OpenVPN kernel/tűzfal beállítások

UNIX kezdő

Sziasztok!

A probléma következő: van az egyetemen (fix ip cím) egy linuxos gépem (gentoo) ami éjjel nappal megy. Otthon is van netem (thome), gondolom nem fix IP címmel. Azt szeretném megtoldani hogy otthonról elérhessem azokat az eletrónikus folyóiratokat amiket az egyetem előfizet. Ez egy ip range alapján történik. Azt olvastam hogy VPN-el ez könnyen megoldható. Ergo azt szeretném ha otthoni gépről a munkahelyi gépemen keresztül annak az IP-jét használva netezhetnék (otthon Ubuntu van a masinán).

A kérdés az lenne hogy a server oldalalon a kernelbe miket kell beforgatnom (TUN/TAP modul megvan). Kell-e FULL NAT, IP FORWARDING etc vagy az csak akkor kell ha a sezerver még egy alhálózatot is kiszolgál. Illetve a másik kérdés hogy a tűzfalon mit kell engedélyeznem hogy ez működjön (server oldalon bekonfiguráltam egy egyéni iptableses tűzfalat, minden tiltva aztán megfelelő protokolokat egyenként engedélyezve, RELATED etc).

  • 1729 megtekintés

( corvusaze | 2009. 07. 14., k – 09:21 )

Ez kicsit LoL, hogy az EGYETEMről is ide járnak kérdezgetni ...

Elolvastam a kis leírásodat.

Ha a szerverre helyi hálózat (LAN) is csatlakozik, és azt szeretnénk, hogy a VPN kliensek kapcsolatot tudjanak létesíteni a LAN gépeivel, módosítsuk a szerver konfig állományában a
;push "route 192.168.10.0 255.255.255.0"
sort a saját LAN-unk ip tartományának megfelelően, majd töröljük ki a ; jelet a sor elejéről.

Ha azt szeretnénk, hogy a LAN kliensei is kapcsolatot tudjanak létesíteni a 10.20.0.0/24-es tartamányt használó VPN kliensekkel, építsük be a következő sort a tűzfalunkba:
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Megnéztem a vpn-et engedélyező sorokat a mellékelt tűzfal konfigban:

INTIFVPN0="tun0"
echo " Accept all from $INTIFVPN0 and localhost"
$IPTABLES -A INPUT -i $INTIFVPN0 -j ACCEPT
echo " OpenVPN 1194"
$IPTABLES -A INPUT -p tcp -i $EXTIF --dport 1194 -j ACCEPT
$IPTABLES -A INPUT -p udp -i $EXTIF --dport 1194 -j ACCEPT

Nekem nincs a server alatt semmi egyéb alhálózat (LAN). Az alap beállításoknál nincs semmiféle NAT, FORWARD, MASQUERADE cucc...ergo kell nekem a kernelbe beforgatni ezeket (full nat, port fworwarding etc) vagy ha van tun/tap akkor az elég?

Az openvpn oldalt olvasgattam de ott valahogy sokkal bonyolultabban van megoldva minden és olyan eseteket tárgyal ami nem konkrétan az én egyszerű problémámról szól (pl összevissza natol belső cím tartomáynokat x különböző groupot hoz létre akik másféle jogsolutságokkal ill protokolok használatára képesek) és nem igazán tudom kihámozni hogy nekem ebből mire van szükségem.

Köszönöm a linket az oldaladra elolvasom.

Megjegyezném hogy lejárt a https tanúsítványod.
A csuhai.hu érvénytelen biztonsági tanúsítványt használ.

A tanúsítvány nem megbízható, mert a kibocsátó tanúsítványa ismeretlen.
A tanúsítvány lejárt: 2009-03-27 12:23.

(Hibakód: sec_error_unknown_issuer)

Igen, ott kitérnek a bonyolultabb esetekre is, lehet variálni bőven. Alul már írták, de akkor a redirect gateway kell neked.

OFF
Igen, tényleg meg kellene már újítanom a tanúsítványt, viszont mivel cacert.orgos, ezért akkor is kiabálnak a böngészők ha újra érvényesítem. Az internet explorert még megértem, mert az egyébként is egy bughalmaz, teljesen mindegy hogy n vagy n+1 dolgot csinál szarul, nade hogy pl a Firefoxnak miért kell ezt majdmolnia, azt nemértem.
ON

--
http://csuhai.hu

( donzoronzo | 2009. 07. 14., k – 11:00 )

ha azt akarod, hogy minden forgalom a munkahelyi szerveren menjen át, akkor nem árt a nat és a bekapcsolt ip forwarding.
ilyenkor kell egy push "redirect-gateway def1" direktíva a konfig fájlba.
egy port szükséges, ezt is te adod meg.

Igazából nekem elég csak ha a web böngészés megy a munkahelyen keresztül (mert az elektrónikus újság előfizetés a munkahelyi ipcímemet ismeri fel), és azt sem akarom mindig csak akkor ha otthonra is viszek munkát és egy cikket le kell töltenem fulltexten.

(Idáig úgy csináltam hogy ssh -X-el beléptem indítottam egy böngészőt aztán malmoztam amig a grafikus cucot áttnyomta nekem az ssh-n keresztül az otthoni displayre, és erre mondta egy ismerősöm hogy miért nem próbálom ki ezt a vpn-t mert ott az lenne hogy a munkahelyi gépemen keresztül lenne áttunelezve a forgalom, de a web böngésző az én gépemen futtatná a megjelenítést és nem az egyébként nem túl erős kapcsolaton jönne grafikus formában a display. Próbáltam én elolvasni mindenféle faq-t a neten de nem nagyon értettem meg a sok bonyolult példa mellett hogy az én esetemben pontosan mi is kell és hogyan kellene beállítani az iptablest a szerveren, meg mi kell a kernelbe ahhoz hogy működjön).

Amit én kihámoztam az kb az hogy a szerveren be kell forditani ezt a tun/tap modult, aztán iptablesben ami jön/megy a tun/tap-ra azt engedélyezni kell illetve a konfigfájlban megadott porton engedélyezni kell udp kapcsolatot (tcp-t is? mindig csak az udp-ről írtak ami nekem picit gyanús). De lehet hogy nem jól gondolom :-) azért írtam ide.

openvpn: lehet udp és tcp is, konfig fájlban megadható.

neked igazából elég lenne egy http proxy sztem, ha csak erre kell.
vagy használhatod az ssh-t -D [otthoni gép portszáma] paraméterrel, ami egy socks proxy-t csinál a helyi gépen, a böngésző proxy beállításánál pedig megadod, hogy localhost:portszám
lehet vpn-t ssh-val is csinálni, de legegyszerűbben talán pptp vpn-t létrehozni (kevésbé biztonságos). utóbbihoz 1723-as port és gre protokoll engedélyezése szükséges. van sok lehetőség, ...