Estoy buscando conectar un cliente VPN a un servidor VPN y luego que ese cliente también ofrezca un servidor VPN. Simplemente no puedo obtener la ruta correcta.
Intentaré explicar el objetivo final.
dibujo muy rápido de la red estoy pensando
Me gustaría que todos los clientes del lado Servidor/Cliente pudieran comunicarse con todos los sistemas del lado izquierdo, y también que la ruta regresara.
Lo he estado haciendo durante horas y simplemente no puedo obtener la ruta correcta.
alguna ayuda por favor?
Respuesta1
(Suponiendo que topology subnet
se utilicen para todos los servidores y clientes. La respuesta puede aplicarse o no al método tap).
Para enrutar desde 10.8.0.0/24
a 10.10.0.0/24
, solo necesita:
- permitir el reenvío de IP entre las dos interfaces tun en
10.8.0.1/24
- impulsar la ruta
10.10.0.0/24
a sus clientes para asegurarse de que el tráfico se enrute hacia el túnel.
Es un poco más complicado hacer la ruta desde 10.10.0.0/24
hacia 10.8.0.0/24
. Básicamente, lo que desea de este lado es enrutar a través de un cliente en lugar del servidor. Se podría pensar que route-gateway
sería suficiente configurar el "cliente de puerta de enlace" deseado como el de los otros clientes. Pero en realidad ni siquiera importa.
Para convertir un determinado cliente en la puerta de entrada de una determinada ruta ( 10.8.0.0/24
en este caso), lo que hay que hacer es:
- agregue un archivo "CCD" (consulte
--client-config-dir
el manual de openvpn para obtener más detalles), con su nombre común (CN) como nombre de archivo. En el archivo, agregueiroute 10.8.0.0 255.255.255.0
. - agregar
client-to-client
al servidor conf de10.10.0.1/24
. - agregue un archivo "CCD" llamado
DEFAULT
. En el archivo, agreguepush "route 10.8.0.0 255.255.255.0"
. - agregue
route 10.8.0.0 255.255.255.0
al servidor conf10.10.0.1/24
si desea acceder10.8.0.0/24
desde él (o si desea evitarloclient-to-client
).
EDITAR: client-to-client
se puede evitar si también se permite el reenvío de IP entre las dos interfaces tun en 10.10.0.1/24
. Sin client-to-client
, iroute
solo se aplicaría al propio servidor. En ese caso, el tráfico de los clientes se enrutará "internamente" 10.10.0.1/24
primero y luego 10.8.0.1/24
(debido al route
y iroute
aplicado al servidor).