Open VPN

Sekcia: Hardware a Drivery 23.08.2007 | 00:06
Avatar nipo Ubuntu 9.04  Používateľ
Ahojte, neviete mi niekto poradit, co este treba doplnit, aby som sa dostal na PC vo vnutornej sieti ?

Klient je XP, a pripoji sa mi na VPNku. Dokazem pingnut vsetky sietove karty, ale dalej sa nedostanem
Neviete v com by mohol byt problem ?

# route
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.18.0 * 255.255.255.0 U 5 0 0 eth0
10.1.1.0 * 255.255.255.0 U 5 0 0 eth1
10.1.2.0 * 255.255.255.0 U 0 0 0 tap0
default gw 0.0.0.0 UG 5 0 0 eth0

v iptables mam :
/sbin/iptables -I INPUT -i tap+ -j ACCEPT
/sbin/iptables -I FORWARD -i tap+ -j ACCEPT

forward je zapnuty

Na IP 10.1.1.30 sa nedopingam :-( len na 10.1.1.1 co je sietovka PC

Dik za kazdy napad ..

Pre pridávanie komentárov sa musíte prihlásiť.

    • Re: Open VPN 23.08.2007 | 00:25
      Avatar Michal Sedlák Debian, Ubuntu  Používateľ
      Musis zapnut forwarding paketov v kerneli;
      echo "1" > /proc/sys/net/ipv4/ip_forward
    • Re: Open VPN 23.08.2007 | 01:54
      Avatar bananomet Gentoo  Používateľ
      mozno hladas taketo nieco:

      # Uncomment this directive to allow different
      # clients to be able to "see" each other.
      # By default, clients will only see the server.
      # To force clients to only see the server, you
      # will also need to appropriately firewall the
      # server's TUN/TAP interface.
      ;client-to-client
    • Re: Open VPN 23.08.2007 | 04:10
      Avatar Samuel BWPOW Kupka Almalinux, OpenWRT  Používateľ
      No, neviem, vyzera to byt cele v poriadku. Ale napisem, co by som kontroloval a mozes si to podla toho skusit tiez odkontrolovat:
      1. OpenVPN klient - bud routa na 10.1.1.0/24 alebo priamo presmerovanie gateway, cize na WinXP v cmd: "route print" a hladat riadok s 10.1.1.0.
      2. Na serveri - zapnute forwardovanie v kerneli a FORWARD v iptables povoleny z tun0 na eth1 ale aj z eth1 na tun0
      3. Na 10.1.1.30 - Ci je default gateway 10.1.1.1 a ci nema vo firewalle zablokovane prijimanie ICMP z inych podsieti
      A ak je vsetko v poriadku, tak by som zapol na tom serveri a na stroji 10.1.1.30 tcpdump alebo wireshark a pozrel, co sa tam vlastne deje a pripadne to poslal aj sem, aby sme sa na to mohli pozriet viaceri. Viac hlav = viac rozumu :)

      A nakoniec este mozes skusit zmenit TAP na TUN. Ak vyslovene nepotrebujes TAP, tak odporucam pouzivat vyhradne TUN.
      Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
      • Re: Open VPN 23.08.2007 | 08:39
        Avatar nipo Ubuntu 9.04  Používateľ
        takze :

        1. /proc/sys/net/ipv4/ip_forward ... zapnute mam + mam zapnute aj rp_filtre
        2. client-to-client .. tiez mam
        3. co sa tyka firewall, tak ten som skusal aj vypnut, pripa. nahodit MASQ
        4. bohuzial TAP mi vyhovuje viac

        Zaujalo ma toto:
        "...FORWARD v iptables povoleny z tun0 na eth1 ale aj z eth1 na tun0..."
        Mozes prisim ta napisat priklad toho ? mozno robim chybu tam ..

        A napadaju ma este tieto veci :

        1. ci Win klient 10.1.1.30 nemusi mat routrovany segment, kde je VPN ( uz som to postavil aj na 10.1.2.*)

        Uz som z toh chori :-) Ak este niekoho nieco napada, skuste napisat ... dik za kazdu radu ..


