abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 17:35 | Bezpečnostní upozornění

Německá Bundesnetzagentur (obdoba českého ČTU) zakázala na německém území prodej panenky Cayla kvůli „špionáži“ dětí. Tato elektronická hračka obsahuje mikrofon, reproduktor a kameru a bezdrátové komunikační rozhraní, pomocí kterého se hračka připojuje na servery výrobce. Takovýmto způsobem může hračka pomocí umělé inteligence „odpovídat“ na dotazy dítěte. Hlavní problém bude ale asi někde jinde, podle prvotních zpráv může

… více »
Petr Tomášek | Komentářů: 18
17.2. 15:30 | Bezpečnostní upozornění

CSIRT.CZ upozorňuje, že bezpečnostní experti objevili nový typ malwaru, jenž cílí na open source e-commerce platformu Magento. Malware je zajímavý tím, že se jedná o první svého druhu, jehož kód zůstává skrytý v SQL databázi zasaženého e-shopu. Škodlivý kód je volán pomocí tzv. SQL trigerru, který je spouštěn při každém vytvoření objednávky v systému.

Ladislav Hagara | Komentářů: 0
17.2. 09:00 | Nová verze

Bylo vydáno Ubuntu 16.04.2 LTS, tj. druhé opravné vydání Ubuntu 16.04 LTS s kódovým názvem Xenial Xerus. Přehled novinek v poznámkách k vydání a v přehledu změn.

Ladislav Hagara | Komentářů: 37
17.2. 06:00 | Zajímavý článek

Pavel Tišnovský se v dvoudílném článku na MojeFedora.cz věnuje tvorbě pluginů (modulů) pro bitmapový grafický editor GIMP. Pomocí pluginů lze GIMP rozšiřovat o další funkce. Implementovat lze například nové filtry nebo pomocné utility pro tvorbu animací či poloautomatickou retuš snímků.

Ladislav Hagara | Komentářů: 6
16.2. 23:32 | Komunita

Do 30. března se lze přihlásit do dalšího kola programu Outreachy, jehož cílem je přitáhnout do světa svobodného a otevřeného softwaru lidi ze skupin, jež jsou ve světě svobodného a otevřeného softwaru málo zastoupeny. Za 3 měsíce práce, od 30. května do 30. srpna 2017, v participujících organizacích lze vydělat 5 500 USD. Jedná se již o 14. kolo tohoto programu.

Ladislav Hagara | Komentářů: 11
16.2. 23:13 | Nová verze

Byla vydána verze 0.92.1 svobodného multiplatformního vektorového grafického editoru Inkscape. Přehled novinek v poznámkách k vydání. Řešen je mimo jiné problém s verzí 0.92, jež rozbíjí dokumenty vytvořené v předchozích verzích Inkscape. Více v příspěvku na blogu Davida Revoye, autora open source webového komiksu Pepper&Carrot nebo portrétu GNU/Linuxu.

Ladislav Hagara | Komentářů: 0
16.2. 16:26 | Bezpečnostní upozornění

Byla vydána verze 1.1.0e kryptografické knihovny OpenSSL. Dle bezpečnostního upozornění 20170216 byla opravena závažná bezpečnostní chyba CVE-2017-3733.

Ladislav Hagara | Komentářů: 1
16.2. 13:03 | Pozvánky

GNOME hackaton proběhne v Brně na FIT VUT v Red Hat Labu (budova Q) v pondělí 20. února od 15:00. Registrace není nutná, ale pokud dáte na FaceBooku vědět, že plánujete dorazit, pomůže to s plánováním.

Ladislav Hagara | Komentářů: 0
16.2. 13:02 | Pozvánky

Únorový Prague Containers Meetup se koná 21. února v budově MSD. Můžete se těšit na přednášky o tom, proč a jak používat kontejnery a zároveň získat zajímavý pohled na historii a budoucnost kontejnerů.

little-drunk-jesus | Komentářů: 0
16.2. 08:55 | Zajímavý software

Google na svém blogu věnovaném vývojářům oznámil vydání verze 1.0 open source knihovny pro strojové učení TensorFlow (Wikipedie). Přehled novinek v poznámkách k vydání na GitHubu. Zdrojové kódy TensorFlow jsou k dispozici pod licencí Apache 2.0.

