问题[vpn](server)

我已经设置了一个主机到主机的设置，其中我只希望公开服务器 IP，以便连接到 VPN 的任何人都可以与该服务器上的服务通信。

connections {
    rw {
      pools = rw_pool
      send_cert = always
      unique = no
      fragmentation=yes
      local {
        auth = pubkey
        certs = [CERT].pem
        id = [ID]
      }

      remote {
        auth = eap-mschapv2
        eap_id = %any
      }
      children {
        rw {
          local_ts  = [WAN IP OF SERVER]
          esp_proposals = chacha20poly1305-sha512, aes256gcm16-ecp384,aes256-sha256,aes256-sha1,3des-sha1
        }
      }
      send_certreq = no
    }
 }

连接正常，请求确实来自 VPN 选定的 IP 范围，但是，由于我的目标是外部 IP，在 IP 退出后，这是否仍会通过不安全的通道路由流量？

客户端配置：

connections {
    home {
      version=2
      remote_addrs = [SERVER ADDR]
      vips = 0.0.0.0
      local {
        auth = eap-mschapv2
        eap_id = [ID]
      }
      remote {
        auth = pubkey
        id = [SERVER ID]
      }
      children {
        home {
          remote_ts  = [WAN IP OF SERVER]
          local_ts = dynamic
          #remote_ts  = 10.10.10.0/24
          start_action = start
        }
      }
    }
  }

第二个较小的问题是，如何进行主机到站点的设置，其中我的服务器是其网络中的单个实体，但另一端是 Fortigate 路由器，其背后有一个更大的网络，这种设置可以工作吗？

提前感谢您的努力！

编辑：通过使用 ip 创建 tun0 接口并将其用作 local_ts，解决了 Ip 问题

我的目标是设置站点到站点的双向 VPN。我希望能够从客户端访问服务器端，并从服务器端访问客户端。

我没有做任何高级操作，我尝试按照 OpenVPN 站点到站点连接指南中的说明进行操作。但是，我认为因为我使用两个 DD-WRT 路由器作为我的服务器和客户端 VPN，所以我无法将指南与我的情况对应起来。

从客户端，我能够连接到服务器端网络主机。从服务器端，我无法连接到客户端主机。

网络图：

CG-NAT 网络 LAN 192.168.0.0/22 DD-WRT 上的 OpenVPN 客户端 192.168.0.2

常规网络 LAN 192.168.4.0/22 DD-WRT 上的 OpenVPN 服务器 192.168.4.2

隧道：10.10.28.1 <-> 10.10.28.2（我可以在日志中看到它设置正确）

我控制着两边，所以我尝试设置路由来解决这个问题。我怀疑路由（或 OpenVPN 服务器上的设置）是错误的。

这是OpenVPN客户端的路由表：

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.0.1     0.0.0.0         UG    0      0        0 br0
10.10.28.0      *               255.255.255.0   U     0      0        0 tun1
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
192.168.0.0     *               255.255.252.0   U     0      0        0 br0
192.168.4.0     10.10.28.1      255.255.252.0   UG    200    0        0 tun1

我可以从客户端网络中的任何位置 ping 到 192.168.4.0 网络：

# ping 192.168.4.222
PING 192.168.4.222 (192.168.4.222): 56 data bytes
64 bytes from 192.168.4.222: seq=0 ttl=63 time=42.244 ms
64 bytes from 192.168.4.222: seq=1 ttl=63 time=32.047 ms

这是我第一次启动 OpenVPN 服务器主机时的路由表：

default via 192.168.4.1 dev br0
10.10.28.0/24 dev tun2 scope link  src 10.10.28.1
127.0.0.0/8 dev lo scope link
192.168.4.0/22 dev br0 scope link  src 192.168.4.2

观察：我无法从服务器网络 ping 通 192.168.0.0 网络。但是，登录到 OpenVPN 服务器主机 (192.168.4.2) 后，我可以 ping 通隧道的另一端 (10.10.28.2)

# ping 10.10.28.2
PING 10.10.28.2 (10.10.28.2): 56 data bytes
64 bytes from 10.10.28.2: seq=0 ttl=64 time=40.287 ms
64 bytes from 10.10.28.2: seq=1 ttl=64 time=35.791 ms


