iT邦幫忙

0

透過跳板主機連線

  • 分享至 

  • xImage

各位大大好
小弟因有業務需求碰到一個需要透過跳板主機連線的問題

現在有三台設備
A機器為我操作的macbook
B機器為遠端server(固定IP)
C機器為目標server(固定IP)

C只有透過同網段的B的openVPN才能連接
由於B上就是單純的server 沒有GUI之類的
我希望能在A上操作
不知道我描述的清不清楚

目前的想法是透過A透過openVPN連B然後B的openVPN自動連到C
不知道這樣是否可行?
(最早對方有提供B到C的直連通道,我只要openVPN連到B就能通)
是否還有更好的方式

只是在實現我的作法前
我碰到一個問題就是B主機的openVPN不知道爲什麼無法連到C
我的流程是先ssh上B主機,然後openvpn --config vpn_Crt_2023.ovpn
但它會不停timeout
以下是訊息:

2023-06-26 08:39:22 OpenVPN 2.5.5 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 14 2022
2023-06-26 08:39:22 library versions: OpenSSL 3.0.2 15 Mar 2022, LZO 2.10
Enter Auth Username: 
🔐 Enter Auth Password: ********
2023-06-26 08:39:26 TCP/UDP: Preserving recently used remote address: [AF_INET]XXX.XXX.XXX.XXX:1194
2023-06-26 08:39:26 Attempting to establish TCP connection with [AF_INET]XXX.XXX.XXX.XXX:1194 [nonblock]

管server的人員卻回覆說沒有收到任何B IP發過去的連線

看更多先前的討論...收起先前的討論...
阿摔 iT邦新手 3 級 ‧ 2023-06-26 16:39:01 檢舉
這樣的設計應該是為了資安考量吧 連上跳板機之後才能連上目標Server
跳板機不能傳資料出來跟進去,避免資料外洩
st474ddr iT邦新手 2 級 ‧ 2023-06-26 16:48:17 檢舉
@阿摔 大
感謝回覆 我明白這是資安考量
所以我想知道怎麼樣實作QQ
阿摔 iT邦新手 3 級 ‧ 2023-06-26 17:07:48 檢舉
感覺可以請對方找MIS一起來看一下log
問一下對方他們直接操作B能不能連到C
是不是哪邊出問題還是單純時間太久
st474ddr iT邦新手 2 級 ‧ 2023-06-26 17:10:11 檢舉
想問大大要看哪個log 呢?
對方MIS沒有權限操作B
阿摔 iT邦新手 3 級 ‧ 2023-06-26 17:12:16 檢舉
防火牆 看有沒有成功連到他們那邊的紀錄
阿摔 iT邦新手 3 級 ‧ 2023-06-26 17:13:40 檢舉
等等 B的管理權不在對方那邊?
st474ddr iT邦新手 2 級 ‧ 2023-06-26 18:08:38 檢舉
防火牆是沒紀錄的
對 B的管理權是我這邊其他人幫忙設定的
所以他們沒有權限
亂皮皮 iT邦新手 2 級 ‧ 2023-06-27 09:13:15 檢舉
不明白 C與B在同一個網段 為什麼還要用OPENVPN
st474ddr iT邦新手 2 級 ‧ 2023-06-27 10:11:18 檢舉
@亂皮皮 大大
主要是B和C是不同的對象提供的(可以想像是學校 B是實驗室主機,C是發包處)
亂皮皮 iT邦新手 2 級 ‧ 2023-06-27 11:11:17 檢舉
會不會B已經有連結C,所以不能連結第二條
你可以在B查看IP route
還有OPENVPN 需要加sudo
st474ddr iT邦新手 2 級 ‧ 2023-06-28 13:18:14 檢舉
@亂皮皮 大
B和C是沒有連接的
IP route也是沒有出現C的
也有嘗試加sudo 但還是一樣狀況QQ
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
sd3388
iT邦好手 1 級 ‧ 2023-06-27 17:05:12

不知道你對網路結構清不清楚
通常B及C會有一些來源限制
包括限制IP及service端口

要驗證的方式
最好能請C的管理者開放ICMP服務
當你登入B之後
用PING看看能否連到C
(因為你說對方沒看到B的連線)

ping的通才能開VPN
不然也連不上
如果通就是vpn沒通

st474ddr iT邦新手 2 級 ‧ 2023-06-28 13:18:56 檢舉

有嘗試 ping不通Q
但其他人都可以透過各自的跳板機連到

sd3388 iT邦好手 1 級 ‧ 2023-06-28 14:43:48 檢舉

這樣顯示C沒有開通ICMP服務
這樣你不好判斷是到哪不通
還是你的VPN設定有問題

不過如果其他人都可以
比較可能是設定的問題
或是憑證沒有裝好以致驗證失敗

我要發表回答

立即登入回答