        • Re: Open VPN 23.08.2007 | 08:41
          Avatar nipo Ubuntu 9.04  Používateľ
          Este priapaja AKTUALNY config pre server:
          mode server
tls-server
dev tap0

push "route 192.168.18.0 255.255.255.0"
push "route 10.1.1.0 255.255.255.0"
push "route 10.1.2.0 255.255.255.0"
push "route-gateway 10.1.2.100"
push "redirect-gateway"

push "dhcp-option DNS 192.168.18.2"

persist-key
persist-tun

duplicate-cn
client-to-client
max-clients 10

keepalive 10 120

ifconfig 10.1.2.100 255.255.255.0
ifconfig-pool 10.1.2.200 10.1.2.250 255.255.255.0

ca /etc/openvpn/cacert.pem
cert /etc/openvpn/server_cert.pem
key /etc/openvpn/server_key.pem
dh /etc/openvpn/dh1024.pem

log-append /var/log/openvpn/openvpn.log
status /var/run/openvpn/vpn.status 10

proto tcp-server

user openvpn
group openvpn
comp-lzo
verb 1
        • Re: Open VPN 23.08.2007 | 12:08
          Avatar Samuel BWPOW Kupka Almalinux, OpenWRT  Používateľ
          Hmm, tak v tom pripade este skus poslat iptables -vL, ak tam nemas nic tajne.
          Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
          • Re: Open VPN 23.08.2007 | 13:44
            Avatar nipo Ubuntu 9.04  Používateľ
            uff .. dlhy zoznam :-( a aj tajne ;-)

            ja pouzivam TAP .. asi fakt skusim TUN .. predsa je to len L3 .. Je TUN mozne pouzit aj pre viac klientov ?

            • Re: Open VPN 23.08.2007 | 13:55
              Avatar Samuel BWPOW Kupka Almalinux, OpenWRT  Používateľ
              Jasne, nie je s tym ziaden problem. Akurat pri TUN mas vsetkych klientov rozdelenych do blokov po 4 IP (maska 30bit). Cize napriklad pri sieti 192.168.3.0/24 mas IPcky 192.168.3.6, 192.168.3.10 atd. Mozes pouzit staticke pridelovanie adries na zaklade client config directory alebo kludne automatiku. Tie ale spolu mozu komunikovat bez problemov (nastavenie client-to-client). Je to pekne naroutovane, takze sa v tom lepsie hladaju chyby.

              Este prikladam svoj konfigurak servera: 
              port 6666
proto tcp
dev tun
ca /etc/ssl/ca.crt
cert /etc/ssl/vpn/server.crt
key /etc/ssl/vpn/server.key
dh dh1024.pem
server 192.168.2.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
duplicate-cn
comp-lzo
client-config-dir ccd
keepalive 10 120
cipher BF-CBC
push "redirect-gateway"
push "dhcp-option DNS 192.168.2.1"
push "dhcp-option WINS 192.168.2.1"
status /var/log/vpnserver.status
log-append /var/log/vpnserver.log
              a klienta: 
              client
dev tun
proto tcp
remote vpn1.domain.com 6666
remote vpn2.domain.com 6666
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert server.crt
key server.key
comp-lzo
tls-remote vpnserver
cipher BF-CBC
              Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
              • Re: Open VPN 23.08.2007 | 14:32
                Avatar nipo Ubuntu 9.04  Používateľ
                Dakujem, vyskusam ale az bud. tyzden a budem informovat .. dufam ze o uspechu ;-)

                Este raz dik
                • Re: Open VPN 23.08.2007 | 14:32
                  Avatar Samuel BWPOW Kupka Almalinux, OpenWRT  Používateľ
                  Vela stastia
                  Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
                  • Re: Open VPN 27.08.2007 | 10:55
                    Avatar nipo Ubuntu 9.04  Používateľ
                    Nepomohlo :-( .. traceroute sa dostane max po interface VPNky ...
                    • Re: Open VPN 06.09.2007 | 17:35
                      ferda   Návštevník
                      no asi mame podobny problem z vnutornej sieti sa dostanem na vonkajsi PC cez VPNko
                      ale z vonajasieho PC sa dostanem tak max po server...

