Szervusztok!
A sulimból szeretnék az otthoni openvpn szerveremre csatlakozni, és azon keresztül netezni. Tehát _minden_ kliens forgalmat szeretnék titkosított formában az otthoni gépemen keresztül bonyolítani.
Az otthoni gép:
Os: ubuntu 7.04
Hw: 2.8 cerka, 512ram
openvpn --version:
OpenVPN 2.0.9 i486-pc-linux-gnu [SSL] [LZO] [EPOLL] built on Jun 11 2008
Developed by James Yonan
Copyright (C) 2002-2005 OpenVPN Solutions LLC <info@openvpn.net>
(Nagyon szeretném, ha nem számítana a kliens oprendszere/vpn verziója, de minden esetre:
OpenVPN 2.1_rc7 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] built on Jun 11 2008
Developed by James Yonan
Ubuntu 8.04)
Otthon van egy router, amelyet dyndnsen keresztül találok meg, és az 1194-es udp port forwardolva van az otthoni gépre.
Szerver konfig: http://hup.pastebin.com/m73f43acb
Kliens konfig: http://hup.pastebin.com/m1b675f23
A login tls titkosítást egyelőre kikapcsoltam, majd ha működik visszakapcsolom.
A "szerver" gép belső hálója: 192.168.1.x
Kapcsolódás előtti route a kliensen:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
default 192.168.1.1 0.0.0.0 UG 0 0 0 eth1
A kapcsolódáás utáni route a kliensen:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
11.8.0.5 * 255.255.255.255 UH 0 0 0 tun0
<szerveripje> 192.168.1.1 255.255.255.255 UGH 0 0 0 eth1
11.8.0.0 11.8.0.5 255.255.255.0 UG 0 0 0 tun0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
default 11.8.0.5 128.0.0.0 UG 0 0 0 tun0
128.0.0.0 11.8.0.5 128.0.0.0 UG 0 0 0 tun0
default 192.168.1.1 0.0.0.0 UG 0 0 0 eth1
Errorok
Szerver:
Mon Oct 6 11:37:22 2008 meta/<kliensipje>:37036 SENT CONTROL [meta]: 'PUSH_REPLY,route 11.8.0.0 255.255.255.0,redirect-gateway def1,dhcp-option DNS 11.8.0.1,dhcp-option WINS 11.8.0.1,route 11.8.0.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 11.8.0.6 11.8.0.5' (status=1)
Mon Oct 6 11:37:45 2008 meta/<kliensipje>:37036 MULTI: bad source address from client [192.168.1.100], packet dropped
Kliens:
Mon Oct 6 13:37:19 2008 ifconfig tun0 11.8.0.6 pointopoint 11.8.0.5 mtu 1500
Mon Oct 6 13:37:19 2008 route add -net <szerveripje> netmask 255.255.255.255 gw 192.168.1.1
Mon Oct 6 13:37:19 2008 route add -net 0.0.0.0 netmask 128.0.0.0 gw 11.8.0.5
Mon Oct 6 13:37:19 2008 route add -net 128.0.0.0 netmask 128.0.0.0 gw 11.8.0.5
Mon Oct 6 13:37:20 2008 route add -net 11.8.0.0 netmask 255.255.255.0 gw 11.8.0.5
Mon Oct 6 13:37:20 2008 route add -net 11.8.0.0 netmask 255.255.255.0 gw 11.8.0.5
SIOCADDRT: File exists
Mon Oct 6 13:37:20 2008 ERROR: Linux route add command failed: shell command exited with error status: 7
Mon Oct 6 13:37:20 2008 Initialization Sequence Completed
A szerver és a kliens is a fentiek kivételével hiba nélkül üzemel.
Nagyon kezdő vagyok a témában, és a hálózati ismereteim mondjuk úgy, nem teljeskörűek:)
Szóval legyetek kedvesek, és segítsetek kideríteni, hogy mi a probléma oka. (A probléma az, hogy nincs internetem kapcsolódás után)
Remélem elegendő információval szolgáltam, ha mégsem akkor elnézést, írjátok le, hogy mi kell és be pumpálom azt is.
(Azért írogattam át 10.8...-ról 11.8...-ra vpnes hálót(nem tudom hogy nevezik ezt), mert van egy másik vpn kapcsolatom is
amelyet nem én konfiguráltam, és az a 10.8-on üzemel, tehát azzal nem szeretnék ütközni)
Előre is nagyon szépen köszönök minden segítséget.
- 2283 megtekintés
Hozzászólások
Hali !!!
