シンプルなホーム ネットワーク (10.1.1.0/24) があり、いくつかの Windows 10 マシンがワイヤレス ルーターに接続されており、そのうちの 1 台で OpenVPN サーバー (PC1 とします) が実行されています。
リモートクライアントはPC1(10.1.1.8)にpingを送信できますが、VPNサーバーと他のデバイスが同じサブネットにあるにもかかわらず、他のデバイスにはpingを送信できません。これ10.1.1.0 mask 255.255.255.0 10.1.1.1シナリオ。ルート テーブルに追加してIPEnableRouterレジストリで有効にしようとしましたが、うまくいきませんでした。
私は VPN トリックに不慣れなので、何か見逃しているような気がします。皆さん、何かアイデアはありますか? (ブリッジングを除く)
- サーバー.ovpn
port 1194
proto udp
dev tun
****ca/cert/key/dh/tls-auth omitted****
server 10.8.0.0 255.255.255.0
push "route 10.1.1.0 255.255.255.0"
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
- クライアント.ovpn
dev tun
proto udp
remote myddns.com 443
resolv-retry infinite
nobind
comp-lzo
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
****ca/cert/key/tls-auth omitted****
- PC1のルートテーブル
Interface List
21...00 ff a0 50 2d 1b ......TAP-Windows Adapter V9
7...ea 4e 06 6b 4f 39 ......Microsoft Wi-Fi Direct Virtual Adapter #13
58...e8 4e 06 6b 4f 39 ......Microsoft Wi-Fi Direct Virtual Adapter #14
14...e8 4e 06 6b 4f 39 ......Realtek RTL8192EU Wireless LAN 802.11n USB 2.0 Network Adapter
1...........................Software Loopback Interface 1
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.1.1.1 10.1.1.8 45
10.1.1.0 255.255.255.0 On-link 10.1.1.8 301
10.1.1.8 255.255.255.255 On-link 10.1.1.8 301
10.1.1.255 255.255.255.255 On-link 10.1.1.8 301
10.8.0.0 255.255.255.0 10.8.0.2 10.8.0.1 25
10.8.0.0 255.255.255.252 On-link 10.8.0.1 281
10.8.0.1 255.255.255.255 On-link 10.8.0.1 281
10.8.0.3 255.255.255.255 On-link 10.8.0.1 281
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.8.0.1 281
224.0.0.0 240.0.0.0 On-link 10.1.1.8 301
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.8.0.1 281
255.255.255.255 255.255.255.255 On-link 10.1.1.8 301
===========================================================================
- クライアントのルートテーブル
Interface List
2...f8 a9 63 e0 26 bc ......Realtek PCIe GbE Family Controller
20...00 ff d5 aa e2 9e ......TAP-Windows Adapter V9
10...1e 0e c4 42 55 73 ......Microsoft Wi-Fi Direct Virtual Adapter
4...2e 0e c4 42 55 73 ......Microsoft Wi-Fi Direct Virtual Adapter #2
7...ec 0e c4 42 55 73 ......Qualcomm Atheros AR956x Wireless Network Adapter
1...........................Software Loopback Interface 1
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.43.129 192.168.43.150 55
10.1.1.0 255.255.255.0 10.8.0.5 10.8.0.6 25
10.8.0.1 255.255.255.255 10.8.0.5 10.8.0.6 25
10.8.0.4 255.255.255.252 On-link 10.8.0.6 281
10.8.0.6 255.255.255.255 On-link 10.8.0.6 281
10.8.0.7 255.255.255.255 On-link 10.8.0.6 281
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.43.0 255.255.255.0 On-link 192.168.43.150 311
192.168.43.150 255.255.255.255 On-link 192.168.43.150 311
192.168.43.255 255.255.255.255 On-link 192.168.43.150 311
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.43.150 311
224.0.0.0 240.0.0.0 On-link 10.8.0.6 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.43.150 311
255.255.255.255 255.255.255.255 On-link 10.8.0.6 281
===========================================================================
ちょっと助けてください!!
