.0/xx. xx ne kadar vpn istemcisinin LAN'a bağlandığına bağlıdır.

İşte openvpn için benim fw betiği

#!/bin/sh

iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT

# Allow packets from private subnets
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT

# i have multiple vpn networks
# 192.123.123.0/24 = LAN
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.9.0.0/30 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.9.1.0/30 -o eth1 -d 192.123.123.39 -j MASQUERADE # to single server access only

echo 1 > /proc/sys/net/ipv4/ip_forward
Guntis
kaynak
Hayır, aslında 192.168.1.0 değil, sadece 2 farklı 192.168. #. 0 ağ. Cevap için teşekkür ederim.
Ivan
İhtiyacınız olursa, openvpn sunucu yapılandırmamı ve istemci yapılandırmamı paylaşabilirim.
Guntis
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.