Я установил сервер OpenVPN на сервере в офисе, чтобы люди могли использовать VPN. Они могут легко поразить любой хост в офисной сети, но если они попытаются получить доступ к нашему центру обработки данных в другой подсети, ничего не произойдет. Я считаю, что он есть в списке доступа маршрутизатора cisco, но не могу понять.
Office LAN: 192.168.71.0/24
DataCenter Lan: 192.168.100.0/24
OpenVPN Server: 192.168.71.15
VPN LAN: 192.168.61.0/24
Office Router IP: 192.168.71.1
Итак, когда клиент подключен, его таблица маршрутизации выглядит так:
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.61.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.61.1 192.168.61.5 255.255.255.255 UGH 0 0 0 tun0
192.168.100.0 192.168.61.5 255.255.255.0 UG 0 0 0 tun0
192.168.71.0 192.168.61.5 255.255.255.0 UG 0 0 0 tun0
192.168.1.0 0.0.0.0 255.255.255.0 U 2 0 0 wlan0
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 wlan0
Трассировка к центру обработки данных выглядит как
traceroute to 192.168.100.52 (192.168.100.52), 30 hops max, 60 byte packets
1 192.168.61.1 (192.168.61.1) 18.851 ms 39.294 ms 39.297 ms
2 192.168.71.1 (192.168.71.1) 39.287 ms 39.278 ms 39.269 ms
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
Вот таблица маршрутов на сервере openvpn
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.61.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.71.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.61.0 192.168.61.2 255.255.255.0 UG 0 0 0 tun0
192.168.122.0 0.0.0.0 255.255.255.0 U 0 0 0 virbr0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
0.0.0.0 192.168.71.1 0.0.0.0 UG 0 0 0 eth0
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 eth0
Мне кажется, что пакет попадает в офисный маршрутизатор.
Вот моя конфигурация маршрута для маршрутизатора cisco
ip route 0.0.0.0 0.0.0.0 216.173.2.217
ip route 10.1.168.0 255.255.255.0 192.168.71.5
ip route 10.100.1.0 255.255.255.0 192.168.72.5
ip route 192.168.61.0 255.255.255.0 192.168.71.15
А вот мой список доступа
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 192.168.71.0 0.0.0.255
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 100 remark CCP_ACL Category=4
access-list 100 permit ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip any 192.168.0.0 0.0.255.255
access-list 101 deny ip any 172.16.0.0 0.15.255.255
access-list 101 deny ip any 10.0.0.0 0.255.255.255
access-list 101 permit ip 192.168.71.0 0.0.0.255 any
access-list 102 remark CCP_ACL Category=4
access-list 102 permit ip 192.168.71.0 0.0.0.255 any
access-list 103 remark CCP_ACL Category=4
access-list 103 permit ip 192.168.71.0 0.0.0.255 any
access-list 103 permit ip 192.168.100.0 0.0.0.255 any
access-list 120 permit ip 192.168.71.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 701 deny 0007.e917.876f 0000.0000.0000
Любая помощь или указатели?
Я предполагаю, что у вашего маршрутизатора Cisco есть две «ноги»: одна для локальной сети офиса, а другая - для локальной сети центра обработки данных.
Ваши пакеты от пользователей VPN поступают в ваш центр обработки данных, но у них нет обратного маршрута, потому что Cisco не знает, что сервер Open VPN является маршрутизатором для локальной сети VPN.
Вам необходимо добавить маршрут в Cisco, который сообщает ему о маршрутизации пакетов с адресом 192.168.61.0/24 на 192.168.71.15, который, будучи маршрутизатором OpenVPN, имеет маршрут к этой сети и, в свою очередь, будет пересылать пакеты в хост (ы) VPN.