我试图让我的客户端通过运行 OpenVPN 的 VPS 转发所有流量。如您所见,它将允许对域和原始 IP 地址进行 ping,但它不会允许通过 curl 产生的流量,并且 traceroute 不会产生任何结果。未连接到 VPN 时,流量正常工作。
所有信息都在这里:https : //pastebin.com/tGspNefn
谢谢你。
工作配置感谢以下解决方案:
服务器:
port <integer>
proto udp
dev tun
ca ca.crt
cert vpnserver.crt
key vpnserver.key # This file should be kept secret
dh dh4096.pem
tls-auth ta.key 0
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway autolocal"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
cipher AES-256-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
客户:
client
dev tun
proto udp
remote x.x.x.x <port number>
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert vpnclient.crt
key vpnclient.key
tls-auth ta.key 1
ns-cert-type server
cipher AES-256-CBC
comp-lzo
verb 3
MLu*_*MLu 37
解决方案分为两部分:
1. 将所有流量重定向到隧道中
最简单的解决方案 - 使用 OpenVPN 的--redirect-gateway autolocal选项(或将其作为redirect-gateway autolocal.
2.处理OpenVPN服务器上的流量
现在隧道已启动,所有流量都进入隧道并从tun0接口在服务器端弹出。
您需要配置两件事才能使其工作:
一种。启用数据包转发
默认情况下,在大多数发行版中,数据包转发是禁用的,因此来自隧道接口的数据包永远不会到达公共接口。您必须启用转发:
~ # sysctl net.ipv4.ip_forward=1
net.ipv4.ip_forward = 1
一旦测试使更改永久 /etc/sysctl.conf
还要确保iptables没有阻止转发的流量:
~ # iptables -I FORWARD -j ACCEPT
这对于测试来说已经足够了 - 在生产中,您需要使防火墙规则更具体一些,但这超出了这里的范围。
湾 对来自隧道的传出数据包进行 NAT
启用转发后,数据包在默认情况下转发时其源地址不变,在您的情况下10.8.0.6- 这些数据包要么在 ISP 网关上被丢弃,要么即使它们到达目的地,回复也永远找不到返回的路。这些私有地址在 Internet 上是不可路由的。
解决方案是对出口流量进行 NAT,即将私有10.8.0.6地址替换为 VPN 服务器的公共 IP。这将确保回复到达 VPN 服务器,并在那里被转发回隧道。
~ # iptables -t nat -I POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
3. 测试一下
现在ping 8.8.4.4从您的 VPN 客户端尝试。您应该会看到回复。如果没有,请告诉我们:)
| 归档时间: |
|
| 查看次数: |
151700 次 |
| 最近记录: |