Ladislav Hagara | Komentářů: 0
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (13%)
 (2%)
 (72%)
 (3%)
 (10%)
Celkem 655 hlasů
 Komentářů: 52, poslední 13.2. 12:45
Rozcestník
Reklama

Dotaz: Přístup do netu přes OpenVPN

7.1.2008 20:21 krausik
Přístup do netu přes OpenVPN
Přečteno: 2420×
zdar, mam v Debianu zprovozněnou openvpn bezici na tap. Klienti (widlexp) dostanou ip i masku a vpn jede (sifrovani ca atd..). Ale nedari se mi jim nacpat gw. Chtel jsem v iptables povolit pristup na net pouze skrz ovpn. Jak to ale udelat?

PS: pokud spravne nastavim iptables a dostanu na klienta branu, melo by to fungovat tak, jak zamyslim, ze?

Diky ;o)

Odpovědi

7.1.2008 20:24 krausik
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
na server jsem hodil direktivu
push "route-gateway 192.168.0.1"
, ale nejak to nezabralo .. klienti maji samozrejme pull
7.1.2008 20:39 batt | skóre: 11 | jiříkov
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
ahoj, mě by zajímalo jak to maš na tech winxp ? mě jse to nepodařilo rozjet mužeš podat více info , mě na severu beží openvpn ale nevím jak jse pripojit pres windle v llinuxu to vím ale v xp nevím mužeš prozradit jak to maš udělané? díky moc zdenek
7.1.2008 20:41 krausik
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
no, jsem zacatecnik, ale tohle jsem nejak rozchodil a maka to bez problemu.. tak se mi tu snad nikdo nebude moc smat, kdyz sem hodim konfiguraky moji ovpn :o) .. momentik, hodim ti to sem ;o)
7.1.2008 20:49 batt | skóre: 11 | jiříkov
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
díky to by bylo super
7.1.2008 20:50 krausik
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
server.conf
# server
mode server

# tls jako server
tls-server

crl-verify /etc/openvpn/crl.pem

# vytvori zarizeni
dev tap0

# protokol (mozno i tcp-server)
proto udp

# port na kterem nasloucha
port 113

# adresa serveru (rozhrani tap0)
ifconfig 10.0.11.1 255.255.255.0

# adresy pro klienty
ifconfig-pool 10.0.11.50 10.0.11.60 255.255.255.0

# soucasne prihlaseni vice klientu se stejnym certifikatem
duplicate-cn

# maximalni pocet klientu, kteri se mohou pripojit
#max-clients 3

# pripojeni klienti na VPN se uvidi
client-to-client

# posle na klienta routy na zpristupneni lan za VPN serverem
push "route 10.0.10.0 255.255.255.0 10.0.11.1"  # prvni jsou IP site za serverem, maska, IP tap0
# push "route 10.0.1.0 255.255.255.0 10.0.11.1"
push "dhcp-option DNS 10.0.10.1"

# udrzuje spojeni nazivu, 10 (ping) a 60 ping-restart)
keepalive 10 30

# certifikat certifikacni autority
ca /etc/openvpn/ca.crt

# certifikat serveru
cert /etc/openvpn/server.crt

# klic serveru
key /etc/openvpn/server.key

# parametry pro Diffie-Hellman protokol
dh /etc/openvpn/dh2048.pem

# logy serveru
log-append /var/log/openvpn

# status serveru
status /var/run/openvpn/vpn.status 10

# na Win nefunguje, muze byt zakomentovane
user nobody
group nogroup

# komprese prenesenych dat
comp-lzo

# ukecanost;)
verb3

client.conf (WinXP s OpenVPN GUI)
remote xxx.xxx.xxx.xxx
port 113
tls-client
dev tap
pull

ns-cert-type server

mute 10
ca ca.crt
cert user.crt
key user.key

comp-lzo
verb 3

#user nobody
snad to trošku pomůže :o)
7.1.2008 21:32 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
spravny paramert co hledas je "redirect gateway" viz manual .. .
Never give up ! Stay ATARI !
7.1.2008 21:58 krausik
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
ten uz jsem taky zkousel, ale bez uspechu.. nemuze to byt pouzitim tap? tap je ale to jediny, co widle umi..
7.1.2008 22:16 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
Aha, nevsiml jsem si ... Ano muze to byt ten problem, ja to mam odzkouseno na linux server vs linux klient ... Hmm, tak to nevim ....

