そこで、かなり基本的な OpenVPN サーバーをセットアップしましたtunが、サーバーが接続されているすべてのクライアントと通信できるようにするのに問題があります。
現在、2 セットのクライアントがあります。インターネットに接続するために VPN を使用しないクライアント (他のクライアントと通信するためだけ) と、redirect-gatewayすべてのトラフィックを VPN 経由で送信するクライアントです。
私の設定では、接続されたすべてのクライアントがサーバーや他のクライアントと通信できます。ただし、サーバーからは、redirect-gatewayすべてのトラフィックを VPN 経由で送信するために使用しているクライアントにのみアクセス (例: ping) できます。その構成を使用していないクライアントはサーバーに ping できますが、サーバーは ping を返すことができません (応答せず、タイムアウトになります)。
デフォルト ゲートウェイとして VPN を使用していない場合でも、サーバーがクライアントと通信できるようにルーティングを設定するにはどうすればよいですか?
関連するサーバー構成は次のとおりです。
port 1194
proto udp
dev tun
topology subnet
push "topology subnet"
server 10.7.0.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/ipp.txt
client-config-dir /etc/openvpn/ccd
client-to-client
keepalive 10 120
cipher AES-256-CBC
comp-lzo
user nobody
group nobody
persist-key
persist-tun
explicit-exit-notify 1
サーバーのクライアント設定ディレクトリには、各クライアントに次のようなファイルがあります (各クライアントに静的 IP を割り当てるため)。
ifconfig-push 10.7.0.10 255.255.255.0
ローカル クライアント構成の関連部分:
client
dev tun
proto udp
remote {server's public ip} 1194
float
keepalive 15 60
ns-cert-type server
key-direction 1
tun-mtu 1500
cipher AES-256-CBC
keysize 256
comp-lzo yes
nobind
インターネット アクセスに VPN を使用しているクライアントは、redirect-gateway def1 bypass-dhcp設定に追加します。
私はufwサーバーのファイアウォールに使用しています - 関連する設定は次のとおりです (/etc/ufw/before.rules 内)。
*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.7.0.0/8 -j SNAT --to-source {server's public ip}
これは OpenVZ VPS 上で実行されているため、 は使用できませんMASQUERADEが、上記は同様に動作するようです。
これを適切に設定するためのアイデアはありますか? よろしくお願いします。問題になるかどうかはわかりませんが、サーバーは CentOS を実行しています。