服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Openvpn在同一子网中的客户端/服务器
Intereting Posts
戴尔PowerEdge T710,新增一块硬盘,怎么样? Linuxdynamic速率限制/限制 如何在GRUB2上使用memtest86 +的“badram”输出? 如何在等量SAN上收缩卷 IIS有SRV _SERVICElogging吗? 使用火线来build立一个真实的networking是否可行? Postfix忽略与dovecot SASL – 如何debugging? 从命令行设置XEN DomU的maxmem? 将OU级别的权限应用于AD中的所有子对象? 将漫游configuration文件用户从2008年移至2012年新域名; login和权限问题 如何处理双NAT后面的站点到站点VPN站点 Windows DNS NSloggingTTL LVM分区“不可用”? 寻找一个参考munin单字母前缀 即使“密码必须更改”设置为“从不”(Samba + LDAP),密码也会过期45天

Openvpn在同一子网中的客户端/服务器

我试图从坐在具有相同子网(也是192.168.1.0/24)的networking上的客户端打开办公networking(192.168.1.0/24)。 这是一个Linux(Ubuntu 9.10)服务器和Windows客户端。

我跟着这个Ubuntu的openvpn社区文档指南 ,从我可以告诉基地连接工作正常。 当然,我得到了一堆有关IP地址冲突的错误/警告。

然后,我试图按照“肮脏的NAT技巧,以获得一个VPN与私人地址空间中编号的客户端一起工作,但尚未成功”本指南。 虽然我对路由/伪装有理论上的理解,但我的实际经验相对较less,不确定哪里出了问题。

到目前为止,我已经到了客户端连接到服务器的位置,并且分配了一个IP 10.22.8.10。 但是我无法ping通服务器IP 10.22.8.1像文件build议我应该能够。

服务器configuration基本上与指南1相同,修改指南2 ,即设置“服务器网桥10.22.8.1 255.255.255.0 10.22.8.10 10.22.8.120”和“推送”路由10.22.0.0 255.255.0.0 10.22.8.1 “”。 另外,我将tap接口configuration命令添加到up.sh.

客户端configuration与指南1保持一致。

服务器'ifconfig tap0'(编辑:对不起,如果这看起来很矛盾。在编辑这篇文章的预览窗格中看起来很好)

tap0 Link encap:Ethernet HWaddr ee:ee:a8:04:8a:fc inet addr:10.22.8.1 Bcast:0.0.0.0 Mask:255.255.255.0 inet6 addr:fe80 :: ecee:a8ff:fe04:8afc / 64范围:链路UP广播运行PROMISC MULTICAST MTU:1500度量:1 RX包:610错误:0丢弃:0超限:0帧:0 TX包:4533错误:0丢弃:0超载:0载波:0冲突:0 txqueuelen:100 RX字节:111341(111.3 KB)TX字节:650830(650.8 KB)

客户端login连接: 

