Ich versuche, VPN von einem Client aus in einem Netzwerk mit demselben Subnetz (auch 192.168.1.0/24) in ein Büronetzwerk (192.168.1.0/24) zu öffnen. Es ist ein Linux-Server (Ubuntu 9.10) und ein Windows-Client.
Ich habe diesen Ubuntu OpenVPN Community-Dokumentationsleitfaden befolgt und soweit ich weiß, funktioniert die Basisverbindung einwandfrei . Natürlich bekomme ich eine Reihe von Fehlern / Warnungen über IP-Adresskollisionen.
Ich habe dann versucht, diesem Handbuch zu "Schmutzige NAT-Tricks, damit ein VPN mit Clients funktioniert, die ebenfalls im privaten Adressraum nummeriert sind" zu folgen , war aber nicht erfolgreich. Obwohl ich ein theoretisches Verständnis für Routing / Maskerading habe, habe ich relativ wenig praktische Erfahrung und bin mir nicht sicher, was falsch ist.
Bisher habe ich den Punkt erreicht, an dem der Client eine Verbindung zum Server herstellt und eine IP 10.22.8.10 zugewiesen bekommt. Ich kann die Server-IP 10.22.8.1 jedoch nicht wie in der Dokumentation angegeben anpingen.
Die Serverkonfiguration ist grundsätzlich identisch mit Guide 1 mit den Änderungen von Guide 2 , dh dem Einstellen der 'Server-Bridge 10.22.8.1 255.255.255.0 10.22.8.10 10.22.8.120' und 'Push'-Route 10.22.0.0 255.255.0.0 10.22.8.1 "'. Außerdem füge ich die Konfigurationsbefehle für die Tap-Schnittstelle zu up.sh hinzu.
Die Client-Konfiguration bleibt dieselbe wie in Anleitung 1 .
Server 'ifconfig tap0' (Bearbeiten: Entschuldigung, wenn dies verrückt aussieht. Im Vorschaufenster zum Bearbeiten dieses Beitrags sieht es gut aus.)
tap0 Link encap: Ethernet HWaddr ee: ee: a8: 04: 8a: fc inet addr: 10.22.8.1 Bcast: 0.0.0.0 Maske: 255.255.255.0 inet6 addr: fe80 :: ecee: a8ff: fe04: 8afc / 64 Geltungsbereich: Link UP BROADCAST RUNNING PROMISC MULTICAST MTU: 1500 Metrik: 1 RX-Pakete: 610 Fehler: 0 verworfen: 0 Überläufe: 0 Frame: 0 TX-Pakete: 4533 Fehler: 0 verworfen: 0 Überläufe: 0 Träger: 0 Kollisionen: 0 txqueuelen: 100 Empfangsbytes: 111341 (111,3 KB) TX-Bytes: 650830 (650,8 KB)
Die Client-Anmeldeverbindung:
Mon Mar 01 00:30:13 2010 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009 Mon Mar 01 00:30:13 2010 WARNING: No server certificate verification method has been enabled. See URL-REDACTED for more info. Mon Mar 01 00:30:13 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables Mon Mar 01 00:30:13 2010 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file Mon Mar 01 00:30:13 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Mon Mar 01 00:30:13 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Mon Mar 01 00:30:13 2010 LZO compression initialized Mon Mar 01 00:30:13 2010 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ] Mon Mar 01 00:30:13 2010 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ] Mon Mar 01 00:30:13 2010 Local Options hash (VER=V4): '13a273ba' Mon Mar 01 00:30:13 2010 Expected Remote Options hash (VER=V4): '360696c5' Mon Mar 01 00:30:13 2010 Socket Buffers: R=[8192->8192] S=[8192->8192] Mon Mar 01 00:30:13 2010 UDPv4 link local: [undef] Mon Mar 01 00:30:13 2010 UDPv4 link remote: REDACTED:1194 Mon Mar 01 00:30:13 2010 TLS: Initial packet from REDACTED:1194, sid=11055cf2 cc0d1ea0 Mon Mar 01 00:30:14 2010 VERIFY OK: depth=1, REDACTED Mon Mar 01 00:30:14 2010 VERIFY OK: depth=0, REDACTED Mon Mar 01 00:30:14 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Mon Mar 01 00:30:14 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Mon Mar 01 00:30:14 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Mon Mar 01 00:30:14 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Mon Mar 01 00:30:14 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA Mon Mar 01 00:30:14 2010 [server] Peer Connection Initiated with REDACTED:1194 Mon Mar 01 00:30:17 2010 