Zdravim, vsetkych pritomnych.
Snazim sa spravit OpenVPN na serveri s Debianom 4r07 kde bude admin spolocnosti spravovat vpn klientov cez web rozhranie Webmin ako user s prislusnym pravom iba na "OpenVPN CA" pridelenym v Usermine.
Server ma 2 sietovky teda:
wan strana: eth0
lan strana: eth1 _ povedzme ze lan bezi na 10.10.10.0 subnete
Teda potrebujem aby to bezalo v rezime routed.
Kedze ide o to aby to vedel spravovat aj admin ktory nema s linuxom skusenosti tak CA + Server_key + Klient_key, a klientov som uspesne vytvoril/odtestoval cez Webmin rozhranie.
Pri zoznamovani s OpenVPN som presiel testami v prikazovke so static keyom, cez bridgovanie s CA, a skoncil pri routed.
CA bridge mi fungoval spokojne, masiny sa pripli a mohol som pingovat medzi dvoma pripojenymi klientami a dalsimi masinami v sieti, vsetko podla ocakavania.
Avsak ked som skusal Routed tak klienti sa mi pripli no problem je ze nemozem pingovat jeden a druhy klient medzi sebou a nevidia lan masiny.
Podla dokumentacie http://openvpn.net/index.php/documentation/faq.html#ip-forward OpenVPN som nasiel ze musim forwardovat IP prikazom:
echo 1 > /proc/sys/net/ipv4/ip_forward
a dalej podla http://openvpn.net/index.php/documentation/faq.html#firewall vo firewalli povolit rozhranie tun/tap:
v mojom pripade tun rozhranie prikazmi:
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
a tym padom by malo vsetko chodit...
vie mi niekto potvrdit ci tato procedura cela staci na uspesne zaradenie klientov do siete kde mozu spolupracovat ako masiny na strane lan servera, alebo tu je este nejaky hacik?
OpenVPN, nemozem pingovat internu siet.
Pre pridávanie komentárov sa musíte prihlásiť.
client-to-client
a
push "route 10.10.10.0 255.255.255.0"
?
Prve umozni komunikaciu medzi vpn klientmi, druhe urci klientovi vpn server ako gateway pre danu siet.
port 1194proto udp
dev tun0
ca keys/test_ca/ca.crt
cert keys/test_ca/test_server.crt
key keys/test_ca/test_server.key
dh keys/test_ca/dh2048.pem
server 20.20.20.0 255.255.255.0
crl-verify keys/test_ca/crl.pem
cipher DES-CBC
user nobody
group nogroup
status servers/changeme/logs/openvpn-status.log
log-append servers/changeme/logs/openvpn.log
verb 2
mute 20
max-clients 100
management 127.0.0.1 1234
keepalive 10 120
client-config-dir /etc/openvpn/servers/changeme/ccd
comp-lzo
persist-key
persist-tun
ccd-exclusive
push "route 10.10.10.0 255.255.255.0"
to client to client tam nemam asi to bude tym... idem vyskusat a dam vediet
a nakoniec.. Velmi velmi pekne ti dakujem Tomas.
prajem pekny den
Kazdopadne, prave ten riadok v konfiguraku, push "route ..." sposobi, ze bude vpn klient vediet, kadial posielat pakety. Ak by ping nefungoval, treba skusit tracertoute (v pripade win klienta tracert), kadial tie pakety idu.
Ak by sa pakety dorucovali spravnou cestou a firewall by ich neblokoval, moze nastat problem s pingovanym klientom. Ak NEpouziva ako default gateway server, kde bezi openvpn, tak odpoved zrejme pojde do neznama. Momentalne sa mi nechce tu rozpisovat vsetky riesenia :), ak by ti to nefungovalo, daj vediet.
Ping ide medzi clientami VPN a Serverom vo vsetkych smeroch, no tento dalsi linux host je nedosazitelny.
Jedine co mi napada su routy. Skusil by som traceroute z vpn klienta na virtualny stroj a samozrejme aj naopak.
Potreboval by som vediet, dokaze sa vpn klient prerouterovat k virtualnemu stroju? Inymi slovami, je virtualny stroj na sieti 10.10.10.0? Ak je na inej, treba do konfiguraku vpn servera pridat dalsi riadok push "route ..."
Co sa tyka opacnej cesty (virtualny stroj -> vpn klient), tam plati co som pisal vyssie o default gateway.
Ak su cesty v poriadku a napriek tomu to nefunguje, skusil by som pustit na vpn serveri tcpdump (dufam ze sa to tak vola aj na debiane :)).