Ich habe ein einfaches Heimnetzwerk (10.1.1.0/24), in dem einige Windows 10-Computer mit einem WLAN-Router verbunden sind und auf einem dieser Computer ein OpenVPN-Server läuft (z. B. PC1).
Remote-Clients können PC1 (10.1.1.8) anpingen, aber kein anderes Gerät, obwohl sich der VPN-Server und andere Geräte im selben Subnetz befinden. Ziemlich ähnlich wieDasSzenario. Ich habe versucht, 10.1.1.0 mask 255.255.255.0 10.1.1.1der Routentabelle etwas hinzuzufügen und es IPEnableRouterin der Registrierung zu aktivieren, aber ohne Erfolg.
Ich habe keine Erfahrung mit VPN-Tricks und habe daher das Gefühl, dass mir hier etwas entgeht. Irgendwelche Ideen, Leute? (Außer Bridging).
- server.ovpn
port 1194
proto udp
dev tun
****ca/cert/key/dh/tls-auth omitted****
server 10.8.0.0 255.255.255.0
push "route 10.1.1.0 255.255.255.0"
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
- client.ovpn
dev tun
proto udp
remote myddns.com 443
resolv-retry infinite
nobind
comp-lzo
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
****ca/cert/key/tls-auth omitted****
- Routentabelle von PC1
Interface List
21...00 ff a0 50 2d 1b ......TAP-Windows Adapter V9
7...ea 4e 06 6b 4f 39 ......Microsoft Wi-Fi Direct Virtual Adapter #13
58...e8 4e 06 6b 4f 39 ......Microsoft Wi-Fi Direct Virtual Adapter #14
14...e8 4e 06 6b 4f 39 ......Realtek RTL8192EU Wireless LAN 802.11n USB 2.0 Network Adapter
1...........................Software Loopback Interface 1
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.1.1.1 10.1.1.8 45
10.1.1.0 255.255.255.0 On-link 10.1.1.8 301
10.1.1.8 255.255.255.255 On-link 10.1.1.8 301
10.1.1.255 255.255.255.255 On-link 10.1.1.8 301
10.8.0.0 255.255.255.0 10.8.0.2 10.8.0.1 25
10.8.0.0 255.255.255.252 On-link 10.8.0.1 281
10.8.0.1 255.255.255.255 On-link 10.8.0.1 281
10.8.0.3 255.255.255.255 On-link 10.8.0.1 281
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.8.0.1 281
224.0.0.0 240.0.0.0 On-link 10.1.1.8 301
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.8.0.1 281
255.255.255.255 255.255.255.255 On-link 10.1.1.8 301
===========================================================================
- Routentabelle eines Clients
Interface List
2...f8 a9 63 e0 26 bc ......Realtek PCIe GbE Family Controller
20...00 ff d5 aa e2 9e ......TAP-Windows Adapter V9
10...1e 0e c4 42 55 73 ......Microsoft Wi-Fi Direct Virtual Adapter
4...2e 0e c4 42 55 73 ......Microsoft Wi-Fi Direct Virtual Adapter #2
7...ec 0e c4 42 55 73 ......Qualcomm Atheros AR956x Wireless Network Adapter
1...........................Software Loopback Interface 1
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.43.129 192.168.43.150 55
10.1.1.0 255.255.255.0 10.8.0.5 10.8.0.6 25
10.8.0.1 255.255.255.255 10.8.0.5 10.8.0.6 25
10.8.0.4 255.255.255.252 On-link 10.8.0.6 281
10.8.0.6 255.255.255.255 On-link 10.8.0.6 281
10.8.0.7 255.255.255.255 On-link 10.8.0.6 281
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.43.0 255.255.255.0 On-link 192.168.43.150 311
192.168.43.150 255.255.255.255 On-link 192.168.43.150 311
192.168.43.255 255.255.255.255 On-link 192.168.43.150 311
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.43.150 311
224.0.0.0 240.0.0.0 On-link 10.8.0.6 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.43.150 311
255.255.255.255 255.255.255.255 On-link 10.8.0.6 281
===========================================================================
Ein bisschen Hilfe, bitte!!
Antwort1
Wie man Artikel incommunity.openvpn.netZustände:
Als nächstes müssen Sie eine Route auf dem serverseitigen LAN-Gateway einrichten, um das VPN-Client-Subnetz (10.8.0.0/24) zum OpenVPN-Server zu routen (dies ist nur notwendig, wenn derDer OpenVPN-Server und das LAN-Gateway sind unterschiedliche Maschinen).
Ich glaube, das ist die Lösung, aber leider kann ich es nicht testen, da mein LAN-Gateway (WLAN-Router) nicht über die Funktion verfügt, statische Routen auf der LAN-Seite zu aktivieren.
