關於openvpn亟待解決的問題
有一個問題想請教,我的環境是vpn server(雙網卡)和vpnclient(單網卡)搭建的通道。通道沒有問題,tun0都有。可以訪問server端內網設置了網關的主機,但
是。。。
server端內網有一台erp系統,為其安全不能設置其網關, 我如何配置可以使client端的機器訪問這台erp伺服器
《解決方案》
回復 1# zhai_liang2046
單網卡也是可以實現的呀
《解決方案》
最簡單的方法是,在Server啟用NAT,在客戶端增加路由
《解決方案》
在server端console下route add路由
同時向客戶端push gw和route
《解決方案》
回復 4# amazergling
路由條目是什麼? 我的客戶端已經push路由了,我的網路環境是server端內網192.168.10.0 客戶端內網是192.168.11.0
《解決方案》
{ERP in 192.168.10.0} <====> 【VPN server】 <====> {192.168.11.0}
這樣的?
《解決方案》
本帖最後由 amazergling 於 2010-03-10 16:55 編輯
伺服器自身也要增加路由,不然從11.0發往10.0的包會在虛擬區域網里就被丟棄,不能正確路由出來。
那麼在vpn伺服器主機上要添加
route add -net 192.168.11.0/24 dev eth0
route add -net 192.168.10.0/24 dev tun0
在vpn部分,要push通知你的vpn客戶端gw為vpn伺服器。
《解決方案》
本帖最後由 zhai_liang2046 於 2010-03-11 16:19 編輯
回復 7# amazergling
非常感謝,我的環境是
ERP 192.168.10.5 ======》{192.168.10.1} vpn伺服器 {外網ip}=====internet======》vpn客戶端192.168.11.0
我現在可以在vpn客戶端ping通 192.168.10.1 可是在vpn服務端內部的主機無反應, 我試一下添加路由不行,還請各位幫忙
《解決方案》
我的server.conf 是
local *.*.*.* #//指定監聽服務的公網介面地址
port 1194 #//指定監聽的埠
proto udp
;proto tcp
;dev tap
dev tun
ca keys/ca.crt
cert keys/server_r1.crt
key keys/server_r1.key
dh keys/dh1024.pem
tls-auth keys/ta.key 0
cipher BF-CBC #//若使用tls-auth,各客戶端需與此保持一致
server 10.8.8.0 255.255.255.0 #//指定r1-r2 SSL VPN隧道的虛擬子網
;server-bridge 192.168.10.1 255.255.255.0 192.168.10.250 192.168.10.254
ifconfig-pool-persist ipp.txt
push "redirect-gateway 192.168.10.1 255.255.255.0 " #// 接入Client重新指定出口網關
push "dhcp-option DNS 218.56.57.58" #//為r2指定DNS伺服器地址
push "dhcp-option DNS 202.106.0.20" #//為r2指定DNS伺服器地址
push "route 192.168.10.0 255.255.255.0 " #//為r2添加訪問LAN1網段的路由記錄
push "route 10.9.9.0 255.255.255.0" #//為r2添加訪問r1-PC1隧道虛擬網路的路由記錄
route 192.168.11.0 255.255.255.0 #//為r1添加訪問LAN2網段的路由
client-config-dir ccd #//允許在ccd子目錄中提供個別客戶端的額外配置文件(以客戶端的Common Name命名 )
keepalive 10 120
#duplicate-cn
comp-lzo
max-clients 1000 #//指定最大併發連接數
user nobody
group nobody
client-to-client
persist-key
persist-tun
status /tmp/openvpn-status-r1r2.log
log-append /tmp/openvpn-r1r2.log
verb 3
《解決方案》
本帖最後由 zhai_liang2046 於 2010-03-11 18:29 編輯
我的網路拓撲是
