art*_*bot 3 openvpn ip-routing
我有 OpenVPN 设置和工作。我的办公室是运行多个 VLAN 的大型建筑的一部分。显然,我可以在我们自己的 VLAN 内访问本地资源,而从世界其他地方我可以使用 OpenVPN。但是当连接到同一机构中的不同 VLAN 时,我也不能这样做。
OpenVPN 正在抱怨,因为它连接到建筑物的外部 IP 地址,但回复正在内部路由回(通过我无法控制的交换机),这意味着回复不是来自预期的 IP。结果:
来自 [AF_INET]10.67.5.1:1194[2] 的传入数据包被拒绝, 预期对等地址:[AF_INET]195.xxx:1194 (通过删除允许此传入源地址/端口 --remote 或添加 --float)
(xxx = 审查的公共 ip)
有人帮忙吗?(我意识到这与其他帖子类似,但我认为我的问题有点不同,并且有理由提出一个单独的问题)
根据要求,服务器配置:
端口 1194 原始UDP 开发屯 ca.crt 证书服务器.crt key server.key # 这个文件应该保密 dh dh1024.pem 服务器 10.67.15.0 255.255.255.0 ifconfig-pool-persist ipp.txt 推送“路由 10.67.5.0 255.255.255.0” 保活 10 120 comp-lzo 持久键 持久化 状态 openvpn-status.log 动词 3
客户端配置
客户 远程示例.org ca /etc/openvpn/ca.crt 证书/etc/openvpn/client_rich.crt 密钥 /etc/openvpn/client_rich.key comp-lzo 是的 开发屯 原始UDP 没有绑定 auth-nocache 脚本安全 2 持久键 持久化 用户 openvpn 组 openvpn
正如它所说,float在客户端配置中添加一个选项并重试。
--float
允许远程对等方更改其 IP 地址和/或端口号,例如由于 DHCP(如果未使用--remote,这是默认设置)。 --float 与--remote指定时允许 OpenVPN 会话最初连接到已知地址的对等方,但是如果数据包从新地址到达并通过所有身份验证测试,则新地址将控制会话。当您连接到拥有动态地址(例如拨入用户或 DHCP 客户端)的对等方时,这很有用。
本质上,-- float告诉 OpenVPN 接受来自任何地址的经过身份验证的数据包,而不仅仅是在--remote选项中指定的地址。