Невозможно получить доступ к Интернету при подключении к серверу OpenVPN

tag-icon tag-icon windows windows-server-2003 internet openvpn
Невозможно получить доступ к Интернету при подключении к серверу OpenVPN

Недавно я установил OpenVPN на свой сервер Windows 2003. Как только кто-то подключается к серверу, у него нет доступа в Интернет.

  • Моя сеть находится на 192.168.1.1
  • мой сервер находится на 192.168.1.110
  • Я использую прошивку dd-wrt
  • Я включил порт 1194 для 192.168.1.110 на маршрутизаторе.
  • Маршрутизация и удаленный доступ отключены
  • У меня есть 2 адаптера Tap-Win32 V8 на моем сервере Windows 2003
  • Я пробовал установить эту строку на 192.168.1.1, а также DNS-серверы моего интернет-провайдера отправляют "dhcp-option DNS 192.168.1.1" # Замените X на IP-адрес DNS для вашей домашней сети (обычно DNS вашего интернет-провайдера)

  • Я создал расширенный маршрутный шлюз в dd-wrt

     Destination LAN NET: 192.168.10.0
 Subnet Mask: 255.255.255.252
 Gateway: 192.168.1.110
 Interface: Lan & WLAN

Я в точности следовал этому сайту: http://www.itsatechworld.com/2006/01/29/how-to-configure-openvpn/

EDIT: Я только что попытался подключиться через командную строку cmd и получил следующую ошибку подсети - потенциальный конфликт маршрутов подсети между локальной сетью LAN [192.168.1.0/255.255.255.0] и удаленной VPN [192.168.1.0/255.255.255.0]

Мой серверный файл выглядит следующим образом:

local 192.168.1.110 # This is the IP address of the real network interface on the server connected to the router

port 1194 # This is the port OpenVPN is running on - make sure the router is port forwarding this port to the above IP

proto udp # UDP tends to perform better than TCP for VPN

mssfix 1400 # This setting fixed problems I was having with apps like Remote Desktop

push "dhcp-option DNS 192.168.1.1"  # Replace the Xs with the IP address of the DNS for your home network (usually your ISP's DNS)

#push "dhcp-option DNS X.X.X.X"  # A second DNS server if you have one

dev tap

#dev-node MyTAP  #If you renamed your TAP interface or have more than one TAP interface then remove the # at the beginning and change "MyTAP" to its name

ca "ca.crt"  

cert "server.crt"

key "server.key"  # This file should be kept secret

dh "dh1024.pem"

server 192.168.10.0 255.255.255.128  # This assigns the virtual IP address and subent to the server's OpenVPN connection.  Make sure the Routing Table entry matches this.

ifconfig-pool-persist ipp.txt

push "redirect-gateway def1"  # This will force the clients to use the home network's internet connection

keepalive 10 120

cipher BF-CBC        # Blowfish (default) encryption

comp-lzo

max-clients 100 # Assign the maximum number of clients here

persist-key

persist-tun

status openvpn-status.log

verb 1 # This sets how detailed the log file will be.  0 causes problems and higher numbers can give you more detail for troubleshooting

Мой файл client1 выглядит следующим образом:

client

dev tap

#dev-node MyTAP  #If you renamed your TAP interface or have more than one TAP interface then remove the # at the beginning and change "MyTAP" to its name

proto udp

remote my-dyna-dns.com 1194  #You will need to enter you dyndns account or static IP address here. The number following it is the port you set in the server's config

route 192.168.1.0 255.255.255.0 vpn_gateway 3  #This it the IP address scheme and subnet of your normal network your server is on.  Your router would usually be 192.168.1.1

resolv-retry infinite

nobind

persist-key

persist-tun

ca "ca.crt"

cert "client1.crt" # Change the next two lines to match the files in the keys directory.  This should be be different for each client.

key "client1.key"  # This file should be kept secret

ns-cert-type server

cipher BF-CBC        # Blowfish (default) encrytion

comp-lzo

verb 1

Заранее спасибо!

решение1

Мне кажется, что сервер передает клиенту опцию "redirect-gateway". Это заставляет клиента использовать VPN в качестве шлюза по умолчанию. Закомментируйте строку в конфигурации сервера 'push "redirect-gateway def1"'.

Ого, только что увидел вашу правку. Ваш клиент не может использовать те же IP-адреса, что и локальная сеть, к которой он подключается. Это не сработает. Один или другой конец должен использовать разные IP-адреса.

Редактировать:

Предполагая, что маршрутизация настроена правильно на вашем компьютере с Windows Server 2003 (согласно странице www.itsatechworld.com, на которую вы ссылались), вы должны иметь возможность PING-запроса на компьютер с Windows Server 2003 и компьютер с Windows Vista по их IP-адресам локальной сети через VPN. Если это возможно, то у вас есть правильная маршрутизация на компьютерах с Windows Server 2003 и DD-WRT, и вы можете продолжить. Если нет, то вам нужно начать отслеживать, почему либо (1) трафик PING, исходящий из туннеля OpenVPN, не доходит до пункта назначения, либо (b) почему ответы PING от узла назначения не возвращаются. Вы можете в конечном итоге установить что-то вроде Wireshark на свой компьютер с Windows Vista, чтобы проверить, доходят ли запросы PING вообще (поскольку PING не может сказать вам, получен ли ваш запрос, а ответ просто теряется).

