OpenVPNのさらに別のルーティングの問題-VPN上でローカルマシンにアクセスできない
何も忘れないようにしたいので、これはおそらくかなり長い投稿になるでしょう。これは非常に些細な問題である可能性がありますが、セットアップの何が問題になっているのか理解できません。
シナリオ
最近、OpenVPNを実行し、現在をVM)内で実行しているVPNサーバーを構成しましたESXiでインストールを このガイド に基づいており、すべてが正常に機能しているようです:VPNサーバーに接続できます(ルーターのポート転送を介して) )そして証明書認証でログインします。
何が機能していないか
VPN経由で接続していると、ローカルネットワーク(192.168.0.0)上のマシンにアクセスできません。
現時点では、VPN経由でホームネットワークに正常に接続した後、LAN上のすべてのマシンにアクセスできません(pingすらできません)。
ネットワーク情報
ネットワーク構成は非常に単純です。
- 私のローカルネットワーク:
192.168.0.0 - 私のOpenVPNIP:
192.168.0.140 - 私のゲートウェイ:
192.168.0.1 - 私のVPNネットワーク:
10.8.0.0 - 私のOpenVPNVPN IP:
10.8.0.1 - ルーターのポート転送は、ポート
1194で構成されています。
私がこれまでに試したこと(高レベル)
この問題を解決するために、次の3つのリソースに従いました。
- OpenVPNルーティングガイド、特にセクション デフォルトゲートウェイで実行されていないルーティングとOpenVPNの使用
- この短い記事 LAN上のホストに接続するためにOpenVPNでルーティングを設定する方法について
- これが機能するようにESXiを構成する方法 に関する別の記事、明らかに、デフォルトの構成では、ESXiがこれを機能させるのにいくつかの問題を引き起こす可能性があるため
- VPNサーバーでIP転送を有効にする
- すべてのトラフィックがOpenVPNのファイアウォールを通過できるようにしました
私がこれまでに試したこと(詳細)
これはOpenVPNserver.confです:
local 192.168.0.140
topology subnet
dev tun
proto udp
port 1194
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/vpnserver.crt
key /etc/openvpn/easy-rsa/keys/vpnserver.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
# server and remote endpoints
ifconfig 10.8.0.1 10.8.0.2
# Add route to Client routing table for the OpenVPN Server
Push "route 10.8.0.1 255.255.255.255"
# Add route to Client routing table for the OpenVPN Subnet
Push "route 10.8.0.0 255.255.255.0"
# your local subnet
Push "route 192.168.0.0 255.255.255.0"
# Set primary domain name server address to the SOHO Router
# If your router does not do DNS, you can use Google DNS 8.8.8.8
Push "dhcp-option DNS 192.168.0.254"
# Override the Client default gateway by using 0.0.0.0/1 and
# 128.0.0.0/1 rather than 0.0.0.0/0. This has the benefit of
# overriding but not wiping out the original default gateway.
Push "redirect-gateway def1"
client-to-client
duplicate-cn
keepalive 10 120
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0
cipher AES-128-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log 20
log /var/log/openvpn.log
verb 1
例client.ovpn:
client
dev tun
proto udp
remote <my_router_ip> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
mute-replay-warnings
ns-cert-type server
key-direction 1
cipher AES-128-CBC
comp-lzo
verb 1
mute 20
現在のルーターは静的ルートをサポートしていないため、残念ながらルーティングを一度に構成することはできませんが、VPN経由で接続しているときにアクセスする各デバイスで構成しています。したがって、たとえば、私のPlexサーバー(192.168.0.110)で、これを実行しました。
route add -net 10.8.0.0/24 gw 192.168.0.140
私のOpenVPNマシン(192.168.0.140)がVPNネットワーク(10.8.0.0)上のマシンをローカルネットワーク(192.168.0.0)上のマシンに接続できるようにします。
また、OpenVPNサーバーでIP転送が有効になっていることを確認しましたが、/etc/sysctl.confから次の行のコメントを解除しました。
net.ipv4.ip_forward=1
最後に、VPNネットワークからのすべてのトラフィックがローカルネットワークに到達できるように、次のiptablesルールを追加しました。
# Allow traffic initiated from VPN to access LAN
iptables -I FORWARD -i tun0 -o eth0 -s 10.8.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
# Allow established traffic to pass back and forth
iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
最後に、ESXiの仮想スイッチvSwitchを構成して、無差別パケットをドロップしないようにしました。上記のリンク先の記事では、デフォルト構成ではこれらのパケットがドロップされると述べているため、OpenVPNを使用するときに問題が発生する可能性があります。ローカルネットワーク上のマシンにアクセスします。
私が何かを逃していない限り、これは本当にする必要があるすべてであるはずです。残念ながら、VPNに正常に接続した後でも、192.168.0.0ネットワーク上のマシンにpingを実行できません。
繰り返しになりますが、これは非常に些細なことですが、最初にVPNを設定した理由の1つは、他のマシンにアクセスする必要がないため、とにかく正解に対していくらかの報奨金を提供したいと思います。ルータのより多くのポートを転送します。
クライアントマシンのネットワーク情報
これは、接続に使用しているマシンのipconfigの完全な出力です(リモートネットワークからの接続を「偽造」するために、電話の3G接続をテザリングし、WindowsからWi-Fi経由で接続しています)。
C:\Windows\System32>ipconfig
