AbcLinuxu:/ Poradna / Linuxová poradna / OpenVPN spojení

Štítky: AbcLinuxu, DNS, Internet, KDE, kernel, LAN, OpenVPN, sítě

Dotaz: OpenVPN spojení

10.12.2006 21:31 vasek125 | skóre: 30 | Mladá Boleslav
OpenVPN spojení

Přečteno: 579×

Odpovědět | Admin

Ahoj. Mám síť 192.168.1.0/24. Přes router s veřejnou ip adresou x.x.x.x je jeden port přesměrován na server 192.168.1.2, kde je openvpn nainstalován. Z klienta(openvpn), který je na Windowsu v jiné síťi z venku se server 192.168.1.2 připojím. To je ale asi tak všechno. Ani pingovat nemohu. Chci, aby se klient z jiné sítě 192.168.1.5 připojil do této sítě 192.168.1.0/24 a stal se tak vlastně její součástí. Bohužel nemám páru, jak toho docílit. Zkoušel jsem nastavovat i z různých manuálů ale bez úspěchu. Zkoušel jsem něco jako je tady: http://www.abclinuxu.cz/blog/Postrehy_ze_zivota/2006/11/8/157043#7. Dokonce jsem zkoušel i úplně stejné řešení, ale pořád stejný výsledek. Prosím, poraďte nějaký návod.

Nástroje: Začni sledovat (2) ?

Odpovědi

10.12.2006 21:40 mozog | skóre: 28
Rozbalit Rozbalit vše Re: OpenVPN spojení

Skus z toho routera urobit VPN koncentrator (point-to-multipoint).

10.12.2006 22:56 vasek125 | skóre: 30 | Mladá Boleslav
Rozbalit Rozbalit vše Re: OpenVPN spojení

Jo a nevím jestli problém nemůže být v tom, že používám tcp místo udp

10.12.2006 23:08 vasek125 | skóre: 30 | Mladá Boleslav
Rozbalit Rozbalit vše Re: OpenVPN spojení

A když zkusím pingnout ze serveru na klienta: ping: sendmsg: Operation not permitted. route -n:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.1.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.0.1.0        10.0.1.2        255.255.255.0   UG    0      0        0 tun0
192.168.1.0     192.168.1.2     255.255.255.0   UG    0      0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0

10.12.2006 23:34 vasek125 | skóre: 30 | Mladá Boleslav
Rozbalit Rozbalit vše Re: OpenVPN spojení

Sun Dec 10 23:29:45 2006 client/82.117.12.120:1473 MULTI: bad source address from client [192.168.1.5], packet dropped

Co to znamená? Nastaveno podle http://4um.ocguru.cz/showthread.php?t=54902.

10.12.2006 23:40 baCZa | skóre: 8 | blog: bacza
Rozbalit Rozbalit vše Re: OpenVPN spojení

Jestli jsem pochopil spravne situaci (kdyztak me oprav):

(provider) --> natovany port na openvpn server (192.168.1.2)

a ten Route vypis co jsi poslal je z te masiny (192.168.1.2). A ty chces aby se nekdo pripojil z venku (s nastavenou ip 192.168.1.5) a pinkal v siti 192.168.1.0/24 ?

Jesi to je spravne, tak bys mel zkusit pouzit tap zarizeni (ne tun), ktery premostis s tvoji eth0.

11.12.2006 00:35 vasek125 | skóre: 30 | Mladá Boleslav
Rozbalit Rozbalit vše Re: OpenVPN spojení

JJ, 192.168.1.5 > x.z.f.d >>internet>> f.f.f.f > 192.168.1.2(10.8.0.1). Nefunguje ani s tun, ani s tap.

SERVER:

dev tun
local 192.168.1.2
port 1194
proto udp

push "route 192.168.1.0 255.255.255.0 10.8.0.1"

push "route 10.8.0.1"
push "dhcp-option DNS x.x.x.x"
#push "dhcp-option WINS 81.27.192.97"
push "redirect-gateway"

ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh2048.pem

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

log-append /etc/openvpn/log

status /etc/openvpn/log/vpn.status 10

comp-lzo
#keepalive 10 120
persist-tun
persist-key
verb 3


KLIENT:

client
dev tun
proto udp
remote f.f.f.f 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
comp-lzo
verb 3

Z klienta nedopinguju ani na 10.8.1.1, ze serveru ping 10.8.1.6(přidělený pro 192.168.1.5): operation not permitted

