Назад | Перейти на главную страницу

OpenVPN: соединение установлено, но не удается подключиться к серверу

Я пытаюсь настроить OpenVPN, чтобы позволить мне подключать несколько ноутбуков к моей сети таким образом, чтобы ноутбуки могли подключаться к определенным компьютерам через HTTP (например, на страницу управления сервером) и общие ресурсы Windows (для доступа к файлам)

В тестовой среде мои ноутбуки находятся в сети с диапазоном адресов 192.168.1.X. Хост-сеть имеет диапазон адресов 10.66.77.X. Сервер, на котором размещен сервер OpenVPN, имеет адрес 10.77.10.20. Мне нужно получить доступ к некоторым веб-страницам сервера приложений на этом компьютере, доступным через различные порты Сервер с общими ресурсами Windows, а также некоторые другие веб-страницы, к которым мне нужно получить доступ, находится по адресу 10.66.77.20

Файлы конфигурации для сервера и ноутбука прилагаются ниже. Ноутбук без проблем устанавливает VPN-соединение, но я не могу получить доступ ни к одной из машин, даже простой пинг не работает. Может проблема с маршрутизацией? Таблица маршрутизации для ноутбука также представлена ниже - мы приветствуем любую идею!

Спасибо! Maik

Файл конфигурации сервера

port 1194
dev tun
tls-server

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/projects.crt
key /etc/openvpn/keys/projects.key
dh /etc/openvpn/keys/dh1024.pem

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

push "route 10.66.77.0 255.255.255.0"

keepalive 10 60
inactive 600

route 10.8.0.1 255.255.255.0
user openvpn
group openvpn

persist-tun
persist-key
verb 4

файл конфигурации клиента

dev tun
proto udp
remote SERVERADDR 1194
resolv-retry infinite
nobind
persist-key
persist-tun

ca ca.crt
cert accountingLaptop.crt
key accountingLaptop.key
ns-cert-type server
comp-lzo
verb 3

Результирующая таблица маршрутизации на клиентском ноутбуке

C:\Documents and Settings\User>route print
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 23 5a 9b 64 9b ...... Atheros AR8132 PCI-E Fast Ethernet Controller -
Packet Scheduler Miniport
0x3 ...00 24 2c 35 c9 6b ...... Dell Wireless 1395 WLAN Mini-Card - Packet Sched
uler Miniport
0x4 ...00 ff 5e 03 43 9b ...... TAP-Win32 Adapter V9 - Packet Scheduler Miniport

===========================================================================
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1   192.168.1.129       25
         10.8.0.1  255.255.255.255         10.8.0.5        10.8.0.6       1
         10.8.0.4  255.255.255.252         10.8.0.6        10.8.0.6       30
         10.8.0.6  255.255.255.255        127.0.0.1       127.0.0.1       30
       10.66.77.0    255.255.255.0         10.8.0.5        10.8.0.6       1
   10.255.255.255  255.255.255.255         10.8.0.6        10.8.0.6       30
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.1.0    255.255.255.0    192.168.1.129   192.168.1.129       25
    192.168.1.129  255.255.255.255        127.0.0.1       127.0.0.1       25
    192.168.1.255  255.255.255.255    192.168.1.129   192.168.1.129       25
        224.0.0.0        240.0.0.0         10.8.0.6        10.8.0.6       30
        224.0.0.0        240.0.0.0    192.168.1.129   192.168.1.129       25
  255.255.255.255  255.255.255.255         10.8.0.6               2       1
  255.255.255.255  255.255.255.255         10.8.0.6        10.8.0.6       1
  255.255.255.255  255.255.255.255    192.168.1.129   192.168.1.129       1
Default Gateway:       192.168.1.1
===========================================================================
Persistent Routes:
  None

openvpn

Проверьте статус флага IP-маршрутизации на сервере:

cat /proc/sys/net/ipv4/ip_forward

должен вернуть "1"

Вы не хотите использовать NAT vpn-соединения, из-за чего все клиенты будут казаться исходящими из коробки vpn, что затрудняет устранение неполадок. Вы также не хотите добавлять статические маршруты для адресов vpn к серверам, поскольку это не то место, где такая конфигурация.

Что вы хотите сделать, так это добавить маршрут для подсети vpn на маршрутизаторе. На языке cisco у вас будет что-то вроде этого:

ip route 192.168.1.0 255.255.255.0 10.77.10.20

На любом другом маршрутизаторе будет аналогичная команда.

проблема может заключаться в том, что ваша VPN не является NAT на сервере vpn, поэтому клиенты VPN напрямую подключаются к серверу с IP-адресом 10.8.0.0, который представляет собой сеть, о которой другие серверы не знают. 2 решения - использовать iptables для маскировки под nat на сервере или добавить статические маршруты к другим серверам.

OpenVPN должен знать подсеть вашего ноутбука, иначе пакеты из этой IP-подсети будут отбрасываться. Проверить журналы.

Проверить документация для iroute

После этого он также добавит на сервер соответствующие IP-маршруты.

Как правило, вам нужны статические маршруты для каждой сети, которая не связана напрямую с вашим ноутбуком.

Итак, предполагая, что ваш сервер OpenVPN может общаться с 10.66.77.20, вам необходимо сделать следующее

на роуминг-ноутбуках добавьте маршрут к 10.66.77.20 через IP-адрес сервера OpenVPN
на 10.66.77.20 добавьте маршрут в сеть 192.168.1.0/24 через IP-адрес сервера OpenVPN