Ich habe OpenVPN auf einem Debian-Gateway-Server eingerichtet. Das LAN des OpenVPN-Server-Gateway-Routers ist 172.16.20.0/24. Die Gateway-IP ist 172.16.20.254. Unter der Datei openvpn.conf:
port 1194 proto udp dev tun ca ca.crt cert ccrr.crt key ccrr.key dh dh1024.pem server 172.16.21.0 255.255.255.0 ifconfig-pool-persist ipp.txt keepalive 10 120 comp-lzo user nobody group users persist-key persist-tun status openvpn-status.log verb 4 client-to-client route 192.168.55.0 255.255.255.0 push "route 172.16.20.0 255.255.255.0" push "route 172.16.200.0 255.255.255.0"
Das clientseitige LAN-Netzwerk ist 192.168.55.0/24 und die Gateway-IP ist 192.168.55.254. LAN-VPN ist 172.16.21.0/24. Nachdem Sie erfolgreich eine VPN-Verbindung hergestellt haben, hat der VPN-Server die folgenden IPs: 172.16.21.1 und 172.16.21.22 des Clients. Der Client pingt den Server und alle mit ihm verbundenen LANs an, einschließlich des ADSL-Routers mit der IP 172.16.200.254. Der OpenVPN-Ping-Server erreicht erfolgreich die IP 172.16.21.22, kann aber die IP-Adresse des Client-LANs, also 192.168.55.3, oder das ADSL-Gateway des LAN-Clients, also 192.168.55.254, nicht anpingen.
Dies sind die serverseitigen Routen:
root@ccrr:/# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 172.16.200.254 0.0.0.0 UG 0 0 0 eth0 172.16.20.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 172.16.21.0 172.16.21.2 255.255.255.0 UG 0 0 0 tun0 172.16.21.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 172.16.200.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2 192.168.55.0 172.16.21.2 255.255.255.0 UG 0 0 0 tun0
Ich habe die Firewall-Konfiguration mit folgenden Regeln eingerichtet:
iptables -A INPUT -i tun+ -j ACCEPT iptables -A OUTPUT -o tun+ -j ACCEPT
Ich habe die nachstehende Anleitung befolgt, um dem Server mitzuteilen, welcher Route er folgen soll, um den LAN-Client zu finden. Einbinden mehrerer Rechner auf der Clientseite bei Verwendung eines gerouteten VPN (dev tun).
Ich habe das gleiche Problem, wenn ich versuche, als Client einen anderen OpenVPN-Debian-Gateway-Router zu installieren. Alles funktioniert: Der Client verbindet sich mit dem Server und kann sowohl den Gateway-Server als auch beide mit seinem LAN verbundenen Geräte anpingen, aber nicht umgekehrt. Das heißt, wenn der VPN-Gateway-Server oder die mit seinem LAN verbundenen Geräte versuchen, den Client anzupingen, erhalten sie keine Antworten.
Ich habe versucht herauszufinden, was mit tcpdump mit ICMP-Paketen passiert, wenn der Ping-Befehl vom Server an den Client gesendet wird. Das ist das Ergebnis:
18:12:01.335462 ip: 172.16.21.1 > 192.168.55.3: ICMP echo request, id 5855, seq 1, length 64 18:12:02.334983 ip: 172.16.21.1 > 192.168.55.3: ICMP echo request, id 5855, seq 2, length 64
Bitte helfen Sie mir zu verstehen, warum das passiert und wie ich dieses Problem lösen kann. Entschuldigen Sie mein schlechtes Englisch. Grazie.