11.12.2006 10:43 monsoon
Rozbalit Rozbalit vše Re: OpenVPN spojení

Rek bych ze staci klientovi dospat pull, aby si ty push parametry vzal. Mam to stejne jako vy, pastnu tedy konfiguraky. na vysvetlenou... doma 192.168.123.0, vpn 192.168.124.0 dale na pocitacich v domaci siti je treba nastavit routu zpet. ony netusi jak se dostat na vpn rozsah, takze bud pridat routu primo na kazdy pc, nebo na default routu.

client:

remote monsoon.no-ip.com
tls-client
dev tap
pull
nobind
route 192.168.123.0 255.255.255.0 192.168.124.124 50

ca ca.crt
cert monsoon_ntb.crt
key monsoon_ntb.key

comp-lzo
verb 3
ns-cert-type server

server:

mode server
tls-server
dev tap0
ifconfig 192.168.124.124 255.255.255.0
ifconfig-pool 192.168.124.125 192.168.124.140 255.255.255.0
ifconfig-pool-persist ipp.txt

crl-verify /etc/openvpn/private/crl.pem

ca /etc/openvpn/private/ca.crt
cert /etc/openvpn/private/server.crt
key /etc/openvpn/private/server.key
dh /etc/openvpn/private/dh2048.pem

log-append /var/log/openvpn
status /var/run/openvpn/vpn.status 10

user openvpn
group openvpn
comp-lzo
verb 3

keepalive 10 120

11.12.2006 16:01 vasek125 | skóre: 30 | Mladá Boleslav
Rozbalit Rozbalit vše Re: OpenVPN spojení

Teď to nehlásí nepovolenou operaci, ale stejně se nedopinguju.

11.12.2006 16:19 cezz | skóre: 24 | blog: dm6
Rozbalit Rozbalit vše Re: OpenVPN spojení

Na klientovi mas virtualny iface s IP 10.8.0.2 predpokladam a na serveri teda 10.8.0.1, ano? U klienta mas siet 192.168.1.0/255.255.255.0, na server-side takisto LAN 192.168.1.0/255.255.255.0.

Neviem ci to spravne chapem ale je to priblizne takto:

192.168.1.5--10.8.0.2<---[VPN]--->10.8.0.1--192.168.1.2

spravne?

Computers are not intelligent. They only think they are.

11.12.2006 16:28 vasek125 | skóre: 30 | Mladá Boleslav
Rozbalit Rozbalit vše Re: OpenVPN spojení

Teď zrovna jsem zkoušel minulou radu a změnil jsem ip, takže na serveru 192.168.1.2/vpn tap0 10.1.0.124. Na klientovi 192.168.1.5/vpn 10.1.0.125. Route na klientovi:windows

Aktivní směrování:
       Cíl v síti     Síťová maska            Brána        Rozhraní  Metrika
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.5       20
         10.1.0.0    255.255.255.0       10.1.0.125      10.1.0.125       30
       10.1.0.125  255.255.255.255        127.0.0.1       127.0.0.1       30
   10.255.255.255  255.255.255.255       10.1.0.125      10.1.0.125       30
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.1.0    255.255.255.0      192.168.1.5     192.168.1.5       20
      192.168.1.5  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.1.255  255.255.255.255      192.168.1.5     192.168.1.5       20
        224.0.0.0        240.0.0.0       10.1.0.125      10.1.0.125       30
        224.0.0.0        240.0.0.0      192.168.1.5     192.168.1.5       20
  255.255.255.255  255.255.255.255       10.1.0.125      10.1.0.125       1
  255.255.255.255  255.255.255.255      192.168.1.5     192.168.1.5       1
Výchozí brána:       192.168.1.1

na serveru ip route:

192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.2
10.1.0.0/24 dev tap0  proto kernel  scope link  src 10.1.0.124
default via 192.168.1.1 dev eth0

a route:
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
localnet        *               255.255.255.0   U     0      0        0 eth0
10.1.0.0        *               255.255.255.0   U     0      0        0 tap0
default         192.168.1.1     0.0.0.0         UG    0      0        0 eth0

11.12.2006 23:28 vasek125 | skóre: 30 | Mladá Boleslav
Rozbalit Rozbalit vše Re: OpenVPN spojení

Tak už to funguje, problém ve firewallu, povoleno tun0, když jsem používal tap0... Teď jen jak vyřešit ty routovací tabulky??? Prosím poraďte, už dvakrát jsem ztratil spojení( naštěstí muj oblíbený screen -d -m shutdown -r 30 to zachránil :) ) Z klienta 192.168.1.5 se na tu druhou síť 192.168.1.0 nedostanu.

