OpenVPN 訪問伺服器：遠端子網無法訪問客戶端資源

我有在 AWS 上執行的 OpenVPN 訪問伺服器。這是配置：

172.18.16.0/20
客戶端 (172.18.16.101) ----- OpenVPN 伺服器 (172.16.0.0/20)
|
|
|
|
私有子網 (172.16.16.0/20)

客戶端可以連接到 OpenVPN 伺服器。OpenVPN 伺服器可以 ping 並訪問客戶端和私有子網上的資源。客戶端還可以訪問 OpenVPN 伺服器以及私有子網上的所有資源。此外，OpenVPN 伺服器還可以訪問客戶端上的資源。但是，私有子網上的盒子似乎根本無法 ping 或訪問客戶端上的資源。

OpenVPN 伺服器網路配置：

as0t0 連結封裝：UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
inet 地址：172.18.0.1 PtP：172.18.0.1 遮罩：255.255.248.0
UP POINTOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX 數據包：18 錯誤：0 丟棄：0 超限：0 幀：0
TX 數據包：18 錯誤：0 丟棄：0 超限：0 運營商：0
碰撞：0 txqueuelen：200
RX 字節：1223 (1.2 KB) TX 字節：968 (968.0 B)

as0t1 連結封裝：UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
inet 地址：172.18.8.1 PtP：172.18.8.1 遮罩：255.255.248.0
UP POINTOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX 數據包：0 錯誤：0 丟棄：0 超限：0 幀：0
TX 數據包：0 錯誤：0 丟棄：0 超限：0 運營商：0
碰撞：0 txqueuelen：200
RX 字節：0 (0.0 B) TX 字節：0 (0.0 B)

eth0 鏈路封裝：乙太網 HWaddr 06:e2:83:cf:4f:27 
inet 地址：172.16.12.204 廣播：172.16.15.255 遮罩：255.255.240.0
inet6 地址：fe80::4e2:83ff:fecf:4f27/64 範圍：連結
UP BROADCAST RUNNING MULTICAST MTU:9001 Metric:1
RX 數據包：1355 錯誤：0 丟棄：0 超限：0 幀：0
TX 數據包：1193 錯誤：0 丟棄：0 超限：0 運營商：0
碰撞：0 txqueuelen：1000
RX 字節：124194 (124.1 KB) TX 字節：153022 (153.0 KB)

OpenVPN 伺服器的路由表：

核心IP路由表
目標網關 Genmask 標誌 Metric Ref Use Iface
0.0.0.0 172.16.0.1 0.0.0.0 UG 0 0 0 eth0
172.16.0.0 0.0.0.0 255.255.240.0 U 0 0 0 eth0
172.18.0.0 0.0.0.0 255.255.248.0 U 0 0 0 as0t0
172.18.8.0 0.0.0.0 255.255.248.0 U 0 0 0 as0t1
172.18.16.101 0.0.0.0 255.255.255.255 UH 0 0 0 as0t0

私有子網路由表上的一個框：

核心IP路由表
目標網關 Genmask 標誌 Metric Ref Use Iface
0.0.0.0 172.16.16.1 0.0.0.0 UG 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
172.16.16.0 0.0.0.0 255.255.240.0 U 0 0 0 eth0

我在 OpenVPN 伺服器機器的 as0t1 介面上執行 tcpdump，同時從私有子網上的機器 ping 到客戶端。看起來請求已轉發給客戶端，客戶端也發回了響應（見 OpenVPN 框）。但是，它似乎停在那裡，並且響應從未回到 eth0 上。我覺得路由表應該是正確的，因為 OpenVPN 伺服器可以訪問所有內容，客戶端也可以訪問私有子網。我以為問題出在 iptables 上，但花了幾個小時看了之後，我開始放棄了。這是表格：

過濾表

鏈輸入（策略接受）
目標 prot opt 源目標 
AS0_ACCEPT all -- 任何地方的任何地方，狀態為 RELATED,ESTABLISHED
AS0_ACCEPT all——任何地方任何地方 
AS0_IN_PRE all -- 任何地方標記匹配 0x2000000/0x2000000
AS0_ACCEPT udp -- 任何地方狀態新 udp dpt:openvpn
AS0_ACCEPT tcp -- 任何地方狀態 NEW tcp dpt:https
AS0_WEBACCEPT all -- 任何地方的任何地方狀態為 RELATED,ESTABLISHED
AS0_WEBACCEPT tcp -- 任何地方的任何地方狀態 NEW tcp dpt:943

