Perguntas[vpn](server)

Tenho um QNAP conectado a um roteador em uma rede remota. Na mesma rede, conectado ao mesmo roteador, há também um servidor Linux. Dentro da rede remota, tudo funciona bem. Posso acessar a interface web do QNAP NAS. Também posso acessar o servidor Linux por meio da configuração de encaminhamento de porta no roteador.

No entanto, quando tento conectar-me à VPN e através dela ao servidor Linux, seja via ping, SSH ou interface web, não consigo conectar-me de forma alguma. Tudo expira. Não é nenhum firewall no servidor Linux, verifiquei ou desabilitei tudo (firewalld, iptables, SELinux) enquanto depurava isso.

Configurei uma configuração de host para host na qual quero que apenas o IP do servidor fique exposto para que qualquer pessoa conectada à VPN possa se comunicar com os serviços naquele servidor.

connections {
    rw {
      pools = rw_pool
      send_cert = always
      unique = no
      fragmentation=yes
      local {
        auth = pubkey
        certs = [CERT].pem
        id = [ID]
      }

      remote {
        auth = eap-mschapv2
        eap_id = %any
      }
      children {
        rw {
          local_ts  = [WAN IP OF SERVER]
          esp_proposals = chacha20poly1305-sha512, aes256gcm16-ecp384,aes256-sha256,aes256-sha1,3des-sha1
        }
      }
      send_certreq = no
    }
 }

A conexão funciona e as solicitações estão de fato vindo de um intervalo de IP selecionado pela VPN. No entanto, como estou mirando no IP externo, isso ainda não rotearia o tráfego por um canal não seguro após a saída do IP?

Configuração do cliente:

connections {
    home {
      version=2
      remote_addrs = [SERVER ADDR]
      vips = 0.0.0.0
      local {
        auth = eap-mschapv2
        eap_id = [ID]
      }
      remote {
        auth = pubkey
        id = [SERVER ID]
      }
      children {
        home {
          remote_ts  = [WAN IP OF SERVER]
          local_ts = dynamic
          #remote_ts  = 10.10.10.0/24
          start_action = start
        }
      }
    }
  }

Uma segunda pergunta menor: como você faria uma configuração de host para site, onde meu servidor é uma entidade única em sua rede, mas o outro lado é um roteador fortigate com uma rede maior por trás dele, essa configuração funcionaria?

Agradecemos antecipadamente pelo esforço!

EDIT: Problema de IP resolvido usando ip para criar uma interface tun0 e usando isso como local_ts

Meu objetivo é configurar uma VPN bidirecional site-to-site. Quero poder acessar o lado do servidor do lado do cliente, e o lado do cliente do lado do servidor.

Não estou fazendo nada avançado e tentei seguir as instruções no guia de conexão site-to-site do OpenVPN. Mas, acho que, como estou usando dois roteadores DD-WRT como meu servidor e VPNs de cliente, estou tendo um problema em corresponder o guia à minha situação.

Do lado do cliente, consigo conectar aos hosts de rede do lado do servidor. Do lado do servidor, não consigo conectar aos hosts do lado do cliente.

Mapa de rede:

Rede CG-NAT LAN 192.168.0.0/22 ​​Cliente OpenVPN em DD-WRT 192.168.0.2

Rede LAN regular 192.168.4.0/22 ​​Servidor OpenVPN em DD-WRT 192.168.4.2

Túnel: 10.10.28.1 <-> 10.10.28.2 (posso ver que está configurado corretamente nos logs)

Eu controlo ambos os lados, então estava tentando configurar as rotas para consertar o problema. Suspeito que as rotas (ou as configurações no servidor OpenVPN) estejam erradas.

Esta é a tabela de roteamento no lado do cliente OpenVPN:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.0.1     0.0.0.0         UG    0      0        0 br0
10.10.28.0      *               255.255.255.0   U     0      0        0 tun1
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
192.168.0.0     *               255.255.252.0   U     0      0        0 br0
192.168.4.0     10.10.28.1      255.255.252.0   UG    200    0        0 tun1

Posso fazer ping de qualquer lugar na rede do cliente para a rede 192.168.4.0:

# ping 192.168.4.222
PING 192.168.4.222 (192.168.4.222): 56 data bytes
64 bytes from 192.168.4.222: seq=0 ttl=63 time=42.244 ms
64 bytes from 192.168.4.222: seq=1 ttl=63 time=32.047 ms

