解决openVPN的递归路问题还是要从服务器端下手

最新推荐文章于 2024-06-22 18:18:14 发布
最新推荐文章于 2024-06-22 18:18:14 发布
阅读量567 收藏 10
点赞数 4
文章标签: php git github 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gtj0617/article/details/139232846
版权

03145ad43b176995ac6aca3d9fd28984.gif

正文共:1111 字 8 图,预估阅读时间:1 分钟

在上篇文章中以openVPN为例,介绍一下VPN网络中的递归路由问题,我们介绍了递归路由问题出现的原因以及解决方案。但是到最后我们发现,小伙伴在公网上配置的服务器和我在内网搭建的服务器配置还是存在差异,我自己的服务器就下发了到openVPN服务器的明细路由,规避了递归路由的问题出现。

5d10109620218317684118d3817768dd.png

然后我分析了一下两者的服务器配置文件,发现确实存在差异。

首先是我本地服务器server.conf的配置。

local 0.0.0.0
proto tcp
port 44331
dev tun
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/tietou.crt
key /etc/openvpn/server/tietou.key
dh /etc/openvpn/server/dh.pem
topology subnet
server 10.153.113.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/ipp.txt
push "route 192.168.10.0 255.255.255.0"
push "redirect-gateway def1 bypass-dhcp"
duplicate-cn
keepalive 20 120
persist-key
persist-tun

整体上还是比较规范的,下发了192.168.10.0/24的业务网段,但是没有下发默认路由。

然后是公网服务器server.conf的配置。

local 0.0.0.0
proto tcp
port 44331
dev tun
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/ctyuns.crt
key /etc/openvpn/server/ctyuns.key
dh /etc/openvpn/server/dh.pem
topology subnet
server 10.153.2.0 255.255.255.0
push "route 0.0.0.0 128.0.0.0"
push "route 128.0.0.0 128.0.0.0"
push "dhcp-option DNS 8.8.8.8"
duplicate-cn
keepalive 20 120
persist-key
persist-tun

对比下来,无外乎就3类配置不一样。

一是我本地的服务器配置了客户端IP地址记录文件。

ifconfig-pool-persist /etc/openvpn/ipp.txt

实际上这条配置也没真正用起来,所以不是这条配置的问题。

二是公网服务器中推送了DNS。

push "dhcp-option DNS 8.8.8.8"

实际上,这条配置只是为客户端推送了DNS服务器的配置,正常应该也不是这个问题,我们等下也测试一下。

三是服务器推送的路由信息。

这一点相对就比较明显了,公网服务器中推送的是两条可以替代默认路由的明细路由。

push "route 0.0.0.0 128.0.0.0"
push "route 128.0.0.0 128.0.0.0"

也正是这两条路由,导致了递归路由问题的出现。

而我本地的服务器,推送的是业务网段192.168.10.0/24和替代默认路由。

push "route 192.168.10.0 255.255.255.0"
push "redirect-gateway def1 bypass-dhcp"

下面这条命令我们之前介绍过openVPN服务器配置的31个关键点,如果配置此命令,将配置所有客户端的默认网关到VPN中,会导致所有IP流量(如Web浏览和DNS查找等流量)经openVPN服务器网关转发。这一条命令的嫌疑最大。

接下来,我们验证看一下。

首先,我们将本地服务器的服务器配置server.conf替换成公网服务器的,之后重启openVPN服务。

d97b766a03370afea6a47406ac578853.png

然后使用客户端连接测试一下。

6bb27a51d9ec99a7691cfe21f59eda4e.png

果然就复现了递归路由的问题,看来配置文件肯定是出问题了。

接下来,我们先配置上记录客户端IP地址的文件。

ifconfig-pool-persist /etc/openvpn/ipp.txt

重启服务,再重新测试一下。

b659b9567d357fa8cae15649a9636900.png

问题依旧,证明跟这条配置没有关系。

然后,我们把推送DNS服务器的配置删掉。

push "dhcp-option DNS 8.8.8.8"

重启服务,再重新测试一下。

eba0cb7d4b6f13ab589c474f498ea145.png

我们可以发现,下发的配置中已经没有DNS服务器的相关配置了,但是问题依旧。可以证明跟这条配置也没有关系。

最后就是配置下发默认路由的配置了,我们在保留两条明细路由的同时新增下面这条配置:

push "redirect-gateway def1 bypass-dhcp"

