abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Přihlaste přednášku na LinuxDays 2026
    dnes 11:44 | Pozvánky

    Přihlaste svou přednášku na další ročník konference LinuxDays, který proběhne 3. a 4. října na FIT ČVUT v pražských Dejvicích. Příjem témat poběží do konce prázdnin, pak proběhne veřejné hlasování a následně sestavení programu.

    Petr Krčmář | Komentářů: 0
    Apache HTTP Server (httpd) 2.4.68 řeší 13 zranitelností
    dnes 04:44 | Nová verze

    Byla vydána nová verze 2.4.68 svobodného multiplatformního webového serveru Apache (httpd). Řešeno je mimo jiné 13 zranitelností.

    Ladislav Hagara | Komentářů: 2
    WWDC26
    včera 22:44 | IT novinky

    Apple na své vývojářské konferenci WWDC26 (Worldwide Developers Conference, keynote) představil řadu novinek. Vypíchnout lze novou generaci Apple Intelligence a zbrusu novou Siri, která dostala název Siri AI. Kvůli Aktu o digitálních trzích (DMA) však funkce Siri AI nebudou v systémech iOS 27 a iPadOS 27 k dispozici uživatelům v Evropské unii.

    Ladislav Hagara | Komentářů: 0
    Flatpak 1.18.0
    včera 22:22 | Nová verze

    Byla vydána nová verze 1.18.0 distribučního frameworku Flatpak (Wikipedie), tj. technologie umožňující distribuovat aplikace v podobě jednoho instalačního souboru na různé linuxové distribuce a jejich různá vydání. Přehled novinek na GitHubu. Vypíchnout lze podporu rozhraní /dev/kfd pro výpočty na kartách AMD (AMDKFD).

    Ladislav Hagara | Komentářů: 0
    aMule 3.0.0
    včera 20:44 | Nová verze

    aMule (Wikipedie), tj. multiplatformní klient pro peer-to-peer sdílení souborů pro sítě eD2k and Kademlia, byl po více než pěti letech od vydání poslední verze 2.3.3, vydán v nové major verzi 3.0.0 (GitHub). S novou webovou stránkou a dokumentací.

    Ladislav Hagara | Komentářů: 5
    29. ročník IOCCC
    včera 12:55 | IT novinky

    Byly vyhlášeni vítězové a zveřejněny vítězné zdrojové kódy (YouTube, GitHub) již 29. ročníku soutěže International Obfuscated C Code Contest (IOCCC), tj. soutěže o nejnepřehlednější (nejobfuskovanější) zdrojový kód v jazyce C.

    Ladislav Hagara | Komentářů: 0
    Evropská komise předložila evropský balíček pro technologickou suverenitu
    včera 12:44 | IT novinky

    Evropská komise předložila evropský balíček pro technologickou suverenitu, tedy soubor opatření, která mají posílit kapacity EU v oblasti polovodičů, umělé inteligence, cloudu a open source. To Evropě pomůže stát se lídrem v oblasti umělé inteligence, posílit její digitální autonomii a vytvářet podmínky pro udržitelnější digitální budoucnost.

    Ladislav Hagara | Komentářů: 11
    OpenCV 5
    včera 04:44 | Nová verze

    OpenCV (Open Source Computer Vision, Wikipedie), tj. open source multiplatformní knihovna pro zpracování obrazu a počítačové vidění, byla vydána v nové major verzi 5.

    Ladislav Hagara | Komentářů: 0
    Ardour 9.7
    5.6. 22:22 | Nová verze

    Byla vydána nová verze 9.7 multiplatformní digitální pracovní stanice pro práci s audiem (DAW) Ardour. Přehled novinek, vylepšení a oprav v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Vývojáři prohlížeče Ladybird mění způsob vývoje
    5.6. 18:22 | Komunita

    Vývojáři webového prohlížeče Ladybird dnes oznámili, že mění způsob vývoje. S blížícím se vydáním alfa verze přestávají přijímat veřejné pull requesty. Všechny otevřené veřejné pull requesty budou uzavřeny. Tým nedokáže garantovat bezpečnost AI generovaných pull requestů.