Jinak je to popsano zde a je take potreba hodit na tu VPN sit maskaradu (na serveru) to jsi taky udelal ???
Never give up ! Stay ATARI !
7.1.2008 22:23 krausik
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
mrknu na ten navod, ale jak ted hledam, tak jsem se dostal az nekam k widlimu brige.. zatim se ale nedari.. na maskaradu jeste mrknu, ted ji mam mezi ppp0 (dsl) a eth1 (lan), nerad bych ale dopatlal moji jiz funkcni sit.... jdu dal laborovat ;)
8.1.2008 00:07 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
NATovat muzes vice interface a je to jen jeden prikaz, muzes to kdykoliv deaktivovat. Neni se ceho bat. Myslim, ze to bude v tom ..

Na bridge kasli, ma vic nevyhod, nez vyhod ...
Never give up ! Stay ATARI !
8.1.2008 00:09 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
takze v tvem pripade muzes:

iptables -t nat -A POSTROUTING -s ip.tvoji.vpn.site/24 -o ppp0 -j MASQUERADE

smazes to:

iptables -t nat -D POSTROUTING -s ip.tvoji.vpn.site/24 -o ppp0 -j MASQUERADE
Never give up ! Stay ATARI !
8.1.2008 19:30 krausik
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
muzu tohle pridat, kdyz mam Shorewall?
8.1.2008 19:44 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
Ano. To muses pridat vzdy, at mas cokoliv ... :-) Akorat, kdyz to budes chtit pouzivat musis to pak nejak zaclenit do Shorewallu nebo do nejakeho rc.local ...

NEznam zadne nastavby firewalu, jako je shorewall atd, firewall si resim vzdy na kolene, takze v tomto nepomuzu ...
Never give up ! Stay ATARI !
8.1.2008 19:55 krausik
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
Jasny, ja sahl po shorewallu, protoze mi prislo nastaveni funkcni i prehledny..:) Tak jsem skusil tu maskaradu, shorewall mi to nerozhodilo, ale ani mi to moc nepomohlo:( Jinak jsem v konfiguraku OpenVPN nechal direktivu push "redirect-gateway" a stejne mi ji to neprihodi... Nerikejte mi, ze tu neni nikdo, kdo to pouziva??? Jinak svacovi dekuji za vytrvalost:)
8.1.2008 20:50 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
Koukam jeste do toho konfiguraku a je zapotrebi toto (SERVER):

1. NAT - nat musi byt na WAN interface - to mame
2. openvpn server MUSI vedet o te siti, na ktere je ten klient, ktery se bude redirectovat, takze pokud je klient na 192.168.0.50 musi na serveru byt:

route 192.168.0.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
koukam,ze dulezity je i ten DRUHY radek, ktery znova rika tomu klientovi ze je dostupny pro ostatni ... - myslim ted pri volbe PULL, kterou mas na klientovi .... Cely konfig vypada pak takto:
oot@game:~# cat /etc/openvpn/server-road.conf 
mode server
tls-server
keepalive 10 120
dev tun
server 10.1.1.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/ipp.txt
dh dh1024.pem
ca ca.crt
cert server.crt
key server.key
route-up "route delete -net 10.1.1.0/24"
route-up "route add -net 10.1.1.0/24 tun0"
client-config-dir ccd
route 192.168.0.0 255.255.255.0
client-to-client
push "route 192.168.0.0 255.255.255.0" # sit tveho redirectovany klient 
persist-key
persist-tun
log-append /var/log/openvpn
status /var/log/openvpn-status
comp-lzo
verb 3

