Openvpn을 사용하여 Site-to-Site VPN을 설정하려고 합니다. 초기 설정이 완료되었습니다. 내 openvpn 클라이언트 측 노드(201.100.0.x)가 openvpn 서버 측 노드(192.0.0.x)와 통신할 수 있습니다. ) .
그러나 서버측 노드(192.0.0.32)에서 임의의 클라이언트 노드(201.100.0.18)로 핑을 보내면 응답을 받지 못합니다(엔드포인트에 적절한 경로가 추가되어 있습니다). 그리고 TCP dump로 분석하여 내 openvpn 서버에 도달하는 핑 재생을 볼 수 있습니다.
서버측 노드: 192.0.0.32(eth0)
서버: 192.0.0.39 (eth0) ; 10.8.0.1(tun0)
클라이언트측 노드: 201.100.0.18(eth0)
OpenvpnClient :201.100.0.11 (eth0) ; 10.8.0.6(tun0)
server node> ping 201.100.0.18 -c 1
PING 201.100.0.18 (201.100.0.18) 56(84) bytes of data.
--- 201.100.0.18 ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 10000ms
다음은 openvpn 서버의 TCP 덤프 양식 eth0입니다.
vpnserver> tcpdump -nni eth0 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
09:41:00.796021 IP 192.0.0.32 > 201.100.0.18: ICMP echo request, id 47432, seq 1, length 64
09:41:00.836637 IP 201.100.0.18 > 192.0.0.32: ICMP echo reply, id 47432, seq 1, length 64
Ping 응답은 192.0.0.32까지 돌아왔지만 192.0.0.39로 전달되지 않습니다. 왜인지 알아야 해
IP 전달이 이미 활성화되어 있으며 아래에서 기존 방화벽 규칙을 볼 수 있습니다.
*filter
:INPUT ACCEPT [397:39519]
:FORWARD ACCEPT [6:504]
:OUTPUT ACCEPT [362:40521]
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i tun0 -o eth0 -j ACCEPT
COMMIT
# Completed on Thu Nov 3 09:45:05 2016
# Generated by iptables-save v1.4.7 on Thu Nov 3 09:45:05 2016
*nat
:PREROUTING ACCEPT [31:3889]
:POSTROUTING ACCEPT [22:1848]
:OUTPUT ACCEPT [6:504]
-A POSTROUTING -o eth0 -j MASQUERADE << before adding this rule client sides nodes were not able to access server side nodes
COMMIT