Sziasztok!
Úgy alakult, hogy össze kellene kötnöm 2 telephelyünket.
Van az egyik helyen egy Debian szerver, aminek van publikus ip címe is, így kézenfekvőnek tűnt, hogy abból csinálok OpenVPN szervert. Különböző leírásokból sikerült is elindítani a szervert, ami létrehozza a tun0 eszközt, de XP klienssel sehogy nem tudok csatlakozni a tun0-hoz.
Jelenleg az XP kliens uyganabban az alhálózatban van, mert arra gondoltam, így könnyebb a próbálkozás.
Amit több, mint gyanúsnak találok:
a szerver indításakor a tun0 teljesen halottnak tűnik:
tun0 Link encap:UNSPEC HWaddr 00-00-D8-6E-01-40-40-FB-00-00-00-00-00-00-00-00
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Illetve a client.ovpn indításakor hibát ír ki, miszerint "Cannot load certificate file:..."
Segítség képpen még mellékelem a server.conf tartalmát:
local xxx.xxx.xxx.xxx
port 1194
proto udp
dev tun0
#dev-node TAP
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/ipp.txt
push "route 192.168.10.0 255.255.255.0" # A helyi hl;client-to-client # Engedlyezi, hogy a tvolrpersist-tun
status /var/log/openvpn/openvpn-status.log
verb 3
mute 20
Illetve a client.ovpn tartalmát:
client
pull
dev tun
proto udp
remote xxx.xxx.xxx.xxx 1194
nobind
persist-key
persist-tun
ca C:\\Program files\\OpenVPN\\config\\ca.crt
cert C:\\Program files\\OpenVPN\\config\\client00.crt
key C:\\Program files\\OpenVPN\\config\\client00.key
auth-user-pass
ns-cert-type server
cipher AES-128-CBC
comp-lzo
verb 3
Kliens oldalon a client.ovpn-ben hivatkozott cert-ek vannak.
Mivel ez az első vpn szerverem, így nem tudom, mit hagytam ki (iptables szabályok, stb.).
Aki tud, kérem segítsen!
Thx, Sanyi
Hozzászólások
az XP-ben helyükre vannak másolva a certificate-k ?
Celeron-M 1400Mhz, 768M, Debian SID, 2.6.22
A C:\Program Füles\OpenVPN\config könyvtárban a következők vannak:
ca.crt
ca.key
client00.crt
client00.csr
client00.key
client.ovpn
key.txt
Lehet, hogy a hiányzók valamelyikére hivatkozni kellene a client.ovpn-ben? Merthogy a client.ovpn nem mindegyikre hivatkozik... De melyikre, és milyen szintaktikával?
Thx, Sanyi
remek már csak a client.opvn modosítsad
hogy megtalálja a kulcsot mert most ez van benne
cert C:\\Program files\\OpenVPN\\config\\client.crt
neked meg client00.crt a kulcs neve nem client.crt
ezért nem tudja betölteni, szóval írd át a jó kulcsokra a konfigot
Celeron-M 1400Mhz, 768M, Debian SID, 2.6.22
Igen, ezt én is észrevettem, javítottam is, de semmi változás: ugyanúgy kéri a nevet, jelszót, majd hibát ír, miszerint nem találja a cert-eket...
Pedig ott vannak, és ami a client.ovpn-ben van, azok vannak a config könyvtárban is.
Szerver oldalon
ca.crt
ca.key
dh1024.pem
ipp.txt
server.crt
server.key
server.csr
file-ok vannak az /etc/openvpn dirben.
én inkább valami routolási gondra (is) gyanakszom. Bár a cert-ek hiánya nem ezt tükrözi.
Thx, Sanyi
OK, a cert-ek megoldódtak, a client.ovpn-ben relatív hivatkozásokat kellett alkalmazni, tehát nem
cert C:\\Program Füles\\OpenVPN\\config\\client.crt, hanem
cert client.crt
Tehát a cert gondokon túl vagyok.
