Open Vpn

Debian GNU/Linux

Szervusztok,
Feltettem egy OpenVpn szervert a Debianra. A telepítés hiba nélkül megy, a kapcsolódás is, némi hibával a tapi interfészen nem kapok gateway-t van valakinek ötlete mit nem állítottam be jól???
Ethernet-adapter Helyi kapcsolat 5:

Kapcsolatspecifikus DNS-utótag. . . . :
Leírás. . . . . . . . . . . . . . . . : TAP-Win32 Adapter V8
Fizikai cím . . . . . . . . . . . . . : 00-FF-63-84-B9-DF
DHCP engedélyezve . . . . . . . . . . : Igen
Automatikus konfiguráció engedélyezve : Igen
IP-cím. . . . . . . . . . . . . . . . : 10.8.0.6
Alhálózati maszk. . . . . . . . . . . : 255.255.255.252
Alapértelmezett átjáró. . . . . . . . :
DHCP kiszolgáló . . . . . . . . . . . : 10.8.0.5
Bérleti jog kezdete . . . . . . . . . : 2007. október 20. 23:06:25
Bérleti jog vége. . . . . . . . . . . : 2008. október 19. 23:06:25

  • 3462 megtekintés

( LiRul v | 2007. 10. 21., v – 09:47 )

Eleg ritka az, amikor egy vpn tunnel lesz a default gatewayed. Biztos ezt akarod? Minden forgalmat a vpnbe akarsz terelni?

Azért ez nem akkora hüjeség, mivel az openvpn-ben van erre külön móccer: http://openvpn.net/howto.html#redirect
Rögtön le is írják, hogy nem túl jó tipp sebesség szempontból, cserébe a vpn adminnak több ráhatása lesz a kapcsolódás közbeni hálózati elérésre. Sok helyen, pl. publikus wifiről vagy bármilyen kevéssé megbízható hálózatről, céges laptoppal eléggé merész csak úgy netezgetni. :)

( Elbandi v | 2007. 10. 21., v – 14:53 )

kliens config fajlba: redirect-gateway

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Ezt elvben default kellene a winnek tolni. Alapvetően a dolog úgy épül fel, hogy ha egy interfész feláll, és annak van egy adott IP-je + netmaskja, akkor ami abba a hálóba tartozik a netmask alapján az azon az interfészen megy ki.
Én átmeneti megoldásként a 255.255.255.252-es netmaszkot átvésném 255.255.255.0-s netmaszkká, hátha.

( Todvard | 2007. 10. 21., v – 20:19 )

szerintem a valaszt mar megkaptad az elso valaszadotol. egyebkent a VPN kiepulese utan mi a "route print" parancs kimenete a windows-os kliensen es szerinted hogy kellene kineznie?

Akkor mégegyszer leírom: A netmaszkot át kellene állítani 255.255.255.252-ről 255.255.255.0-ra. És ha kell, még kétszer, amíg el nem olvasod.

Ugyanis a netmaszk, amit használsz nem igazán yó, mert a 252 végű hálóban öszesen csak 3 gép lehet, ami elég kevés. Ugye statikus routing-ot problematikus csinálni...

Ez szerverbeállítás, így arrafele kellene keresgélni. Ya, és ha már keresgélsz, olvasd már el, hogy mit jelent a netmaszk.

A push "route-gateway..." kikommentezése is yó ötletnek láccik

LOL Akkor én is leírom még 1x :) nem én használom a 252 végűt :))))
nekem 255.255.255.0 a netmask :) sztem osszekeversz a post szerzőjével :)
vagy nem?
amugy ez a route print kimenet nálam:

Destination Netmask Gateway Interface
0.0.0.0 0.0.0.0 192.168.240.1 192.168.240.8
192.168.240.0 255.255.252.0 192.168.240.8 192.168.240.8
192.168.240.0 255.255.252.0 192.168.240.1 192.168.240.8
192.168.240.8 255.255.255.255 127.0.0.1 127.0.0.1
192.168.240.255 255.255.255.255 192.168.240.8 192.168.240.8

ha kikommentezem, akkor minden kiveve a 192.168.240.... az adsl-en megy ki, de a vpn szerveren kivul nem latom a mogotte levo halot :(
ezert en az iptables-re tippelek

###################################
# OpenVPN bridge config, Linux side

port 1194

proto udp
tun-mtu 1500

dev tap

ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
cipher DES-EDE3-CBC

server 192.168.240.0 255.255.255.0
ifconfig-pool-persist ipp.txt

push "route 192.168.240.0 255.255.255.0"
max-clients 100

push "dhcp-option DNS *************"
push "dhcp-option DNS *************"
push "dhcp-option DOMAIN *************"
push "redirect-gateway"

# Cette ligne permet aux clients de voire les autres clients
client-to-client
tls-auth ta.key 0

nalam ez a szerver conf

a push "redirect-gateway" miatt minden kliensnel a default GW a vpn lesz. ezt vedd ki, es akkor a kliens config hatarozza meg hogy minden vpnen keresztul megy, vagy csak az adott ip.

Ha a belso halonak ezt a gep a default gwje, akkor egyszeru:
a vpn ne 192.168.240. legyen, hanem valami mas!

a push "route ..." miatt a vpn kliensek tuni fogjak hogy a belso halot a vpnen keresztul erik el. a valaszokban a belso halos gepek meg az "idegen" vpn ipjet ugyis a vpnnek kuldik.

szerk: zolti ugyanezt irta itt
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Zoldsegeket irsz. Egy 30-as netmask siman megfelel VPN-hez, boven eleg, ha csak a VPN masik vegpontjat eri el a kliens (amugy altalanosan hasznalt megoldas, hogy win-es klienseknel a minimalis 30-as netmask van beallitva szerveroldalon, linux kliensnel nem kell elvesztegetni a plusz 2 IP cimet network address/ broadcast celjabol).

amugy altalanosan hasznalt megoldas

Pontositanek, ez kotelezo es elvaras win32-es host eseten, nem csak ajanlott.

Each pair of ifconfig-push addresses represent the virtual client and server IP endpoints. They must be taken from successive /30 subnets in order to be compatible with Windows clients and the TAP-Win32 driver.

na most sikerult ugy beloni, hogy a net az ADSL-re megy a belso halo meg a vpn-re, DE ehhez nálam az alábbiakat kellett a server configjaban beallitani:

#push "redirect-gateway"
push "route 192.168.40.0 255.255.255.0"
utana, ha van tobb halo, akkor push "route 192.168.n.0 255.255.255.0"

azt a route-ot nem kell beleirni amiben a szerver van, mert akkor duplikalva lesz
nekem igy jo, DE meg mindig lassu :( miert lehet lassu?

( zsolt3220 | 2007. 10. 30., k – 10:11 )

szal nálam még mindíg lassú a vpn :(
samba-rol, ha masolok, akkor 200-240Kb kozott ugral, pedig 4Megas adsl :(
miert?
igaz a Firefox a netrol 200-rol indul, de folyamatosan felgyorsul 300 fölé, de akkor is furcsa...