Eu tenho uma rede doméstica simples (10.1.1.0/24), onde poucas máquinas com Windows 10 estão conectadas a um roteador sem fio e uma delas está executando o servidor OpenVPN (digamos, PC1).
Os clientes remotos podem executar ping no PC1(10.1.1.8), mas não em qualquer outro dispositivo, mesmo que o servidor VPN e outros dispositivos estejam na mesma sub-rede. Muito parecido comessecenário. Tentei adicionar 10.1.1.0 mask 255.255.255.0 10.1.1.1à tabela de rotas junto com a ativação IPEnableRouterdo registro, mas sem sorte.
Sou novo em truques de VPN, então sinto que estou perdendo alguma coisa aqui. Alguma idéia, pessoal? (Exceto para ponte).
- servidor.ovpn
port 1194
proto udp
dev tun
****ca/cert/key/dh/tls-auth omitted****
server 10.8.0.0 255.255.255.0
push "route 10.1.1.0 255.255.255.0"
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
- cliente.ovpn
dev tun
proto udp
remote myddns.com 443
resolv-retry infinite
nobind
comp-lzo
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
****ca/cert/key/tls-auth omitted****
- Tabela de rotas do PC1
Interface List
21...00 ff a0 50 2d 1b ......TAP-Windows Adapter V9
7...ea 4e 06 6b 4f 39 ......Microsoft Wi-Fi Direct Virtual Adapter #13
58...e8 4e 06 6b 4f 39 ......Microsoft Wi-Fi Direct Virtual Adapter #14
14...e8 4e 06 6b 4f 39 ......Realtek RTL8192EU Wireless LAN 802.11n USB 2.0 Network Adapter
1...........................Software Loopback Interface 1
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.1.1.1 10.1.1.8 45
10.1.1.0 255.255.255.0 On-link 10.1.1.8 301
10.1.1.8 255.255.255.255 On-link 10.1.1.8 301
10.1.1.255 255.255.255.255 On-link 10.1.1.8 301
10.8.0.0 255.255.255.0 10.8.0.2 10.8.0.1 25
10.8.0.0 255.255.255.252 On-link 10.8.0.1 281
10.8.0.1 255.255.255.255 On-link 10.8.0.1 281
10.8.0.3 255.255.255.255 On-link 10.8.0.1 281
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.8.0.1 281
224.0.0.0 240.0.0.0 On-link 10.1.1.8 301
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.8.0.1 281
255.255.255.255 255.255.255.255 On-link 10.1.1.8 301
===========================================================================
- Tabela de rotas de um cliente
Interface List
2...f8 a9 63 e0 26 bc ......Realtek PCIe GbE Family Controller
20...00 ff d5 aa e2 9e ......TAP-Windows Adapter V9
10...1e 0e c4 42 55 73 ......Microsoft Wi-Fi Direct Virtual Adapter
4...2e 0e c4 42 55 73 ......Microsoft Wi-Fi Direct Virtual Adapter #2
7...ec 0e c4 42 55 73 ......Qualcomm Atheros AR956x Wireless Network Adapter
1...........................Software Loopback Interface 1
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.43.129 192.168.43.150 55
10.1.1.0 255.255.255.0 10.8.0.5 10.8.0.6 25
10.8.0.1 255.255.255.255 10.8.0.5 10.8.0.6 25
10.8.0.4 255.255.255.252 On-link 10.8.0.6 281
10.8.0.6 255.255.255.255 On-link 10.8.0.6 281
10.8.0.7 255.255.255.255 On-link 10.8.0.6 281
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.43.0 255.255.255.0 On-link 192.168.43.150 311
192.168.43.150 255.255.255.255 On-link 192.168.43.150 311
192.168.43.255 255.255.255.255 On-link 192.168.43.150 311
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.43.150 311
224.0.0.0 240.0.0.0 On-link 10.8.0.6 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.43.150 311
255.255.255.255 255.255.255.255 On-link 10.8.0.6 281
===========================================================================
Uma pequena ajuda, por favor!!
Responder1
Como publicar um artigocomunidade.openvpn.netafirma:
Em seguida, você deve configurar uma rota no gateway LAN do lado do servidor para rotear a sub-rede do cliente VPN (10.8.0.0/24) para o servidor OpenVPN (isso só é necessário se oO servidor OpenVPN e o gateway LAN são máquinas diferentes).
Acredito que esta seja a solução, mas infelizmente não posso testá-la porque meu gateway LAN (roteador sem fio) não tem funcionalidade para ativar rotas estáticas do lado da LAN.
