服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 现场到现场openvpn与梅林和DD-WRT
Intereting Posts
Nginx重写为symfony2无法正常工作 MySQL错误:连接太多 无法连接到AWS RDS实例 在PAN-OS(Palo Alto Networks)防火墙上logging传入stream量 寻找一个脚本来恢复SQL服务器备份 从其他机器提供内核熵源和/或增加其最大尺寸 阻止某个时间段的IP地址 某些虚拟主机的Apache HSTS例外 Windows XP客户端无法访问2012 R2域控制器上的\\ domain.local \ SYSVOL共享 mod_rewrite页面使用HTTPauthentication 如何直接在registry中更改“访问networking”设置? Apache – 我应该使用“ProxyPass …”还是“RewriteRule … ”来代理请求? 统计sendmail排队的邮件数量最有效的方法是什么? Internet Explorer不在服务器2008 R2上更新 .htaccess忽略,而apache.config说它被激活

现场到现场openvpn与梅林和DD-WRT

我正尝试在站点A(Server-Merlin)和站点B(Client DD-WRT)之间build立一个OpenVPN站点。 隧道出现,两个对等端都能够互相ping通,但是当客户端子网(10.1.30.0/24)上的任何人尝试ping服务器端(10.1.10.0/24)的任何主机时,服务器将丢弃数据包因为即使在添加路由之后,服务器也不知道如何到达客户的子网。 这里是configuration:

服务器

自动生成configuration

守护进程

服务器172.16.254.0 255.255.255.248

原始udp

港口1198

dev tun21

密码AES-256-CBC

compzozo适应

保持活力15 60

动词3

推“路由10.1.10.0 255.255.255.0”

client-config-dir ccd

客户端到客户端

重复-CN

ca ca.crt

dh dh.pem

cert server.crt

密钥server.key

状态版本2

状态状态

自定义configuration

ifconfig 172.16.254.1 255.255.255.248M

pipe理127.0.0.1 5001M

auth none

防火墙 – 服务器

iptables -I INPUT 2 -p udp –dport 1198 -j ACCEPT

iptables -I FORWARD -i br0 -o tun21 -j ACCEPT

iptables -I FORWARD -i tun21 -o br0 -j ACCEPT

路由表服务器:

172.16.254.2 dev tun21 proto内核作用域链接src 172.16.254.1

xxxx dev eth0范围链接

172.16.254.0/29通过172.16.254.2 dev tun21

xxxx / 28 dev eth0原始内核作用域链接src xxxx

10.1.10.0/24 dev br0 proto kernel scope链接src 10.1.10.254

127.0.0.0/8 dev lo scope链接

默认通过xxxx dev eth0

客户端configuration:

ca /tmp/openvpncl/ca.crt

cert /tmp/openvpncl/client.crt

键/tmp/openvpncl/client.key

pipe理127.0.0.1 5001

pipe理日志caching50

动词4

静音3

log-append / var / log / openvpncl

writepid /var/run/openvpncl.pid

客户

resolv-retry无限

nobind

坚持键

坚持-TUN

脚本安全2

mtu-disc是的

dev tun1

原始udp

密码aes-256-cbc

auth none

远程xxxx 1198

compzozo适应

tun-mtu 1500

快速IO

客户端防火墙

iptables -I INPUT 2 -p udp –dport 1198 -j ACCEPT

iptables -I FORWARD -i br0 -o tun1 -j ACCEPT

iptables -I FORWARD -i tun1 -o br0 -j ACCEPT

客户端路由表:

内核IP路由表

目标网关Genmask标志度量参考使用Iface

0.0.0.0 192.168.2.253 0.0.0.0 UG 0 0 0 eth1

10.1.10.0 172.16.254.5 255.255.255.0 UG 0 0 0 tun1

10.1.30.0 0.0.0.0 255.255.255.0 U 0 0 0 br0

127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo

169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 br0

172.16.254.0 172.16.254.5 255.255.255.248 UG 0 0 0 tun1

172.16.254.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun1

192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1

239.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 br0

奇怪的是,在客户端,tun设备的IP为172.16.254.6,网关为172.16.254.5,服务器端的IP为172.16.254.1,tun IP为172.16.254.2。 在服务器端,我不能ping通172.16.254.2,但我可以ping客户端(172.16.254.6)的tun IP,反之亦然,我不能ping 172.16.254.5这是网关,但我可以ping 172.16.254.1。