Mon Mar 01 00:30:13 2010 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009 Mon Mar 01 00:30:13 2010 WARNING: No server certificate verification method has been enabled. See URL-REDACTED for more info. Mon Mar 01 00:30:13 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables Mon Mar 01 00:30:13 2010 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file Mon Mar 01 00:30:13 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Mon Mar 01 00:30:13 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Mon Mar 01 00:30:13 2010 LZO compression initialized Mon Mar 01 00:30:13 2010 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ] Mon Mar 01 00:30:13 2010 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ] Mon Mar 01 00:30:13 2010 Local Options hash (VER=V4): '13a273ba' Mon Mar 01 00:30:13 2010 Expected Remote Options hash (VER=V4): '360696c5' Mon Mar 01 00:30:13 2010 Socket Buffers: R=[8192->8192] S=[8192->8192] Mon Mar 01 00:30:13 2010 UDPv4 link local: [undef] Mon Mar 01 00:30:13 2010 UDPv4 link remote: REDACTED:1194 Mon Mar 01 00:30:13 2010 TLS: Initial packet from REDACTED:1194, sid=11055cf2 cc0d1ea0 Mon Mar 01 00:30:14 2010 VERIFY OK: depth=1, REDACTED Mon Mar 01 00:30:14 2010 VERIFY OK: depth=0, REDACTED Mon Mar 01 00:30:14 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Mon Mar 01 00:30:14 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Mon Mar 01 00:30:14 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Mon Mar 01 00:30:14 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Mon Mar 01 00:30:14 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA Mon Mar 01 00:30:14 2010 [server] Peer Connection Initiated with REDACTED:1194 Mon Mar 01 00:30:17 2010 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1) Mon Mar 01 00:30:17 2010 PUSH: Received control message: 'PUSH_REPLY,route 10.22.0.0 255.255.0.0 10.22.8.1,route-gateway 10.22.8.1,ping 10,ping-restart 120,ifconfig 10.22.8.10 255.255.255.0' Mon Mar 01 00:30:17 2010 OPTIONS IMPORT: timers and/or timeouts modified Mon Mar 01 00:30:17 2010 OPTIONS IMPORT: --ifconfig/up options modified Mon Mar 01 00:30:17 2010 OPTIONS IMPORT: route options modified Mon Mar 01 00:30:17 2010 OPTIONS IMPORT: route-related options modified Mon Mar 01 00:30:17 2010 ROUTE default_gateway=192.168.1.254 Mon Mar 01 00:30:17 2010 TAP-WIN32 device [Local Area Connection 2] opened: \\.\Global\{7464875E-98E9-46AF-8F86-69FF32FFB722}.tap Mon Mar 01 00:30:17 2010 TAP-Win32 Driver Version 9.6 Mon Mar 01 00:30:17 2010 TAP-Win32 MTU=1500 Mon Mar 01 00:30:17 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.22.8.10/255.255.255.0 on interface {7464875E-98E9-46AF-8F86-69FF32FFB722} [DHCP-serv: 10.22.8.0, lease-time: 31536000] Mon Mar 01 00:30:17 2010 Successful ARP Flush on interface [33] {7464875E-98E9-46AF-8F86-69FF32FFB722} Mon Mar 01 00:30:22 2010 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up Mon Mar 01 00:30:22 2010 C:\WINDOWS\system32\route.exe ADD 10.22.0.0 MASK 255.255.0.0 10.22.8.1 Mon Mar 01 00:30:22 2010 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4 Mon Mar 01 00:30:22 2010 Route addition via IPAPI succeeded [adaptive] Mon Mar 01 00:30:22 2010 Initialization Sequence Completed Mon Mar 01 01:30:14 2010 TLS: soft reset sec=0 bytes=648728/0 pkts=3922/0 Mon Mar 01 01:30:14 2010 VERIFY OK: depth=1, REDACTED Mon Mar 01 01:30:14 2010 VERIFY OK: depth=0, REDACTED Mon Mar 01 01:30:15 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Mon Mar 01 01:30:15 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Mon Mar 01 01:30:15 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Mon Mar 01 01:30:15 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Mon Mar 01 01:30:15 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA

客户端路由似乎被推送(路由打印): 

  Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 192.168.1.254 192.168.1.23 25 10.22.0.0 255.255.0.0 10.22.8.1 10.22.8.10 30 10.22.8.0 255.255.255.0 On-link 10.22.8.10 286 10.22.8.10 255.255.255.255 On-link 10.22.8.10 286 10.22.8.255 255.255.255.255 On-link 10.22.8.10 286 ...

但是,当我试图达到10.22.8.1它似乎仍然想跳出我的本地互联网连接: 

  C:\Windows\system32>tracert 10.22.8.1 Tracing route to 10.22.8.1 over a maximum of 30 hops 1 1 ms 1 ms 1 ms home.gateway [192.168.1.254] 2 nexthop.qld.iinet.net.au [203.55.228.88] reports: Destination net unreachable.

任何人都可以告诉我我做错了什么(或者,如果有一个简单的,更成功的方式做我想做的事 – 注意,根据指南2中的解决scheme#1,重命名任一子网是不可能的)

您的默认路由度量值低于10.22.0.0/16路由,并被路由到默认路由。 在parsing路由时,如果多个路由与目的地匹配,则较低的度量值路由优先。

通过VPN推送默认路由,或者为10.22.0.0/16推低度量(增加默认路由的度量)。

它应该是这样的: 

 Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 192.168.1.254 192.168.1.23 1000 10.22.0.0 255.255.0.0 10.22.8.1 10.22.8.10 30 10.22.8.0 255.255.255.0 On-link 10.22.8.10 286 10.22.8.10 255.255.255.255 On-link 10.22.8.10 286 10.22.8.255 255.255.255.255 On-link 10.22.8.10 286

你需要做的是删除默认路由,并添加一个只针对你的VPN服务器的路由,并通过你的本地路由器将其标记为可用。

所以,你应该有3条路线: 

 vpn.example.com 255.255.255.255 gw 1​​92.168.1.254
 192.168.1.0 255.255.255.0 gw 1​​0.22.8.1
 0.0.0.0 0.0.0.0 gw 1​​0.22.8.1