OpenVPN - keine Verbindung zu Clients in einem neuen Subnetz möglich

tag-icon tag-icon networking vpn openvpn subnet
OpenVPN - keine Verbindung zu Clients in einem neuen Subnetz möglich

Ich betreibe einen Server mit vielen Clients, die über OpenVPN verbunden sind, und die Anzahl der Clients stieg langsam an, bis sie vor einigen Tagen über 255 lag. Als ich das VPN ursprünglich einrichtete, hatte ich dies im Hinterkopf und stellte die Subnetzmaske auf „255.255.0.0“ ein. Trotzdem stimmt etwas nicht, da ich eine Verbindung zu alten Clients mit 10.8.0.xIP-Adressen herstellen kann, aber nicht zu neuen Clients mit 10.8.1.xIP-Adressen.

Übersehe ich etwas in meinen Konfigurationen?

  • /etc/openvpn/server.conf: 
    port 1194
proto udp
dev tun

ca ca.crt
crl-verify crl.pem
cert server.crt
key server.key
dh dh.pem

auth SHA512
tls-auth ta.key 0
cipher AES-256-CBC

topology subnet
server 10.8.0.0 255.255.0.0
ifconfig-pool-persist ipp.txt

push "bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "dhcp-option DNS 10.8.0.1"

keepalive 10 120
sndbuf 0
rcvbuf 0
persist-key
persist-tun

verb 3

log /var/log/openvpn.log
status openvpn-status.log

# This automatically assigns domain names to clients, based on their names:
  # NOTE: You have to comment out user and grop lines above for this to even work
    #user nobody
    #group nogroup

    # default is 1 which doesn't allow user-defined scripts
    script-security 2
    learn-address /home/dvida/openvpn_scripts/learn_address.sh
  • /etc/openvpn/client-common.txt: 
    client
dev tun
proto udp
remote blah.blah.com 1194

sndbuf 0
rcvbuf 0
mssfix 1160

resolv-retry infinite
persist-key
persist-tun
nobind

remote-cert-tls server
tls-version-min 1.0
key-direction 1

auth SHA512
cipher AES-256-CBC

verb 3
  • ifconfigmeldet, dass diese VPN-Schnittstelle keine IP-Konflikte mit anderen Schnittstellen hat: 
    tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.1  P-t-P:10.8.0.1  Mask:255.255.0.0
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:71105670 errors:0 dropped:0 overruns:0 frame:0
          TX packets:70755978 errors:0 dropped:391 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:42092973453 (39.2 GiB)  TX bytes:42070922921 (39.1 GiB)

Antwort1

Es stellte sich heraus, dass es nicht mit OpenVPN zusammenhing und mit dieser SNAT-Regel zusammenhing:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to 129.100.40.167
  • Ich habe die Live- iptablesRegel aktualisiert und die in korrigiert, /etc/rc.localso dass die Netzmaske /16statt/24

verwandte Informationen