VPN経由でトンネリングするときのiptablesのデバッグ

tag-icon tag-icon networking iptables openvpn tunneling
VPN経由でトンネリングするときのiptablesのデバッグ

client一方のSSL VPN(F5、debianノートブックで実行==)を介して別のSSL VPN(OpenVPN、debian linode==で実行)を介してトンネリングしようとしていますが、F5VPNに接続すると、すべてのクライアントネットワークがserver失われます(例:)。pingこれが私のOpenVPN構成のせいか、私のサーバーのファイアウォール/iptablesのせいかはわかりませんが、後者であると疑われます。残念ながら、私はウェブについてよく知らないので、助けてくれて本当にありがとう。

環境モデリング(例:これ)。以前はDebianノートブックで使用できました。クラスタプロバイダによって強制されたF5VPNF5NAP、そのクライアントは「ネットワークアクセス[ブラウザ]プラグイン」です。アクセスポリシーが変更されました(具体的に登録されたIP#が必要です)したがって、これを「直接」することはできません(たとえば、ラップトップでF5VPNを実行するだけです)。私はDebian linodeサーバー/ジャンプボックスを介してクライアント/ノートブックにVPNトンネルを実装し、新しいポリシーに適応し、プロジェクトの作業を再開したいと思います。ここでデザインの詳細を確認してください。しかし、私のデザインはおおよそ次のASCIIアートにまとめることができます。

                     <-MY CONTROL | AGENCY CONTROL->
                                  |                    firewall
+----------+      +-----------+   |   +---------------+   ||   +---------+
| laptop + |      | linode  + |   |   | remote-access |   ||   | cluster |
| F5NAP  + | <--> | OpenVPN   | <-|-> | website +     | <-||-> | node(s) |
| OpenVPN  |      | server  + |   |   | F5VPN server  |   ||   |         |
| client   |      | security  |   |   |               |   ||   |         |
+----------+      +-----------+   |   +---------------+   ||   +---------+

実装の詳細についてはこちらをご覧ください。。 == F5VPNクライアントを参照してくださいF5NAP。 )良いニュースは、次の順序が動作することです。

  1. 私のlinodでOpenVPNサーバーを起動します(別名「サーバー」)
  2. 私のラップトップでOpenVPNクライアントを実行してください、後Whatismyip.com登録されたサーバーのIP#を表示します。
  3. F5VPNクライアントの起動(F5NAPバージョンのFirefox)、ここではまだサーバーのIP#を見ることができます。
  4. F5VPNクライアントを使用して機関のリモートアクセスWebサイトにログインし、F5VPNの制御UI(起動/停止/ログアウトなど)を呼び出します。

悪いニュース(もっとここ)はい、F5VPNを実行してWeb UIにステータス==接続が表示されると、クライアント/ノートブックのIPネットワークが失われます。もともとはちょうどDNS問題だと思いましたが、pingIP#も識別できませんね。例えば、

me@client:~ $ ping -c 4 141.101.120.15 # == www.whatismyip.com
PING 141.101.120.15 (141.101.120.15) 56(84) bytes of data.

--- 141.101.120.15 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3022ms

(ここで唯一の慰めは、ネットワークエラーが原因でトンネルがシャットダウンし、クライアントがネットワークを再取得し、登録されたIP#にもアクセスできるようになったことです。)

最初は、この問題は私のOpenVPNの誤った設定によるものだと思いましたが、今私の設定を調整する必要があるようです。サーバーファイアウォール(例:iptablesDebian 7.8で実行)OpenVPN設定を機能させるには:クライアントコマンドラインデバッグセッションの表示ここ

別の合併症があります。F5VPN排他的であり、(IMHO)F5(サプライヤー)またはクラスタープロバイダー(顧客、別名​​「代理店」)は特にうまくサポートしていません。特に、機関のVPNサーバーIP#を知らない(尋ねたが):私が訪問しているリモートアクセスウェブサイトの名前だけを知っている(DNSがIP#を知らせる:-)。 F5VPNにログインしてください。

ベストアンサー1

おすすめ記事