Esta é a tabela de roteamento no host do servidor OpenVPN quando a abro pela primeira vez:

default via 192.168.4.1 dev br0
10.10.28.0/24 dev tun2 scope link  src 10.10.28.1
127.0.0.0/8 dev lo scope link
192.168.4.0/22 dev br0 scope link  src 192.168.4.2

Observações: Não consigo fazer ping da rede do servidor para a rede 192.168.0.0. NO ENTANTO, enquanto estiver logado no host do servidor OpenVPN (192.168.4.2), consigo fazer ping do outro lado do túnel (10.10.28.2)

# ping 10.10.28.2
PING 10.10.28.2 (10.10.28.2): 56 data bytes
64 bytes from 10.10.28.2: seq=0 ttl=64 time=40.287 ms
64 bytes from 10.10.28.2: seq=1 ttl=64 time=35.791 ms


# traceroute 192.168.0.1
traceroute to 192.168.0.1 (192.168.0.1), 30 hops max, 46 byte packets
 1  192.168.4.1 (192.168.4.1)  5.108 ms  4.927 ms  3.953 ms
 2  *  *

Então, meu primeiro palpite foi adicionar esta rota para corresponder à rota do Cliente para a sub-rede do Servidor:

route add -net 192.168.0.0 netmask 255.255.252.0 gw 10.10.28.2 metric 200 tun2

Isso criou uma entrada adicional:

192.168.0.0     10.10.28.2      255.255.252.0   UG    200    0        0 tun2

Isso fez alguma diferença, mas o traceroute ou os pings não retornam.

# traceroute 192.168.0.1
traceroute to 192.168.0.1 (192.168.0.1), 30 hops max, 46 byte packets
 1  *  *  *

Obviamente sou iniciante, então me diga se preciso de mais informações para me ajudar.

Estou criando uma VPN para acessar uma VPC, mas quero que o restante do tráfego não passe pela VPN.

Consegui acessar o VPC por meio da VPN, mas quando conectado a ela, perco o acesso à Internet.

Esta é a configuração do meu servidor:

port 1194
proto udp
dev tun
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpn.crt
key /etc/openvpn/server/vpn.key 
dh /etc/openvpn/server/dh.pem
topology subnet
server 172.16.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push "route 10.0.0.0 255.255.0.0"
keepalive 10 120
tls-auth /etc/openvpn/server/ta.key 0
cipher AES-256-GCM
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append  /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1
data-ciphers AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305

Adicionei este iptable ao servidor para acessar a VPC:

sudo iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -d 10.0.0.0/8 -j MASQUERADE

E este é meu arquivo .ovpn para o cliente:

client
dev tun
proto udp
remote XXXXXXXXXXXXX 1194
resolv-retry infinite
nobind
persist-key
persist-tun
cipher AES-256-GCM
data-ciphers AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305
verb 3
ca [inline]
cert [inline]
key [inline]
tls-auth [inline] 1
pull
<ca>....

Ao conectar na VPN, é adicionada uma rota no cliente com destino 0.0.0.0 e gateway o servidor vpn, acredito que seja esse o problema, mas não sei como evitar que isso aconteça.

~ route -n
Tabla de rutas IP del núcleo
Destino         Pasarela        Genmask         Indic Métric Ref    Uso Interfaz
0.0.0.0         172.16.0.1      0.0.0.0         UG    50     0        0 tun0
0.0.0.0         192.168.1.1     0.0.0.0         UG    100    0        0 eno1
10.0.0.0        172.16.0.1      255.255.0.0     UG    50     0        0 tun0
[**VPN IP**]    192.168.1.1     255.255.255.255 UGH   50     0        0 eno1
172.16.0.0      0.0.0.0         255.255.255.0   U     50     0        0 tun0
192.168.1.0     0.0.0.0         255.255.255.0   U     100    0        0 eno1
192.168.1.1     0.0.0.0         255.255.255.255 UH    50     0        0 eno1

Estou usando o gerenciador de rede padrão do Ubuntu para importar o arquivo .ovpn e conectar à VPN.

Estou explorando o servidor de acesso OpenVPN/ConexaCloud porque quero poder acessar uma VPC com recursos privados.

Com o OpenVPN, que outras medidas devo tomar para proteger a VPC?

Sei que posso bloquear o tráfego em recursos privados usando iptablesou ufw, mas gostaria de ver se há outras coisas que podem ser feitas.

Eu tenho um servidor Wireguard rodando em um raspberri pi na minha LAN doméstica. Quero dar a um parente que mora em um país diferente acesso à minha VPN, para que ele possa usar livremente os serviços de Internet bloqueados pelo seu ISP local, mas não quero que ele tenha acesso aos dispositivos da minha LAN. Existe uma maneira de configurar o servidor Wireguard para conseguir isso?

