我在Windows Server 2008 R2上安装了openvpn 2.1。 我的服务器有2个networking适配器。 第一个适配器连接到互联网。 (默认网关在这里) 第二个适配器连接到局域网。 ip 10.11.11.243子网掩码255.255.255.128 这是我的服务器configuration: port 1234 proto udp dev tun ca "ca.crt" cert "server.crt" key "server.key" dh "dh1024.pem" server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "route 10.11.11.0 255.255.255.0" client-to-client keepalive 10 120 comp-lzo persist-key persist-tun status openvpn-status.log verb 3 我的服务器启动正常,它得到了vpn ip:10.8.0.1 我的客户端通过服务器的互联网IP连接并且连接了IP 10.8.0.10 但是我不能连接服务器局域网中的其他计算机。 不能连接到任何10.11.11.x IP。 我怎样才能configuration我的客户端服务器可以连接到10.11.11.x服务器局域网?
我在192.168.2上有一个带有4个NIC的RHEL 6服务器。[30-33] / 24通过infoblox设置DHCP保留,我已经检查过并且MAC都匹配。 ifconfig显示每个networking掩码/ 24,路由表看起来不错。 我可以在我们的networking中打出任何我想要出的东西,但不是互联网。 名称parsing工作,但它不能到达互联网主机。 我可以在所有接口上从相同的子网访问正确的入站服务器,但不能从其他子网ping它。 iptables和ip6tablesclosures。 最初只设置了第一个网卡eth0,但OP将其余的网卡连接到交换机,并要求我重新启动networking服务,从而引发了问题。 我认为他们自己有什么错,在这种情况下会是什么假设?
我有一个基于Linux的防火墙/路由器运行iptables和SNAT通过一个单一的上行链路传输到互联网的stream量 – 这工作正常。 此服务器上运行的应用程序也很less,这也可以正常工作。 我也有一个运行在这个路由器上的OpenVPN客户端,我想要将一个特定的本地用户的stream量路由到这个隧道。 我已经build立了一个接口tun_v的隧道启动和运行。 我创build了一个新的路由表(/ etc / iproute2 / rt_tables)v.tunnel,我在这个表中添加一个单一的默认路由。 我已经创build了一个IP规则来使用这个表标记为1的stream量 我用1标记了用户的stream量。 IP路由添加默认通过172.25.26.61 dev tun_v表v.tunnel ip规则添加fwmark 1表v.tunnel iptables -t mangle -A OUTPUT -m所有者–uid-owner 1002 -j MARK –set-xmark 0x1 / 0xffffffff 我也在路由器上伪装stream量: iptables -t nat -A POSTROUTING -o wan -j MASQUERADE#这是正常的NAT到Internet iptables -t nat -A POSTROUTING -o tun_v -j MASQUERADE#对于隧道 防火墙还默认input(和转发)链,所以我允许相关的: iptables -A INPUT […]
我有一个场景,我需要一次运行几个OpenVPN连接,并允许单一的应用程序访问每个这些连接。 我怎么会一次启动几个OpenVPN连接,然后唯一连接到每一个? 在我的情况下,我需要为应用程序的networking请求随机发出这几个连接的请求。 然后,我也会每隔几分钟或每隔几分钟停止并启动OpenVPN连接,以获得新的IP。 我最担心的一个“棘手”的部分是我需要确保我不会在这个服务器上拦截正常的stream量,因为我有大约20个IP地址为其上运行的各种网站和其他应用程序(服务)也运行。 我需要启动这些OpenVPN连接,以便我可以特别允许这个单一的应用程序以随机方式利用这些连接。 我不完全确定我将如何做到这一点,以便我可以分别标识每个OpenVPN连接的使用情况。 我正在考虑通过EC2实例来完成这个工作,就像我以前所做的那样,但后来才意识到,也许我可以通过在单个服务器上build立所有连接来解决这个问题,因为我不需要担心高带宽。 从我看过的东西看来,这似乎是可行的,但是我还没有把这些细节放在一起,并且希望确保在拉起袖子之前我能够朝正确的方向前进。
我有一个运行CentOS的2个networking接口的虚拟机。 一个连接到专用networking(192.168.6.x),另一个连接到我们的公司networking。 当我尝试从有访问权的主机ssh私有地址我没有得到任何回应。 看起来这个请求是通过一个接口进入的,但是出去了。 因为另一个接口没有返回路由,数据包就会丢失。 为什么不把它发回到相同的界面呢? 有一个设置,我可以启用,所以它会。 编辑:请忽略我以前说的ping工作,但ssh不是,我错了。 编辑:路由的结果-n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.10.192.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.6.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 10.126.186.0 192.168.6.61 255.255.255.0 UG 0 0 0 eth0 172.91.4.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0.1026 10.126.163.0 172.91.4.1 […]
