在我的 OpenVPN 配置中推送哪些路由以供客户端访问服务器的本地网络？

他们告诉您不要使用192.168.1.1/24，因为几乎所有家用路由器默认都使用该子网。只需将其更改为192.168.2.0/24- 这应该可以解决您的问题。

正如@Hauke Laging 所提到的，您可以将另一个子网/IP（家庭路由器较少使用）映射到192.168.1.0/24/ 192.168.1.1。例如：

push "route 10.0.9.0 255.255.255.0"
push "client-nat dnat 192.168.1.0 255.255.255.0 10.0.9.0"

或者

push "route 10.11.12.13"
push "client-nat dnat 192.168.1.1 255.255.255.255 10.11.12.13"

然后您可以访问192.168.1.0/24/192.168.1.1服务器连接到与10.0.9.0/24/10.11.12.13在VPN客户端上。

这也可以使用iptablesDNAT或NETMAP在 iptables 中完成。$server_vpn_ip:80假设“访问路由器”是指它的 Web UI，192.168.1.1:80如果前者还没有被占用，你甚至可以只说 DNAT 。

（注意：假设服务器已经在进行 IP 转发和伪装。）

避免 VPN 子网中常用的专用网络

这既涉及分配给远程 VPN 客户端的子网，也涉及需要使用 VPN 访问的所有网络。如果有客户端直接连接到的本地网络并且它具有重叠的子网，则优先。

我列出了一些您应该在2017 年的回答中避免使用的子网：

Techspot 有一个常见的默认路由器 IP 地址列表，可以帮助解决这个问题。通常家庭路由器使用/24子网。现在手机经常被用于共享网络连接，所以我们也必须考虑到这些范围。根据我们可以推断出我们应该避免的清单：

• 192.168.0.0/19- 大多数路由器似乎都使用其中的一些，上面192.168.31.255。
• 10.0.0.0/24也被广泛使用，Apple 使用10.0.1.0/24.
• 192.168.100.0/24被摩托罗拉、中兴、华为和汤姆森使用。
• 摩托罗拉使用（另外）192.168.62.0/24和192.168.102.0/24.
• 192.168.123.0/24被 LevelOne、Repotec、Sitecom 和 US Robotics 使用（不太常见）
• 一些 D-Link 具有10.1.1.0/24和10.90.90.0/24。

OpenVPN 建议和默认设置

OpenVPN 发表了一篇关于编号私有子网的文章：

虽然这些网络块中的地址通常应在 VPN 配置中使用，但选择将 IP 地址或子网冲突概率降至最低的地址很重要。需要避免的冲突类型有：

• 来自使用相同 LAN 子网编号的 VPN 上不同站点的冲突，或
• 来自使用与您的 VPN 子网冲突的私有子网的站点的远程访问连接。

---

最好的解决方案是避免使用10.0.0.0/24或192.168.0.0/24作为专用 LAN 网络地址。相反，请使用在您可能希望远程连接的 WiFi 咖啡馆、机场或酒店中使用的可能性较低的东西。最佳候选者是位于巨大网络块中间的子网10.0.0.0/8（例如 10.66.77.0/24）。

对于客户端子网，OpenVPN 默认为10.8.0.0/24. 来自OpenVPN 中的拓扑：

子网拓扑是当前推荐的拓扑；由于向后兼容 2.0.9 时代的配置，它不是 OpenVPN 2.3 的默认设置。当不存在在 Windows 下运行 OpenVPN 2.0.9 的旧/过时客户端时，建议使用子网拓扑是安全的。