SSH para o cliente OpenVPN do servidor OpenVPN

Navegue suas respostas
1

Eu quero acessar cada cliente de um servidor OpenVPN através do SSH do próprio servidor.

Eu não quero ativar a configuração client-to-client , pois não quero que cada cliente fale entre si. Eu também não quero acessar máquinas em sub-redes dos próprios clientes, apenas as máquinas reais.

Eu era capaz de configurar um túnel e posso ssh de um cliente para o servidor, mas não posso fazer o oposto.

  • IP do servidor sobre VPN: 10.4.0.1

De ipp.txt :

  • IP do cliente A sobre VPN: 10.4.0.4
  • IP do cliente B sobre VPN: 10.4.0.8

Configuração do servidor: 

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
dh /etc/openvpn/rsa/keys/dh2048.pem
server 10.4.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 172.31.0.0 255.255.0.0"
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3

/ etc / sysconfig / iptables do servidor: 

*nat
:POSTROUTING ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 10.4.0.0/24 -d 0.0.0.0/0 -o eth0 -j MASQUERADE
COMMIT

client.conf 

client
remote <serverIP> 1194
proto udp
dev tun
persist-key
persist-tun
cipher AES-256-CBC
remote-cert-tls server
resolv-retry infinite
nobind
comp-lzo
verb 3

<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>

Nas configurações: ipv4.ip_forward = 1

de B: ssh [email protected] funciona do servidor: ssh [email protected] não faz

Eu tentei o telnet na porta 22 e ele falhou. A máquina A está no Ubuntu, a máquina B está no OS X, o servidor está no AWS EC2.

Deixe-me saber se você precisar de outras informações.

Editar: resolvido Basta adicionar topology subnet aos dois arquivos de configuração!

    
por Pico 11.05.2017 / 22:04

1 resposta

0

Tem certeza de que está se conectando ao IP correto? Não tenho certeza se o endereço que você vê no IPP é o endereço real usado no cliente. Você parece estar na topologia net_30, onde o endereçamento é um pouco estranho. Nesta topologia, uma sub-rede /30 é criada para cada cliente e um link ponto-a-ponto é criado. Portanto, seu endereço de 10.4.0.4 no arquivo ipp era na verdade o endereço de rede da sub-rede /30 atribuída. Você provavelmente teria sido capaz de fazer ping e se conectar ao 10.4.0.6 para se conectar ao sistema que reportou 10.4.0.4 no arquivo ipp.

Mas, ignorando toda a estranheza do net_30, a solução mais fácil que você deve considerar seria mudar para a sub-rede de topologia, que é o melhor modo, a menos que você esteja suportando clientes antigos. Ele age mais ou menos como qualquer outra rede que você usaria normalmente, onde um endereço é atribuído a cada cliente, e todos eles têm a mesma máscara.

    
por 11.05.2017 / 22:44

Tags

Não é possível conectar via SSH a “Bash for Windows” (WSL) windows server 2016 O sistema falhou ao registrar os registros de recurso (RRs) do host (A ou AAAA) para o adaptador de rede