web-dev-qa-db-ja.com

OpenVPNサーバーに接続しているときにインターネットにアクセスできません

最近、Windows2003サーバーにOpenVPNをインストールしました。誰かがサーバーに接続すると、インターネットにアクセスできなくなります。

  • 私のネットワークは192.168.1.1にあります
  • 私のサーバーは192.168.1.110にあります
  • Dd-wrtファームウェアを使用しています
  • ルーターの192.168.1.110のポート1194を有効にしました
  • ルーティングとリモートアクセスが無効になっている
  • Windows2003サーバーに2つのTap-Win32アダプターV8があります
  • この行を192.168.1.1に設定してみましたが、ISPのDNSサーバーも「dhcp-optionDNS192.168.1.1」をプッシュします。#XをホームネットワークのDNSのIPアドレス(通常はISPのDNS)に置き換えます。
  • Dd-wrtで高度なルーティングゲートウェイを作成しました

     Destination LAN NET: 192.168.10.0
     Subnet Mask: 255.255.255.252
     Gateway: 192.168.1.110
     Interface: Lan & WLAN
    

私はこのウェブサイトを正確にフォローしています: http://www.itsatechworld.com/2006/01/29/how-to-configure-openvpn/

編集:cmdプロンプトを介して接続しようとすると、次のサブネットエラーが発生します-ローカルLAN [192.168.1.0/255.255.255.0]とリモートVPN [192.168.1.0/255.255.255.0]の間の潜在的なルートサブネットの競合

私のサーバーファイルは次のようになります。

local 192.168.1.110 # This is the IP address of the real network interface on the server connected to the router

port 1194 # This is the port OpenVPN is running on - make sure the router is port forwarding this port to the above IP

proto udp # UDP tends to perform better than TCP for VPN

mssfix 1400 # This setting fixed problems I was having with apps like Remote Desktop

Push "dhcp-option DNS 192.168.1.1"  # Replace the Xs with the IP address of the DNS for your home network (usually your ISP's DNS)

#Push "dhcp-option DNS X.X.X.X"  # A second DNS server if you have one

dev tap

#dev-node MyTAP  #If you renamed your TAP interface or have more than one TAP interface then remove the # at the beginning and change "MyTAP" to its name

ca "ca.crt"  

cert "server.crt"

key "server.key"  # This file should be kept secret

dh "dh1024.pem"

server 192.168.10.0 255.255.255.128  # This assigns the virtual IP address and subent to the server's OpenVPN connection.  Make sure the Routing Table entry matches this.

ifconfig-pool-persist ipp.txt

Push "redirect-gateway def1"  # This will force the clients to use the home network's internet connection

keepalive 10 120

cipher BF-CBC        # Blowfish (default) encryption

comp-lzo

max-clients 100 # Assign the maximum number of clients here

persist-key

persist-tun

status openvpn-status.log

verb 1 # This sets how detailed the log file will be.  0 causes problems and higher numbers can give you more detail for troubleshooting

私のclient1ファイルは次のとおりです。

client

dev tap

#dev-node MyTAP  #If you renamed your TAP interface or have more than one TAP interface then remove the # at the beginning and change "MyTAP" to its name

proto udp

remote my-dyna-dns.com 1194  #You will need to enter you dyndns account or static IP address here. The number following it is the port you set in the server's config

route 192.168.1.0 255.255.255.0 vpn_gateway 3  #This it the IP address scheme and subnet of your normal network your server is on.  Your router would usually be 192.168.1.1

resolv-retry infinite

nobind

persist-key

persist-tun

ca "ca.crt"

cert "client1.crt" # Change the next two lines to match the files in the keys directory.  This should be be different for each client.

key "client1.key"  # This file should be kept secret

ns-cert-type server

cipher BF-CBC        # Blowfish (default) encrytion

comp-lzo

verb 1

前もって感謝します!

2
Ryan

サーバーが「redirect-gateway」オプションをクライアントにプッシュしているように見えます。これにより、クライアントはVPNをデフォルトゲートウェイとして使用します。サーバー構成の行をコメントアウトします 'Push "redirect-gatewaydef1"'。

うわー、あなたの編集を見ただけです。クライアントは、接続しているLANと同じIPアドレスを使用することはできません。それはうまくいきません。一方の端またはもう一方の端は、異なるIPアドレスを使用する必要があります。

編集:

Windows Server 2003マシンでルーティングが適切に構成されていると仮定すると(参照したwww.itsatechworld.comページに従って)、VPNを介したLANIPによってWindowsServer2003マシンとWindowsVistaマシンにPINGを実行できるはずです。可能であれば、Windows Server 2003およびDD-WRTマシンで正しくルーティングできるので、続行できます。そうでない場合は、(1)OpenVPNトンネルからのPINGトラフィックが宛先に到達しない理由、または(b)宛先ホストからのPING応答が返送されない理由の追跡を開始する必要があります。 Windows VistaマシンにWiresharkのようなものを置いて、PING要求がそこに到達しているかどうかを確認することになる可能性があります(PINGは要求が受信されているかどうかを通知できず、応答が失われているだけなので)。

