OpenVPN의 또 다른 라우팅 문제-VPN을 사용하는 동안 로컬 컴퓨터에 액세스 할 수 없음

내가 아무것도 잊지 않도록 확인하기 때문에 이것은 아마도 꽤 긴 게시물이 될 것입니다. 이것은 매우 사소한 문제 일 수 있지만 설정에 어떤 문제가 있는지 알 수 없습니다.

대본

최근 에 ESXi의 VM 내부에서 실행 되는 OpenVPN을 실행하는 VPN 서버를 구성했습니다 . 이 안내서 의 설치를 기반으로 모든 것이 제대로 작동하는 것 같습니다. 라우터의 포트 전달을 통해 VPN 서버에 연결하고 인증서 인증으로 로그인 할 수 있습니다.

작동하지 않는 것

192.168.0.0VPN을 통해 연결된 경우 로컬 네트워크 ( )의 컴퓨터에 액세스 할 수 없습니다 .

현재 VPN을 통해 홈 네트워크에 성공적으로 연결 한 후 LAN의 모든 시스템에 액세스 할 수 없습니다 (Ping조차 할 수 없음).

네트워크 정보

네트워크 구성은 매우 간단합니다.

• 내 로컬 네트워크 : 192.168.0.0
• 내 OpenVPN IP : 192.168.0.140
• 내 관문 : 192.168.0.1
• 내 VPN 네트워크 : 10.8.0.0
• 내 OpenVPN VPN IP : 10.8.0.1
• 라우터는 포트에 포트 포워딩이 구성되어 있습니다 1194

내가 지금까지 시도한 것 (높은 수준)

이 문제를 해결하기 위해 세 가지 리소스를 따랐습니다.

1. OpenVPN 라우팅 가이드, 특히 기본 게이트웨이에서 실행되지 않는 라우팅 및 OpenVPN 사용 섹션
2. 내 LAN의 호스트에 연결하기 위해 OpenVPN으로 라우팅을 설정하는 방법에 대한 이 짧은 기사
3. ESXi가 작동하도록 ESXi를 구성하는 방법 에 대한 또 다른 기사는 분명히 기본 구성에서 ESXi가이를 작동시키는 데 일부 문제를 일으킬 수 있기 때문입니다.
4. VPN 서버에서 활성화 된 IP 전달
5. 모든 트래픽이 OpenVPN의 방화벽을 통과하도록 활성화

내가 지금까지 시도한 것 (상세)

이것은 OpenVPN입니다 server.conf.

local 192.168.0.140
topology subnet
dev tun
proto udp
port 1194

ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/vpnserver.crt
key /etc/openvpn/easy-rsa/keys/vpnserver.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem

server 10.8.0.0 255.255.255.0
# server and remote endpoints
ifconfig 10.8.0.1 10.8.0.2

# Add route to Client routing table for the OpenVPN Server
push "route 10.8.0.1 255.255.255.255"
# Add route to Client routing table for the OpenVPN Subnet
push "route 10.8.0.0 255.255.255.0"
# your local subnet
push "route 192.168.0.0 255.255.255.0"
# Set primary domain name server address to the SOHO Router
# If your router does not do DNS, you can use Google DNS 8.8.8.8
push "dhcp-option DNS 192.168.0.254"
# Override the Client default gateway by using 0.0.0.0/1 and
# 128.0.0.0/1 rather than 0.0.0.0/0. This has the benefit of
# overriding but not wiping out the original default gateway.
push "redirect-gateway def1"

client-to-client
duplicate-cn
keepalive 10 120
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0
cipher AES-128-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log 20
log /var/log/openvpn.log
verb 1

예 client.ovpn:

client
dev tun
proto udp
remote <my_router_ip> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
mute-replay-warnings
ns-cert-type server
key-direction 1
cipher AES-128-CBC
comp-lzo
verb 1
mute 20

현재 라우터가 고정 경로를 지원하지 않기 때문에 불행히도 라우팅을 한 번에 구성 할 수는 없지만 VPN을 통해 연결되어있는 동안 액세스하려는 각 장치에서 구성해야합니다. 예를 들어 내 Plex 서버 ( 192.168.0.110)에서 다음을 수행했습니다.

route add -net 10.8.0.0/24 gw 192.168.0.140

내 OpenVPN 시스템 ( 192.168.0.140)이 VPN 네트워크 ( 10.8.0.0)의 시스템과 로컬 네트워크 ( 192.168.0.0) 의 시스템을 연결할 수 있습니다 .

또한 OpenVPN 서버에서 IP 전달이 활성화되어 있는지 확인했지만 다음 줄의 주석을 해제하십시오 /etc/sysctl.conf.

net.ipv4.ip_forward=1

마지막으로 iptablesVPN 네트워크의 모든 트래픽이 로컬 네트워크에 도달 할 수 있도록 다음 규칙을 추가했습니다 .

# Allow traffic initiated from VPN to access LAN
iptables -I FORWARD -i tun0 -o eth0 -s 10.8.0.0/24 -m conntrack --ctstate NEW -j ACCEPT

# Allow established traffic to pass back and forth
iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

마지막으로, vSwitch위 링크의 기사에서 기본 구성에서 이러한 패킷을 삭제한다고 명시되어 있기 때문에 ESXi 에서 가상 스위치 를 구성하여 로컬 네트워크의 시스템에 액세스하려고 할 때 OpenVPN을 사용할 때 문제가 발생할 수 있습니다 .

내가 놓친 것이 없다면, 이것은 정말로해야 할 모든 것입니다. 불행히도 VPN에 성공적으로 연결 한 후에도 여전히 192.168.0.0네트워크 의 컴퓨터를 ping 할 수 없습니다 .

