Openvpn untuk klien / server di subnet yang sama


8

Saya mencoba untuk openvpn ke jaringan kantor (192.168.1.0/24) dari klien yang duduk di jaringan dengan subnet yang sama (juga 192.168.1.0/24). Ini adalah klien server dan windows linux (ubuntu 9.10).

Saya mengikuti panduan dokumentasi komunitas openvpn ubuntu ini dan dari apa yang saya tahu koneksi basis berfungsi dengan baik. Tentu saja saya mendapatkan banyak kesalahan / peringatan tentang tabrakan alamat ip.

Saya kemudian mencoba mengikuti panduan ini tentang 'Trik NAT Kotor untuk mendapatkan VPN agar dapat bekerja dengan klien yang juga bernomor di ruang alamat pribadi' tetapi belum berhasil. Sementara saya memiliki pemahaman teoritis tentang routing / penyamaran, saya memiliki pengalaman praktis yang relatif sedikit dan tidak yakin apa yang salah.

Sejauh ini, saya telah sampai pada titik di mana klien terhubung ke server dan diberi IP 10.22.8.10. Namun saya tidak dapat melakukan ping ke server ip 10.22.8.1 seperti dokumentasi menunjukkan saya harus bisa.

Konfigurasi server pada dasarnya identik dengan panduan 1 dengan modifikasi dari panduan 2 , yaitu pengaturan 'server-bridge 10.22.8.1 255.255.255.0 10.22.8.10 10.22.8.120' dan 'push "route 10.22.0.0 255.255.0.0 10.22.8.1 " Selain itu saya menambahkan perintah konfigurasi antarmuka tap ke up.sh.

Konfigurasi klien tetap sama dengan panduan 1 .

Server 'ifconfig tap0' (sunting: maaf jika ini kelihatan edan. Di panel pratinjau pengeditan pos ini, terlihat baik-baik saja)

tap0 Link encap: Ethernet HWadd ee: ee: a8: 04: 8a: fc inet addr: 10.22.8.1 Bcast: 0.0.0.0 Mask: 255.255.255.0 inet6 addr: fe80 :: ecee: a8ff: fe04: 8afc / 64 Lingkup: Tautan UP BROADCAST RUNNING PROMISC MULTICAST MTU: 1500 Metric: 1 paket RX: 610 kesalahan: 0 dijatuhkan: 0 overruns: 0 bingkai: 0 paket TX: 4533 kesalahan: 0 dijatuhkan: 0 overruns: 0 operator: 0 tabrakan: 0 txqueuelen: 100 RX byte: 111341 (111,3 KB) TX byte: 650830 (650,8 KB)

Koneksi klien masuk:

  Mon Mar 01 00:30:13 2010 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009  
    Mon Mar 01 00:30:13 2010 WARNING: No server certificate verification method has been enabled.  See URL-REDACTED for more info.
    Mon Mar 01 00:30:13 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Mon Mar 01 00:30:13 2010 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
    Mon Mar 01 00:30:13 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Mar 01 00:30:13 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Mar 01 00:30:13 2010 LZO compression initialized
    Mon Mar 01 00:30:13 2010 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
    Mon Mar 01 00:30:13 2010 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
    Mon Mar 01 00:30:13 2010 Local Options hash (VER=V4): '13a273ba'
    Mon Mar 01 00:30:13 2010 Expected Remote Options hash (VER=V4): '360696c5'
    Mon Mar 01 00:30:13 2010 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Mon Mar 01 00:30:13 2010 UDPv4 link local: [undef]
    Mon Mar 01 00:30:13 2010 UDPv4 link remote: REDACTED:1194
    Mon Mar 01 00:30:13 2010 TLS: Initial packet from REDACTED:1194, sid=11055cf2 cc0d1ea0
    Mon Mar 01 00:30:14 2010 VERIFY OK: depth=1, REDACTED
    Mon Mar 01 00:30:14 2010 VERIFY OK: depth=0, REDACTED
    Mon Mar 01 00:30:14 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Mon Mar 01 00:30:14 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Mar 01 00:30:14 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Mon Mar 01 00:30:14 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Mar 01 00:30:14 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
    Mon Mar 01 00:30:14 2010 [server] Peer Connection Initiated with REDACTED:1194
    Mon Mar 01 00:30:17 2010 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
    Mon Mar 01 00:30:17 2010 PUSH: Received control message: 'PUSH_REPLY,route 10.22.0.0 255.255.0.0 10.22.8.1,route-gateway 10.22.8.1,ping 10,ping-restart 120,ifconfig 10.22.8.10 255.255.255.0'
    Mon Mar 01 00:30:17 2010 OPTIONS IMPORT: timers and/or timeouts modified
    Mon Mar 01 00:30:17 2010 OPTIONS IMPORT: --ifconfig/up options modified
    Mon Mar 01 00:30:17 2010 OPTIONS IMPORT: route options modified
    Mon Mar 01 00:30:17 2010 OPTIONS IMPORT: route-related options modified
    Mon Mar 01 00:30:17 2010 ROUTE default_gateway=192.168.1.254
    Mon Mar 01 00:30:17 2010 TAP-WIN32 device [Local Area Connection 2] opened: \\.\Global\{7464875E-98E9-46AF-8F86-69FF32FFB722}.tap
    Mon Mar 01 00:30:17 2010 TAP-Win32 Driver Version 9.6 
    Mon Mar 01 00:30:17 2010 TAP-Win32 MTU=1500
    Mon Mar 01 00:30:17 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.22.8.10/255.255.255.0 on interface {7464875E-98E9-46AF-8F86-69FF32FFB722} [DHCP-serv: 10.22.8.0, lease-time: 31536000]
    Mon Mar 01 00:30:17 2010 Successful ARP Flush on interface [33] {7464875E-98E9-46AF-8F86-69FF32FFB722}
    Mon Mar 01 00:30:22 2010 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
    Mon Mar 01 00:30:22 2010 C:\WINDOWS\system32\route.exe ADD 10.22.0.0 MASK 255.255.0.0 10.22.8.1
    Mon Mar 01 00:30:22 2010 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
    Mon Mar 01 00:30:22 2010 Route addition via IPAPI succeeded [adaptive]
    Mon Mar 01 00:30:22 2010 Initialization Sequence Completed
    Mon Mar 01 01:30:14 2010 TLS: soft reset sec=0 bytes=648728/0 pkts=3922/0
    Mon Mar 01 01:30:14 2010 VERIFY OK: depth=1, REDACTED
    Mon Mar 01 01:30:14 2010 VERIFY OK: depth=0, REDACTED
    Mon Mar 01 01:30:15 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Mon Mar 01 01:30:15 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Mar 01 01:30:15 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Mon Mar 01 01:30:15 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Mar 01 01:30:15 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA

