Linux

來自客戶端的 OpenVPN 錯誤源地址

  • October 22, 2012

我對 OpenVPN 有一個問題。伺服器上的openvpn日誌文件中有很多drop記錄:

2012 年 10 月 22 日星期一 10:14:41 us=726541 筆記型電腦/ххх:1194 MULTI:來自客戶端的錯誤源地址

$$ 192.168.1.107 $$, 丟包

grep -E "^[a-z]" server.conf  
-----
port 1194  
proto udp
dev tun 
ca data/ca.crt 
cert data/server.crt
key data/server.key 
dh data/dh1024.pem 
tls-server
tls-auth data/ta.key 0
remote-cert-tls client 
cipher AES-256-CBC
tun-mtu 1200
server 10.10.10.0 255.255.255.0 
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
client-to-client
client-config-dir /etc/openvpn/ccd
route 10.10.10.0 255.255.255.0
keepalive 10 120
comp-lzo
persist-key
persist-tun
max-clients 5
status /var/log/status-openvpn.log
log  /var/log/openvpn.log
verb 4
auth-user-pass-verify /etc/openvpn/verify.sh via-file
tmp-dir /tmp
script-security 2
-----

cat ccd/laptop
-----
iroute 10.10.10.0 255.255.255.0
-----

cat client.conf 
-----
remote server ip 1194
client
dev tun
ping 10

comp-lzo
proto udp
tls-client
tls-auth data/ta.key 1
pkcs12 data/vpn.laptop.p12

remote-cert-tls server
#ns-cert-type server
persist-key
persist-tun
cipher AES-256-CBC

verb 3
pull

auth-user-pass /home/user/.openvpn/users.db 
-----

根據“Jan Just Keijser - OpenVPN 2 Cookbook”,問題的根源在於配置選項不正確。看截圖

但是,如您所見,我的配置有這樣的選項。你能幫我解決這個問題嗎?

@week 動詞leverl=6;

client log.
Mon Oct 22 16:06:02 2012 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Oct 22 16:06:02 2012 /sbin/ifconfig tun0 10.10.10.3 pointopoint 10.10.10.5 mtu 1500
Mon Oct 22 16:06:02 2012 /sbin/route add -net xxxx netmask 255.255.255.255 gw 192.168.1.1
Mon Oct 22 16:06:02 2012 /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.10.10.5
Mon Oct 22 16:06:02 2012 /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.10.10.5
Mon Oct 22 16:06:02 2012 Initialization Sequence Completed

貓 ccd/latop

iroute 10.10.10.0 255.255.255.0 ifconfig-push 10.10.10.3 10.10.10.5

您正在指定client-config-dir哪個反過來將控制為連接的客戶端添加的子網路由以及允許通過 tun 介面傳輸數據的子網。您的 CCD 文件指定了一個10.10.10.0/24明顯不包含的 iroute 192.168.1.107,因此具有此源 IP 地址的數據包laptop在接收時被丟棄。

您確定該主機名筆記型電腦,請嘗試將 DEFAULT 配置文件添加到 ccd 目錄。我還會嘗試檢查對 ccd 中的目錄和文件的訪問權限。

引用自:https://serverfault.com/questions/440909