So greifen Sie auf das OpenVPN-Client-Subnetz zu

tag-icon tag-icon linux centos iptables openvpn
So greifen Sie auf das OpenVPN-Client-Subnetz zu

Ich richte ein Site-to-Site OpenVPN ein,

Zur Zeit:

Benutzer auf der Clientseite können auf die Subnetze auf der Serverseite zugreifen.

Der Zugriff auf den VPN-Client-Rechner [seine IP im Client-Subnetz] funktioniert einwandfrei. Aber ich kann nicht auf andere Rechner im selben Client-Subnetz zugreifen.

Ich habe diese Option in der Serverkonfiguration verwendet: Da es sich um private Subnetze handelt, werde ich sie so hinzufügen, wie sie sind:

route 172.20.56.0 255.255.255.0
client-config-dir ccd

Und es wurde eine Datei mit dem gleichen Namen wie der Client erstellt, die den folgenden Inhalt hat:

iroute 172.20.56.0 255.255.255.0

Der Client-Rechner hat diese lokale IP 172.20.56.1, auf die ich von der Serverseite aus zugreifen kann.

Das Problem besteht darin, dass ich auf der Clientseite auf keinen anderen Computer zugreifen kann.

Irgendwelche Vorschläge....

Antwort1

Tatsächlich scheint das Problem eine Art OpenVPN-Fehler zu sein. Es scheint, dass die Verwendung topology net30(der Standardeinstellung, obwohl diese Topologie mittlerweile als veraltet gilt) das Routing von OpenVPN irgendwie unterbricht. Der erste Schritt besteht darin, topology subnetIhrer Serverkonfigurationsdatei Folgendes hinzuzufügen. Außerdem müssen Sie die IP des VPN-Servers als Gateway der Route hinzufügen, da es einen ANDEREN OpenVPN-Fehler gibt, der die Route in ihrer jetzigen Form zum Absturz bringt. Also

route 172.20.56.0 255.255.255.0

Sollte aussehen, wie

route 172.20.56.0 255.255.255.0 10.10.8.1

wobei 10.10.8.1 die IP des Servers auf der tun0Schnittstelle ist.

Wenn Sie es richtig machen, müssen Sie überhaupt keine Art von Natting verwenden.

Antwort2

Die routeAnweisung in Ihrer Serverkonfiguration und -anweisung sollte es Ihren Paketen ermöglichen, zur Remote-Site zu gelangen. Die Remote-Site benötigt jedoch auch Routen, die die Netzwerke kennen, um über das VPN zurückgeleitet zu werden. Sie müssen entweder einige Routenanweisungen in der Clientkonfiguration oder einige Anweisungen in Ihrer CCD-Datei iroutehinzufügen .push "route ..."

In jedem Fall, wie bei der Fehlerbehebung bei einem Routing-Problem, müssen SieRoutenverfolgungund tcpdump/Wireshark.

verwandte Informationen