    Ladislav Hagara | Komentářů: 3
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (11%)
     (8%)
     (2%)
     (15%)
     (31%)
     (3%)
     (6%)
     (3%)
     (15%)
     (26%)
    Celkem 1855 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / OpenVPN a Shorewall
    Štítky: bezpečnost, DNS, firewally, Internet, iptables, KDE, komunikace, LAN, logování, OpenVPN, Shorewall, sítě, tcpdump


    Dotaz: OpenVPN a Shorewall

    20.12.2007 19:27 Vinc
    OpenVPN a Shorewall
    Přečteno: 1366×
    Ahoj, na Debianu (Etch) jsem rozbehal OpenVPN (rozhrani tap0)...mam Shorewall. Pri pripojeni se dostanu na slozky Samby, ale ne do lokalni site. Myslim, ze mam zprovoznit bridge,ale nejak se nedari. Pouzivate nekdo OpenVPN se Shorewallem?
    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    20.12.2007 19:42 lewq
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    tap0 je routovana vpn, ty potrebujes tun0 aby ti siel bridge
    21.12.2007 13:12 Petr
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    Gratuluji, delas v tom pekne zmatky...
    20.12.2007 19:59 Vinc
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    no a skrz to tap0 se nejak nedostanu na pocitace v lokalni siti? Nemusi to byt zrovna bridge..
    21.12.2007 00:24 Pantera
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    v policy neco jako:
    loc    vpn    ACCEPT      ALERT
vpn    loc    ACCEPT      ALERT
    predpoklad je v interfaces mit vpn jako tap0 nebo tun0
    nastav v policy uroven logovani na vyssi a mrkni do logu, kde ti to haze DROP - u shorewallu je pekne videt, v kterem miste se to zaseklo - napr.: 
    vpn2loc:DROP:IN=eth0 OUT.... atd
    znamena, ze byla blokovana komunikace z vpn rozhrani na rozhrani lokalni site - da se vycist i jaky port atd.
    ja to mam nastavene tak, ze pokud se nekdo pripoji z venku na muj server pres vpn, z lokalni site se na nej normalne dostanu pres jeho pridelenou IP - napr. 10.8.0.10 atp. - zadny bridge neni potreba - vzorova konfigurace je na webu openvpn (serverxclient)
    21.12.2007 09:28 Dramon | skóre: 14
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    Dovolím si navrhnout lehce odlišné řešení. Do /etc/shorewall/policy dejte spíš tohle a nechte to tam navěky a nemusíte se, aspoň v tomto případě, zbývat log souborem:
    vpn             loc             ACCEPT
net             all             DROP            info
# THE FOLLOWING POLICY MUST BE LAST
all             all             REJECT          info

    Popsané policy Vám pustí pakety z VPN do lokální sítě, všechno ostatní je buď zahozeno (z Internetu) nebo zamítnuto (odevšad jinak), ale rozhodně to bude zalogováno.
    Povolovat pakety z LAN do VPN nemusíte, pokud chcete jen přistupovat z VPN do LOC, protože v tomto případě vracející se pakety budou těžit z výhod stavového firewallu, jakým iptables jsou. Pokud směr LAN to VPN povolíte, budou moci lidé z LAN komunikovat s připojenými VPN klienty, což asi není to, co jste chtěl.
    Další pravidla si doplňte podle potřeby. Třeba ještě před tu část s VPN:
    fw             all             ACCEPT
lan            net             ACCEPT

