將 OpenVPN 伺服器架在主 AP 之下的 AP 上結果客戶端連上後無法上網的問題

DIXES
個人積分：147分
文章編號：47509861

147分

樓主

2013-12-02 13:10

兩台 RT-N12 初代（下稱 AP1 和 AP2），由於 Flash 只有 4MB，
所以我讓兩台 AP 刷同一版本但不同 build 的 tomato-shibby，
其中 AP1 的 WAN 接在 VDSL Modem 之下，AP2 的 LAN 接在 AP1 之下，
而 MiniVPN build 我是刷在 AP2 上，所以第一個遇到的小問題就是，
OpenVPN 伺服器的 Start with WAN 就沒有作用了，畢竟沒有 WAN，
不知道有沒有辦法在這樣的情況下，讓 OpenVPN 伺服器也能自動啟動？

第二個問題是，當客戶端連上 OpenVPN 伺服器之後，就無法上網了，
除非伺服器端不啟用 Direct clients to redirect Internet traffic，
但這樣也就失去我想用 VPN 的用意了，請問這是我哪邊設定錯誤嗎？
或者問題就是出在我是架在 AP2 上而非 AP1 上的關係嗎？
會考慮架在 AP2 上是因為想在 AP1 上刷 Mini 版才有 JFFS 空間可用，
雖然目前為止我其實沒有利用過 JFFS 空間，大概也只能用來存 log？

將 OpenVPN 伺服器架在主 AP 之下的 AP 上結果客戶端連上後無法上網的問題

將 OpenVPN 伺服器架在主 AP 之下的 AP 上結果客戶端連上後無法上網的問題

2013-12-02 13:10 發佈

文章關鍵字 OpenVPN 伺服器 AP 主 AP 客戶端問題

gfx

gfx
個人積分：1603分
文章編號：47510326

1603分

2樓

2013-12-02 13:36

DIXES wrote:
兩台 RT-N12 ...(恕刪)

您的AP1有設定Routing Table(路由表)嗎?

閘道要指定AP2的IP

DIXES

DIXES
個人積分：147分
文章編號：47513757

147分

樓主

2013-12-02 16:39

這樣設定完之後就可以了！非常感謝！

請問需要這樣的設定之後網路才能通是為什麼呢？
因為我幾乎不懂路由相關技術／原理。

gfx

gfx
個人積分：1603分
文章編號：47515762

1603分

4樓

2013-12-02 18:28

DIXES wrote:
這樣設定完之後就可以...(恕刪)

因為10.8.0.0 /255.255.255.0 是屬OpenVPN建的,在AP2上面.

所以要用路由表通知AP1,
假如AP1有收到10.8.0.0 /255.255.255.0相關封包要接著找192.168.1.2 (AP2)處理才行,
而不是選擇丟棄連線.

就這麼簡單

假如您也想要在AP2架PPTP伺服器,同樣也需將172.19.0.0 /255.255.255.0
設在AP1的路由表裡.

DIXES

DIXES
個人積分：147分
文章編號：47517816

147分

樓主

2013-12-02 21:05

gfx wrote:
因為10.8.0.0...(恕刪)

感謝解說！

那今天如果是用 AP1 底下的 PC 架 VPN 伺服器也是同樣的道理囉？
要去指定靜態路由到該 PC 的 LAN IP 上，不論架的是哪一種 VPN 伺服器。

gfx

gfx
個人積分：1603分
文章編號：47518076

1603分

6樓

2013-12-02 21:21

DIXES wrote:
感謝解說！那今天如果...(恕刪)

是的! 路由表即宣告網路下一步要往那走.

假如您想要將小烏龜當主要的分享器,然後N12仍是當VPN的主要工具.
那這個路由表就要設在小烏龜上.

另一個用途:
假如AP1為192.168.1.1 ,AP2為192.168.2.1 兩者都開DHCP.
PC1接在AP1上,IP為192.168.1.2
PC2接在AP2上,IP為192.168.2.2

照理您在PC1 Ping 192.168.2.2 是Ping不通的..
但你只要將192.168.2.0加入到AP1的路由表,那PC1就可以透過路由表找到PC2.
PC1更可以與PC2共用網路芳鄰,即使它們的網域不同也沒有關係.

DIXES

DIXES
個人積分：147分
文章編號：47536733

147分

樓主

2013-12-03 22:10

gfx wrote:
...(恕刪)

另一個用途:
假如AP1為192.168.1.1 ,AP2為192.168.2.1 兩者都開DHCP.
PC1接在AP1上,IP為192.168.1.2
PC2接在AP2上,IP為192.168.2.2

照理您在PC1 Ping 192.168.2.2 是Ping不通的..
但你只要將192.168.2.0加入到AP1的路由表,那PC1就可以透過路由表找到PC2.
PC1更可以與PC2共用網路芳鄰,即使它們的網域不同也沒有關係.

請問在這樣的用途環境下，AP1 和 AP2 還是以 LAN 埠互連嗎？
那 PC1 和 PC2 不會有不知道該從哪台 AP 的 DHCP 取得 IP 的問題嗎？

gfx

gfx
個人積分：1603分
文章編號：47538331

1603分

8樓

2013-12-03 23:36

DIXES wrote:
AP1 和 AP2 還是以 LAN 埠互連嗎？
那 PC1 和 PC2 不會有不知道該從哪台 AP 的 DHCP 取得 IP 的問題嗎？

正確應該說AP2接在AP1下,

AP1開DHCP,
LAN1-> 192.168.1.2是給PC1 ,
LAN2-> 192.168.1.3是給AP2

AP2又開DHCP ,所以等於將192.168.1.3再切割
AP2即是192.168.1.3(WAN) 又是192.168.2.1(LAN)
LAN1-> 192.168.2.2是給PC2

這個架構PC2可以Ping 192.168.2.1 ,也可Ping 192.168.1.3 ,
甚至可以Ping 192.168.1.2(PC1)

但反過來PC1 Ping 192.168.1.3(AP2 WAN)沒問題,但Ping 192.168.2.1(AP2 LAN)就不行了,
更不用說Ping 192.168.2.2(PC2)..

為何PC2可以Ping PC1 ,但PC1無法Ping PC2..有這樣的差別待遇?

因為AP2的架構是來自AP1 LAN2(192.168.1.3)的切割,
所以PC2 Ping 192.168.1.2(PC1)在自己的網域找不到時,會往上一層(AP1 192.168.1.0/24)尋找;

但PC1要Ping 192.168.2.2(PC2)時,在自己網域尋找後,
因沒宣告的關係它不知道192.168.1.3還有再切割成(AP2 192.168.2.0/24)
所以就會放棄丟失封包..

所以要在AP1設定路由表,告知若遇192.168.2.0/24的連線,要從192.168.1.3往下找起.

這樣PC2可以對PC1連線,PC1也可對PC2連線.
網路的雙向傳輸既可成立,自然可形成內網區域網路.

DIXES

DIXES
個人積分：147分
文章編號：47618831

147分

樓主

2013-12-09 3:23

gfx wrote:
正確應該說AP2接在...(恕刪)

請問以圖上這個配置方法，即分割成兩個網段，
並建立靜態路由表來實現 PC1 與 PC2 形成網芳，
是不是就不能以 \\(電腦名稱) 來連到對方？
印象中我曾經有那樣接過，必須是 \\(IP) 才行。

gfx

gfx
個人積分：1603分
文章編號：47620574

1603分

10樓

2013-12-09 9:42

DIXES wrote:
請問以圖上這個配置方...(恕刪)

YES,與VPN相同是用\\IP的方式連接芳鄰.