OpenVPN istemcilerine LAN erişimi nasıl etkinleştirilir

0

OpenVPN tarafından oluşturulan 2 gerçek NIC ve 1 sanal NIC (tun0) içeren bir sunucum var.

eth0 is LAN - IP 192.168.2.1
eth1 is Internet - IP is public internet IP
tun0 is created by openvpn

İhtiyacım olan, VPN sunucusuna eth1 üzerinden bağlanan müşterilerin ayrıca eth0 ağına da erişebilecekleri. 192.168.2.21’e bağlanabilecek

Bu, sunucuyu yeniden başlatana ve yönlendirme bilgileri sıfırlanana kadar geçmişte çalışırdı:

Yönlendirme tablosu şimdi şuna benziyor:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         public gw       0.0.0.0         UG    0      0        0 eth1
public ip       *               255.255.255.0   U     0      0        0 eth1
192.168.2.0     *               255.255.255.0   U     0      0        0 eth0
192.168.8.0     192.168.8.2     255.255.255.0   UG    0      0        0 tun0
192.168.8.2     *               255.255.255.255 UH    0      0        0 tun0

OpenVPN'i başlattığımda rota eklemeye çalışıyor

Tue Oct 11 19:29:58 2016 /sbin/ip route add 192.168.2.0/24 via 192.168.8.2
RTNETLINK answers: File exists
Tue Oct 11 19:29:58 2016 ERROR: Linux route add command failed: external program exited with error status: 2

Ancak bu mümkün görünmüyor çünkü zaten var. Bu rotayı kaldırdığımda openVPN eklemeyi başardı ancak sunucunun 192.168.2.0/24 ağına ulaşması artık mümkün değil.

Nasıl çalıştırabilirim?

EDIT: evet, hem IPv4 hem de IPv6 iletme özelliğini etkinleştirdim

networking openvpn

— Petr
kaynak

Sorunuz nerede olduğu konusunda tam olarak açık değil: VPN sunucusu veya istemcisi. Lütfen açıkla. Ayrıca, bunun çalışması için 192.168.2.0/24ağdaki tüm makinelerin 192.168.8.0/24(VPN alt ağı , sanırım) üzerinden erişilebilir olduğunu bilmesi gerekir 192.168.2.1. Eğer 192.168.2.1varsayılan ağ geçidi değil, varsayılan ağ geçidi üzerinde bir rota kurmak gerekir.

— Daniel B,

@DanielB burada tanımladığım şey sunucu, aynı zamanda bir ağ geçidi kendisi, LAN, DNS, DHCP ve yönlendirici ve ayrıca VPN için 192.168.8.0 alt ağını barındırıyor. Bunları ben yeniden başlatana kadar işe yarardı, bu yüzden müşteri tarafında bir sorun yok. VPN istemcisi zaten istemciye giden yolu zorluyor, sorun VPN sunucusunun 192.168.8.0'daki makinelerin 192.168.2.0 ağına erişmesine izin vermemesi gibi görünüyor

— Petr

Yanlış anlıyorsunuz: Bir yolun, paketlerin her iki yoldan geçmesi için her iki yolunun da bulunması gerekir. Paketlerin Wireshark kullanılarak alınıp alınmadığını kolayca doğrulayabilirsiniz. // Ayrıca, adaptörün IP adresinin alt ağına otomatik olarak bir rota gönderirsiniz. Her zaman.

— Daniel B,

0

sysctl'de ip_forward ve iptables'daki FORWARD tablosundaki bir kabul satırına ihtiyacınız olacak (bu genellikle varsayılan olarak KABUL EDİLEBİLİR)

http://www.ducea.com/2006/08/01/how-to-enable-ip-forwarding-in-linux/

— Sirex
kaynak

Ben zaten bu var, sorun bu değil.

— Petr,

evet, ayrıca bu linkten maskeli balo hattına ihtiyacınız olacak.

— Sirex

MASQUERADEsadece tamamen yönlendirilmiş bir kurulum mümkün olmadığında gereklidir. Mümkün, bu yüzden kullanılmamalıdır.

— Daniel B,

0

İlk olarak, gerekli yollar:

VPN istemcilerinin 192.168.2.0/24VPN ağ geçidiniz üzerinden (muhtemelen 192.168.8.1sanal ağın içindeyken) bir rotaya ihtiyacı var
192.168.2.0/24Bir rotaya ihtiyacı olan cihazlar 192.168.8.0/24- VPN sunucunuz varsayılan ağ geçidinde göründüğü için, ek yapılandırma gerekmez.

Ardından, yapılandırma. Özellikler topolojiye (net30 / p2p veya alt ağ) bağlıdır, ancak genel olarak şöyledir:

topology net30    
server 192.168.8.0 255.255.255.0

push "route 192.168.2.0 255.255.255.0"

Buradaki alakasız (ama yine de zorunlu) seçenekleri atladım. Ancak route, yalnızca müşterilere gönderildiğini unutmayın. Sunucuda ayarlanmamış olması gerekir .

İstemci gerekli tüm ayarları itme yoluyla aldığından, özel bir yapılandırma gerekmez.

— Daniel B
kaynak