Samba cez OpenVPN

Sekcia: Programovanie 03.11.2010 | 17:53
Avatar munina   Používateľ
Chcel by som rozbehat zdielanie suborov cez Sambu aj mimo siete pomocou OpenVPN. Do teraz som to mal riesene cez FTP, ale ked som sa dozvedel o vyhodach Samby, nebolo o com. Instalovanie programov, pozeranie filmov priamo zo servera. Uplna parada.. Nainstaloval som teda OpenVPN na Ubuntu Server a studoval som dalej.. certifikaty a kluce sa mi podarilo vygenerovat, ale neviem ako ich dostat na windows, resp kam skopirovat clientske certifikaty. Co mozem pouzit ako Clienta? Klasika cez Windows "Nastavit nove pripojenie alebo siet"? Alebo radsej nejaky Cisco AnyConnect VPN Client? Este som sa dozvedel o zabezpeceni bez certifikatov - zadanim systemoveho mena a hesla pomocou openvpn-auth-pam.so modulu. Mate niekto skusenosti, co by bolo idealnejsie a ako to spravne nakonfigurovat? Ci davat 30 uzivatelom certifikat do pocitaca, lebo sambu mam nastavenu bez hesla guest ok = yes, alebo radsej vytvorim 30 systemovych uzivatelov?
    • Re: Samba cez OpenVPN 03.11.2010 | 18:03
      Avatar Samuel BWPOW Kupka CentOS, Mandriva  Používateľ
      Lepsie certifikaty (lahsie sa to spravuje) a vo windowse tie certifikaty idu do c:\program files\openvpn\config. Treba tam dat .ovpn subor, v ktorom je konfiguracia klienta a certifikaty uz podla toho, ako su zapisane v tom configu, pricom aktualny relativny adresar je ten isty. Samozrejme, je mozne zadat aj celu absolutnu cestu a openvpn to zozerie. Na 64-bit systemoch to nebude v program files, ale v program files x86, ci ako to windows nazyva.
      Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
      • Re: Samba cez OpenVPN 03.11.2010 | 20:25
        Avatar munina   Používateľ
        na routry mam presmerovat port na IP VPNky? alebo IP serveru?
    • Re: Samba cez OpenVPN 04.11.2010 | 01:14
      Avatar munina   Používateľ
      a ako ma vyzerat IP adresa premostenia?
      server.conf ..
      local 192.168.1.110
      dev tap0
      server-bridge 192.168.1.110 255.255.255.0 192.168.1.120 192.168.1.200
      push "route 192.168.1.120 255.255.255.0"
      push "dhcp-option DNS a.b.c.d" #verejna IP?
      push "dhcp-option DOMAIN nieco.sk"
      ...

      server mam za routrom a ma pridelenu IP 192.168.1.110 255.255.255.0 192.168.1.1
      fakt uz neviem ako by to malo byt spravne
      • Re: Samba cez OpenVPN 05.11.2010 | 08:29
        Marek   Návštevník
        Cau, mam to takto
        server:~# cat /etc/openvpn/server.conf
        mode server
        #local 192.168.1.2
        port 443
        proto tcp-server
        dev tap0
        
        ca /etc/openvpn/keys/ca.crt
        cert /etc/openvpn/keys/server.crt
        key /etc/openvpn/keys/server.key
        dh /etc/openvpn/keys/dh1024.pem
        
        server 192.168.2.0 255.255.255.0
        push "route 192.168.1.0 255.255.255.0"
        
        #push "dhcp-option DNS 192.168.1.1" # Nastavit IP adresu lan routra
        #ifconfig-pool-persist ipp.txt
        
        client-to-client
        keepalive 10 120
        comp-lzo
        user nobody
        group nogroup
        persist-key
        persist-tun
        status openvpn-status.log
        verb 3
        ;mute 20
        log /var/log/openvpn.log
        
        server:~#
        
        

        Klient
        # Konfiguracny subor VPN klienta
        client
        dev tun
        port 443
        proto tcp
        remote 213.160.160.250
        #tls-remote 192.168.1.2
        #ca ca.crt
        #cert vaio.crt
        #key vaio.key
        #crl-verify openvpnca.crl
        pkcs12 vaio.p12
        comp-lzo
        keepalive 10 60
        ping-timer-rem
        persist-tun
        persist-key
        user nobody
        group nobody
        status openvpn-status.log
        verb 3
        ;mute 20
        log /var/log/openvpn.log
        
        daemon
        
        
        


        A spravil som skript pre firewall
        server:~# cat /etc/network/if-up.d/ipskript
        #!/bin/sh
        
        #
        # Zmaze vsetko predtym.
        #
        iptables -F
        iptables -t nat -F
        iptables -t mangle -F
        iptables -X
        
        iptables -P INPUT DROP #Ak pre to neexistuje pravidlo, DROP(zahod to)
        iptables -P FORWARD ACCEPT #Povol
        iptables -P OUTPUT ACCEPT
        iptables -F
        
        #PRAVIDLA pre OPENVPN, to je  nat
        
        iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE
        iptables -t nat -A POSTROUTING -o tap0 -j SNAT --to-source 192.168.1.2
        #iptables -A INPUT -i eth0 -p udp -s ip_addr_of_the_other_router --sport 1194 $
        #iptables -A OUTPUT -o eth0 -p udp -d ip_addr_of_the_other_router --dport 1194$
        iptables -A INPUT -i tap0 -j ACCEPT
        iptables -A OUTPUT -o tap0 -j ACCEPT
        iptables -A FORWARD -i tap0 -j ACCEPT
        
        #Pravidla Firewallu
        iptables -A INPUT -s 127.0.0.1 -i lo -m state --state NEW -j ACCEPT
        iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
        iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
        # DOPLNENE PRAVIDLA
        #iptables -A INPUT -s 10.1.1.145 -j DROP
        iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
        iptables -A INPUT -p tcp --dport 443 -j ACCEPT
        iptables -A INPUT -p tcp --dport 993 -j ACCEPT
        iptables -A INPUT -p tcp --dport 995 -j ACCEPT
        iptables -A INPUT -p tcp --dport 110 -j ACCEPT
        iptables -A INPUT -p tcp --dport 143 -j ACCEPT
        iptables -A INPUT -p tcp --dport 25 -j ACCEPT
        iptables -A INPUT -p tcp --dport 139 -j ACCEPT
        iptables -A INPUT -p tcp --dport 22 -j ACCEPT
        iptables -A INPUT -p tcp --dport 20 -j ACCEPT
        iptables -A INPUT -p tcp --dport 445 -j ACCEPT
        iptables -A INPUT -p tcp --dport 1149 -j ACCEPT
        iptables -A INPUT -p udp --dport 137 -j ACCEPT
        iptables -A INPUT -p udp --dport 138 -j ACCEPT
        iptables -A INPUT -p udp --sport 137 -j ACCEPT
        
        echo "Pravidla firewallu zavedene.."
        echo "Pravidla NAT pre VPN zavedene.."
        server:~#
        
        


        Nemam vytvoreny ziaden bridge.