하나의 VPN을 다른 VPN을 통해 터널링할 때 iptables 디버깅

tag-icon tag-icon networking iptables openvpn tunneling
하나의 VPN을 다른 VPN을 통해 터널링할 때 iptables 디버깅

client하나의 SSL VPN(F5, 내 debian 노트북에서 실행== )을 다른 SSL VPN(OpenVPN, debian linode== 에서 실행)을 통해 터널링하려고 server하지만 pingF5VPN이 연결된 후 모든 클라이언트 네트워킹(예: 포함)이 손실됩니다. 이것이 내 OpenVPN 구성 때문인지 내 서버의 방화벽/iptables 때문인지는 확실하지 않지만 후자가 의심됩니다. 안타깝게도 저는 네트워킹에 대해 잘 알지 못하므로 도움을 주시면 감사하겠습니다.

환경 모델링을 수행하려면 방화벽이 있는 일부 컴퓨팅 클러스터에 원격으로(물리적 LAN 외부) SSH를 연결해야 합니다(예:이것). 이전에는 데비안 노트북에서 다음을 사용하여 이 작업을 수행할 수 있었습니다.클러스터 공급자 필수 F5VPNF5NAP, "네트워크 액세스 [브라우저] 플러그인" 으로 알려진 클라이언트입니다 . 그러나액세스 정책이 변경됨(특히 등록된 단일 IP#가 필요함) 따라서 더 이상 이 작업을 "직접" 수행할 수 없습니다(예: 랩탑에서 F5VPN을 실행하기만 하면 됩니다). 저는 Debian linode 서버/점프박스를 통해 클라이언트/노트북에서 VPN 터널을 구현하여 새로운 정책에 적응하고 프로젝트 작업을 재개하려고 합니다.디자인 세부 사항은 여기, 그러나 내 디자인은 대략 다음 ASCII 아트로 요약될 수 있습니다.

                     <-MY CONTROL | AGENCY CONTROL->
                                  |                    firewall
+----------+      +-----------+   |   +---------------+   ||   +---------+
| laptop + |      | linode  + |   |   | remote-access |   ||   | cluster |
| F5NAP  + | <--> | OpenVPN   | <-|-> | website +     | <-||-> | node(s) |
| OpenVPN  |      | server  + |   |   | F5VPN server  |   ||   |         |
| client   |      | security  |   |   |               |   ||   |         |
+----------+      +-----------+   |   +---------------+   ||   +---------+

(구현 세부정보는 여기를 참조하세요.. ==F5VPN 클라이언트 에 유의하세요 F5NAP.) 좋은 소식은 다음 순서가 작동한다는 것입니다.

  1. 내 linode에서 OpenVPN 서버 시작(일명 "서버")
  2. 내 노트북에서 OpenVPN 클라이언트 시작해, 그 후whatismyip.com(등록된) 서버의 IP#를 보여줍니다.
  3. F5VPN 클라이언트를 시작합니다(F5NAP'ed Firefox), 그로부터 여전히 서버의 IP#가 표시됩니다.
  4. F5VPN 클라이언트를 사용하여 해당 기관의 원격 접속 웹사이트에 로그인한 후 F5VPN의 제어 UI(예: 시작/중지/로그아웃)를 불러옵니다.

나쁜 소식(자세히여기), F5VPN을 시작하고 웹 UI에 status==Connected가 표시되자마자 내 클라이언트/노트북의 IP 네트워킹이 끊어집니다. 원래는 이것이 단지 DNS 문제인 줄 알았는데 pingIP#조차 알 수 없습니다.

me@client:~ $ ping -c 4 141.101.120.15 # == www.whatismyip.com
PING 141.101.120.15 (141.101.120.15) 56(84) bytes of data.

--- 141.101.120.15 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3022ms

(여기서 유일한 위안은 네트워크 오류로 인해 터널이 중단되어 내 클라이언트가 네트워킹을 되찾을 뿐만 아니라 등록된 IP#에 대한 액세스도 회복할 수 있다는 것입니다.)

나는 이 문제가 내 부분의 OpenVPN 구성 오류로 인한 것이라고 생각했지만 이제 내 설정을 조정해야 한다고 생각합니다.서버 방화벽(즉 iptables, Debian 7.8에서 실행 중) OpenVPN 구성이 작동하도록 하려면: 클라이언트 명령줄 디버깅 세션을 참조하세요.여기.

또 다른 문제:F5VPNF5(벤더) 또는 클러스터 제공자(고객, 일명 "에이전시")에서 특히 잘 지원되지 않는(IMHO) 독점 제품입니다. 특히, 나는 기관의 VPN 서버의 IP#(들)에 대해 알지 못하지만(그러나 요청했습니다): 나는 내가 알고 있는 원격 액세스 웹 사이트의 이름(DNS가 나에게 IP#을 알려주는 경우 :-)만 알고 있습니다. F5VPN에 로그인하려면 사용해야 합니다.

관련 정보