Como habilitar o acesso LAN aos clientes OpenVPN

0

Eu tenho um servidor com 2 NICs reais e 1 NIC virtual (tun0) criadas pelo OpenVPN.

eth0 is LAN - IP 192.168.2.1
eth1 is Internet - IP is public internet IP
tun0 is created by openvpn

O que eu preciso é que os clientes que se conectam ao servidor VPN através da eth1 também tenham acesso à rede eth0, por exemplo. será capaz de se conectar a 192.168.2.21

Isso costumava funcionar no passado até eu reiniciar o servidor e informações de roteamento foram redefinidas: / Eu configurei este par de anos atrás e esqueci como eu fiz isso.

A tabela de roteamento agora é assim:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         public gw       0.0.0.0         UG    0      0        0 eth1
public ip       *               255.255.255.0   U     0      0        0 eth1
192.168.2.0     *               255.255.255.0   U     0      0        0 eth0
192.168.8.0     192.168.8.2     255.255.255.0   UG    0      0        0 tun0
192.168.8.2     *               255.255.255.255 UH    0      0        0 tun0

Quando eu lanço o OpenVPN, ele tenta adicionar rota

Tue Oct 11 19:29:58 2016 /sbin/ip route add 192.168.2.0/24 via 192.168.8.2
RTNETLINK answers: File exists
Tue Oct 11 19:29:58 2016 ERROR: Linux route add command failed: external program exited with error status: 2

No entanto, não parece ser possível porque já existe. Quando eu removo esta rota, o openVPN consegue adicionar, mas não é mais possível que o servidor alcance a rede 192.168.2.0/24.

Como posso fazer isso funcionar?

EDIT: sim, tenho o encaminhamento IPv4 e IPv6 ativado

    
por Petr 11.10.2016 / 19:54

2 respostas

0

você precisará do conjunto ip_forward no sysctl, e uma linha aceita na tabela FORWARD no iptables (que geralmente é ACEITAR de qualquer forma)

link

    
por 11.10.2016 / 22:07
0

Primeiro, as rotas necessárias:

  • Os clientes VPN precisam de uma rota para 192.168.2.0/24 , através do seu gateway de VPN (presumivelmente em 192.168.8.1 dentro da rede virtual)
  • Os dispositivos em 192.168.2.0/24 precisam de uma rota para 192.168.8.0/24 - porque parece que seu servidor VPN reside no gateway padrão, não é necessária configuração adicional.

Em seguida, a configuração. Os detalhes dependem da topologia (net30 / p2p ou sub-rede), mas é assim em geral:

topology net30    
server 192.168.8.0 255.255.255.0

push "route 192.168.2.0 255.255.255.0"

Eu omiti todas as opções irrelevantes (mas ainda assim obrigatórias) aqui. Observe, no entanto, que o route é enviado apenas aos clientes. Não deve ser definido no servidor .

Como o cliente recebe todas as configurações necessárias via push, nenhuma configuração especial é necessária.

    
por 13.10.2016 / 20:08