家里群晖 NAS 上安装了 VPN Server 启用了 OpenVPN,公司可以连接到 vpn ,可以访问局域网的东西,路由器及其他机器部署的服务都可以,但是就是访问不了群晖包括群晖部署的东西。请问是哪里需要配置什么嘛?
19 条回复 • 2024-09-25 08:32:01 +08:00
 |
1
luoshengdu 9 天前
应该是你部署的 vpn server ,分配给远端的(公司)的 IP 段,是你群晖局域网的 IP 段,就会造成这种问题。
正确的做法:分一个单独的网段给拨入的设备。  |
 |
2
authony2020 OP 感谢大哥,我试了一下还是不行,我本地群晖的网断是 192.168.3.0 网段,vpnserver 配置的 10.8.0.0 网段,公司机器获取到的 ip 是 10.8.0.6 网段,也是不能访问群晖的服务。我的群晖不是直接拨号的,前面有一台路由器作为旁路由,群晖是直接插网线在路由器上,是不是有设置不知道和这个有没有关系。
  |
 |
3
htfcuddles 8 天前
局域网的其他机器没有 10.8.0.0 路由,能访问说明群晖做了 SNAT ,然而 SNAT 仅存在于 postrouting, 对于本机(群晖)无效。本机无法访问说明要么缺少静态路由,要么防火墙拦住了。建议你先用 utun 地址看看能不能访问 ( 10.8.0.1 ?)
|
|
4
authony2020 OP @htfcuddles 谢谢大哥,我用 10.8.0.1 这个地址确实能访问,是只能用这个地址访问么,不用群晖本身的 192.168.3.123 这个地址了么。防火墙应该没问题,静态路由是需要在哪里配置,是路由器还是群晖。
|
|
5
luoshengdu 8 天前
@authony2020 #4 故障若是 3 楼所说的路由链表问题。在群晖本体上添加静态路由 如下图。
[img]  [/img]排查故障,请用 ssh 登录群晖,并且用 sudo -i 命令和管理员密码提权。 用 ping 命令测试远端 IP 的通达性,看报错是不可达、超时、或者是 no route 相关报错 |
|
6
luoshengdu 8 天前
抱歉,网络目标地址填错。依据你实际的 10.8.0.0 填写。
|
|
7
authony2020 OP @luoshengdu 谢谢大哥,我配置了静态路由发现别的机器也访问不了了,我的路由器的地址是 192.168.3.1 也不能访问了,取消就可以了。下面是 nas 的 ip 和配置的静态路由,麻烦看看是不是存在什么问题。用 ping 命令测试具体是公司的机器 ping nas 么 ,还是在 nas ping 哪台机器?
  |
|
8
htfcuddles 7 天前
@authony2020 #7 如 6 楼所说最快的排查方式是 SSH 进去测试,很快就能定位到问题。如果你没有这方面知识,可以先点 IP 路由表按钮,把截图贴一下,有可能是路由表的问题,因为你有两个同网段接口
|
|
9
htfcuddles 7 天前
注意到你有两个接口,如果开启了反向路径过滤(大部分 Linux 发行版默认情况),目标接口地址是 A 而默认路由出口是 B ,也就是非源进源出情况会丢弃包。解决方法是要么把多余接口禁了,要么改内核参数/路由表:
sysctl -w net.ipv4.conf.all.rp_filter=0 sysctl -w net.ipv4.conf.default.rp_filter=0 sysctl -w net.ipv4.conf.utun0.rp_filter=0 sysctl -w net.ipv4.conf.nic2.rp_filter=0 后者难度可能高了些 |
 |
10
FatAAA 5 天前
@luoshengdu 请问不可达要怎么处理?
|
|
11
authony2020 OP |
|
12
luoshengdu 4 天前
@FatAAA #10 ping 命令是网络调试工具,需要有网络知识具体分析。能看得出是链路层(结合 arp 信息)、网络层、应用层面(传输层故障)。 无法一下说清啊
|
|
13
luoshengdu 4 天前
我安装了 vpn server ,测试了,使用 tcp 协议( 2 楼的 openvpn 配置中,通讯协议),可以访问群晖 web 。通过局域网地址或者 vpn 的网段的地址都可以访问
|
|
14
authony2020 OP @luoshengdu 那可能是我的路由器配置导致的么,有没有什么排查的方法。
|
|
15
luoshengdu 4 天前
@authony2020 #14 ssh 登录 nas
// [排查故障,请用 ssh 登录群晖,并且用 sudo -i 命令和管理员密码提权。 用 ping 命令测试远端 IP 的通达性,贴结果] root@nast420:~# ping 10.8.0.6 PING 10.8.0.6 (10.8.0.6) 56(84) bytes of data. 64 bytes from 10.8.0.6: icmp_seq=1 ttl=64 time=100 ms |
|
16
luoshengdu 4 天前
@authony2020 #14
在拨入的电脑上 ping vpn server 和 NAS 的 IP 地址 [你自己的] C:\Users\WDAGUtilityAccount>ping 10.8.0.1 正在 Ping 10.8.0.1 具有 32 字节的数据: 来自 10.8.0.1 的回复: 字节=32 时间=2ms TTL=64 C:\Users\WDAGUtilityAccount>ping 192.168.1.246 正在 Ping 192.168.1.246 具有 32 字节的数据: 来自 192.168.1.246 的回复: 字节=32 时间=2ms TTL=64 |
|
17
authony2020 OP |
|
18
luoshengdu 3 天前
@authony2020 #17 从这个结果看链路是通的。 所以只有防火墙或者再上层的应用拦截了访问,简单说就是你的 nas 方面的故障。
|
|
19
authony2020 OP @luoshengdu 好的,我看看是不是哪里配置了东西导致的,谢谢。
|
Select Language