OpenVPN: Es kann anscheinend kein zusätzlicher Datenverkehr durch das VLAN geleitet werden

1
Sören Kuklau 2020-04-02 22:49.

Hier ist unser Netzwerk:

  • Wir haben verschiedene Clients, die von zu Hause aus mit dynamischen IP-Adressen arbeiten, sodass für sie keine Firewall-Regeln erstellt werden können
  • Wir haben eine Reihe von Servern beim selben Hosting-Anbieter
  • Dieser Hosting-Anbieter bietet eine VLAN-Funktion, damit sich die Server intern erreichen können
  • Wir haben auch ein anderes VPN, das dieses Ziel erreicht, aber OpenVPN mit einem proprietären Front-End verwendet, sodass ich nicht einfach rückentwickeln kann, wie es funktioniert

In diesem Beispiel haben wir:

  • el-1, auf dem ein OpenVPN-Server ausgeführt wird, der das Netzwerk bereitstellt 10.26/24(und als Gateway fungiert 10.26.0.1). Im VLAN hat es auch die Adresse 192.168.50.51.
  • master, die stärker Firewall ist. Im VLAN hat es 192.168.50.41.

Ich habe bereits die Einrichtung eines OpenVPN-Servers abgeschlossen, und diese Clients können sich selbst verbinden und (ansonsten Firewall-Ports) erreichen el-1. Jetzt möchte ich, dass diese Clients irgendwie auch masterüber dasselbe VPN zugreifen , wahrscheinlich über das VLAN.

Wenn ich RDP einnehme el-1, kann ich die VLAN-Adresse von verwenden 192.168.50.41, um Ports zu erreichen master, die nicht öffentlich geöffnet sind. Das VLAN scheint also zu funktionieren, und die Firewall scheint zu diesem Zeitpunkt kein Problem zu sein.

Nur um dies zu erreichen, eine Client-Konfiguration:

client

dev tun

proto udp
remote (the server) 11194

resolv-retry infinite

nobind

persist-key
persist-tun

ca ca.crt
cert someUsername.crt
key someUsername.key

ns-cert-type server

cipher AES-256-CBC

comp-lzo

verb 3

So sah die Serverkonfiguration aus:

local 0.0.0.0

#we use a non-default port 11194
port 11194

proto udp

dev tun

client-config-dir ccd
ccd-exclusive

ca ..//easy-rsa//keys//ca.crt
cert ..//easy-rsa//keys//server.crt
key ..//easy-rsa//keys//server.key
dh ..//easy-rsa//keys//dh2048.pem

server 10.26.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

keepalive 10 60

cipher AES-256-CBC

comp-lzo

max-clients 20

persist-key
persist-tun

status ..//log//openvpn-status.log
verb 3

(Ich weiß comp-lzound bin ns-cert-typeveraltet; das ist eine andere Sache.)

Ich habe dann im Grunde genommen aus den Dokumenten herausgefunden, dass dies servereine Abkürzung ist, die dieses komplexere Szenario möglicherweise nicht schafft. Also habe ich das wie folgt aufgeteilt:

local 0.0.0.0

#we use a non-default port 11194
port 11194

proto udp

dev tun

client-config-dir ccd
ccd-exclusive

ca ..//easy-rsa//keys//ca.crt
cert ..//easy-rsa//keys//server.crt
key ..//easy-rsa//keys//server.key
dh ..//easy-rsa//keys//dh2048.pem

mode server
tls-server

ifconfig-pool-persist ipp.txt

keepalive 10 60

cipher AES-256-CBC

comp-lzo

max-clients 20

persist-key
persist-tun

status ..//log//openvpn-status.log
verb 3

# formerly the server directive
topology subnet
push "topology subnet"
ifconfig 10.26.0.1 255.255.255.0
ifconfig-pool 10.26.0.2 10.26.0.253
push "route-gateway 10.26.0.1"

Ich denke , das sollte ungefähr gleichwertig sein, außer jetzt ist die Topologie so subnet, wie sie net30vorher war. Ich habe dann folgendes hinzugefügt:

# VLAN
push "route 192.168.50.0 255.255.255.0 10.26.0.1 1"

Und das Ergebnis sieht direkt auf dem Kunden aus! Aus dem clientseitigen OpenVPN-Protokoll:

