Open VPN

Sekcia: Hardware a Drivery 23.08.2007 | 00:06
Avatar nipo Ubuntu 9.04  Používateľ
Ahojte, neviete mi niekto poradit, co este treba doplnit, aby som sa dostal na PC vo vnutornej sieti ?

Klient je XP, a pripoji sa mi na VPNku. Dokazem pingnut vsetky sietove karty, ale dalej sa nedostanem
Neviete v com by mohol byt problem ?

# route
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.18.0 * 255.255.255.0 U 5 0 0 eth0
10.1.1.0 * 255.255.255.0 U 5 0 0 eth1
10.1.2.0 * 255.255.255.0 U 0 0 0 tap0
default gw 0.0.0.0 UG 5 0 0 eth0

v iptables mam :
/sbin/iptables -I INPUT -i tap+ -j ACCEPT
/sbin/iptables -I FORWARD -i tap+ -j ACCEPT

forward je zapnuty

Na IP 10.1.1.30 sa nedopingam :-( len na 10.1.1.1 co je sietovka PC

Dik za kazdy napad ..
    • Re: Open VPN 23.08.2007 | 00:25
      Avatar Michal Sedlák Debian, Ubuntu  Používateľ
      Musis zapnut forwarding paketov v kerneli;
      echo "1" > /proc/sys/net/ipv4/ip_forward
    • Re: Open VPN 23.08.2007 | 01:54
      Avatar bananomet Gentoo  Používateľ
      mozno hladas taketo nieco:

      # Uncomment this directive to allow different
      # clients to be able to "see" each other.
      # By default, clients will only see the server.
      # To force clients to only see the server, you
      # will also need to appropriately firewall the
      # server's TUN/TAP interface.
      ;client-to-client
    • Re: Open VPN 23.08.2007 | 04:10
      Avatar Samuel BWPOW Kupka CentOS, Mandriva  Používateľ
      No, neviem, vyzera to byt cele v poriadku. Ale napisem, co by som kontroloval a mozes si to podla toho skusit tiez odkontrolovat:
      1. OpenVPN klient - bud routa na 10.1.1.0/24 alebo priamo presmerovanie gateway, cize na WinXP v cmd: "route print" a hladat riadok s 10.1.1.0.
      2. Na serveri - zapnute forwardovanie v kerneli a FORWARD v iptables povoleny z tun0 na eth1 ale aj z eth1 na tun0
      3. Na 10.1.1.30 - Ci je default gateway 10.1.1.1 a ci nema vo firewalle zablokovane prijimanie ICMP z inych podsieti
      A ak je vsetko v poriadku, tak by som zapol na tom serveri a na stroji 10.1.1.30 tcpdump alebo wireshark a pozrel, co sa tam vlastne deje a pripadne to poslal aj sem, aby sme sa na to mohli pozriet viaceri. Viac hlav = viac rozumu :)

      A nakoniec este mozes skusit zmenit TAP na TUN. Ak vyslovene nepotrebujes TAP, tak odporucam pouzivat vyhradne TUN.
      Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
      • Re: Open VPN 23.08.2007 | 08:39
        Avatar nipo Ubuntu 9.04  Používateľ
        takze :

        1. /proc/sys/net/ipv4/ip_forward ... zapnute mam + mam zapnute aj rp_filtre
        2. client-to-client .. tiez mam
        3. co sa tyka firewall, tak ten som skusal aj vypnut, pripa. nahodit MASQ
        4. bohuzial TAP mi vyhovuje viac

        Zaujalo ma toto:
        "...FORWARD v iptables povoleny z tun0 na eth1 ale aj z eth1 na tun0..."
        Mozes prisim ta napisat priklad toho ? mozno robim chybu tam ..

        A napadaju ma este tieto veci :

        1. ci Win klient 10.1.1.30 nemusi mat routrovany segment, kde je VPN ( uz som to postavil aj na 10.1.2.*)

        Uz som z toh chori :-) Ak este niekoho nieco napada, skuste napisat ... dik za kazdu radu ..


