Tôi đã thiết lập một máy chủ openVPN với mạng con cấu trúc liên kết.
Nó chứa một tập hợp các mạng con dành cho các máy khách trong vùng 10.0.X.X được định tuyến.
Trong mạng Máy chủ có một máy khách (không có trong VPN) chạy một dịch vụ mà người dùng VPN cần truy cập.
Vì vậy, về cơ bản, tôi cố gắng cấp cho các nhóm người dùng khác nhau quyền truy cập vào một dịch vụ web. Cả openvpn và dịch vụ web đều chạy trong các phiên bản docker
BẤT CỨ TRỢ GIÚP HOẶC MẸO NÀO ĐƯỢC RẤT ĐÁNH GIÁ VÌ TÔI ĐANG CHIẾN ĐẤU VỚI NÀY TỪ 2 TUẦN NAY
Các bước đã thực hiện:
Tôi thiết lập openvpn conf với các tuyến và với client-to-client
máy chủ 192.168.255.0 255.255.255.0
động từ 3
khóa /etc/openvpn/pki/private/xxxx.key
ca /etc/openvpn/pki/ca.crt
chứng chỉ /etc/openvpn/pki/issued/xxxx.crt
dh /etc/openvpn/pki/dh.pem
tls-auth /etc/openvpn/pki/ta.key
hướng chính 0
lưu giữ 10 60
phím kiên trì
kiên trì điều chỉnh
proto udp
# Dựa vào Docker để thực hiện ánh xạ cổng, nội bộ luôn 1194
cổng 1194
nhà phát triển điều chỉnh
trạng thái /tmp/openvpn-status.log
mạng con cấu trúc liên kết
client-config-dir ccd
người dùng không ai
nhóm không có nhóm
comp-lzo không
khách hàng đến khách hàng
### Cấu hình tuyến đường bên dưới
tuyến đường 192.168.254.0 255.255.255.0
tuyến đường 10.0.0.0 255.255.255.0
tuyến đường 10.0.1.0 255.255.255.0
tuyến đường 10.0.3.0 255.255.255.0
tuyến đường 10.0.4.0 255.255.255.0
tuyến đường 10.0.5.0 255.255.255.0
### Cấu hình đẩy bên dưới
#push "chặn-bên ngoài-dns"
đẩy "DNS tùy chọn dhcp 8.8.8.8"
đẩy "DNS tùy chọn dhcp 8.8.4.4"
nhấn "comp-lzo no"
đẩy "tuyến đường 172.17.0.0 255.255.255.0"
Tôi đã định cấu hình chuyển tiếp bằng cách đặt
net.ipv4.ip_forward = 1
trong /etc/sysctl.conf
Tôi đã cấu hình các quy tắc iptable
-P CHẤP NHẬN ĐẦU VÀO
-P CHẤP NHẬN VỀ PHÍA TRƯỚC
-P CHẤP NHẬN ĐẦU RA
-A FORWARD -s 192.168.255.0/24 -d 172.17.0.0/24 -i tun0 -j CHẤP NHẬN
-A VỀ PHÍA TRƯỚC -j CHẤP NHẬN
-A FORWARD -s 192.168.255.0/24 -d 10.0.0.0/24 -i tun0 -j CHẤP NHẬN
Nhưng từ IP trong phạm vi máy chủ (192.168.255.2) không thể ping hoặc truy cập bất cứ thứ gì (172.17.0.4 hoặc 10.0.0.1)
Một tuyến đường kết thúc tại cổng
% theo dõi 10.0.0.1
theo dõi thành 10.0.0.1 (10.0.0.1), tối đa 64 bước nhảy, gói 52 byte
1 192.168.88.1 (192.168.88.1) 12.279 mili giây 3.251 mili giây 1.882 mili giây
2 *
đây cũng là nhật ký từ khách hàng của tôi
2022-04-30 06:24:38.983758 *Tunnelblick: macOS 12.3.1 (21E258); Tunnelblick 3.8.5beta05 (bản dựng 5650)
30-04-2022 06:24:39.446714 *Tunnelblick: Đang thử kết nối với greenhive_master bằng cách sử dụng bản sao ẩn; Đặt máy chủ tên = 769; giám sát kết nối
30-04-2022 06:24:39.450786 *Tunnelblick: openvpnstart start greenhive_master.tblk 52399 769 0 1 0 34652464 -ptADGNWradsgnw 2.4.10-openssl-1.1.1j
2022-04-30 06:24:39.477788 *Tunnelblick: openvpnstart bắt đầu OpenVPN
2022-04-30 06:24:39.857743 OpenVPN 2.4.10 x86_64-apple-darwin [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [MH/RECVDA] [AEAD] được xây dựng vào ngày 25 tháng 2 năm 2021
2022-04-30 06:24:39.857947 phiên bản thư viện: OpenSSL 1.1.1j 16 tháng 2 năm 2021, LZO 2.10
30-04-2022 06:24:39.859534 QUẢN LÝ: Lắng nghe ổ cắm TCP trên [AF_INET]127.0.0.1:52399
2022-04-30 06:24:39.859562 Cần giữ bản phát hành khỏi giao diện quản lý, đang chờ...