    21.12.2007 10:34 Vinc
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    Diky za odpovedi. Tak takhle to mam nastavene a nic... Jen doplnim, ze na tap0 mam IP v jinem rozsahu nez v LAN (loc)... nemel bych nastavit na tap0 stejny rozsah?
    21.12.2007 10:58 Vinc
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    A pokud nemam v policy povoleno vpn fw , tak se nepingnu ani na IP tap0...
    21.12.2007 12:02 Dramon | skóre: 14
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    To je v pořádku, i když osobně bych to z policy umístil do rules jako pravidlo: 
    Ping/ACCEPT       vpn          fw
    21.12.2007 12:13 Dramon | skóre: 14
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    sítě na vpn a loc nesmí být v konfliktu, takže to že se nepřekrývají je v pořádku.
    Pokud se to shorewallu explicitně nezakáže, tak při svém startu zapíná routování, takže pokud Vám komunikace nefunguje ani nyní, může být problém zde:
    -OpenVPN nemá vyexportované rozsahy pro routovací tabulku - zkontrolujte ji na klientovi
    -Na cílovém PC v lan je jiný FW - zkontrolujte
    -Velice nepravděpodobně to zahazuje Shorewall - ověřte všechna DENY a DROP pravidla, podívejte se do /var/log/messages

    Pro zjištění, kam se až pakety dostanou používejte tcpdump -i [rozhraní]. Osobně používám ping a tcpdump spouštím nejdříve na tunX zařízení, kde vidím, jestli něco přichází od klienta a poté na ethX zařízení, abych viděl, zda pakety putují dál do lokální sítě.
    Syntaxe pro ping:
    tcpdum -i tun0 ip proto \\icmp
    21.12.2007 12:43 Vinc
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    -OpenVPN nemá vyexportované rozsahy pro routovací tabulku - zkontrolujte ji na klientovi

    co si mám prosím pod tímto představit? díky

    jinak klient má winxp a používá openVPN GUI...

    PC: v rules nic ohledně vpn zakázáno nemám...

    ještě jednou díky za ochotu!
    21.12.2007 12:59 Vinc
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    icmp pakety se dostavaji pouze na tap0 (vpn), na eth1 (loc) jiz ne :(
    21.12.2007 13:07 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    udelal bych routovani do site treba neco jako route add -host 192.168.x.x dev tap0
    21.12.2007 13:13 Vinc
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    to mam udelat na clientovi s winxp? a ta IP je ip adresa vnitrni site za serverem s vpn? Nejak jsem se do toho zamotal:(
    21.12.2007 13:18 Vinc
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    me site: server s openvpn - tap0 (vpn): 10.0.2.100, eth1 (loc): 10.0.10.0 klient s openvpn (WinXP) - 10.0.2.1

    na serveru pingnu 10.0.2.100, 10.0.10.1, ale nepingnu 10.0.2.1 na klientu pingnu 10.0.2.100, ale nepingnu 10.0.10.1
    21.12.2007 13:19 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    To je routovani na strane serveru, staci udelat sript ve kterem poustite VPN a za to pridat par pravidel o routovani a ano to je rozsah vnitrni site na strane VPN, potom dostanete na strane clienta adresu treba 192.168.1.100 pokud zadate pravidlo s adresou 192.168.1.100
    21.12.2007 13:26 Vinc
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    ach jo:( mam tedy menit neco na strane serveru nebo staci na klientovi? a co tam presne zadat.. omlouvam se za me dotazy, ale opravdu jsem z toho jelen:(
    21.12.2007 13:32 Vinc
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    mel bych tedy na serveru (ne clientovi) nastavit nejaky pravidlo na Shorewallu mezi vpn a loc..nebo se mylim?
    21.12.2007 13:33 Vinc
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    mam jen toto v policy: vpn loc ACCEPT
    21.12.2007 13:38 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    Takze si napred nastavte eth0 na 10.0.10.1 myslim si ze nula je uplne scestna, potom si v konfiguraci openvpn nastavte TAP0 na stejnou adresu ETH0, takze 10.0.10.1 a potom ji pustte a nakonec dejte route add -host 10.0.10.50 dev tap0 a testnete ping
    21.12.2007 13:47 Vinc
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    eth1 mam nastaveno jako rozhrani do lokalni site 10.0.10.0. Jinak IP mam na eth1 nastavenu 10.0.10.1 (asi jsem to spatne popsal:).

