Я настроил сервер OpenVPN на сервере в офисе, чтобы люди могли подключаться к VPN. Они могут попасть на любой хост в офисной сети, но если они попытаются получить доступ к нашему центру обработки данных в другой подсети, ничего не произойдет. Я думаю, что он есть в списке доступа маршрутизатора cisco, но не могу понять, в чем дело.
Office LAN: 192.168.71.0/24
DataCenter Lan: 192.168.100.0/24
OpenVPN Server: 192.168.71.15
VPN LAN: 192.168.61.0/24
Office Router IP: 192.168.71.1
Итак, когда клиент подключен, его таблица маршрутизации выглядит следующим образом:
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.61.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.61.1 192.168.61.5 255.255.255.255 UGH 0 0 0 tun0
192.168.100.0 192.168.61.5 255.255.255.0 UG 0 0 0 tun0
192.168.71.0 192.168.61.5 255.255.255.0 UG 0 0 0 tun0
192.168.1.0 0.0.0.0 255.255.255.0 U 2 0 0 wlan0
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 wlan0
Трассировка маршрута к центру обработки данных выглядит так
traceroute to 192.168.100.52 (192.168.100.52), 30 hops max, 60 byte packets
1 192.168.61.1 (192.168.61.1) 18.851 ms 39.294 ms 39.297 ms
2 192.168.71.1 (192.168.71.1) 39.287 ms 39.278 ms 39.269 ms
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
Вот таблица маршрутизации на сервере openvpn
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.61.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.71.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.61.0 192.168.61.2 255.255.255.0 UG 0 0 0 tun0
192.168.122.0 0.0.0.0 255.255.255.0 U 0 0 0 virbr0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
0.0.0.0 192.168.71.1 0.0.0.0 UG 0 0 0 eth0
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 eth0
Итак, мне кажется, что пакет доходит до офисного маршрутизатора.
Вот моя конфигурация маршрута для маршрутизатора Cisco
ip route 0.0.0.0 0.0.0.0 216.173.2.217
ip route 10.1.168.0 255.255.255.0 192.168.71.5
ip route 10.100.1.0 255.255.255.0 192.168.72.5
ip route 192.168.61.0 255.255.255.0 192.168.71.15
А вот мой список доступа
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 192.168.71.0 0.0.0.255
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 100 remark CCP_ACL Category=4
access-list 100 permit ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip any 192.168.0.0 0.0.255.255
access-list 101 deny ip any 172.16.0.0 0.15.255.255
access-list 101 deny ip any 10.0.0.0 0.255.255.255
access-list 101 permit ip 192.168.71.0 0.0.0.255 any
access-list 102 remark CCP_ACL Category=4
access-list 102 permit ip 192.168.71.0 0.0.0.255 any
access-list 103 remark CCP_ACL Category=4
access-list 103 permit ip 192.168.71.0 0.0.0.255 any
access-list 103 permit ip 192.168.100.0 0.0.0.255 any
access-list 120 permit ip 192.168.71.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 701 deny 0007.e917.876f 0000.0000.0000
Есть ли какая-нибудь помощь или указания?
решение1
Я предполагаю, что у вашего маршрутизатора Cisco есть две «ноги»: одна для локальной сети офиса и одна для локальной сети центра обработки данных.
Пакеты от пользователей VPN поступают в ваш центр обработки данных, но у них нет обратного маршрута, поскольку Cisco не знает, что сервер Open VPN является маршрутизатором для VPN LAN.
Вам необходимо добавить маршрут в Cisco, который сообщит ему о необходимости маршрутизации пакетов с пунктом назначения 192.168.61.0/24 на 192.168.71.15, который, будучи маршрутизатором OpenVPN, имеет маршрут к этой сети и, в свою очередь, будет пересылать пакеты на хост(ы) VPN.