Szerintem nem kellene minden traffic-ot a VPN-be tolni... főleg nem a default route-ot...
Mert onnantól kezdve nem tudja elküldeni a csomagot a VPN szervernek. (VPN alagútban küldené a VPN csomagot....)
Persze más hiba is lehet :D
Debian Linux rulez... :D
- A hozzászóláshoz be kell jelentkezni
a
push "route 11.8.0.0 255.255.255.0"
sort vegyed ki a server configbol!
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Igen, 2x van benne az a route... ezért adja a hibakódot, viszont ez inkább csak warning.
És persze mivel p2p, ezért nem kellene network route.
Viszont ha jobban megnézed, akkor 2db default route-ja van a kliensnek csatlakozás után.
És azt is írja a szerver, hogy 192.168.x.y-os címről jött a kérés, amit ő nem ismer, ezért eldob.
Szóval az "összes" traffic-ot nem nyomnám VPN-be...
Inkább proxy-t tennék fel a szerverre...
Debian Linux rulez... :D
- A hozzászóláshoz be kell jelentkezni
olvass openvpn mant :)
local -- Add the local flag if both OpenVPN servers are directly connected via a common subnet, such as with wireless. The local flag will
cause step 1 above to be omitted.
def1 -- Use this flag to override the default gateway by using 0.0.0.0/1 and 128.0.0.0/1 rather than 0.0.0.0/0. This has the benefit of
overriding but not wiping out the original default gateway.
bypass-dhcp -- Add a direct route to the DHCP server (if it is non-local) which bypasses the tunnel (Available on Windows clients, may not
be available on non-Windows clients).
bypass-dns -- Add a direct route to the DNS server(s) (if they are non-local) which bypasses the tunnel (Available on Windows clients, may
not be available on non-Windows clients).
valoban a server configban a redirect-gateway bypass-dhcp legyen.
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Wazz nem értelek...
És hidd el, sokat OpenVPN-ezek.
Tényleg van ilyen opció, hogy mindent (kivéve a kommunikációhoz szükséges csomagokat) toljon bele a tunnel-be.
Viszont nézzük a konfigot elölről:
A <-> B <-> NET <-> C <-> D
A: sulis gép (kilens)
B: sulis tűzfal
C: otthoni router
D: otthoni gép (szerver)
Azon kívül, hogy ez a konfig elég lassú elérést biztosít (mivel "A" kérésének kiszolgálása a következő: A->B->NET->C->D->C->NET->C->D->C->NET->B->A) nem szükségeltetitk alháló kialakítása, hanem point-to-point kapcsolat elégséges. Itt a lassulást az okozza, hogy vszínű, hogy egy ADSL-es gépen keresztül fog a kolléga netezni. És mint tudjuk, az ADSL-nek kicsi a feltöltési sebessége.
Ebben a konfigban az "A" gép így "látja" a kapcsolatot: (A->D->NET->D->A)
A "D" szerver error-ja:
Mon Oct 6 11:37:45 2008 meta/:37036 MULTI: bad source address from client [192.168.1.100], packet dropped
AZAZ: A szerver egy 192.168.1.100-as címről jövő kérést kapott, amit nem ismer.
VPN-en jött (VPN szerver logja), de nem a 11.8.0.0-ás hálóból.
MIÉRT? Mert a küldő "A" gép a saját sulis forráscímével küldte el a kérést. (Véletlen egybeesés, hogy mindkét lan a 192.168.1.0-ás hálót használja.)
És valójában ez a HIBA !!! Nincs Internet, mert a szerver eldobja a csomagokat!!!
A kliens hibája meg nem igazán érdekes:
Mon Oct 6 13:37:20 2008 route add -net 11.8.0.0 netmask 255.255.255.0 gw 11.8.0.5
Mon Oct 6 13:37:20 2008 route add -net 11.8.0.0 netmask 255.255.255.0 gw 11.8.0.5
SIOCADDRT: File exists
Mon Oct 6 13:37:20 2008 ERROR: Linux route add command failed: shell command exited with error status: 7
VAN MÁR ILYEN ROUTE !!! Ennyi.
Mondjuk még az is kérdéses, ha már nem dobálódzik a szerver, hogy mire kell a kollégának ez a kapcsolat. Ha csak böngészni, akkor egy Squid segítene neki, ha az otthoni hálón szeretne valamit elérni, akkor elég sok netfilter/iptables parancsot kell megtanulnia. :D (Ua. a subnet a vpn mindkét oldalán !!! 192.168.1.0)
Szóval véleményem szerint ezt kicsit át kellene nézni az elejéről kezdve.
