ある VPN を別の VPN にトンネリングする際の iptables のデバッグ

tag-icon tag-icon networking iptables openvpn tunneling
ある VPN を別の VPN にトンネリングする際の iptables のデバッグ

ある SSL VPN (F5、Debian ラップトップで実行中== client) を別の SSL VPN (OpenVPN、Debian Linode で実行中== server) にトンネリングしようとしていますが、F5VPN が接続した後、すべてのクライアント ネットワーク (などを含むping) が失われます。これが OpenVPN 構成によるものか、サーバーのファイアウォール/iptables によるものかはわかりませんが、後者のせいではないかと考えています。残念ながら私はネットワークについて詳しいわけではないので、何かご支援いただければ幸いです。

環境モデリングを行うために、リモート(物理LANから)でファイアウォールで保護されたコンピューティングクラスタにSSHで接続する必要があります(例:これ)。以前は、Debianラップトップからクラスタプロバイダ必須の F5VPN、そのクライアントはF5NAP(「ネットワークアクセス[ブラウザ]プラグイン」の略)として知られています。ただし、アクセスポリシーが変更されました(特に、登録された IP 番号が 1 つだけ必要) ため、これを「直接」実行することはできなくなりました (つまり、ラップトップから F5VPN を実行するだけです)。クライアント/ラップトップから Debian Linode サーバー/ジャンプボックスを介して VPN トンネルを実装することで、新しいポリシーに適応し (プロジェクトの作業を再開し) たいと考えています。デザイン詳細はこちらただし、私のデザインは、次の ASCII アートで大まかにまとめることができます。

                     <-MY CONTROL | AGENCY CONTROL->
                                  |                    firewall
+----------+      +-----------+   |   +---------------+   ||   +---------+
| laptop + |      | linode  + |   |   | remote-access |   ||   | cluster |
| F5NAP  + | <--> | OpenVPN   | <-|-> | website +     | <-||-> | node(s) |
| OpenVPN  |      | server  + |   |   | F5VPN server  |   ||   |         |
| client   |      | security  |   |   |               |   ||   |         |
+----------+      +-----------+   |   +---------------+   ||   +---------+

実装の詳細はこちら(注意:F5NAP==F5VPNクライアント)良いニュースは、次のシーケンスが機能することです。

  1. LinodeでOpenVPNサーバーを起動する(別名「サーバー」)
  2. ノートパソコンでOpenVPNクライアントを起動するその後翻訳元登録されているサーバーのIP番号を表示します
  3. F5VPNクライアントを起動します(F5NAP された Firefox)、そこからサーバーの IP 番号を確認できます。
  4. F5VPN クライアントを使用して、機関のリモート アクセス Web サイトにログインし、F5VPN の制御 UI (開始/停止/ログアウトなど) を起動します。

悪いニュース(詳細ここ) は、F5VPN を起動して Web UI でステータスが「接続済み」と表示されるとすぐに、クライアント/ラップトップの IP ネットワークが失われます。最初は DNS の問題だと思っていましたが、pingIP 番号さえわかりません。例:

me@client:~ $ ping -c 4 141.101.120.15 # == www.whatismyip.com
PING 141.101.120.15 (141.101.120.15) 56(84) bytes of data.

--- 141.101.120.15 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3022ms

(ここでの唯一の慰めは、ネットワーク障害によってトンネルが切断され、クライアントがネットワークを回復し、登録された IP 番号にもアクセスできるようになったことです。)

この問題は私のOpenVPNの設定ミスによるものだと思っていたが、今は私の設定を微調整する必要があるのではないかと考えている。サーバーファイアウォールiptablesDebian 7.8で実行されている)OpenVPN構成が機能するようにするには、クライアントのコマンドラインデバッグセッションを参照してください。ここ

もう一つ複雑な点:F5VPNはプロプライエタリであり、F5 (ベンダー) またはクラスタ プロバイダ (その顧客、つまり「代理店」) のどちらからも特に十分にサポートされていません (私見)。特に、代理店の VPN サーバーの IP 番号は知りません (ただし尋ねました)。私が知っているのは、F5VPN にログインするために使用する必要があるリモート アクセス Web サイトの名前 (DNS によって IP 番号がわかります :-) だけです。

関連情報