2020-04-02 10:39:27.067370 MANAGEMENT: >STATE:1585816767,ASSIGN_IP,,10.26.0.16,,,,
2020-04-02 10:39:27.067396 /sbin/ifconfig utun7 delete
                           ifconfig: ioctl (SIOCDIFADDR): Can't assign requested address
2020-04-02 10:39:27.072671 NOTE: Tried to delete pre-existing tun/tap instance -- No Problem if failure
2020-04-02 10:39:27.072721 /sbin/ifconfig utun7 10.26.0.16 10.26.0.16 netmask 255.255.255.0 mtu 1500 up
2020-04-02 10:39:27.076570 /sbin/route add -net 10.26.0.0 10.26.0.16 255.255.255.0
                           add net 10.26.0.0: gateway 10.26.0.16
2020-04-02 10:39:27.082300 MANAGEMENT: >STATE:1585816767,ADD_ROUTES,,,,,,
2020-04-02 10:39:27.082345 /sbin/route add -net 192.168.50.0 10.26.0.1 255.255.255.0
                           add net 192.168.50.0: gateway 10.26.0.1

Und die Routen:

~> netstat -nr
Routing tables

Internet:
Destination        Gateway            Flags        Netif Expire
default            192.168.2.234      UGSc           en0       
10.26/24           10.26.0.16         UGSc         utun7       
10.26.0.16         10.26.0.16         UH           utun7       
127                127.0.0.1          UCS            lo0       
127.0.0.1          127.0.0.1          UH             lo0       
169.254            link#4             UCS            en0      !
[..]
192.168.50         10.26.0.1          UGSc         utun7       
224.0.0/4          link#4             UmCS           en0      !
224.0.0.251        1:0:5e:0:0:fb      UHmLWI         en0       
255.255.255.255/32 link#4             UCS            en0      !

Das sieht also genau richtig aus, oder? Ich sollte jetzt in der Lage sein, einen Port 192.168.50.41 über das VPN unter 10.26.0.1(on utun7) zu erreichen.

Aber es ist gefiltert. Ich habe vorübergehend Firewalls auf beiden Servern deaktiviert (was nicht der Grund sein sollte). noch gefiltert.

Damit,

  • Wie überprüfe ich, ob die richtige Route verwendet wird? traceroutebleibt einfach stecken:

    ~> traceroute -n 192.168.50.41
    traceroute to 192.168.50.41 (192.168.50.41), 64 hops max, 52 byte packets
     1  * * *
     2  * * *
     3  * * *
  • Bin ich in Bezug auf meine Konfiguration größtenteils korrekt? Benötige ich eine Überbrückung? Gibt es etwas sehr Grundlegendes, das mir fehlt?

1 answers

0
Anonymous 2020-04-08 16:00.

Einige Tipps: route -nGibt eine Ausgabe zurück netstat -nr, die der Routenpriorität (Metrik) ähnelt, diese jedoch anzeigt.

Bedeutet 10.26 / 24 10.26.0.0/24? Dann scheint es sich mit 10.26.0.16 zu überschneiden und es gibt einige Routenduplikationen.

Frage:

Wie überprüfe ich, ob die richtige Route verwendet wird? Traceroute bleibt einfach hängen:

Verwenden Sie den Befehl ip route, um die Route für eine bestimmte IP-Adresse abzurufen, z.

ip route get 192.168.50.41

Dies allein sollte Ihnen beim Debuggen sehr helfen.

Ich würde die OpenVPN-Konfigurationsdatei sorgfältig prüfen. Ich glaube nicht, dass Sie dies wirklich brauchen:

ifconfig 10.26.0.1 255.255.255.0

Wenn Ihr Server tatsächlich 10.26.0.1 ist, sollte sich der Client darum kümmern und die Route im laufenden Betrieb hinzufügen. Aber vielleicht fehlt mir etwas, ich kann mir Ihr Netzwerk-Setup momentan nicht zu 100% vorstellen.

Ich schlage vor, dass Sie die Ausgabe route -nauf dem Client vor und nach dem Ausführen von OpenVPN erfassen und die Ergebnisse vergleichen, damit Sie sehen können, welche Routen aus Ihren Konfigurationsanweisungen hinzugefügt wurden.

(Haftungsausschluss: Der nächste Abschnitt ist spekulativ. Ich lade Sie ein, die Idee noch einmal zu überprüfen und zu recherchieren.)

Angenommen, die VPN-Verbindung funktioniert ansonsten zwischen Client und Server und Sie haben sie iptablesauf Ihrem Server, müssen Sie möglicherweise eine Regel hinzufügen, damit Clients Ihren lokalen Bereich 192.168 erreichen können. *

Um Ihnen eine Vorstellung zu geben, hier eine Konfiguration, die ich einmal auf einem Raspberry PI vorgenommen habe, um den Datenverkehr zwischen den Schnittstellen eth0 und wlan0 weiterzuleiten:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT

Vielleicht könnte diese Art von Regel den Job erledigen und den VPN-Clients den transparenten Zugriff auf den privaten Bereich 192.168 ermöglichen. *. Sie müssen die genaue Regel in Abhängigkeit von Ihrer Netzwerkkonfiguration festlegen, aber ich weiß nicht, ob dies unter Sicherheitsgesichtspunkten optimal ist, wie Ihr VLAN eingerichtet ist usw. Ich habe keine Einsicht und bin kein iptables Guru.

