OpenVPN em execução no Internet Gateway, para que todos os clientes privados possam acessar a VPN sem configuração

Navegue suas respostas
2

Nossa LAN se conecta à nossa máquina de gateway do escritório (192.168.1.1), que está conectada à Internet.

Eu configurei o NAT / Masquerading para este propósito sem nenhum problema.

Também usamos o OpenVPN para nos conectarmos ao nosso datacenter (o servidor OpenVPN está no datacenter).

Em vez de configurar todos os clientes internos diretamente, eu fiz do nosso servidor gateway um cliente (10.91.3.102) do servidor OpenVPN (10.91.3.1)

Nossa velocidade de rede na VPN é ridícula, e não consigo descobrir o que está faltando, onde.

Está funcionando , mas acho que os pacotes estão faltando.

Internet    modo / roteador - 192.168.0.1

Gateway    eth1 - 192.168.0.2 (para Internet)    eth2 - 192.168.1.1 (para LAN)    tun0 - 10.91.3.102 (para VPN)

LAN    192.168.1.0/24

Na máquina de gateway ... 

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

-A POSTROUTING -o tun0 -j SNAT --to-source 10.91.3.102
-A POSTROUTING -o eth1 -j SNAT --to-source 192.168.0.2

COMMIT

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
# accept everything coming from our LAN (eth2)
-A INPUT -i eth2 -j ACCEPT
# accept everything on the VPN
-A INPUT -i tun0 -j ACCEPT
# reject anything else
-A INPUT -j REJECT --reject-with icmp-host-prohibited

# vpn
-A FORWARD -i eth2 -o tun0 -j ACCEPT
-A FORWARD -i tun0 -o eth2 -j ACCEPT

# allow traffic to flow between the Internet (eth1) and our LAN (eth2)
-A FORWARD -i eth2 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT
    
por Rob Brown 05.03.2014 / 17:13

1 resposta

0

Provavelmente não são suas regras de firewall se a conexão for estabelecida. Verifique se você pode efetuar ping de um gateway para outro, especificando a interface. Por exemplo. ping-eu tun0 192.168.0.1. Tente isso nos dois sentidos.

Seria bom ver a configuração VPN do servidor OpenVPN e do cliente. Existem várias explicações possíveis:

  • Você pode estar encontrando problemas de incompatibilidade / compatibilidade de MTU.
  • Você pode ser afetado pela modelagem de tráfego por seu ISP, dependendo das portas usadas.
  • Você está usando um servidor proxy?
  • Quais são as regras de roteamento (verifique "ip route")?
  • O desempenho varia de acordo com o protocolo em diferentes situações. O OpenVPN via UDP oferece o melhor desempenho.
  • Tente o modo de túnel (TUN) versus o modo de ponte (TAP). Estes são explicados no site do OpenVPN.
  • Tente desativar a compactação nos dois lados.
  • Verifique se você está usando a versão mais recente / mesma do OpenVPN nos dois lados.

Use algo como speedtest.net em cada lado do gateway sem a VPN no lugar. Depois que a VPN for estabelecida, meça a velocidade novamente de gateway para gateway, para descartar problemas de LAN em ambos os lados.

Por último, mas não menos importante, suponho que você não deseja que o acesso à Internet dos clientes da LAN seja roteado através do outro site? Se você deseja apenas a VPN para o tráfego site to site e não o acesso à Internet, o cliente OpenVPN deve ser configurado para não alterar o gateway padrão para enviar todo o tráfego. As regras de roteamento devem redirecionar apenas o tráfego para o outro site por meio da VPN. O gateway padrão continua sendo a conexão original do provedor.

    
por 05.01.2016 / 00:14

Tags

Muitas e muitas entradas de log do kernel: iint_free: readcount: -1, iint_free: writecount: 1 Restringir as alterações da lista de distribuição pelos proprietários no Exchange 2010