Sziasztok,
A következő problémával fordulok hozzátok:
Szeretnék készíteni egy hálózatot:
Cliens (cliens OpenVPN)
I
Internet
I
Router (DHCP)
I I I I I I
Server (OPEN VPN) = Belső háló
---
Amiben elakadtam, hogy hogyan hol kell beállítani, hogy ha csatlakozok a cliens géppel a serverre, akkor a belső hálózatot is lássam. Jelenleg csak a servert látom.
A servernél ez iptables beállítás kell, vagy az OpenVPN server config file-ában kell, vagy mindkettőben kell állítani?
Köszönöm a segítségeteket.
KALMI
- 3917 megtekintés
Hozzászólások
Mindkettőben kellene állítgatni.
- A hozzászóláshoz be kell jelentkezni
Kezdőként nagyon örülnék, ha beállítási paraméterekről kaphatnék egy kis segítséget, hogy hova mit kellene írni (átlátnám a lényeget) ;).
Köszi!
- A hozzászóláshoz be kell jelentkezni
vagy, ha tap interfészt használsz, a client-to-client a barátod
--
>'The time has come,' the Walrus said<
- A hozzászóláshoz be kell jelentkezni
Nézegettem a netet még próbálni nem tudtam, de gondolom ez lesz az irány.
Szerintem találtam egy jó oldal: http://john.de-graaff.net/wiki/doku.php/links/openvpn
---
server.conf
push "route 10.4.0.0 255.255.255.0"
---
A push, ha jól értem a kezdő számtól addig a számig fog terjedni, amit kiosztott a router a belső hálónak?
Ez azt jelenti, hogy a belső hálózat '10.4.0.0' tól indul a belső hálózat megosztása.
Ezt még itt találtam, így nem tudom, hogy jó-e és mi kell belőle:
--
iptables
-A INPUT -i tun104 -s 10.4.0.0/24 -d 10.4.0.1 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i tun104 -s 10.4.0.0/24 -d 10.4.0.1 -p tcp -m tcp --dport 2221 -j ACCEPT
-A INPUT -i tun104 -j DROP
-A FORWARD -i tun104 -o tun104 -s 10.4.0.0/24 -d 10.4.0.0/24 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -i tun104 -o tun104 -s 10.4.0.0/24 -d 10.4.0.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -i tun104 -j DROP
---
Ebben az alábbiakat nem értem:
- 10.4.0.0/24 ez ebben a kontextusban mit jelent
- Mit enged és mit nem :-)?
a: '-A INPUT -i tun104 -s 10.4.0.0/24 -d 10.4.0.1 -p icmp -m icmp --icmp-type 8 -j ACCEPT" ##### mit enged át?
b: '-A INPUT -i tun104 -s 10.4.0.0/24 -d 10.4.0.1 -p tcp -m tcp --dport 2221 -j ACCEPT' ####Ezen a dport 2221-en mi található?
c: '-A FORWARD -i tun104 -o tun104 -s 10.4.0.0/24 -d 10.4.0.0/24 -p icmp -m icmp --icmp-type 8 -j ACCEPT' ####Ez mire kellhet?
d: '-A FORWARD -i tun104 -o tun104 -s 10.4.0.0/24 -d 10.4.0.0/24 -p tcp -m tcp --dport 22 -j ACCEPT' ####- gondolom engedi az SSH-t
Remélem elkaptam a fonalt :)
Köszi előre is az értelmezéseket ;)
KALMI
- A hozzászóláshoz be kell jelentkezni
Nagyából megfejtettem a dolgot, de nem teljesen értem:
Ez azt jelenti, hogy 8 pinget jelent, amit nem tudok, hogy sok vagy kevés, vagy mi a mércéje :)
a: '-A INPUT -i tun104 -s 10.4.0.0/24 -d 10.4.0.1 -p icmp -m icmp --icmp-type 8 -j ACCEPT"
c: '-A FORWARD -i tun104 -o tun104 -s 10.4.0.0/24 -d 10.4.0.0/24 -p icmp -m icmp --icmp-type 8 -j ACCEPT'
Ez a két sor is az SSH engedélyezéséről szól, de nem értem, hogy miért van két port megadva.
b: '-A INPUT -i tun104 -s 10.4.0.0/24 -d 10.4.0.1 -p tcp -m tcp --dport 2221 -j ACCEPT' ####Ezen a dport 2221-en mi található?
d: '-A FORWARD -i tun104 -o tun104 -s 10.4.0.0/24 -d 10.4.0.0/24 -p tcp -m tcp --dport 22 -j ACCEPT' ####- gondolom engedi az SSH-t
Remélem, jól gondolkodok ;)
U.I.
Kérdés az is, hogy ezek a beállítások kellenek-e egyáltalán nekem?
- A hozzászóláshoz be kell jelentkezni
Nem 8 db ping csomag, hanem az icmp-type mező 8 értéke az a ping kifele menő csomagtipusa ( lásd pl. itt http://www.nthelp.com/icmp.html )
Az ssh-nál meg azt tippelem, hogy csak simán áttette a saját gépén az ssh-szervert a 22-s portról a 2221-re, ezért engedi BE (INPUT + ACCEPT), ellenben ha rajta keresztül akar valaki ssh-szervert elérni, neki valószínűleg a 22-s portra kell mennie, ezért azt is engedélyezi (FORWARD+ACCEPT)
- A hozzászóláshoz be kell jelentkezni
(kötözködés - ;) ), Ennek mi az értelme, ha 22-es porton kintről fogadja az SSH-t, de belső hálózatban 2221-est használ? Nem az a cél, hogy "bármilyen" port jó, csak ne a gyári beállítás legyen?
- A hozzászóláshoz be kell jelentkezni
push "route 10.4.0.0 255.255.255.0"
---
A push, ha jól értem a kezdő számtól addig a számig fog terjedni, amit kiosztott a router a belső hálónak?
A push szimplán átküldi az OpenVPN szerverről az OpenVPN kliensnek a paraméterét, jelen esetben egy routing tábla beállítást a 10.4.0.0./24-es hálózat felé (ami amúgy az OpenVPN interfészre fog mutatni, hogy arra.)
- A hozzászóláshoz be kell jelentkezni
(Ne haragudjanak a profik, ha nem szakszavakkal írom, de próbálom értelmezni a dolgot és így lehet egyszerűbb lesz -> Ezért is a kezdő LINUX-ot választottam ;))
Ezt nem pontosan értem. Gyanítom ezt "10.4.0.0./24" kellene megértenem ehhez, hogy ez pontosan mit is jelent?
Viszont a végeredmény az lesz, hogy a cliens a belső hálózat "eredeti" IP tartományát fogja látni (olyan mintha a kliens gép fizikálisan ott lenne a router mögött és mindent láthat, amit a router mögött látnia lehet)? Kvázi az amit eredetileg is szerettem volna?
- A hozzászóláshoz be kell jelentkezni