标签: openvpn

我使用共享密钥在两个 gentoo 盒之间建立了 openvpn（两端的版本 2.1_rc15）连接。它在大多数情况下工作正常。我在 vpn 上使用 mysql、http、ftp、scp，没有任何问题。但是当我通过 vpn 从客户端 ssh 到服务器时，奇怪的事情发生了。我可以登录，我可以执行一些命令。但是如果我尝试运行像 top 这样的 ncurses 应用程序，或者我尝试 cat 一个文件，连接将停止，我将不得不切断 ssh 会话。

例如，我可以执行“echo blah; echo .; echo blah”，它将通过 ssh 会话输出三行文本。但是如果我执行“cat /etc/motd”，会话将在我按下回车键的那一刻冻结。

我在我的 mac 上编译了 openvpn 2.1.1 并从我的 gentoo 客户端复制了我的 config 目录。mac 连接和 ssh 会话运行良好，没有冻结。

然后我在我的旧 gentoo 机器（2.6.26 内核）上编译它，由于硬盘驱动器快坏了，我正在退休，并且通过 ssh 也可以完美地工作。

为什么它在我全新的 gentoo box 上失败？我试过编译三个不同的内核，以防万一，但除此之外，我能想到的旧的和新的 gentoo box 应该没有区别。

关于有什么问题的任何建议？

我需要配置我的 openvpn 服务器以提供一些 LAN 资源，但我不想为我的客户端路由所有流量。

这是我的示例网络描述：我的 LAN 是 192.168.1.0/24。Openvpn 网络是 192.168.100.0/24。我添加push route 192.168.1.0 255.255.255.0了我的服务器端配置。我想让我的客户可以访问 192.168.1.0/24，但不能访问其他流量。

如何从服务器端配置执行此操作？客户端配置是唯一的方法吗？

我的服务器 LAN IP 是 192.168.1.1，并且在 192.168.1.2 上有一个 Intranet Web 服务器 OpenVPN 守护程序配置为为客户端提供 192.168.2.* 地址。

push "route 192.168.1.0 255.255.255.0"我希望配置中有一行允许 VPN 客户端访问整个 192.168.1.0 网络，但它们只能访问 192.168.1.1 - VPN 服务器本身。

我试过启用net.ipv4.ip_forward = 1，/etc/sysctl.conf但这没有帮助。

有任何想法吗？

PS：服务器运行 Ubuntu 12.04。
PPS：OpenVPN 在tunUDP 模式下运行。

我在服务器上设置了一个 openVPN，并且我正在为我的客户端使用 openVPN 连接。我有一些需要访问的内部网站，但其中一些无法正常工作。我想确保流量通过 VPN 而不是通过正常的互联网连接。我的网络的网关 ip 是 192.168.0.1，openVPN 的网关是 10.8.0.1。我已经完成了跟踪路由，它显示不工作的网站访问 192.168.0.1 而不是 10.8.0.1。这是否证明它不会通过 VPN？

我正在尝试使用 Google Compute Engine 服务器作为我所有流量的 VPN 服务器（我住在俄罗斯，我们在这里的审查有一些问题）。

GCE 上有关于VPN 的迷你教程，但它是关于 GCE 内部 2 个服务器之间的网络，而不是 OpenVPN。

我已经完成了另一个教程中的所有步骤，关于在 Debian 上使用 OpenVPN 设置 VPN，我可以从客户端连接到 VPN，但是我无法打开连接（甚至无法 ping google）。在服务器上，我可以像往常一样 ping 和下载所有内容。

我在 Linode 上安装了具有相同设置的 VPN，并且运行良好。所以问题在于 GCE 网络路由或防火墙规则。

我尝试了很多变体，但没有任何效果。请查看设置并告诉我应该更改什么。

// 删除了配置行，因为问题已解决 //

我的 OpenVPN 隧道无法达到线速。网关是托管在 OVH 的 Debian Jessy 虚拟服务器。客户端是我的 freebsd 10.2 家庭服务器（Intel I3 Ivy Bridge）或我的 RaspberryPI2。我停用了加密和身份验证。我有一个 100mbit/s 的对称 FTTH 连接，但隧道的速度仅达到 20-40mbit/s。直接连接（无隧道）总是产生我期望的 100mbit/s。我用iperf3测试了性能。我首先尝试使用我的 freebsd 家庭服务器。我尝试了所有关于 mssfix、fragment 等的推荐设置。没有任何帮助。

