OpenVPN サーバーに接続してもインターネットにアクセスできない

tag-icon tag-icon windows windows-server-2003 internet openvpn
OpenVPN サーバーに接続してもインターネットにアクセスできない

最近、Windows 2003 サーバーに OpenVPN をインストールしました。サーバーに接続すると、インターネットにアクセスできなくなります。

  • 私のネットワークは192.168.1.1です
  • 私のサーバーは192.168.1.110にあります
  • 私はdd-wrtファームウェアを使用しています
  • ルーターの192.168.1.110のポート1194を有効にしました
  • ルーティングとリモート アクセスが無効になっています
  • 私のWindows 2003サーバーには2つのTap-Win32アダプタV8があります
  • この行を 192.168.1.1 に設定してみましたが、ISP の DNS サーバーは「dhcp-option DNS 192.168.1.1」をプッシュします。# X をホーム ネットワークの DNS の IP アドレス (通常は ISP の DNS) に置き換えます。

  • dd-wrtで高度なルーティングゲートウェイを作成しました

     Destination LAN NET: 192.168.10.0
 Subnet Mask: 255.255.255.252
 Gateway: 192.168.1.110
 Interface: Lan & WLAN

私はまさにこのウェブサイトに従いました: http://www.itsatechworld.com/2006/01/29/how-to-configure-openvpn/

編集: コマンドプロンプトから接続しようとしたところ、次のサブネット エラーが発生しました - ローカル LAN [192.168.1.0/255.255.255.0] とリモート VPN [192.168.1.0/255.255.255.0] の間でルート サブネットが競合している可能性があります

私のサーバーファイルは次のようになります:

local 192.168.1.110 # This is the IP address of the real network interface on the server connected to the router

port 1194 # This is the port OpenVPN is running on - make sure the router is port forwarding this port to the above IP

proto udp # UDP tends to perform better than TCP for VPN

mssfix 1400 # This setting fixed problems I was having with apps like Remote Desktop

push "dhcp-option DNS 192.168.1.1"  # Replace the Xs with the IP address of the DNS for your home network (usually your ISP's DNS)

#push "dhcp-option DNS X.X.X.X"  # A second DNS server if you have one

dev tap

#dev-node MyTAP  #If you renamed your TAP interface or have more than one TAP interface then remove the # at the beginning and change "MyTAP" to its name

ca "ca.crt"  

cert "server.crt"

key "server.key"  # This file should be kept secret

dh "dh1024.pem"

server 192.168.10.0 255.255.255.128  # This assigns the virtual IP address and subent to the server's OpenVPN connection.  Make sure the Routing Table entry matches this.

ifconfig-pool-persist ipp.txt

push "redirect-gateway def1"  # This will force the clients to use the home network's internet connection

keepalive 10 120

cipher BF-CBC        # Blowfish (default) encryption

comp-lzo

max-clients 100 # Assign the maximum number of clients here

persist-key

persist-tun

status openvpn-status.log

verb 1 # This sets how detailed the log file will be.  0 causes problems and higher numbers can give you more detail for troubleshooting

私の client1 ファイルは次のとおりです。

client

dev tap

#dev-node MyTAP  #If you renamed your TAP interface or have more than one TAP interface then remove the # at the beginning and change "MyTAP" to its name

proto udp

remote my-dyna-dns.com 1194  #You will need to enter you dyndns account or static IP address here. The number following it is the port you set in the server's config

route 192.168.1.0 255.255.255.0 vpn_gateway 3  #This it the IP address scheme and subnet of your normal network your server is on.  Your router would usually be 192.168.1.1

resolv-retry infinite

nobind

persist-key

persist-tun

ca "ca.crt"

cert "client1.crt" # Change the next two lines to match the files in the keys directory.  This should be be different for each client.

key "client1.key"  # This file should be kept secret

ns-cert-type server

cipher BF-CBC        # Blowfish (default) encrytion

comp-lzo

verb 1

前もって感謝します!

答え1

サーバーが「redirect-gateway」オプションをクライアントにプッシュしているように見えます。これにより、クライアントは VPN をデフォルト ゲートウェイとして使用します。サーバー構成の「push "redirect-gateway def1"」行をコメント アウトします。

うわー、編集内容を確認しました。クライアントは、接続先の LAN と同じ IP アドレスを使用することはできません。これではうまくいきません。どちらかの側で異なる IP アドレスを使用する必要があります。

編集:

Windows Server 2003 マシンでルーティングが適切に構成されていると仮定すると (参照した www.itsatechworld.com のページに従って)、VPN 経由で LAN IP によって Windows Server 2003 マシンと Windows Vista マシンに PING できるはずです。実行できる場合、Windows Server 2003 マシンと DD-WRT マシンのルーティングは正しく実行されているため、続行できます。実行できない場合は、(1) OpenVPN トンネルからの PING トラフィックが宛先に到達しない理由、または (b) 宛先ホストからの PING 応答が返ってこない理由を追跡する必要があります。Windows Vista マシンに Wireshark などをインストールして、PING 要求が宛先に到達しているかどうかを確認することになるかもしれません (PING では要求が受信されているかどうかはわかりませんが、応答が失われているだけです)。