12.12.2006 00:33 vasek125 | skóre: 30 | Mladá Boleslav
Rozbalit Rozbalit vše Re: OpenVPN spojení

I když nejlepší by bylo, kdybych se z klienta 10.1.0.125 dostal na tu síť 192.168.1.0/24 a ta fyzická adresa klienta aby tam nebyla, aby se nestalo, že by kolidovala.

12.12.2006 09:49 vasek125
Rozbalit Rozbalit vše Re: OpenVPN spojení

Ať zkouším jakákoliv routovací pravidla stejně to nešlape..... grrr.

12.12.2006 12:14 Martin Lebeda | skóre: 22 | blog: Martinuv_blog | Plzeň
Rozbalit Rozbalit vše Re: OpenVPN spojení

Pokud jsem to správně pochopil, server (ve vnitřní síti) má tyto adresy:

     eth0 192.168.1.2
     tap0 10.8.1.1

Vnitřní síť má rozsah 192.168.1.0/24 a vy chcet na svém klientovi kdesi v internetu dát ping 192.168.1.x a dopingovat se.

Něco podobného jsem řešil nedávno.

Na serveru mám takového nastavení /etc/openvpn/server.ovpn:

  dev tap
  comp-lzo
  server 10.8.1.0 255.255.255.0
  status openvpn-status.log
  tls-server
  duplicate-cn
  crl-verify /etc/openvpn/revoked.pem
  dh /etc/openvpn/dh1024.pem
  ca /etc/openvpn/cacert.pem
  cert /etc/openvpn/server.crt
  key /etc/openvpn/server.key
  push "route 192.168.110.0 255.255.255.0"
  keepalive 10 60

Na klientu takovéto:

  dev tap
  port 1194
  verb 3
  comp-lzo
  remote x.y.z.a
  pull 
  tls-client 
  ca xyservercacert.pem
  cert xy.crt
  key xy.key
  keepalive 10 60

pro vás je asi nejpodstatnější na serveru příkaz push a na klientovi příkaz pull. Dále musí být na linuxu povolené routování (sysctl net.ipv4.ip_forward a příslušné routy povolené ve fw). Taktéž musíte mít nastavené routování ve vnitřní síti tak aby vaše brána vše co je do podsítě VPN 10.8.1.0/255.255.255.0 směrovala na váš VPN server (192.168.1.2), to je potřeba nastavit na vaší bráně (pochopil jsem že máte df gw na 193.168.1.1).

Zda vám funguje routování ve vnitřní síti ověříte pomocí ping -I tap0 192.168.1.2 spuštěném na VPN serveru, pokud tento příkaz neprojde, je ve vnitřní síti/na serveru cosi špatně, pokud projde, můžete začít řešit routování přes VPN. Obecně ale musím říci, že není v typickém případě nastavovat nic na VPN serveru ani na klientovi, protože příslušné routy si nahodí VPN sama, ale naopak je třeba zajistit aby se 10.8.1.0/255.255.255.0 routovalo ve vnitřní síti ne do internetu ale na VPN server.

Doufám, že jsem Vás pochopil správně.

12.12.2006 12:22 Martin Lebeda | skóre: 22 | blog: Martinuv_blog | Plzeň
Rozbalit Rozbalit vše Re: OpenVPN spojení

Ještě bych to doplnil, budete muset napsat, kam až se dopingujete, očekával bych zhruba tyto adresy:

Z klienta: lokální VPN rozhraní, VPN rozhranní protistrany, lokální rozhraní protistrany, počítač ve vnitřní síti.

Ze serveru: obě lokální rozhranní z, z VPN rozhranní (parametr pingu -I) na lokální rozhranní, počítač ve vnitřní síti z obou rozhraní serveru, VPN rozhranní protistrany z obou rozhraní serveru.

Pak se uvidí, která část routování vlastně nejde.

12.12.2006 14:34 vasek125
Rozbalit Rozbalit vše Re: OpenVPN spojení

No dopinguju se jak ze serveru tak z klienta na obe vpn rozhrani serveru i klienta a dal ne.