Ami most a probléma: név/jelszó megadása után folyamatosan azt írja, hogy
"TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Route: Waiting for TUN/TAP interface to come up"
Majd a végén:
"Initialization sequence completed with errors"
Thx, Sanyi
nekem nem relativ uttal megy hanem
ca C:\\Progra~1\\OpenVPN\\config\\ca.crt
cert C:\\Progra~1\\OpenVPN\\config\\kornel_xp.crt
key C:\\Progra~1\\OpenVPN\\config\\kornel_xp.key
és openvpn.bat al indítom amiben ez van
cd \"Program Files"\OpenVPN
bin\openvpn.exe --config config\client.ovpn
Celeron-M 1400Mhz, 768M, Debian SID, 2.6.22
"pre shared" -el megy?
Közben a tun eszközömet dhcp-re állítva megoldódott a probléma. Mostmár a kapcsolódás végén
"Initialization Sequence Completed" üzenetet kapok. De...
... a routolások miatt a lokális hálózatomat nem tudom elérni, sőt a vpn szervert sem tudom pingelni az ő 10.8.0.1-es címén.
Segítsetek, mit hova routoljak!?
Thx, Sanyi
alapesetben semmit sehova, openvpn lemeccseli a routingot. Mondjuk emlekeim szerint en dhcp-t sem allitottam amikor a sajatomat jottem be. de ha jol ertem hogy azonos alhalon vagy a vpn szerverrel, akkor neked nagyon nem lesz jo...
A jelenlegi gép azonos alhálón van a vpn szerverrel, de majd az éles használatnál egy másik telephely másik gépét akarom csatolni a vpn szerverre.
Gondolod akkor menni fog a vpn alap beállításaival?
Jah, még valami: win98-on tudom telepíteni az openvpn klienst? Vagy a win98 beépített vpn kliense kompatibilis az openvpn-nel?
Thx, Sanyi
Sziasztok!
Újra elővettem az OpenVPN problémát...
Az az érzésem, hogy valami szerver oldalon nem oké.
Ezt abból gondolom, hogy a server.conf-ban felvett 1194-es portot az nmap nem látja, úgy tűnik, mintha nem lenne nyitva.
Az openvpn természetesen el van indítva, és hibát sem jelzett az indításakor!
Mi lehet a gond, mit csináltam rosszul. A konfihg még mindig e kezdő hozzászólásomban szereplő!
Thx, Sanyi
pl alapesetben udp-t haszál az openvpn nem tcp-t ...nmap alapból tcp-t néz
Jogos, erre nem figyeltem...
De sajnos a 1194 nyitva van, tehát nem ez volt a gond.
Más hiba esetleg?
Thx, Sanyi
Talan ha el is mondanad, hogy konkretan mi nem mukodik ???
Én használok benne néhány plusz beállítást nézd át hátha segít!
/etc/openvpn/openvpn.conf
============================================================================
port 1194
proto udp
dev tun0
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key # This file should be kept secret
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
server 172.16.10.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/ipp.txt
push "route 192.168.10.0 255.255.255.0"
keepalive 10 120
comp-lzo
max-clients 10
client-to-client
user nobody
group nobody
persist-key
persist-tun
status /tmp/openvpn-status.log
log-append /var/log/openvpn.log
============================================================================
OK, köszi, ezeket ki fogom próbálni, de csak este, mikor hazaérek.
A 172.16.10.0 255.255.255.0 gondolom annak a szervernek az ip címe, ami futtatja az openvpn-t (tehát önmaga)!?
Thx, Sanyi
Nem igazán!
A 172.16.10.0/24 a VPN-ben lévő alhálózatot ip tartománya.
Ebben a tartományban a szerver címe 172.16.10.1!
A biztonság kevéért bevágom a cliens conf-ot is:
================================================
client
dev tun
proto udp
remote xxxxx.homeip.net 1194
resolv-retry infinite
nobind
persist-key
persist-tun
tun-mtu 1500
comp-lzo
ns-cert-type server
ca ca.crt
cert client00.crt
key client00.key
ping 5
================================================
Üdv:Toushe
OK, jogos!
Igazatok van, elnéztem a 0-t a végén!
Igen, ha 0-ra végződik, akkor az egy címtartományt jelöl.