2022-04-30 06:24:40.078894 *Tunnelblick: nhật ký openvpnstart:
OpenVPN bắt đầu thành công.
Lệnh được sử dụng để khởi động OpenVPN (một đối số trên mỗi dòng hiển thị):
/Applications/Tunnelblick.app/Contents/Resources/openvpn/openvpn-2.4.10-openssl-1.1.1j/openvpn
--daemon
--log /Library/Application Support/Tunnelblick/Logs/-SUsers-Srobertk-SLibrary-SApplication Support-STunnelblick-SConfigurations-Sgreenhive_master.tblk-SContents-SResources-Sconfig.ovpn.769_0_1_0_34652464.52399.openvpn.log
--cd /Library/Application Support/Tunnelblick/Users/robertk/greenhive_master.tblk/Contents/Resources
--machine-readable-output
--setenv IV_GUI_VER "net.tunnelblick.tunnelblick 5650 3.8.5beta05 (bản dựng 5650)"
--động từ 3
--config /Library/Application Support/Tunnelblick/Users/robertk/greenhive_master.tblk/Contents/Resources/config.ovpn
--setenv TUNNELBLICK_CONFIG_FOLDER /Thư viện/Hỗ trợ ứng dụng/Tunnelblick/Users/robertk/greenhive_master.tblk/Contents/Resources
--động từ 3
--cd /Library/Application Support/Tunnelblick/Users/robertk/greenhive_master.tblk/Contents/Resources
--quản lý 127.0.0.1 52399 /Thư viện/Hỗ trợ ứng dụng/Tunnelblick/geeielmngfddkiiidnhcaaaaogadlpdifnpjaepip.mip
--quản lý-truy vấn-mật khẩu
--quản lý-giữ
--script-bảo mật 2
--route-up /Applications/Tunnelblick.app/Contents/Resources/client.up.tunnelblick.sh -9 -d -f -m -w -ptADGNWradsgnw
--down /Applications/Tunnelblick.app/Contents/Resources/client.down.tunnelblick.sh -9 -d -f -m -w -ptADGNWradsgnw
30-04-2022 06:24:40.108790 QUẢN LÝ: Máy khách được kết nối từ [AF_INET]127.0.0.1:52399
2022-04-30 06:24:40.136505 QUẢN LÝ: CMD 'pid'
30-04-2022 06:24:40.136565 QUẢN LÝ: CMD 'auth-thử lại tương tác'
2022-04-30 06:24:40.136595 QUẢN LÝ: CMD 'bật'
2022-04-30 06:24:40.136615 QUẢN LÝ: 'trạng thái' CMD
30-04-2022 06:24:40.136655 QUẢN LÝ: CMD 'bytecount 1'
30-04-2022 06:24:40.138068 *Tunnelblick: Đã thiết lập liên lạc với OpenVPN
30-04-2022 06:24:40.152091 *Tunneblick: >INFO:Giao diện quản lý OpenVPN Phiên bản 1 -- nhập 'trợ giúp' để biết thêm thông tin
2022-04-30 06:24:40.154175 QUẢN LÝ: CMD 'tạm dừng phát hành'
30-04-2022 06:24:40.155529 LƯU Ý: cài đặt --script-security hiện tại có thể cho phép cấu hình này gọi các tập lệnh do người dùng xác định
2022-04-30 06:24:40.161486 Xác thực kênh điều khiển gửi đi: Sử dụng hàm băm tin nhắn 160 bit 'SHA1' để xác thực HMAC
2022-04-30 06:24:40.161545 Xác thực kênh điều khiển đến: Sử dụng hàm băm thông báo 160 bit 'SHA1' để xác thực HMAC
2022-04-30 06:24:40.161718 QUẢN LÝ: >BANG:1651292680,GIẢI QUYẾT,,,,,,
2022-04-30 06:24:40.259123 TCP/UDP: Giữ nguyên địa chỉ từ xa được sử dụng gần đây: [AF_INET]xx.xx.xx.xx:1194
2022-04-30 06:24:40.259272 Bộ đệm ổ cắm: R=[786896->786896] S=[9216->9216]