然后我想也许是我的freebsd机器。所以我在我的 RPI2 上安装了一个新的 raspbian Jessy 并进行了一些更深入的测试：

首先，我从 OpenVPN 配置中删除了所有 MTU 设置，并让路径 MTU 处理事情（希望如此）。因为我在两台机器上都没有激活防火墙，所以它应该可以工作。这些是我的 vpn 配置：

server 10.8.0.0 255.255.255.0
port 1194
proto udp
dev tun
sndbuf 0
rcvbuf 0

user nobody
group nogroup
persist-key
persist-tun
ifconfig-pool-persist ipp.txt
keepalive 10 120
push "redirect-gateway def1"
status openvpn-status.log
verb 3

ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/vpn.theissen.io.crt
key /etc/openvpn/easy-rsa/keys/vpn.theissen.io.key
dh /etc/openvpn/easy-rsa/keys/dh4096.pem
tls-auth …

我有以下设置：

• 运行 docker 服务的 CentOS 主机
• 一个用户定义的 docker 桥接网络
• 2 个 Docker 容器连接到该用户定义的桥接网络
• OpenVPN 安装（当前在主机上运行。也可以在 docker 容器中运行）
• 一些客户端连接到 OpenVPN

如何允许 docker bridge 网络上的 docker 容器与 tun0 网络上的 openvpn 客户端通信？

我希望能够以透明的方式在 docker1（10.10.0.3）和连接到 vpn（172.19.0.x 范围）的客户端之间进行基于 tcp 的通信。

我需要在 docker (networking / iptables / ...) 端和主机 (iptables ) 上设置什么？

我正在建立一个带有很多小设备（运行 OpenWRT）的 VPN 网络。在我的用例中，设备都由一个数字标识，我希望它们的 ip 地址与它们的 ID 匹配（例如：设备编号 6 将在 XXX6 中有一个 ip）。

我知道的client-config-dir和ifconfig-push，而是因为我所有的设备都使用相同的证书（我不能使用它们duplicate-cn启用）。这是一个要求，因为为每个设备生成一个证书会过于受限（此外，如果我们在系统中添加设备，我们不想更改 VPN 服务器的配置）

是否可以在客户端配置文件中设置 IP 地址？我在文档中没有找到关于该特定主题的任何内容......而且我尝试的一切都没有成功。

基本上，我想到的是以下内容：

• 客户端连接到 VPN 服务器并询问特定地址（“给我 ip：172.16.0.22”）
• 如果地址已经被占用，则握手失败。如果是免费的，客户会得到他之前问过的地址

我一直在努力提高我的 OpenVPN 性能，这是我当前的设置：

 cat /etc/openvpn/server.conf
port 443 #- port
proto tcp #- protocol
dev tun
#tun-mtu 1500
tun-mtu-extra 32 
#mssfix 1450
tun-mtu 64800
mssfix 1440
reneg-sec 0
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
plugin /etc/openvpn/openvpn-auth-pam.so /etc/pam.d/login
#plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so /etc/pam.d/login #- Comment this line if you are using FreeRADIUS
#plugin /etc/openvpn/radiusplugin.so /etc/openvpn/radiusplugin.cnf #- Uncomment this line if you are using FreeRADIUS
client-to-client
client-cert-not-required
username-as-common-name
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive …

我有一个处理各种客户端的 VPN 服务器；有些只支持 ipv4，有些支持 ipv4 和 ipv6，有些只支持 ipv6。其中一些客户端正在漫游，因此理想情况下，如果可用，它们应该连接到 ipv6，如果不可用，则回退到 ipv4。

在我当前的设置中，OpenVPN 侦听 ipv4 和 ipv6：

proto udp
proto udp6
dev tun

我的第一个问题在这里：虽然这似乎有效，但将两个 proto 放在一个配置文件中是否安全和正确？

我的客户在配置中有两个远程实例：

remote vpn.domain.tld port udp6
remote vpn.domain.tld port udp

我的问题也在这里，因为这似乎有效（首先尝试 udp6，如果失败将回退到 udp），这是一个很好的方法吗？