Recientemente instalé OpenVPN en mi servidor Windows 2003. Una vez que alguien está conectado al servidor, no tiene acceso a Internet.
- Mi red está en 192.168.1.1
- mi servidor está en 192.168.1.110
- Estoy usando el firmware dd-wrt
- He habilitado el puerto 1194 para 192.168.1.110 en el enrutador
- El enrutamiento y el acceso remoto están deshabilitados
- Tengo 2 adaptadores Tap-Win32 V8 en mi servidor Windows 2003.
- Intenté configurar esta línea en 192.168.1.1 y también los servidores dns de mi ISP presionan "dhcp-option DNS 192.168.1.1" # Reemplace las X con la dirección IP del DNS de su red doméstica (generalmente el DNS de su ISP)
He creado una puerta de enlace de enrutamiento avanzado en dd-wrt
Destination LAN NET: 192.168.10.0 Subnet Mask: 255.255.255.252 Gateway: 192.168.1.110 Interface: Lan & WLAN
He seguido este sitio web exactamente: http://www.itsatechworld.com/2006/01/29/how-to-configure-openvpn/
EDITAR: Intenté conectarme a través del indicador cmd y obtuve el siguiente error de subred: posible conflicto de subred de ruta entre la LAN local [192.168.1.0/255.255.255.0] y la VPN remota [192.168.1.0/255.255.255.0]
El archivo de mi servidor tiene el siguiente aspecto:
local 192.168.1.110 # This is the IP address of the real network interface on the server connected to the router
port 1194 # This is the port OpenVPN is running on - make sure the router is port forwarding this port to the above IP
proto udp # UDP tends to perform better than TCP for VPN
mssfix 1400 # This setting fixed problems I was having with apps like Remote Desktop
push "dhcp-option DNS 192.168.1.1" # Replace the Xs with the IP address of the DNS for your home network (usually your ISP's DNS)
#push "dhcp-option DNS X.X.X.X" # A second DNS server if you have one
dev tap
#dev-node MyTAP #If you renamed your TAP interface or have more than one TAP interface then remove the # at the beginning and change "MyTAP" to its name
ca "ca.crt"
cert "server.crt"
key "server.key" # This file should be kept secret
dh "dh1024.pem"
server 192.168.10.0 255.255.255.128 # This assigns the virtual IP address and subent to the server's OpenVPN connection. Make sure the Routing Table entry matches this.
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1" # This will force the clients to use the home network's internet connection
keepalive 10 120
cipher BF-CBC # Blowfish (default) encryption
comp-lzo
max-clients 100 # Assign the maximum number of clients here
persist-key
persist-tun
status openvpn-status.log
verb 1 # This sets how detailed the log file will be. 0 causes problems and higher numbers can give you more detail for troubleshooting
Mi archivo client1 es el siguiente:
client
dev tap
#dev-node MyTAP #If you renamed your TAP interface or have more than one TAP interface then remove the # at the beginning and change "MyTAP" to its name
proto udp
remote my-dyna-dns.com 1194 #You will need to enter you dyndns account or static IP address here. The number following it is the port you set in the server's config
route 192.168.1.0 255.255.255.0 vpn_gateway 3 #This it the IP address scheme and subnet of your normal network your server is on. Your router would usually be 192.168.1.1
resolv-retry infinite
nobind
persist-key
persist-tun
ca "ca.crt"
cert "client1.crt" # Change the next two lines to match the files in the keys directory. This should be be different for each client.
key "client1.key" # This file should be kept secret
ns-cert-type server
cipher BF-CBC # Blowfish (default) encrytion
comp-lzo
verb 1
¡Gracias de antemano!
Respuesta1
Me parece que el servidor está enviando la opción "redirect-gateway" al cliente. Esto hace que el cliente utilice la VPN como puerta de enlace predeterminada. Comente la línea en la configuración del servidor 'push "redirect-gateway def1"'.
Vaya, acabo de ver tu edición. Su cliente no puede utilizar las mismas direcciones IP que la LAN a la que se está conectando. Eso no va a funcionar. Un extremo u otro necesita utilizar direcciones IP diferentes.
Editar:
Suponiendo que el enrutamiento esté configurado correctamente en su máquina con Windows Server 2003 (según la página www.itsatechworld.com a la que hizo referencia), debería poder hacer PING a la máquina con Windows Server 2003 y a la máquina con Windows Vista mediante sus IP de LAN a través de la VPN. Si puede, entonces tiene el enrutamiento correcto en las máquinas Windows Server 2003 y DD-WRT y puede continuar. De lo contrario, debe comenzar a rastrear por qué (1) el tráfico PING que sale del túnel OpenVPN no llega al destino o (b) por qué las respuestas PING del host de destino no regresan. Puede terminar colocando algo como Wireshark en su máquina con Windows Vista para ver si las solicitudes de PING llegan allí (ya que PING no puede decirle si su solicitud se está recibiendo y la respuesta simplemente se está perdiendo).
