最近、Windows2003サーバーにOpenVPNをインストールしました。誰かがサーバーに接続すると、インターネットにアクセスできなくなります。
Dd-wrtで高度なルーティングゲートウェイを作成しました
Destination LAN NET: 192.168.10.0
Subnet Mask: 255.255.255.252
Gateway: 192.168.1.110
Interface: Lan & WLAN
私はこのウェブサイトを正確にフォローしています: http://www.itsatechworld.com/2006/01/29/how-to-configure-openvpn/
編集:cmdプロンプトを介して接続しようとすると、次のサブネットエラーが発生します-ローカルLAN [192.168.1.0/255.255.255.0]とリモートVPN [192.168.1.0/255.255.255.0]の間の潜在的なルートサブネットの競合
私のサーバーファイルは次のようになります。
local 192.168.1.110 # This is the IP address of the real network interface on the server connected to the router
port 1194 # This is the port OpenVPN is running on - make sure the router is port forwarding this port to the above IP
proto udp # UDP tends to perform better than TCP for VPN
mssfix 1400 # This setting fixed problems I was having with apps like Remote Desktop
Push "dhcp-option DNS 192.168.1.1" # Replace the Xs with the IP address of the DNS for your home network (usually your ISP's DNS)
#Push "dhcp-option DNS X.X.X.X" # A second DNS server if you have one
dev tap
#dev-node MyTAP #If you renamed your TAP interface or have more than one TAP interface then remove the # at the beginning and change "MyTAP" to its name
ca "ca.crt"
cert "server.crt"
key "server.key" # This file should be kept secret
dh "dh1024.pem"
server 192.168.10.0 255.255.255.128 # This assigns the virtual IP address and subent to the server's OpenVPN connection. Make sure the Routing Table entry matches this.
ifconfig-pool-persist ipp.txt
Push "redirect-gateway def1" # This will force the clients to use the home network's internet connection
keepalive 10 120
cipher BF-CBC # Blowfish (default) encryption
comp-lzo
max-clients 100 # Assign the maximum number of clients here
persist-key
persist-tun
status openvpn-status.log
verb 1 # This sets how detailed the log file will be. 0 causes problems and higher numbers can give you more detail for troubleshooting
私のclient1ファイルは次のとおりです。
client
dev tap
#dev-node MyTAP #If you renamed your TAP interface or have more than one TAP interface then remove the # at the beginning and change "MyTAP" to its name
proto udp
remote my-dyna-dns.com 1194 #You will need to enter you dyndns account or static IP address here. The number following it is the port you set in the server's config
route 192.168.1.0 255.255.255.0 vpn_gateway 3 #This it the IP address scheme and subnet of your normal network your server is on. Your router would usually be 192.168.1.1
resolv-retry infinite
nobind
persist-key
persist-tun
ca "ca.crt"
cert "client1.crt" # Change the next two lines to match the files in the keys directory. This should be be different for each client.
key "client1.key" # This file should be kept secret
ns-cert-type server
cipher BF-CBC # Blowfish (default) encrytion
comp-lzo
verb 1
前もって感謝します!
