înregistrare Logare
Puncte:0
avatar Server

Nginx vede clientul Linux OpenVPN cu adresa IP publică, în timp ce clientul Android este văzut cu adresa IP VPN privată

drapel tr
Yiannis128

Am configurat următorul server virtual în conf. NGINX:

Server {
   asculta 80;
   asculta [::]:80;   
   nume_server ip.myserver.com; 
   Locație / {
     default_type text/plain;
     returnează 200 „$adresă_la distanță\n”;
   }
}

Ideea este că mai am câteva servere virtuale pe care vreau să le accesez numai folosind conexiunea OpenVPN care se află pe aceeași mașină. Folosind acest site de testare, ar trebui să afișeze adresa IP privată (sau publică dacă nu este conectat la VPN).

Telefonul meu Android funcționează perfect:

În timpul conectării la site fără conexiune VPN, afișează următoarele: 192.0.2.222. (Are o altă adresă în realitate, desigur.)

Când vă conectați la site folosind conexiunea VPN, se afișează următoarele 10.8.0.3, acesta este rezultatul corect, deoarece arată că dispozitivul utilizează conexiunea VPN și, deoarece serviciul VPN și serverul Nginx sunt pe aceeași mașină, Nginx vede IP-ul privat al VPN-ului.

Când fac acest lucru pe computerul meu Linux, afișează adresa IP publică a mașinii Linux atunci când se conectează la server fără o conexiune VPN, iar când se conectează cu o conexiune VPN, afișează adresa IP publică a serverului, ceea ce nu este ceea ce mă așteptam.

Bănuiesc că este ceva în neregulă cu modul în care OpenVPN este configurat pe laptopul meu Linux, deoarece telefonul Android funcționează bine.

Configurare server OpenVPN:

portul 1194
proto udp6
dev tun
utilizator nimeni
grup fără grup
cheie-persiste
persist-tun
menține în viață 10 120
subrețea topologică
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
apăsați „dhcp-option DNS 94.140.14.14”
apăsați „dhcp-option DNS 94.140.15.15”
push "redirect-gateway def1 bypass-dhcp"
server-ipv6 fd42:42:42:42::/112
tun-ipv6
push tun-ipv6
apăsați „route-ipv6 2000::/3”
push „redirect-gateway ipv6”
dh nici unul
curba ecdh prime256v1
tls-crypt /etc/openvpn/tls-crypt.key
crl-verify /etc/openvpn/crl.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server_key.crt
cheie /etc/openvpn/server_key.key
auth SHA256
cifrul AES-128-GCM
ncp-cifre AES-128-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
client-config-dir /etc/openvpn/ccd
stare /var/log/openvpn/status.log
verbul 4

Fișier client OpenVPN (fără chei):

client
proto udp
explicit-exit-notificare
la distanță 192.0.2.222 1194 # S-a schimbat pentru afișare.
dev tun
rezoluție-reîncercare infinit
nobind
cheie-persiste
persist-tun
server remote-cert-tls
verify-x509-name server_key name # Am schimbat acest lucru deoarece nu sunt sigur dacă informații private
auth SHA256
auth-nocache
cifrul AES-128-GCM
tls-client
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
ignore-unknown-option block-outside-dns
setenv opt block-outside-dns # Preveniți scurgerile DNS din Windows 10
verbul 3
45
0 + 0
Nikita Kipriyanov avatar
drapel za
Nikita Kipriyanov
De fapt, nu avem nevoie de configurația dvs. Nginx, ci de cele OpenVPN. Vă rugăm, [atașați](https://serverfault.com/posts/1102361/edit) la întrebare. De asemenea, observați că, dacă mascați adresa IP publică, nu folosiți niciuna aleatoare, ci alegeți una din [RFC5737](https://www.rfc-editor.org/rfc/rfc5737.html)
0
Răspunde
drapel tr
Yiannis128
Aș presupune că configurațiile mele OpenVPN ar fi în regulă și că vina ar fi laptopul meu Linux, dar le voi posta pentru claritate. Vă rugăm să vedeți descrierea modificată...
0
Răspunde
Nikita Kipriyanov avatar
drapel za
Nikita Kipriyanov
Bănuiesc că diferiți clienți procesează diferit opțiunile *push*-ed dual `redirect-gateway`. De exemplu, a doua opțiune o poate înlocui pe prima sau nu. Nu ai încerca să le combini într-o singură opțiune? De asemenea, dacă este posibil, atașați `ip route` de la clientul Linux conectat imediat după ce VPN-ul a fost conectat.
0
Răspunde
drapel tr
Yiannis128
Cum ar trebui să-l modific pentru a include totul într-o singură declarație push? Îmi cer scuze pentru lipsa de cunoștințe în acest sens.
0
Răspunde
Nikita Kipriyanov avatar
drapel za
Nikita Kipriyanov
Adică, în loc de două `push "redirect-gateway ..."`, folosiți doar un `push "redirect-gateway def1 bypass-dhcp ipv6"`.
0
Răspunde
drapel tr
Yiannis128
Iată ce arată IP ROUTE: `0.0.0.0/1 prin 10.8.0.1 dev tun0 implicit prin 198.51.100.1 dev wlo1 proto dhcp src 10.51.205.131 metric 600 10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.2 10.51.192.0/20 dev wlo1 proto kernel scope link src 10.51.205.131 metric 600 128.0.0.0/1 prin 10.8.0.1 dev tun0 198.51.100.0/24 dev virbr0 proto kernel scope link src 198.51.100.122 linkdown 198.51.100.32 prin 198.51.100.1dev wlo1 ` Am schimbat adresa IP pentru confidențialitate :)
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.