He configurado un servidor OpenVPN en un servidor de la oficina para que la gente pueda acceder a él mediante VPN. Pueden acceder a cualquier host de la red de la oficina, pero si intentan acceder a nuestro centro de datos en otra subred, no sucede nada. Creo que está en la lista de acceso del enrutador Cisco pero no puedo entenderlo.
Office LAN: 192.168.71.0/24
DataCenter Lan: 192.168.100.0/24
OpenVPN Server: 192.168.71.15
VPN LAN: 192.168.61.0/24
Office Router IP: 192.168.71.1
Entonces, cuando un cliente está conectado, su tabla de enrutamiento se ve así
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.61.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.61.1 192.168.61.5 255.255.255.255 UGH 0 0 0 tun0
192.168.100.0 192.168.61.5 255.255.255.0 UG 0 0 0 tun0
192.168.71.0 192.168.61.5 255.255.255.0 UG 0 0 0 tun0
192.168.1.0 0.0.0.0 255.255.255.0 U 2 0 0 wlan0
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 wlan0
Una ruta de seguimiento al centro de datos parece
traceroute to 192.168.100.52 (192.168.100.52), 30 hops max, 60 byte packets
1 192.168.61.1 (192.168.61.1) 18.851 ms 39.294 ms 39.297 ms
2 192.168.71.1 (192.168.71.1) 39.287 ms 39.278 ms 39.269 ms
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
Aquí está la tabla de rutas en el servidor openvpn.
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.61.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.71.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.61.0 192.168.61.2 255.255.255.0 UG 0 0 0 tun0
192.168.122.0 0.0.0.0 255.255.255.0 U 0 0 0 virbr0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
0.0.0.0 192.168.71.1 0.0.0.0 UG 0 0 0 eth0
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 eth0
Entonces me parece que el paquete llega al enrutador de la oficina.
Aquí está mi configuración de ruta para el enrutador Cisco.
ip route 0.0.0.0 0.0.0.0 216.173.2.217
ip route 10.1.168.0 255.255.255.0 192.168.71.5
ip route 10.100.1.0 255.255.255.0 192.168.72.5
ip route 192.168.61.0 255.255.255.0 192.168.71.15
Y aquí está mi lista de acceso.
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 192.168.71.0 0.0.0.255
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 100 remark CCP_ACL Category=4
access-list 100 permit ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip any 192.168.0.0 0.0.255.255
access-list 101 deny ip any 172.16.0.0 0.15.255.255
access-list 101 deny ip any 10.0.0.0 0.255.255.255
access-list 101 permit ip 192.168.71.0 0.0.0.255 any
access-list 102 remark CCP_ACL Category=4
access-list 102 permit ip 192.168.71.0 0.0.0.255 any
access-list 103 remark CCP_ACL Category=4
access-list 103 permit ip 192.168.71.0 0.0.0.255 any
access-list 103 permit ip 192.168.100.0 0.0.0.255 any
access-list 120 permit ip 192.168.71.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 701 deny 0007.e917.876f 0000.0000.0000
¿Alguna ayuda o consejo?
Respuesta1
Supongo que su enrutador Cisco tiene dos "patas": una para la LAN de la oficina y otra para la LAN del centro de datos.
Los paquetes de sus usuarios de VPN llegan a su centro de datos, pero no tienen ruta de regreso porque Cisco no sabe que el servidor Open VPN es el enrutador de la LAN VPN.
Debe agregar una ruta en Cisco que le indique enrutar paquetes con un destino de 192.168.61.0/24 a 192.168.71.15, que, al ser el enrutador OpenVPN, tiene una ruta a esa red y, a su vez, reenviará los paquetes a los hosts VPN.