这次是IDC一台虚拟机搭建的一个openVPN便于从家里可以访问数据中心
虚拟机内网ip:10.230.248.141,对应的外网ip:119.254.64.135
可以连接IDC的服务器,就是访问不了百度,上不了网
安装过程不再多说
服务器端配置文件:
[root@localhost openvpn]# pwd
/etc/openvpn
[root@localhost openvpn]# cat /etc/resolv.conf
nameserver 10.230.248.70
nameserver 10.230.248.125
[root@localhost openvpn]# cat server.conf
port 1194
proto tcp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
server 172.0.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 10.230.248.125"
push "dhcp-option DNS 10.230.248.70"
;push "dhcp-option DNS 114.114.114.114"
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
client-to-client
duplicate-cn
log /var/log/openvpn.log
一开始怀疑是不是谁改了iptables规则,于是就重新清洗再配置防火墙路线
查看规则:
iptables -L -n -t nat
清理规则
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -F
iptables -X
iptables -Z
允许openvpn的端口连接
iptables -A INPUT -p tcp --dport 1194 -j ACCEPT
配置openvpn的nat功能,将所有172.0.0.0网段的包转发到eth0口
iptables -t nat -A POSTROUTING -s 172.0.0.0/24 -o eth0 -j MASQUERADE
添加FORWARD白名单
iptables -A FORWARD -i tun+ -j ACCEPT
允许虚拟网段的所有连接
iptables -A INPUT -s 172.0.0.0/24 -j ACCEPT
保持已经建立的连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
开启内核转发功能
sed -i 's/net.ipv4.ip_forward = 0/net.ipv4.ip_forward = 1/g' /etc/sysctl.conf
sysctl -p
重启
service iptables save
service iptables restart
客户端配置文件:
client
dev tun
proto udpremote 119.254.64.135 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert rfd.crt
key rfd.key
ns-cert-type server
comp-lzo
verb 3
最后发现其实就是网络管理员把外网关了,把外网打开就好了,哈哈哈,闹乌龙...