网络结构图如下:
情况说明:
1、OPEN-V-PN服务器使用centos搭建,有公网IP,虚拟IP为:10.8.0.1
2、OPEN-V-PN客户端1使用K2 openwrt搭建,通过LAN口连接在网关下,禁用了WAN口,虚拟IP:10.8.0.2,在网关1做了静态路由,访问10.100.1.0/24通过192.168.1.2;
3、OPEN-V-PN客户端2使用centos搭建,无公网IP,虚拟IP:10.8.0.3,在网关2做了静态路由,访问192.168.1.0/24通过10.100.1.2;
现状:
1、OPEN-V-PN客户端1、客户端2都可以与OPEN-V-PN服务器连接上,10.8.0.1/2/3互ping都通;
2、PC1:192.168.1.3能访问10.100.1.0/24所有的机器;
3、已经将K2 openwrt里的IP转发功能打开,即net.ipv4.ip_forward = 1,并在iptables规则里做了地址伪装,规则如下:
iptables -I FORWARD -obr-lan -j ACCEPT #允许br-lan端口流量被转发
iptables -I FORWARD -o tun0 -j ACCEPT #允许tun0端口流量被转发
iptables -t nat -I POSTROUTING -o tun0 -j MASQUERADE #tun0出口的流量SNAT出去
4、PC2:10.100.1.3只能ping通192.168.1.2和10.8.0.2,ping不通192.168.1.0/24里的其它机器;
5、如果将K2替换为centos搭建的OPEN-V-PN客户端,则PC2:10.100.1.3可以能访问192.168.1.0/24所有的机器;
百思不得其解,请各位大神指点一二,非常感谢!
请不要胡乱输入以及粘贴、复制等方式灌水
请尊重作者、并共同维护网站的正常阅读,否则账户将会被限制发帖、回帖,站内短信以及阅读权限等都会受到影响,谢谢。
具体限制方式:https://www.right.com.cn/forum/thread-8307840-1-1.html
|