OpenVPN IP címváltás

Linux-security

Miért oszt ki új tap0 IP címet az OpenVPN szerver a klienseknek csak úgy menet közben? Nem lett újraindítva sem az openvpn sem a teljes szerver.

  • 7109 megtekintés

( gyuri2012 | 2014. 03. 15., szo – 15:24 )

Rossz a kérdés..., hogy állítottál be a klienseknek fix címet?

Alapból fix címeket ad. Az ovpn keyhez van kötve. Szóval vigyázni kell arra, hogy minden kliens saját keyt kapjon, mert ha kettő ugyanazt használja akkor ugyanazt a tap0 IP-t kapja a szervertől ami pont olyan hibákhoz vezet mintha normál ethernet hálózaton állítanál be azonos fix ip címet két gépre.

Hát..., ez nem így van.
Egyrészt a te példád rá a bizonyíték hogy nem így van..., másrészt lehet engedélyezni (sőt ez a default), hogy egy kulcsal több kliens is becsatlakhasson, ...és működik, nem azonos ip-ket kapnak. Hacsak nem rendelsz hozzájuk direkt..., de ezt nem tetted eddig.
A dhcp-re valóban hasonlít..., egy darabig azonos mac-re (kulcsra) azonos címet ad.

Szerintem lehet, mert nekem is így megy... ;-)
Az rendben van, hogy megmondhatod, hogy milyen IP tartományból osszon IP-t a cliensnek, de ha client.d/felhasznalo -ba megmondod, hogy:
'ifconfig-push IP netmask', akkor azt kapja. Na persze nem árt, ha a CERT neve is 'felhasznalo'.

Sőt, ott lehet routingot is kinyomni a cliensnek (pl.: több VLAN van, akkor a cliensnek kinyomhatod, hogy az adott VLAN-t merre találja 'push "route..."'.

De ha nem így csinálja a kedves kollégta, akkor úgy viselkedik, mint a DHCP és sokáig ugyanazt az IP-t kaphatja, majd egyszercsak másikat.

( bturi | 2014. 03. 17., h – 15:24 )

ezeket kell a konfigba betenni:


#ez a lényeg. a szerver.ipp filébe tárolja a cert és ip összerendelést.
ifconfig-pool-persist /etc/openvpn/server.ipp
persist-key
persist-tun
status /etc/openvpn/server_bridge.status 5
status-version 2