    Rozhrani tap0 mam pridelit stejnou IP jako ma rozhrani eth1? Tak jste to myslel nebo to opet spatne chapu? A ta IP 10.0.10.50 je ci?
    21.12.2007 13:49 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    Moc se omlouvam s vama je to strasne tezke a vidim ze vubec nechapete co a jak v siti, asi vam dal nepomuzu, ne ze bych nechtel ale malo casu, jeste se zeptam kdyz vypnete Shorewall tak vam to chodi? A ta adresa je ta co by mel dostat klient.
    21.12.2007 13:57 Vinc
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    chapu.. to ja se omlouvam.. jen nechapu zmenu te ip u tap0 na 10.0.10.1 ... par prispevku vyse je napsano, ze je v poradku, kdyz mam tap0 nastaveno v jinem rozsahu nez eth1..proto muj dotaz... ja si tedy myslim, ze bych mel nejakym zpusobem preroutovat klienta 10.0.2.treba2 na ip v lokalni siti 10.0.10.treba5... ale nevim jak:(
    21.12.2007 14:00 Vinc
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    takze mozna zadat na serveru treba: route add -host 10.0.2.2 dev tap0 .. nebo ne?
    21.12.2007 14:07 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    Tak naposledy, ja mam sit eth0 192.168.1.10/24 a nainstalovanou OpneVPN, konfigurak opnevpn

    dev tap0

    proto tcp-server

    ifconfig 192.168.1.10 255.255.255.0

    ifconfig-pool 192.168.1.50 192.168.1.60 255.255.255.0

    duplicate-cn

    key-method 2

    keepalive 10 120

    route 192.168.1.0 255.255.255.0

    push "route 192.168.1.0.255.255.255.0"

    atd....

    a jak je vidno tak se muzou pripojit 10 klientu k serveru openvpn a tudiz musim proroutovat stejnej pocet IP takze route add -host 192.168.1.50 .... 60 dev tap0

    potom pustim klienta a budu se dotazovat na prislusnou verejnou IP asi router kterej me posle pomoci v mem pripade 1149 protu dal na server a dostanu jednu z volny IP 192.168.1.50 (treba), je to dost jasne?
    21.12.2007 14:12 Vinc
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    Aha, ja je vidno, tak bude asi zakopany pes v radku 3 a 4 .. tap0 tedy na stejne IP jako eth, ale jiny rozsah klientu (jina sit).. to je vec, ktera mi nejak nebyla jsana. Zrejme jsem si nejak jinak vylozil prispevky vyse..

    Vyzkousim a verim, ze kdyz to funguje Vam, tak to pujde i me...;)

    Moc Vam dekuji a preji krasny svatky a novy rok! a jeste jednou se omlouvam za zdrzovani a hloupe dotazy :)
    21.12.2007 16:45 Dramon | skóre: 14
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    Tjova, to jsou věci :)
    Podle mě to u Vás vypadá takto:
    eth0 patří do sítě 192.168.1.10 255.255.255.0=192.168.1.0/24
    a tun0 do sítě 192.168.1.10 255.255.255.0=192.168.1.0/24
    A teď mě vysvětlete, jak mezi těmito 2mi sítěmi provádíte routing??
    Vy totiž přidělujete adresy například 192.168.1.50/30 (OpenVPN standardně používá 4bodové P-t-P spojovací adresy), což je sice routovatelné, ale PC v lokální síti s IP adresou třeba 192.168.1.90/24 zaboha nemůže vědět, že má poslat paket pro VPN klienta VPN serveru.
    Správná konfigurace: 
    eth0-inet addr:212.71.111.232  Mask:255.255.255.224
eth1-inet addr:192.168.1.252Mask:255.255.255.0
tun0-inet addr:192.168.2.252  P-t-P:192.168.2.253  Mask:255.255.255.255

