标签: openvpn

我正在我的新工作场所建立一个新集群，而且我仍在我上一个工作场所管理另一个集群。基本上我是“复制”第一个的配置来设置新的。

现在我在家，我想同时使用两个 VPN 连接，而不是一个接一个地同时访问两个集群。在我看来这是不可能的，但也许有人有想法？

一个 VPN 连接使用 OpenVPN，第二个使用 CISCO VPN 客户端。或者也许可以玩路线规则来获得它？我在网络方面不是很有经验。

我正在尝试route -n尝试重新定义不同子接口的规则。这是当没有 VPN 处于活动状态时我得到的结果：

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.1.0.1        0.0.0.0         UG    0      0        0 eth0
10.1.0.0        0.0.0.0         255.255.255.0   U     1      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0

现在，如果我打开 cisco VPN (VPN1)：

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         xxx.xxx.xxx.117 …

我已经在 Debian（树莓派模型 b+）上成功设置了一个 OpenVPN 服务器。将协议设置为 TCP 后，它完全按预期工作（通过 VPN 路由互联网，访问本地网络机器），但是当我将协议设置为 UDP（我认为这对于提高速度是可取的）时，我发现我能够ping 任何主机（IP 地址或域名），我可以 telnet 和 ssh（再次是 IP 地址或域），但是当我尝试在浏览器中打开页面时，它似乎进行了初始连接，但随后从未加载。

你有什么想法为什么网页浏览会成为 UDP 模式的问题？

我已经设置了 UFW 来管理 iptables，为此添加了主配置行 before.rules

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# Allow traffic from OpenVPN client to eth0
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
COMMIT

由于 TCP 一切正常，UDP 几乎可以正常工作，因此我认为问题不在于防火墙/iptables，但我可能是错的。

我的 openvpn 服务器配置是

local 192.168.0.31
dev tun
proto tcp
port 1194
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig 10.8.0.1 …

我想实现这一点：

• 组合多个 Internet 连接。
• 加密从本地计算机到远程代理/VPN 服务器的连接。
• 理想情况下，在“可靠”和“速度”模式之间切换（如下所述）。如果这是不可能的，那么我希望至少能够进行通道绑定（速度）模式。
• 将服务器软件托管在我自己的基础架构上（如专用服务器或 VPS）。
• 理想情况下，该解决方案应该能够在连接到 Linux 服务器的 Windows 客户端上运行。（例如：Windows 10客户端上的，Ubuntu 14.04 Server的服务器上）。如果Linux客户端需要，请注明您的答案; 如果它需要 Linux 客户端，它仍然是一个可以接受的答案，如果需要，我总是可以在 VM 中运行它。

我该怎么做？

更多详情

可靠与速度模式

可靠模式就像 RAID-1，在两个或多个上行链路上发送相同的数据包，到达服务器的第一个数据包被获取，而另一个副本被丢弃。在可靠模式下，理论上您的总吞吐量是两个上行链路中较快的一个，但如果来自较慢上行链路的数据包有时首先到达端点，则实际上会少一些。

速度模式类似于 RAID-0，其中不同的数据包通过两条链路发送，因此您的总吞吐量（例如下载）是两条上行链路的吞吐量之和。

Speedify 使用这种机制，更多信息在这里。我可以简单地使用它，除了 Speedify 自己的服务不加密数据，而且我的两个上行链路之一是不安全的 WiFi 热点；我需要强大的加密来保护本身没有加密的应用程序协议（如访问 superuser.com 的常规 HTTP）。

我的情况

我有两个连接到公共互联网：

• 约 12 Mbps LTE 连接作为以太网 USB 适配器（它实际上是 iPhone，但它作为常规以太网将自己暴露给操作系统）
• 来自 WiFi 热点的约 5 Mbps LTE 连接，传送到 USB 802.11ac 加密狗

我想将它们组合如下：

Connection A --> Internet --> Server …

在 Arch Linux 上，我运行 OpenVPN 2.3.9 服务器并收到此错误“LZO 解压缩头字节错误：69”

我在有根的 Motorola XT1039 android 棒棒糖 5.1 上运行客户端，并使用官方的“OpenVPN Connect”android 应用程序进行连接：我收到此错误 Tun write error: write_some: invalid argument

客户端配置：http : //pastebin.com/kR3EGj1d

服务器配置http://pastebin.com/c9nhX6Lv

我在 OSX El Capitan 上运行 Tunnelblick 3.6.6beta02 (build 4581) OpenVPN 客户端。

问题是，如果我更改 wifi 网络，我将无法连接到我的 OpenVPN 服务器，它说“正在等待服务器响应......”