Hoffentlich kann hier jemand anderes mit mehr Erfahrung mitmachen. Es muss mehr als einen Weg geben, dies zu erreichen.

Ich nehme an, dass die IP-Weiterleitung auf Ihrem Server bereits aktiviert ist, z.

echo 1 > /proc/sys/net/ipv4/ip_forward

Beachten Sie, dass es sich hier nur um IPv4 handelt. Wenn Ihr Server jedoch IPv6-fähig ist und IPv6-Adressen konfiguriert sind, müssen Sie sich auch darum kümmern.

MORE COOL STUFF

Cate Blanchett schlief nach 3 gemeinsamen Tagen mit ihrem Ehemann und ist 25 Jahre später immer noch mit ihm verheiratet

Cate Blanchett schlief nach 3 gemeinsamen Tagen mit ihrem Ehemann und ist 25 Jahre später immer noch mit ihm verheiratet

Cate Blanchett widersetzte sich typischen Dating-Ratschlägen, als sie ihren Ehemann traf.

Warum Michael Sheen ein gemeinnütziger Schauspieler ist

Warum Michael Sheen ein gemeinnütziger Schauspieler ist

Michael Sheen ist ein gemeinnütziger Schauspieler, aber was genau bedeutet das?

Hallmark-Star Colin Egglesfield sorgt für spannende Fan-Begegnungen bei RomaDrama Live! [Exklusiv]

Hallmark-Star Colin Egglesfield sorgt für spannende Fan-Begegnungen bei RomaDrama Live! [Exklusiv]

Hallmark-Star Colin Egglesfield sprach über spannende Fan-Begegnungen bei RomaDrama Live! plus sein INSPIRE-Programm auf der Convention.

Warum Sie „Northern Exposure“ nicht online streamen können

Warum Sie „Northern Exposure“ nicht online streamen können

Sie müssen einen Blu-ray- oder DVD-Player abstauben, um zu sehen, warum Northern Exposure zu einer der beliebtesten Shows der 90er Jahre wurde.

Where in the World Are You? Take our GeoGuesser Quiz

Where in the World Are You? Take our GeoGuesser Quiz

The world is a huge place, yet some GeoGuessr players know locations in mere seconds. Are you one of GeoGuessr's gifted elite? Take our quiz to find out!

Werfen Sie diese Pappröhren nicht weg! 10 Möglichkeiten, sie wiederzuverwenden

Werfen Sie diese Pappröhren nicht weg! 10 Möglichkeiten, sie wiederzuverwenden

Werfen Sie Ihr Papierhandtuch, Toilettenpapier und Geschenkpapierrollen nicht in den Müll. Geben Sie ihnen stattdessen mit einem dieser 10 Hacks ein zweites Leben.

Schlafen Fische?

Schlafen Fische?

Es ist schwer vorstellbar, dass Nemo im Great Barrier Reef ein paar Zs fängt. Aber Fische brauchen Ruhe. Schlafen sie so wie wir?

Spenden Sie Ihr Haar, um unser Wasser sauber zu halten

Spenden Sie Ihr Haar, um unser Wasser sauber zu halten

Haarteile aus Salons und persönliche Spenden können als Matten wiederverwendet werden, die Ölverschmutzungen aufsaugen und zum Schutz der Umwelt beitragen.

Alles, was Sie über das Driften in Mario Kart 8 Deluxe nicht wussten

Alles, was Sie über das Driften in Mario Kart 8 Deluxe nicht wussten

Jedes Mal, wenn Sie in Mario Kart einen Drift ausführen, laden Sie einen Geschwindigkeitsschub auf, der beim Verlassen des Drifts ausgelöst wird. Aber es passiert noch viel mehr unter der Haube, wenn es um diesen Geschwindigkeitsschub geht: wie schnell er aufgeladen wird, wie lange er dauert und ob er sich tatsächlich um Sekunden Ihrer letzten Zeit rasiert oder nicht.

Gerichtsbestimmungen Die FCC muss Aufzeichnungen veröffentlichen, die betrügerische Kommentare zur Netzneutralität erklären könnten

Gerichtsbestimmungen Die FCC muss Aufzeichnungen veröffentlichen, die betrügerische Kommentare zur Netzneutralität erklären könnten

FCC-Vorsitzender Ajit Pai. Ein Bundesrichter entschied letzte Woche, dass die von den Republikanern kontrollierte Federal Communications Commission (derzeit unter Vorsitz von Donald Trump-Beauftragten Ajit Pai) Aufzeichnungen über Millionen betrügerischer öffentlicher Kommentare veröffentlichen muss, bevor die Agentur im vergangenen Jahr die Richtlinien zur Netzneutralität aufhob, berichtete Ars Technica.

Schlafen Sie nicht auf Heathcliff, der anderen orangefarbenen Katze im Internet

Schlafen Sie nicht auf Heathcliff, der anderen orangefarbenen Katze im Internet

Garfield, die lasagne-liebende Comic-Katze, die Montags hasst, ist im Zeitalter des Internets merkwürdig relevant geblieben. Die existenzielle Verzweiflung des Ablegers Garfield Without Garfield oder vielleicht die seltsame Flut ernsthafter Nachforschungen über die Feinheiten von Garfields Existenz.

Jimmy Jackson aus Waterbury, Conn., "Das auch packen" und Clapback-fähig zu sein, ist das schwärzeste, was ich je in dieser Woche gesehen habe

Jimmy Jackson aus Waterbury, Conn., "Das auch packen" und Clapback-fähig zu sein, ist das schwärzeste, was ich je in dieser Woche gesehen habe

WTNH-TV-Screenshot Haben Sie jemals mit dem Teufel im blassen Mondlicht getanzt? Wahrscheinlich nicht. Und du wolltest es wahrscheinlich nie.

Tudor Dixon gewinnt Michigan GOP Primary und trifft nun auf die amtierende Demokratin Gretchen Whitmer

Tudor Dixon gewinnt Michigan GOP Primary und trifft nun auf die amtierende Demokratin Gretchen Whitmer

Tudor Dixon hat am Dienstag die Vorwahlen von Michigan zum Gouverneur gewonnen, nachdem er eine späte Bestätigung des ehemaligen Präsidenten Donald Trump erhalten hatte

Nicky Hilton Forced to Borrow Paris' 'I Love Paris' Sweatshirt After 'Airline Loses All [My] Luggage'

Nicky Hilton Forced to Borrow Paris' 'I Love Paris' Sweatshirt After 'Airline Loses All [My] Luggage'

Nicky Hilton Rothschild's luggage got lost, but luckily she has an incredible closet to shop: Sister Paris Hilton's!

Kate Middleton verbringt einen Tag am Wasser in London, plus Jennifer Lopez, Julianne Hough und mehr

Kate Middleton verbringt einen Tag am Wasser in London, plus Jennifer Lopez, Julianne Hough und mehr

Kate Middleton verbringt einen Tag am Wasser in London, plus Jennifer Lopez, Julianne Hough und mehr. Von Hollywood bis New York und überall dazwischen, sehen Sie, was Ihre Lieblingsstars vorhaben!

17-Jähriger erstochen, während 4 weitere bei einem Messerangriff am Wisconsin River verwundet wurden

17-Jähriger erstochen, während 4 weitere bei einem Messerangriff am Wisconsin River verwundet wurden

Die Ermittler prüfen, ob sich die Gruppe und der Verdächtige vor dem Angriff kannten

Wie ich schreibe

Wie ich schreibe

Für mich dreht sich alles um diese erste Linie und wohin sie dich führt. Einige Autoren werden von der Handlung, der feinen Anordnung von Schachfiguren, angetrieben, während andere von einer Figur und der Fähigkeit, mit einem neuen fiktiven Freund auf eine Reise zu gehen, angezogen werden.

Start- und Landebahnen

Start- und Landebahnen

Spätsommer und Herbst sind nostalgische Jahreszeiten. Straßenlaternen werfen ihr Licht über regennasse Straßen, und die Blätter unter den Füßen – gedämpft rot-orange im Schatten der Dämmerung – erinnern an vergangene Tage.

Stellen Sie sich vor, Sie erstellen eine Inhaltsstrategie, die tatsächlich KONVERTIERT. Es ist möglich.

Stellen Sie sich vor, Sie erstellen eine Inhaltsstrategie, die tatsächlich KONVERTIERT. Es ist möglich.

Im Jahr 2021 ermutige ich Sie, alles zu überdenken, was Sie über die Kunden, die Sie bedienen, und die Geschichten, die Sie ihnen erzählen, wissen. Zurücktreten.

Ein Mammutverlust öffnete mein Herz für die Liebe

Ein Mammutverlust öffnete mein Herz für die Liebe

Am Tag des 9. Geburtstags von Felix The Cat erinnere ich mich an einen der größten Verluste meines Erwachsenenlebens – meine Sophie im Jahr 2013. Ich habe diesen Essay geschrieben und ihn kurz im Jahr 2013 auf dieser Plattform geteilt.

Language