我有OpenVPN的设置和工作。 我的办公室是运营多个VLAN的大型build筑的一部分。 很显然,从我们自己的VLAN内,我可以访问本地资源,从世界其他地方我可以使用OpenVPN。 但是,当连接到不同的VLAN在同一个机构我不能做。
OpenVPN正在抱怨,因为它连接到build筑物的外部IP地址,但答复正在路由回去(我无法控制的交换机),这意味着答复不是来自预期的IP。 结果:
来自[AF_INET] 10.67.5.1:1194 [2]的拒绝来话封包
预期的对方地址:[AF_INET] 195.xxx:1194
(通过删除允许这个传入的源地址/端口
- 远程或添加 - 浮动)
(xxx =被审查的公共ip)
任何人帮助? (我意识到这与其他职位类似,但我认为我的问题有点不同,并有理由一个单独的问题)
根据要求,服务器conf:
端口1194 原始udp dev tun ca ca.crt cert server.crt key server.key#这个文件应该保密 dh dh1024.pem 服务器10.67.15.0 255.255.255.0 ifconfig-pool-persist ipp.txt 推“路线10.67.5.0 255.255.255.0” 保持活力10 120 COMP-LZO 坚持键 坚持-TUN 状态openvpn-status.log 动词3
客户端configuration
客户 远程example.org ca /etc/openvpn/ca.crt cert /etc/openvpn/client_rich.crt 键/etc/openvpn/client_rich.key comp-lzo是的 dev tun 原始udp nobind AUTH-非caching 脚本安全2 坚持键 坚持-TUN 用户openvpn 组openvpn
正如它所说的,添加一个float选项到客户端configuration,然后再试一次。
--float
允许远程对等方更改其IP地址和/或端口号,例如由于DHCP(如果不使用–remote,则这是默认值)。 – 使用–remote指定的浮动允许OpenVPN会话最初连接到已知地址的对等体,但是如果数据包从新地址到达并通过所有authenticationtesting,则新地址将控制会话。 当您连接到保存dynamic地址的对等设备(例如拨入用户或DHCP客户端)时,这非常有用。
实质上, – 浮动告诉OpenVPN接受来自任何地址的authentication数据包,而不仅仅是–remote选项中指定的地址。