13
19

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

BRIGHT VIEAdvent Calendar 2018

Day 23

OpenVPNにてNATの設定をしても、VPN経由でアクセス出来ないとき

Last updated at Posted at 2018-01-27

以前下記記事で、OpenVPNを利用してVPN経由でアクセスするような処理を記載した。

OpenVPNをAmazonLinuxにインストールして、VPN経由で外部ネットワークにアクセスする

あれから半年近くたち、新たにVPN環境を構築する必要があったのだが、その際にVPN経由で特定のサイトにアクセスしようとすると、NATの設定がうまく効いていないのか、サイトに接続できずにハマってしまったので、その時の対処メモ

環境

  • Amazon Linux
$ cat /etc/system-release
Amazon Linux AMI release 2017.09
  • OpenVPN
$ openvpn --version
OpenVPN 2.4.4 x86_64-redhat-linux-gnu [Fedora EPEL patched] [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Nov  1 2017
library versions: OpenSSL 1.0.2k-fips  26 Jan 2017, LZO 2.08
  • iptable
$ iptables --version
iptables v1.4.18

OpenVPNの設定

特定のサイトに対してのみVPN経由でアクセスするといったことを実現したかったので下記のような設定をしてみた。

/etc/openvpn/server.conf
##################
## 一部抜粋
##################


# VPNで接続してきたクライアントに割り振るIPアドレスを定義
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

# VPN経由でアクセスさせたいIPアドレスを記載する
push "route xxx.xxx.xxx.xxx 255.255.255.0"

# DNSの設定は、一旦外部DNSの設定をしておく
push "dhcp-option DNS 8.8.8.8"

# 全ての通信をこのVPNサーバ経由にする設定はOFFとする
# push "redirect-gateway def1"

iptablesの設定

10.8.0.0/24のネットワークからのアクセスをeth0のネットワークインタフェースを利用してインターネットに出ていく設定。

$ iptables -t nat -A POSTROUTING -o eth0 -s 10.8.0.0/24 -j MASQUERADE
$ service iptables save

念のため設定を確認

$ iptables -L -n -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  10.8.0.0/24          0.0.0.0/0  

これらの設定だけでよかったと思っていたが、VPNに接続して、
上記で指定した「xxx.xxx.xxx.xxx」にアクセスしても通信中のまま何も起きず...

解決方法

VPNには接続できており、OpenVPNの設定で指定したサイトに対してのみ接続できない状況だったので、NAT周りが怪しいとは思って調査しました。

そして、本当にたまたま見ていた「iptablesを利用してNATサーバを構築」の記事にて、
パケットを転送するためには、「/etc/sysctl.conf」の「net.ipv4.ip_forward」をONにする必要があるとの記載が...なんとそうなのか...

/etc/sysctl.conf
# 0 だとIPv4でパケットの転送がされない
# net.ipv4.ip_forward=0
net.ipv4.ip_forward=1

念のためiptablesとopenvpnを再起動することで接続できるようになりました。

んーこの設定見つけるまで1日近く使ってしまった...
もっとインフラ詳しくならないとなー><

参考

13
19
1

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
13
19

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?