Openvpn probléma

Fórumok

Üdv!

Sikerült összehoznom az vpn kapcsolatot egy kis cégnél, klasszul belép, azonosítm kapcsolódik, azzal a kis bajjal, hogy egyedül az openvpn-t futtató szervert érem el, és pingelni is csak ezt tudom. ha ide belépek ssh-val klasszul látok mindent.
Az ottani hálózaton a szerverek (ne kérdezzétek miért ez, nem én voltam...) a 10.0.1.250/255.255.0.0 (vpn), és 10.0.1.252/255.255.0.0 (win). Namost a wint még csak pingelni sem tudom távolról...

server.conf:
port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
server 192.168.0.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/ipp.txt
push "route 10.0.0.0 255.255.0.0" # A helyi hálózathoz való routolás
push "dhcp-option DNS 10.0.1.250"
keepalive 10 120
comp-lzo
;client-to-client # Engedélyezi, hogy a távolról felcsatlakozó kliensek "lássák egymást"
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
verb 3
mute 20

Amúgy valamiért a nyavajás dns push sem akar menni :)
Ha van valakinek ötlete megköszönöm.
Üdv:
beze

Hozzászólások

Nekem eddig 2 dolog segített ilyen probléma eseten:
1,ip_forward (set /proc/sys/net/ipv4/ip_forward to 1)
2, a default GW-nek a route táblájához hozzá kell adni az openvpn iptartományt és gw-nek azt a gépet amin az openvpn fut.

Lehet, hogy nem ez a legjobb, de nekem működik!

a TUN/TAP dev fel van húzva, össze van bridgelve? tűzfalon TUN/TAP device-ra vonatkozó szabályok fel vannak véve?

Szia!

tun az van, tap az nincs :/, és tűzfal sincs.

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:192.168.0.1 P-t-P:192.168.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:11237 errors:0 dropped:0 overruns:0 frame:0
TX packets:11805 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:2500411 (2.3 MiB) TX bytes:8630263 (8.2 MiB

Erre van valahol egy jó doksi, vagy kifejtenéd bővebben ha van időd?

Thx:
beze
Ui.: Ez a gép nem egy gateway, csak egy belső gép, ami a router mögött üldögél.

Szia!

Nalunk is igy van megoldva, router mogotti belso gep az openvpn szerver. Ahhoz, hogy a becsatlakozott gepek lassak a belso halozatot, egy bridge-et kell csinalnod, leirom hogy en hogy csinaltam debian alatt.

A http://openvpn.net/ oldalon talaltam remek sample scripteket bridge-start es bridge-stop neven. Beletettem oket a /etc/openvpn konyvtarba, beleneztem, amit kellett modositottam (eth pontos neve, tap vagy tun pontos neve, ip, netmask, broadcast, gw), aztan a bridge-startot manualisan elinditottam. Kellett egy ip forward bekapcsolas meg egy atjaro beallitas ahhoz, hogy menjen a halozat:

echo 1 > /proc/sys/net/ipv4/ip_forward
route add default gw 192.168.2.1

Ezek utan mar volt halozat, es az openvpn kliensek is lattak remekul mindent a halozaton.

Aztan betettem rc2-be a bridge-startot, hogy ne kelljen minden ujrainditas utan manualisan futtatni.

Nagyjabol ennyi volt.

Ami fontos: ha az openvpn kliensnek veletlenul pont ugyanaz a belso halos tartomanya, mint ahova csatlakozik, akkor nem feltetlenul fogja latni a benti dolgokat. Ha nem latja, akkor vagy valtson otthoni ip tartomanyt, vagy meg tudod azt csinalni, hogy ezeknek a usereknek egyedileg beteszel push route parancsokat, ahol 255.255.255.255 maskkal adod meg konkretan azokat az IP cimeket, amiket el kell tudnia erni. Nalunk ez a modszer bevalt.

Remelem segitettem,
Luca

Linuxon speckó up-down script kell a dns push-hoz, guglin meg fogod találni. Ahogy lentebb írták az ip_forwardot engedni kell. Ha nem akarsz natot, akkor azt ellenőrizd, hogy a vpn gatewayen megfelelők-e a route-ok a LAN-ból a VPN felé és hogy visszafelé is megvan-e. Némi wireshark vagy tcpdump fény szokott deríteni a dolgokra.

A windows-os kliensekre gondolom felkészültél hogy csak /30-akat osztasz nekik, mert különben nem fog menni. Egyébként is érdemes statikusan osztani az IP-ket (vpn kulcs commonname alapon lehet client-config dirbe tenni egyedi konfigokat), hogy tudj csomagszűrni, mert most még hiába nem kell, kelleni fog. :)

A client-to-client előtti kettőspont szándékos?

A server.conf-ban nem elég a dev tun, hanem kell a dev tap is. Pontosabban meg kell adni, hogy csak a szerverről láthatók a kliensek, vagy a kliensek egymást is láthatják.

Bocs hogy eltűntem, meg sem köszöntem, de hirtelen lett egyébb fontos dolgom :)
Értelmezem, reszelek, jövök vissza :D
Üdb.
bz