openvpn conectado, mas não roteando. (teste de ping falha)

Navegue suas respostas
1

Estou configurando uma conexão VPN pela primeira vez. Eu estou trabalhando em um projeto em que gostaria de acessar minha LAN em minha casa do mundo exterior. Então, eu instalei o OpenVPN2.2.2 no meu laptop Windows 7 de 32 bits (atuando como servidor). Meu objetivo final é carregar uma página acessível apenas na minha rede local.

Eu criei um certificado de cliente que é um laptop Windows 8 de 64 bits (com o OpenVPN2.2.2 instalado). Eu sou capaz de se conectar ao servidor através de VPN usando meu cliente. Eu posso ver esse ícone de gui verde na barra da bandeja do sistema em ambos os laptops. Eu também vejo a "Sequência de inicialização concluída" nos logs sem grandes erros. No entanto, quando eu tento pingar qualquer um dos meus dispositivos dentro da LAN, não consigo fazer isso usando meu cliente remoto executando o openVPN. Além disso, quando procuro ip usando o link , ainda recebo o endereço IP original do cliente e não o IP da minha LAN.

Estes são os principais avisos / notificações que recebi.

Servidor:

NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.

Warning: route gateway is not reachable on any active network adapters: 10.8.0.2

MULTI: bad source address from client [192.168.2.30], packet dropped

Cliente:

AVISO: possível conflito de sub-rede de rotas entre a LAN local [172.20.10.0/255.255.255.240] e a VPN remota [0.0.0.0/0.0.0.0]

Eu tenho feito muita pesquisa sobre isso na semana passada. Eu olhei em documentação e fóruns openVPN. As pessoas podem se conectar aos servidores, mas não conseguem efetuar ping. Estas são as etapas adicionais que adotei:

  • desativou completamente o firewall do Windows (tanto no cliente quanto no servidor) para resolver esse problema da interface TUN / TAP
  • configuração de encaminhamento de porta, portanto, quaisquer conexões feitas ao meu roteador na porta 1194 serão encaminhadas para o meu servidor (com um ip estático de 192.168.1.168).
  • executando tudo com direitos de administrador
  • configurado para roteamento e acesso remoto na máquina Windows (servidor)
  • IPEnableRouter é 1.
  • Marque a caixa "Permitir que outros usuários da rede se conectem por meio da conexão de Internet deste computador para o adaptador TAP.

Mais algumas etapas que eu realizei depois de obtê-las em fóruns do openVPN:

Server.ovpn 

port 1194
proto udp
dev tun
ca "C:\Program Files\OpenVPN\config\ca.crt"
cert "C:\Program Files\OpenVPN\config\server.crt"
key "C:\Program Files\OpenVPN\config\server.key"
dh "C:\Program Files\OpenVPN\config\dh1024.pem"
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "route 0.0.0.0 0.0.0.0"
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 5

Client.ovpn 

client
dev tun
proto udp
remote xx.xx.xxx.xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca "C:\Program Files (x86)\OpenVPN\config\ca.crt"
cert "C:\Program Files (x86)\OpenVPN\config\client1.crt"
key "C:\Program Files (x86)\OpenVPN\config\client1.key"
ns-cert-type server
comp-lzo
verb 3
explicit-exit-notify 2
ping 10
ping-restart 60
route-method exe
route-delay 2

Se você pudesse me ajudar a solucionar esse problema, seria ótimo. Quaisquer sugestões / sugestões são extremamente bem-vindas. Obrigado.

EDIT: 1

Muito obrigado pelas suas sugestões.

1) Você poderia, por favor, explicar um pouco o que exatamente você quer dizer com "pegar um firewall ou se você usa seu firewall para VPN"? Eu já tenho os firewalls internos no meu cliente e no servidor, e desativei os dois, apenas para que eles não interfiram na minha configuração por enquanto.