VPN全体でIP接続が正常に機能するようになったら。 DNSとWINSサービスをWindowsServer 2003 VPNサーバーコンピューターにインストールし、サーバーコンピューターとWindows Vistaホームコンピューターを構成して、そのマシンをWINSおよびDNS。ISPのDNSをWindowsServer 2003マシンで「転送済み」として追加するか、インターネット名を解決できるようにストックの「ルートヒント」を構成したままにすることができます。OpenVPNサーバー構成で、 'Push "dhcp-option DNS192.168.1.1"行の直後の次の行:

Push "dhcp-option WINS 192.168.1.1"

これにより、リモートクライアントがWindows Server 2003マシン上のWINSおよびDNSサーバーにアクセスし、DNSとNetBIOSの両方の名前解決が得られるはずです。

自宅でActiveDirectoryドメインを使用していない場合は、Windows Server2003およびWindowsVistaマシンに登録するために、Windows Server 2003DNSサーバーに標準の前方参照ゾーンを設定することをお勧めします。このゾーンを作成するときに、(安全ではありませんが)レコードを動的に更新する権限をクライアントに付与する必要があります。自宅のDHCPスコープにオプション「DNSドメイン名」(オプション15)を追加して、クライアントコンピューターが正しいDNSドメイン名のサフィックスを取得できるようにする必要があります。 (DNSにDD-WRTを使用している場合、その方法を説明できません。私はOpenWRTの担当者であり、コマンドラインからWRT54Gを管理しています。WindowsServerからDHCPを実行することをお勧めします。とにかく2003マシンですが、私はそのDHCPサーバーがもっと好きです。)

Active Directoryドメインを使用している場合は、DNSで前方参照ゾーンがすでに作成されています。ただし、リモートVPNクライアントはドメインのメンバーではないため、Windows ServerがDNSゾーンに設定するストックセキュリティ設定でDNSに登録することはできません(少なくとも、 DCPROMO)。安全ではありませんが、登録を許可する場合は、(a-安全性が低い)ゾーンの権限を変更して安全でない登録を許可するか、(b-より安全であるが安全ではない)それらのAレコードとPTRレコードを作成してこれらの各レコードの権限を変更して、誰でも更新できるようにします。

これはホームネットワーキングのことのように思えますが、IPルーティング、VPN、名前解決など、多くのことを学ぶ良い機会です。おそらくあなたはそれを学習の機会としてではなく「ただ働く」ために探しているのでしょう。その場合、私は謝罪し、これらのことはまだ「ターンキー」ではないと言うことができます。

3
Evan Anderson

WindowsOpenVPNサーバーにルーティングサービスがインストールされていることを確認する必要があります。

これについては前に説明しましたが、LANネットワークアドレスを192.168.1.X以外に変更することを強くお勧めします。ほとんどのLinksysなどはそのネットワークに付属しているため、リモートホストはネットワーク内のホストにアクセスできません。 VPNネットワークが192.168.10.Xに設定されているようです。これは問題ありません。次に、LANを192.168.5.Xのようなものに設定します。それはうまくいくでしょう、私を信じてください。

その場合、リダイレクトゲートウェイをオンにすることもできますが、帯域幅を消費するため、お勧めしません。ネットワーク上にIDS/IPSデバイスなどがある場合は、それが有益な場合があります。

動詞を1より高く設定します...何が起こっているかを確認するために4のままにします。

お役に立てば幸いです。

1
stickdeoderant

Evanのコメントは正しいですが、少なくともコンテンツフィルタリングを行う場合は、「redire-gateway」を有効にし、インターネットにバインドされたすべてのトラフィックを受け入れるようにサーバーを構成することを検討することをお勧めします。そうしないと、ラップトップは(さらに)ネットワークに対する脆弱性になります。

スプリットトンネルVPNは、ラップトップを危険にさらす攻撃者にネットワークのジューシーな中心への短絡を本質的に提供するため、一般的に 安全でない と見なされます。

1
Matt Simmons

そのため、これはLinuxでも文書化されています。私はこれをここで見つけました

  1. VPN設定ファイルをNetworkManagerにインポートします
  2. VPN接続を編集する
  3. [IP設定]タブ(IP4設定)に移動します
  4. ルートをクリックします
  5. 「この接続はネットワーク上のリソースにのみ使用する」にチェックを入れます
  6. 接続を再開します。
0
jackbravo