Debian Linux rulez... :D
- A hozzászóláshoz be kell jelentkezni
Köszönöm az eddigi tanácsokat, bár sajnos nem nagyon történt változás:(
Azt szeretném egyébként, hogy az összes titkosítatlan kapcsolatom (http,ftp, pop, imap mittudomen) titkositottan menjen. Nekem mind1, hogy, csak meg kell oldanom:-)
Azt hittem ez a legegyszerűbb módszer...
Ha van más, jobb ötlet az is jöhet. De ez lenne a legtutibb.
________________________________________
2B or not 2B, that is FF. *̡͌l̡*̡̡ ̴̡ı̴̴̡ ̡̡͡|̲̲̲͡͡͡ ̲▫̲͡ ̲̲̲͡͡π̲̲͡͡ ̲̲͡▫̲̲͡͡ ̲|̡̡̡ ̡ ̴̡ı̴̡̡ *̡͌l̡*
- A hozzászóláshoz be kell jelentkezni
ha nem kotnek bele, egy live cd-vel jobban jarsz imho.
- A hozzászóláshoz be kell jelentkezni
Notebook... Nem a gép a baj, hanem a wifi, meg a nagytestvér:-) (meg a sok kis suttyó sniffeljünkmsnjelszótboi)
________________________________________
2B or not 2B, that is FF. *̡͌l̡*̡̡ ̴̡ı̴̴̡ ̡̡͡|̲̲̲͡͡͡ ̲▫̲͡ ̲̲̲͡͡π̲̲͡͡ ̲̲͡▫̲̲͡͡ ̲|̡̡̡ ̡ ̴̡ı̴̡̡ *̡͌l̡*
- A hozzászóláshoz be kell jelentkezni
igaz ez windows, de mindent belapatolok a vpnbe:
Mon Oct 06 19:27:59 2008 [xxxx] Peer Connection Initiated with 195.56.xx.xx:1194
Mon Oct 06 19:28:00 2008 SENT CONTROL [xxxx]: 'PUSH_REQUEST' (status=1)
Mon Oct 06 19:28:00 2008 PUSH: Received control message: 'PUSH_REPLY,route 10.10.10.0 255.255.255.0,topology net30,ifconfig 10.10.10.14 10.10.10.13'
Mon Oct 06 19:28:00 2008 Options error: Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:2: topology (2.0.9)
Mon Oct 06 19:28:00 2008 OPTIONS IMPORT: --ifconfig/up options modified
Mon Oct 06 19:28:00 2008 OPTIONS IMPORT: route options modified
Mon Oct 06 19:28:00 2008 TAP-WIN32 device [OpenVPN kapcsolat] opened: \\.\Global\{F57E8919-6921-4D47-A1CB-88BC987BEFA0}.tap
Mon Oct 06 19:28:00 2008 TAP-Win32 Driver Version 8.4
Mon Oct 06 19:28:00 2008 TAP-Win32 MTU=1500
Mon Oct 06 19:28:00 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.10.10.14/255.255.255.252 on interface {F57E8919-6921-4D47-A1CB-88BC987BEFA0} [DHCP-serv: 10.10.10.13, lease-time: 31536000]
Mon Oct 06 19:28:00 2008 Successful ARP Flush on interface [4] {F57E8919-6921-4D47-A1CB-88BC987BEFA0}
Mon Oct 06 19:28:00 2008 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 06 19:28:00 2008 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 06 19:28:01 2008 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 06 19:28:01 2008 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 06 19:28:02 2008 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up
Mon Oct 06 19:28:02 2008 route ADD 195.56.xx.xx MASK 255.255.255.255 192.168.10.1
Mon Oct 06 19:28:02 2008 Route addition via IPAPI succeeded
Mon Oct 06 19:28:02 2008 route DELETE 0.0.0.0 MASK 0.0.0.0 192.168.10.1
Mon Oct 06 19:28:02 2008 Route deletion via IPAPI succeeded
Mon Oct 06 19:28:02 2008 route ADD 0.0.0.0 MASK 0.0.0.0 10.10.10.13
Mon Oct 06 19:28:02 2008 Route addition via IPAPI succeeded
Mon Oct 06 19:28:02 2008 route ADD 10.10.10.0 MASK 255.255.255.0 10.10.10.13
Mon Oct 06 19:28:02 2008 Route addition via IPAPI succeeded
Mon Oct 06 19:28:02 2008 Initialization Sequence Completed
routeba berakja a server cimet, majd torli a def route-ot, majd hozzaadja az uj defroute-ot.
aztan tuloldalon meg csak sima masqolas van.