Как только вы наладите нормальное подключение по IP через VPN, я бы рекомендовал установить службы DNS и WINS на вашем компьютере-сервере VPN с Windows Server 2003 и настроить серверный компьютер и домашний компьютер с Windows Vista на использование этой машины для WINS и DNS. Вы можете либо добавить DNS вашего интернет-провайдера в качестве "пересылаемого" на машине с Windows Server 2003, либо оставить стандартные "корневые ссылки", настроенные так, чтобы разрешить ему разрешать интернет-имена. В конфигурации вашего сервера OpenVPN добавьте следующую строку сразу после строки "push "dhcp-option DNS 192.168.1.1":

push "dhcp-option WINS 192.168.1.1"

Это позволит удаленным клиентам подключаться к серверам WINS и DNS на вашем компьютере с Windows Server 2003 и обеспечит разрешение имен DNS и NetBIOS.

Если вы не используете домен Active Directory дома, вам, вероятно, захочется настроить стандартную зону прямого просмотра на DNS-сервере Windows Server 2003 для регистрации ваших машин Windows Server 2003 и Windows Vista. При создании этой зоны вам нужно будет предоставить клиентам разрешение на динамическое обновление записей (хотя и небезопасно). Вам следует добавить опцию «DNS domain name» (опция 15) в область DHCP дома, чтобы ваши клиентские компьютеры там подбирали правильный суффикс доменного имени DNS. (Если вы используете DD-WRT для DNS, то я не могу вам сказать, как это сделать. Я парень OpenWRT и управляю своим WRT54G из командной строки. Я бы в любом случае рекомендовал запускать DHCP с машины Windows Server 2003, но мне просто больше нравится этот DHCP-сервер.)

Если вы используете домен Active Directory, у вас уже есть зона прямого просмотра, созданная в DNS. Поскольку ваши удаленные VPN-клиенты не являются членами вашего домена, они не смогут зарегистрироваться в DNS с использованием стандартных настроек безопасности, которые Windows Server устанавливает для зоны DNS (по крайней мере, если вы позволите ему создать зону во время DCPROMO). Это небезопасно, но если вы хотите разрешить им регистрироваться, вы можете либо (a — менее безопасно) изменить разрешение на зону, чтобы разрешить небезопасные регистрации, либо (b — более безопасно, но все еще небезопасно) создать для них записи A и PTR и изменить разрешение на каждую из этих записей, чтобы разрешить их обновление любому.

Похоже, это что-то из области домашних сетей, и это действительно хорошая возможность для обучения многим вещам — IP-маршрутизации, VPN, разрешению имен. Возможно, вы ищете, чтобы это «просто работало», а не возможность для обучения, в таком случае я могу только извиниться и сказать, что эти вещи пока не «готовы к работе».

решение2

Комментарий Эвана верен, за исключением того, что я бы настоятельно рекомендовал вам рассмотреть возможность включения "redire-gateway" и настройки сервера для приема всего интернет-трафика, по крайней мере, если вы выполняете какую-либо фильтрацию контента. Если вы этого не сделаете, ваши ноутбуки станут (даже в большей степени) уязвимостью для вашей сети.

Раздельно-туннельный VPN обычно считаетсяненадежныйпоскольку по сути он предоставляет злоумышленникам, взломавшим ноутбук, короткое замыкание в самом центре вашей сети.

решение3

Вам необходимо убедиться, что на вашем сервере Windows OpenVPN установлены службы маршрутизации.

Это уже упоминалось ранее, но вам настоятельно рекомендуется изменить адрес вашей локальной сети на что-то другое, нежели 192.168.1.X. Большинство Linksys и т. д. изначально поставляются с этой сетью, поэтому удаленные хосты не смогут получить доступ к хостам внутри вашей сети. Я вижу, что ваша сеть VPN установлена ​​на 192.168.10.X, что хорошо. Теперь установите для вашей локальной сети что-то вроде 192.168.5.X. Это будет работать лучше, поверьте мне.

Вы можете включить redirect-gateway, но я бы не советовал этого делать, так как это съест вашу полосу пропускания. Если в вашей сети есть устройства IDS/IPS или что-то подобное, то это может быть полезно.

Я бы установил глагол выше 1... Я оставлю его на 4, чтобы посмотреть, что произойдет.

Надеюсь, это поможет!

решение4

Извините, что вмешиваюсь, но после двух часов борьбы с восстановлением доступа в Интернет на компьютере с Windows, подключенном к серверу Ubuntu OpenVPN, я только что нашел то, что работает для меня (надеюсь, что и для других тоже):

[Windows 8.1 x64 и Ubuntu Server 20.04]

  1. На компьютере с Windows сначала перейдите в Network and Sharing Center, щелкните правой кнопкой мыши на вашей основной сетевой карте (в моем случае это Wi-Fi usb), затем Properties-> Internet Protocol Version 4-> Properties-> Advanced-> Снимите флажок Automatic metric-> установите Interface metricнебольшое число, например 10 -> OK-> OK->OK
  2. Теперь выпейте немного воды и запрыгните в Linux -> напишите в терминале nano /etc/openvpn/server/server.conf-> добавьте эту строку push "route-metric 1000"(1000 или похожее число) -> сохраните файл, Ctrl+Xзатем нажмите Y -> нажмите кнопку «Пуск» , чтобы перезапустить сервер OpenVPN, и, возможно, у вас снова появится доступ в Интернет на машине с Windows.systemctl restart [email protected]

Теперь у меня есть две полностью рабочие установки:

Машина с Windows, имеющая доступ в Интернет и подключенная к машине с Linux через OpenVPN Машина с Windows, имеющая доступ в Интернет и подключенная к машине с Linux под управлением Vbox через OpenVPN

Связанный контент