Sziasztok,
Segitseget szeretnek kerni.
Van egy openvpn server melyre szeretnek csatlakozni ubuntu 9.04 alol.
Beallitottam a cliensen a configot, felpakoltam a szukseges fileokat , probalok csatlakozni de nem megy.
ezt irja a logban :
Attempting to establish TCP connection with x.x.x.x:1194 [nonblock]
May 12 17:57:23 sztupi ovpn-vpnclient[3374]: TCP: connect to x.x.x.x:1194 failed
A szerver mukodik rendben , latszik ,h felepitette a tunelt van ipcime de nem tudok csatlakozni.
Kerlek segitsetek.
Koszi
lelkesz
ime a vpnclient.conf:
remote x.x.x.x 1194
client
dev tun
proto tcp
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert imre.crt
key imre.key
dh dh2048.pem
comp-lzo
verb 1
mute 5
#auth-user-pass
ns-cert-type server
#conf vége
- 1105 megtekintés
Hozzászólások
Nem tudok értelmeset hozzá tenni egyelőre, ezért inkább idemásolom az XP-s openvpn kliens configot, hátha segít:
client
dev tap
proto udp
remote tavoligep.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert jakab.crt
key jakab.key
comp-lzo
verb 3
- A hozzászóláshoz be kell jelentkezni
Szia!
Szerintem először állítsd bőbeszédűbbre a logolást, pl. verb 3 esetleg verb 5-re, annak a kimenetéből akár ki is derülhet valami. Ha lehet, akkor a szerveren is meg kell nézni a logot.
üdv.
dacas
- A hozzászóláshoz be kell jelentkezni
Server config?
|| "Software is like sex: it's better when it's free." Linus Torvalds || Visit Gorkhaan's Homepage
- A hozzászóláshoz be kell jelentkezni
Elso blikk-re jonak tunik.
Kellene a serverconfig ahogy Gorkhaan mondta.
Egyebkent erdemes a configokat osszehasonlitani.
Altalban a remoteaddress cimet, protot ill a proto-t szoktak elirni.
sztupi
- A hozzászóláshoz be kell jelentkezni
Ez volt a megoldas . a ser.conf-ban a proto tcp volt a client.confban a proto meg udp.
Mukodik
Koszonom a segitsegeteket
lelkesz
- A hozzászóláshoz be kell jelentkezni
Azt, hogy a szerverhez nem tud csatlakozni, igen sok minden okozhatja.
5letek:
Szerver IP (x.x.x.x) biztos jó-e?
Szerver port ok? (Nem UDP véletlen? - ha igen, akkor a kliens konfigban proto udp kell.)
Tűzfalak? Helyi géped tűzfala kienged? Szerveren vagy előtte az útba eső tűzfalak nem blokkolják e az konfigurált OpenVPN portot.
Ahogyan előttem is jelezték, egy részletesebb logolás sokat mondhat (verb 1 helyett vagy 5,7)
Meg esetleg bele lehetne nézni a szerver konfigba is.
A kliens konfigod egyébként formailag jónak tűnik.
---------------------------------------------------
Talisker Single Malt Scotch Whisky aged 10 years :)
- A hozzászóláshoz be kell jelentkezni
Sziasztok,
Mint már mondottam , működik rendesen a vpn . Viszont van egy egyenlőre elméleti kérdésem.
A vpn felállása a következő:
Linux openvpnserver rajta tűzfal, ez csatlakozik a céges belső hálózathoz . A belső hálón vegyesen Linux ,Windows szerverek és Windows kliensek.
A vpn külső oldalán Windows kliensekkel csatlakoznának fel a belső hálóra.
A külsős kliens gépek saját tulajdonban vannak , tehát ezekre nincs semmi féle ráhatásom (oprendszer, frissítés, vírus kereső stb...) és ebből adódik a gondom is. Mégpedig azt, hogy a belső hálón mit érnek el a userek azt a tűzfallal remekül tudom szabályozni, de mi van ha pl a külsős pc fertőzött. Hogyan tudom ezt a problémát kiszűrni ???
Várom az ötleteket
Üdv
Lelkész
- A hozzászóláshoz be kell jelentkezni
Ha ráengeded a teljes hálóra őket, akkor a helyi gépeken kell mindenféle okosságot elkövetni.
Számukra a fenti olvasat alapján ezek a külsős gépek, ugyan olyanok, mintha lokál hálósak lennének, kb ugyanennyi veszélyt is jelentenek.
Ha a külsős gépek egyébként a belsős klienseket is kell, hogy elérjék?
Esetleg windowsos szervereket?
Mindazonáltal a tűzfalon a vpn forgalmat is lehet szűrögetni, így elvileg megoldható, hogy csak kijelölt gépeket/szervereket érhessenek el kintről.
Én nemrég raktam össze egy ilyesmi VPN-t kb 100 kliens géppel. Én koppra mindent lezártam rajta, csak a ping, meg egy adott TCP port látható a kliensekről a szerveren (amin a VPN szerver szoftver is fut). A kliensek egymást nem tudják elérni a VPN-en keresztül, mivel minden ilyen jellegű forwardingot tiltok. Pont azért, hogy az ellenőrízetlen kliens gépek egymást ne tudják lefertőzni, ha valamelyiken elszabadul egy virnyák.
Szóval minden azon múlik, hogy mit kell hogy el tudjanak érni a külsős masinák. Ami nem kell, azt mindent tiltani.
Legalábbis nálam most ez az elv van követve.
---------------------------------------------------
Talisker Single Malt Scotch Whisky aged 10 years :)
- A hozzászóláshoz be kell jelentkezni
Windows servert kell, h elerjenek azon belul is csak egy alkalmazast.
Akkor tuzfal csak es kizarolag arra az egy gepre engedi at a forgalmat semmi masra.
Azt mondod ez eleg lesz ?
- A hozzászóláshoz be kell jelentkezni
Az iptables-el simán le tudod szűrni, hogy milyen belső IP-re milyen port(ok)ra engedsz forgalmat.
Ha a külső gépek más belső IP-kre nem látnak el, akkor fertőzgetni sem tudják őket direktben.
---------------------------------------------------
Talisker Single Malt Scotch Whisky aged 10 years :)
- A hozzászóláshoz be kell jelentkezni
Ok! Koszi, akkor igy lesz.
- A hozzászóláshoz be kell jelentkezni