サーバーが「redirect-gateway」オプションをクライアントにプッシュしているように見えます。これにより、クライアントはVPNをデフォルトゲートウェイとして使用します。サーバー構成の行をコメントアウトします 'Push "redirect-gatewaydef1"'。
うわー、あなたの編集を見ただけです。クライアントは、接続しているLANと同じIPアドレスを使用することはできません。それはうまくいきません。一方の端またはもう一方の端は、異なるIPアドレスを使用する必要があります。
編集:
Windows Server 2003マシンでルーティングが適切に構成されていると仮定すると(参照したwww.itsatechworld.comページに従って)、VPNを介したLANIPによってWindowsServer2003マシンとWindowsVistaマシンにPINGを実行できるはずです。可能であれば、Windows Server 2003およびDD-WRTマシンで正しくルーティングできるので、続行できます。そうでない場合は、(1)OpenVPNトンネルからのPINGトラフィックが宛先に到達しない理由、または(b)宛先ホストからのPING応答が返送されない理由の追跡を開始する必要があります。 Windows VistaマシンにWiresharkのようなものを置いて、PING要求がそこに到達しているかどうかを確認することになる可能性があります(PINGは要求が受信されているかどうかを通知できず、応答が失われているだけなので)。
VPN全体でIP接続が正常に機能するようになったら。 DNSとWINSサービスをWindowsServer 2003 VPNサーバーコンピューターにインストールし、サーバーコンピューターとWindows Vistaホームコンピューターを構成して、そのマシンをWINSおよびDNS。ISPのDNSをWindowsServer 2003マシンで「転送済み」として追加するか、インターネット名を解決できるようにストックの「ルートヒント」を構成したままにすることができます。OpenVPNサーバー構成で、 'Push "dhcp-option DNS192.168.1.1"行の直後の次の行:
Push "dhcp-option WINS 192.168.1.1"
これにより、リモートクライアントがWindows Server 2003マシン上のWINSおよびDNSサーバーにアクセスし、DNSとNetBIOSの両方の名前解決が得られるはずです。
自宅でActiveDirectoryドメインを使用していない場合は、Windows Server2003およびWindowsVistaマシンに登録するために、Windows Server 2003DNSサーバーに標準の前方参照ゾーンを設定することをお勧めします。このゾーンを作成するときに、(安全ではありませんが)レコードを動的に更新する権限をクライアントに付与する必要があります。自宅のDHCPスコープにオプション「DNSドメイン名」(オプション15)を追加して、クライアントコンピューターが正しいDNSドメイン名のサフィックスを取得できるようにする必要があります。 (DNSにDD-WRTを使用している場合、その方法を説明できません。私はOpenWRTの担当者であり、コマンドラインからWRT54Gを管理しています。WindowsServerからDHCPを実行することをお勧めします。とにかく2003マシンですが、私はそのDHCPサーバーがもっと好きです。)
Active Directoryドメインを使用している場合は、DNSで前方参照ゾーンがすでに作成されています。ただし、リモートVPNクライアントはドメインのメンバーではないため、Windows ServerがDNSゾーンに設定するストックセキュリティ設定でDNSに登録することはできません(少なくとも、 DCPROMO)。安全ではありませんが、登録を許可する場合は、(a-安全性が低い)ゾーンの権限を変更して安全でない登録を許可するか、(b-より安全であるが安全ではない)それらのAレコードとPTRレコードを作成してこれらの各レコードの権限を変更して、誰でも更新できるようにします。
これはホームネットワーキングのことのように思えますが、IPルーティング、VPN、名前解決など、多くのことを学ぶ良い機会です。おそらくあなたはそれを学習の機会としてではなく「ただ働く」ために探しているのでしょう。その場合、私は謝罪し、これらのことはまだ「ターンキー」ではないと言うことができます。
WindowsOpenVPNサーバーにルーティングサービスがインストールされていることを確認する必要があります。
これについては前に説明しましたが、LANネットワークアドレスを192.168.1.X以外に変更することを強くお勧めします。ほとんどのLinksysなどはそのネットワークに付属しているため、リモートホストはネットワーク内のホストにアクセスできません。 VPNネットワークが192.168.10.Xに設定されているようです。これは問題ありません。次に、LANを192.168.5.Xのようなものに設定します。それはうまくいくでしょう、私を信じてください。
その場合、リダイレクトゲートウェイをオンにすることもできますが、帯域幅を消費するため、お勧めしません。ネットワーク上にIDS/IPSデバイスなどがある場合は、それが有益な場合があります。
動詞を1より高く設定します...何が起こっているかを確認するために4のままにします。
お役に立てば幸いです。
Evanのコメントは正しいですが、少なくともコンテンツフィルタリングを行う場合は、「redire-gateway」を有効にし、インターネットにバインドされたすべてのトラフィックを受け入れるようにサーバーを構成することを検討することをお勧めします。そうしないと、ラップトップは(さらに)ネットワークに対する脆弱性になります。
スプリットトンネルVPNは、ラップトップを危険にさらす攻撃者にネットワークのジューシーな中心への短絡を本質的に提供するため、一般的に 安全でない と見なされます。
そのため、これはLinuxでも文書化されています。私はこれをここで見つけました