Chain FORWARD（政策接受）
目標 prot opt 源目標 
AS0_ACCEPT all -- 任何地方的任何地方，狀態為 RELATED,ESTABLISHED
AS0_IN_PRE all -- 任何地方標記匹配 0x2000000/0x2000000
AS0_OUT_S2C all——任何地方任何地方 

鏈輸出（策略接受）
目標 prot opt 源目標 
AS0_OUT_LOCAL all -- 任何地方的任何地方 

鏈 AS0_ACCEPT（5 個參考）
目標 prot opt 源目標 
接受所有——任何地方的任何地方 

鏈 AS0_IN（3 個參考）
目標 prot opt 源目標 
接受 icmp -- 任何地方 ip-172-18-0-1.ap-southeast-1.compute.internal icmp echo-r​​equest
接受 icmp -- 任何地方 ip-172-18-8-1.ap-southeast-1.compute.internal icmp echo-r​​equest
AS0_U_TMBDLP_IN all -- ip-172-18-16-101.ap-southeast-1.compute.internal 任何地方 
AS0_IN_POST all——任何地方任何地方 

鏈 AS0_IN_NAT（1 個參考）
目標 prot opt 源目標 
MARK all -- 任何地方 MARK 或 0x8000000
接受所有——任何地方的任何地方 

鏈 AS0_IN_POST（2 個參考）
目標 prot opt 源目標 
接受所有——任何地方 ip-172-16-0-0.ap-southeast-1.compute.internal/16
AS0_OUT all -- 任何地方任何地方 
DROP all - 任何地方的任何地方 

鏈 AS0_IN_PRE（2 個參考）
目標 prot opt 源目標 
AS0_IN all -- 任何地方 ip-192-168-0-0.ap-southeast-1.compute.internal/16
AS0_IN all -- 任何地方 ip-172-16-0-0.ap-southeast-1.compute.internal/12
AS0_IN all -- 任何地方 ip-10-0-0-0.ap-southeast-1.compute.internal/8
DROP all - 任何地方的任何地方 

鏈 AS0_IN_ROUTE（0 個引用）
目標 prot opt 源目標 
MARK all -- 任何地方 MARK 或 0x4000000
接受所有——任何地方的任何地方 

鏈 AS0_OUT（2 個參考）
目標 prot opt 源目標 
AS0_U_TMBDLP_OUT all -- 任何地方 ip-172-18-16-101.ap-southeast-1.compute.internal
AS0_OUT_POST all -- 任何地方的任何地方 

鏈 AS0_OUT_LOCAL（1 個參考）
目標 prot opt 源目標 
DROP icmp -- 任何地方 icmp 重定向
接受所有——任何地方的任何地方 

鏈 AS0_OUT_POST（2 個參考）
目標 prot opt 源目標 
DROP all - 任何地方的任何地方 

鏈 AS0_OUT_S2C（1 個參考）
目標 prot opt 源目標 
AS0_OUT all -- 任何地方任何地方 

鏈 AS0_U_TMBDLP_IN（1 個參考）
目標 prot opt 源目標 
AS0_IN_NAT all -- 任何地方 ip-172-16-0-0.ap-southeast-1.compute.internal/16
AS0_IN_POST all——任何地方任何地方 

鏈 AS0_U_TMBDLP_OUT（1 個參考）
目標 prot opt 源目標 
接受所有 -- ip-172-16-0-0.ap-southeast-1.compute.internal/16 任何地方 
接受所有 -- ip-172-18-0-0.ap-southeast-1.compute.internal/20 任何地方 
接受所有 -- ip-172-18-16-0.ap-southeast-1.compute.internal/20 任何地方 
AS0_OUT_POST all -- 任何地方的任何地方 

鏈 AS0_WEBACCEPT（2 個參考）
目標 prot opt 源目標 
接受所有——任何地方的任何地方

NAT 表

鏈 PREROUTING（政策接受）
目標 prot opt 源目標 
AS0_NAT_PRE_REL_EST all -- 任何地方的任何地方狀態為 RELATED,ESTABLISHED