다시 말하지만, 이것은 매우 사소한 일이지만 어쨌든 정답에 대한 현상금을 기꺼이 제공하려고합니다 .VPN을 처음 설정 한 이유 중 하나는 다른 컴퓨터에 액세스 할 필요가 없기 때문입니다. 라우터에서 더 많은 포트를 전달하십시오.

클라이언트 머신 네트워킹 정보

이것은 ipconfig내가 연결하는 데 사용하는 컴퓨터 의 전체 출력입니다 (원격 네트워크에서 연결을 "가짜"기 위해 전화의 3G 연결을 테 더링하고 Windows에서 Wi-Fi를 통해 연결합니다).

C:\Windows\System32>ipconfig

Windows IP Configuration


Ethernet adapter Local Area Connection:

   Connection-specific DNS Suffix  . :
   Link-local IPv6 Address . . . . . : fe80::2c0e:13f0:840c:37b4%15
   IPv4 Address. . . . . . . . . . . : 10.8.0.10
   Subnet Mask . . . . . . . . . . . : 255.255.255.252
   Default Gateway . . . . . . . . . :

Wireless LAN adapter Local Area Connection* 2:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :

Wireless LAN adapter Wi-Fi:

   Connection-specific DNS Suffix  . :
   Link-local IPv6 Address . . . . . : fe80::a5e8:546c:e046:a246%4
   IPv4 Address. . . . . . . . . . . : 192.168.43.220
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.43.1

Ethernet adapter Ethernet:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :

Ethernet adapter VirtualBox Host-Only Network:

   Connection-specific DNS Suffix  . :
   Link-local IPv6 Address . . . . . : fe80::1d14:52cd:fd6a:2395%10
   IPv4 Address. . . . . . . . . . . : 192.168.56.1
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . :

Tunnel adapter isatap.{75888664-BED0-4908-8984-4DBCF9E9BDDC}:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :

Tunnel adapter isatap.{6F952140-AFCD-46E4-89E3-02CDEF869C50}:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :

Tunnel adapter isatap.{1F6CE10F-8498-4A7B-B647-FAE7422FF030}:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :

출력 route print:

C:\Windows\System32>route print
===========================================================================
Interface List
 15...00 ff 1f 6c e1 0f ......TAP-Windows Adapter V9
  7...12 56 f2 a5 d0 53 ......Microsoft Wi-Fi Direct Virtual Adapter
  4...80 56 f2 a5 d0 53 ......Killer Wireless-N 1202 Network Adapter
  3...80 fa 5b 00 d7 1f ......Realtek PCIe GBE Family Controller
 10...08 00 27 00 68 59 ......VirtualBox Host-Only Ethernet Adapter
  1...........................Software Loopback Interface 1
  8...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
  9...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
 11...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #4
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0     192.168.43.1   192.168.43.220     25
         10.8.0.4  255.255.255.252         On-link          10.8.0.6    276
         10.8.0.6  255.255.255.255         On-link          10.8.0.6    276
         10.8.0.7  255.255.255.255         On-link          10.8.0.6    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
     192.168.43.0    255.255.255.0         On-link    192.168.43.220    281
   192.168.43.220  255.255.255.255         On-link    192.168.43.220    281
   192.168.43.255  255.255.255.255         On-link    192.168.43.220    281
     192.168.56.0    255.255.255.0         On-link      192.168.56.1    276
     192.168.56.1  255.255.255.255         On-link      192.168.56.1    276
   192.168.56.255  255.255.255.255         On-link      192.168.56.1    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.56.1    276
        224.0.0.0        240.0.0.0         On-link          10.8.0.6    276
        224.0.0.0        240.0.0.0         On-link    192.168.43.220    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.56.1    276
  255.255.255.255  255.255.255.255         On-link          10.8.0.6    276
  255.255.255.255  255.255.255.255         On-link    192.168.43.220    281
===========================================================================
Persistent Routes:
  None

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
  1    306 ::1/128                  On-link
 10    276 fe80::/64                On-link
 15    276 fe80::/64                On-link
  4    281 fe80::/64                On-link
 10    276 fe80::1d14:52cd:fd6a:2395/128
                                    On-link
 15    276 fe80::2c0e:13f0:840c:37b4/128
                                    On-link
  4    281 fe80::a5e8:546c:e046:a246/128
                                    On-link
  1    306 ff00::/8                 On-link
 10    276 ff00::/8                 On-link
 15    276 ff00::/8                 On-link
  4    281 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

좋아, 문제는 클라이언트 측에 있었다. 근본 원인이 무엇인지 모르겠지만 기본적으로 내 클라이언트는 어떤 이유로 OpenVPN 서버에서 고정 경로를받지 못합니다. OpenVPN 클라이언트를 제거하고 다시 설치하면 문제가 해결되었습니다.

따라서 위의 구성이 완벽합니다.

나는 당신이 요구하는 것을 Split Tunneling 이라고 생각합니다 . Windows의 기본 VPN 클라이언트를 사용하는 경우 제어판-> 네트워크 및 인터넷-> 네트워크 연결-> VPN 연결-> 속성-> 네트워킹-> IPv4 속성-> 고급-> "원격 네트워크에서 기본 게이트웨이 사용"을 선택 취소하십시오. "

다른 소프트웨어를 사용하는 경우 분할 터널링을 찾으십시오. 서버 쪽에서도 활성화해야 할 수도 있습니다.

Windows 클라이언트를 관리자로 실행하고 있지 않습니다. 이것은 OpenVPN 클라이언트가 인터페이스 주소를 구성하지만 라우팅 테이블을 조작 할 수없는 알려진 문제입니다. 그건 그렇고 로그에서 추론 할 수 있습니다.

읽어보십시오 (예 : https://uwnthesis.wordpress.com/2013/03/25/how-to-run-openvpn-with-administrator-rights-windows-7/