重启服务,再重新测试一下。

1d5c80c7e757e49dcead08b770576975.png

可以看到,这次没有再出现递归路由的问题,但是出现了新的报错,感觉像是下发明细路由下发了两边,我们看一下系统路由表。

777344a124911ec530ca492a39b8605b.png

可以看到,有一条单独的指向服务器主机的明细路由,也正是这条路由,规避了递归路由问题的出现。

现在基本上找到问题了,接下来就是看一下自动配置下发默认路由的配置和手工配置默认路由的配置有什么区别。

接下来,我们在服务器配置文件中移除手工配置默认路由的命令。

push "route 0.0.0.0 128.0.0.0"
push "route 128.0.0.0 128.0.0.0"

重启服务,再重新测试一下。

c5a1ebd2b08557bc638e5ce67cbc7957.png

可以看到,openVPN也是用两条明细路由代替的默认路由,所以手工再配置下发时会出现报错。

现在看来,下发默认路由时,还是使用系统命令好一些,不要再手工配置了,毕竟获取网关地址、添加服务器明细路由这个配置手工配置来还是挺麻烦的。

最后公布一下调整后的配置。

cat /etc/openvpn/server.conf
local 0.0.0.0
proto tcp
port 44331
dev tun
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/tietou.crt
key /etc/openvpn/server/tietou.key
dh /etc/openvpn/server/dh.pem
topology subnet
server 10.153.113.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/ipp.txt
push "route 192.168.10.0 255.255.255.0"
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
duplicate-cn
keepalive 20 120
persist-key
persist-tun

解铃还须系铃人,问题解决。

e39ac4827de176819d382fc1c569251a.gif

长按二维码
关注我们吧

6f41911d6912857f8ef7daa44aa18c7d.jpeg

77ff449e59b59a5e85607d4b7b6ea23b.png

以openVPN为例,介绍一下VPN网络中的递归路由问题

配置优化:将openVPN的配置文件合4为1

通过Nginx做一个openVPN配置文件下载页面

openVPN客户端连接指南

Ubuntu系统如何连接或断开openVPN

在SD-WAN网络中应用OpenVPN,chatGPT是这样想的

基于CentOS部署SmartDNS

chatGPT又火了,用openAI写文章到底靠不靠谱?

通过SNMP统计网络资产

DDNS配置详解

DDNS如何应用到SD-WAN网络中?

家庭宽带的公网IPv4地址到底封了多少端口?

