Setelah menghabiskan berjam-jam pemecahan masalah, mencari solusi potensial di situs ini dan yang lainnya, dan saya pasrah untuk meminta saran dari atasan saya. Saya bekerja untuk merutekan semua lalu lintas jaringan dengan instance Ubuntu melalui Cisco VPN di universitas. Dengan menggunakan pengelola jaringan bawaan atau vpnc, saya dapat berhasil membuat koneksi ke VPN, dan berhasil merutekan lalu lintas ke IP universitas mana pun melalui VPN. Namun, selain rentang IP spesifik tersebut, saya tidak bisa menyulap rute apa pun yang akan berhasil memetakan semua lalu lintas jaringan melalui VPN.
Sejauh ini, saya sudah berusaha:
rute tambahkan -net 0,0.0.0 gw homeportal dev tun0
rute tambahkan -net 0,0.0.0 tun0
rute add -net 0.0.0.0 gw 128.122.252.77 dev tun0
rute tambahkan -net 0,0.0.0 gw 128.122.252.77 dev eth0
iptables -Sebuah FORWARD -o tun0 -j MENERIMA iptables -Sebuah ke depan -i tun0 -j MENERIMA iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
Dan banyak hal konyol dan tidak efektif lainnya yang tidak dapat saya ingat dengan baik untuk ditranskripsikan secara akurat.
Selain itu, saya sudah mencoba merutekan rentang IP yang lebih kecil, dan IP tertentu, masing-masing tidak berhasil. Saya tidak begitu yakin apa yang salah, karena dampak yang dapat saya amati adalah kegagalan resolusi nama, dan kegagalan untuk merutekan lalu lintas melalui VPN. Apa yang saya lakukan salah di sini?
Edit-
Ini adalah output ip route show
setelah memulai koneksi VPN dengan VPNC:
default via 192.168.1.254 dev eth0 proto statis 10.0.0.0/8 link ruang lingkup dev tun0 91.230.41.0/24 dev tun0 scope link 128.122.0.0/16 link ruang lingkup dev tun0 128.122.252.68 via 192.168.1.254 dev eth0 src 192.168.1.32 128.122.253.46 dev tun0 scope link 128.122.253.79 dev tun0 scope link 172.16.0.0/12 link cakupan dev tun0 192.168.0.0/16 dev tun0 scope link 192.168.1.0/24 dev eth0 proto kernel lingkup tautan src 192.168.1.32 metrik 1 193.175.54.0/24 dev tun0 scope link 193.205.158.0/25 dev tun0 scope link 193.206.104.0/24 dev tun0 lingkup tautan 195.113.94.0/24 link ruang lingkup dev tun0 203.126.200.0/24 link ruang lingkup dev tun0 203.174.165.128/25 dev link link lingkup 212.219.93.0/24 link ruang lingkup dev tun0 216.165.0.0/17 dev tun0 lingkup tautan
Informasi lebih lanjut-
Saya telah berhasil mengarahkan lalu lintas sewenang-wenang melalui VPN ini di MS Windows melalui klien Cisco AnyConnect dengan konfigurasi default. Inilah tabel routing yang terlihat ketika klien AnyConnect bekerja (ini adalah komputer yang berbeda di belakang router yang sama di 192.168.1.254).
Tabel Rute IPv4 ================================================== ========================= Rute Aktif: Metrik Antarmuka Gateway Netmask Gateway Tujuan Jaringan 0.0.0.0 0.0.0.0 192.168.1.254 192.168.1.13 30 10.0.0.0 255.0.0.0 192.168.128.1 192.168.128.197 2 91.230.41.0 255.255.255.0 192.168.128.1 192.168.128.197 2 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 128.122.0.0 255.255.0.0 192.168.128.1 192.168.128.197 2 128.122.252.68 255.255.255.255 192.168.1.254 192.168.1.13 31 172.16.0.0 255.240.0.0 192.168.128.1 192.168.128.197 2 192.168.0.0 255.255.0.0 192.168.128.1 192.168.128.197 2 192.168.1.0 255.255.255.0 On-link 192.168.1.13 286 192.168.1.13 255.255.255.255 On-link 192.168.1.13 286 192.168.1.254 255.255.255.255 On-link 192.168.1.13 31 192.168.1.255 255.255.255.255 On-link 192.168.1.13 286 192.168.31.0 255.255.255.0 On-link 192.168.31.1 276 192.168.31.1 255.255.255.255 On-link 192.168.31.1 276 192.168.31.255 255.255.255.255 On-link 192.168.31.1 276 192.168.128.0 255.255.255.0 On-link 192.168.128.197 257 192.168.128.197 255.255.255.255 On-link 192.168.128.197 257 192.168.128.255 255.255.255.255 On-link 192.168.128.197 257 192.168.203.0 255.255.255.0 On-link 192.168.203.1 276 192.168.203.1 255.255.255.255 On-link 192.168.203.1 276 192.168.203.255 255.255.255.255 On-link 192.168.203.1 276 193.175.54.0 255.255.255.0 192.168.128.1 192.168.128.197 2 193.205.158.0 255.255.255.128 192.168.128.1 192.168.128.197 2 193.206.104.0 255.255.255.0 192.168.128.1 192.168.128.197 2 195.113.94.0 255.255.255.0 192.168.128.1 192.168.128.197 2 203.126.200.0 255.255.255.0 192.168.128.1 192.168.128.197 2 203.174.165.128 255.255.255.128 192.168.128.1 192.168.128.197 2 212.219.93.0 255.255.255.0 192.168.128.1 192.168.128.197 2 216.165.0.0 255.255.128.0 192.168.128.1 192.168.128.197 2 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 192.168.1.13 286 224.0.0.0 240.0.0.0 On-link 192.168.203.1 276 224.0.0.0 240.0.0.0 On-link 192.168.31.1 276 224.0.0.0 240.0.0.0 On-link 192.168.128.197 10000 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 192.168.1.13 286 255.255.255.255 255.255.255.255 On-link 192.168.203.1 276 255.255.255.255 255.255.255.255 On-link 192.168.31.1 276 255.255.255.255 255.255.255.255 On-link 192.168.128.197 10000 ================================================== =========================
ip route
, omong-omong.ip route
perintah, saya belum pernah melewatinya sebelumnya.Jawaban:
Jaringan lokal Anda adalah 192.168.1.0/24, seperti yang ditunjukkan oleh baris ini di tabel perutean Anda:
Jaringan VPN Anda adalah 10.0.0.0/8, seperti yang ditunjukkan oleh baris ini:
Saat ini, router default Anda adalah:
yang tentu saja tidak Anda inginkan, karena itu milik LAN lokal Anda: dengan demikian semua barang Anda dialihkan melalui gateway lokal Anda, seolah-olah VPN itu tidak ada.