no a client vypada takto:
root@game:~# cat /etc/openvpn/client-road.conf 
client
dev tun
float
mssfix 1500
remote IP.NA.VPN.SERVER
tls-client
ns-cert-type server
ca ca.crt
cert navaro.crt
key navaro.key
persist-key
persist-tun
pull
comp-lzo
verb 3
redirect-gateway
Never give up ! Stay ATARI !
8.1.2008 20:52 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
Jo jeste je dulezite toto:
root@game:/etc/openvpn# cat ccd/nazev_klienta 
iroute 192.168.0.0 255.255.255.0
Never give up ! Stay ATARI !
8.1.2008 21:12 krausik
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
Koukam, ze ty to mas pres tun . Jinak
route 192.168.0.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
jsou IP klienta od pridelene od OpenVPN nebo IP klienta v ty svoji LAN? Jo a redirect gateway posilam klientovi ze serveru pres push .
8.1.2008 21:42 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
tun MAM i ve Windows - to funguje neboj .... IP jsou z ty jeho LAN, OpenVPN ma jinou sit, viz vyse ... vim, ze ji posilas push, ja jsem pouze psal jak to PRESNE mam ...

Ale jak uz jsem rikal, jede to linux vs linux ... Ted me napada ... za tim wondows je router, neni to nejak blokovane tam ???
Never give up ! Stay ATARI !
8.1.2008 21:48 krausik
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
tzn., ze reseni by bylo, prekopat to na tun . No, asi to vyzkousim, ale zejtra. Udelam si zkusebni nastaveni podle tvych konfiguraku a uvidim, jak to poslape... Jinak toho klienta s widlema jsem dal zkusebne do DMZ, takze by nemelo byt na jeho strane nic v ceste...
8.1.2008 22:22 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
OK vyzkousej .. .:-) Dej pak vedet ....
Never give up ! Stay ATARI !
8.1.2008 11:58 Dejv | skóre: 37 | blog: Jak ten blog nazvat ... ? | Ostrava
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
Widle jedou i kdyz mas na serveru tun. Mam to tak uz rok a bez problemu. Server na OpenWRT, klienti Win2k, WinXP, Mac i Linux. Vychozi branu ale ma kazdy svoji, mam to kvuli pristupu na firemni servery. Na tech widlich jsem zadne zvlastni nastaveni delat nemusel, proste jsem nainstaloval OpenVPN-gui a nakopiroval konfigurak. V sitovych pripojenich sice je zarizeni "TAP", ale tam je i zarizeni "Připojení k místní síti" a pod., takze tohle oznaceni moc vazne brat nelze.

Dejv
Pevne verim, ze zkusenejsi uzivatele me s mymi napady usmerni a poslou tam, kam tyto napady patri...
8.1.2008 15:59 perry
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
s tim TUN ve win je to nejaky divny.. BTW zarizeni ve win se jmenuje TAP-Win32 Provider, proto porovnani napr. s Pripojeni k mistni siti je nesmysl.. ale kdyz to jede, tak je to fajn
8.1.2008 16:44 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
to neres ... muzes pouzivat jak tun, tak tap ..
Never give up ! Stay ATARI !
8.1.2008 16:45 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
tun = routing tap = bridge
Never give up ! Stay ATARI !
9.1.2008 07:28 Dejv | skóre: 37 | blog: Jak ten blog nazvat ... ? | Ostrava
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
Jo, s tim jmenem mas pravdu.

Tim porovnanim jsem chtel rict, ze to, co je v Sitovych pripojenich, nelze povazovat za prilis smerodatne.