Danileaf_Guo
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
OpenVPN Connect使用连接公网VPN服务器实现内网穿透
11-20 3111
两个内网主机通过公网VPN穿透。
OpenVPN部署
glisten0317的博客
05-10 5010
安装epel仓库安装easy-RSA安装openvpn服务端如果在线无法安装,可以通过离线文件进行安装。
OpenVpn服务端与客户端之间双向访问
最新发布
小杰玩编程
06-22 2664
当我们搭建OpenVpn服务端后,用OpenVpn客户端连接到服务端后,客户端可以访问服务端的vpn地址(如10.8.0.1),可以访问服务端的内网地址(如192.168.0.28)。服务端可以访问客户端的vpn地址(如10.8.0.6),但是无法访问客户端的内网地址(如192.168.1.10)。本文将在文章的基础上,让服务端可以访问客户端的内网地址,实现不同网段的两台机器无感互通。
OpenVPN实现安全的内网互通
萱蘇先生
03-25 4676
openvpn--好用的内网互通工具
OpenVPN 介绍
Toasten
02-19 6440
verb 3 // 设置日志级别,0-9,级别越高记录的内容越详细,0 表示静默运行,只记录致命错误,4 表示合理的常规用法,5 和 6 可以帮助调试连接错误。这种连接通常是由专业的网络提供商提供和管理的,提供更高的带宽和稳定性。./easyrsa import-req "${CLIENT_PATH}/pki/reqs/${NAME}.req" "${NAME}" || { log "导入证书请求失败";
VPN的搭建与使用--CentOS7.9(OpenVpn环境配置)
songjiawang
04-24 2万+
vpn测试环境搭建,可用于IT工作者学习使用
openvpn的server端配置文件注释解析
victorwongms90的博客
04-25 4982
默认情况下,日志消息将写入syslog(在Windows系统中,如果以服务方式运行,日志消息将写入OpenVPN安装目录的log文件夹中)# 如果是以太网桥接模式,并且提前创建了一个名为"tap0"的与以太网接口进行桥接的虚拟接口,则你可以使用"dev tap0"# 最后,必须指定子网的一个IP范围(例如从10.8.0.50开始,到10.8.0.100结束),以便于分配给连接的客户端。# (1)运行多个OpenVPN守护进程,每个进程对应一个群组,并为每个进程(群组)启用适当的防火墙规则。
公司内网openvpn部署,
热门推荐
yang558855的博客
04-07 3万+
公司内网openvpn部署 准备环境 编号 服务器名称 网卡名称 网卡 定位 1号虚拟机 lan1 ens33 lan:10.2.2.1 内网主机 2号虚拟机 lan2 ens33 lan:10.2.2.2 ...
通过openVPN,实现安全内网穿透
qq_16005627的博客
11-30 7703
openVPN 为开源服务,虚拟,是提供给企业之间或者个人与公司之间的隧道,跨平台,支持linux\window\macos\和,值得学习使用。ubuntu环境下安装完成后生成了目录。
Vyos OpenVPN (SSL TLS+User Auth) 本地PAM认证 SSLVPN服务器搭建
taylorgogo
06-01 1385
Vyos 基于OpenVPN的 多客户端拨入 PAM本地用户认证 SSLVPN
解决openVPN连接时数据被拦截
qq_59552678的博客
11-02 1824
当你使用openVPN连接一台服务器时,数据在公网上会被拦截。这时就可以使用本文的方法。本文需要两台服务器,并且两台服务器的私网打通。
Centos7 搭建openVPN
三人行,必有我师焉。
03-23 1224
CentOS 搭建openVPN时需要一台有公网IP的服务器。openVPN 是一个基于SSL/TLS的虚拟专用网络(VPN),它允许你创建一个安全的连接,通过它你可以将你的网络流量封装并加密,从而在公网上进行传输。
VPN的介绍及自建点对点的OpenVPN和使用方法:保姆级详细教程,(windou客户端版)后附脚本
m0_58833554的博客
02-23 1万+
VPN的基本知识介绍及自建VPN使用方法
openvpn搭建
qq_46615386的博客
06-12 7167
该文档是本人在搭建过程中,多次踩坑,以及阅读无数文章总结出的最完整的openvpn搭建过程,根据该教程可避免搭建过程中各种奇奇怪怪的报错。
openeuler搭建虚拟专用网络
qq_41816198的博客
04-29 998
VPN可以在不改变现有网络结构的情况下,建立虚拟专用连接。因其具有廉价、专用和虚拟等多种优势,在现网中应用非常广泛。VPN即虚拟专用网,用于在公用网络上构建私人专用虚拟网络,并在此虚拟网络中传输私网流量。VPN把现有的物理网络分解成逻辑上隔离的网络,在不改变网络现状的情况下实现安全、可靠的连接。专用(Private):VPN网络是专门供VPN用户使用的网络,对于VPN用户,使用VPN与使用传统专网没有区别。VPN能够提供足够的安全保证,确保VPN内部信息不受外部侵扰。
openvpn搭建访问由器摄像头
coderYJ的博客
06-21 1025
openvpn搭建技术博客。
win10openvpn搭建与安卓客户端使用(仅用于内网穿透,不可非法使用)
IT赵云的博客
01-21 1万+
在有公网动态ip,域名,和端口映射的电脑上进行搭建openvpn服务端,安卓作为客户端
OpenVPN服务器怎么搭建
06-07
要搭建OpenVPN服务器,可以按照以下步骤操作: 1. 选择合适的服务器操作系统。OpenVPN可以在Windows、Linux、FreeBSD等多种操作系统上运行,选择适合自己的操作系统。 2. 安装OpenVPN软件。可以从OpenVPN官方网站下载OpenVPN软件包进行安装。 3. 生成证书和密钥。OpenVPN使用证书和密钥进行加密通信,需要生成证书和密钥。可以使用EasyRSA工具生成证书和密钥。 4. 配置OpenVPN服务器。在OpenVPN服务器上创建一个OpenVPN配置文件,包括IP地址、端口号、证书和密钥等信息。可以使用OpenVPN的配置生成工具或者手动创建配置文件。 5. 配置网络。在OpenVPN服务器上配置网络,确保OpenVPN服务器和客户端可以互相通信。 6. 启动OpenVPN服务器。在完成上述步骤后,启动OpenVPN服务器即可。 需要注意的是,OpenVPN服务器的搭建需要一定的技术水平,需要确保网络配置正确和安全。另外,OpenVPN的加密通信速度较慢,需要根据实际情况选择合适的加密算法和连接方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值