鏈輸入（策略接受）
目標 prot opt 源目標 

鏈輸出（策略接受）
目標 prot opt 源目標 

鏈 POSTROUTING（策略接受）
目標 prot opt 源目標 
AS0_NAT_POST_REL_EST all -- 任何地方的任何地方狀態為 RELATED,ESTABLISHED
AS0_NAT_PRE all -- 任何地方標記匹配 0x2000000/0x2000000

鏈 AS0_NAT（3 個參考）
目標 prot opt 源目標 
MASQUERADE all - 任何地方任何地方 

鏈 AS0_NAT_POST_REL_EST（1 個參考）
目標 prot opt 源目標 
接受所有——任何地方的任何地方 

鏈 AS0_NAT_PRE（1 個參考）
目標 prot opt 源目標 
AS0_NAT all -- 任何地方標記匹配 0x8000000/0x8000000
AS0_NAT_TEST all -- 任何地方 ip-192-168-0-0.ap-southeast-1.compute.internal/16
AS0_NAT_TEST all -- 任何地方 ip-172-16-0-0.ap-southeast-1.compute.internal/12
AS0_NAT_TEST all -- 任何地方 ip-10-0-0-0.ap-southeast-1.compute.internal/8
AS0_NAT all -- 任何地方的任何地方 

鏈 AS0_NAT_PRE_REL_EST（1 個參考）
目標 prot opt 源目標 
接受所有——任何地方的任何地方 

鏈 AS0_NAT_TEST（3 個參考）
目標 prot opt 源目標 
接受所有——任何地方的任何地方 
ACCEPT all -- 任何地方標記匹配 0x4000000/0x4000000
接受所有 - 任何地方 ip-172-18-0-0.ap-southeast-1.compute.internal/20
接受所有——任何地方 ip-172-18-16-0.ap-southeast-1.compute.internal/20
AS0_NAT all -- 任何地方的任何地方

我幾乎可以肯定問題出在 iptables 規則中，但我似乎無法追踪到它。只是為了一些額外的樂趣，我還將 iptables 跟踪的輸出（在 OpenVPN 盒子上擷取）扔在這裡。

