Ich habe OpenVPN zwischen meiner Arbeit und meinem Zuhause eingerichtet. Es verwendet Zertifikate (keine Pre-Shared Keys), ist im Tun-Modus und funktioniert hervorragend. Die Netzwerke sehen so aus:
Ich habe die richtigen Routen eingerichtet, um Datenverkehr hin und her zu senden, und der Client hat keine Probleme, mit 192.168.80.1 (der Tunnel-IP des Servers) oder irgendetwas im Netzwerk 192.168.5.0/24 (Arbeits-)Netzwerk zu kommunizieren, was großartig ist.
Mein einziges Problem besteht darin, dass der Client nicht mit 192.168.5.10 (der IP des Servers im Arbeitsnetzwerk) kommunizieren oder diese Adresse anpingen kann.
iptables blockiert nichts. Gibt es eine OpenVPN-Sicherheitseinstellung oder eine Linux-Einstellung, die ich übersehen habe?
Antwort1
Die Antwort ist wahrscheinlich, dass Ping diefalschQuell-IP für das ICMP-Paket. Standardmäßig wird die IP der ausgehenden Schnittstelle des Pakets gewählt. In Ihrem Fall ist das 192.168.80.1 bei der Arbeit und 192.168.80.10 zu Hause.
Versuchen Sie stattdessen Folgendes:
ping -I eth0 <address>
Antwort2
Endlich habe ich mein Problem herausgefunden. Es hatte nichts mit OpenVPN selbst zu tun und konnte mit den oben genannten Informationen nicht gelöst werden. Falls jemand anderes darauf stößt, lautete es letztendlich so:
Mein OpenVPN-Server ist mit zwei verschiedenen Netzwerken verbunden und betreibt zwei verschiedene OpenVPN-Instanzen – eine lauscht auf einer Schnittstelle und die andere auf der anderen Schnittstelle. Eine der Schnittstellen ist in meinem Diagramm (192.168.5.10) zu sehen, die andere nicht – nennen wir sie 192.168.4.10.
Damit dies funktioniert, habe ich Routingregeln auf Basis von Richtlinien, die besagen: „Wenn Pakete eine Quell-IP von 192.168.5.10 haben, werden sie an Router 192.168.5.1 gesendet“ und „Wenn Pakete eine Quell-IP von 192.168.4.10 haben, werden sie an Router 192.168.4.1 gesendet“. Das bedeutet, dass OpenVPN-Verbindungen beim Aufbau ordnungsgemäß funktionieren.
Das Problem ist, dass, wenn ich 192.168.5.10 aus dem Tunnel heraus anpinge, die Rückpakete dieselbe PBR-Regel treffen und an 192.168.5.1 gesendet werden, anstatt durch den Tunnel zurückgeleitet zu werden. Eine Änderung meiner PBR-Regeln hat dieses Problem behoben.