Pregunta tratando de enrutar entre dos clientes openvpn


Tengo dos clientes openvpn en las subredes 10.0.1.0 (cliente1) y 192.168.0.0 (cliente2) con la conexión openvpn del servidor que tiene la dirección IP 192.168.150.1

El servidor tiene habilitado el reenvío ip.

Actualmente, la vpn ip de client1 es 192.168.150.10 y la ip P-t-P es 192.168.150.9 He creado la siguiente ruta estática en client1:

route add -net 10.0.1.0 netmask 255.255.255.0 gw 192.168.150.9

La tabla de enrutamiento en client1 se ve así:

Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.150.9   0.0.0.0         255.255.255.255 UH        0 0          0 tun0
192.168.150.1   192.168.150.9   255.255.255.255 UGH       0 0          0 tun0
10.0.1.0        192.168.150.9   255.255.255.0   UG        0 0          0 tun0
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U         0 0          0 lo
0.0.0.0         192.168.0.1     0.0.0.0         UG        0 0          0 eth0

Pensé que esto sería correcto para permitir que el tráfico de client1 llegue a las computadoras en la red de client2, pero no funciona. ¿Es 192.168.150.9 (la dirección P-t-P) la correcta para enrutar? Intenté usar 192.168.150.1 pero no pude crear la ruta.

También intenté agregar esto a la configuración del servidor en su lugar:

push "route 192.168.0.0 255.255.255.0"
push "route 10.0.1.0 255.255.255.0"

Crea la siguiente ruta en client1:

10.0.1.0        192.168.150.9   255.255.255.0   UG        0 0          0 tun0

Pero no funciona. Seguramente el ejemplo de ruta "push" es correcto? ¿Hay algo más que deba hacer? Nada en el servidor? ¿Solo habilitar el reenvío de ip?


4
2018-05-03 08:18


origen




Respuestas:


¿Aparece algo en los registros de firewall? ¿Se puede diagnosticar exactamente dónde frena el tráfico utilizando tcpdump? ¿Qué sistema está utilizando (linux, freebsd, qué versión)?

Prueba esto también en la configuración del servidor (desde OpenVPN documentación):

# Uncomment this directive to allow different
# clients to be able to "see" each other.
# By default, clients will only see the server.
# To force clients to only see the server, you
# will also need to appropriately firewall the
# server's TUN/TAP interface.
;client-to-client

13
2018-05-03 11:32



de alguna manera me perdí esta opción en la configuración porque soy ciego o algo así. Qué alivio. He estado en esto durante días golpeando mi cabeza contra una pared de ladrillo y eso es todo lo que se requería! - Pawz


Para lograr que mis clientes se comuniquen entre ellos a través del servidor OpenVPN, necesitaba descomentar client-to-client en mi configuración como @kyrisu sugiere, pero también tuve que agregar topology subnet a mi configuración del servidor:

# Configure server mode and supply a VPN subnet
# for OpenVPN to draw client addresses from.
# The server will take 10.8.0.1 for itself,
# the rest will be made available to clients.
# Each client will be able to reach the server
# on 10.8.0.1. Comment this line out if you are
# ethernet bridging. See the man page for more info.
server 10.8.0.0 255.255.255.0
topology subnet

2
2017-07-31 03:27