我有一台 QNAP 连接到远程网络上的路由器。在同一网络上,连接到同一路由器,还有一台 Linux 服务器。在远程网络中,一切正常。我可以访问 QNAP NAS 的 Web 界面。我还可以通过路由器上设置的端口转发访问 Linux 服务器。
但是,当我尝试连接到 VPN 并通过它连接到 Linux 服务器时,无论是通过 ping、SSH 还是 Web 界面,我都无法连接。一切都超时了。这不是 Linux 服务器上的任何防火墙,我在调试时检查或禁用了所有内容(firewalld、iptables、SELinux)。
我已经设置了一个主机到主机的设置,其中我只希望公开服务器 IP,以便连接到 VPN 的任何人都可以与该服务器上的服务通信。
connections {
rw {
pools = rw_pool
send_cert = always
unique = no
fragmentation=yes
local {
auth = pubkey
certs = [CERT].pem
id = [ID]
}
remote {
auth = eap-mschapv2
eap_id = %any
}
children {
rw {
local_ts = [WAN IP OF SERVER]
esp_proposals = chacha20poly1305-sha512, aes256gcm16-ecp384,aes256-sha256,aes256-sha1,3des-sha1
}
}
send_certreq = no
}
}
连接正常,请求确实来自 VPN 选定的 IP 范围,但是,由于我的目标是外部 IP,在 IP 退出后,这是否仍会通过不安全的通道路由流量?
客户端配置:
connections {
home {
version=2
remote_addrs = [SERVER ADDR]
vips = 0.0.0.0
local {
auth = eap-mschapv2
eap_id = [ID]
}
remote {
auth = pubkey
id = [SERVER ID]
}
children {
home {
remote_ts = [WAN IP OF SERVER]
local_ts = dynamic
#remote_ts = 10.10.10.0/24
start_action = start
}
}
}
}
第二个较小的问题是,如何进行主机到站点的设置,其中我的服务器是其网络中的单个实体,但另一端是 Fortigate 路由器,其背后有一个更大的网络,这种设置可以工作吗?
提前感谢您的努力!
编辑:通过使用 ip 创建 tun0 接口并将其用作 local_ts,解决了 Ip 问题
我的目标是设置站点到站点的双向 VPN。我希望能够从客户端访问服务器端,并从服务器端访问客户端。
我没有做任何高级操作,我尝试按照 OpenVPN 站点到站点连接指南中的说明进行操作。但是,我认为因为我使用两个 DD-WRT 路由器作为我的服务器和客户端 VPN,所以我无法将指南与我的情况对应起来。
从客户端,我能够连接到服务器端网络主机。从服务器端,我无法连接到客户端主机。
网络图:
CG-NAT 网络 LAN 192.168.0.0/22 DD-WRT 上的 OpenVPN 客户端 192.168.0.2
常规网络 LAN 192.168.4.0/22 DD-WRT 上的 OpenVPN 服务器 192.168.4.2
隧道:10.10.28.1 <-> 10.10.28.2(我可以在日志中看到它设置正确)
我控制着两边,所以我尝试设置路由来解决这个问题。我怀疑路由(或 OpenVPN 服务器上的设置)是错误的。
这是OpenVPN客户端的路由表:
Destination Gateway Genmask Flags Metric Ref Use Iface
default 192.168.0.1 0.0.0.0 UG 0 0 0 br0
10.10.28.0 * 255.255.255.0 U 0 0 0 tun1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
192.168.0.0 * 255.255.252.0 U 0 0 0 br0
192.168.4.0 10.10.28.1 255.255.252.0 UG 200 0 0 tun1
我可以从客户端网络中的任何位置 ping 到 192.168.4.0 网络:
# ping 192.168.4.222
PING 192.168.4.222 (192.168.4.222): 56 data bytes
64 bytes from 192.168.4.222: seq=0 ttl=63 time=42.244 ms
64 bytes from 192.168.4.222: seq=1 ttl=63 time=32.047 ms
这是我第一次启动 OpenVPN 服务器主机时的路由表:
default via 192.168.4.1 dev br0
10.10.28.0/24 dev tun2 scope link src 10.10.28.1
127.0.0.0/8 dev lo scope link
192.168.4.0/22 dev br0 scope link src 192.168.4.2
