Q&A OpenVPNルーティングの問題

Debian 5を実行しているVPSでOpenVPNサーバーを実行し、Ubuntu11.04デスクトップでOpenVPSクライアントを実行しています。クライアントからのすべての発信トラフィックをVPNサーバーを介してトンネリングする必要があります。

クライアントからサーバーへの接続を開始し、それらの間で正常にpingを実行できますが、クライアントから外部IPアドレスにアクセスしようとすると成功しません。

たとえば、IPでGoogleにpingを実行する場合:

ping -n 74.125.91.106
PING 74.125.91.106 (74.125.91.106) 56(84) bytes of data.
^C
--- 74.125.91.106 ping statistics ---
7 packets transmitted, 0 received, 100% packet loss, time 6048ms

サーバー側では、トンネルを介してping要求が送信されているのを確認できますが、応答は返されません。

tcpdump -i tun0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
21:24:59.384736 IP 10.8.0.6 > qy-in-f106.1e100.net: ICMP echo request, id 7537, seq 1,  length 64
21:25:00.391970 IP 10.8.0.6 > qy-in-f106.1e100.net: ICMP echo request, id 7537, seq 2, length 64
21:25:01.400394 IP 10.8.0.6 > qy-in-f106.1e100.net: ICMP echo request, id 7537, seq 3, length 64
21:25:02.408914 IP 10.8.0.6 > qy-in-f106.1e100.net: ICMP echo request, id 7537, seq 4, length 64
21:25:03.416378 IP 10.8.0.6 > qy-in-f106.1e100.net: ICMP echo request, id 7537, seq 5, length 64
21:25:04.424289 IP 10.8.0.6 > qy-in-f106.1e100.net: ICMP echo request, id 7537, seq 6, length 64
21:25:05.431804 IP 10.8.0.6 > qy-in-f106.1e100.net: ICMP echo request, id 7537, seq 7, length 64

サーバーのvenet0インターフェースでもこれらを確認できます。

tcpdump -i venet0:0 'icmp[icmptype] == icmp-echo or icmp[icmptype] == icmp-echoreply' 
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on venet0:0, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
21:39:11.397967 IP 10.8.0.6 > qy-in-f106.1e100.net: ICMP echo request, id 7588, seq 1, length 64
21:39:12.407609 IP 10.8.0.6 > qy-in-f106.1e100.net: ICMP echo request, id 7588, seq 2, length 64
21:39:13.415194 IP 10.8.0.6 > qy-in-f106.1e100.net: ICMP echo request, id 7588, seq 3, length 64
21:39:14.423050 IP 10.8.0.6 > qy-in-f106.1e100.net: ICMP echo request, id 7588, seq 4, length 64
21:39:15.431005 IP 10.8.0.6 > qy-in-f106.1e100.net: ICMP echo request, id 7588, seq 5, length 64
21:39:16.439687 IP 10.8.0.6 > qy-in-f106.1e100.net: ICMP echo request, id 7588, seq 6, length 64
21:39:17.446949 IP 10.8.0.6 > qy-in-f106.1e100.net: ICMP echo request, id 7588, seq 7, length 64

サーバーからGoogleに正常にpingを実行することもできます。

何がこれを引き起こしているのか考えていますか?

サーバー構成ファイル:

dev tun
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
push "route 10.8.0.0 255.255.255.0"
push "redirect-gateway"
comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
group daemon
daemon

クライアント構成ファイル:

remote &lt&ltserver IP&gt&gt
dev tun
comp-lzo
ca ca.crt
cert client1.crt
key client1.key
route-delay 2
route-method exe
redirect-gateway def1
dhcp-option DNS 10.8.0.1
verb 3
answer

クライアントに適切にルーティングされるように、「着信」トラフィックをマッピングする必要があります。つまり、クライアントのIP(VPNのもの)のNAT変換をサーバーに設定する必要があります。

表示されるのは、サーバーが応答を転送する方法を知らないということです。

これを行う方法の説明は次のとおりです。http//openvpn.net/index.php/open-source/documentation/howto.html#redirect-サーバーのiptables構成を確認します。

Ip転送は有効ですか?VPNクライアントのソースネイティング?

ソースネイティングは、(vpnクライアント)アドレスを外部IPアドレスに変換しています。サニーが言うように、ISPが最初にフィルタリングしなかったとしても、受信サーバーは内部IPにルーティングする方法を知りません。

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -a FORWARD -i tun0 -j ACCEPT