# traceroute 192.168.0.1
traceroute to 192.168.0.1 (192.168.0.1), 30 hops max, 46 byte packets
 1  192.168.4.1 (192.168.4.1)  5.108 ms  4.927 ms  3.953 ms
 2  *  *

因此，我的第一个猜测是添加此路由以匹配客户端的服务器子网路由：

route add -net 192.168.0.0 netmask 255.255.252.0 gw 10.10.28.2 metric 200 tun2

这创建了一个附加条目：

192.168.0.0     10.10.28.2      255.255.252.0   UG    200    0        0 tun2

这确实产生了一些影响，但是 traceroute 或 ping 没有返回。

# traceroute 192.168.0.1
traceroute to 192.168.0.1 (192.168.0.1), 30 hops max, 46 byte packets
 1  *  *  *

显然，我是一个初学者，所以请告诉我需要哪些信息来帮助我。

我正在创建一个 VPN 来访问 VPC，但我希望其余流量不通过该 VPN。

我已经能够通过 VPN 访问 VPC，但是连接到它之后，我就无法访问互联网。

这是我的服务器配置：

port 1194
proto udp
dev tun
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpn.crt
key /etc/openvpn/server/vpn.key 
dh /etc/openvpn/server/dh.pem
topology subnet
server 172.16.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push "route 10.0.0.0 255.255.0.0"
keepalive 10 120
tls-auth /etc/openvpn/server/ta.key 0
cipher AES-256-GCM
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append  /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1
data-ciphers AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305

我已将此 iptable 添加到服务器以访问 VPC：

sudo iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -d 10.0.0.0/8 -j MASQUERADE

这是我的客户端的 .ovpn 文件：

client
dev tun
proto udp
remote XXXXXXXXXXXXX 1194
resolv-retry infinite
nobind
persist-key
persist-tun
cipher AES-256-GCM
data-ciphers AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305
verb 3
ca [inline]
cert [inline]
key [inline]
tls-auth [inline] 1
pull
<ca>....

当连接到 VPN 时，客户端中添加了一条路由，目的地为 0.0.0.0，网关为 VPN 服务器，我认为这是问题所在，但我不知道如何避免这种情况发生。

~ route -n
Tabla de rutas IP del núcleo
Destino         Pasarela        Genmask         Indic Métric Ref    Uso Interfaz
0.0.0.0         172.16.0.1      0.0.0.0         UG    50     0        0 tun0
0.0.0.0         192.168.1.1     0.0.0.0         UG    100    0        0 eno1
10.0.0.0        172.16.0.1      255.255.0.0     UG    50     0        0 tun0
[**VPN IP**]    192.168.1.1     255.255.255.255 UGH   50     0        0 eno1
172.16.0.0      0.0.0.0         255.255.255.0   U     50     0        0 tun0
192.168.1.0     0.0.0.0         255.255.255.0   U     100    0        0 eno1
192.168.1.1     0.0.0.0         255.255.255.255 UH    50     0        0 eno1

我正在使用默认的 ubuntu 网络管理器导入 .ovpn 文件并连接到 vpn。

我正在探索 OpenVPN 访问服务器/ConexaCloud，因为我希望能够访问具有私有资源的 VPC。

使用 OpenVPN，我还应该采取什么措施来保护 VPC 的安全？

iptables我知道我可以使用或阻止私人资源上的流量ufw，但我想看看是否还有其他可以做的事情。

我有一个 Wireguard 服务器在我家庭 LAN 的树莓派上运行。我想让居住在不同国家/地区的亲戚访问我的 VPN，以便他可以自由使用被当地 ISP 阻止的互联网服务，但我不希望他访问我 LAN 上的设备。有没有办法配置 Wireguard 服务器来实现这一目标？

我的服务器配置是：

# wg0.conf

[Interface]
Address = 10.24.36.1/24
MTU = 1420
SaveConfig = true
ListenPort = 51820
PrivateKey = 111

[Peer]
PublicKey = 222
PresharedKey = 333
AllowedIPs = 10.24.36.2/32
Endpoint = 172.19.188.166:11262

[Peer]
PublicKey = 444
PresharedKey = 555
AllowedIPs = 10.24.36.3/32
Endpoint = 172.18.164.218:7833

典型的客户端配置：

[Interface]
PrivateKey = 666
Address = 10.24.36.3/24
DNS = 8.8.8.8, 8.8.4.4

[Peer]
PublicKey = 777
PresharedKey = 555
AllowedIPs = 0.0.0.0/0
Endpoint = my-ip.no-ip.com:41234

整个周末我都在尝试让 Wireguard 按照我想要的方式工作，但没有成功。我希望我的手机能够看到我的家庭 LAN，Android 手机将看到并连接到 Windows 对等点并可以访问其服务；但无法到达本地 LAN 的其余部分。我希望我的 Windows 对等方允许 Android 对等方访问 192.168.1.x LAN。

• 我已将调制解调器/路由器配置为将传入 UDP 端口 51820 转发到我的 Windows 对等方。
• 我已允许 Wireguard 在 Windows 防火墙中执行。
• 从 Android 访问 Windows 对等点上的服务（如 FTP/HTTP 服务器）是可行的。
• 可以在 Windows 对等点和 Android 对等点之间来回 ping。
• 可以从 Windows 对等方 ping 主机 192.168.1.175 没有问题。
• 我启用了 Windows 路由和远程访问服务
• 将 Windows 防火墙规则文件和打印机共享 (Echo ICMPv4 IN) 从仅本地子网更改为任意子网。
• 将 Windows 防火墙规则文件和打印机共享 (SMB-In) 从仅限本地子网更改为任意子网。
• 我还尝试完全禁用 Windows Defender 防火墙。
• 当我从 Android ping 192.168.1.x 时，我可以看到 RX 在 Windows 端上升，因此我相当有信心手机正在通过隧道发送 192.168.1.x。

我尝试过大量不同的“AllowedIps”，尝试更改 MTU 大小，尝试更改 DNS，尝试不同的 IP、网络范围。

我认为Windows没有做NAT部分？我不明白出了什么问题？

Windows 对等点：

[Interface]
PrivateKey = 0EHx
(PublicKey = FQSx)
ListenPort = 51820
Address = 10.20.10.1/24

[Peer]
PublicKey = 5tTx
AllowedIPs = 10.20.10.0/24

安卓对等点：

[Interface]
PrivateKey = IOJx
(PubKey = 5tTx)
Address = 10.20.10.2/24

[Peer]
PublicKey = FQSx
EndPoint = EXTERNAL/WAN-IP:51820
AllowedIPs = 10.20.10.0/24, 192.168.1.0/24

我的 Android 手机上安装了这个 Ping 应用程序，它带有一个 Traceroute 按钮。当我在 192.168.1.175 地址上按该键时，有时它会显示 1 跳到 10.20.10.1，但仅此而已。

据我所知，Windows 已启用转发：

PS> Get-NetIPInterface | select ifIndex,InterfaceAlias,AddressFamily,ConnectionState,Forwarding | Sort-Object -Property IfIndex | Format-Table

ifIndex InterfaceAlias                     AddressFamily ConnectionState Forwarding
  1 Loopback Pseudo-Interface 1                 IPv4       Connected    Enabled
  1 Loopback Pseudo-Interface 1                 IPv6       Connected    Enabled
  6 Bluetooth-netwerkverbinding 2               IPv6    Disconnected    Enabled
  6 Bluetooth-netwerkverbinding 2               IPv4    Disconnected    Enabled
 12 VMware Network Adapter VMnet1               IPv4       Connected    Enabled
 12 VMware Network Adapter VMnet1               IPv6       Connected    Enabled
 15 LAN                                         IPv6       Connected    Enabled
 15 LAN                                         IPv4       Connected    Enabled
 16 VPN                                         IPv4    Disconnected    Enabled
 16 VPN                                         IPv6    Disconnected    Enabled
 22 VMware Network Adapter VMnet8               IPv6       Connected    Enabled
 22 VMware Network Adapter VMnet8               IPv4       Connected    Enabled
 26 Wireguard_Server                            IPv6       Connected    Enabled
 26 Wireguard_Server                            IPv4       Connected    Enabled
 27 vEthernet (WSL (Hyper-V firewall))          IPv6       Connected    Enabled
 27 vEthernet (WSL (Hyper-V firewall))          IPv4       Connected    Enabled
 33 vEthernet (Default Switch)                  IPv6       Connected    Enabled
 33 vEthernet (Default Switch)                  IPv4       Connected    Enabled