                      takze na vonkajsom PC som pridal v prikazovom riadku route add 192.168.10.0 mask 255.255.255.0 10.0.0.200

                      kde
                      192.168.10.0 - je moja vnutorna siet
                      10.0.0.200 - je moje VPN TAP rozhranie

                      a uz to ide, ale teraz riesim problem ako to spravit aby som to nemusel pisat pri kazdom reconnecte na VPNko... to PUSH mi volako nefunguje :((
                      • Re: Open VPN 07.09.2007 | 01:25
                        Avatar nipo Ubuntu 9.04  Používateľ
                        Skusal som routrovat, ale nedari sa :-( .. mozes napisat prikazy FORWARDU tukajuceho sa TAP rozhrania ? idealne by bol tvoj firewall (lebo ten podozrievam) ... samo bez nejakych tvojich IP .. dalo by sa to poslat ?

                        Dik
    • Re: Open VPN 08.09.2007 | 17:09
      Avatar Samuel BWPOW Kupka Almalinux, OpenWRT  Používateľ
      No, neviem fakt poradit, uz sa myslim vsetko preberalo. Ale este skusim sem pastnut ten firewall, rovno cely (nie je tam nic tajne). Akurat tam chyba mangle sekcia, ktora je dost dlha a s filtrovanim nema nic spolocne: 
      #!/bin/sh
WAN=eth0
VPN=tun0

iptables -F
iptables -t nat -F
iptables -t mangle -F

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

########################################################################
# INPUT                                                                #
########################################################################
iptables -A INPUT -j ACCEPT -p icmp
iptables -A INPUT -j ACCEPT -i lo

iptables -A INPUT -j ACCEPT -p tcp -m state --state ESTABLISHED,RELATED
iptables -A INPUT -j ACCEPT -p udp -m state --state ESTABLISHED,RELATED

# FTP
iptables -A INPUT -j ACCEPT -p tcp --dport 20:21 -m state --state NEW

# SSH
iptables -A INPUT -j ACCEPT -p tcp --dport 22 -m state --state NEW

# HTTP a HTTPS
iptables -A INPUT -j ACCEPT -p tcp --dport 80 -m state --state NEW
iptables -A INPUT -j ACCEPT -p tcp --dport 443 -m state --state NEW

# OpenVPN
iptables -A INPUT -j ACCEPT -p tcp --dport 666 -i $WAN -m state --state NEW

# freenet
iptables -A INPUT -p udp --dport 6666 -j ACCEPT -i $WAN -m state --state NEW

# TinyProxy
iptables -A INPUT -p tcp --dport 8888 -j ACCEPT -i $VPN -m state --state NEW

########################################################################
# FORWARD                                                              #
########################################################################

iptables -A FORWARD -p icmp -j ACCEPT

iptables -A FORWARD -j ACCEPT -p tcp -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -p udp -m state --state ESTABLISHED,RELATED

iptables -A FORWARD -i $VPN -m state --state NEW -j ACCEPT

iptables -t nat -A POSTROUTING -o $WAN -s 192.168.2.0/24 -j MASQUERADE

      Konfigurarky pre OpenVPN som pastoval vyssie. OpenVPN je typu TUN a s rozsahom 192.168.2.0/24.
      Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
      • Re: Open VPN 08.09.2007 | 17:14
        Avatar Samuel BWPOW Kupka Almalinux, OpenWRT  Používateľ
        Inak, samozrejme, ze ak nechces robit NAT ale pouzit normalne routovanie, tak ten posledny riadok firewallu si nevsimaj.
        Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
LinuxOS.sk © 2004-2024 | LinuxOS.sk - Team | ISSN 1337-7639 | Osobné údaje | Odber noviniek
Hosting sponzorovaný vpsFree.cz o.s.