2) Eu mudei minha sub-rede de endereço IP. Assim, o gateway padrão no meu servidor é agora 192.168.157.1 em vez de 192.168.1.1.I vai esconder o meu endereço IP. : D

3) 10.8.0.2 é o gateway padrão para o adaptador TAP-Win32. Então, depois de procurar em fóruns openvpn, eu adicionei 10.8.0.2 como o gateway padrão no meu lado do servidor, indo em configurações avançadas IPv4 Propriedades do adaptador TAP-Win32. Para ser sincera, não sei por que fiz isso. Eu estava desesperada para que funcionasse.

Agora, desde que mudei a sub-rede IP da minha rota para 192.168.157.1, estou vendo apenas dois avisos em arquivos de log, o que é uma boa notícia IMO. Mas eu ainda não consigo pingar (preciso olhar para as políticas de ping também, mas duvido que possa ser o problema). Além disso, o lado do cliente tem acesso zero à internet quando conectado ao meu servidor. Sem ping, sem páginas da web, sem internet.

Aviso do lado do servidor diz:

Aviso: o gateway da rota não pode ser acessado em nenhum adaptador de rede ativo: 10.8.0.2

Aviso do lado do cliente:

AVISO: possível conflito de sub-rede de rotas entre a LAN local [192.168.2.0/255.255.255.0] e a VPN remota [0.0.0.0/0.0.0.0]

Muito obrigado novamente.

    
por numbersinmyhead 19.05.2014 / 22:23

2 respostas

-1

Sugiro obter um firewall ou se você tiver um usando seu firewall para VPN. Eu tenho watchguard e é muito simples de fazer ou editar políticas, como o ping. Eu tive um problema em que eu não queria que os usuários da sub-rede "B" pudessem até mesmo fazer ping na sub-rede "A" e facilmente alterá-la naquela política.

De qualquer forma, você poderia tentar mudar a sub-rede da sua rede (se possível) com um alcance de IP "normal", já que 192.168.1.1 não é o método de melhores práticas. Eu também não colocaria seu endereço IP externo para o mundo ver :)

Para mim, parece que algo no seu firewall não é rotear o tráfego para sua sub-rede 192.x.x.x e, pelo que parece, é porque suas LANs têm o mesmo intervalo de IPs. Além disso, qual dispositivo você tem em 10.8.0.2? parece com o seu gateway, mas suas LANs são diferentes. Por favor, explique um pouco mais ...

P.S. desculpe, eu tentei comentar em vez de responder, mas eu não tenho o suficiente.

    
por 19.05.2014 / 23:10
1

Esta declaração 

 push "route 0.0.0.0 0.0.0.0"

no arquivo server.conf é a origem dos seus problemas. O 

push "route ..."

declaração, não confunda com o 

push route ...
A declaração

, que executa uma função diferente, é usada para informar os clientes do OpenVPN sobre a existência de uma LAN por trás do servidor OpenVPN. Desde que você alterou essa sub-rede para 192.168.157.0/24, a declaração acima deve ser alterada para: 

  push "route 192.168.157.0 255.255.255.0"

Você pode encontrar a descrição desta declaração no OpenVPN Howto . Além de detalhar o que eu já lhe contei, você também encontrará a seguinte declaração:

Next, you must set up a route on the server-side LAN gateway to route the VPN client subnet (10.8.0.0/24) to the OpenVPN server (this is only necessary if the OpenVPN server and the LAN gateway are different machines).

Make sure that you've enabled IP and TUN/TAP forwarding on the OpenVPN server machine.

Ambas as operações são cruciais para o funcionamento do OpenVPN. Infelizmente, elas também são dependentes do sistema operacional, de modo que você terá que descobrir como fazê-lo sozinho.

Usuários em máquinas Linux precisariam dos dois comandos a seguir: 

   ip route add 10.8.0.0/24 via IP.of.TheOpenVPN.Server
   echo 1 > /proc/sys/net/ipv4/ip_forward
    
por 04.06.2015 / 23:10

Tags

O correio não é removido do servidor após a configuração no MS Outlook 2010 O Chrome ocasionalmente faz com que o computador inteiro congele temporariamente