12.12.2006 14:48 Martin Lebeda | skóre: 22 | blog: Martinuv_blog | Plzeň
Rozbalit Rozbalit vše Re: OpenVPN spojení

Fajn, takže pokud se z klienta přes VPN dopingujete na obě rozhranní serveru, pak máte routování v OpenVPN nastavené správně a můžete postupovat dále. Tj. dopingovat se ze serveru z jeho rozhranní tap0 do vnitřní sítě (ping -I tap0 192.168.1.2).

12.12.2006 17:14 vasek125 | skóre: 30 | Mladá Boleslav
Rozbalit Rozbalit vše Re: OpenVPN spojení

Na obě rozhraní ne. Z klienta na VPN rozhraní serveru a ze serveru na VPN rozhraní klienta. Ale na fyzické rozhraní klienta 192.168.1.2 už ne.

13.12.2006 07:05 Martin Lebeda | skóre: 22 | blog: Martinuv_blog | Plzeň
Rozbalit Rozbalit vše Re: OpenVPN spojení

Pomohlo poslat sem log z toho VPN klienta. Verb 3 nastaven máte, viděli bychom co se tam děje. Co vám na serveru vrátí příkaz sysctl net.ipv4.ip_forward? Co vám vrátí na serveru příkaz ping -I tap0 192.168.1.2? Máte povolené routování ve firewallu na serveru (nejlépe fw úplně vypnutý, alespoň po čas experimentů)?

Doplnil jste příkaz pull do konfigurace klienta, jak Vám radil někdo výše? Vaše brána ve vnitřní síti je, z výše uvedených nastavení, 192.168.1.2. Jak vám ten router routuje podsíť 10.1.0.1/255.255.255.0? Dopingujete se z nějakého počítače ve vnitřní síti na 10.1.0.1, tj. rozhranní serveru?

Obávám se že máte k vyřešení více nezávislých dílčích problémů najednou a bez odpovědí na alespoň některé (již několikrát položené) otázky Vám mohu jen těžko poradit něco užitečného.

12.12.2006 18:36 vasek125 | skóre: 30 | Mladá Boleslav
Rozbalit Rozbalit vše Re: OpenVPN spojení

Tak když na klientu přidám route 192.168.1.0 na 10.1.0.1, tak se do ty sítě 192.168.1.0/24 dostanu, ale jen na ten server a pak mi už nefunguje lokální síť 192.168.1.0. Jak mám nastavit routy na propojení klienta k tý vzdálený síti, ale aby zároveň mohl komunikovat se síťí lokální?

***192.168.1.0/24*************192.168.1.0/24***
* 192.168.1.1       *     *                   *
* 192.168.1.2       * VPN * 192.168.1.5       *
* 192.168.1.3       *     *                   *
* ...               *     *                   *
***********************************************
         192.168.1.2 > 192.168.1.5
         192.168.1.2 < 192.168.1.5

13.12.2006 09:48 secido | skóre: 27
Rozbalit Rozbalit vše Re: OpenVPN spojení

Rovnaké siete na oboch koncoch? Inak to nejde?

13.12.2006 16:19 vasek125 | skóre: 30 | Mladá Boleslav
Rozbalit Rozbalit vše Re: OpenVPN spojení

Jinak to nejde

13.12.2006 17:09 secido | skóre: 27
Rozbalit Rozbalit vše Re: OpenVPN spojení

No neviem, ja mám pre openvpn osobitnú sieť /24 a aspoň sa mi to nemieša, keď sa pripája viac klientov. Rozsah adries vpn je iný ako lokálna sieť. Čiže stačí keď si nastavím VPN server ako default gw a všetko funguje. Resp. pridám routu na sieť do ktorej sa potrebujem dostať manuálne na klientovi.

13.12.2006 17:13 vasek125 | skóre: 30 | Mladá Boleslav
Rozbalit Rozbalit vše Re: OpenVPN spojení

Jo tady je problém s těma 2 sítěma 192.168.1.0/24. Zatím to řeším tak, že nastavím routy pro každé počítače zvlášť, které nejsou v první síti na druhou.

12.12.2006 23:25 vasek125 | skóre: 30 | Mladá Boleslav
Rozbalit Rozbalit vše Re: OpenVPN spojení

Když na serveru nastavím maškarádu z eth0 na tun0, tak se z klienta na adresy serveru dostanu, ovšem ne ze serveru na klienta ?????????????

Založit nové vlákno • Nahoru

Tiskni Sdílej: