Não é possível acessar a internet quando conectado ao servidor OpenVPN

Question

Não é possível acessar a internet quando conectado ao servidor OpenVPN

#1 resposta do (2 votos)
#2 resposta do (1 votos)
#3 resposta do (1 votos)
#4 resposta do (0 votos)

2

Instalei recentemente o OpenVPN no meu servidor windows 2003. Quando alguém está conectado ao servidor, ele não tem acesso à Internet.

Minha rede está em 192.168.1.1
meu servidor está em 192.168.1.110
Estou usando o firmware dd-wrt
Eu habilitei a porta 1194 para 192.168.1.110 no roteador
O roteamento e acesso remoto está desativado
Eu tenho 2 Adaptador V8 (s) Tap-Win32 no meu servidor windows 2003
Eu tentei configurar essa linha para 192.168.1.1 e também os servidores dns do meu isp pressione "dhcp-option DNS 192.168.1.1" # Substitua os Xs pelo endereço IP do DNS para o seu rede doméstica (normalmente o DNS do seu ISP)

Eu criei um gateway de roteamento avançado em dd-wrt

 Destination LAN NET: 192.168.10.0
 Subnet Mask: 255.255.255.252
 Gateway: 192.168.1.110
 Interface: Lan & WLAN

Eu segui este site exatamente: link

EDIT: Eu apenas tentei conectar através do prompt do cmd e obter o seguinte erro de sub-rede - potencial conflito de sub-rede entre a LAN local [192.168.1.0/255.255.255.0] e a VPN remota [192.168.1.0/255.255.255.0]

Meu arquivo de servidor é o seguinte:

local 192.168.1.110 # This is the IP address of the real network interface on the server connected to the router

port 1194 # This is the port OpenVPN is running on - make sure the router is port forwarding this port to the above IP

proto udp # UDP tends to perform better than TCP for VPN

mssfix 1400 # This setting fixed problems I was having with apps like Remote Desktop

push "dhcp-option DNS 192.168.1.1"  # Replace the Xs with the IP address of the DNS for your home network (usually your ISP's DNS)

#push "dhcp-option DNS X.X.X.X"  # A second DNS server if you have one

dev tap

#dev-node MyTAP  #If you renamed your TAP interface or have more than one TAP interface then remove the # at the beginning and change "MyTAP" to its name

ca "ca.crt"  

cert "server.crt"

key "server.key"  # This file should be kept secret

dh "dh1024.pem"

server 192.168.10.0 255.255.255.128  # This assigns the virtual IP address and subent to the server's OpenVPN connection.  Make sure the Routing Table entry matches this.

ifconfig-pool-persist ipp.txt

push "redirect-gateway def1"  # This will force the clients to use the home network's internet connection

keepalive 10 120

cipher BF-CBC        # Blowfish (default) encryption

comp-lzo

max-clients 100 # Assign the maximum number of clients here

persist-key

persist-tun

status openvpn-status.log

verb 1 # This sets how detailed the log file will be.  0 causes problems and higher numbers can give you more detail for troubleshooting

Meu arquivo client1 é o seguinte:

client

dev tap

#dev-node MyTAP  #If you renamed your TAP interface or have more than one TAP interface then remove the # at the beginning and change "MyTAP" to its name

proto udp

remote my-dyna-dns.com 1194  #You will need to enter you dyndns account or static IP address here. The number following it is the port you set in the server's config

route 192.168.1.0 255.255.255.0 vpn_gateway 3  #This it the IP address scheme and subnet of your normal network your server is on.  Your router would usually be 192.168.1.1

resolv-retry infinite

nobind

persist-key

persist-tun

ca "ca.crt"

cert "client1.crt" # Change the next two lines to match the files in the keys directory.  This should be be different for each client.

key "client1.key"  # This file should be kept secret

ns-cert-type server

cipher BF-CBC        # Blowfish (default) encrytion

comp-lzo

verb 1

Obrigado antecipadamente!

internet windows openvpn windows-server-2003

por David Pashley 05.06.2009 / 04:11

4 respostas

Tags internet windows openvpn windows-server-2003

Solução para restrições de acesso à rede VPN Alguém pode recomendar um bom livro sobre virtualização? [fechadas]

score 2 · Answer 1

Parece-me que o servidor está empurrando a opção "redirect-gateway" para o cliente. Isso faz com que o cliente use a VPN como seu gateway padrão. Comente a linha na configuração do servidor 'push' redirecionamento-gateway def1 "'.

Woah - acabou de ver sua edição. Seu cliente não pode estar usando os mesmos endereços IP da LAN à qual está se conectando. Isso não vai funcionar. Uma extremidade ou outra precisa usar diferentes endereços IP.

Editar:

Supondo que o roteamento esteja configurado corretamente em sua máquina Windows Server 2003 (de acordo com a página www.itsatechworld.com mencionada), você poderá fazer o PING na máquina Windows Server 2003 e na máquina Windows Vista pelos IPs da LAN por meio da VPN. Se você puder, então você tem o roteamento direto nas máquinas Windows Server 2003 e DD-WRT e você pode continuar. Se não, então você precisa começar a rastrear porque (1) o tráfego PING saindo do túnel OpenVPN não está chegando ao destino, ou (b) porque as respostas PING do host de destino não estão voltando. Você pode acabar colocando algo como o Wireshark em sua máquina com o Windows Vista para ver se as solicitações PING estão chegando lá (já que o PING não pode dizer se sua solicitação está sendo recebida e a resposta está sendo perdida).

Uma vez que você tenha conectividade IP em toda a VPN funcionando bem. Eu recomendo instalar os serviços DNS e WINS em seu computador servidor VPN do Windows Server 2003 e configurar o computador servidor e o computador doméstico Windows Vista para usar essa máquina para WINS e DNS. Você pode adicionar o DNS do seu provedor como um "encaminhado" na máquina do Windows Server 2003 ou deixar as "dicas de raiz" configuradas para permitir que ele resolva os nomes da Internet. Na sua configuração do servidor OpenVPN, adicione a seguinte linha logo após a linha "push" dhcp-option DNS 192.168.1.1 ":

push "dhcp-option WINS 192.168.1.1"

Isso fará com que os clientes remotos acessem os servidores WINS e DNS em sua máquina com o Windows Server 2003 e devem obter a resolução de nomes DNS e NetBIOS.

Se você não estiver usando um domínio do Active Directory em casa, provavelmente desejará configurar uma zona de pesquisa direta padrão no servidor DNS do Windows Server 2003 para o registro das máquinas do Windows Server 2003 e do Windows Vista. Você desejará conceder permissão aos clientes para atualizar dinamicamente os registros (embora de maneira insegura) ao criar essa zona. Você deve adicionar a opção "nome de domínio DNS" (opção 15) ao seu escopo DHCP em casa para que os seus computadores clientes tenham o sufixo de nome de domínio DNS correto. (Se você estiver usando DD-WRT para DNS, então eu não posso te dizer como fazer isso. Eu sou um OpenWRT e gerencio meu WRT54G na linha de comando. Eu recomendaria rodar o DHCP do Windows Server Máquina de 2003, mas eu gosto mais desse servidor DHCP.)

Se você estiver usando um domínio do Active Directory, já terá uma zona de pesquisa direta criada no DNS. Como seus clientes VPN remotos não são membros de seu domínio, eles não poderão se registrar no DNS nas configurações de segurança de ações que o Windows Server define na zona DNS (pelo menos, se você permitir que ele crie a zona durante DCPROMO). É inseguro, mas se você quiser permitir que eles se registrem, você pode (menos) alterar a permissão na zona para permitir registros inseguros, ou (b - mais seguro, mas ainda assim inseguro) criar registros A e PTR para eles e modificar a permissão em cada um desses registros para permitir que alguém os atualize.

Parece que isso é uma coisa de rede doméstica, e é realmente uma boa oportunidade de aprendizagem para muitas coisas - roteamento IP, VPNs, resolução de nomes. Talvez você esteja procurando "apenas trabalhar" e não como uma oportunidade de aprendizado, caso em que só posso oferecer minhas desculpas e dizer que essas coisas ainda não são "chave na mão" ainda.

score 1 · Answer 2

O comentário de Evan está certo, exceto pelo fato de que eu gostaria de pedir que você considere habilitar o "redire-gateway" e configurar o servidor para aceitar todo o tráfego ligado à Internet, pelo menos se você fizer algum filtro de conteúdo. Se você não fizer isso, seus laptops se tornarão (ainda mais) vulneráveis à sua rede.

A VPN com túnel dividido é geralmente considerada insegura , pois essencialmente oferece aos invasores um comprometimento no computador. para o centro suculento da sua rede.

score 1 · Answer 3

Você vai querer ter certeza de que o seu servidor Windows OpenVPN tem serviços de roteamento instalados.

Isso foi mencionado antes, mas é altamente recomendado que você mude o endereço da sua rede LAN para algo diferente de 192.168.1.X. A maioria dos Linksys, etc ... sai da caixa com essa rede para que os hosts remotos não consigam chegar aos hosts dentro de sua rede. Vejo que sua rede VPN está configurada para 192.168.10.X, o que é bom. Agora defina sua LAN para algo como 192.168.5.X. Vai funcionar melhor, confie em mim.

Você poderia ativar o redirecionamento de gateway, mas não sugeriria isso, pois ele consumiria sua largura de banda. Se você tem dispositivos IDS / IPS ou algo parecido em sua rede, isso pode ser benéfico.

Eu colocaria um verbo maior que 1 ... eu continuo com 4 para ver o que está acontecendo.

Espero que ajude!

score 0 · Answer 4

Só assim isso é documentado para o Linux também. Eu encontrei isso aqui

Importe seu arquivo de configuração da VPN no NetworkManager
Edite a conexão VPN
Ir para a guia Configurações de IP (IP4Settings)
Clique em rotas
Marque "Usar esta conexão somente para recursos em sua rede"
Reinicie a conexão.