openVPN: использовать VPN только для подсети

tag-icon tag-icon ssh vpn routing openvpn subnet
openVPN: использовать VPN только для подсети

Я использую openVPN для доступа к кластеру из-за пределов кампуса. Но я хочу, чтобы только несколько клиентов ssh (Putty, WinSCP) проходили через трафик VPN.

Прочитав несколько постов и вики, я знаю, что есть техника, называемая разделением туннеля для openVPN. В частности, команда "route" в файле конфигурации .ovpn создаст строку в таблице маршрутизации, и только IP-адреса, соответствующие шаблону, будут направлены в туннель VPN.

Я нашел решение.из этого постаи добавил IP-адрес одного узла входа

route-nopull
route 128.111.123.456 255.255.255.255

и это сработало.

На самом деле openVPN можетразобрать имя хостакаждый раз после подключения

route-nopull
allow-pull-fqdn
route xxx.xxx.edu 255.255.255.255

Я проверил файл журнала, и по сути это было «добавление маршрута», а IP-адрес узла входа появился в выводе маршрута.

Теперь я хочу добавить подсеть к VPN-трафику (в подсети есть несколько серверов),

route-nopull
route 128.111.0.0 255.255.0.0

но тогда я не могу подключиться по ssh к узлу входа. Putty выдал сообщение об ошибке: server unexpectedly closed connection, что то же самое, что VPN is down. Журнал показывает, что команда "route add" выполнена успешно, а команда "route print" показывает, что запись "128.111.0.0" присутствует с правильным шлюзом vpn.

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway     Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.100     20
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      128.111.0.0      255.255.0.0     128.111.61.1   128.111.61.143     30
     128.111.61.0    255.255.255.0         On-link    128.111.61.143    286
   128.111.61.143  255.255.255.255         On-link    128.111.61.143    286
   128.111.61.255  255.255.255.255         On-link    128.111.61.143    286
      192.168.1.0    255.255.255.0         On-link     192.168.1.100    276
    192.168.1.100  255.255.255.255         On-link     192.168.1.100    276
    192.168.1.255  255.255.255.255         On-link     192.168.1.100    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.1.100    276
        224.0.0.0        240.0.0.0         On-link    128.111.61.143    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.1.100    276
  255.255.255.255  255.255.255.255         On-link    128.111.61.143    286
===========================================================================

Где я ошибся в файле конфигурации?

Спасибо.

РЕДАКТИРОВАТЬ

Есть пост длята же проблема. Но в этом случае команда "route add" не была успешно выполнена из-за неправильной сетевой маски. Я не совершил ту же ошибку, IP-адрес с сетевой маской был показан в "route print".

решение1

Если в сообщении об ошибке указано «Сервер закрыл соединение», это означает, что клиентимелуспешно открыл один. Это должно означать, что маршрутизация в порядке (вы можете общаться с сервером в обоих направлениях), но серверКонфигурация sshdне принимает ваш логин.

Связанный контент