yang merupakan rute ke penyedia VPN Anda.
EDIT:
Saya tidak menyadari bahwa tabel routing hanyalah yang diperoleh dari VPN Anda, tanpa campur tangan Anda. Ini dapat menunjukkan (secara tidak langsung) bahwa penyedia layanan Anda hanya ingin meneruskan lalu lintas yang secara eksplisit diizinkan di tabel Anda melalui antarmuka tun0, dan mungkin telah mengambil langkah lebih lanjut untuk memblokir semua lalu lintas lainnya, dalam hal ini upaya Anda akan sia-sia.
Namun, dengan asumsi penyedia Anda bersedia untuk meneruskan semua lalu lintas Anda, apa yang perlu Anda lakukan adalah sebagai berikut.
Pertama, Anda perlu mencari tahu apakah ada gateway yang mau menerima koneksi Anda di sisi lain, karena kami membutuhkan alamat IP-nya. Saya akan memberi Anda empat metode untuk melakukan ini.
1) Dengan pc terhubung ke VPN, coba perintah berikut:
Jika semuanya berjalan dengan baik, Anda akan melihat balasan berisi baris ini:
xywz adalah alamat IP gateway lokal. Anda mungkin harus mematikan VPN setelah tes ini, dan mungkin bahkan untuk reboot komputer Anda, karena kami baru saja mengacaukan tabel routing dengan cukup baik.
2) Atau, Anda dapat mencoba menavigasi ke salah satu situs yang diizinkan (yang muncul di tabel perutean Anda melalui antarmuka tun0 ), lalu mengeluarkan perintah:
Anda harus mendapatkan daftar PC yang dihubungi melalui protokol ARP, dengan MAC dan alamat IP; kemungkinan besar, Anda akan menerima nol atau satu balasan. Jika Anda mendapatkan satu balasan, maka itu router Anda.
3) Jika Anda tidak mendapatkan balasan seperti itu, maka Anda dapat mencobanya
(yang akan menjadi sangat lambat). Gateway Anda akan menjadi salah satu dari daftar yang terdaftar, kemungkinan besar alamat yang berakhiran .1 atau .254, jika ada.
4) Gunakan perintah tcpdump:
dan lihat alamat IP yang dimuntahkan oleh perintah.
Jika Anda tidak mendapatkan jawaban yang benar untuk tes ini, itu berarti seseorang telah benar-benar mengencangkan sekrup di jaringannya.
Tapi mari kita optimis, dan anggap Anda sekarang memiliki kandidat alamat IP xwyz untuk router jarak jauh. Anda harus menghapus gateway default, (seperti sudo!):
dan tambahkan yang baru:
dan cobalah menavigasi.
Coba saya ulangi: karena penyedia Anda telah mengizinkan lalu lintas hanya ke beberapa alamat IP yang dipilih melalui VPN-nya, ada kemungkinan ia mungkin telah mengambil tindakan ekstra (= firewall) untuk mencegah pengguna yang cerdas memaksa lalu lintas generiknya melalui VPN-nya. Dalam hal ini, tidak ada yang bisa Anda lakukan. Tetapi jika tidak, langkah-langkah di atas akan membantu Anda menemukan solusi.
sumber
ip addr show dev tun0
bacaan10: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1412 qdisc pfifo_fast state UNKNOWN group default qlen 500 link/none inet 192.168.128.193/24 brd 192.168.128.255 scope global tun0 valid_lft forever preferred_lft forever
, tanpa alamat rekan untuk diamati. Selain itu, tabel routing yang saya posting sebelumnya belum dimodifikasi oleh saya sama sekali - itu dihasilkan sepenuhnya oleh klien vpn.Semua
route
perintah Anda adalah netmasks yang hilang, sehingga hanya cocok dengan0.0.0.0
alamat spesifik , bukan seluruh internet. Jadi gantikan0.0.0.0
dengan0.0.0.0/0
pada perintah pertama yang Anda coba:ip route add -net 0.0.0.0/0 gw homeportal dev tun0
Mungkin ada satu peringatan yang saya tidak yakin jika klien VPN Anda memecahkan sendiri: titik akhir terowongan harus dikecualikan dari dirutekan melalui VPN, itu harus dialihkan melalui
eth0
antarmuka Anda . Jadi jika menambahkan rute default ini merusak VPN Anda, tambahkan rute tertentu untuk titik akhir VPN Anda:ip route add <ENDPOINT>/32 dev eth0
sumber
ip route
, bukan? Juga, sementara itu selalu ide yang baik untuk menambahkan netmask, itu tampaknya bahwaroute
mengasumsikan / 0 saat menambahkan 0.0.0.0