VPN を介した IP 接続が正常に機能するようになったら、Windows Server 2003 VPN サーバー コンピュータに DNS および WINS サービスをインストールし、サーバー コンピュータと Windows Vista ホーム コンピュータを WINS および DNS 用にそのマシンを使用するように構成することをお勧めします。ISP の DNS を Windows Server 2003 マシンに「転送」として追加するか、インターネット名を解決できるように構成された標準の「ルート ヒント」をそのままにしておくことができます。OpenVPN サーバー構成で、'push "dhcp-option DNS 192.168.1.1" 行の直後に次の行を追加します。

push "dhcp-option WINS 192.168.1.1"

これにより、リモート クライアントは Windows Server 2003 マシン上の WINS サーバーと DNS サーバーにアクセスするようになり、DNS と NetBIOS の両方の名前解決が可能になります。

自宅で Active Directory ドメインを使用していない場合は、Windows Server 2003 および Windows Vista マシンが登録するための標準の前方参照ゾーンを Windows Server 2003 DNS サーバー上にセットアップすることをお勧めします。このゾーンを作成するときに、クライアントにレコードを動的に更新する権限 (ただし、安全ではありません) を付与する必要があります。自宅の DHCP スコープにオプション "DNS ドメイン名" (オプション 15) を追加して、自宅のクライアント コンピューターが適切な DNS ドメイン名サフィックスを取得できるようにする必要があります。(DNS に DD-WRT を使用している場合、その方法については説明できません。私は OpenWRT のユーザーで、WRT54G をコマンド ラインから管理しています。いずれにしても、Windows Server 2003 マシンから DHCP を実行することをお勧めしますが、私はその DHCP サーバーの方が好きです。)

Active Directory ドメインを使用している場合は、DNS に既に前方参照ゾーンが作成されています。ただし、リモート VPN クライアントはドメインのメンバーではないため、Windows Server が DNS ゾーンに設定する標準のセキュリティ設定では DNS に登録できません (少なくとも、DCPROMO 中にゾーンを作成した場合)。これは安全ではありませんが、登録を許可する場合は、(a - 安全性が低い) ゾーンのアクセス許可を変更して安全でない登録を許可するか、(b - 安全性は高いが依然として安全ではない) クライアント用の A レコードと PTR レコードを作成し、各レコードのアクセス許可を変更して誰でも更新できるようにします。

これはホーム ネットワークに関することのようですが、IP ルーティング、VPN、名前解決など、多くのことを学ぶ良い機会です。学習の機会ではなく、「ただ動作する」ことを求めているのかもしれません。その場合、私はただお詫びして、これらのものはまだ「すぐに使える」ものではないと申し上げるしかありません。

答え2

Evan のコメントは正しいですが、少なくともコンテンツ フィルタリングを行う場合は、「redire-gateway」を有効にして、インターネットへのすべてのトラフィックを受け入れるようにサーバーを構成することを検討することをお勧めします。そうしないと、ラップトップは (さらに) ネットワークに対する脆弱性になります。

スプリットトンネルVPNは一般的に不安ななぜなら、本質的には、ラップトップを侵害する攻撃者に、ネットワークの重要な中心部への短絡を提供するからです。

答え3

Windows OpenVPN サーバーにルーティング サービスがインストールされていることを確認する必要があります。

前にも述べましたが、LAN ネットワーク アドレスを 192.168.1.X 以外のものに変更することを強くお勧めします。Linksys などのほとんどの製品は、そのネットワークが標準装備されているため、リモート ホストはネットワーク内のホストにアクセスできません。VPN ネットワークが 192.168.10.X に設定されているようですが、これは問題ありません。次に、LAN を 192.168.5.X などに設定してください。これでよりよく動作するはずです。信じてください。

リダイレクト ゲートウェイをオンにすることもできますが、帯域幅を消費するためお勧めしません。ネットワーク上に IDS/IPS デバイスなどがある場合は、それが役立つ場合があります。

私は動詞を 1 より高く設定します... 何が起こるかを見るために 4 のままにします。

お役に立てれば幸いです!

答え4

墓穴を掘るようなことを言って申し訳ありませんが、Ubuntu OpenVPN サーバーに接続されている Windows マシンのインターネット アクセスを復元するために 2 時間格闘した後、私にとってはうまくいく方法を見つけました (他の人にもうまくいくことを願っています)。

[Windows 8.1 x64 および Ubuntu Server 20.04]

  1. Windowsマシンでは、まず に移動しNetwork and Sharing Center、メインのNIC(私の場合はWiFi USB)を右クリックして、Properties-> Internet Protocol Version 4-> Properties-> Advanced-> チェックを外し、 10などの小さい数値にAutomatic metric設定します-> -> ->Interface metricOKOKOK
  2. 水を飲んでLinuxボックスにジャンプ -> ターミナルに入力nano /etc/openvpn/server/server.conf-> この行を追加(1000または同様の数字) -> Ypush "route-metric 1000"でファイルを保存-> OpenVPNサーバーを再起動すると、おそらくWindowsマシンで再びインターネットにアクセスできるようになります。Ctrl+Xsystemctl restart [email protected]

現在、完全に機能する 2 つの異なるセットアップがあります。

インターネットにアクセスでき、OpenVPN 経由で Linux マシンに接続された Windows マシン インターネットにアクセスでき、OpenVPN 経由で Vbox を搭載した Linux マシンに接続された Windows マシン

関連情報