Windows IP Configuration
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :
Link-local IPv6 Address . . . . . : fe80::2c0e:13f0:840c:37b4%15
IPv4 Address. . . . . . . . . . . : 10.8.0.10
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :
Wireless LAN adapter Local Area Connection* 2:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Wireless LAN adapter Wi-Fi:
Connection-specific DNS Suffix . :
Link-local IPv6 Address . . . . . : fe80::a5e8:546c:e046:a246%4
IPv4 Address. . . . . . . . . . . : 192.168.43.220
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.43.1
Ethernet adapter Ethernet:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Ethernet adapter VirtualBox Host-Only Network:
Connection-specific DNS Suffix . :
Link-local IPv6 Address . . . . . : fe80::1d14:52cd:fd6a:2395%10
IPv4 Address. . . . . . . . . . . : 192.168.56.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
Tunnel adapter isatap.{75888664-BED0-4908-8984-4DBCF9E9BDDC}:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Tunnel adapter isatap.{6F952140-AFCD-46E4-89E3-02CDEF869C50}:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Tunnel adapter isatap.{1F6CE10F-8498-4A7B-B647-FAE7422FF030}:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
route printの出力:
C:\Windows\System32>route print
===========================================================================
Interface List
15...00 ff 1f 6c e1 0f ......TAP-Windows Adapter V9
7...12 56 f2 a5 d0 53 ......Microsoft Wi-Fi Direct Virtual Adapter
4...80 56 f2 a5 d0 53 ......Killer Wireless-N 1202 Network Adapter
3...80 fa 5b 00 d7 1f ......Realtek PCIe GBE Family Controller
10...08 00 27 00 68 59 ......VirtualBox Host-Only Ethernet Adapter
1...........................Software Loopback Interface 1
8...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
9...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
11...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #4
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.43.1 192.168.43.220 25
10.8.0.4 255.255.255.252 On-link 10.8.0.6 276
10.8.0.6 255.255.255.255 On-link 10.8.0.6 276
10.8.0.7 255.255.255.255 On-link 10.8.0.6 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.43.0 255.255.255.0 On-link 192.168.43.220 281
192.168.43.220 255.255.255.255 On-link 192.168.43.220 281
192.168.43.255 255.255.255.255 On-link 192.168.43.220 281
192.168.56.0 255.255.255.0 On-link 192.168.56.1 276
192.168.56.1 255.255.255.255 On-link 192.168.56.1 276
192.168.56.255 255.255.255.255 On-link 192.168.56.1 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.56.1 276
224.0.0.0 240.0.0.0 On-link 10.8.0.6 276
224.0.0.0 240.0.0.0 On-link 192.168.43.220 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.56.1 276
255.255.255.255 255.255.255.255 On-link 10.8.0.6 276
255.255.255.255 255.255.255.255 On-link 192.168.43.220 281
===========================================================================
Persistent Routes:
None
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 306 ::1/128 On-link
10 276 fe80::/64 On-link
15 276 fe80::/64 On-link
4 281 fe80::/64 On-link
10 276 fe80::1d14:52cd:fd6a:2395/128
On-link
15 276 fe80::2c0e:13f0:840c:37b4/128
On-link
4 281 fe80::a5e8:546c:e046:a246/128
On-link
1 306 ff00::/8 On-link
10 276 ff00::/8 On-link
15 276 ff00::/8 On-link
4 281 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
わかりました、問題はクライアント側にありました。根本的な原因はわかりませんが、基本的にクライアントは何らかの理由でOpenVPNサーバーから静的ルートを受信しませんでした。 OpenVPNクライアントをアンインストールして再インストールすると、問題が解決しました:/
したがって、上記の構成は完全に正しいです。