唯一的解决方法是重新启动计算机或在终端中执行以下命令，每次都令人沮丧：

sudo ifconfig en0 down
sudo route flush
sudo ifconfig en0 up

日志

2016-08-16 11:03:48 SIGUSR1[soft,tls-error] received, process restarting
2016-08-16 11:03:48 MANAGEMENT: >STATE:1471334628,RECONNECTING,tls-error,,,,,
2016-08-16 11:03:48 MANAGEMENT: CMD 'hold release'
2016-08-16 11:03:48 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2016-08-16 11:03:48 TCP/UDP: Preserving recently used remote address: [AF_INET]x.x.x.x:xxxx
2016-08-16 11:03:48 Socket Buffers: R=[196724->196724] S=[9216->9216]
2016-08-16 11:03:48 UDP link local: …

在启动时，我收到一个 OpenVPN 对话框，上面写着：

“OpenVPNServiceInteractive”未启动。需要管理访问权限的任务可能无法工作。

如果我无视该消息并尝试连接到我的 VPN，稍后 OpenVPN 尝试设置路由表时，我将收到另一个错误。

如果我退出 open VPN，等待一段时间（几分钟），然后再试一次，我将不再收到错误对话框。

我在 RT-AC66U 华硕路由器内创建了一个 OpenVPN 服务器，运行库存固件，默认 OpenVPN 配置在10.8.0.0掩码下创建一个子网255.255.255.0，并且我所有访问 VPN 的设备都从该范围获取其 IP（如10.8.0.6）。因此，他们看不到同一网络中的其他设备，因为它们位于192.168.1.0mas内255.255.255.0。

1. 为什么默认 OpenVPN 配置会在新子网下创建 VPN？这样做有什么好处吗？到目前为止我只有头痛

2. 让通过 VPN 连接的设备 ( 10.8.0.0) 访问同一网络 ( 192.168.1.0) 中的其他设备的最佳方式是什么？

看到几个问题试图解决这个问题，但没有一个是很有帮助的。我想要一些明确的东西来帮助其他人解决这个问题，因为它经常出现，而且似乎很少能得到有效的回应。

redirect-gateway一般来说，对我来说效果很好，但它的一个问题是它包含本地 IP 范围。我知道 OpenVPN 需要这样做，因为它需要覆盖自己的私有 IP 空间，这可以是用户任意分配的任何内容。

但是，如果可以轻松获得与redirect-gateway负一或两个范围相同的效果（适用于他们所在的本地网络），以便他们仍然可以访问本地 LAN 资源（在物理 LAN 上，而不是在OpenVPN“局域网”）。例如，我想从工作中的隧道中排除 10.0.0.0，但所有其他 IP 范围仍将通过隧道发送。

最简单的方法应该是离开重定向网关，然后添加一个本地路由，指示 10.0.0.0 通过本地接口和网关，但 Windows 似乎不尊重指标设置，即使关闭和手动自动指标调整指标，以便 OpenVPN 始终高于本地路由。所有流量继续通过 VPN 隧道路由。

替代方案似乎是完整的本地路由引导或教 OpenVPN 服务器端列出诸如 0.0.0.0-9.0.0.0、11.0.0.0-128.0.0.0、128.0.0.0-172.17.16.0（我的 OpenVPN 子网是 172.17. 17.x)、172.17.18.0-254.0.0.0。这似乎是一种巨大的痛苦，尤其是考虑到必须尝试正确获取相应的子网掩码。

任何关于配置实际工作的 OpenVPN 的简单、一致的方法的建议（Windows 路由指标不起作用），最好是在客户端，以从隧道中排除一些可能位于连接客户端本地的特殊子网，将不胜感激.

目前，我已经退回到 SSH 提供的 SOCKS 代理，以便我可以继续访问网络本地资源，但我更喜欢 VPN 的舒适性，它可以路由除少数特别提到的地址范围之外的所有地址范围。

直到 OS X 10.9 Mavericks，我一直以这种方式共享 OpenVPN 连接。

但是，自从我将 Mac 更新到最新的操作系统后，此方法就不再有效。我做了一些谷歌搜索，似乎新的网络组件破坏了该功能。

是否可以将共享功能恢复为优胜美地操作系统之前的版本？或者有什么方法可以使用新的网络实用程序制定新的共享方法？

谢谢！

我有一台服务器（ubuntu 22.04），其端口 443 上带有 Openvpn（带有 docker 镜像 kylemanna/docker-openvpn）。它工作正常，客户端可以连接到它。问题是服务器的互联网有一些限制，所以我想通过新服务器调整 openvpn 流量，以便客户端没有限制。我不想告诉客户端连接到新服务器，我希望他们连接到旧服务器，但流量通过新服务器。我认为可以通过路由来完成，但我不知道该怎么做。如果需要，我还可以将 OpenVpn 安装更改为直接在服务器上，而不使用 docker 映像。我也可以访问新服务器，并且可以在其上安装 VPN，或通过 SSH 连接到它。

客户端 ---> 服务器（互联网有限）---> 新服务器（无限互联网）

集装箱港口：