30-04-2022 06:24:40.259296 Liên kết UDP cục bộ: (không bị ràng buộc)
30-04-2022 06:24:40.259311 Điều khiển từ xa liên kết UDP: [AF_INET]xx.xx.xx.xx:1194
2022-04-30 06:24:40.259354 QUẢN LÝ: >BANG:1651292680,CHỜ ĐỢI,,,,,,
2022-04-30 06:24:40.305386 QUẢN LÝ: >BANG:1651292680,AUTH,,,,,,
2022-04-30 06:24:40.305631 TLS: Gói ban đầu từ [AF_INET]xx.xx.xx.xx:1194, sid=06c4262e 884c5cdc
2022-04-30 06:24:40.369493 XÁC MINH OK: độ sâu=1, CN=greenhive
2022-04-30 06:24:40.370236 XÁC MINH KU OK
30-04-2022 06:24:40.370275 Xác thực việc sử dụng khóa mở rộng của chứng chỉ
2022-04-30 06:24:40.370301 ++ Chứng chỉ có Xác thực máy chủ web TLS EKU (str), mong đợi Xác thực máy chủ web TLS
2022-04-30 06:24:40.370323 XÁC MINH EKU OK
30-04-2022 06:24:40.370346 XÁC MINH OK: depth=0, CN=VPN.greenhive.at
30-04-2022 06:24:40.439317 CẢNH BÁO: 'link-mtu' được sử dụng không nhất quán, local='link-mtu 1541', remote='link-mtu 1542'
30-04-2022 06:24:40.439596 CẢNH BÁO: 'comp-lzo' có trong cấu hình từ xa nhưng thiếu trong cấu hình cục bộ, remote='comp-lzo'
30-04-2022 06:24:40.439767 Kênh điều khiển: TLSv1.3, mật mã TLSv1.3 TLS_AES_256_GCM_SHA384, RSA 2048 bit
30-04-2022 06:24:40.439834 [VPN.greenhive.at] Bắt đầu kết nối ngang hàng với [AF_INET]xx.xx.xx.xx:1194
30-04-2022 06:24:41.558800 QUẢN LÝ: >BANG:1651292681,GET_CONFIG,,,,,,
30-04-2022 06:24:41.559492 KIỂM SOÁT ĐÃ GỬI [VPN.greenhive.at]: 'PUSH_REQUEST' (trạng thái=1)
2022-04-30 06:24:41.652600 PUSH: Đã nhận thông báo kiểm soát: 'PUSH_REPLY,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,comp-lzo no,route 172.17.0.0 255.255.255.0,route- cổng 192.168.255.1, mạng con cấu trúc liên kết, ping 10, ping-khởi động lại 60, ifconfig 192.168.255.2 255.255.255.0, id ngang hàng 1, mật mã AES-256-GCM'
2022-04-30 06:24:41.652921 NHẬP TÙY CHỌN: bộ hẹn giờ và/hoặc thời gian chờ đã sửa đổi
2022-04-30 06:24:41.652958 NHẬP TÙY CHỌN: parms nén đã sửa đổi
30-04-2022 06:24:41.652985 NHẬP TÙY CHỌN: --ifconfig/up tùy chọn đã sửa đổi
2022-04-30 06:24:41.653008 NHẬP TÙY CHỌN: tùy chọn tuyến đường đã sửa đổi
2022-04-30 06:24:41.653030 NHẬP TÙY CHỌN: tùy chọn liên quan đến tuyến đường được sửa đổi
30-04-2022 06:24:41.653051 NHẬP TÙY CHỌN: --ip-win32 và/hoặc --dhcp-option tùy chọn đã sửa đổi
30-04-2022 06:24:41.653072 NHẬP TÙY CHỌN: bộ id ngang hàng
2022-04-30 06:24:41.653094 NHẬP TÙY CHỌN: điều chỉnh link_mtu thành 1624
30-04-2022 06:24:41.653115 NHẬP TÙY CHỌN: tùy chọn tiền điện tử kênh dữ liệu đã sửa đổi
30-04-2022 06:24:41.653139 Kênh dữ liệu: sử dụng mật mã đã thương lượng 'AES-256-GCM'
30-04-2022 06:24:41.653816 Kênh dữ liệu gửi đi: Khởi tạo mật mã 'AES-256-GCM' bằng khóa 256 bit
30-04-2022 06:24:41.653851 Kênh dữ liệu đến: Khởi tạo mật mã 'AES-256-GCM' bằng khóa 256 bit