Una vez que tenga conectividad IP a través de la VPN, funcionará bien. Recomendaría instalar los servicios DNS y WINS en su computadora servidor VPN con Windows Server 2003 y configurar la computadora servidor y la computadora doméstica con Windows Vista para usar esa máquina para WINS y DNS. Puede agregar el DNS de su ISP como "reenviado" en la máquina con Windows Server 2003, o dejar las "sugerencias de raíz" configuradas para permitirle resolver nombres de Internet. En la configuración de su servidor OpenVPN, agregue la siguiente línea justo después de la línea 'push "dhcp-option DNS 192.168.1.1":
push "dhcp-option WINS 192.168.1.1"
Esto hará que los clientes remotos accedan a los servidores WINS y DNS en su máquina Windows Server 2003, y debería brindarle resolución de nombres DNS y NetBIOS.
Si no está utilizando un dominio de Active Directory en casa, probablemente desee configurar una zona de búsqueda directa estándar en el servidor DNS de Windows Server 2003 para que se registren sus máquinas con Windows Server 2003 y Windows Vista. Querrá otorgar permiso a los clientes para actualizar registros dinámicamente (aunque de manera insegura) cuando cree esta zona. Debe agregar la opción "nombre de dominio DNS" (opción 15) a su alcance DHCP en casa para que sus computadoras cliente elijan el sufijo de nombre de dominio DNS correcto. (Si está utilizando DD-WRT para DNS, entonces no puedo decirle cómo hacerlo. Soy un usuario de OpenWRT y administro mi WRT54G desde la línea de comandos. Recomiendo ejecutar DHCP desde Windows Server 2003 de todos modos, pero me gusta más ese servidor DHCP).
Si está utilizando un dominio de Active Directory, ya tendrá una zona de búsqueda directa creada en DNS. Sin embargo, dado que sus clientes VPN remotos no son miembros de su dominio, no podrán registrarse en DNS bajo la configuración de seguridad estándar que Windows Server establece en la zona DNS (al menos, si le permite crear la zona durante DCPROMO). Es inseguro, pero si desea permitirles registrarse, puede (a - menos seguro) cambiar el permiso en la zona para permitir registros inseguros, o (b - más seguro pero aún inseguro) crear registros A y PTR para ellos y modifique el permiso en cada uno de esos registros para permitir que cualquiera pueda actualizarlos.
Parece que esto es una cuestión de redes domésticas y realmente es una buena oportunidad de aprendizaje para muchas cosas: enrutamiento IP, VPN, resolución de nombres. Quizás esté buscando que "simplemente funcione" y no como una oportunidad de aprendizaje, en cuyo caso sólo puedo ofrecer mis disculpas y decir que estas cosas aún no están "llave en mano".
Respuesta2
El comentario de Evan es correcto, excepto que le insto a que considere habilitar la "puerta de enlace de redirección" y configurar el servidor para aceptar todo el tráfico de Internet, al menos si realiza algún filtrado de contenido. Si no lo hace, sus computadoras portátiles se convierten (aún más) en una vulnerabilidad para su red.
Generalmente se considera una VPN de túnel divididoinseguroya que esencialmente ofrece a los atacantes que comprometen la computadora portátil un cortocircuito al jugoso centro de su red.
Respuesta3
Querrá asegurarse de que su servidor OpenVPN de Windows tenga servicios de enrutamiento instalados.
Esto se mencionó anteriormente, pero se le recomienda encarecidamente que cambie la dirección de su red LAN a otra que no sea 192.168.1.X. La mayoría de Linksys, etc. vienen listos para usar con esa red, por lo que los hosts remotos no podrán acceder a los hosts dentro de su red. Veo que tu red VPN está configurada en 192.168.10.X, lo cual es bueno. Ahora configure su LAN en algo así como 192.168.5.X. Funcionará mejor, créeme.
Podrías activar la puerta de enlace de redireccionamiento en ese momento, pero no lo sugeriría ya que consumirá tu ancho de banda. Si tiene dispositivos IDS/IPS o algo así en su red, entonces puede ser beneficioso.
Pondría el verbo en un nivel superior a 1... Lo mantengo en 4 para ver qué está pasando.
¡Espero que ayude!
Respuesta4
Perdón por cavar una tumba en esto, pero después de dos horas luchando para restaurar el acceso a Internet de la máquina Windows que está conectada al servidor Ubuntu OpenVPN, encontré lo que funciona para mí (espero que para otros también):
[Windows 8.1 x64 y Ubuntu Server 20.04]
- En la máquina con Windows, primero vaya a
Network and Sharing Center, haga clic derecho en su NIC principal (en mi caso, un USB WiFi) y luegoProperties->Internet Protocol Version 4->Properties->Advanced-> DesmarqueAutomatic metric-> establezcaInterface metricun número pequeño como 10 ->OK->OK->OK - Ahora bebe un poco de agua y salta al cuadro de Linux -> escribe en la terminal
nano /etc/openvpn/server/server.conf-> agrega esta líneapush "route-metric 1000"(1000 o un número similar) -> guarda el archivo conCtrl+XY -> dispara para reiniciar el servidor OpenVPN y probablemente tendrás acceso a Internet nuevamente en la máquina Windowssystemctl restart [email protected]
Ahora tengo dos configuraciones diferentes completamente funcionales:
Máquina Windows con acceso a Internet y conectada a una máquina Linux a través de OpenVPN Máquina Windows con acceso a Internet y conectada a una máquina Linux con Vbox a través de OpenVPN