Közben az merült fel bennem, hogy az otthoni gépem nem látja a szerver 1194-es portját, de ez rajtam kívülálló hiba, már dolgozunk az engedélyezésén.
Amíg ez meg nem történik, addig nem is tudok kísérletezni.
De mihelyt megvan, próbálkozok!
Addig is köszi mindenkinek!
Sanyi
sanyi, a C típusú alhálók esetén a 0 utolsó szám a hálózat tartomány-IP-jét jelenti. Azaz a 192.168.2.0/24 az a 192.168.2.XXX IP-jű gépek alhálója.
Csak egy ötlet:
.: http://www.geekportal.hu :.
Eccerűbb:
Üdv Kedves Mindenki!
Még mindig az OpenVPN-nel harcolok...
Problémám: mikor itthonról, XP kliensről próbálok a szeverhez csatlakozni, akkor bekéri a nevet, jelszót (itt a unix nevet/jelszót adom meg), majd lefutnak a sorok, minek a végén azt írja , hogy:
Viszon ezek után sem tudom a szervert pingelni sem a 192.168.10.252-es munkahelyi-belső-hálózatos ipcímén, sem a VPN címén, sehogy.
A kliens tun interfésze 10.8.0.6-os, másik ip címe: 192.168.12.67, az ifconfig szerint a szerver VPN címei:
Viszont a kliens szerint a dhcp kiszolgáló, amitől a 10.8.0.6os címet kapta, a 10.8.0.5-ös gép
Ami még gyanús, hogy:
a kliens a név jelszó után néhány Warinig üzenetet dob:
link-mtu
tun-mtu
cipher
Segítsetek, mi hiányzik még?
Ui.: bocs, ha kicsit soka szám, de próbáltam minden paramétart megadni a hibakereséshez.
Köszi, Sanyi
XP-n beállítottad az ip-forward-ot?
Ezt végignézted már?
Szia!
Én is nézegetem otthon az OpenVPN újra. Én virtuális Ubuntu gépen telepítettem a szervert forrásból (erre készítettem egy pici doksit) majd egy virtuális XP-vel kapcsolódom hozzá. A kapcslódás sikerült, XP megkapja az IP-t, szerver IP tudok pingelni. Egyelőre ennyi. De usernév és jelszót nem kér. Ez melyik beállítás is lenne?
Ahogy én próbáltam:
Ubuntu 7.04 - 2 intefész, egyik NAT-olva Virtualbox-al, másik belső IP-ra állítva ami 192.168.2.1.
XP Prof. SP2 - 1 intefész, ami 192.168.2.2, gateway 192.168.2.1.
Persze ez szerintem pont nem jó, mert így egy alhálóban vannak, és így nincs értelme a tesztelésnek, de még nem tudom hogy folytassam, teszteljem. A lényeg az lenne, hogy teljesen életszerű legyen.
Sajnos továbbra sem boldogulok...
Ami feltűnő:
a server.conf-ban benne van, hogy
"server 10.8.0.0 255.255.255.0"
Ezzel szemben az ifconfig tun0 parancs kimenetében a "mask 255.255.255.255" szerepel.
Rosszul hiszem, hogy a server.confban megadott sor azt jelenti, hogy milyen tartománybón legyen a tun0, milyen netmaskkal?
Mit tegyek, hogy az ifconfig tun0 kimenetében is 255.255.255.0 legyena mask?
Segítsetek!
Köszi, Sanyi
semmit, ez igy van jol!
nalam ilyen a szerveren:
a kliensen meg 255.255.255.252-es netmaskom van. a kliens ipk meg client-config-dir-el vannak megadva. es mukodik ;)
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
akkor mit baltázok el?
merthogy nálam is kb ez a felállás, kliensen nálam is 255.255.255.252 as netmask.
De mégsem megy!
ha valaki tud dobni 1 XP kliensből, és egy linuxos OpenVPN szerverből álló conf-gyűjteményt, akkor ne fogja vissza magát...
Kliensemnek 192.168.12.67 az IPje, a szerver külső IPje xxx.yyy.zzz.www, belső címe 192.168.10.252.
Mit csináljak, hogy végre működjön???
sanyi