答え1
記事の書き方コミュニティ状態:
次に、VPNクライアントサブネット(10.8.0.0/24)をOpenVPNサーバーにルーティングするためのルートをサーバー側LANゲートウェイに設定する必要があります(これは、OpenVPNサーバーとLANゲートウェイは別のマシンです)。
これが解決策だと信じていますが、残念ながら、LAN ゲートウェイ (ワイヤレス ルーター) に LAN 側の静的ルートを有効にする機能がないため、テストできません。
もっと良いルーター、できれば OpenVPN が統合されたルーターを購入する必要があるようです。 ;)
答え2
あなたの問題は、サーバー構成にLANアクセスルーティングの正しいオプションが欠けていることです。そのため、私は常に時間をかけて
- オープンVPN方法(約15分)
オープンVPNマニュアルページ(約45分)
openvpn-server.conf# Pushed Routes # #--------------------------------------------------- push 'dhcp-option DNS 10.1.1.1' push 'dhcp-option WINS 10.1.1.1' client-to-client '1' # Each OS deals with parameters differently, so the 1 may need to be specified10.1.1.1/24アクセスしたいVPNの背後にあるDNSとDHCPサーバーはどこにありますか
- また、これは現在解読不可能であり、今後数年間は解読不可能なため
AES-256-CBC必須ではありませんAES-128-CBC。セキュリティの向上はなく、スループットが大幅に低下するだけです。rekey心配な場合は、時間とサイズの値を変更するのが良いでしょう。
一般的な参考情報:
多くの人は、オンラインで見つかった一般的な構成をそのまま使用しますが、構成をチューニングすることで最大のメリットと最高のセキュリティが得られます。
-
# ##::[[--- OpenVPN Server Config ---]]::## #=========================================================== ##----- VPN Admin Server -----## #=========================================================== # Protocol # #----------------------------------------------------------- dev 'tun0' topology 'subnet' proto 'udp' port '61194' # Routes # #----------------------------------------------------------- server '10.32.2.0 255.255.255.248' ifconfig '10.32.2.1 255.255.255.248' # Client Config # #----------------------------------------------------------- ccd-exclusive '1' ifconfig-pool-persist '/etc/openvpn/clients/vpn/ipp.txt' client-config-dir '/etc/openvpn/clients/vpn' # Pushed Routes # #----------------------------------------------------------- push 'route 192.168.2.0 255.255.255.240' push 'dhcp-option DNS 192.168.2.1' push 'dhcp-option WINS 192.168.2.1' push 'dhcp-option DNS 208.67.222.222' push 'dhcp-option DNS 208.67.220.220' push 'dhcp-option NTP 129.6.15.30' # Encryption # #----------------------------------------------------------- # Diffie-Hellmann: dh '/etc/ssl/openvpn/dh2048.pem' # PKCS12: pkcs12 '/etc/ssl/openvpn/vpn-server.p12' # SSL: cipher 'AES-128-CBC' auth 'SHA512' tls-crypt '/etc/ssl/openvpn/tls-crypt.psk' # TLS: tls-version-min '1.2' tls-cipher 'TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256:TLS-ECDH-RSA-WITH-AES-128-GCM-SHA256:!aNULL:!eNULL:!LOW:!3DES:!MD5:!SHA:!EXP:!PSK:!SRP:!DSS:!RC4:!kRSA' # Logging # #----------------------------------------------------------- log '/tmp/vpn-server.log' status '/tmp/vpn-server-status.log' verb '4' # Connection Options # #----------------------------------------------------------- keepalive '10 120' compress 'lz4' # Connection Reliability # #----------------------------------------------------------- client-to-client '1' persist-key '1' persist-tun '1' # Connection Speed # #----------------------------------------------------------- sndbuf '393216' rcvbuf '393216' fragment '0' mssfix '0' tun-mtu '48000' # Pushed Buffers # #----------------------------------------------------------- push 'sndbuf 393216' push 'rcvbuf 393216' # Permissions # #----------------------------------------------------------- user 'nobody' group 'nogroup'
答え3
次の PowerShell コマンドレット (コマンド プロンプトと混同しないでください) を試してみるとよいでしょう。
New-NetNat -Name "VpnMasq" -InternalIPInterfaceAddressPrefix "10.8.0.0/24"
これにより、指定された送信元プレフィックスのパケットに対して NAT (オーバーロード) が有効になるようです。
主に提供される Hyper-V と同様に、Windows 10 Pro/Enterprise でのみ利用できる可能性があります。
それでも解決しない場合は、次の手順に従ってください。
Remove-NetNat -Name "VpnMasq"
しかし、その前に、サーバーからトンネル経由でクライアントに ping (または、到達) できることを確認する必要があります。私はそのnet30仕組み (OpenVPN のデフォルト トポロジ) をよく知りませんが、subnetトポロジの方がシンプルで、いずれにしても使用例に適している可能性があります。そのため、次の行を追加します。
topology subnet
行の前にserver。そうすると、両側の POV からのクライアント IP は同じになります。
使用されているトポロジでは、クライアントが相互にアクセスできるかどうか (ただし、互いの LAN にはアクセスできない) は、サーバー設定で が使用されていないsubnet場合にサーバーがトンネルからのパケットをトンネルに転送することを許可するかどうかによって決まることに注意してください。client-to-client