Üdv!
Sikerült összehoznom az vpn kapcsolatot egy kis cégnél, klasszul belép, azonosítm kapcsolódik, azzal a kis bajjal, hogy egyedül az openvpn-t futtató szervert érem el, és pingelni is csak ezt tudom. ha ide belépek ssh-val klasszul látok mindent.
Az ottani hálózaton a szerverek (ne kérdezzétek miért ez, nem én voltam...) a 10.0.1.250/255.255.0.0 (vpn), és 10.0.1.252/255.255.0.0 (win). Namost a wint még csak pingelni sem tudom távolról...
server.conf:
port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
server 192.168.0.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/ipp.txt
push "route 10.0.0.0 255.255.0.0" # A helyi hálózathoz való routolás
push "dhcp-option DNS 10.0.1.250"
keepalive 10 120
comp-lzo
;client-to-client # Engedélyezi, hogy a távolról felcsatlakozó kliensek "lássák egymást"
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
verb 3
mute 20
Amúgy valamiért a nyavajás dns push sem akar menni :)
Ha van valakinek ötlete megköszönöm.
Üdv:
beze
- 2088 megtekintés
Hozzászólások
Nekem eddig 2 dolog segített ilyen probléma eseten:
1,ip_forward (set /proc/sys/net/ipv4/ip_forward to 1)
2, a default GW-nek a route táblájához hozzá kell adni az openvpn iptartományt és gw-nek azt a gépet amin az openvpn fut.
Lehet, hogy nem ez a legjobb, de nekem működik!
- A hozzászóláshoz be kell jelentkezni
Köszi a választ!
Mind a kettő egyszerre vagy elég az egyik :)
Nem vagyok hálózatos guru, még értelmeznem kell amit írtál.
Köszi:
beze
- A hozzászóláshoz be kell jelentkezni
a TUN/TAP dev fel van húzva, össze van bridgelve? tűzfalon TUN/TAP device-ra vonatkozó szabályok fel vannak véve?
- A hozzászóláshoz be kell jelentkezni
Szia!
tun az van, tap az nincs :/, és tűzfal sincs.
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:192.168.0.1 P-t-P:192.168.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:11237 errors:0 dropped:0 overruns:0 frame:0
TX packets:11805 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:2500411 (2.3 MiB) TX bytes:8630263 (8.2 MiB
Erre van valahol egy jó doksi, vagy kifejtenéd bővebben ha van időd?
Thx:
beze
Ui.: Ez a gép nem egy gateway, csak egy belső gép, ami a router mögött üldögél.
- A hozzászóláshoz be kell jelentkezni
Szia!
Nalunk is igy van megoldva, router mogotti belso gep az openvpn szerver. Ahhoz, hogy a becsatlakozott gepek lassak a belso halozatot, egy bridge-et kell csinalnod, leirom hogy en hogy csinaltam debian alatt.
A http://openvpn.net/ oldalon talaltam remek sample scripteket bridge-start es bridge-stop neven. Beletettem oket a /etc/openvpn konyvtarba, beleneztem, amit kellett modositottam (eth pontos neve, tap vagy tun pontos neve, ip, netmask, broadcast, gw), aztan a bridge-startot manualisan elinditottam. Kellett egy ip forward bekapcsolas meg egy atjaro beallitas ahhoz, hogy menjen a halozat:
echo 1 > /proc/sys/net/ipv4/ip_forward
route add default gw 192.168.2.1
Ezek utan mar volt halozat, es az openvpn kliensek is lattak remekul mindent a halozaton.
Aztan betettem rc2-be a bridge-startot, hogy ne kelljen minden ujrainditas utan manualisan futtatni.
Nagyjabol ennyi volt.
Ami fontos: ha az openvpn kliensnek veletlenul pont ugyanaz a belso halos tartomanya, mint ahova csatlakozik, akkor nem feltetlenul fogja latni a benti dolgokat. Ha nem latja, akkor vagy valtson otthoni ip tartomanyt, vagy meg tudod azt csinalni, hogy ezeknek a usereknek egyedileg beteszel push route parancsokat, ahol 255.255.255.255 maskkal adod meg konkretan azokat az IP cimeket, amiket el kell tudnia erni. Nalunk ez a modszer bevalt.
Remelem segitettem,
Luca
- A hozzászóláshoz be kell jelentkezni
Linuxon speckó up-down script kell a dns push-hoz, guglin meg fogod találni. Ahogy lentebb írták az ip_forwardot engedni kell. Ha nem akarsz natot, akkor azt ellenőrizd, hogy a vpn gatewayen megfelelők-e a route-ok a LAN-ból a VPN felé és hogy visszafelé is megvan-e. Némi wireshark vagy tcpdump fény szokott deríteni a dolgokra.
A windows-os kliensekre gondolom felkészültél hogy csak /30-akat osztasz nekik, mert különben nem fog menni. Egyébként is érdemes statikusan osztani az IP-ket (vpn kulcs commonname alapon lehet client-config dirbe tenni egyedi konfigokat), hogy tudj csomagszűrni, mert most még hiába nem kell, kelleni fog. :)
A client-to-client előtti kettőspont szándékos?
- A hozzászóláshoz be kell jelentkezni
A server.conf-ban nem elég a dev tun, hanem kell a dev tap is. Pontosabban meg kell adni, hogy csak a szerverről láthatók a kliensek, vagy a kliensek egymást is láthatják.
- A hozzászóláshoz be kell jelentkezni
Én úgy láttam (bár javítsatok, ha nem így van), hogy dev tun VAGY dev tap
- A hozzászóláshoz be kell jelentkezni
Ez igaz, csak irrelevans a kerdeshez. A belso gepek nem kliensei a tunelnek. Azt kell megoldja valahogy a szerveren, hogy valamilyen modon az ip tartomanyok lassak egymast, vagy bridge boddal egybe tartozzanak.
- A hozzászóláshoz be kell jelentkezni
Bocs hogy eltűntem, meg sem köszöntem, de hirtelen lett egyébb fontos dolgom :)
Értelmezem, reszelek, jövök vissza :D
Üdb.
bz
- A hozzászóláshoz be kell jelentkezni