服务器接口

ip addr

1:lo:mtu 16436 qdisc noqueue

链接/回放00:00:00:00:00:00 brd 00:00:00:00:00:00

inet 127.0.0.1/8 brd 127.255.255.255 scope host lo

2:eth0:mtu 1500 qdisc pfifo_fast qlen 1000

link / ether d8:50:e6:cb:f5:f0 brd ff:ff:ff:ff:ff:ff

inet xxxx / 28 brd xxxx scope global eth0

3:eth1:mtu 1500 qdisc pfifo_fast qlen 1000

link / ether d8:50:e6:cb:f5:f0 brd ff:ff:ff:ff:ff:ff

4:eth2:mtu 1500 qdisc pfifo_fast qlen 1000

link / ether d8:50:e6:cb:f5:f4 brd ff:ff:ff:ff:ff:ff

5:vlan1 @ eth0:mtu 1500 qdisc noqueue

link / ether d8:50:e6:cb:f5:f0 brd ff:ff:ff:ff:ff:ff

6:vlan2 @ eth0:mtu 1500 qdisc noop

link / ether d8:50:e6:cb:f5:f0 brd ff:ff:ff:ff:ff:ff

7:br0:mtu 1500 qdisc noqueue

link / ether d8:50:e6:cb:f5:f0 brd ff:ff:ff:ff:ff:ff

inet 10.1.10.254/24 brd 10.1.10.255 scope global br0

8:tun21:mtu 1500 qdisc

pfifo_fast qlen 100

链路/ [65534]

inet 172.16.254.1 peer 172.16.254.2/32 scope global tun21

客户端界面:

ath0 Link encap:以太网HWaddr B0:C7:45:75:1C:F6 

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:2528056 errors:0 dropped:0 overruns:0 frame:0 TX packets:3317121 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:32 RX bytes:177453174 (169.2 MiB) TX bytes:539912763 (514.9 MiB)

ath1 Link encap:以太网HWaddr B0:C7:45:75:1C:F7 

  UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:12502 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:32 RX bytes:0 (0.0 B) TX bytes:1688459 (1.6 MiB)

br0链接封装:以太网HWaddr B0:C7:45:75:1C:F6 

  inet addr:10.1.30.251 Bcast:10.1.30.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:3715741 errors:0 dropped:3772 overruns:0 frame:0 TX packets:5006361 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:415672171 (396.4 MiB) TX bytes:6820174338 (6.3 GiB)

br0:0链接encap:以太网HWaddr B0:C7:45:75:1C:F6 

  inet addr:169.254.255.1 Bcast:169.254.255.255 Mask:255.255.0.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

eth0 Link encap:以太网HWaddr B0:C7:45:75:1C:F6 UP BROADCAST运行多播MTU:1500度量标准:1 

  RX packets:610099 errors:0 dropped:4 overruns:18 frame:0 TX packets:931175 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:263258272 (251.0 MiB) TX bytes:833541212 (794.9 MiB) Interrupt:4

eth1链接封装:以太网HWaddr B0:C7:45:75:1C:F6 

  inet addr:192.168.2.254 Bcast:192.168.2.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1492 Metric:1 RX packets:5071499 errors:0 dropped:787 overruns:0 frame:0 TX packets:3681042 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:2519572372 (2.3 GiB) TX bytes:462892303 (441.4 MiB) Interrupt:5

链路封装:本地环回 

  inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1 RX packets:421 errors:0 dropped:0 overruns:0 frame:0 TX packets:421 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:37100 (36.2 KiB) TX bytes:37100 (36.2 KiB)

mon.ath0 Link encap:UNSPEC HWaddr B0-C7-45-75-1C-F6-00-00-00-00-00-00-00-00-00-00上行广播运行组播MTU:1500公制:1 

  RX packets:462186 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:32 RX bytes:105722162 (100.8 MiB) TX bytes:0 (0.0 B)

mon.ath1 Link encap:UNSPEC HWaddr B0-C7-45-75-1C-F7-00-00-00-00-00-00-00-00-00-00 

  UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:3114 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:32 RX bytes:377428 (368.5 KiB) TX bytes:0 (0.0 B)

tun1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 

  inet addr:172.16.254.6 PtP:172.16.254.5 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:268 errors:0 dropped:0 overruns:0 frame:0 TX packets:14279 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:22488 (21.9 KiB) TX bytes:775355 (757.1 KiB)