        • Re: Open VPN 23.08.2007 | 08:41
          Avatar nipo Ubuntu 9.04  Používateľ
          Este priapaja AKTUALNY config pre server:
          mode server
          tls-server
          dev tap0
          
          push "route 192.168.18.0 255.255.255.0"
          push "route 10.1.1.0 255.255.255.0"
          push "route 10.1.2.0 255.255.255.0"
          push "route-gateway 10.1.2.100"
          push "redirect-gateway"
          
          push "dhcp-option DNS 192.168.18.2"
          
          persist-key
          persist-tun
          
          duplicate-cn
          client-to-client
          max-clients 10
          
          keepalive 10 120
          
          ifconfig 10.1.2.100 255.255.255.0
          ifconfig-pool 10.1.2.200 10.1.2.250 255.255.255.0
          
          ca /etc/openvpn/cacert.pem
          cert /etc/openvpn/server_cert.pem
          key /etc/openvpn/server_key.pem
          dh /etc/openvpn/dh1024.pem
          
          log-append /var/log/openvpn/openvpn.log
          status /var/run/openvpn/vpn.status 10
          
          proto tcp-server
          
          user openvpn
          group openvpn
          comp-lzo
          verb 1
          
        • Re: Open VPN 23.08.2007 | 12:08
          Avatar Samuel BWPOW Kupka CentOS, Mandriva  Používateľ
          Hmm, tak v tom pripade este skus poslat iptables -vL, ak tam nemas nic tajne.
          Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
          • Re: Open VPN 23.08.2007 | 13:44
            Avatar nipo Ubuntu 9.04  Používateľ
            uff .. dlhy zoznam :-( a aj tajne ;-)

            ja pouzivam TAP .. asi fakt skusim TUN .. predsa je to len L3 .. Je TUN mozne pouzit aj pre viac klientov ?

            • Re: Open VPN 23.08.2007 | 13:55
              Avatar Samuel BWPOW Kupka CentOS, Mandriva  Používateľ
              Jasne, nie je s tym ziaden problem. Akurat pri TUN mas vsetkych klientov rozdelenych do blokov po 4 IP (maska 30bit). Cize napriklad pri sieti 192.168.3.0/24 mas IPcky 192.168.3.6, 192.168.3.10 atd. Mozes pouzit staticke pridelovanie adries na zaklade client config directory alebo kludne automatiku. Tie ale spolu mozu komunikovat bez problemov (nastavenie client-to-client). Je to pekne naroutovane, takze sa v tom lepsie hladaju chyby.

              Este prikladam svoj konfigurak servera:
              port 6666
              proto tcp
              dev tun
              ca /etc/ssl/ca.crt
              cert /etc/ssl/vpn/server.crt
              key /etc/ssl/vpn/server.key
              dh dh1024.pem
              server 192.168.2.0 255.255.255.0
              ifconfig-pool-persist ipp.txt
              client-to-client
              duplicate-cn
              comp-lzo
              client-config-dir ccd
              keepalive 10 120
              cipher BF-CBC
              push "redirect-gateway"
              push "dhcp-option DNS 192.168.2.1"
              push "dhcp-option WINS 192.168.2.1"
              status /var/log/vpnserver.status
              log-append /var/log/vpnserver.log
              
              a klienta:
              client
              dev tun
              proto tcp
              remote vpn1.domain.com 6666
              remote vpn2.domain.com 6666
              resolv-retry infinite
              nobind
              persist-key
              persist-tun
              ca ca.crt
              cert server.crt
              key server.key
              comp-lzo
              tls-remote vpnserver
              cipher BF-CBC 
              Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
              • Re: Open VPN 23.08.2007 | 14:32
                Avatar nipo Ubuntu 9.04  Používateľ
                Dakujem, vyskusam ale az bud. tyzden a budem informovat .. dufam ze o uspechu ;-)

                Este raz dik
                • Re: Open VPN 23.08.2007 | 14:32
                  Avatar Samuel BWPOW Kupka CentOS, Mandriva  Používateľ
                  Vela stastia
                  Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
                  • Re: Open VPN 27.08.2007 | 10:55
                    Avatar nipo Ubuntu 9.04  Používateľ
                    Nepomohlo :-( .. traceroute sa dostane max po interface VPNky ...
                    • Re: Open VPN 06.09.2007 | 17:35
                      ferda   Návštevník
                      no asi mame podobny problem z vnutornej sieti sa dostanem na vonkajsi PC cez VPNko
                      ale z vonajasieho PC sa dostanem tak max po server...