观察:我无法从服务器网络 ping 通 192.168.0.0 网络。但是,登录到 OpenVPN 服务器主机 (192.168.4.2) 后,我可以 ping 通隧道的另一端 (10.10.28.2)
# ping 10.10.28.2
PING 10.10.28.2 (10.10.28.2): 56 data bytes
64 bytes from 10.10.28.2: seq=0 ttl=64 time=40.287 ms
64 bytes from 10.10.28.2: seq=1 ttl=64 time=35.791 ms
# traceroute 192.168.0.1
traceroute to 192.168.0.1 (192.168.0.1), 30 hops max, 46 byte packets
1 192.168.4.1 (192.168.4.1) 5.108 ms 4.927 ms 3.953 ms
2 * *
因此,我的第一个猜测是添加此路由以匹配客户端的服务器子网路由:
route add -net 192.168.0.0 netmask 255.255.252.0 gw 10.10.28.2 metric 200 tun2
这创建了一个附加条目:
192.168.0.0 10.10.28.2 255.255.252.0 UG 200 0 0 tun2
这确实产生了一些影响,但是 traceroute 或 ping 没有返回。
# traceroute 192.168.0.1
traceroute to 192.168.0.1 (192.168.0.1), 30 hops max, 46 byte packets
1 * * *
显然,我是一个初学者,所以请告诉我需要哪些信息来帮助我。
我正在创建一个 VPN 来访问 VPC,但我希望其余流量不通过该 VPN。
我已经能够通过 VPN 访问 VPC,但是连接到它之后,我就无法访问互联网。
这是我的服务器配置:
port 1194
proto udp
dev tun
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpn.crt
key /etc/openvpn/server/vpn.key
dh /etc/openvpn/server/dh.pem
topology subnet
server 172.16.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push "route 10.0.0.0 255.255.0.0"
keepalive 10 120
tls-auth /etc/openvpn/server/ta.key 0
cipher AES-256-GCM
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1
data-ciphers AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305
我已将此 iptable 添加到服务器以访问 VPC:
sudo iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -d 10.0.0.0/8 -j MASQUERADE
这是我的客户端的 .ovpn 文件:
client
dev tun
proto udp
remote XXXXXXXXXXXXX 1194
resolv-retry infinite
nobind
persist-key
persist-tun
cipher AES-256-GCM
data-ciphers AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305
verb 3
ca [inline]
cert [inline]
key [inline]
tls-auth [inline] 1
pull
<ca>....
当连接到 VPN 时,客户端中添加了一条路由,目的地为 0.0.0.0,网关为 VPN 服务器,我认为这是问题所在,但我不知道如何避免这种情况发生。
~ route -n
Tabla de rutas IP del núcleo
Destino Pasarela Genmask Indic Métric Ref Uso Interfaz
0.0.0.0 172.16.0.1 0.0.0.0 UG 50 0 0 tun0
0.0.0.0 192.168.1.1 0.0.0.0 UG 100 0 0 eno1
10.0.0.0 172.16.0.1 255.255.0.0 UG 50 0 0 tun0
[**VPN IP**] 192.168.1.1 255.255.255.255 UGH 50 0 0 eno1
172.16.0.0 0.0.0.0 255.255.255.0 U 50 0 0 tun0
192.168.1.0 0.0.0.0 255.255.255.0 U 100 0 0 eno1
192.168.1.1 0.0.0.0 255.255.255.255 UH 50 0 0 eno1
我正在使用默认的 ubuntu 网络管理器导入 .ovpn 文件并连接到 vpn。
我正在探索 OpenVPN 访问服务器/ConexaCloud,因为我希望能够访问具有私有资源的 VPC。
使用 OpenVPN,我还应该采取什么措施来保护 VPC 的安全?
iptables我知道我可以使用或阻止私人资源上的流量ufw,但我想看看是否还有其他可以做的事情。
我有一个 Wireguard 服务器在我家庭 LAN 的树莓派上运行。我想让居住在不同国家/地区的亲戚访问我的 VPN,以便他可以自由使用被当地 ISP 阻止的互联网服务,但我不希望他访问我 LAN 上的设备。有没有办法配置 Wireguard 服务器来实现这一目标?
我的服务器配置是:
# wg0.conf
[Interface]
Address = 10.24.36.1/24
MTU = 1420
SaveConfig = true
ListenPort = 51820
PrivateKey = 111
[Peer]
PublicKey = 222
PresharedKey = 333
AllowedIPs = 10.24.36.2/32
Endpoint = 172.19.188.166:11262
[Peer]
PublicKey = 444
PresharedKey = 555
AllowedIPs = 10.24.36.3/32
Endpoint = 172.18.164.218:7833
典型的客户端配置:
[Interface]
PrivateKey = 666
Address = 10.24.36.3/24
DNS = 8.8.8.8, 8.8.4.4
[Peer]
PublicKey = 777
PresharedKey = 555
AllowedIPs = 0.0.0.0/0
Endpoint = my-ip.no-ip.com:41234
整个周末我都在尝试让 Wireguard 按照我想要的方式工作,但没有成功。我希望我的手机能够看到我的家庭 LAN,Android 手机将看到并连接到 Windows 对等点并可以访问其服务;但无法到达本地 LAN 的其余部分。我希望我的 Windows 对等方允许 Android 对等方访问 192.168.1.x LAN。
我尝试过大量不同的“AllowedIps”,尝试更改 MTU 大小,尝试更改 DNS,尝试不同的 IP、网络范围。
我认为Windows没有做NAT部分?我不明白出了什么问题?
Windows 对等点:
[Interface]
PrivateKey = 0EHx
(PublicKey = FQSx)
ListenPort = 51820
Address = 10.20.10.1/24
[Peer]
PublicKey = 5tTx
AllowedIPs = 10.20.10.0/24
安卓对等点:
[Interface]
PrivateKey = IOJx
(PubKey = 5tTx)
Address = 10.20.10.2/24
[Peer]
PublicKey = FQSx
EndPoint = EXTERNAL/WAN-IP:51820
AllowedIPs = 10.20.10.0/24, 192.168.1.0/24
我的 Android 手机上安装了这个 Ping 应用程序,它带有一个 Traceroute 按钮。当我在 192.168.1.175 地址上按该键时,有时它会显示 1 跳到 10.20.10.1,但仅此而已。
据我所知,Windows 已启用转发:
PS> Get-NetIPInterface | select ifIndex,InterfaceAlias,AddressFamily,ConnectionState,Forwarding | Sort-Object -Property IfIndex | Format-Table
ifIndex InterfaceAlias AddressFamily ConnectionState Forwarding
1 Loopback Pseudo-Interface 1 IPv4 Connected Enabled
1 Loopback Pseudo-Interface 1 IPv6 Connected Enabled
6 Bluetooth-netwerkverbinding 2 IPv6 Disconnected Enabled
6 Bluetooth-netwerkverbinding 2 IPv4 Disconnected Enabled
12 VMware Network Adapter VMnet1 IPv4 Connected Enabled
12 VMware Network Adapter VMnet1 IPv6 Connected Enabled
15 LAN IPv6 Connected Enabled
15 LAN IPv4 Connected Enabled
16 VPN IPv4 Disconnected Enabled
16 VPN IPv6 Disconnected Enabled
22 VMware Network Adapter VMnet8 IPv6 Connected Enabled
22 VMware Network Adapter VMnet8 IPv4 Connected Enabled
26 Wireguard_Server IPv6 Connected Enabled
26 Wireguard_Server IPv4 Connected Enabled
27 vEthernet (WSL (Hyper-V firewall)) IPv6 Connected Enabled
27 vEthernet (WSL (Hyper-V firewall)) IPv4 Connected Enabled
33 vEthernet (Default Switch) IPv6 Connected Enabled
33 vEthernet (Default Switch) IPv4 Connected Enabled
Windows“路由打印”输出:
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.124 25
10.20.10.0 255.255.255.0 On-link 10.20.10.1 5
10.20.10.1 255.255.255.255 On-link 10.20.10.1 261
10.20.10.255 255.255.255.255 On-link 10.20.10.1 261
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
172.23.144.0 255.255.240.0 On-link 172.23.144.1 5256
172.23.144.1 255.255.255.255 On-link 172.23.144.1 5256
172.23.159.255 255.255.255.255 On-link 172.23.144.1 5256
172.25.80.0 255.255.240.0 On-link 172.25.80.1 5256
172.25.80.1 255.255.255.255 On-link 172.25.80.1 5256
172.25.95.255 255.255.255.255 On-link 172.25.80.1 5256
192.168.1.0 255.255.255.0 192.168.1.1 192.168.1.124 27
192.168.1.124 255.255.255.255 On-link 192.168.1.124 281
192.168.1.175 255.255.255.255 On-link 10.20.10.1 5
192.168.58.0 255.255.255.0 On-link 192.168.58.1 291
192.168.58.1 255.255.255.255 On-link 192.168.58.1 291
192.168.58.255 255.255.255.255 On-link 192.168.58.1 291
192.168.107.0 255.255.255.0 On-link 192.168.107.1 291
192.168.107.1 255.255.255.255 On-link 192.168.107.1 291
192.168.107.255 255.255.255.255 On-link 192.168.107.1 291
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.1.124 281
224.0.0.0 240.0.0.0 On-link 172.25.80.1 5256
224.0.0.0 240.0.0.0 On-link 172.23.144.1 5256
224.0.0.0 240.0.0.0 On-link 192.168.58.1 291
224.0.0.0 240.0.0.0 On-link 192.168.107.1 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.1.124 281
255.255.255.255 255.255.255.255 On-link 172.25.80.1 5256
255.255.255.255 255.255.255.255 On-link 172.23.144.1 5256
255.255.255.255 255.255.255.255 On-link 192.168.58.1 291
255.255.255.255 255.255.255.255 On-link 192.168.107.1 291
我想做的是在 GCP 上(在 GCE 虚拟机中)启动桥接OpenVPN 服务器。对我来说,至关重要的部分就在标题中。如果我成功了,剩下的事情就很简单了。我尝试了两种方法:
iproute2实际上就是这样。我在 Arch Linux 论坛上问过这个问题。细节是要点。bridge-utils实际上就是这样。基于官方 howto中的脚本。细节是要点。看起来不可能在 GCP 上做到这一点,或者我错过了什么?是哪一个?或者我可以做什么来进一步调查这个问题?
在我公司的 VPN 应用程序中,我们有一个可禁用的功能,可以排除以下非网站 IP 地址范围列表,使其不被路由到 VPN 服务器。
即使 VPN 处于活动状态,这也允许本地网络应用程序继续工作,此外,一些Anti-VPN会检查这些地址(以查看 VPN 是否处于活动状态)。
我的问题是,我们是否应该在列表中添加和/或删除任何 IP 范围?
此外,提及相关的 RFC 会有所帮助,但不是必需的。
警告:向列表添加太多意味着泄漏网站数据包,删除太多意味着本地网络应用程序可能无法工作。
传奇:
{172,16,0,0 , 12},条目表示172.16.0.0/12.MyType指定 IP 地址的基址。条目:
MyType localSubnets[] = {
// Address ranges below are reserved by IANA for private intranets,
// and not routable to the Internet
// (For additional information, see RFC 1918).