Windows“路由打印”输出：

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.124     25
       10.20.10.0    255.255.255.0         On-link        10.20.10.1      5
       10.20.10.1  255.255.255.255         On-link        10.20.10.1    261
     10.20.10.255  255.255.255.255         On-link        10.20.10.1    261
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
     172.23.144.0    255.255.240.0         On-link      172.23.144.1   5256
     172.23.144.1  255.255.255.255         On-link      172.23.144.1   5256
   172.23.159.255  255.255.255.255         On-link      172.23.144.1   5256
      172.25.80.0    255.255.240.0         On-link       172.25.80.1   5256
      172.25.80.1  255.255.255.255         On-link       172.25.80.1   5256
    172.25.95.255  255.255.255.255         On-link       172.25.80.1   5256
      192.168.1.0    255.255.255.0      192.168.1.1    192.168.1.124     27
    192.168.1.124  255.255.255.255         On-link     192.168.1.124    281
    192.168.1.175  255.255.255.255         On-link        10.20.10.1      5
     192.168.58.0    255.255.255.0         On-link      192.168.58.1    291
     192.168.58.1  255.255.255.255         On-link      192.168.58.1    291
   192.168.58.255  255.255.255.255         On-link      192.168.58.1    291
    192.168.107.0    255.255.255.0         On-link     192.168.107.1    291
    192.168.107.1  255.255.255.255         On-link     192.168.107.1    291
  192.168.107.255  255.255.255.255         On-link     192.168.107.1    291
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link     192.168.1.124    281
        224.0.0.0        240.0.0.0         On-link       172.25.80.1   5256
        224.0.0.0        240.0.0.0         On-link      172.23.144.1   5256
        224.0.0.0        240.0.0.0         On-link      192.168.58.1    291
        224.0.0.0        240.0.0.0         On-link     192.168.107.1    291
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link     192.168.1.124    281
  255.255.255.255  255.255.255.255         On-link       172.25.80.1   5256
  255.255.255.255  255.255.255.255         On-link      172.23.144.1   5256
  255.255.255.255  255.255.255.255         On-link      192.168.58.1    291
  255.255.255.255  255.255.255.255         On-link     192.168.107.1    291

我想做的是在 GCP 上（在 GCE 虚拟机中）启动桥接OpenVPN 服务器。对我来说，至关重要的部分就在标题中。如果我成功了，剩下的事情就很简单了。我尝试了两种方法：

• Arch Linux 的方式……iproute2实际上就是这样。我在 Arch Linux 论坛上问过这个问题。细节是要点。
• OpenVPN 的方式……bridge-utils实际上就是这样。基于官方 howto中的脚本。细节是要点。

看起来不可能在 GCP 上做到这一点，或者我错过了什么？是哪一个？或者我可以做什么来进一步调查这个问题？

在我公司的 VPN 应用程序中，我们有一个可禁用的功能，可以排除以下非网站 IP 地址范围列表，使其不被路由到 VPN 服务器。

即使 VPN 处于活动状态，这也允许本地网络应用程序继续工作，此外，一些Anti-VPN会检查这些地址（以查看 VPN 是否处于活动状态）。

我的问题是，我们是否应该在列表中添加和/或删除任何 IP 范围？

此外，提及相关的 RFC 会有所帮助，但不是必需的。

警告：向列表添加太多意味着泄漏网站数据包，删除太多意味着本地网络应用程序可能无法工作。

列表：

传奇：

• 例如，{172,16,0,0 , 12},条目表示172.16.0.0/12.
• 其中，前 4 个字段MyType指定 IP 地址的基址。
• 第 5 个字段指定“掩码”。

条目：

MyType localSubnets[] = {
    // Address ranges below are reserved by IANA for private intranets,
    // and not routable to the Internet
    // (For additional information, see RFC 1918).
    {10,0,0,0 , 8}, {10,170,60,224 , 27},
    {172,16,0,0 , 12},
    {192,168,0,0 , 16},
    // Reserved and special use addresses:
    {0,0,0,0 , 8}, // Current network (only valid as source address) RFC 1700
    {127,0,0,0 , 8}, // Loopback IP addresses (refers to self) RFC 5735
    {192,0,0,0 , 24}, // Reserved (IANA) RFC 5735
    {192,88,99,0 , 24}, // IPv6 to IPv4 relay. RFC 3068