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1) Mon Mar 01 00:30:17 2010 PUSH: Received control message: 'PUSH_REPLY,route 10.22.0.0 255.255.0.0 10.22.8.1,route-gateway 10.22.8.1,ping 10,ping-restart 120,ifconfig 10.22.8.10 255.255.255.0' Mon Mar 01 00:30:17 2010 OPTIONS IMPORT: timers and/or timeouts modified Mon Mar 01 00:30:17 2010 OPTIONS IMPORT: --ifconfig/up options modified Mon Mar 01 00:30:17 2010 OPTIONS IMPORT: route options modified Mon Mar 01 00:30:17 2010 OPTIONS IMPORT: route-related options modified Mon Mar 01 00:30:17 2010 ROUTE default_gateway=192.168.1.254 Mon Mar 01 00:30:17 2010 TAP-WIN32 device [Local Area Connection 2] opened: \\.\Global\{7464875E-98E9-46AF-8F86-69FF32FFB722}.tap Mon Mar 01 00:30:17 2010 TAP-Win32 Driver Version 9.6 Mon Mar 01 00:30:17 2010 TAP-Win32 MTU=1500 Mon Mar 01 00:30:17 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.22.8.10/255.255.255.0 on interface {7464875E-98E9-46AF-8F86-69FF32FFB722} [DHCP-serv: 10.22.8.0, lease-time: 31536000] Mon Mar 01 00:30:17 2010 Successful ARP Flush on interface [33] {7464875E-98E9-46AF-8F86-69FF32FFB722} Mon Mar 01 00:30:22 2010 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up Mon Mar 01 00:30:22 2010 C:\WINDOWS\system32\route.exe ADD 10.22.0.0 MASK 255.255.0.0 10.22.8.1 Mon Mar 01 00:30:22 2010 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4 Mon Mar 01 00:30:22 2010 Route addition via IPAPI succeeded [adaptive] Mon Mar 01 00:30:22 2010 Initialization Sequence Completed Mon Mar 01 01:30:14 2010 TLS: soft reset sec=0 bytes=648728/0 pkts=3922/0 Mon Mar 01 01:30:14 2010 VERIFY OK: depth=1, REDACTED Mon Mar 01 01:30:14 2010 VERIFY OK: depth=0, REDACTED Mon Mar 01 01:30:15 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Mon Mar 01 01:30:15 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Mon Mar 01 01:30:15 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Mon Mar 01 01:30:15 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Mon Mar 01 01:30:15 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Die Client-Route scheint in Ordnung zu sein (Routendruck):
Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 192.168.1.254 192.168.1.23 25 10.22.0.0 255.255.0.0 10.22.8.1 10.22.8.10 30 10.22.8.0 255.255.255.0 On-link 10.22.8.10 286 10.22.8.10 255.255.255.255 On-link 10.22.8.10 286 10.22.8.255 255.255.255.255 On-link 10.22.8.10 286 ...
Wenn ich jedoch versuche, auf 10.22.8.1 zuzugreifen, möchte ich immer noch aus meiner lokalen Internetverbindung herausspringen:
C:\Windows\system32>tracert 10.22.8.1 Tracing route to 10.22.8.1 over a maximum of 30 hops 1 1 ms 1 ms 1 ms home.gateway [192.168.1.254] 2 nexthop.qld.iinet.net.au [203.55.228.88] reports: Destination net unreachable.
Kann mir jemand raten, was ich falsch mache (oder alternativ, wenn es eine einfache, haltbarere Möglichkeit gibt, das zu tun, was ich will - beachten Sie, dass gemäß Lösung Nr. 1 in Handbuch 2 das Umbenennen eines der Subnetze nicht möglich ist)
route printSie etwas anderes als XP - Windows Vista oder 7, vielleicht? Können Sie mich wissen lassen, damit ich die entsprechende VM zum Testen erstellen kann?Antworten:
Ihr Standardwert für die Routenmetrik ist niedriger als die Route 10.22.0.0/16 und wird an die Standardroute weitergeleitet. Wenn beim Auflösen von Routen mehr als eine Route mit dem Ziel übereinstimmt, hat die Route mit dem niedrigeren Metrikwert Vorrang.
Drücken Sie entweder eine Standardroute über VPN oder senken Sie die Metrik für 10.22.0.0/16 (erhöhen Sie die Metrik für die Standardroute).
Es sollte so aussehen:
quelle
Sie müssen lediglich die Standardroute entfernen und eine Route hinzufügen, die nur für Ihren VPN-Server spezifisch ist, und diese über Ihren lokalen Router als verfügbar markieren.
Sie sollten also 3 Routen haben:
quelle