编辑 :我知道, learn-address是我需要用来调用脚本(在openvpn-netfilter项目中指定)来设置防火墙规则。 我想我的问题更多地涉及到config.ovpn脚本。 你如何configurationclient.ovpn文件同时学习到用户需要哪些路由,同时也保持互联网stream量到用户的ISP? 我有一个关于如何做每个用户防火墙规则的问题,同时也不通过OpenVPN服务器路由Internetstream量。 我正在尝试为我和一群朋友build立VPN服务器,因为我们正在进行一个项目。 我将执行这样的Github项目: https : //github.com/gdestuynder/openvpn-netfilter 。 这将使VPN服务器能够为用户查找ACL,并在服务器端使用iptables来实现它们。 所有其他stream量将被丢弃。 对于我自己的私人家庭VPN,我知道我可以在我的client.ovpnconfiguration中使用以下内容, 不通过VPN路由Internetstream量: route-nopull route 192.168.1.0 255.255.255.0 其中, 192.168.1.0/24是我的家庭子网,而10.8.0.0/24 (未显示)是tun适配器的DHCP IP范围。 我知道把它放在客户端的configuration覆盖服务器设置push "redirect-gateway def1 bypass-dhcp" 。 这是我弄糊涂了:我已经知道我的家庭子网是192.168.1.0/24 ,所以我可以很容易地把它放在client.ovpn文件。 但是,如果我不了解我可以访问的子网/ IP(大多数用户不知道),那么OpenVPN如何dynamic地将每个用户的VPN规则推送到客户端? 换句话说,如果user1访问10.0.2.10和10.0.2.10 , user2访问10.0.2.10和10.0.3.4 ,OpenVPN如何知道如何将正确的路由推送给每个用户,同时使用相同的通用client.ovpn组态?
server1 – eth0 – 192.168.1.212(192.168.1.0/24) – eth1 – 192.168.5.1(192.168.5.0/24) – > router2 – > DSL server2 – eth0 – 192.168.1.223(192.168.1.0/24) – eth1 – 192.168.123.223(192.168.123.0/24) (DSL)router2 < – > server1 < – > server2 在server1上 route add -net 192.168.123.0/24 gw 192.168.1.223 dev eth0 iptables -A FORWARD -s 192.168.123.0/24 -d 0/0 -j ACCEPT iptables -A FORWARD -m […]
我只是在我的Ubuntu服务器上设置了第二个IP地址,现在我试图用ip route replace default via <old-ip> src <new-ip>来将默认的外出IP地址更改为新的IP地址。 但是,每当我重新启动networking服务,它就会变成旧的IP地址。
我试图创build两条路线 – Send all packets with IP protocol version 100 to 1.1.1.1 (via device eth1) Send all other IP packets to 2.2.2.2 (via device eth2) 回顾ip-route和ip-rules的手册页,似乎我应该能够做到这一点,但我一直无法找出正确的语法。 本文举例说明如何设置基于策略的路由,但它基于源IP地址 ,而不是协议号 : http : //blog.scottlowe.org/2013/05/29/a-quick-introduction-to -linux-策略路由/ 是否可以创build基于协议的路由规则?
我有一个pptp服务器,发出一个本地IP给成功的身份validation每个用户。 这些IP的范围是10.1.1.2-10.1.1.254。 这一切都可以,但是我有一套128个公共IP地址,我想用这些IP地址,当他们在互联网上看到他们拥有不同的公有IP(或者每个私有IP至less有一个公共IP)。 我没有在IPTables MASQUERADE,因为这将打败我的观点,所以我添加了一些POSTROUTING分配的IP,但这是行不通的,你可以给我一个为什么? 这是我在IPTABLES路由: iptables -t nat -A POSTROUTING -s 10.1.1.2 -o enp2s0f0 -j SNAT –to-source 111.222.62.131 iptables -t nat -A POSTROUTING -s 10.1.1.3 -o enp2s0f0 -j SNAT –to-source 111.222.62.131 iptables -t nat -A POSTROUTING -s 10.1.1.4 -o enp2s0f0 -j SNAT –to-source 111.222.62.132 iptables -t nat -A POSTROUTING -s 10.1.1.5 -o enp2s0f0 -j […]
有没有办法限制VPN客户端只通过VPN路由特定的stream量,其余的通过本地网关? 例如:到某个IP或域的stream量通过VPN进行路由,所有其他请求都不通过。 让我知道你是否需要更多的细节。 谢谢。
我已经build立了一个静态的一对一OpenVPN连接罚款。 不过,我似乎无法让客户端通过VPN设备路由所有stream量。 这是我的configuration: 客户端configuration: remote 89.21.xx.xx dev tun ifconfig 10.8.0.2 10.8.0.1 secret static.key comp-lzo keepalive 10 60 ping-timer-rem persist-tun persist-key 服务器configuration: dev tun ifconfig 10.8.0.1 10.8.0.2 push "redirect-gateway def1" secret static.key comp-lzo keepalive 10 60 ping-timer-rem persist-tun persist-key verb 5 从所有的研究我做了服务器configuration线推“redirect网关def1”应该使客户端路由所有stream量通过VPN。 但是它没有这个效果。 我可以在10.8.0.1上ping / ssh / http到服务器,客户端的路由表如下所示,但正常的stream量正在使用正常(不安全)的路由: root@t42:~# route -n Kernel IP routing table Destination […]
我的本地networking上的一台服务器正在运行Apache2,它托pipe着可从Internet访问的站点。 我可以从networking外部访问该网站,但不能从内部访问该网站。 也就是说,当我的互联网连接由提供互联网访问到Web服务器的相同路由器提供时,我无法访问网站。 我意识到这是因为路由器不允许同时在端口80上的两个连接,但我可能是错的。 有什么想法吗?
我有Linux的箱子,它有两个networking接口,eth0,eth1。 从eth1我可以访问一个内部网站,说在端口8080.从箱子外面,我无法访问该networking。 我的问题是,有没有办法从盒子外面设置一些东西,似乎有一个web服务器运行在端口8080,当我连接到它,它会自动转发到eht1的内部网站? 我试图启用ip转发并添加一个静态路由,但它不起作用。 谢谢。
我想要使用相同的IP地址托pipe几个网站。 我的ISP给了我一个静态IP地址,但是我有三个不同的networking服务器(所有运行不同的站点)挂在一个廉价的交换机后面,所有都最终落后于这一个IP地址(我是一个Apache,两个是Windows的,所以我不能真正巩固他们)。 我可以使用基于端口和传入IP地址的交换机进行端口转发,但不能使用主机名。 这不是一个长期的解决scheme,因为唯一的方法来区分我试图通过端口的networking服务器。 这很丑陋。 我也有一个两个网卡,我希望作为一个更强大的防火墙/路由器使用Linux的盒子。 我的问题是 – 什么是最好的方式把我的Linux机器(运行Xubuntu)到一个路由器,将能够路由的主机名称,而不仅仅是IP地址? 我想离开Xubuntu的盒子,所以没有专门的路由器Linux发行版请。 我看了Shorewall,但是我找不到一个方法让它根据主机名而不是IP地址来路由数据包。 IPTables的路要走吗? 如果是这样,有人可以指向我的教程或如何做到这一点? 我GOOGLE了,我很震惊,这不是一个更频繁的情况!