2 つのオフィス間でサイト間 VPN 接続を設定しようとしています。使用している VPN サーバーは 2 つの「Edgerouter lite」で、トンネリング ソフトウェアは OpenVPN です。
現時点での設定は次のようになります。
-
R1:
LAN subnet: 192.168.2.0/24
LAN port: 192.168.2.1
WAN port: X.X.X.X
-
R2:
LAN subnet: 10.10.0.0/24
LAN port: 10.10.0.34
WAN port: Y.Y.Y.Y
-
R1 Open VPN config:
openvpn vtun0 {
local-address 192.168.2.1 {
}
local-port 1194
mode site-to-site
openvpn-option --comp-lzo
openvpn-option --float
openvpn-option "--ping 10"
openvpn-option "--ping-restart 20"
openvpn-option --ping-timer-rem
openvpn-option --persist-tun
openvpn-option --persist-key
openvpn-option "--user nobody"
openvpn-option "--group nogroup"
remote-address 10.10.0.39
remote-host X.X.X.X
remote-port 1194
shared-secret-key-file /config/auth/secret
}
-
R2 Open VPN config:
openvpn vtun0 {
local-address 10.10.0.39 {
}
local-port 1194
mode site-to-site
openvpn-option --comp-lzo
openvpn-option --float
openvpn-option "--ping 10"
openvpn-option "--ping-restart 20"
openvpn-option --ping-timer-rem
openvpn-option --persist-tun
openvpn-option --persist-key
openvpn-option "--user nobody"
openvpn-option "--group nogroup"
remote-address 192.168.2.1
remote-host Y.Y.Y.Y
remote-port 1194
shared-secret-key-file /config/auth/secret
}
-
show openvpn status site-to-site on R1
OpenVPN client status on vtun0 []
Remote CN Remote IP Tunnel IP TX byte RX byte Connected Since
--------------- --------------- --------------- ------- ------- ------------------------
None (PSK) Y.Y.Y.Y 10.10.0.39 51.6K 51.0K N/A
-
show openvpn status site-to-site on R2
OpenVPN client status on vtun0 []
Remote CN Remote IP Tunnel IP TX byte RX byte Connected Since
--------------- --------------- --------------- ------- ------- ------------------------
None (PSK) X.X.X.X 192.168.2.1 85.3K 84.5K N/A
-
Routing table R1:
IP Next hop INT TYPE
0.0.0.0/0 X.X.X.XGW eth1 static
127.0.0.0/8 lo connected
192.168.2.0/24 eth0 connected
X.X.X.X/X eth1 connected
10.10.0.0/24 vtun0 static
10.10.0.39/32 vtun0 connected
-
Routing table R2:
IP Next hop INT TYPE
0.0.0.0/0 Y.Y.Y.YGW eth0 static
127.0.0.0/8 lo connected
10.10.0.0/24 eth1 connected
Y.Y.Y.Y/Y eth0 connected
192.168.2.0/24 vtun0 static
192.168.2.1/32 vtun0 connected
192.168.2.0 LAN (R1 上) 上のホストから 10.10.0.34 (R2 上の LAN ポート IP) に ping できますが、10.10.0.4 (R2 LAN 上のホスト) に ping できません。
設定に何か問題がありますか?
答え1
これは通常、ルーティングに関係しています。1 つの OpenVPN エンドポイントから別のエンドポイントに移動できる場合は、正常に動作する設定にかなり近いはずですが、次の点に注意してください。
特定のエンドポイントを超えてアクセスする必要がある LAN がある場合は、IP 転送が有効になっていることを確認してください。
接続のリモート側のクライアントは、接続の反対側に戻る方法を知りません。これは、トンネルを通過する両方向で当てはまります。
これを修正するには、選択したでirouteおよびステートメントを使用します。 2 つのネットワークとを結合する場合、サーバー側 ( とします) では、次のように実行できます。pushopenvpn.confx.x.x.xy.y.y.yx.x.x.x
push "route net mask"または、push "route x.x.x.x 255.255.255.0"たとえば。これにより、リモート クライアントはy.y.y.y正しいルートをx.x.x.xトンネル経由で返されます。サーバー側 (
x.x.x.x) が OpenVPN ゲートウェイの向こうにあるステーションを で確認する必要がある場合はy.y.y.y、 ステートメントも使用する必要がありますiroute。これを実現するには、サーバー側に を配置しますiroute y.y.y.y 255.255.255.0。基本的に、これにより OpenVPN は特定のサブネットを担当するクライアントを認識できるようになります。irouteステートメントは (クライアント設定ディレクトリだと思います) に配置する必要がありますccd。これは通常、 という名前のファイル内にあります/etc/openvpn/ccd/<client name>。
これで、きっとうまくいくはずです。また、優れたOpenVPNのドキュメントもご覧ください。LANのこの部分のようにうまくいくことを祈っています!