VPN을 통해 연결하는 격리된 네트워크에 Linux 상자가 있습니다. VPN을 사용하면 VPN 서버가 192.168.251.x와 같은 가상 IP를 할당합니다.
VPN을 사용할 때 문제 없이 RDP를 통해 Windows 상자에 연결할 수 있다는 것을 알았습니다. Ping, http, rdp 등이 모두 작동합니다. 그러나 Linux 상자에는 즉시 액세스할 수 없습니다. 실제로 Linux 시스템에 SSH를 통해 연결하기 전에 격리된 네트워크의 컴퓨터에 RDP를 수행해야 했습니다.
이는 Linux 상자가 이미 로컬 서브넷에 있는 장치의 트래픽만 허용하며 외부 장치가 시작되는 가상 VPN 서브넷의 트래픽을 허용하도록 지시해야 함을 알려줍니다.
나는 이 규칙을 시도해 보았습니다.
sudo iptables -A INPUT -p tcp -s 192.168.251.0/24 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
그 중 192.168.251.0/24가 가상 VPN 서브넷입니다. 하지만 여전히 연결된 호스트에서 Linux 시스템을 ping할 수 없습니다. 그래서 잘못된 규칙을 추가했거나 잘못 추가했습니다. 어떤 팁이나 지침이 있나요?
user@HOST:~> uname -a
Linux HOST 3.0.51-0.7.9-default #1 SMP Thu Nov 29 22:12:17 UTC 2012 (f3be9d0) x86_64 x86_64 x86_64 GNU/Linux
user@HOST:~> cat /proc/version Linux
version 3.0.51-0.7.9-default (geeko@buildhost) (gcc version 4.3.4 [gcc-4_3-branch revision 152973] (SUSE Linux) ) #1 SMP Thu Nov 29 22:12:17 UTC 2012 (f3be9d0)
잘못된 규칙을 추가했거나 누락된 규칙이 있습니까?
편집하다:
내 현재 iptables:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 192.168.251.0/24 anywhere ctstate NEW,ESTABLISHED
또한 icmp 및 http/s 트래픽의 패킷 캡처에는 VPN 클라이언트에서 Linux 컴퓨터로의 트래픽이 표시되지만 Linux 컴퓨터에서 반환되는 트래픽은 표시되지 않습니다. "잘못된 XXX" 같은 답변도 없습니다. 내 기억이 정확하다면 이는 트래픽이 감소하고 있음을 나타냅니다.
편집하다:
user@HOST:~> ip route sh
127.0.0.0/8 dev lo scope link
169.254.0.0/16 dev eth0 scope link
192.168.20.0/24 dev eth0 proto kernel scope link src 192.168.20.219
user@HOST:~> sudo iptables --list
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere 192.168.251.0/24 ctstate ESTABLISHED
편집하다:
내 솔루션은 다음을 실행하는 것입니다.
sudo ip route add default via 192.168.20.1
그런 다음 VPN을 통해 상자에 직접 핑 및 텔넷을 보낼 수 있습니다.
답변1
Linux 상자는 VPN 네트워크로 돌아가는 유효한 경로가 없기 때문에 반환 패킷을 삭제합니다.
게이트웨이가 에 있다고 가정하면 192.168.20.1이를 Linux 시스템의 기본 경로로 추가하면 문제가 해결될 수 있습니다.
ip route add default via 192.168.20.1