问题: 我有一种情况,IPSEC服务器和目标服务器(称为http服务器)碰巧是同一台机器,我只需要允许来自IPSEC服务器的stream量访问我的应用程序正在运行的端口,并阻止其他人在那个港口 更多细节: 安装程序如下所示:(主机A)<—- IPSEC VPN TUNNEL – >(主机B(Linux),其中应用程序在端口XXXX上运行)。 没有涉及到额外的IPSEC网关或防火墙。 主机B具有公共IP地址(静态)。 主机A发起连接并build立VPN隧道。 当我在ipsec解密之后logging到端口XXXX的stream量时,它看起来像任何正常的数据包,并且src被设置为“主机A的ip地址”并且dst被设置为“主机B的ip地址”,并且由于数据包被定位到主机B,在ipsec处理之后,POSTROUTING规则不适用于它。 现在,我已经在iptables中添加了规则来接受端口XXXX上的所有stream量: -A INPUT -p tcp –dport XXXX -s 0.0.0.0/0 -j ACCEPT 当这件事情发生时,XXXX港口向世界开放,这是危险的。 任何想法如何通过ipsecconfiguration或iptables规则或以任何其他方式来实现目标,只有来自ipsec端点的stream量才能访问XXXX? 在我心中几乎没有想法: 是否有可能确定离开IPSEC终点的TCP数据包,并在iptables中有一个规则,只允许这些数据包到达XXXX端口? ipsec处理后可能有一些iptable / ipsecconfiguration跳过INPUT规则? 这样我可以有iptable规则丢弃所有数据包到XXXX端口和ipsec出来的数据包不会受到影响。 可以在主机B上创build一个虚拟接口,并通过该接口路由IPSECstream量,只允许从该虚拟接口访问端口XXXX? 最糟糕的情况是,我将最终让ipsec服务器(主机B)和应用程序服务器(主机C)运行在不同的机器上,并允许通信从主机B到主机C上的端口XXXX。 我已经尝试了解决scheme@ 与iptables,匹配数据包通过IPSEC隧道到达,但它不工作,因为我想上述政策适用于数据包到达IPSEC,而不是离开IPSEC的数据包? 让我知道如果我错过了任何细节或任何额外的信息,你需要任何帮助/build议将不胜感激。
Tun1是我的VPN隧道。 我不明白为什么我在这里“无法达到”: # ip route default via 192.168.1.1 dev wlan1 proto static 10.1.0.0/16 via 10.9.0.5 dev tun1 10.9.0.1 via 10.9.0.5 dev tun1 10.9.0.5 dev tun1 proto kernel scope link src 10.9.0.6 192.168.1.0/24 dev wlan1 proto kernel scope link src 192.168.1.66 metric 9 # ip route get 10.1.1.1 10.1.1.1 via 10.9.0.5 dev tun1 src 10.9.0.6 cache […]
我有一台freebsd机器连接到我的sixxs ayiya隧道。 当我决定在我们的完整networking中实现IPv6时,我不仅从一个接口获得了来自六个接口的路由/ 48个接口。 我将使用RFC3849中的2001:DB8 :: / 32来描述我的设置。 因此我的子网是2001:DB8:ae02 :: / 48。 我已经为每个vlan添加了一个/ 64: vlan200:2001:DB8:ae02:ca75 :: 1/64 vlan210:2001:DB8:ae02:beef :: 1/64 等等。 我可以ping任何我从任何外部主机configuration的IP,stream量显示在我的tun0接口上,但不会路由到vlan接口。 因此,我假设我错过了我/ 48某处的路线。 当发出ping6 -I vlan210 google.com时,我得到一个no route to host错误。 许多链接本地路由这似乎是我的路由表的相关部分(一切提到我的子网+默认路由): default 2001:db8:ff00:1a92::1 UGS tun0 ::1 link#4 UH lo0 ::ffff:0.0.0.0/96 ::1 UGRS lo0 2001:db8:ae02:beef:: 2001:db8:ae02:beef::1 UH2 vlan210 => 2001:db8:ae02:beef::/64 link#7 U vlan210 2001:db8:ae02:beef::1 link#7 […]
我一直试图实现负载平衡,并在具有多个接口的Linux机器上进行故障转移。 目前我正在使用两个ISP线,我希望分裂networkingstream量,使他们都被使用。 为此,我对IP表格和适用于它们的规则进行了更改。 以下是我所指的Linux Advances Routing and Traffic Control(LARTC)链接http://lartc.org/howto/lartc.rpdb.multiple-links.html 连接在两条ISP线路上都得到分配。 然而,据观察,一旦连接被路由到特定的接口,每次都遵循相同的路由。 这是因为在路由caching中进行的入口。 由于这种现象,负载平衡受到严重影响。 我一直在定期清理caching,这并没有使情况变得更好。
请帮助了解是否可以创build下列configuration。 我与我的客户有IPSEC连接。 它是客户networking和我的networking10.102.103.0/28之间的site2site vpn。 这个连接是在我的VPN节点IP 10.102.103.7/28和客户VPN节点之间build立的。 OpenSwan用于它。 VPN节点位于亚马逊,我使用OpenVPN来访问亚马逊。 OpenVPN给我自己的networkingIP 192.172.3.0/28。 是否有可能从OpenVPNnetworking访问客户networking? 如果我的客户端IP是192.172.3.5,我可以访问客户的networking吗? 据我所知,因为我可以看到IPSEC把我的数据包从OpenVPNnetworking中删除到客户的networking,因为我的IP不在10.102.103.0/28。 有没有什么好的解决scheme来解决它? 还是解决方法?