Ich schätze, ich muss mir einen besseren Router kaufen, vorzugsweise einen mit integriertem OpenVPN. ;)
Antwort2
Ihr Problem ist, dass in der Serverkonfiguration die richtigen Optionen für das LAN-Zugriffsrouting fehlen. Aus diesem Grund empfehle ich Ihnen, sich die Zeit zu nehmen, die
- OpenVPNWie man(~15 Minuten)
OpenVPNMan Page(~45 Minuten)
openvpn-server.conf# Pushed Routes # #--------------------------------------------------- push 'dhcp-option DNS 10.1.1.1' push 'dhcp-option WINS 10.1.1.1' client-to-client '1' # Each OS deals with parameters differently, so the 1 may need to be specified- Wo
10.1.1.1/24befindet sich der DNS- und DHCP-Server hinter dem VPN, auf das Sie zugreifen möchten?
- Wo
- Darüber hinaus
AES-256-CBCist es nicht erforderlich, daAES-128-CBCes derzeit nicht geknackt werden kann und dies auch mehrere Jahre lang so bleiben wird. Sie verlangsamen damit lediglich den Durchsatz enorm, ohne dass dadurch die Sicherheit verbessert wird.rekeyEine bessere Option wäre, wenn Sie die Zeit- und Größenwerte ändern würden.
Allgemeine Informationen:
Viele verwenden einfach die allgemeinen Konfigurationen aus dem Internet. Den größten Nutzen und die beste Sicherheit bietet jedoch die Feinabstimmung der Konfigurationen.
Beispiel für eine optimierte Konfiguration
# ##::[[--- OpenVPN Server Config ---]]::## #=========================================================== ##----- VPN Admin Server -----## #=========================================================== # Protocol # #----------------------------------------------------------- dev 'tun0' topology 'subnet' proto 'udp' port '61194' # Routes # #----------------------------------------------------------- server '10.32.2.0 255.255.255.248' ifconfig '10.32.2.1 255.255.255.248' # Client Config # #----------------------------------------------------------- ccd-exclusive '1' ifconfig-pool-persist '/etc/openvpn/clients/vpn/ipp.txt' client-config-dir '/etc/openvpn/clients/vpn' # Pushed Routes # #----------------------------------------------------------- push 'route 192.168.2.0 255.255.255.240' push 'dhcp-option DNS 192.168.2.1' push 'dhcp-option WINS 192.168.2.1' push 'dhcp-option DNS 208.67.222.222' push 'dhcp-option DNS 208.67.220.220' push 'dhcp-option NTP 129.6.15.30' # Encryption # #----------------------------------------------------------- # Diffie-Hellmann: dh '/etc/ssl/openvpn/dh2048.pem' # PKCS12: pkcs12 '/etc/ssl/openvpn/vpn-server.p12' # SSL: cipher 'AES-128-CBC' auth 'SHA512' tls-crypt '/etc/ssl/openvpn/tls-crypt.psk' # TLS: tls-version-min '1.2' tls-cipher 'TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256:TLS-ECDH-RSA-WITH-AES-128-GCM-SHA256:!aNULL:!eNULL:!LOW:!3DES:!MD5:!SHA:!EXP:!PSK:!SRP:!DSS:!RC4:!kRSA' # Logging # #----------------------------------------------------------- log '/tmp/vpn-server.log' status '/tmp/vpn-server-status.log' verb '4' # Connection Options # #----------------------------------------------------------- keepalive '10 120' compress 'lz4' # Connection Reliability # #----------------------------------------------------------- client-to-client '1' persist-key '1' persist-tun '1' # Connection Speed # #----------------------------------------------------------- sndbuf '393216' rcvbuf '393216' fragment '0' mssfix '0' tun-mtu '48000' # Pushed Buffers # #----------------------------------------------------------- push 'sndbuf 393216' push 'rcvbuf 393216' # Permissions # #----------------------------------------------------------- user 'nobody' group 'nogroup'
Antwort3
Vielleicht können Sie das folgende PowerShell-Cmdlet (nicht mit der Eingabeaufforderung verwechseln) ausprobieren:
New-NetNat -Name "VpnMasq" -InternalIPInterfaceAddressPrefix "10.8.0.0/24"
was anscheinend NAT (Überlastung) für Pakete mit dem angegebenen Quellpräfix aktivieren würde.
Es ist möglicherweise wie Hyper-V nur unter Windows 10 Pro/Enterprise verfügbar, wo es hauptsächlich eingesetzt wird.
Wenn das nicht hilft, einfach:
Remove-NetNat -Name "VpnMasq"
Aber vorher sollten Sie sicherstellen, dass Sie vom Server aus über den Tunnel die Clients anpingen (oder vielmehr erreichen) können. Ich weiß nicht, wie net30das funktioniert (die Standardtopologie von OpenVPN), und die subnetTopologie ist möglicherweise einfacher und passt ohnehin besser zu Ihrem Anwendungsfall. Fügen Sie also die Zeile hinzu:
topology subnet
vor der serverZeile. Dann sollte die Client-IP vom POV beider Seiten gleich sein.
Beachten Sie, dass bei der subnetverwendeten Topologie die Möglichkeit der gegenseitigen Erreichbarkeit der Clients (nicht jedoch der gegenseitigen LANs) davon abhängt, ob der Server die Weiterleitung von Paketen aus dem Tunnel zurück an den Tunnel zulässt, wenn diese Option client-to-clientin der Serverkonfiguration nicht verwendet wird.