我試圖透過一個 SSL VPN(F5,在我的 debian 筆記型電腦上運行== client)通過另一個(OpenVPN,在 debian linode 上運行== )建立隧道,但在 F5VPN 連接後server丟失所有客戶端網路(包括,例如)。ping我不確定這是否是由於我的 OpenVPN 配置或我的伺服器的防火牆/iptables 造成的,但懷疑是後者。不幸的是,我對網路並不了解,因此我非常感謝您提供的任何幫助。
我需要遠端(脫離實體 LAN)透過 SSH 進入一些受防火牆保護的運算叢集來進行環境建模(例如,這)。以前我可以在我的 Debian 筆記型電腦上使用叢集提供者強制的 F5VPN,其客戶端被稱為F5NAP(“網絡訪問[瀏覽器]插件”。”但是,存取策略已更改(特別是需要一個註冊的IP#),所以我不能再「直接」執行此操作(即,僅從我的筆記型電腦運行F5VPN)。我尋求透過從我的客戶端/筆記型電腦透過 debian linode 伺服器/跳轉箱實現 VPN 隧道來適應新政策(並恢復我的專案工作)。設計細節請看這裡,但我的設計可以用以下 ASCII 藝術來粗略概括:
<-MY CONTROL | AGENCY CONTROL->
| firewall
+----------+ +-----------+ | +---------------+ || +---------+
| laptop + | | linode + | | | remote-access | || | cluster |
| F5NAP + | <--> | OpenVPN | <-|-> | website + | <-||-> | node(s) |
| OpenVPN | | server + | | | F5VPN server | || | |
| client | | security | | | | || | |
+----------+ +-----------+ | +---------------+ || +---------+
(實施細節在這裡。請注意F5NAP==F5VPN 用戶端。
- 在我的 linode 上啟動 OpenVPN 伺服器(又稱「伺服器」)
- 在我的筆記型電腦上啟動 OpenVPN 用戶端, 之後Whatismyip.com顯示伺服器的IP#(已註冊)
- 啟動 F5VPN 用戶端(F5NAP 版 Firefox),從中仍然可以看到伺服器的 IP#。
- 使用F5VPN用戶端,登入該機構的遠端存取網站,並調出F5VPN的控制UI(例如,啟動/停止/登出)。
壞消息(詳情這裡)是,一旦我啟動 F5VPN,並在其 Web UI 中看到狀態==已連接,我的客戶端/筆記型電腦就會失去 IP 網路。我原本以為這只是一個 DNS 問題,但我甚至無法識別pingIP#,例如,
me@client:~ $ ping -c 4 141.101.120.15 # == www.whatismyip.com
PING 141.101.120.15 (141.101.120.15) 56(84) bytes of data.
--- 141.101.120.15 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3022ms
(這裡唯一的安慰是網路故障終止了隧道,這導致我的客戶端重新獲得其網路......而且還可以存取註冊的 IP#。)
我原以為這個問題是因為我的 OpenVPN 設定錯誤造成的,但現在懷疑我需要調整我的伺服器防火牆(即iptables,在 Debian 7.8 上運行)為了讓我的 OpenVPN 設定正常運作:查看客戶端命令列偵錯會話這裡。
還有一個複雜的情況:F5VPN是專有的,而且(恕我直言)不受 F5(供應商)或叢集提供者(他們的客戶,又稱為「代理商」)特別好的支援。特別是,我不知道(但已詢問)該機構 VPN 伺服器的 IP#:我只知道我所訪問的遠端存取網站的名稱(DNS 告訴我 IP#:-)需要用來登入F5VPN。