Como configurar o OpenVPN para permitir que os clientes VPN acessem todos os servidores dentro da LAN do servidor?

Navegue suas respostas
9

Meu servidor LAN IP é 192.168.1.1 e há um servidor da intranet em 192.168.1.2 O daemon OpenVPN é configurado para fornecer aos clientes endereços 192.168.2. *.

Existe push "route 192.168.1.0 255.255.255.0" linha na configuração que espero permitir que os clientes VPN acessem a rede 192.168.1.0 inteira, mas eles só podem acessar 192.168.1.1 - o próprio servidor VPN.

Eu tentei ativar net.ipv4.ip_forward = 1 em /etc/sysctl.conf , mas isso não ajuda.

Alguma idéia?

PS: O servidor roda o Ubuntu 12.04.
PPS: O OpenVPN é executado no modo tun em UDP.

    
por Ivan 16.08.2012 / 21:13

2 respostas

12

Certifique-se de que o encaminhamento de ip esteja ativamente ativado 

echo 1 > /proc/sys/net/ipv4/ip_forward

Além disso, para que o envio da rota funcione, os servidores internos também precisam saber a rota para o endereço IP do cliente OpenVPN. Então eles precisarão conhecer a rota para 192.168.2.0/24

Você pode muito bem fazer o iptables fazer o roteamento via masquerade usando 

/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
    
por 16.08.2012 / 21:34
2

Se a sua rede LAN é realmente 192.168.1.0/24, você pode ter muitos problemas. Porque a maioria dos roteadores tem essa rede padrão. Então, quando você está na rede de convidado, seu computador pode obter um ip da rede 192.168.1.0/24. Portanto, você não pode acessar sua rede remota, mas a rede de convidados. Sugiro escolher outra rede para sua LAN e VPN. por exemplo, 192.170.15.0/24 para LAN e 10.0.5.0/xx para vpn. xx depende de quanto os clientes vpn estão se conectando à LAN.

aqui está o meu script fw para openvpn 

#!/bin/sh

iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT

# Allow packets from private subnets
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT

# i have multiple vpn networks
# 192.123.123.0/24 = LAN
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.9.0.0/30 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.9.1.0/30 -o eth1 -d 192.123.123.39 -j MASQUERADE # to single server access only

echo 1 > /proc/sys/net/ipv4/ip_forward
    
por 16.08.2012 / 23:17

Tags

Por que o servidor de desenvolvimento do Django usa a porta 8000 por padrão? Isolando o Apache virtualhosts do resto do sistema