我在CentOS 6上运行OpenVPN 2.3.7。我正在使用路由(tun)并且有两个OpenVPN实例。 在第二个例子中,我想让两个客户端可见,即ping,访问端口等。它们都在同一个子网内,所以它应该是相当直接的,它们通过静态地址来configurationCCD。 我希望两个客户端能够通过他们的OpenVPN局域网IP地址看到对方,而不client-to-client在server.conf中启用client-to-client 。 我很确定它可以用iptables来完成,我使用它作为防火墙,虽然我使用CSF,但它是iptables的包装。 这些是客户端的IPv4地址: OpenVPN Client #1: 10.8.2.14 OpenVPN Client #2: 10.8.2.17 我需要客户端#1能够访问客户端2上运行的服务,我想兼容性客户端#2查看客户端#1是否需要响应。 我在OpenVPN服务器上尝试了几个FORWARD链规则,但是我无法获得两个客户端之间的任何通信。 OpenVPN服务器显然可以ping通两个客户端,客户端可以ping通OpenVPN服务器网关,客户端之间看不到明显的对话。 我已经尝试过的一些规则并没有工作: iptables -A FORWARD -s 10.8.2.14 -d 10.8.2.17 -j ACCEPT iptables -A FORWARD -s 10.8.2.17 -d 10.8.2.14 -j ACCEPT 我正在寻找iptables的帮助来让两个客户端可见,而不启用客户端到客户端,看到这是对两个客户端的特殊要求,而不是在其他地方需要。 另一种方法是通过NAT公开VPN客户端上的服务,但是我宁愿避免为了安全而这样做。 任何见解都会有所帮助! 谢谢, 詹姆士
Linux Kernel在3.6之前使用了路由caching来做IPv4多path路由,这意味着在两个单独的线路/ ISP之间的路由很容易。 algorithm从3.6改为每个包,这意味着需要一些路由表/规则/ iptables标记技巧来实现两条线/ ISP。 但是,如果您有两条具有相同ISP的线路,可以按平衡/故障转移方式将每条线路上的单个IP路由到每条线路上,那么从3.6开始,您可以轻松实现线路绑定(在IP级别)每个数据包在两个方向上的路由。 从4.4开始, 内核再次改变为基于源地址和目的地址的散列的基于stream量的负载平衡。 我目前正在运行内核4.4.36,并通过PPPoE连接使用多path路由。 我的来自ISP的下行stream量在每个数据包的基础上通过两条独立线路(一条IP路由到两条线路)。 这给我一个下载速度比一个单独的线速度更快。 几乎两条线的速度加起来。 它工作得很好,Skypevideo,VoIP(UDP),YouTube等都很好。 由于具有如此好的下行体验,我想尝试上行,但是我的上行stream量是根据跨ppp设备(具有相同IP地址)的较新的基于stream的algorithm来路由的。 这意味着我无法获得比单行速度更快的上传速度。 有没有一种方法来configuration当前的内核使用每个数据包algorithm? 还是其他一些方法来实现每个分组的多path路由? 我需要恢复到一个较旧的内核(我不想做其他各种原因)吗? 我的ISP不支持多链接ppp。 如果是相关的,我目前在Raspberry Pi 3上运行Arch Linux ARMv7。
我有一个IP路由添加问题。 令人惊讶的是,我可以添加路线,然后改变它,但我不能直接添加它: # ip route add 192.168.0.0/16 via 192.168.255.254 src 192.168.1.101 RTNETLINK answers: No such process 但: # ip route add 192.168.0.0/16 dev eth0 # ip route change 192.168.0.0/16 via 192.168.255.254 src 192.168.1.101 我的接口文件是: iface lo inet loopback auto eth0 iface eth0 inet static address 178.xxx.xxx.xxx netmask 255.255.255.192 network 178.xxx.xxx.xxx broadcast 178.xxx.xxx.xxx gateway 178.xxx.xxx.xxx auto […]
我有一个基于Linux的路由器,有四个接口(每个都有自己的私有子网)。 当我直接将设备直接连接到一个接口,另一个设备直接连接到另一个设备时(如没有交换机,只是一根跳线),如下所示,那么路由器就能正常工作。 DEVICE1 192.168.8.11 ——- 192.168.8.254 ROUTER 10.58.129.254 ——- DEVICE2 10.58.129.1 当我连接路由器与我们之间的交换机之间,如下所示,然后路由器不起作用。 DEVICE1 192.168.8.11 ———– switch1 | switch2 | switch3 | 192.168.8.254 ROUTER 10.58.129.254 ——– switch3 | DEVICE2 10.58.129.1 所有交换机都是第3层,Switch1(Dell PowerConnect 3548P)与Switch2(Dell PowerConnect 6224F)的光纤连接,这是我们的核心交换机,可处理大多数VLAN之间的路由。 这通过光纤连接到Switch3(Dell PowerConnect 6224)。 在两台VLAN(192.168.8.11或10.58.129.254)上都没有启用核心交换机的路由。 原因是因为我们的核心交换机不支持基于策略的路由select,因此这个Linux机箱在这些VLAN上执行路由的原因。 在通过交换机连接的路由器上,从Device1可以ping通Linux路由器上的接口192.168.8.254,但不能ping通另一个接口(10.58.129.254)。 Switch2configuration/诊断 switch2#show ip route Route Codes: R – RIP Derived, O – OSPF Derived, C […]