A configuração do meu servidor é:

# wg0.conf

[Interface]
Address = 10.24.36.1/24
MTU = 1420
SaveConfig = true
ListenPort = 51820
PrivateKey = 111

[Peer]
PublicKey = 222
PresharedKey = 333
AllowedIPs = 10.24.36.2/32
Endpoint = 172.19.188.166:11262

[Peer]
PublicKey = 444
PresharedKey = 555
AllowedIPs = 10.24.36.3/32
Endpoint = 172.18.164.218:7833

Configuração típica do cliente:

[Interface]
PrivateKey = 666
Address = 10.24.36.3/24
DNS = 8.8.8.8, 8.8.4.4

[Peer]
PublicKey = 777
PresharedKey = 555
AllowedIPs = 0.0.0.0/0
Endpoint = my-ip.no-ip.com:41234

Tenho tentado o fim de semana inteiro fazer com que o Wireguard funcione da maneira que desejo, sem sucesso. Quero que meu telefone possa ver minha LAN doméstica, o telefone Android verá e se conectará ao peer do Windows e poderá acessar seus serviços; mas não consegue alcançar o restante da LAN local. Quero que meu peer do Windows conceda ao peer do Android acesso à LAN 192.168.1.x.

• Tenho meu modem/roteador configurado para encaminhar a porta UDP 51820 de entrada para meu peer do Windows.
• Eu permiti o executável do Wireguard no Firewall do Windows.
• Acessar um serviço (como servidor FTP/HTTP) no peer do Windows a partir do Android funciona.
• Pode executar ping entre pares do Windows e pares do Android entre si.
• É possível executar ping no host 192.168.1.175 sem problemas no peer do Windows.
• Habilitei o serviço de roteamento e acesso remoto do Windows
• Regra do Firewall do Windows alterada para compartilhamento de arquivos e impressoras (Echo ICMPv4 IN) de sub-rede local apenas para sub-rede qualquer.
• Regra de compartilhamento de arquivos e impressoras (SMB-In) do Firewall do Windows alterada de sub-rede local apenas para sub-rede qualquer.
• Também tentei com o Firewall do Windows Defender completamente desativado.
• Quando faço ping em 192.168.1.x do Android, posso ver o RX subir no lado do Windows, então estou bastante confiante de que o telefone está enviando o 192.168.1.x através do túnel.

Eu tentei vários "AllowedIps" diferentes, tentei alterar os tamanhos de MTU, tentei alterar o DNS, tentei diferentes IPs, netranges.

Acho que o Windows não está fazendo a parte do NAT? Eu não entendi o que há de errado?

Par do Windows:

[Interface]
PrivateKey = 0EHx
(PublicKey = FQSx)
ListenPort = 51820
Address = 10.20.10.1/24

[Peer]
PublicKey = 5tTx
AllowedIPs = 10.20.10.0/24

Par Android:

[Interface]
PrivateKey = IOJx
(PubKey = 5tTx)
Address = 10.20.10.2/24

[Peer]
PublicKey = FQSx
EndPoint = EXTERNAL/WAN-IP:51820
AllowedIPs = 10.20.10.0/24, 192.168.1.0/24

Tenho este aplicativo Ping instalado no meu telefone Android que vem com um botão Traceroute. Quando pressiono no endereço 192.168.1.175, às vezes mostra 1 salto para 10.20.10.1, mas é isso.

Pelo que posso dizer, o Windows tem o encaminhamento habilitado:

PS> Get-NetIPInterface | select ifIndex,InterfaceAlias,AddressFamily,ConnectionState,Forwarding | Sort-Object -Property IfIndex | Format-Table

ifIndex InterfaceAlias                     AddressFamily ConnectionState Forwarding
  1 Loopback Pseudo-Interface 1                 IPv4       Connected    Enabled
  1 Loopback Pseudo-Interface 1                 IPv6       Connected    Enabled
  6 Bluetooth-netwerkverbinding 2               IPv6    Disconnected    Enabled
  6 Bluetooth-netwerkverbinding 2               IPv4    Disconnected    Enabled
 12 VMware Network Adapter VMnet1               IPv4       Connected    Enabled
 12 VMware Network Adapter VMnet1               IPv6       Connected    Enabled
 15 LAN                                         IPv6       Connected    Enabled
 15 LAN                                         IPv4       Connected    Enabled
 16 VPN                                         IPv4    Disconnected    Enabled
 16 VPN                                         IPv6    Disconnected    Enabled
 22 VMware Network Adapter VMnet8               IPv6       Connected    Enabled
 22 VMware Network Adapter VMnet8               IPv4       Connected    Enabled
 26 Wireguard_Server                            IPv6       Connected    Enabled
 26 Wireguard_Server                            IPv4       Connected    Enabled
 27 vEthernet (WSL (Hyper-V firewall))          IPv6       Connected    Enabled
 27 vEthernet (WSL (Hyper-V firewall))          IPv4       Connected    Enabled
 33 vEthernet (Default Switch)                  IPv6       Connected    Enabled
 33 vEthernet (Default Switch)                  IPv4       Connected    Enabled