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
SSH tunnel squid proxy-ra?
Egyszeru, gyors stb.
Ha beallitod az ie-ben, akkor msn is azt fogja hasznalni alapbol.
Skype most vagy ebbol szedi szinten, vagy kulon kell beallitani.
Firefox-ban szinten lehet beallitani proxyt.
- A hozzászóláshoz be kell jelentkezni
De azzal nem tudok mindent átirányítani, gondolom én. Ilyen pl a kde-kio, vagy a thunderbirdben, firefoxban, skypeban a francnak van kedve szórakozni a proxyzással, extensionosdivel stb.
Tisztán az egész forgalmam szeretném titkosítani...
________________________________________
2B or not 2B, that is FF. *̡͌l̡*̡̡ ̴̡ı̴̴̡ ̡̡͡|̲̲̲͡͡͡ ̲▫̲͡ ̲̲̲͡͡π̲̲͡͡ ̲̲͡▫̲̲͡͡ ̲|̡̡̡ ̡ ̴̡ı̴̡̡ *̡͌l̡*
- A hozzászóláshoz be kell jelentkezni
szerintem is ssh tunnelt egyszerubb csinalni. tamogatja a socks protokolt (bongeszok, levelezokliensek, skype stb is tudja hasznalni) nem kavar bele a route-olasba, mukodik a nevfeloldas es user jogosultsagokkal is mukodik
udv Zoli
- A hozzászóláshoz be kell jelentkezni
Igen, ezt már próbáltam.
ssh -d 9999 user@host
Aztán proxychainsel használtam, egész jó eredményekkel, de azért nem az igazi.
Az egész kde sessiont megpróbáltam rajta keresztül indítani, ennekk nyomán nem ment az ftp (kio-ftp) és a firefox sem indult... Elég gányolás szaga volt...
De az is jó, ha arra van valakinek szép megoldása, hogy az összes kifelé irányuló kapcsolatot átirányítsam a localhost:9999-re...
________________________________________
2B or not 2B, that is FF. *̡͌l̡*̡̡ ̴̡ı̴̴̡ ̡̡͡|̲̲̲͡͡͡ ̲▫̲͡ ̲̲̲͡͡π̲̲͡͡ ̲̲͡▫̲̲͡͡ ̲|̡̡̡ ̡ ̴̡ı̴̡̡ *̡͌l̡*
- A hozzászóláshoz be kell jelentkezni
linux alatt pl a tsocks programmal tudod azt hazudni a tobbinek hogy ok tulkeppen kozvetlenul kapcsolodnak a halozatra, de nekem mukodik fetchmail is sockson keresztul es firefoxon is tudok ftpzni
udv Zoli
- A hozzászóláshoz be kell jelentkezni
Hmm... Az elsők közt azt próbáltam amikor ezzel elkezdtem játszani.
Baromira nem akart működni. De most, hogy felhoztad megint, futottam vele még egy kört, és kezd muzsikálni:-)
Most épp ott tartok, hogy külön xsessiont csináltam, amit a loginnál lehet választani (KDE TSOCKS), ez llogin után ssh-askpaskk-fullscreenel, majd utána seperc belép a szerverre (-NCD 9999), és tsockon keresztül elindítja a kdet.
Eddig minden szupernek tűnik, még ami hátra van az az , hogy a DNS kéréseket is valahogy átgyömöszöljem rajta. Ez már igazából nem katasztrófa, de attól hogy skizofréniás valaki még nem biztos hogy nem üldözik:-)
1szómint100: köszi:)
________________________________________
2B or not 2B, that is FF. *̡͌l̡*̡̡ ̴̡ı̴̴̡ ̡̡͡|̲̲̲͡͡͡ ̲▫̲͡ ̲̲̲͡͡π̲̲͡͡ ̲̲͡▫̲̲͡͡ ̲|̡̡̡ ̡ ̴̡ı̴̡̡ *̡͌l̡*
- A hozzászóláshoz be kell jelentkezni
mivan ha megszakad az alagut? az egesz session ugrik? masreszt nekem nagyon lassu! en inkabb a nomachine nxet hasznalom
udv Zoli
- A hozzászóláshoz be kell jelentkezni
Az eredeti kérdésedhez még hozzátenném:
ip route add .... src 11.8.0.x
Debian Linux rulez... :D
- A hozzászóláshoz be kell jelentkezni
Csuhi, nagyon frankón leírja a honlapján. Érdemes onnan szemezgetned a megoldást.
- A hozzászóláshoz be kell jelentkezni