Проблема моста OpenVpn - Сервер позади NAT - Клиент может проверить с помощью ping-запросов сервер, GW по умолчанию, но ничто иное
Я пытаюсь создать OpenVPN в режиме моста на Сервере Ubuntu 12.04. Это обычно работает; я могу соединиться, я получаю IP и могу проверить с помощью ping-запросов сервер OpenVPN и GW по умолчанию, но я не могу проверить с помощью ping-запросов ничто больше в LAN сервера.
Ранее я действительно успешно настраивал туннелирование с адаптером БОЧКИ и после добавления некоторых iptables записей, это работало. Я мог достигнуть других серверов также. Но по различным причинам мне нужен TAP.
Сервер OpenVPN является автономной машиной позади NAT (маршрутизатор), таким образом, это не GW по умолчанию одновременно. Это имеет IP 192.168.1.108.
После того как я соединяюсь с клиентом, я получаю IP от указанного диапазона, например, 192.168.1.50 и пытаюсь проверить с помощью ping-запросов, например, 192.168.1.141, который является другим сервером в той LAN, это говорит что недостижимый хост. Запутывающая часть, что я ping CAN сам сервер OpenVPN в 192.168.1.108 и GW 192.168.1.1.
При выполнении
tcpdump -nnel -i ethX icmp
На сервере при проверке с помощью ping-запросов его от клиента нет никакого действия.
Только для упоминания при соединении с VPN я могу просмотреть Интернет. При попытке достигнуть связанного клиента 192.168.1.50 с другого сервера, они не видят его также. Только сервер OpenVPN может проверить с помощью ping-запросов клиенты.
Поскольку это - установка моста, я предполагаю, что это не имеет никакого отношения к маршрутизации или iptables или Подмене. Так или иначе я пытался ввести обычные команды как
iptables -A INPUT -i tap0 -j ACCEPT
iptables -A INPUT -i br0 -j ACCEPT
iptables -A FORWARD -i br0 -j ACCEPT
ИЛИ
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -A FORWARD -j REJECT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE
с изменением eth1 к br0 и tap0 также, но без эффекта. На самом деле эту часть iptables и маршрута трудно понять для меня.
В режиме моста у меня должна быть какая-либо маршрутизация или iptables активный для достижения доступа ко всем моим серверам? Я должен вручную добавить, что что-то как маршрут добавляет значение по умолчанию gw 192.168.1.1 dev br0 или что-нибудь в том виде для объявления определенного маршрута?
Как сказать мою LAN, где "видеть" клиентов VPN?
Я предполагаю, что проблема, что openvpn сервер не является GW, но я не могу поместить openvpn во взломанный маршрутизатор своего dd-wrt, это не поддерживается для моей модели. Как я могу настроить openvpn сервер для работы вокруг этой проблемы?
1 ответ
Хорошо, узнал сам ...
При попытке пропинговать все возможные IP-адреса в моей локальной сети при подключении к VPN я обнаружил, что IP-адреса, к которым я не могу подключиться, относятся только к виртуальным серверам (VirtualBox).
А потом я дал себе маску ... Я забыл настроить мостовые сетевые карты в VirtualBox для виртуальных серверов на br0 вместо eth1, как это было раньше.
Просто для удобства я также включил Promiscuous Mode, потому что я читал во многих потоках, что Promisucous ОБЯЗАН в отношении мостовой установки.
Теперь я могу пинговать все.
Каждый день я узнаю что-то новое :)