Назад | Перейти на главную страницу

OpenVPN работает на интернет-шлюзе, поэтому все частные клиенты могут получить доступ к VPN без конфигурации

Наша локальная сеть подключается к нашему офисному шлюзу (192.168.1.1), который подключен к Интернету.

Я без проблем установил NAT / Masquerading для этой цели.

Мы также используем OpenVPN для подключения к нашему дата-центру (сервер OpenVPN находится в дата-центре).

Вместо того, чтобы напрямую настраивать всех внутренних клиентов, я сделал наш сервер шлюза клиентом (10.91.3.102) сервера OpenVPN (10.91.3.1).

Скорость нашей сети в VPN просто невероятна, и я не могу понять, что и где не хватает.

это работает, но я предполагаю, что пакеты пропадают.

Интернет-режим / роутер - 192.168.0.1

Шлюз eth1 - 192.168.0.2 (в Интернет) eth2 - 192.168.1.1 (в LAN) tun0 - 10.91.3.102 (в VPN)

LAN 192.168.1.0/24

На машине шлюза ...

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

-A POSTROUTING -o tun0 -j SNAT --to-source 10.91.3.102
-A POSTROUTING -o eth1 -j SNAT --to-source 192.168.0.2

COMMIT

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
# accept everything coming from our LAN (eth2)
-A INPUT -i eth2 -j ACCEPT
# accept everything on the VPN
-A INPUT -i tun0 -j ACCEPT
# reject anything else
-A INPUT -j REJECT --reject-with icmp-host-prohibited

# vpn
-A FORWARD -i eth2 -o tun0 -j ACCEPT
-A FORWARD -i tun0 -o eth2 -j ACCEPT

# allow traffic to flow between the Internet (eth1) and our LAN (eth2)
-A FORWARD -i eth2 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT

Возможно, это не правила вашего брандмауэра, если соединение установлено. Убедитесь, что вы можете пинговать от одного шлюза к другому, указав интерфейс. Например. пинг -I tun0 192.168.0.1. Попробуйте оба способа.

Было бы хорошо увидеть конфигурацию VPN как сервера OpenVPN, так и клиента. Есть несколько возможных объяснений:

  • Вы можете столкнуться с проблемами несоответствия / совместимости MTU.
  • На вас может повлиять формирование трафика вашим интернет-провайдером в зависимости от используемых портов.
  • Вы используете прокси-сервер?
  • Какие правила маршрутизации (проверьте "ip route")?
  • Производительность зависит от протокола в разных ситуациях. OpenVPN через UDP дает лучшую производительность.
  • Попробуйте использовать как туннельный режим (TUN), так и режим моста (TAP). Это объясняется на сайте OpenVPN.
  • Попробуйте отключить сжатие с обеих сторон.
  • Убедитесь, что вы используете последнюю / ту же версию OpenVPN с обеих сторон.

Используйте что-то вроде speedtest.net на каждой стороне шлюза без установленного VPN. После установки VPN снова измерьте скорость от шлюза к шлюзу, чтобы исключить проблемы с локальной сетью с обеих сторон.

И последнее, но не менее важное: я полагаю, вы не хотите, чтобы доступ в Интернет клиентов локальной сети был маршрутизирован через другой сайт? Если вам нужен только VPN для трафика между сайтами, а не доступ в Интернет, тогда клиент OpenVPN должен быть настроен так, чтобы не изменять шлюз по умолчанию для отправки всего трафика. Правила маршрутизации должны перенаправлять только трафик, привязанный к другому сайту через VPN. Шлюзом по умолчанию остается исходное соединение с интернет-провайдером.