{10,0,0,0 , 8}, {10,170,60,224 , 27},
{172,16,0,0 , 12},
{192,168,0,0 , 16},
// Reserved and special use addresses:
{0,0,0,0 , 8}, // Current network (only valid as source address) RFC 1700
{127,0,0,0 , 8}, // Loopback IP addresses (refers to self) RFC 5735
{192,0,0,0 , 24}, // Reserved (IANA) RFC 5735
{192,88,99,0 , 24}, // IPv6 to IPv4 relay. RFC 3068
{198,18,0,0 , 15}, // Network benchmark tests. RFC 2544
{198,51,100,0 , 24}, // TEST-NET-2. RFC 5737
{203,0,113,0 , 24}, // TEST-NET-3. RFC 5737
{224,0,0,0 , 4}, // Reserved for multicast addresses. RFC 3171
// Reserved (former Class E network) RFC 1700
{255,255,255,255 , 32} // Broadcast address (limited to all other nodes on the LAN) RFC 919
};
我正在设置一个家庭服务器(使用 ubuntu 服务器 22.04),并在各个端口上部署多个服务。例如,我的主页服务器部署在3000端口。
当在本地网络上时:
当我使用nordvpn网状网络时:
这是我的主页服务器的 docker compose
version: "3.9"
services:
homepage:
image: ghcr.io/gethomepage/homepage:latest
container_name: homepage
ports:
- "3000:3000"
volumes:
- /config:/app/config
- /var/run/docker.sock:/var/run/docker.sock
environment:
PUID: $PUID
PGID: $PGID
networks:
- homepage_net
networks:
homepage_net:
driver: bridge
这是我的主要以太网接口:
enp0s25: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.XXX netmask 255.255.255.0 broadcast 192.XXX
ether XXX txqueuelen 1000 (Ethernet)
RX packets 257310280 bytes 326111324526 (326.1 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 157444527 bytes 168981936261 (168.9 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
device interrupt 20 memory 0xf3a00000-f3a20000
这是nordlynx 网络接口(Nordvpn 的网状网络功能创建它):
nordlynx: flags=81<UP,POINTOPOINT,RUNNING> mtu 1420
inet XXX netmask 255.255.255.255 destination XXX
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 1000 (UNSPEC)
RX packets 236544852 bytes 298874606486 (298.8 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 52996561 bytes 13275751612 (13.2 GB)
TX errors 0 dropped 34313 overruns 0 carrier 0 collisions 0
这是我的路线:
Destination Gateway Genmask Flags Metric Ref Use Iface
default _gateway 0.0.0.0 UG 0 0 0 enp0s25
172.17.0.0 0.0.0.0 255.255.0.0 U 0 0 0 docker0
172.18.0.0 0.0.0.0 255.255.0.0 U 0 0 0 br-9066eab87b15
172.19.0.0 0.0.0.0 255.255.0.0 U 0 0 0 br-e7a37ce3a7bd
172.20.0.0 0.0.0.0 255.255.0.0 U 0 0 0 br-e6e5e235ac3b
172.21.0.0 0.0.0.0 255.255.0.0 U 0 0 0 br-64f3f670aea1
172.22.0.0 0.0.0.0 255.255.0.0 U 0 0 0 br-f624ee4026b8
172.23.0.0 0.0.0.0 255.255.0.0 U 0 0 0 br-90ed8d1cb5ca
192.XXX 0.0.0.0 255.255.255.0 U 0 0 0 enp0s25
编辑:
这是我的 NordVPN 白名单:
Allowlisted subnets:
172.0.0.0/8
100.0.0.0/8
192.168.50.0/24
由于它在本地网络上运行,我认为这可能是 docker 或路由问题。在系统管理和网络方面,我几乎是一个菜鸟。任何帮助表示赞赏。