2022-04-30 06:24:41.654722 Đang mở utun (kết nối(AF_SYS_CONTROL)): Tài nguyên bận (errno=16)
2022-04-30 06:24:41.654977 Đang mở utun (kết nối(AF_SYS_CONTROL)): Tài nguyên bận (errno=16)
2022-04-30 06:24:41.655036 Đang mở utun (kết nối(AF_SYS_CONTROL)): Tài nguyên bận (errno=16)
2022-04-30 06:24:41.655181 Đã mở thiết bị utun utun3
2022-04-30 06:24:41.655203 QUẢN LÝ: >BANG:1651292681,ASSIGN_IP,,192.168.255.2,,,,
30-04-2022 06:24:41.655217 /sbin/ifconfig utun3 xóa
ifconfig: ioctl (SIOCDIFADDR): Không thể chỉ định địa chỉ được yêu cầu
2022-04-30 06:24:41.665109 LƯU Ý: Đã cố xóa phiên bản điều chỉnh/chạm có sẵn -- Không có vấn đề gì nếu thất bại
2022-04-30 06:24:41.666818 /sbin/ifconfig utun3 192.168.255.2 192.168.255.2 netmask 255.255.255.0 mtu 1500 trở lên
2022-04-30 06:24:41.672645 /sbin/tuyến thêm -net 192.168.255.0 192.168.255.2 255.255.255.0
thêm mạng 192.168.255.0: cổng 192.168.255.2
30-04-2022 06:24:41.679237 QUẢN LÝ: >BANG:1651292681,ADD_ROUTES,,,,,,
2022-04-30 06:24:41.679318 /sbin/route add -net 172.17.0.0 192.168.255.1 255.255.255.0
thêm mạng 172.17.0.0: cổng 192.168.255.1
06:24:41 *Tunnelblick: ****************************************** ****
06:24:41 *Tunnelblick: Bắt đầu xuất từ client.up.tunnelblick.sh
06:24:43 *Tunnelblick: Lấy từ OpenVPN: tên máy chủ [ 8.8.8.8 8.8.4.4 ], tên miền tìm kiếm [ ] và máy chủ SMB [ ] và sử dụng tên miền mặc định [ openvpn ]
06:24:44 *Tunnelblick: CẢNH BÁO: Bỏ qua Tên miền 'openvpn' vì Tên miền được đặt thủ công và '-allowChangesToManuallySetNetworkSettings' không được chỉ định
06:24:44 *Tunnelblick: CẢNH BÁO: Bỏ qua ServerAddresses '8.8.8.8 8.8.4.4' vì ServerAddresses được đặt thủ công và '-allowChangesToManuallySetNetworkSettings' không được chỉ định
06:24:44 *Tunneblick: Đặt miền tìm kiếm thành '8.8.8.8 8.8.4.4' vì miền tìm kiếm không được đặt thủ công (hoặc được phép thay đổi) và 'Đặt trước tên miền cho miền tìm kiếm' không được chọn
06:24:45 *Tunneblick: Đã lưu cấu hình DNS và SMB để có thể khôi phục chúng
06:24:45 *Tunnelblick: Không thay đổi cài đặt DNS ServerAddresses của '8.8.8.8 8.8.4.4' (nhưng đặt lại)
06:24:45 *Tunneblick: Đã thay đổi cài đặt Miền tìm kiếm DNS từ 'openvpn' thành '8.8.8.8 8.8.4.4'
06:24:45 *Tunneblick: Đã thay đổi cài đặt Tên miền DNS từ '' thành '8.8.8.8 8.8.4.4'
06:24:45 *Tunneblick: Không thay đổi cài đặt SMB NetBIOSName của ''
06:24:45 *Tunneblick: Không thay đổi cài đặt Nhóm làm việc SMB của ''
06:24:45 *Tunneblick: Không thay đổi cài đặt SMB WINSAddresses của ''
06:24:45 *Tunneblick: Máy chủ DNS '8.8.8.8 8.8.4.4' được đặt thủ công
06:24:45 *Tunneblick: Máy chủ DNS '8.8.8.8 8.8.4.4' sẽ được sử dụng cho các truy vấn DNS khi VPN đang hoạt động
06:24:45 *Tunnelblick: Các máy chủ DNS chỉ bao gồm các máy chủ DNS công cộng miễn phí mà Tunnelblick biết đến.
