OpenVPN conectado mas sem Internet ou LAN

Question

OpenVPN conectado mas sem Internet ou LAN

#1 resposta do (1 votos)
#2 resposta do (0 votos)
#3 resposta do (0 votos)

3

Boa noite,

Estou enfrentando um problema com a minha instalação do OpenVPN. Estive nisso por 3 dias agora, mas ainda não consigo descobrir o que está errado para a vida de mim ...

Basicamente, o problema é que eu sou capaz de se conectar ao meu servidor (caixa dedicada 14.04 ubuntu) do meu cliente (win 7 pc), mas embora eu estou conectado eu não posso acessar internet e LAN (não pode ping servidor em 10.0.0.1).

Eu configurei o encaminhamento de ip no servidor e adicionei regras de iptable ao melhor de meu conhecimento, bem como o encaminhamento de porta de configuração no roteador; mas ainda não consigo consegui-lo em funcionamento.

Toda a ajuda seria muito apreciada, pois ainda sou novo no openvpn. Obrigado a todos antecipadamente pelo seu precioso tempo.

Por favor, encontre abaixo uma cópia das minhas regras server.conf, client.conf e iptable.

Server.conf

dev tun
proto udp
port 1194
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
user nobody
group nogroup
server 10.8.0.0 255.255.255.0
persist-key
persist-tun
client-to-client
push "route 192.168.0.0 255.255.255.0"
push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
log-append /var/log/openvpn
plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so openvpn
client-cert-not-required
username-as-common-name
management localhost 7505

tabelas de IP

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpt:openvpn

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  192.168.0.0/24       anywhere             ctstate NEW
ACCEPT     all  --  10.8.0.0/24          anywhere             ctstate NEW
ACCEPT     all  --  10.8.0.0/24          192.168.0.0/24       ctstate NEW

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Client.conf

client
dev tun
proto udp
remote 196.xxx.xxx.xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
auth-user-pass
comp-lzo
verb 3

openvpn iptables ubuntu

por BootFracture 26.01.2015 / 23:36

3 respostas

Tags openvpn iptables ubuntu

Squid não está bloqueando SSL HTTPS corretamente XenServer 6.5 - Falha na criação de biblioteca / armazenamento iso local - SR_BACKEND_FAILURE_222

score 1 · Answer 1

Resumo:

A LAN remota é 192.168.0.0/24.
A rede OpenVPN é 10.8.0.0/24.
Seu cliente OpenVPN obtém um IP em 10.8.0.0/24. Vamos supor que seja 10.8.0.42.

Tentando conversar com a LAN remota:

Quando seu cliente OpenVPN envia um pacote para um IP na LAN remota (digamos 192.168.0.56), ele é enviado com o endereço de origem 10.8.0.42 e alcança o servidor OpenVPN.
O servidor OpenVPN o descarta a menos que você tenha habilitado o encaminhamento de IP sysctl -w net.ipv4.ip_forward=1 ).
Se o encaminhamento de IP estiver ativado, 192.168.0.56 recebe o pacote e tenta responder enviando pacotes para 10.8.0.42, mas ele não tem uma rota para ele. Em vez disso, usa o gateway padrão. A menos que o servidor OpenVPN seja o gateway padrão, o pacote será perdido. Você pode verificar a rota na máquina remota com ip route get 10.8.0.42 .

Soluções possíveis:

adicione uma rota para 10.8.0.0/24 em cada nó na LAN ( ip route add 10.8.0.0/24 via $ip_of_vpn_server );
adicione uma rota para 10.8.0.0/24 no gateway padrão
- os pacotes farão um salto inútil para o roteador em vez de alcançar diretamente o servidor OpenVPN;
- mas send_redirects está habilitado no roteador e accept_redirects está habilitado nos nós da LAN, o roteador enviará um redirecionamento ICMP para indicar uma rota melhor e os nós da LAN deverão usar essa rota posteriormente ;
configure o NAT no servidor OpenVPN para ocultar os endereços 10.8.0.0/24.

O mesmo problema acontece ao tentar acessar o IP público do seu cliente OpenVPN:

se você usou a primeira ou segunda solução, certifique-se de que 10.8.0.0/24 esteja corretamente NATed pelo roteador da LAN remota;
se você usou NAT no servidor OpenVPN, não precisa fazer mais nada.

Eu sugeriria usar a segunda solução. Quanto menos NAT você tiver, melhor.

score 0 · Answer 2

SE você conseguir se conectar ao seu servidor VPN do que provavelmente está configurado corretamente para o servidor / cliente falar. O problema então se torna um de IP e roteamento. Eu costumo usar pfsense para o meu servidor openvpn ao invés de usar o arquivo conf, mas o efeito deve ser o mesmo.

Sempre que uso o openvpn, nunca obtive uma conexão em x.x.x.2 e posso fazer ping em x.x.x.1. Pode ser eu, mas eu tenho visto sempre começar em .6 e roteador de .5

Quando você se conectar à VPN, verifique seu endereço IP. ipconfig
Verifique sua tabela de roteamento enquanto estiver conectado route print
veja se você pode fazer o ping do seu IP da VPN e do gateway na vpn. pode ser no seu caso 10.8.0.5

Se você pode postar suas rotas IPv4 que podem ajudar. e podemos restringir onde está o problema.

score 0 · Answer 3

Só porque você tem uma VPN, isso não significa necessariamente que você pode se conectar imediatamente. Você ainda precisa 'dizer' ao seu cliente para rotear o tráfego através da VPN. Se você tentar se conectar ao 10.0.0.1 e seu cliente estiver em uma rede diferente, ele tentará falar com seu gateway padrão. Em vez disso, você precisa dizer para falar com a conexão VPN.

No administrador CMD:

route add <remote network> <VPN IP>