OpenVPN每个客户端为什么占用4个IP?

已于 2024-05-12 22:36:03 修改
阅读量110 收藏
点赞数
分类专栏: Docker 云原生生态圈 MySQL 文章标签: 网络 java linux 数据库 mysql
于 2022-05-10 20:53:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdnzxm/article/details/124701394
版权
云原生生态圈 同时被 3 个专栏收录
29 篇文章 2 订阅
订阅专栏
Docker
10 篇文章 0 订阅
订阅专栏
MySQL
2 篇文章 0 订阅
订阅专栏

背景

对于内部系统的访问,我们也是采用了常见openVPN网络隧道方案实现业务远程访问。最近北京疫情有点严重,响应政府号召居家远程上班,openVPN的使用者也随着内部系统增多变得越来越多。

最近收到公司有人反馈,openVPN刚开始使用还好好的,现在连接状态也是正常的,怎么就打不开系统了呢?

17391aa1af451cc9e0367cd300d69024.png

听反馈说,openVPN客户端连接软件也重启了,电脑也重启了,还是打不开,听着很是诡异,于是远程看了一下openVPN客户端的连接日志如下:

b31c1b00ecc2bc409a948596c9414711.png

看到这些的时候,也是相对纳闷的,我自己用的还好好的啊,于是重新进行了一次连接,发现连接正常,系统也能打开。还以为此时解决了,但是又收到一个相同反馈此问题的,于是就不淡定了,去服务端看了一下日志:

Tue May 10 16:11:41 2022 us=847325 4C:5E:0C:2C:F3:5A/11.1.1.105:57637 MULTI: no free --ifconfig-pool addresses are available
Tue May 10 16:11:41 2022 us=847380 4C:5E:0C:2C:F3:5A/11.1.1.105:57637 MULTI: no dynamic or static remote --ifconfig address is available for 4C:5E:0C:2C:F3:5A/11.1.1.105:57637
Tue May 10 16:11:41 2022 us=847451 4C:5E:0C:2C:F3:5A/11.1.1.105:57637 Connection reset, restarting [0]
Tue May 10 16:11:41 2022 us=847503 4C:5E:0C:2C:F3:5A/11.1.1.105:57637 SIGUSR1[soft,connection-reset] received, client-instance restarting
Tue May 10 16:11:41 2022 RADIUS-PLUGIN: BACKGROUND ACCT: Stop acct: username: 4C:5E:0C:2C:F3:5A, calling station: 11.1.1.105, commonname: 4C:5E:0C:2C:F3:5A.
Tue May 10 16:11:41 2022 RADIUS-PLUGIN: BACKGROUND ACCT: No accounting data was found for 4C:5E:0C:2C:F3:5A,11.1.1.105:57637.
Tue May 10 16:11:41 2022 RADIUS-PLUGIN: BACKGROUND-ACCT: Got accouting data from file, CN: 4C:5E:0C:2C:F3:5A in: 0 out: 0.
Tue May 10 16:11:41 2022 RADIUS-PLUGIN: BACKGROUND-ACCT: Stop packet was sent. CN: 4C:5E:0C:2C:F3:5A.

出现不少类似信息,查了一下说是没有可用的IP地址可以,但是我记的前几天出现问题通过增加了max-clients的数量解决了啊,怎么还不行呢?

# openvpn server.conf
max-clients 300

前几天出现问题时,客户端的截图:

68da64bec81946146cf44234edad0402.png

查了一下发现这个max-clients只是增加了客户端的并发连接,并不能解决问题。经过查询,发现openVPN每个客户端会占用4个IP位(openvpn-status.log)

f78a4728bd41ae8085c5bcec98458095.png

按照这样分配,单个网段连接用户只能有62个,再多就不能正常连接,

原因

那为什么是这样呢?经过一番查询,在官网的FAQ区找到了解释:

a7fd3cb20cbb9cc6c4bbda2f2a16ab7a.png

解决方案

那也就是说可以通过增加网段的方式来解决此类IP地址池不够用的问题,那就可以根据自己客户端使用的数量,计算出合适的掩码位即可:

d9428a43e392ef891dcc66cb874022d3.png

这样应该就足够了,但是在修改服务端掩码的时候,特别需要⚠️注意的就是iptables的变更!具体解决方案:

  1. 计算出合适的掩码/23,修改openVPN服务端配置文件处的server指令

server 10.8.0.0 255.255.254.0

  1. 备份当前环境的iptables规则

iptables-save > /data/backup/iptables-save.2022.05.10

  1. 添加修改掩码后的POSTROUTING

iptables -t nat -A POSTROUTING -s 10.8.0.0/23 -o ens160 -j MASQUERADE

  1. 删除之前掩码的记录

iptables -v -L POSTROUTING -t nat --line-numbers # 获取到记录ID
iptables -t nat -D POSTROUTING 3 #删除记录

  1. 重启openVPN服务端即可

/etc/openvpn/restart.sh

  1. 最后记得修改那些自修复脚本内容,例如systemd脚本或者开启自启文件中有配置服务启动脚本的,注意修改!

