我有一个客户端(这也是一个192.168.203.0/24networking的网关),试图连接到远程服务器(这是一个192.168.150.0/24networking的网关),并build立一个完全的桥梁。
客户端有以下OpenVPNconfiguration:
dev tun remote gs.example.com ca OurCompany-CA.crt client port 5800 proto udp comp-lzo verb 3 cipher BF-CBC ca /etc/openvpn/gs-keys/ca.crt cert /etc/openvpn/gs-keys/kang.crt key /etc/openvpn/gs-keys/kang.key keepalive 10 60 status /var/log/openvpn-status.log log-append /var/log/openvpn.log 服务器具有以下内容:
port 5800 proto udp dev tun push "route 192.168.150.0 255.255.255.0" push "route 192.168.203.0 255.255.255.0" ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/kang-server.crt key /etc/openvpn/keys/kang-server.key dh /etc/openvpn/keys/dh1024.pem server 192.168.155.0 255.255.255.0 keepalive 10 120 comp-lzo status /var/log/openvpn-status.log log /var/log/openvpn.log verb 3 persist-key persist-tun client-config-dir /etc/openvpn/ccd
/etc/openvpn/ccd/kang.exmaple.org文件具有以下内容:
iroute 192.168.203.0 255.255.255.0
从炕(192.168.203.1),我可以ping 192.168.150.1,但没有别的(150.10,150.11,等等都给我“Destination Port Unreachable”)。 从gs(192.168.150.1)我可以ping任何203子网罚款。
从203networking的任何地方,我可以ping 192.168.150.1,但不能在该子网上的其他任何东西(得到“目的地端口不可达时,我ping 192.168.150.10)。从150子网上的任何东西(例如,如果我在192.168 .150.10)我甚至不能ping 192.168.203.1。
炕上的防火墙对通过它的tun适配器的任何东西都有一个ACCEPT规则。 在gs上,我也对tun0有了一个接受,但即使完全closures防火墙,我仍然有这些问题。
我想知道如果iroute规则甚至被从ccd文件读取。 那些应该如何显示在日志中?
编辑:
两台机器上的ip_forwarding(/ proc / sys / net / ipv4 / ip_forward)都设置为1。
在gs网关(192.168.150.1)如果我做traceroute:
traceroute 192.168.203.40 traceroute to 192.168.203.40 (192.168.203.40), 30 hops max, 38 byte packets 1 192.168.155.6 (192.168.155.6) 396.019 ms 372.837 ms 362.607 ms 2 192.168.203.40 (192.168.203.40) 364.324 ms 387.439 ms 366.329 ms
跟192.168.150.10一样的traceroute:
traceroute 192.168.203.40 traceroute to 192.168.203.40 (192.168.203.40), 30 hops max, 38 byte packets 1 192.168.150.1 (192.168.150.1) 1.409 ms 1.173 ms 1.958 ms 2 192.168.150.1 (192.168.150.1) 1.475 ms 1.222 ms 1.068 ms
和192.168.150.10的路由表:
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.11.0 * 255.255.255.0 U 0 0 0 br-lan 192.168.150.0 * 255.255.255.0 U 0 0 0 eth0.2 default 192.168.150.1 0.0.0.0 UG 0 0 0 eth0.2
来自192.168.203.1(kang)的类似跟踪路由:
traceroute 192.168.150.1 traceroute to 192.168.150.1 (192.168.150.1), 30 hops max, 40 byte packets using UDP 1 192.168.150.1 (192.168.150.1) 51.687 ms 50.260 ms 54.513 ms kang:~ # traceroute 192.168.150.10 traceroute to 192.168.150.10 (192.168.150.10), 30 hops max, 40 byte packets using UDP 1 192.168.155.1 (192.168.155.1) 48.623 ms 55.955 ms 54.684 ms 2 192.168.155.1 (192.168.155.1) 57.062 ms 55.816 ms 57.978 ms
Kang的路由(Kang也是个人用户的VPN服务器,他们可以到192.168.203.0/24和192.168.150.1,但192.168.150.0/24上没有其他的)。 该VPN使用192.168.137.0/24子网:
route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.137.2 * 255.255.255.255 UH 0 0 0 tun0 192.168.155.5 * 255.255.255.255 UH 0 0 0 tun1 192.168.155.1 192.168.155.5 255.255.255.255 UGH 0 0 0 tun1 10.42.7.0 * 255.255.255.0 U 0 0 0 eth1 192.168.137.0 192.168.137.2 255.255.255.0 UG 0 0 0 tun0 192.168.203.0 * 255.255.255.0 U 0 0 0 eth0 192.168.150.0 192.168.155.5 255.255.255.0 UG 0 0 0 tun1 link-local * 255.255.0.0 U 0 0 0 eth0 loopback * 255.0.0.0 U 0 0 0 lo default 10.42.7.1 0.0.0.0 UG 0 0 0 eth1
有些事情要检查:
确保OpenVPN服务器和客户机上的/proc/sys/net/ipv4/ip_forward都是1 。
确保不是OpenVPN端点的机器具有路由信息,以使用VPN隧道到达其他networking。 如果机器是各自networking的网关,则路由应该自动处理。 如果没有,那么默认网关需要一个静态路由,通过OpenVPN端点发送另一个networking的stream量。