Estou tentando configurar uma VPN de Site-to-Site usando o OpenVPN, a configuração inicial foi concluída, Meus nós secundários do cliente openvpn (201.100.0.x) podem se comunicar com os nós secundários do servidor openvpn (192.0. 0.x).
Mas se eu fizer ping em qualquer nó cliente (201.100.0.18) de um nó do lado do servidor (192.0.0.32), não receberei a resposta (tenho a rota adequada incluída nos nós de extremidade). E eu posso ver os replays de ping chegando ao meu servidor openvpn analisando com o dump TCP.
Nó do servidor: 192.0.0.32 (eth0)
Servidor: 192.0.0.39 (eth0); 10.8.0.1 (tun0)
Nó do cliente: 201.100.0.18 (eth0)
OpenvpnClient: 201.100.0.11 (eth0); 10.8.0.6 (tun0)
server node> ping 201.100.0.18 -c 1
PING 201.100.0.18 (201.100.0.18) 56(84) bytes of data.
--- 201.100.0.18 ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 10000ms
Aqui está a forma de despejo TCP eth0 do servidor openvpn
vpnserver> tcpdump -nni eth0 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
09:41:00.796021 IP 192.0.0.32 > 201.100.0.18: ICMP echo request, id 47432, seq 1, length 64
09:41:00.836637 IP 201.100.0.18 > 192.0.0.32: ICMP echo reply, id 47432, seq 1, length 64
A resposta de ping retornou até 192.0.0.32, mas não foi encaminhada para 192.0.0.39; precisa saber por que
encaminhamento de IP já ativado E você pode ver as regras de firewall existentes abaixo
*filter
:INPUT ACCEPT [397:39519]
:FORWARD ACCEPT [6:504]
:OUTPUT ACCEPT [362:40521]
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i tun0 -o eth0 -j ACCEPT
COMMIT
# Completed on Thu Nov 3 09:45:05 2016
# Generated by iptables-save v1.4.7 on Thu Nov 3 09:45:05 2016
*nat
:PREROUTING ACCEPT [31:3889]
:POSTROUTING ACCEPT [22:1848]
:OUTPUT ACCEPT [6:504]
-A POSTROUTING -o eth0 -j MASQUERADE << before adding this rule client sides nodes were not able to access server side nodes
COMMIT