历史文章参考

 

云原生生态圈
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
OpenVpn服务端与客户端之间双向访问
小杰玩编程
06-22 2075
当我们搭建OpenVpn服务端后,用OpenVpn客户端连接到服务端后,客户端可以访问服务端的vpn地址(如10.8.0.1),可以访问服务端的内网地址(如192.168.0.28)。服务端可以访问客户端的vpn地址(如10.8.0.6),但是无法访问客户端的内网地址(如192.168.1.10)。本文将在文章的基础上,让服务端可以访问客户端的内网地址,实现不同网段的两台机器无感互通。
vpn的搭建
weixin_63879600的博客
11-30 1609
vsn的搭建
win10openvpn搭建与安卓客户端使用(仅用于内网穿透,不可非法使用)
IT赵云的博客
01-21 1万+
在有公网动态ip,域名,和端口映射的电脑上进行搭建openvpn服务端,安卓作为客户端
这个是window10的客户端安装包
07-19
这个是window10的客户端安装包
openconnect-gui:镜像-图形化OpenConnect客户端(测试阶段)
02-20
OpenConnect GUI 这是openconnect VPN的GUI客户端。 该客户端处于beta测试阶段。 不能假定它提供了所需的安全性。 查看项目网页以获取详细描述,屏幕截图和其他相关项目。支持平台Microsoft Windows 7及更高版本...
vpn 客户端及SVN软件
最新发布
07-31
vpn 客户端及SVN软件用于代码管理、访问控制 适用于Windows
Huawei NGFW BGP-MPLS IP VPN .docx
07-28
Huawei NGFW BGP-MPLS IP VPN基本概念和基本模型,路由发布过程和报文转发过程
一个中心三重防护(安全管理中心).pptx
01-23
工控安全的一个中心三重防护是指以工业控制系统主机为信任中心,在工业控制系统中构建由内到外的多层安全防线,包括计算环境安全、区域边界安全和网络通信安全。 计算环境安全:主要关注工业控制系统的主机安全,...
OpenVPN服务器
想做职场小白吗? 我来教您.......
08-28 1万+
openvpn是一个开源的vpn服务搭建软件。可以使企业出差的员工远程访问到公司局域网中的共享资料。同时VPN服务器和vpn客户端建立连接之前会通过数字证书互相进行身份验证,并对传输的数据进行加密处理。vpn服务器和远程客户端通过使用虚拟网卡tun设备来维持vpn隧道的连接,客户端和服务端的数据都需先经过虚拟网卡tun设备的SSL的加密处理之后,在从tcp或udp的连接上将数据包从物理网卡发送出去。首先远程客户端请求与vpn服务器建立连接、协商建立会话ID。
Open***服务端中自定义用户访问日志
weixin_43822829的博客
11-18 2930
Openvpn服务端中自定义登陆登出操作日志 1.服务端配置文件 默认配置文件路径为: /etc/openvpn/server/server.conf 需要在配置文件末尾追加入以下内容: script-security 2 client-connect /etc/openvpn/server/connect.sh client-disconnect /etc/openvpn/server/dis-connect.sh 附:connect.sh脚本内容 #!/bin/bash day=`date +%F
安装 OpenVPN 客户端
热门推荐
Rory的博客
03-27 4万+
安装 OpenVPN 客户端 yum -y install epel-release yum -y install openvpn ​ 配置客户端 注意:开启openvpn的时候,原先连接的SSH会断掉,并且服务端会分配给你一个局域网IP(具体IP段和服务端配置相关), 可以用这个ip连接. 如何查看局域网的ip: 服务端的配置中会有status 一项,后面会跟着一个用来记录连接状态的文件名, 查看这个文件就可以找到了. 方法一:命令行方式(不推荐) ​ 首先需要把服务端提供的 .ovpn文件上传到
Openvpn 客户端路由配置
joshua317的博客
09-12 2万+
本文为joshua317原创文章,转载请注明:转载自joshua317博客Openvpn 客户端路由配置 - joshua317的博客 Openvpn 客户端路由配置 Openvpn是个非常强大的工具,默认的参数已经足够对付大多数场景了。由于工作需要,我们只想要某些 ipopenvpn的线路,这就需要自定义路由了。 Openvpn 路由 配置 主要由route-nopull、vpn_gateway、net_gateway三个参数决定 route-nopull 当客户端加入这个参数后...
Connection reset原因分析和解决方案
weixin_34384557的博客
09-20 1万+
为什么80%的码农都做不了架构师?>>> ...
Open*** 配置参数详解
weixin_34410662的博客
02-02 2021
# #号和;号开头的都是注释# 设置监听 IP,默认是监听所有 IP#local 116.6.45.23#Open*** 服务器监听端口port 2194# 设置用 TCP 还是 UDP 协议?;proto tcpproto udp# 设置创建 tun 的路由 IP 通道,还是创建 tap 的以太网通道# 路由 IP 容易控制,所以推荐使用它;但如果如 IPX 等必须# 使用...
openVPN生成客户端ca证书
05-25
要为 OpenVPN 生成客户端 CA 证书,您可以按照以下步骤操作: 1. 首先,在服务器上创建一个新的证书颁发机构(CA)。这可以通过以下命令完成: ``` cd /etc/openvpn/easy-rsa/ ./easyrsa init-pki ./easyrsa build-ca ``` 2. 接下来,生成一个客户端证书签名请求(CSR): ``` ./easyrsa gen-req client1 nopass ``` 3. 签名客户端证书签名请求: ``` ./easyrsa sign-req client client1 ``` 4. 将生成的证书和密钥文件复制到客户端计算机上。这些文件位于以下位置: ``` /etc/openvpn/easy-rsa/pki/ca.crt /etc/openvpn/easy-rsa/pki/issued/client1.crt /etc/openvpn/easy-rsa/pki/private/client1.key ``` 5. 在客户端上配置 OpenVPN 连接。在 OpenVPN 配置文件中,添加以下条目: ``` client dev tun proto udp remote [server-ip-address] [port] resolv-retry infinite nobind persist-key persist-tun ca /path/to/ca.crt cert /path/to/client1.crt key /path/to/client1.key ``` 6. 保存并关闭文件,然后启动 OpenVPN 连接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云原生生态圈

你的鼓励是我创作的动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值