Я пытаюсь туннелировать один SSL VPN (F5, работающий на моем ноутбуке Debian== client) через другой (OpenVPN, работающий на Debian linode== server), но теряю все клиентские сетевые соединения (включая, например, ping) после подключения F5VPN. Я не уверен, связано ли это с моей конфигурацией OpenVPN или с брандмауэром/iptables моего сервера, но подозреваю последнее. К сожалению, я не разбираюсь в сетях, поэтому буду признателен за любую помощь с вашей стороны.
Мне нужно удаленно (вне физической локальной сети) подключиться по SSH к некоторым защищенным брандмауэром вычислительным кластерам для моделирования среды (например,этот). Раньше я мог сделать это с моего ноутбука Debian, используяF5VPN, утвержденный поставщиком кластера, клиент для которого известен как F5NAP(для «сетевого доступа [браузер] плагин». Однако,политика доступа изменена(в частности, для требования одного зарегистрированного IP-номера), поэтому я больше не могу делать это «напрямую» (т. е. просто запускать F5VPN с моего ноутбука). Я пытаюсь адаптироваться к новой политике (и возобновить работу над моим проектом), реализуя VPN-туннель с моего клиента/ноутбука через сервер/jumpbox Debian linode.Подробности дизайна здесь, но мой дизайн можно примерно описать следующим ASCII-артом:
<-MY CONTROL | AGENCY CONTROL->
| firewall
+----------+ +-----------+ | +---------------+ || +---------+
| laptop + | | linode + | | | remote-access | || | cluster |
| F5NAP + | <--> | OpenVPN | <-|-> | website + | <-||-> | node(s) |
| OpenVPN | | server + | | | F5VPN server | || | |
| client | | security | | | | || | |
+----------+ +-----------+ | +---------------+ || +---------+
(Подробности реализации здесь. Обратите внимание, что F5NAP==F5VPN клиент.) Хорошей новостью является то, что следующая последовательность работает: я могу
- запустить OpenVPN-сервер на моем linode(он же «сервер»)
- запустить клиент OpenVPN на моем ноутбуке, после которогоwhatismyip.comпоказывает IP# сервера (который зарегистрирован)
- запустить клиент F5VPN (F5NAP-подключенный Firefox), и оттуда еще увидеть IP-адрес сервера.
- Используя клиент F5VPN, войдите на веб-сайт удаленного доступа агентства и откройте пользовательский интерфейс управления F5VPN (например, для запуска/остановки/выхода из системы).
Плохие новости (подробностиздесь) как только я запускаю F5VPN и вижу статус==Подключено в его веб-интерфейсе, мой клиент/ноутбук теряет IP-сеть. Я изначально думал, что это просто проблема DNS, но я даже не могу pingIP#, например,
me@client:~ $ ping -c 4 141.101.120.15 # == www.whatismyip.com
PING 141.101.120.15 (141.101.120.15) 56(84) bytes of data.
--- 141.101.120.15 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3022ms
(Единственным утешением здесь является то, что сбой сети отключает туннель, что позволяет моему клиенту восстановить работу в сети... но также и доступ к зарегистрированному IP-адресу.)
Я думал, что эта проблема возникла из-за неправильной настройки OpenVPN с моей стороны, но теперь подозреваю, что мне нужно подправить свойсерверный брандмауэр(который iptablesработает на Debian 7.8) для того, чтобы моя конфигурация OpenVPN работала: см. сеанс отладки клиентской командной строкиздесь.
Еще одно осложнение:F5VPNявляется собственностью компании и (IMHO) не особенно хорошо поддерживается ни F5 (поставщиком), ни поставщиком кластера (их клиентом, он же «агентство»). В частности, я не знаю (но спрашивал) IP-адрес(а) VPN-сервера агентства: я знаю только имя (для которого DNS сообщает мне IP-адрес :-) веб-сайта удаленного доступа, который мне нужно использовать для входа в F5VPN.