Saída de "impressão de rota" do Windows:

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.124     25
       10.20.10.0    255.255.255.0         On-link        10.20.10.1      5
       10.20.10.1  255.255.255.255         On-link        10.20.10.1    261
     10.20.10.255  255.255.255.255         On-link        10.20.10.1    261
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
     172.23.144.0    255.255.240.0         On-link      172.23.144.1   5256
     172.23.144.1  255.255.255.255         On-link      172.23.144.1   5256
   172.23.159.255  255.255.255.255         On-link      172.23.144.1   5256
      172.25.80.0    255.255.240.0         On-link       172.25.80.1   5256
      172.25.80.1  255.255.255.255         On-link       172.25.80.1   5256
    172.25.95.255  255.255.255.255         On-link       172.25.80.1   5256
      192.168.1.0    255.255.255.0      192.168.1.1    192.168.1.124     27
    192.168.1.124  255.255.255.255         On-link     192.168.1.124    281
    192.168.1.175  255.255.255.255         On-link        10.20.10.1      5
     192.168.58.0    255.255.255.0         On-link      192.168.58.1    291
     192.168.58.1  255.255.255.255         On-link      192.168.58.1    291
   192.168.58.255  255.255.255.255         On-link      192.168.58.1    291
    192.168.107.0    255.255.255.0         On-link     192.168.107.1    291
    192.168.107.1  255.255.255.255         On-link     192.168.107.1    291
  192.168.107.255  255.255.255.255         On-link     192.168.107.1    291
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link     192.168.1.124    281
        224.0.0.0        240.0.0.0         On-link       172.25.80.1   5256
        224.0.0.0        240.0.0.0         On-link      172.23.144.1   5256
        224.0.0.0        240.0.0.0         On-link      192.168.58.1    291
        224.0.0.0        240.0.0.0         On-link     192.168.107.1    291
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link     192.168.1.124    281
  255.255.255.255  255.255.255.255         On-link       172.25.80.1   5256
  255.255.255.255  255.255.255.255         On-link      172.23.144.1   5256
  255.255.255.255  255.255.255.255         On-link      192.168.58.1    291
  255.255.255.255  255.255.255.255         On-link     192.168.107.1    291

O que estou tentando fazer é iniciar um servidor OpenVPN em ponte no GCP (em uma VM GCE). O que me parece uma parte crucial está no título. Se eu tiver sucesso, o resto será supostamente fácil. Eu tentei duas abordagens:

• O jeito do Arch Linux... o iproute2jeito, na verdade. Eu perguntei sobre isso no fórum do Arch Linux. Os detalhes estão em uma essência .
• O jeito OpenVPN... o bridge-utilsjeito, na verdade. Baseado no script do tutorial oficial . Os detalhes estão em uma essência .

Parece que não é possível fazer isso no GCP ou estou faltando alguma coisa? Qual é? Ou o que posso fazer para investigar melhor o problema?

No aplicativo VPN da minha empresa, temos um recurso desabilitado que exclui a lista abaixo de intervalos de endereços IP que não são de sites da Web de serem roteados para o servidor VPN.

Isso permite que os aplicativos da rede local continuem funcionando mesmo se a VPN estiver ativa e, além disso, alguns Anti-VPN verificam esses endereços (para ver se a VPN está ativa ou não).

Minha pergunta é: existe algum intervalo de IP que devemos adicionar e/ou remover da lista?

Além disso, mencionar a RFC relacionada seria útil, mas não obrigatório.

AVISO: adicionar muito à Lista significa vazar pacotes do site, e remover muito significa que os aplicativos da rede local podem não funcionar.

Lista:

Lenda:

• Por exemplo, a {172,16,0,0 , 12},entrada significa 172.16.0.0/12.
• Onde, os primeiros 4 campos MyTypeespecificam a base do endereço IP.
• O 5º campo especifica a “máscara”.

