Ich habe einen OpenVPN-Server, der unter Ubuntu 12.04 in einem AWS VPC mit 3 Subnetzen läuft. Ich kann meinen Client verbinden und den Server (10.8.0.1) problemlos anpingen, kann jedoch von meinem Client aus keine andere Maschine im VPC erreichen.
Einige Hintergrundinformationen:
Ich kann den Server von selbst anpingen.
Ich kann den Server vom Client aus anpingen.
Ich kann den Client vom Server aus NICHT anpingen.
Ich kann vom Server aus Maschinen im VPC anpingen.
Ich kann von meinem Client aus KEINE Maschinen im VPC anpingen (außer Server).
Ich habe die IPV4-Weiterleitung auf dem Server aktiviert.
Ich habe die Quell-/Zielprüfung deaktiviert.
Ich habe meine Routentabellen in VPC eingerichtet, um 10.8.0.0/16-Verkehr an meine OpenVPN-Instanz zu leiten.
VPC-Subnetze:
10.0.0.0/24
10.0.1.0/24
10.0.2.0/24
Der OpenVPN-Server läuft auf 10.0.2.0/24 und ich kann von ihm aus jeden Server in den anderen Subnetzen anpingen. Es ist der Client, der nichts in den Subnetzen erreichen kann.
Server-Konf.:
port 80
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
dh dh1024.pem
server 10.8.0.0 255.255.0.0
ifconfig-pool-persist ipp.txt
push "route 10.0.0.0 255.0.0.0"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
tls-auth ta.key 0 # This file is secret
comp-lzo
max-clients 100
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 6
mute 20
Client-Konfiguration:
client
dev tun
proto tcp
remote xx.xx.xxx.xxx 80
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert olo-imac.crt
key olo-imac.key
tls-auth ta.key 1
comp-lzo
verb 3
Server-Routen:
Destination Gateway Genmask Flags Metric Ref Use Iface
default 10.0.2.1 0.0.0.0 UG 100 0 0 eth0
10.0.2.0 * 255.255.255.0 U 0 0 0 eth0
10.8.0.0 10.8.0.2 255.255.0.0 UG 0 0 0 tun0
10.8.0.2 * 255.255.255.255 UH 0 0 0 tun0
Client-Routen:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.36.1 192.168.36.120 10
10.0.0.0 255.0.0.0 10.8.0.5 10.8.0.6 30
10.8.0.1 255.255.255.255 10.8.0.5 10.8.0.6 30
10.8.0.4 255.255.255.252 On-link 10.8.0.6 286
10.8.0.6 255.255.255.255 On-link 10.8.0.6 286
10.8.0.7 255.255.255.255 On-link 10.8.0.6 286
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.36.0 255.255.255.0 On-link 192.168.36.120 266
192.168.36.120 255.255.255.255 On-link 192.168.36.120 266
192.168.36.255 255.255.255.255 On-link 192.168.36.120 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.36.120 266
224.0.0.0 240.0.0.0 On-link 10.8.0.6 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.36.120 266
255.255.255.255 255.255.255.255 On-link 10.8.0.6 286
Antwort1
Als Antwort auf die obigen Kommentare von CIGuy.
Führen Sie tcpdump auf Ihrem OpenVPN-Server aus. Sie sollten sehen können, ob die Pakete tatsächlich vom Server an die anderen Hosts im Remote-Netzwerk weitergeleitet werden.
Etwas wie:
tcpdump -i any -v host <ip>
wo ist die IP, die Sie pingen möchten. Sie können die Paketerfassung auch in eine Datei schreiben, um sie später in Wireshark zu analysieren, indem Sie hinzufügen
-s0 -w somefile.pcap
Beachten Sie, dass einige Versionen von tcpdump sich selbst in einen Chroot-Zustand versetzen. Wenn also somefile.pcap nicht dort angezeigt wird, wo Sie es erwarten, überprüfen Sie /var/lib/tcpdump/