从服务器Ping对端IP:

ping 172.16.254.2

PING 172.16.254.2(172.16.254.2):56个数据字节

— 172.16.254.2 ping统计—

发送4个数据包,接收0个数据包,100%丢包

从服务器ping tun0的客户端IP地址:

ping 172.16.254.6

PING 172.16.254.6(172.16.254.6):56个数据字节

来自172.16.254.6的64个字节:seq = 0 ttl = 64时间= 30.222ms

来自172.16.254.6的64个字节:seq = 1 ttl = 64时间= 29.536ms

来自172.16.254.6的64字节:seq = 2 ttl = 64时间= 30.918ms

来自172.16.254.6的64个字节:seq = 3 ttl = 64时间= 30.386ms

来自172.16.254.6的64个字节:seq = 4 ttl = 64时间= 30.788ms

来自172.16.254.6的64字节:seq = 5 ttl = 64时间= 31.271ms

— 172.16.254.6 ping统计—

发送6个数据包,接收6个数据包,0%丢包

往返最小/平均/最大= 29.536 / 30.520 / 31.271毫秒

从客户端ping对端IP:

ping 172.16.254.5

PING 172.16.254.5(172.16.254.5):56个数据字节

^ C — 172.16.254.5 ping统计—

发送7个数据包,接收0个数据包,100%丢包

从客户端ping服务器上的tun21的IP

ping 172.16.254.1

PING 172.16.254.1(172.16.254.1):56个数据字节

来自172.16.254.1的64个字节:seq = 0 ttl = 64时间= 29.253ms

来自172.16.254.1的64字节:seq = 1 ttl = 64时间= 31.730ms

来自172.16.254.1的64字节:seq = 2 ttl = 64时间= 30.010ms

^ C

— 172.16.254.1 ping统计—

发送3个数据包,接收3个数据包,丢包0%

往返最小/平均/最大= 29.253 / 30.331 / 31.730毫秒

我尝试添加到服务器上使用IP 172.16.254.6 10.1.30.0(客户端局域网)的路由,但它只会让我们映射到172.16.254.2

ip route通过172.16.254.6 dev tun21添加10.1.30.0/24

RTNETLINK回答:没有这样的过程

ip route add 10.1.30.0/24 via 172.16.254.2 dev tun21

从服务器ping客户端局域网上的主机 – 没有骰子

PING 10.1.30.100(10.1.30.100):56个数据字节

— 10.1.30.100 ping统计—

发送3个数据包,接收0个数据包,100%丢包

从客户端Ping服务器局域网上的主机 – 没有骰子

ping 10.1.10.100

PING 10.1.10.100(10.1.10.100):56个数据字节

^ C

— 10.1.10.100 ping统计—

发送2个数据包,接收0个数据包,100%丢包

日志从服务器端:

日志:1432700723,D,客户端/ xxxx:44820 UDPv4 READ [81]从[AF_INET] xxxx:44820:P_DATA_V1 kid = 0数据len = 80

LOG:1432700723,Client / xxxx:44820 MULTI:来自客户端的错误源地址[10.1.30.100],数据包丢失

日志:1432700723,D,客户端/ xxxx:44820 UDPv4 READ [81]从[AF_INET] xxxx:44820:P_DATA_V1 kid = 0数据len = 80

LOG:1432700723,Client / xxxx:44820 MULTI:来自客户端的错误源地址[10.1.30.106],丢包

日志:1432700724,D,客户端/ xxxx:44820 UDPv4 READ [81]从[AF_INET] xxxx:44820:P_DATA_V1 kid = 0 DATA len = 80

日志:1432700724,客户端/ xxxx:44820 MULTI:来自客户端的错误源地址[10.1.30.110],数据包丢失

2700729,Client / xxxx:44820 MULTI:来自客户端的错误源地址[10.1.30.100],数据包丢失

来自客户端的日志:

LOG:1432686050,D,UDPv4 WRITE [81]到xxxx:1198:P_DATA_V1 kid = 0 DATA len = 80

LOG:1432686050,D,UDPv4 WRITE [81]到xxxx:1198:P_DATA_V1 kid = 0 DATA len = 80

LOG:1432686051,D,UDPv4 WRITE [81]到xxxx:1198:P_DATA_V1 kid = 0 DATA len = 80

我甚至在两台路由器上运行了一个tcpdump,结果发现服务器端的LAN数据包甚至没有到达客户端路由器。

任何帮助,将不胜感激。

谢谢

我通过在我的configuration中添加以下行来解决这个问题

路由10.1.30.0 255.255.255.0

推“路由10.1.10.0 255.255.255.0”

推“路由10.1.30.0 255.255.255.0”

并在CCD文件夹中为我的客户添加以下行

less / tmp / etc / openvpn / server1 / ccd / CALPHA

iroute 10.1.30.0 255.255.255.0