Dejv
Pevne verim, ze zkusenejsi uzivatele me s mymi napady usmerni a poslou tam, kam tyto napady patri...
9.1.2008 11:57 hates | skóre: 30 | blog: Jak_jsem_se_dostal_k_linuxu
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
ja to mam takhle a funguje vse bez roblemu. pokud se pripojim do OpenVPN tak veskery provoz do netu jde pres VPNku

Server
port 10056
proto tcp
mode server
tls-server

dev tap

ca cert/ca.crt
cert cert/server_vpn.crt
key cert/server_vpn.key
dh cert/dh1024.pem

ifconfig-pool-persist ip_pool.txt
server 10.8.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0 10.8.0.1"
push "dhcp-option domain domain.tld"
push "dhcp-option DNS 192.168.1.5"
push "dhcp-option DNS 192.168.1.4"
# Nastavi klientovi defaultni branu pres OpenVPN
push "redirect-gateway"

#Zajistuje aby se mezi sebou videli klienti
client-to-client

duplicate-cn
keepalive 10 120
comp-lzo

persist-key
persist-tun

verb 3

log-append /var/log/openvpn
status /var/run/openvpn/vpn.status 10
Klient
remote <ip_adresa_serveru>
tls-client

port 10056
proto tcp-client
dev tap
pull

ca /etc/openvpn/cert/ca.domena.tld.crt
cert /etc/openvpn/cert/vpn.domena.tld.crt
key /etc/openvpn/cert/vpn.domena.tld.key

log-append /var/log/openvpn.log
status /var/run/vpn.status 10
comp-lzo
verb 3
na serveru musi byt zaple routovani packetu
echo 1 < /proc/sys/net/ipv4/ip_forward
a pokud je to i brana do netu a provadi maskaradu tak nastavit v iptables maskaradu
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o <sitovka_do_netu> -j SNAT --to <verejna_ip_adresa>
9.1.2008 11:58 hates | skóre: 30 | blog: Jak_jsem_se_dostal_k_linuxu
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
Potom si na VPN klientovy over pomoci traceroute jakou cestou ti to bezi
9.1.2008 15:03 krausik
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
Ahoj, tak jsem to v rychlosti testnul tak, jak to mas ty, ale porad mi to nejede. Ja mam takovej pocit, ze mi to tam nekde hapruje s tim Shorewallem. Maskaradu jsem nahodil pomoci iptables, jak pises a ip_forward mam taky nastavenej.. Pripojuju se z win klienta, ktery je uplne v jiny siti v internetu. Kdyz se podivas na ip nastaveni toho tap ve widlich, tak tam mas i tu vychozi branu?
9.1.2008 15:04 krausik
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
jeste ze zeptam, nemuze byt muj pripad tohle? : http://www.shorewall.net/OPENVPN.html#Bridge
9.1.2008 15:53 hates | skóre: 30 | blog: Jak_jsem_se_dostal_k_linuxu
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
jak to je na vidlich si ted nevybavim. nekde to mam popsane tak to zkusim vecer najit. ale na 100% mi to fungovalo i ve widlich
9.1.2008 16:34 krausik
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
to bys byl hodnej... me se porad nejak nechce prekopavat komplet tu moji konfiguraci na tun, protoze porad verim, ze i s tap to musi nejak makat ;)
9.1.2008 16:55 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
jenze tap bys NEMEL pouzivat .. tap je pro bridge a ty v bridge tu VPN NEMAS na serveru ...

Proto je tu tun a tap ... :-) Ma to svuj vyznam ...
Never give up ! Stay ATARI !
10.1.2008 16:47 fila
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
prosim vas, mam podobny problem s openvpn. chtel bych vyuzivat sluzby vzdalene site ale taky redirektovat cely internetovy provoz pres openvpn z windows klienta... jde mi o to, ze kdyz se pripojim nekde na wifi hotspot, bez problemu se pripojim na moji domaci lokalni sit.. vse funguje (prohlizeni pocitacu v siti atd.). Jenomze na hotspotu, ktery chci vyuzit je zablokovane napr. pouzivani jabberu atd.. jak tedy redirectuju cely provoz prez muj vzdaleny server pomoci openvpn? Je nekde nejaky funkcni navod nebo model nastaveni openvpn? V tuto chvili mam podobne nastaveni jako kolega vyse s tun rozhranim... diky za eventuelni rady.
10.1.2008 17:09 Miroslav Henc
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN
co tohle?

http://blog.davidkaspar.com/archives/2007/02/howto-free-secure-web-browsing-and-access-to-home-network-using-openvpn.php

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.