私有子網上的框在客戶端訪問 MySQL 伺服器（失敗）：

8 月 28 日 17:42:33 localhost 核心：[21906.075591] TRACE: raw:PREROUTING:policy:2 IN=as0t1 OUT= MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=2522 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A0265F60F3250188401030308)
8 月 28 日 17:42:33 localhost 核心：[21906.075603] TRACE: mangle:PREROUTING:rule:1 IN=as0t1 OUT= MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=2522 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A0265F60F3250188401030308)
8 月 28 日 17:42:33 本地主機核心：[21906.075608] 跟踪：mangle:AS0_MANGLE_PRE_REL_EST:return:1 IN=as0t1 OUT= MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=2522 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A0265F60F3250188401030308)
8 月 28 日 17:42:33 localhost 核心：[21906.075616] TRACE: mangle:FORWARD:policy:1 IN=as0t1 OUT=eth0 MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL =63 ID=2522 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A0265F60F3250188401030308)
8 月 28 日 17:42:33 localhost 核心：[21906.075620] TRACE: filter:FORWARD:rule:1 IN=as0t1 OUT=eth0 MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL =63 ID=2522 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A0265F60F3250188401030308)
8 月 28 日 17:42:33 localhost 核心：[21906.075625] TRACE: filter:AS0_ACCEPT:return:1 IN=as0t1 OUT=eth0 MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL =63 ID=2522 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A0265F60F3250188401030308)
8 月 28 日 17:42:33 localhost 核心：[21906.075629] TRACE: mangle:POSTROUTING:policy:1 IN= OUT=eth0 SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID =2522 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 視窗=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A0265F60F3250188401030308)
8 月 28 日 17:42:34 localhost 核心：[21907.115440] 跟踪：原始：PREROUTING:policy:2 IN=as0t1 OUT= MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=2523 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A0265F9EE3250188401030308)
8 月 28 日 17:42:34 localhost 核心：[21907.115452] TRACE: mangle:PREROUTING:rule:1 IN=as0t1 OUT= MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=2523 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A0265F9EE3250188401030308)
8 月 28 日 17:42:34 本地主機核心：[21907.115458] 跟踪：mangle:AS0_MANGLE_PRE_REL_EST:return:1 IN=as0t1 OUT= MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=2523 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A0265F9EE3250188401030308)
8 月 28 日 17:42:34 localhost 核心：[21907.115466] TRACE: mangle:FORWARD:policy:1 IN=as0t1 OUT=eth0 MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL =63 ID=2523 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A0265F9EE3250188401030308)
8 月 28 日 17:42:34 localhost 核心：[21907.115470] TRACE: filter:FORWARD:rule:1 IN=as0t1 OUT=eth0 MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL =63 ID=2523 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A0265F9EE3250188401030308)
8 月 28 日 17:42:34 localhost 核心：[21907.115475] TRACE: filter:AS0_ACCEPT:return:1 IN=as0t1 OUT=eth0 MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL =63 ID=2523 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A0265F9EE3250188401030308)
8 月 28 日 17:42:34 localhost 核心：[21907.115480] TRACE: mangle:POSTROUTING:policy:1 IN= OUT=eth0 SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID =2523 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 視窗=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A0265F9EE3250188401030308)
8 月 28 日 17:42:34 localhost 核心：[21907.175467] TRACE：raw:PREROUTING:policy:2 IN=as0t1 OUT= MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=2524 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A0265F9F83250188401030308)
8 月 28 日 17:42:34 localhost 核心：[21907.175474] TRACE: mangle:PREROUTING:rule:1 IN=as0t1 OUT= MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=2524 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A0265F9F83250188401030308)
8 月 28 日 17:42:34 本地主機核心：[21907.175479] 跟踪：mangle:AS0_MANGLE_PRE_REL_EST:return:1 IN=as0t1 OUT= MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=2524 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A0265F9F83250188401030308)
8 月 28 日 17:42:34 localhost 核心：[21907.175486] TRACE: mangle:FORWARD:policy:1 IN=as0t1 OUT=eth0 MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL =63 ID=2524 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A0265F9F83250188401030308)
8 月 28 日 17:42:34 localhost 核心：[21907.175490] TRACE: filter:FORWARD:rule:1 IN=as0t1 OUT=eth0 MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL =63 ID=2524 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A0265F9F83250188401030308)
8 月 28 日 17:42:34 localhost 核心：[21907.175494] TRACE: filter:AS0_ACCEPT:return:1 IN=as0t1 OUT=eth0 MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL =63 ID=2524 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A0265F9F83250188401030308)
8 月 28 日 17:42:34 localhost 核心：[21907.175498] TRACE: mangle:POSTROUTING:policy:1 IN= OUT=eth0 SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID =2524 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 視窗=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A0265F9F83250188401030308)
8 月 28 日 17:42:36 localhost 核心：[21909.077995] 跟踪：原始：PREROUTING:policy:2 IN=as0t1 OUT= MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=2525 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026601C23250188401030308)
8 月 28 日 17:42:36 localhost 核心：[21909.078007] TRACE: mangle:PREROUTING:rule:1 IN=as0t1 OUT= MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=2525 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026601C23250188401030308)
8 月 28 日 17:42:36 本地主機核心：[21909.078012] 跟踪：mangle:AS0_MANGLE_PRE_REL_EST:return:1 IN=as0t1 OUT= MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=2525 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026601C23250188401030308)
8 月 28 日 17:42:36 localhost 核心：[21909.078021] TRACE: mangle:FORWARD:policy:1 IN=as0t1 OUT=eth0 MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL =63 ID=2525 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026601C23250188401030308)
8 月 28 日 17:42:36 localhost 核心：[21909.078025] TRACE: filter:FORWARD:rule:1 IN=as0t1 OUT=eth0 MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL =63 ID=2525 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026601C23250188401030308)
8 月 28 日 17:42:36 localhost 核心：[21909.078030] TRACE: filter:AS0_ACCEPT:return:1 IN=as0t1 OUT=eth0 MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL =63 ID=2525 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026601C23250188401030308)
8 月 28 日 17:42:36 localhost 核心：[21909.078034] TRACE: mangle:POSTROUTING:policy:1 IN= OUT=eth0 SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID =2525 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 視窗=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026601C23250188401030308)
8 月 28 日 17:42:36 localhost 核心：[21909.287922] 跟踪：原始：PREROUTING:policy:2 IN=as0t1 OUT= MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=2526 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026602903250188401030308)