Acho que tenho que comprar um roteador melhor, de preferência um que venha com OpenVPN integrado. ;)
Responder2
Seu problema é que a configuração do servidor não contém as opções corretas para roteamento de acesso à LAN, e é por isso que eu sempre recomendo reservar um tempo para ler o
- OpenVPNComo(~15min)
OpenVPNPágina de manual(~45min)
openvpn-server.conf# Pushed Routes # #--------------------------------------------------- push 'dhcp-option DNS 10.1.1.1' push 'dhcp-option WINS 10.1.1.1' client-to-client '1' # Each OS deals with parameters differently, so the 1 may need to be specified- Onde
10.1.1.1/24está o servidor DNS e DHCP por trás da VPN que você deseja acessar
- Onde
- Além disso,
AES-256-CBCnão é necessário, poisAES-128-CBCatualmente é indecifrável e permanecerá assim por vários anos... tudo o que você está fazendo é diminuir enormemente o rendimento sem ganhos de segurança.- Uma opção melhor, se for o caso, seria alterar os
rekeyvalores de tempo e tamanho
- Uma opção melhor, se for o caso, seria alterar os
Informações gerais:
Muitos simplesmente usam as configurações genéricas encontradas online; no entanto, o maior benefício e a melhor segurança vêm do ajuste das configurações.
Exemplo de configuração ajustada
# ##::[[--- OpenVPN Server Config ---]]::## #=========================================================== ##----- VPN Admin Server -----## #=========================================================== # Protocol # #----------------------------------------------------------- dev 'tun0' topology 'subnet' proto 'udp' port '61194' # Routes # #----------------------------------------------------------- server '10.32.2.0 255.255.255.248' ifconfig '10.32.2.1 255.255.255.248' # Client Config # #----------------------------------------------------------- ccd-exclusive '1' ifconfig-pool-persist '/etc/openvpn/clients/vpn/ipp.txt' client-config-dir '/etc/openvpn/clients/vpn' # Pushed Routes # #----------------------------------------------------------- push 'route 192.168.2.0 255.255.255.240' push 'dhcp-option DNS 192.168.2.1' push 'dhcp-option WINS 192.168.2.1' push 'dhcp-option DNS 208.67.222.222' push 'dhcp-option DNS 208.67.220.220' push 'dhcp-option NTP 129.6.15.30' # Encryption # #----------------------------------------------------------- # Diffie-Hellmann: dh '/etc/ssl/openvpn/dh2048.pem' # PKCS12: pkcs12 '/etc/ssl/openvpn/vpn-server.p12' # SSL: cipher 'AES-128-CBC' auth 'SHA512' tls-crypt '/etc/ssl/openvpn/tls-crypt.psk' # TLS: tls-version-min '1.2' tls-cipher 'TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256:TLS-ECDH-RSA-WITH-AES-128-GCM-SHA256:!aNULL:!eNULL:!LOW:!3DES:!MD5:!SHA:!EXP:!PSK:!SRP:!DSS:!RC4:!kRSA' # Logging # #----------------------------------------------------------- log '/tmp/vpn-server.log' status '/tmp/vpn-server-status.log' verb '4' # Connection Options # #----------------------------------------------------------- keepalive '10 120' compress 'lz4' # Connection Reliability # #----------------------------------------------------------- client-to-client '1' persist-key '1' persist-tun '1' # Connection Speed # #----------------------------------------------------------- sndbuf '393216' rcvbuf '393216' fragment '0' mssfix '0' tun-mtu '48000' # Pushed Buffers # #----------------------------------------------------------- push 'sndbuf 393216' push 'rcvbuf 393216' # Permissions # #----------------------------------------------------------- user 'nobody' group 'nogroup'
Responder3
Talvez você possa tentar o seguinte cmdlet do PowerShell (não confunda com o prompt de comando):
New-NetNat -Name "VpnMasq" -InternalIPInterfaceAddressPrefix "10.8.0.0/24"
o que aparentemente permitiria NAT (sobrecarga) para pacotes do prefixo de origem especificado.
Pode estar disponível apenas no Windows 10 Pro/Enterprise como o Hyper-V, que serve principalmente.
Se não ajudar apenas:
Remove-NetNat -Name "VpnMasq"
Mas antes disso você deve certificar-se de que pode executar ping (ou melhor, acessar) do servidor para os clientes através do túnel. Não estou familiarizado com o net30funcionamento (a topologia padrão do OpenVPN), e a subnettopologia pode ser mais simples e adequada ao seu caso de uso de qualquer maneira. Então adicione a linha:
topology subnet
antes da serverlinha. Então o IP do cliente de ambos os lados do POV deve ser o mesmo.
Observe que, com a subnettopologia sendo usada, se os clientes podem alcançar um ao outro (embora não a LAN um do outro) depende se o servidor permite que pacotes do túnel sejam encaminhados de volta para o túnel quando client-to-clientnão é usado na configuração do servidor.