Я создаю конфигурацию OpenVPN для своего сервера. Я хочу, чтобы клиенты могли получить доступ к маршрутизатору моего сервера, который имеет адрес 192.168.1.1, а также к локальной сети, поэтому я использовал этот маршрут:
192.168.1.1/24
а затем импортировал файл OVPN в мой клиент Windows OpenVPN (официальный).
На моей винде работает. В другой Windows (с компьютера моего отца) он подключается, но я не могу получить доступ к 192.168.1.1. Я заканчиваю доступ к локальному маршрутизатору, а не к удаленному.
Кто-то сказал на форуме OpenVPN, что мне не следует добавлять 192.168.1.1/24. Зачем? Как мне тогда это сделать?
Они говорят вам не использовать 192.168.1.1/24 потому что почти все домашние маршрутизаторы используют эту подсеть по умолчанию. Просто измените это на 192.168.2.0/24 - это должно решить вашу проблему.
Как упоминал @Hauke Laging, вы можете сопоставить другую подсеть / IP (который реже используется домашними маршрутизаторами) с 192.168.1.0/24/192.168.1.1. Например:
push "route 10.0.9.0 255.255.255.0"
push "client-nat dnat 192.168.1.0 255.255.255.0 10.0.9.0"
или
push "route 10.11.12.13"
push "client-nat dnat 192.168.1.1 255.255.255.255 10.11.12.13"
Тогда вы можете получить доступ 192.168.1.0/24/192.168.1.1 сервер подключен к 10.0.9.0/24/10.11.12.13 на VPN-клиенте.
Это можно сделать с помощью DNAT или NETMAP в iptables. Предполагая, что под «доступом к маршрутизатору» вы имеете в виду его веб-интерфейс, вы можете даже просто сказать DNAT $server_vpn_ip:80 к 192.168.1.1:80, если первый еще не занят.
(Примечание: предполагается, что сервер уже выполняет переадресацию IP и маскировку.)
Это касается как подсетей, назначенных клиентам VPN на удаленной стороне, так и всех сетей, к которым необходимо получить доступ с помощью VPN. Если есть локальная сеть, к которой клиент напрямую подключен, и у нее есть перекрывающаяся подсеть, она имеет приоритет.
Я перечислил некоторые подсети, которых следует избегать в ответ от 2017:
Techspot имеет Список общих IP-адресов маршрутизаторов по умолчанию это помогает в этом. Обычно домашние роутеры используют
/24подсети. В настоящее время мобильные телефоны часто используются для совместного использования сетевого подключения, поэтому мы должны учитывать и эти диапазоны. Согласно списку мы можем сделать вывод, что должны избегать:
192.168.0.0/19- похоже, что большинство маршрутизаторов используют некоторые из них, указанные выше192.168.31.255.10.0.0.0/24также широко используется, и Apple использует10.0.1.0/24.192.168.100.0/24используется Motorola, ZTE, Huawei и Thomson.- Motorola использует (дополнительно)
192.168.62.0/24и192.168.102.0/24.192.168.123.0/24используется LevelOne, Repotec, Sitecom и U.S. Robotics (реже)- Некоторые D-ссылки имеют
10.1.1.0/24и10.90.90.0/24.
OpenVPN опубликовал статью о Нумерация частных подсетей:
Хотя адреса из этих сетевых блоков обычно должны использоваться в конфигурациях VPN, важно выбирать адреса, которые минимизируют вероятность конфликтов IP-адресов или подсетей. Типы конфликтов, которых следует избегать:
- конфликты с разных сайтов в VPN с использованием одинаковой нумерации подсети LAN, или
- подключения удаленного доступа с сайтов, использующих частные подсети, которые конфликтуют с вашими подсетями VPN.
Лучшее решение - избегать использования
10.0.0.0/24или192.168.0.0/24как адреса частной сети LAN. Вместо этого используйте то, что с меньшей вероятностью будет использоваться в Wi-Fi-кафе, аэропорту или отеле, откуда вы можете рассчитывать на удаленное подключение. Лучшие кандидаты - подсети посреди огромного10.0.0.0/8сетевой блок (например10.66.77.0/24).
Для клиентских подсетей OpenVPN по умолчанию 10.8.0.0/24. Из Топология в OpenVPN:
Топология подсети - это текущая рекомендуемая топология; он не используется по умолчанию в OpenVPN 2.3 по причинам обратной совместимости с конфигурациями эпохи 2.0.9. Это безопасно и рекомендуется использовать топологию подсети, когда нет старых / устаревших клиентов, которые работают под OpenVPN 2.0.9 под Windows.