8 月 28 日 17:42:36 localhost 核心：[21909.287932] TRACE: mangle:PREROUTING:rule:1 IN=as0t1 OUT= MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=2526 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026602903250188401030308)
8 月 28 日 17:42:36 localhost 核心：[21909.287937] TRACE: mangle:AS0_MANGLE_PRE_REL_EST:return:1 IN=as0t1 OUT= MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=2526 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026602903250188401030308)
8 月 28 日 17:42:36 localhost 核心：[21909.287945] TRACE: mangle:FORWARD:policy:1 IN=as0t1 OUT=eth0 MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL =63 ID=2526 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026602903250188401030308)
8 月 28 日 17:42:36 localhost 核心：[21909.287949] TRACE: filter:FORWARD:rule:1 IN=as0t1 OUT=eth0 MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL =63 ID=2526 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026602903250188401030308)
8 月 28 日 17:42:36 localhost 核心：[21909.287954] TRACE: filter:AS0_ACCEPT:return:1 IN=as0t1 OUT=eth0 MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL =63 ID=2526 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026602903250188401030308)
8 月 28 日 17:42:36 localhost 核心：[21909.287958] TRACE: mangle:POSTROUTING:policy:1 IN= OUT=eth0 SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID =2526 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 視窗=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026602903250188401030308)
8 月 28 日 17:42:40 localhost 核心：[21913.165296] TRACE：raw:PREROUTING:policy:2 IN=as0t1 OUT= MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=2527 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026611653250188401030308)
8 月 28 日 17:42:40 localhost 核心：[21913.165308] TRACE: mangle:PREROUTING:rule:1 IN=as0t1 OUT= MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=2527 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026611653250188401030308)
8 月 28 日 17:42:40 localhost 核心：[21913.165313] TRACE: mangle:AS0_MANGLE_PRE_REL_EST:return:1 IN=as0t1 OUT= MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=2527 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026611653250188401030308)
8 月 28 日 17:42:40 localhost 核心：[21913.165321] TRACE: mangle:FORWARD:policy:1 IN=as0t1 OUT=eth0 MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL =63 ID=2527 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026611653250188401030308)
8 月 28 日 17:42:40 localhost 核心：[21913.165326] TRACE: filter:FORWARD:rule:1 IN=as0t1 OUT=eth0 MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL =63 ID=2527 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026611653250188401030308)
8 月 28 日 17:42:40 localhost 核心：[21913.165330] TRACE: filter:AS0_ACCEPT:return:1 IN=as0t1 OUT=eth0 MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL =63 ID=2527 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026611653250188401030308)
8 月 28 日 17:42:40 localhost 核心：[21913.165335] TRACE: mangle:POSTROUTING:policy:1 IN= OUT=eth0 SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID =2527 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 視窗=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026611653250188401030308)
8 月 28 日 17:42:40 localhost 核心：[21913.285405] TRACE：raw:PREROUTING:policy:2 IN=as0t1 OUT= MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=2528 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026612303250188401030308)
8 月 28 日 17:42:40 localhost 核心：[21913.285414] TRACE: mangle:PREROUTING:rule:1 IN=as0t1 OUT= MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=2528 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026612303250188401030308)
8 月 28 日 17:42:40 localhost 核心：[21913.285419] TRACE: mangle:AS0_MANGLE_PRE_REL_EST:return:1 IN=as0t1 OUT= MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=2528 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026612303250188401030308)
8 月 28 日 17:42:40 localhost 核心：[21913.285427] TRACE: mangle:FORWARD:policy:1 IN=as0t1 OUT=eth0 MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL =63 ID=2528 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026612303250188401030308)
8 月 28 日 17:42:40 localhost 核心：[21913.285431] TRACE: filter:FORWARD:rule:1 IN=as0t1 OUT=eth0 MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL =63 ID=2528 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026612303250188401030308)
8 月 28 日 17:42:40 localhost 核心：[21913.285435] TRACE: filter:AS0_ACCEPT:return:1 IN=as0t1 OUT=eth0 MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL =63 ID=2528 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026612303250188401030308)
8 月 28 日 17:42:40 localhost 核心：[21913.285440] TRACE: mangle:POSTROUTING:policy:1 IN= OUT=eth0 SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID =2528 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 視窗=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026612303250188401030308)
8 月 28 日 17:42:48 localhost 核心：[21921.097914] 跟踪：原始：PREROUTING:policy:2 IN=as0t1 OUT= MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=2529 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026630B93250188401030308)
8 月 28 日 17:42:48 localhost 核心：[21921.097926] TRACE: mangle:PREROUTING:rule:1 IN=as0t1 OUT= MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=2529 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026630B93250188401030308)
8 月 28 日 17:42:48 localhost 核心：[21921.097931] 跟踪：mangle:AS0_MANGLE_PRE_REL_EST:return:1 IN=as0t1 OUT= MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=2529 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026630B93250188401030308)
8 月 28 日 17:42:48 localhost 核心：[21921.097939] TRACE: mangle:FORWARD:policy:1 IN=as0t1 OUT=eth0 MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL =63 ID=2529 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026630B93250188401030308)
8 月 28 日 17:42:48 localhost 核心：[21921.097943] TRACE: filter:FORWARD:rule:1 IN=as0t1 OUT=eth0 MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL =63 ID=2529 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026630B93250188401030308)
8 月 28 日 17:42:48 localhost 核心：[21921.097948] TRACE: filter:AS0_ACCEPT:return:1 IN=as0t1 OUT=eth0 MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL =63 ID=2529 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026630B93250188401030308)
8 月 28 日 17:42:48 localhost 核心：[21921.097964] TRACE: mangle:POSTROUTING:policy:1 IN= OUT=eth0 SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID =2529 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 視窗=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026630B93250188401030308)
8 月 28 日 17:42:49 localhost 核心：[21921.527746] TRACE: raw:PREROUTING:policy:2 IN=as0t1 OUT= MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=2530 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026632383250188401030308)
8 月 28 日 17:42:49 localhost 核心：[21921.527756] TRACE: mangle:PREROUTING:rule:1 IN=as0t1 OUT= MAC= SRC=172.18.16.101 DST=172.16.22.22 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=2530 PROTO=TCP SPT=3306 DPT=47378 SEQ=4120644767 ACK=110803956 WINDOW=14480 RES=0x00 ACK SYN URGP=0 OPT (020404F40402080A026632383250188401030308)
##### 其餘字元因超出允許的字元數而被剪切#####