    {198,18,0,0 , 15}, // Network benchmark tests. RFC 2544
    {198,51,100,0 , 24}, // TEST-NET-2. RFC 5737
    {203,0,113,0 , 24}, // TEST-NET-3. RFC 5737
    {224,0,0,0 , 4}, // Reserved for multicast addresses. RFC 3171
    // Reserved (former Class E network) RFC 1700
    {255,255,255,255 , 32} // Broadcast address (limited to all other nodes on the LAN) RFC 919
};

我正在设置一个家庭服务器（使用 ubuntu 服务器 22.04），并在各个端口上部署多个服务。例如，我的主页服务器部署在3000端口。

当在本地网络上时：

• ssh访问正常
• 直接部署在服务器上的http服务就可以了
• 通过docker通过桥接网络部署的http服务是可以的

当我使用nordvpn网状网络时：

• ssh访问正常
• 直接部署在服务器上的http服务就可以了
• 通过 docker 使用桥接网络部署的 Http 服务不可访问

这是我的主页服务器的 docker compose

version: "3.9"
services:
  homepage:
    image: ghcr.io/gethomepage/homepage:latest
    container_name: homepage
    ports:
      - "3000:3000"
    volumes:
      - /config:/app/config
      - /var/run/docker.sock:/var/run/docker.sock
    environment:
      PUID: $PUID
      PGID: $PGID
    networks:
      - homepage_net

networks:
  homepage_net:
    driver: bridge

这是我的主要以太网接口：

enp0s25: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.XXX  netmask 255.255.255.0  broadcast 192.XXX
        ether XXX  txqueuelen 1000  (Ethernet)
        RX packets 257310280  bytes 326111324526 (326.1 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 157444527  bytes 168981936261 (168.9 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 20  memory 0xf3a00000-f3a20000 

这是nordlynx 网络接口（Nordvpn 的网状网络功能创建它）：

nordlynx: flags=81<UP,POINTOPOINT,RUNNING>  mtu 1420
        inet XXX  netmask 255.255.255.255  destination XXX
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 1000  (UNSPEC)
        RX packets 236544852  bytes 298874606486 (298.8 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 52996561  bytes 13275751612 (13.2 GB)
        TX errors 0  dropped 34313 overruns 0  carrier 0  collisions 0

这是我的路线：

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         _gateway        0.0.0.0         UG    0      0        0 enp0s25
172.17.0.0      0.0.0.0         255.255.0.0     U     0      0        0 docker0
172.18.0.0      0.0.0.0         255.255.0.0     U     0      0        0 br-9066eab87b15
172.19.0.0      0.0.0.0         255.255.0.0     U     0      0        0 br-e7a37ce3a7bd
172.20.0.0      0.0.0.0         255.255.0.0     U     0      0        0 br-e6e5e235ac3b
172.21.0.0      0.0.0.0         255.255.0.0     U     0      0        0 br-64f3f670aea1
172.22.0.0      0.0.0.0         255.255.0.0     U     0      0        0 br-f624ee4026b8
172.23.0.0      0.0.0.0         255.255.0.0     U     0      0        0 br-90ed8d1cb5ca
192.XXX         0.0.0.0         255.255.255.0   U     0      0        0 enp0s25

编辑：

这是我的 NordVPN 白名单：

Allowlisted subnets:
        172.0.0.0/8
        100.0.0.0/8
        192.168.50.0/24

由于它在本地网络上运行，我认为这可能是 docker 或路由问题。在系统管理和网络方面，我几乎是一个菜鸟。任何帮助表示赞赏。

我在一台旧的 CentOS 6 机器上安装了 ocserv 0.12.6，并且有 2 个物理接口：eth0 ( 192.168.10.155) 和 eth1 ( 192.168.0.190)。eth0 具有手动配置并使用默认网关 192.168.10.255，eth1 也具有手动配置，但未指定网关。外部 ip 指向 eth0（ocserv 端口转发到此接口/ip）。

ocserv 正在监听 eth0，用户通过 ldap 连接，获得互联网连接，没问题。但现在需要将 192.168.0.0 网络暴露给 vpn 客户端。

我尝试将路由部分添加到配置中：

route = 192.168.10.0/255.255.255.0
route = 192.168.0.0/255.255.255.0

并尝试使用route = default（将所有服务器的路由传递给客户端）和这些路由组合，但没有运气。

ipv4.ip_forward肯定是启用的。

将不胜感激任何帮助。