Rute klien tampaknya didorong ok (cetak rute):

  Active Routes:
    Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    192.168.1.254     192.168.1.23     25
        10.22.0.0      255.255.0.0        10.22.8.1       10.22.8.10     30
        10.22.8.0    255.255.255.0         On-link        10.22.8.10    286
       10.22.8.10  255.255.255.255         On-link        10.22.8.10    286
      10.22.8.255  255.255.255.255         On-link        10.22.8.10    286
    ...

Namun ketika saya mencoba untuk sampai ke 10.22.8.1 sepertinya masih ingin keluar dari koneksi internet lokal saya:

  C:\Windows\system32>tracert 10.22.8.1
    Tracing route to 10.22.8.1 over a maximum of 30 hops
      1     1 ms     1 ms     1 ms  home.gateway [192.168.1.254]
      2  nexthop.qld.iinet.net.au [203.55.228.88]  reports: Destination net unreachable.

Adakah yang bisa menasihati saya tentang apa yang saya lakukan salah (atau sebagai alternatif, jika ada cara yang mudah, lebih dapat dipertahankan untuk melakukan apa yang saya inginkan - perhatikan bahwa sesuai solusi # 1 dalam panduan 2 , mengganti nama baik subnet tidak mungkin)


Saya pikir ini adalah pertanyaan yang sangat menarik, dan saya tidak keberatan mencoba untuk mereplikasi - meskipun saya pikir ini mungkin sedikit bermasalah bagi saya untuk membuat skenario ini. Berdasarkan Anda route print, Anda menggunakan sesuatu selain XP - Windows Vista atau 7, mungkin? Bisakah Anda memberi tahu saya agar saya dapat membuat VM yang sesuai untuk pengujian?
fisi

@ fisi: Saya menggunakan Windows 7. Jika Anda tertarik, saya mungkin dapat mencobanya di mesin Windows XP. Beri tahu saya jika Anda menginginkan informasi lebih lanjut.
fostandy

Jawaban:


3

Nilai metrik rute default Anda lebih rendah dari rute 10.22.0.0/16 dan dialihkan ke rute default. Dalam menyelesaikan rute, jika lebih dari satu rute cocok dengan tujuan, rute nilai metrik yang lebih rendah diutamakan.

Entah mendorong rute default melalui VPN atau metrik yang lebih rendah untuk 10.22.0.0/16 (menambah metrik untuk rute default).

Seharusnya terlihat seperti ini:

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
      0.0.0.0          0.0.0.0    192.168.1.254     192.168.1.23    1000
    10.22.0.0      255.255.0.0        10.22.8.1       10.22.8.10     30
    10.22.8.0    255.255.255.0         On-link        10.22.8.10    286
   10.22.8.10  255.255.255.255         On-link        10.22.8.10    286
  10.22.8.255  255.255.255.255         On-link        10.22.8.10    286

1

Yang perlu Anda lakukan adalah menghapus rute default dan menambahkan rute khusus hanya ke server VPN Anda dan menandainya tersedia melalui router lokal Anda.

Jadi, Anda harus memiliki 3 rute:

vpn.example.com 255.255.255.255 gw 192.168.1.254
192.168.1.0 255.255.255.0 gw 10.22.8.1
0.0.0.0 0.0.0.0 gw 10.22.8.1
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.