port 1194
proto tcp-server
dev tun0
ca keys/ca.crt
cert keys/server.crt
key keys/server.key  # This file should be kept secret
dh keys/dh2048.pem
*mode server
*tls-server
*ifconfig 192.168.2.252 192.168.2.253
*ifconfig-pool 192.168.2.20 192.168.2.199
*route 192.168.2.0 255.255.255.0
*push "route 192.168.2.252"
ifconfig-pool-persist /var/spool/openvpn/ipp.txt
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.252"
push "dhcp-option WINS 192.168.1.201"
keepalive 10 120
tls-auth keys/ta.key 0 # This file is secret
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn.status
log-append  /var/log/openvpn/openvpn.log
verb 3
    Řádky začínající hvězdičkou vznikly rozepsáním direktivy "server 192.168.2.0 255.255.255.0", s tím, že jsem si schválně upravil, jakou IP adresu má server a jaké IP adresy dostávají klienti. Klidně je vynechte a použijte tuto direktivu. JInak hvězdičky pryč :)
    Všimněte si, že eth1 a tun0, tedy LAN a VPN síť mají jiné rozsahy - 192.168.1.0/24 a 192.168.2.0/24. Pokud tomu je jinak, musí se bridgovat a nikoliv routovat.
    Když se budete držet TOHOTO návodu, nemusíte se s žádnými příkazy "route ..." zabývat a bude Vám to fungovat. Pokud ne, bude chyba v nějakém firewallu, ale to se dá doladit. Ozvěte se, jak to dopadlo. BTW>Na VPN klientovi musí být v routovací tabulce řádky (přidává je automaticky OpenVPN): 
    192.168.2.25   0.0.0.0         255.255.255.255 UH    0      0        0 tun0
192.168.2.252  192.168.38.25   255.255.255.255 UGH   0      0        0 tun0
192.168.1.0    192.168.38.25   255.255.255.0   UG    0      0        0 tun0
    21.12.2007 17:07 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    Trosku jste me dostal, mam tak rozjetych asi 5 zakazniku a jedou bez sebemensiho problemu! Kde bych mel mit problem?
    21.12.2007 19:55 Dramon | skóre: 14
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    No, máte stejné sítě na loc i vpn.
    Používáte ty klienty pro přístup jen na server s OpenVPN, nebo se připojujete i na PC v LAN??
    22.12.2007 18:15 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    Pouzivam to jen na pripojeni na server se sambou.
    21.12.2007 18:14 Vinc
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    Tak jsem zase az tolik neplacal nesmysly.. kazdopadne mi to stale nejde :) nebo spis :(
    21.12.2007 19:13 Vinc
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    tak jsem do winxp pridal route add 10.0.10.1 mask 255.255.255.255 10.0.11.50 . kde 10.0.10.1 je eth1 a 10.0.11.50 je IP klienta pridelena VPN... uz se dostanu na 10.0.10.1 ale ne na 10.0.10.5..
    21.12.2007 19:40 Vinc
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    VYRESENO!

    do konfigu serveru jsem pridal: push "route 10.0.10.0 255.255.255.0 10.0.11.1"

    a uz se dostanu i do vnitrni site...
    21.12.2007 19:54 Dramon | skóre: 14
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    Hezké. Ale tohle tam musí přidávat OpenVPN sama :( Vždyť ona ví, na jaké adrese má svůj server
    Ale hlavně, že Vám to funguje
    21.12.2007 19:57 Dramon | skóre: 14
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    Pardon. Blbost. Přidal jste to správně, v mém konfiguráku to je síť 192.168.1.0/24. Předchozí post ode mne je blbost, spletl jsem si čísla sítí.
    BTW>IP adresu serveru tam snad ani dávat nemusíte.
    21.12.2007 20:40 Vinc
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    ja se ani nedim, ze nam to uz po cele teto diskuzi sem-tam mysli jinak;) kazdopadne diky a hezke svatky!
    21.12.2007 20:45 Vinc
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    jeste doplnim: kdyz zrusim IP serveru 10.0.11.1, tak to nefunguje... to je snad vse;)
    21.1.2008 18:37 Jirka N.
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    pouzivate nekdo shorewall a openvpn tak, aby sel cely internetovy provoz klienta pres branu na OpenVPN serveru?
    23.1.2008 19:58 Zdenek Maly
    Rozbalit Rozbalit vše Re: OpenVPN a Shorewall
    Nekolikrat se to tady na foru resilo, ale nikde jsem jeste nevidel funkcni konfiguraci. Dopurucuje se direktiva "redirect gateway" ale to neni jeste vyhrano.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.