Заранее приносим свои извинения, так как это «абстрактный» вопрос без однозначного черно-белого ответа, и я знаю, что это не сулит ничего хорошего на этом сайте. Послушайте меня, я постараюсь добавить как можно больше деталей и конкретики.
У меня есть сервер OpenVPN Connect, который отлично работает для всех удаленных сотрудников. Однако это не работает для пользователей в нашем офисе.
Пользователи могут nslookup, ssh, и ping для успешного нацеливания систем через VPN, но они не могут просматривать HTTP / HTTPS через браузер (просто говорит "Не отвечает"). Да! ssh работает через vpn !!
Проверили сетевые настройки, такие как DNS, прокси и т. Д., И все выглядит нормально - кроме того, мы можем буквально взять рабочую станцию, отключить ее от локальной сети, подключиться к мобильной точке доступа, и она будет работать. Это говорит мне, что это не конфигурация на локальной рабочей станции.
Офисная ЛВС защищена межсетевым экраном SonicWall NSA 2400. Офисная LAN имеет очень простую настройку подсети, и подсети НЕ конфликтуют с подсетями VPN.
Все в журналах OpenVPN выглядит нормально, их сравнивали с подключениями удаленных сотрудников, и подключения выглядят одинаково.
Таблицы маршрутов на подключенных машинах выглядят хорошо, маршрут по умолчанию и маршруты интерфейса tun (интерфейс vpn) - все нормально.
Самая безумная часть - это то, как я могу выполнять nslookup, ssh и ping, но не просматривать HTTP / S.
Вот openvpn сервер config:
port 43699
proto udp
dev tun
key-direction 0
cipher AES-256-CBC
auth SHA256
tls-auth server.tlsauth
ca ca.crt
cert cert.crt
key cert.key
dh dh2048.pem
topology subnet
server 10.79.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 10.10.0.0 255.255.0.0"
push "dhcp-option DOMAIN-SEARCH example.com"
push "dhcp-option DNS 10.10.0.2"
keepalive 10 120
tmp-dir "/etc/openvpn/tmp"
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so auth-ldap.conf
username-as-common-name
duplicate-cn
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
user nobody
group nobody
management localhost 7707
Здесь клиент config:
client
proto udp
remote vpn.example.com 43699
dev tun
resolv-retry infinite
auth-user-pass
persist-key
persist-tun
mute-replay-warnings
compress lzo
remote-cert-tls server
cipher AES-256-CBC
auth SHA256
key-direction 1
<ca>
-----BEGIN CERTIFICATE-----
....REMOVED...
-----END CERTIFICATE-----
</ca>
<key>
-----BEGIN PRIVATE KEY-----
....REMOVED...
-----END PRIVATE KEY-----
</key>
<cert>
-----BEGIN CERTIFICATE-----
....REMOVED...
-----END CERTIFICATE-----
</cert>
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
....REMOVED...
-----END OpenVPN Static key V1-----
</tls-auth>
Мои вопросы по Stack Exchange:
Мое чутье подсказывает мне, что это что-то в Sonicwall - Можете ли вы придумать какой-либо параметр брандмауэра, который может вызвать такое поведение? Я покопался в конфигурации SonicWall, и есть масса вариантов, но черные списки, похоже, не применяются, и тот факт, что я могу подключаться и пинговать / и т. Д., Создает впечатление, что само соединение уровня 4 в порядке.
Какие-то настройки выглядят не так с моими конфигами ovpn? Они отлично работают для всех пользователей, кроме тех, кто работает в офисе.