我正在尝试安装OpenVPN tun来连接两个局域网 打开的VPN连接已经启动,但是我的路由或NAT有问题。 我需要的是一个在服务器和客户端应该看起来像什么样的路由openvpn设置的例子。 主要路由表,Nat翻译,防火墙等 这是我的工作: 我的OpenVPN客户端可以访问服务器端的networking,但是我的服务器甚至无法ping通我的OpenVpn客户端的eth0 我的服务器路由: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 192.168.1.254 0.0.0.0 UG 0 0 0 eth0 10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0 10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 eth0 192.168.1.0 0.0.0.0 255.255.255.0 […]
我得到错误“服务器发送带有不可路由地址的被动回复,而是使用服务器地址”。 当连接到FTP站点(而不是SFTP) 。 我已经连接到这个网站很多次,但FileZilla要求我在这个场合首次接受证书。 对于我正在连接的帐户而言,这似乎不是一个问题,因为它在该服务器上的所有帐户上都会发生。
我最近在我的Ubuntu VPS上安装了OpenVPN。 当我尝试连接到它时,我可以build立连接。 不过,我尝试连接的所有东西都超时了。 如果我尝试ping一些东西,它会parsingIP,但解决IP后会超时。 (所以DNS服务器似乎正常工作) 我的server.conf有这个相关的信息(至less我认为这是相关的,我不确定是否需要更多或不) port 1194 proto udp dev tun ca ca.crt cert server.crt key server.key # This file should be kept secret dh dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" ;push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" ;client-to-client ;duplicate-cn keepalive 10 120 ;tls-auth […]
目前我有一个10.2.1.0/24networking上的地址为10.2.1.1的路由器。 我所有的主机都有默认网关10.2.1.1 ,掩码为255.255.255.0 。 我想知道:如果我将路由器更改为10.2.0.0/16 ,那么具有对应于/24子网掩码的主机仍然在工作(在重新configuration之前)? 编辑:如果这是不可能的,假设这些都是pfSense设备后面的所有Windows主机,从较小的子网转换到较大的子网的最佳方法是什么? 编辑1:为了澄清,我将保持路由器地址为10.2.1.1,只是使子网更大(/ 16而不是/ 24)。
我最近注册了SMTP2GO(smtpcorp)。 我在EC2服务器上安装了postfix,并把它指向我的smtp2go帐户: relayhost = [smtpcorp.com]:2525 现在我所有的邮件都通过SMTP2GO路由,但问题是,由cron job ect生成的1000多封电子邮件正在使用电子邮件地址发送到SMTP2GO: [email protected] 我的问题是,什么是阻止所有这些“本地”电子邮件被路由到SMTP2GO的最好方法? 谢谢 马丁 我的main.cf: smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) biff = no append_dot_mydomain = no readme_directory = no smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key smtpd_use_tls=yes smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache myhostname = ec2-46-51-151-256.eu-west-1.compute.amazonaws.com alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = /etc/mailname mydestination = ec2-46-51-151-256.eu-west-1.compute.amazonaws.com, localhost.eu-west-1.compute.internal, localhost relayhost […]
我有一个Ubuntu 16.04服务器,充当具有多个(VLAN)接口的路由器。 缺省情况下,所有接口都使能了rp_filter (反向path过滤)。 我想保持这种方式,但只是一个接口的例外。 (来自这个接口的数据包应该被允许有一个源IP地址,这个IP地址不对应这个接口的任何路由目的地址。) 假设这个接口的名字是ens20.4 ,它的vlan-raw-device是ens20 ,目的接口(用于testing数据包stream)被命名为ens20.2 (尽pipe它适用于任何目标接口)。 我试图只为ens20.4设置rp_filter属性,但没有成功: echo 0 > /proc/sys/net/ipv4/conf/ens20.4/rp_filter 所以,出于testing目的,我还禁用了vlan-raw-device和testing目标接口的rp_filter : echo 0 > /proc/sys/net/ipv4/conf/ens20/rp_filter echo 0 > /proc/sys/net/ipv4/conf/ens20.2/rp_filter 仍然没有成功,具有“欺骗”源IP地址的数据包仍然被丢弃。 只有当我禁用所有接口的rp_filter ,数据包才能通过: echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter 但是,我仍然想保留所有其他接口的反向path过滤 – 我错过了什么?