06:24:45 *Tunnelblick: Xóa bộ đệm DNS qua dscacheutil
06:24:45 *Tunnelblick: /usr/sbin/Discoveryutil không có. Không xóa bộ đệm DNS thông qua khám phá
06:24:45 *Tunnelblick: Đã thông báo mDNSR Phản hồi rằng bộ đệm DNS đã bị xóa
06:24:45 *Tunnelblick: Không thông báo cho mDNSResponderHelper rằng bộ đệm DNS đã bị xóa vì nó không chạy
06:24:45 *Tunneblick: Thiết lập giám sát cấu hình hệ thống với các thay đổi mạng-tiến trình
06:24:45 *Tunnelblick: Kết thúc đầu ra từ client.up.tunnelblick.sh
06:24:45 *Tunnelblick: ****************************************** ****
30-04-2022 06:24:45.352811 CẢNH BÁO: cấu hình này có thể lưu mật khẩu vào bộ nhớ cache -- sử dụng tùy chọn auth-nocache để ngăn điều này
30-04-2022 06:24:45.352830 Đã hoàn thành trình tự khởi tạo
2022-04-30 06:24:45.352845 QUẢN LÝ: >BANG:1651292685,CONNECTED,SUCCESS,192.168.255.2,xx.xx.xx.xx,1194,,
2022-04-30 06:24:46.571157 *Tunnelblick: Thiết bị xuất chuẩn thông tin định tuyến:
định tuyến đến: 8.8.4.4
đích: 8.8.4.4
cổng: 192.168.88.1
giao diện: en0
cờ: <UP,GATEWAY,HOST,DONE,WAASCLOND,IFSCOPE,IFREF,GLOBAL>
recvpipe sendpipe ssthresh rtt,msec rttvar hopcount mtu hết hạn
0 0 0 0 0 0 1500 0
tiêu chuẩn:
2022-04-30 06:24:46.593014 *Tunnelblick: Cảnh báo: Địa chỉ máy chủ DNS 8.8.4.4 là một máy chủ DNS công cộng đã biết nhưng không được định tuyến qua VPN
2022-04-30 06:24:46.680197 *Tunnelblick: Thiết bị xuất chuẩn thông tin định tuyến:
định tuyến đến: 8.8.8.8
đích đến: 8.8.8.8
cổng: 192.168.88.1
giao diện: en0
cờ: <UP,GATEWAY,HOST,DONE,WAASCLOND,IFSCOPE,IFREF,GLOBAL>
recvpipe sendpipe ssthresh rtt,msec rttvar hopcount mtu hết hạn
0 0 0 0 0 0 1500 0
tiêu chuẩn:
2022-04-30 06:24:46.705581 *Tunnelblick: Cảnh báo: Địa chỉ máy chủ DNS 8.8.8.8 là một máy chủ DNS công cộng đã biết nhưng không được định tuyến qua VPN
CHỈNH SỬA:
đây là tuyến ip của máy chủ
bash-5.0# tuyến đường ip
mặc định qua 172.17.0.1 dev eth0
10.0.0.0/24 qua 192.168.255.2 nhà phát triển tun0
10.0.1.0/24 qua 192.168.255.2 nhà phát triển tun0
10.0.3.0/24 qua 192.168.255.2 nhà phát triển tun0
172.17.0.0/16 dev eth0 liên kết phạm vi kernel proto src
172.17.0.2 192.168.254.0/24 qua 192.168.255.2 dev tun0 192.168.255.0/24 dev tun0 liên kết phạm vi kernel proto src 192.168.255.1
của khách hàng
172.17/24 192.168.255.2 UGSc utun3
nhật ký trạng thái
bash-5.0# mèo /tmp/openvpn-status.log
DANH SÁCH KHÁCH HÀNG OpenVPN
Cập nhật,CN ngày 1 tháng 5 08:20:48 2022
Tên chung, Địa chỉ thực, Số byte đã nhận, Số byte đã gửi, Đã kết nối từ
at_dev_1,179.115.236.15:34846,23335,23021,CN ngày 1 tháng 5 07:14:26 2022
master,179.115.236.15:64773,9574,9889,CN ngày 1 tháng 5 07:55:44 2022
BẢNG ĐỊNH TUYẾN
Địa chỉ ảo, Tên thường gọi, Địa chỉ thực, Lần giới thiệu cuối cùng
192.168.255.2,master,179.115.236.15:64773,CN ngày 1 tháng 5 07:55:44 2022
10.0.0.1,at_dev_1,179.115.236.15:34846,CN ngày 1 tháng 5 07:14:26 2022
THỐNG KÊ TOÀN CẦU
Độ dài hàng đợi bcast/mcast tối đa,1
CHẤM DỨT
CHỈNH SỬA đây một hình ảnh để hiển thị tình hình
giải thích đồ họa