轉發配置

$ cat /proc/sys/net/ipv4/ip_forward
1

TL;DR 版本：

1. 在 EC2 儀表板上，選擇執行 OpenVPN 訪問伺服器的 EC2 實例
2. 點擊操作 -> 網路 -> 更改源/目標。檢查 -> 是，禁用

有關更多資訊：禁用源/目標檢查

---

事實證明，我所有的 OpenVPN 和路由設置都是正確的，這是 AWS 特有的問題。在專門為在 AWS 上設置 OpenVPN 進行Google搜尋時，我偶然發現了答案：

將 EC2 VPC 與 OpenVPN 連接所有路由流量都會失去

他發生的事情（引用如下）與我所看到的完全相同。

然而，這是踢球者。在 EC2 OpenVPN 伺服器上執行 tcpdump 會顯示所有流量正常流動：

[root@ip-10-2-0-10 ~]# tcpdump -i eth0 -n host 10.1.0.3
tcpdump：詳細輸出被抑制，使用 -v 或 -vv 進行完整協議解碼
監聽 eth0，連結類型 EN10MB（乙太網），擷取大小 65535 字節
13:46:58.779826 IP 10.2.0.12 > 10.1.0.3：ICMP 回應要求，id 21846，seq 1，長度 64
13:46:58.852756 IP 10.1.0.3 > 10.2.0.12：ICMP echo 回复，id 21846，seq 1，長度 64
13:46:59.787467 IP 10.2.0.12 > 10.1.0.3：ICMP 回應要求，id 21846，seq 2，長度 64
13:46:59.847424 IP 10.1.0.3 > 10.2.0.12：ICMP echo 回复，id 21846，seq 2，長度 64

引用自：https://serverfault.com/questions/717601