我有一个PFSense框作为OpenVPN服务器运行。 有几个远程设备通过VPN连接(作为tap设备)。 VPN的东西正在工作,我可以通过查看分配给PFSense路由器上每个设备的IP来访问远程硬件。 我想要的是,我可以在本地networking上通过DNSparsing远程硬件地址。 请注意,这只是本地networking – >远程设备(他们是备份盒)。 我不需要使用本地DNS转发代理来parsing远程设备。 我需要通过DNS访问networking上的其他设备,以便在DHCP过程中报告其名称。 但是,为OpenVPN分配客户端的IP分配,虽然它是dynamic的(这就是为什么我需要DNS),似乎并没有使用本地DHCP服务器。 我怎样才能让我的openvpn服务器为它的客户端添加信息到dnsmaskparsing器? 这个设置是否合理(我根本不熟悉openVPN)?
不幸的是,我们没有访问pipe理界面,所以我想通过一种方式来告诉我们启用了tsp的OpenVPN,并做出反应。 我熟悉这个技巧,但是对于启用了tls的OpenVPN却不起作用。 目前我能想到的唯一select是让一个客户端连接到它,而不需要拉取,并检查stdout是否成功。
我有以下设置: 子网1 – 10.0.1.0/24与一台机器用作NAT,也运行一个OpenVPN客户端 子网2 – 192.168.1/24与OpenVPN服务器(子网1中的服务器在这里连接) 子网3 – 10.0.2.0/24使用NAT机器(子网1)访问互联网,因此所有非本地stream量都被路由到eth0接口 OpenVPN客户端创buildtun0接口和相应的路由,以便我可以访问来自192.168.1/24机器 [root@ip-10-0-1-208 ~]# telnet 192.168.1.186 8081 Trying 192.168.1.186… Connected to 192.168.1.186. Escape character is '^]'. [root@ip-10-0-1-208 ~]# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 10.0.1.1 0.0.0.0 UG 0 0 0 eth0 10.0.1.0 0.0.0.0 255.255.255.0 U 0 0 […]
OpenVPN单元文件被参数化(参见@ ): > ls /usr/lib/systemd/system/openvpn* /usr/lib/systemd/system/[email protected] 问题是我无法通过systemctl命令列出参数化的服务名称,如果它们被禁用,即使使用选项–all : > systemctl –full –all -t service | grep openvpn 不过,我仍然可以列出非参数化禁用服务的名称(本例中为iptables ): > systemctl –full –all -t service | grep iptables iptables.service loaded inactive dead IPv4 firewall with iptables 如何获得所有单位的列表,即使其中一些参数化? 问题其实更加复杂(我可以轻松地列出可用的单元文件来回答自己)。 但是,问题在于不一致。 [email protected]服务启用时,可以通过上述命令列出。 当[email protected]服务被禁用时,它不能。 这似乎是一个明显的bug(或限制systemd不太了解参数化服务是否在我们启用时实际configuration)的事实。 不过,我宁愿问人群,也不要跳出这个结论。
我想要做的就是设置OpenVPNnetworking,这将使访问私有域(a.domain,b.domain,d.domain)成为可能。 我相信最简单的方法是使用dnsmasq将域parsing为10.8.0.1。 它似乎在主机上正常工作,我试图ping domain ,它的工作。 然而,我在设置客户端时遇到了一些困难,我尝试从我的Ubuntu PC连接,它具有network-manager-openvpn并将DNS服务器设置为10.8.0.1,有时可以工作,有时不会。 我不知道为什么。 在使用OpenVPN GUI的 Windows 7计算机上,我没有设法解决域名问题。 在OpenVPN server.conf中,我添加了push "dhcp-option DNS 10.8.0.1"并push "dhcp-option DOMAIN domain " 。 我主要关心的是在不同平台上设置客户端,以便他们可以使用专用域名访问专用networking,因为我想创build不同的apache虚拟主机。 而我在客户端手动configurationDNS会使它复杂得太多。 如果您有任何build议我可以做到这一点,请分享您的想法。 也许还有其他的方式来实现这个(没有OpenVPN或dnsmasq)?
上图显示了我在OpenVPN连接过程中发生的事情。 主机A和B通过1.2.3.4:1194的VPN服务器连接到VPN。 我的问题是:如果主机A希望向主机B发送一个数据包(如ICMP回显数据包),那么数据包如何遍历到达B? 我最初的想法是: 该进程创build目的地为10.20.0.6,源为192.168.0.x的数据包(源IP为192.168.0.x,考虑到应用程序不知道VPN连接)。 从推送到应用程序计算机的路由表中,数据包被发送到虚拟接口。 主机A的虚拟接口将数据包封装为主机B面向广域网的地址(3.4.5.6)。 这到目前为止是正确的吗? B的路由器如何知道这个数据包是发往主机B? 主机A是否把1.2.3.4作为目的地(而不是3.4.5.6),让VPN服务器通过服务器与Bbuild立的连接重新路由? B的路由器是否必须进行预先设置才能允许任何types的VPN连接?
