Por que não consigo me conectar à interface LAN de um servidor OpenVPN através do túnel?

4

Eu configurei o OpenVPN entre meu trabalho e minha casa. Está usando certificados (não chaves pré-compartilhadas), está no modo tun e funciona muito bem. As redes são assim:

Eu tenho a configuração de rotas apropriada para enviar tráfego de ida e volta, e o cliente não tem problemas em falar com 192.168.80.1 (o IP do encapsulamento do servidor), ou qualquer coisa na rede 192.168.5.0/24 (trabalho), que é ótimo.

O único problema que estou tendo é que o cliente não pode falar, ou ping 192.168.5.10 (IP do servidor na rede de trabalho).

iptables não está bloqueando nada. Existe alguma configuração de segurança do OpenVPN ou a configuração do Linux está faltando?

    
por Tal 08.04.2017 / 18:36

2 respostas

0

Finalmente descobri o meu problema. Não tinha nada a ver com o OpenVPN em si, e não foi possível resolver dadas as informações acima. No caso de alguém se deparar com isso, acabou sendo assim:

Meu servidor OpenVPN está conectado a duas redes diferentes e executa duas instâncias diferentes do OpenVPN - uma ouvindo em uma interface e a outra ouvindo na outra interface. Uma das interfaces está no meu diagrama (192.168.5.10), enquanto a outra não está - vamos chamá-la 192.168.4.10.

Para fazer isso funcionar, eu tenho regras de roteamento com base em política que dizem "se os pacotes têm um IP de origem 192.168.5.10, enviam para o roteador 192.168.5.1" e "se os pacotes tiverem um IP de origem 192.168.4.10, enviar para o roteador 192.168.4.1 ". Isso significa que quando as conexões OpenVPN estão sendo estabelecidas, elas funcionam corretamente.

O problema é que quando eu ping 192.168.5.10 de dentro do túnel, os pacotes de retorno atingem a mesma regra PBR e são enviados para 192.168.5.1 em vez de voltarem para o túnel. Uma alteração nas minhas regras PBR corrigiu isso.

    
por 18.10.2017 / 22:50
1

A resposta provavelmente é porque o ping usou o IP de origem errado para o pacote ICMP. Por padrão, ele escolherá o IP na interface de saída do pacote. No seu caso, será 192.168.80.1 no trabalho e 192.168.80.10 em casa.

Tente o seguinte:

ping -I eth0 <address>
    
por 23.06.2017 / 06:23