                      takze na vonkajsom PC som pridal v prikazovom riadku route add 192.168.10.0 mask 255.255.255.0 10.0.0.200

                      kde
                      192.168.10.0 - je moja vnutorna siet
                      10.0.0.200 - je moje VPN TAP rozhranie

                      a uz to ide, ale teraz riesim problem ako to spravit aby som to nemusel pisat pri kazdom reconnecte na VPNko... to PUSH mi volako nefunguje :((
                      • Re: Open VPN 07.09.2007 | 01:25
                        Avatar nipo Ubuntu 9.04  Používateľ
                        Skusal som routrovat, ale nedari sa :-( .. mozes napisat prikazy FORWARDU tukajuceho sa TAP rozhrania ? idealne by bol tvoj firewall (lebo ten podozrievam) ... samo bez nejakych tvojich IP .. dalo by sa to poslat ?

                        Dik
    • Re: Open VPN 08.09.2007 | 17:09
      Avatar Samuel BWPOW Kupka CentOS, Mandriva  Používateľ
      No, neviem fakt poradit, uz sa myslim vsetko preberalo. Ale este skusim sem pastnut ten firewall, rovno cely (nie je tam nic tajne). Akurat tam chyba mangle sekcia, ktora je dost dlha a s filtrovanim nema nic spolocne:
      #!/bin/sh
      WAN=eth0
      VPN=tun0
      
      iptables -F
      iptables -t nat -F
      iptables -t mangle -F
      
      iptables -P INPUT DROP
      iptables -P OUTPUT ACCEPT
      iptables -P FORWARD DROP
      
      ########################################################################
      # INPUT                                                                #
      ########################################################################
      iptables -A INPUT -j ACCEPT -p icmp
      iptables -A INPUT -j ACCEPT -i lo
      
      iptables -A INPUT -j ACCEPT -p tcp -m state --state ESTABLISHED,RELATED
      iptables -A INPUT -j ACCEPT -p udp -m state --state ESTABLISHED,RELATED
      
      # FTP
      iptables -A INPUT -j ACCEPT -p tcp --dport 20:21 -m state --state NEW
      
      # SSH
      iptables -A INPUT -j ACCEPT -p tcp --dport 22 -m state --state NEW
      
      # HTTP a HTTPS
      iptables -A INPUT -j ACCEPT -p tcp --dport 80 -m state --state NEW
      iptables -A INPUT -j ACCEPT -p tcp --dport 443 -m state --state NEW
      
      # OpenVPN
      iptables -A INPUT -j ACCEPT -p tcp --dport 666 -i $WAN -m state --state NEW
      
      # freenet
      iptables -A INPUT -p udp --dport 6666 -j ACCEPT -i $WAN -m state --state NEW
      
      # TinyProxy
      iptables -A INPUT -p tcp --dport 8888 -j ACCEPT -i $VPN -m state --state NEW
      
      ########################################################################
      # FORWARD                                                              #
      ########################################################################
      
      iptables -A FORWARD -p icmp -j ACCEPT
      
      iptables -A FORWARD -j ACCEPT -p tcp -m state --state ESTABLISHED,RELATED
      iptables -A FORWARD -j ACCEPT -p udp -m state --state ESTABLISHED,RELATED
      
      iptables -A FORWARD -i $VPN -m state --state NEW -j ACCEPT
      
      iptables -t nat -A POSTROUTING -o $WAN -s 192.168.2.0/24 -j MASQUERADE
      

      Konfigurarky pre OpenVPN som pastoval vyssie. OpenVPN je typu TUN a s rozsahom 192.168.2.0/24.
      Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
      • Re: Open VPN 08.09.2007 | 17:14
        Avatar Samuel BWPOW Kupka CentOS, Mandriva  Používateľ
        Inak, samozrejme, ze ak nechces robit NAT ale pouzit normalne routovanie, tak ten posledny riadok firewallu si nevsimaj.
        Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity