Início / server / Perguntas / 1178097
Accepted
user1250852
Asked: 2025-04-02 18:43:24 +0800 CST

Roteamento entre duas conexões VPN encadeadas

  • 772

Estou tentando configurar a seguinte rede:

Host1 ---(VPN1)--- Host2 ---(VPN2)--- Host3

Onde

  • Host1tem IP 10.0.0.1/16na interface tun-vpn1;
  • Host2tem IPs 10.0.0.2/16na interface tun-vpn1, e 10.1.0.1/16na interface tun-vpn2;
  • Host3tem IP 10.1.0.2/16na interface tun-vpn2.

Especificamente, Host1é um servidor OpenVPN com rede 10.0.0.0/16com Host2como seu cliente. Portanto, eles são conectados de 10.0.0.1 --- 10.0.0.2.

Similarmente, Host2é um servidor OpenVPN com rede 10.1.0.0/16com Host3como seu cliente. Portanto, eles são conectados de 10.1.0.1 --- 10.1.0.2.

Agora, estou tentando fazer Host1ping Host3. A primeira coisa que tentei foi Host1fazer ping Host2na interface dele tun-vpn2. Então, de Host1eu faço

ping 10.1.0.1

O que não funciona.

Então tentei configurar uma rota Host1como

ip route add 10.1.0.0/16 via 10.0.0.2 dev tun-vpn1

E novamente não tive sucesso. E o tcpdump não mostra nenhum pacote chegando em Host2, mesmo que eles saiam Host1na interface tun-vpn1.

Como posso configurar esse roteamento?

Obrigado.

routing

1 respostas

  1. Best Answer

    Você precisa definir adicionalmente rotas internas do OpenVPN usando irouteno servidor Host1, depois que elas entram na interface e são processadas pelo software OpenVPN. Se bem me lembro, isso vai para um client-config-dirarquivo para o cliente específico.

    Como alternativa, troque a conexão OpenVPN para dev tapuma que tenha um comportamento mais familiar, semelhante ao Ethernet.

    tuninterfaces simulam uma interface ponto a ponto e não carregam nenhum tipo de endereçamento de camada MAC (também conhecido como L2) que permitiria que o via ...parâmetro funcionasse (ao contrário de interfaces "tap" ou Ethernet físicas que permitem). Então, quando você roteia qualquer coisa por uma interface "tun", o viaendereço do gateway é efetivamente ignorado.

    Mas como o OpenVPN não é realmente um link ponto a ponto, mas mais um ponto a multiponto, isso significa que o servidor OpenVPN não tem como saber automaticamente para qual peer encaminhar os pacotes se eles não corresponderem diretamente ao endereço principal de nenhum peer. A única maneira do Host1servidor saber que 10.1.0.0/16 deve ser encaminhado para o Host2cliente.

    O OpenVPN não tem nenhum caso especial para uma configuração de 1 cliente (pois nada o impede de obter um segundo cliente a qualquer momento e você não gostaria que isso mudasse drasticamente o comportamento do roteamento), então, mesmo em tal configuração, ele não "simplesmente encaminhará tudo" para o único cliente que possui; você ainda precisa usar iroute.

    (O problema provavelmente não ocorrerá na outra direção, já que um cliente OpenVPN sempre tem apenas um par: o servidor.)

    As interfaces WireGuard são usadas AllowedIPsexatamente para o mesmo propósito (e é comum definir isso como /0 quando um túnel ponto a ponto "limpo" é necessário).

    • 1

relate perguntas