OpenVPN não roteando via rota padrão

Navegue suas respostas
1

Eu configurei um servidor OpenVPN para a sub-rede 10.8.0.0/24 que tem acesso limitado à rede interna. Além disso, desejo configurar o 10.8.1.0/24 manualmente com IPs estáticos para clientes selecionados, para que eles tenham permissão adicional (por exemplo, acesso SSH).

O controle de acesso é feito via iptables e funciona como esperado.

Agora eu envio uma rota para um IP externo (neste exemplo 10.10.10.10) com um servidor web rodando na porta 80 & 443.

Ao conectar-se à VPN sem uma configuração específica do cliente e, portanto, obter um IP 10.8.0.0/24, não tenho problemas para acessar o servidor da web em 10.10.10.10. Eu posso ver os pacotes chegando no tun0 e deixando o servidor no p4p1 (interface externa). Ao conectar-se à VPN com uma configuração específica do cliente e, assim, obter um IP 10.8.1.0/24, posso executar ping em todos os servidores internos, mas os pacotes designados para 10.10.10.10 não serão retransmitidos para nenhuma interface física no servidor VPN ( verificado nos despejos TCP).

Sobre isso, um trecho da configuração do servidor OpenVPN: 

server 10.8.0.0 255.255.255.0
push "route 10.10.10.10 255.255.255.255"
client-config-dir /etc/openvpn/ccd
route 10.8.1.0 255.255.255.0
client-to-client
comp-lzo
persist-key
persist-tun

configuração do cliente / etc / openvpn / ccd / algum-cliente: 

ifconfig-push 10.8.1.133 10.8.1.134

Como o tráfego está trabalhando por qualquer rota específica listada na interface interna (p1p1), eu acho que o OpenVPN não está redirecionando corretamente o tráfego para a rota padrão indo para a interface p4p1, mas não sei por que isso faria e como pode ser consertado.

Alguma sugestão?

    
por Dero 10.10.2017 / 12:38

1 resposta

1

Como disse Diamant, o servidor precisa ter uma rota de volta para 10.8.1.0/24 através do servidor VPN também. Como alternativa, o servidor VPN precisará ser configurado para executar NAT para solicitações ao servidor da Web.

Além disso, não tenho certeza sobre isso, mas talvez seja necessário adicionar push "route 10.8.0.0 255.255.0.0" à sua configuração do servidor.

EDITAR: A máscara de rede na configuração do servidor me incomoda. Em vez da sugestão acima, tente remover a linha server 10.8.0.0 255.255.255.0 na configuração do servidor e adicione isso: 

mode server
tls-server
ifconfig 10.8.0.1 255.255.254.0    # different netmask to support 10.8.1.0/24 range
ifconfig-pool 10.8.0.0 10.8.0.253
route-gateway 10.8.0.1
push "route-gateway 10.8.0.1"

EDIT2: adicionou linhas de configuração ausentes

    
por 10.10.2017 / 14:07

Tags

Vamos criptografar as permissões de certificado para o servidor tomcat8 ubuntu SSH Tunnel com quebra de autossh