サイト間通信を行いたいが、LAN間通信のみに限定したい

322 views
Skip to first unread message

橋本貴史

unread,
May 19, 2019, 10:09:35 PM5/19/19
to OpenVPN Japan Users Group

OpenVPNのマニュアルを見てもよく分からないので、ご質問します。
環境は、以下の通りとなります。


・OpenWRTルーター × 3
拠点A グローバルIP 111.111.111.111 (ダミー)
プライベートIP 192.168.1.0/24
OpenVPN IP 192.168.8.1/24

拠点B グローバルIP 222.222.222.222 (ダミー)
プライベートIP 192.168.2.0/24
OpenVPN IP 192.168.8.2/24

拠点C グローバルIP 333.333.333.333 (ダミー)
プライベートIP 192.168.3.0/24
OpenVPN IP 192.168.8.3/24


要件として、
拠点Aから拠点B、拠点CのプライベートIPにアクセスしたい。
また、拠点B、拠点Cから拠点AのプライベートIPにアクセスしたい。
上記を解決するためにOpenVPNの導入を検証しています。

現在、以下の設定ファイルでとりあえず動作はしています。


拠点A

verb 3 user nobody group nogroup dev tun0 port 1194 proto udp server 192.168.8.0 255.255.255.0 topology subnet client-to-client keepalive 10 120 persist-tun persist-key push "dhcp-option DNS 192.168.8.1" push "dhcp-option DOMAIN lan" push "redirect-gateway def1" push "persist-tun" push "persist-key" fragment 1280 mssfix 1280 link-mtu 1400 <dh> -----BEGIN DH PARAMETERS----- -----END DH PARAMETERS----- </dh> <tls-crypt> -----BEGIN OpenVPN Static key V1----- -----END OpenVPN Static key V1----- </tls-crypt> <ca> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- -----END PRIVATE KEY----- </key>


拠点B,C

verb 3 dev tun nobind client remote 111.111.111.111 1194 udp auth-nocache remote-cert-tls server fragment 1280 mssfix 1280 link-mtu 1400 <tls-crypt> -----BEGIN OpenVPN Static key V1----- -----END OpenVPN Static key V1----- </tls-crypt> <ca> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- -----END PRIVATE KEY----- </key>


上記の設定だと、拠点B、Cからのインターネットアクセスが全て拠点Aを経由してしまい、速度が遅い現象が発生しました。
サーバー設定ファイルで「redirect-gateway def1」を設定しているのが原因かと思いますが、どの様に記述すれば良いかと、iptablesのルーティングの設定方法が分からないです。

拠点のプライベートLAN間通信のみ、OpenVPNで通信させるにはどの様にすれば良いのでしょうか?

山崎 太郎

unread,
May 22, 2019, 10:24:46 PM5/22/19
to openvpn-japa...@googlegroups.com

橋本さま

拠点A(こちらがVPNサーバーだと推察します)の設定ファイルから「push "redirect-gateway def1"」の行をそのまま削除していただくと挙動はどうなるでしょうか?
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/openvpn-japan-users-group/7b6cb03d-f9bb-47c3-bd8e-2817bd8eb2b0%40googlegroups.com <https://groups.google.com/d/msgid/openvpn-japan-users-group/7b6cb03d-f9bb-47c3-bd8e-2817bd8eb2b0%40googlegroups.com?utm_medium=email&utm_source=footer> にアクセスしてください。
> その他のオプションについては https://groups.google.com/d/optout にアクセスしてください。

--
::: Taro Yamazaki [ ta...@plum-systems.co.jp ]
: <Blog> http://yamatamemo.blogspot.jp/
: <LinkedIn> http://www.linkedin.com/in/yamata
-------------------------------------------------------------
: Plum Systems Inc.
: 2-3-11-2F, Kurihira, Asao-ku,
: Kawasaki, Kanagawa
: http://www.plum-systems.co.jp/
Reply all
Reply to author
Forward
0 new messages