Entradas:

MyType localSubnets[] = {
    // Address ranges below are reserved by IANA for private intranets,
    // and not routable to the Internet
    // (For additional information, see RFC 1918).
    {10,0,0,0 , 8}, {10,170,60,224 , 27},
    {172,16,0,0 , 12},
    {192,168,0,0 , 16},
    // Reserved and special use addresses:
    {0,0,0,0 , 8}, // Current network (only valid as source address) RFC 1700
    {127,0,0,0 , 8}, // Loopback IP addresses (refers to self) RFC 5735
    {192,0,0,0 , 24}, // Reserved (IANA) RFC 5735
    {192,88,99,0 , 24}, // IPv6 to IPv4 relay. RFC 3068

    {198,18,0,0 , 15}, // Network benchmark tests. RFC 2544
    {198,51,100,0 , 24}, // TEST-NET-2. RFC 5737
    {203,0,113,0 , 24}, // TEST-NET-3. RFC 5737
    {224,0,0,0 , 4}, // Reserved for multicast addresses. RFC 3171
    // Reserved (former Class E network) RFC 1700
    {255,255,255,255 , 32} // Broadcast address (limited to all other nodes on the LAN) RFC 919
};

Estou configurando um servidor doméstico (usando o servidor Ubuntu 22.04) com vários serviços implantados em várias portas. Por exemplo, meu servidor de página inicial está implantado na porta 3000.

Quando estiver na rede local:

• O acesso Ssh está OK
• Os serviços HTTP implantados diretamente no servidor estão OK
• Os serviços HTTP implantados via docker com uma rede bridge estão OK

Quando uso o meshnet nordvpn:

• O acesso Ssh está OK
• Os serviços HTTP implantados diretamente no servidor estão OK
• Os serviços HTTP implantados via docker com uma rede bridge NÃO SÃO ACESSÍVEIS

Aqui está o docker compose para o meu servidor de página inicial

version: "3.9"
services:
  homepage:
    image: ghcr.io/gethomepage/homepage:latest
    container_name: homepage
    ports:
      - "3000:3000"
    volumes:
      - /config:/app/config
      - /var/run/docker.sock:/var/run/docker.sock
    environment:
      PUID: $PUID
      PGID: $PGID
    networks:
      - homepage_net

networks:
  homepage_net:
    driver: bridge

Aqui está minha interface Ethernet principal:

enp0s25: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.XXX  netmask 255.255.255.0  broadcast 192.XXX
        ether XXX  txqueuelen 1000  (Ethernet)
        RX packets 257310280  bytes 326111324526 (326.1 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 157444527  bytes 168981936261 (168.9 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 20  memory 0xf3a00000-f3a20000 

Aqui está a interface de rede do Nordlynx (os recursos meshnet do Nordvpn a criam):

nordlynx: flags=81<UP,POINTOPOINT,RUNNING>  mtu 1420
        inet XXX  netmask 255.255.255.255  destination XXX
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 1000  (UNSPEC)
        RX packets 236544852  bytes 298874606486 (298.8 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 52996561  bytes 13275751612 (13.2 GB)
        TX errors 0  dropped 34313 overruns 0  carrier 0  collisions 0

Aqui estão minhas rotas:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         _gateway        0.0.0.0         UG    0      0        0 enp0s25
172.17.0.0      0.0.0.0         255.255.0.0     U     0      0        0 docker0
172.18.0.0      0.0.0.0         255.255.0.0     U     0      0        0 br-9066eab87b15
172.19.0.0      0.0.0.0         255.255.0.0     U     0      0        0 br-e7a37ce3a7bd
172.20.0.0      0.0.0.0         255.255.0.0     U     0      0        0 br-e6e5e235ac3b
172.21.0.0      0.0.0.0         255.255.0.0     U     0      0        0 br-64f3f670aea1
172.22.0.0      0.0.0.0         255.255.0.0     U     0      0        0 br-f624ee4026b8
172.23.0.0      0.0.0.0         255.255.0.0     U     0      0        0 br-90ed8d1cb5ca
192.XXX         0.0.0.0         255.255.255.0   U     0      0        0 enp0s25

EDITAR:

Aqui está minha lista de permissões nordvpn:

Allowlisted subnets:
        172.0.0.0/8
        100.0.0.0/8
        192.168.50.0/24

Como está funcionando na rede local, acho que pode ser um problema de janela de encaixe ou de roteamento. Sou praticamente um novato quando se trata de administração de sistemas e redes. Qualquer ajuda é apreciada.