背景:我正在作为一个小型网站devise机构的承包商。 我们有一个特定的项目/客户端要求所有执行的更新/开发都是通过VPN完成的。 客户端VPN需要一个静态IP地址,并使用Cisco AnyConnect连接。 他们规定,所做的任何工作必须在网站devise机构的现场,或者我们必须VPN进入网页devise机构的位置。 作为一个小型devise机构,我工作的人没有VPN或静态IP地址。 所以,在我个人的Linode上,我使用OpenVPN Access Serverbuild立了一个VPN。 我可以连接到我安装好的VPN服务器。 我也可以访问客户端VPN的networkinglogin很好。 但是,一旦Cisco Anyconnect尝试连接到客户端VPN,我会收到错误消息“VPN客户端无法修改IP转发表,VPN连接将不会build立,请重新启动计算机或设备,然后重试。 我在另外一台电脑上试了一下,得到同样的问题。 以前,我们有客户端白名单我的家庭IP(这不再是一个选项)和VPN连接就好了。 除了OpenVPN现在在中间,没有什么改变了。 我在这里错过了什么? 这是可能的和/或平常的东西吗? 我想要使用Cisco Anyconnect将家庭计算机> Linode与OpenVPN>客户端VPN连接起来。 任何帮助和见解将不胜感激。 谢谢。
我正在使用相当基本的configuration运行OpenVPN 2.3.1。 这个守护进程已经进行了180天的configuration。 本周早些时候,我开始发现连接失败,发现连接限制已经达到。 pipe理terminal上的状态显示两个不同的用户,每个用户的连接数大于50。 TCP转储显示这些连接不是活动的,但仍然build立。 没有错误消息显示任何可能的问题。 为什么OpenVPN没有closures死锁套接字? 相关的configuration选项可能是: duplicate-cn crl-verify keys/crl.pem keepalive 10 120
简短的简历 没有错误,没有丢包,ping到客户端,tcpdump显示软件包旅行,一切都不会到达LAN主机(或OpenVPN客户端)。 编辑 尝试消除所有可能的干扰因素后,我重新configuration我的虚拟机设置使用桥梁,而不是MacVTap 。 现在访问LAN客户端按预期工作。 我希望这不是最终的答案(我想保持MacVTap)。 我之前做过一些虚拟机和networking连接,但是下面描述的这种行为对我来说是全新的。 编辑:最让我印象深刻的是响应(例如DNS查询)被路由回客户端(我添加了一个tcpdump),但仍然运行到超时。 我已经在这个问题上摸索了好几天了,在互联网上我找不到任何东西(可能是searchfunction很弱),所以我认为是时候让你的ServerFaulters在那里了。 任务 (本质上简单):设置一个OpenVPN服务器,将stream量路由到它后面的LAN。 问题 :Pings成功了,“其他一切”都没有。 在主机上有一个运行的DNS服务器以及一个OpenSSH-Server,两者都不能联系到。 我认为可能会涉及伪装/ NAT ,但这根本不是罪魁祸首。 其实我觉得我现在太愚蠢了 所以,请帮助一个绝望的家伙 (不要犹豫,要求更多的细节)。 build立 VPN-Server和Host是在一台机器上运行的虚拟机VPN-Client直接连接到。 这两个虚拟机可以看到对方,iptables策略设置为接受所有主机上。 OpenVPN的 – 服务器 eth0 10.0.0.3 tun0:1 172.16.0.3 tun0 10.8.0.1 # cat /proc/sys/net/ipv4/ip_forward 1 # lsmod xt_conntrack 12681 3 iptable_filter 12536 1 ipt_MASQUERADE 12594 3 iptable_nat 12646 1 nf_conntrack_ipv4 18499 4 nf_defrag_ipv4 […]
我已经在两个额外的真实服务器上设置了一个负载平衡器,它由ldirectord和一个由它pipe理的主动 – 被动的mysql服务。 LVS以直接路由模式运行,因此客户端请求直接路由到当前处于活动状态的实际服务器。 真实的服务器ip:192.168.3.41 虚拟IP:192.168.3.100 客户端IP(我的工作站):192.168.100.117 我还在本地办公室网关和负载均衡器之间build立了一个OpenVPN PtP隧道,用于远程pipe理主机。 负载平衡器VPN IP:172.16.3.1 客户端VPN端点ip:172.16.3.2 这是问题:如果我尝试连接到使用真正的IP地址的一切工作正常,但我需要能够连接也使用虚拟IP,并且不起作用。 有一些networking故障排除,似乎在调用虚拟IP时,返回的数据包没有被路由到VPN隧道,真正的服务器正确答复,但数据包stream量停止时,返回到负载平衡器。 在侦听任何端口的客户端上启动NetCat,并尝试使用其真实IP作为源IP工作,而不是使用虚拟IP作为源从真实服务器连接。 此外,如果我尝试使用相同的虚拟IP连接到运行在负载平衡器本身上的服务(lighttpd在端口80上),它的工作原理! 由于这个原因,我怀疑与ldirectord有关的事情,但我无法弄清楚什么! 所以,总结一下: 客户端呼叫端口3306上的192.168.3.41:工作。 客户端呼叫端口80上的192.168.3.100(负载均衡器上的本地lighttpd):正在工作。 客户端呼叫端口3306上的192.168.3.100:不起作用,数据包从真实服务器返回到负载均衡器,并且不被路由到vpn。 这些是我的负载平衡器configuration: FORWARD CHAIN: Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 95M 68G ACCEPT all — * * 192.168.3.0/24 0.0.0.0/0 58M 8719M ACCEPT all — […]