这是一个创建于 1649 天前的主题,其中的信息可能已经有所发展或是发生改变。
事情是这样的,我这里的 vpn 有个奇怪的 bug 会导致我电脑上 dns 失效。为了避免这种情况发生,我就开了个 ubuntu 的虚拟机做专门的 vpn,然后在路由器里配置了转发表,想让访问 vpn 的流量转发到 vpn 虚拟机。
现在的情况是,vpn 配置好了,虚拟机内可以访问 vpn 网络的资源,但是从路由器上转发到虚拟机的请求却不能访问 vpn 网络的资源。
已配置好的部分:
(VPN 虚拟机)
sysctl 的 net.ipv4.ip_forward = 1
iptables FORWARD 和 INPUT 链都设为了 Accept
机器 ip 192.168.1.88
ping 172.16.x.x 的服务器是正常的。
(路由器)
172.16.0.0/16 转发 192.168.1.88
172.25.0.0/16 转发 192.168.1.88
现在客户端上 tracert 到 172.16.x.x 地址的话是显示
C:\>tracert -d 172.16.x.x
通过最多 30 个跃点跟踪到 172.16.x.x 的路由
1 <1 毫秒 <1 毫秒 <1 毫秒 192.168.1.1
2 <1 毫秒 <1 毫秒 <1 毫秒 192.168.1.88
3 * * * 请求超时。
请问我是忘了配置啥东西?(或者 iptables 配错了也有可能……)
现在的情况是,vpn 配置好了,虚拟机内可以访问 vpn 网络的资源,但是从路由器上转发到虚拟机的请求却不能访问 vpn 网络的资源。
已配置好的部分:
(VPN 虚拟机)
sysctl 的 net.ipv4.ip_forward = 1
iptables FORWARD 和 INPUT 链都设为了 Accept
机器 ip 192.168.1.88
ping 172.16.x.x 的服务器是正常的。
(路由器)
172.16.0.0/16 转发 192.168.1.88
172.25.0.0/16 转发 192.168.1.88
现在客户端上 tracert 到 172.16.x.x 地址的话是显示
C:\>tracert -d 172.16.x.x
通过最多 30 个跃点跟踪到 172.16.x.x 的路由
1 <1 毫秒 <1 毫秒 <1 毫秒 192.168.1.1
2 <1 毫秒 <1 毫秒 <1 毫秒 192.168.1.88
3 * * * 请求超时。
请问我是忘了配置啥东西?(或者 iptables 配错了也有可能……)
18 条回复 2021-06-23 17:33:23 +08:00
 | 1 snuglove 2021-06-23 08:06:42 +08:00 via Android 所以你应该贴出你的这条防火墙配置 |
 | 2 mingl0280 OP @snuglove Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 192.168.0.0/16 anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination |
 | 3 0gys 2021-06-23 08:32:14 +08:00 via iPhone 1.88 的路由贴出来 |
 | 4 archean 2021-06-23 08:33:12 +08:00 是不是应该配个 MASQUERADE,不然包怎么回来 |
 | 5 ysc3839 2021-06-23 08:57:47 +08:00 via Android 只是为了路由转发的话建议使用 OpenWrt,因为相关配置基本是开箱即用的。 |
 | 6 chenset 2021-06-23 09:11:52 +08:00 看下是不是缺这个 ``` iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ``` |
| 7 mingl0280 OP @ysc3839 openvpn 那我就得找厂商要单独的 vpn 软件安装包了,基本上算做梦 |
 | 8 Jirajine 2021-06-23 10:04:50 +08:00 via Android 别忘了回程路由,图省事 masquerade 一下也行。 |
 | 9 no1xsyzy 2021-06-23 10:16:07 +08:00 你 ...88 的 Network Manager 是什么? https://wiki.archlinux.org/title/Network_configuration#Network_managers networkd 需要单独配置一下 |
 | 15 raysonx 2021-06-23 10:47:59 +08:00 via iPad 路由器和虚拟机的 rp_filter 关掉了吗?路由器到到虚拟机是否有 NAT ?虚拟机到 vpn 的虚拟接口是否有 NAT ? 如果远程的 vpn 服务器没有到你本地 192.168.1.0/24 网段的静态路由,你需要在虚拟机上设置到 vpn 虚拟接口的 NAT 类似 iptables -t nat -A POSTROUTING -o vpn 接口 -j MASQUERADE |
| 16 ysc3839 2021-06-23 11:12:34 +08:00 @mingl0280 依赖某些库的话确实不好办,不过还可以考虑使用 Docker 。没记错的话 Docker 有个选项是使用系统网络接口,也许是可以用的。 |
Select Language