abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky

inzerujte » Pracovní nabídky
    Telefon Murena 2 na Kickstarteru
    včera 20:33 | Komunita

    Na Kickstarteru byla spuštěna crowdfundingová kampaň na podporu telefonu Murena 2 s /e/OS. Telefon má 2 hardwarové přepínače. Prvním lze jednoduše vypnout kamery a mikrofony. Druhým se lze odpojit od sítí.

    Ladislav Hagara | Komentářů: 1
    Společnost Qualcomm publikovala říjnový bezpečnostní bulletin
    včera 20:11 | Bezpečnostní upozornění

    Společnost Qualcomm publikovala říjnový bezpečnostní bulletin. V úvodu informuje, že bezpečnostní chyby CVE-2023-33106, CVE-2023-33107, CVE-2022-22071 a CVE-2023-33063 jsou cíleně využívány útočníky. O CVE-2022-22071 se píše už v loňském květnovém bulletinu. Detaily o zbylých chybách jsou k dispozici OEM partnerům. Veřejně budou k dispozici až s vydáním prosincového bulletinu.

    Ladislav Hagara | Komentářů: 0
    Tails 5.18
    včera 13:55 | Nová verze

    Byla vydána nová verze 5.18 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Tor Browser byl povýšen na verzi 12.5.6. Tor na verzi 0.4.8.6.

    Ladislav Hagara | Komentářů: 0
    VeraCrypt 1.26.7
    včera 10:55 | Nová verze

    Šifrovací nástroj VeraCrypt v menším vydání 1.26.7 nejen opravuje chyby a aktualizuje podporované algoritmy (podrobnosti v poznámkách vydání), ale také přestává podporovat původní svazky TrueCrypt.

    Fluttershy, yay! | Komentářů: 0
    Maker Faire Liberec
    včera 09:00 | Pozvánky

    V sobotu 7. října proběhne Maker Faire Liberec, festival plný workshopů, interaktivních činností a především nadšených a zvídavých lidí.

    Ladislav Hagara | Komentářů: 0
    Výroční zpráva Mastodonu za rok 2022
    včera 08:00 | Zajímavý článek

    Mastodon vydal výroční zprávu za rok 2022 (pdf).

    Ladislav Hagara | Komentářů: 0
    Ubuntu Summit 2023 proběhne od 3. do 5. listopadu v Rize
    2.10. 23:44 | Komunita

    Ubuntu Summit 2023 proběhne od 3. do 5. listopadu v Rize.

    Ladislav Hagara | Komentářů: 0
    Python 3.12.0
    2.10. 19:33 | Nová verze

    Programovací jazyk Python byl vydán v nové major verzi 3.12.0. Podrobný přehled novinek v Changelogu.

    Ladislav Hagara | Komentářů: 0
    Linux ve Scratchi
    2.10. 17:00 | Zajímavý projekt

    Linux ve Scratchi. Ne Linux v linuxové distribuci Linux From Scratch, ale Linux bežící v emulátoru procesoru RISC-V ve vizuálním programovacím jazyce Scratch.

    Ladislav Hagara | Komentářů: 0
    The Catch 2023 vyplul z přístavu
    2.10. 16:22 | Pozvánky

    Dnes ve 12 hodin začal další ročník CTF (Capture the Flag) soutěže The Catch: "Tentokrát nás kolegové z Forenzní laboratoře zavedou na loď plnou sofistikovaných síťových technologiích, kde soutěžící budou muset zvládnout náročné úkoly. Loď nese jméno našeho skvělého kolegy Josefa Vericha – síťového guru. Tradičně se soutěž koná v říjnu – měsíci kybernetické bezpečnosti."

    Ladislav Hagara | Komentářů: 1
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Raději
     (54%)
     (46%)
    Celkem 52 hlasů
     Komentářů: 3, poslední 2.10. 23:31
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / openvpn poloviční bridge
    Štítky: DNS, Ethernet, firewally, Internet, iptables, KDE, kernel, LAN, OpenVPN, P2P, sítě, textové editory, traceroute, Vim

    Dotaz: openvpn poloviční bridge

    25.5.2007 21:52 vpn
    openvpn poloviční bridge
    Přečteno: 869×
    Mám klienta a server. Klient má eth0 192.168.20.5, tap0 10.1.0.2, server má eth0 192.168.0.4, tap0 10.1.0.1. Můj cíl je dostat se do sítě 192.168.0.0/24. Nevím ale jak nastavit routy. Poradíte mi? DOstal jsem se k tomu, že ze serveru pingnu na 192.168.20.5 a z klienta na 192.168.0.4, ale dál už se nedostanu.
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    26.5.2007 10:30 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Prosím poraďte, můj kamarád to řeší maškarádou, ale já bych to chtěl naroutovat.
    26.5.2007 11:23 Bazin | skóre: 10 | Velvary
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Ja to řešil pomocí Bridge a na to sem spachtil takovjedle skriptík : 
    #!/bin/bash

#################################
# Nastavení Skriptu pro Ethernet bridge
#Vpn a Natování 
#################################

# nazev Brdige 
br="br0"

#VPN adapter
tap="tap0"


#Nastavení  sitovky
eth="eth0"
eth_ip="192.168.1.5"
eth_netmask="255.255.0.0"
#ip adresa Gateway na internet 
gat="192.168.1.1"
#Stop Vpn serveru
/etc/init.d/openvpn stop

#otevreme Tap0

for t in $tap; do
    openvpn --mktun --dev $t
done


#vymazem Ip adresy 
for t in $tap; do
ip addr flush dev $t
done

for t in $eth; do
ip addr flush dev $t
done

#Promsic mod nastavíme na obe sitovky
for t in $tap; do
ifconfig  $t promisc up
done

for t in $eth; do
ifconfig  $t promisc up
done

#pridame br0
brctl addbr $br
brctl addif $br $eth

for t in $tap; do
    brctl addif $br $t
done

#nazhavime br0

ifconfig $br $eth_ip netmask $eth_netmask up 

#startujem VPN

/etc/init.d/openvpn start
#PRIDAME GATEWAJ
route add default gateway $gat
    26.5.2007 10:40 mozog | skóre: 28
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    ip route add 192.168.0.0/24 via 10.1.0.1 nepomaha ?
    26.5.2007 11:29 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    To ale musim mit na klientu ne?, a to mam, jinak bych se nedostal na druhou stranu na server. Problem je v tom, ze se nenaroutuju do ty vzdaleny site na strane serveru, dostanu se jen na vsechna rozhrani toho serveru.
    26.5.2007 23:56 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Jak to naroutuju na serveru?
    27.5.2007 10:52 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    nijak dokud se to nenaučís....něco si laskavě přečti a nebo by stačilo projevit trochu snahy s vyhledáváním.
    27.5.2007 10:58 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Fakt úžasná rada, jinde jsem se akorát dočetl, že je potřeba použít maškarády, ale někdo někde napsal, že to jde i bez ní a tak mě zajímá jak????
    27.5.2007 16:29 Bazin | skóre: 10 | Velvary
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    a hele proč to chceš routovat , když to je pohodlně pomocí Bridge a neni to zas tak těžký ???
    27.5.2007 16:44 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Tak pokud se ptáš tak blbě
    Jak to naroutuju na serveru?
    tak mi to připadá, že na linuxu umíš houby. A jestli na něm umíš houby, tak by ses mohl první naučit základy a pak šťourat do pokročilejších věcí. Jinak na openvpn.net je to v howto popsané krásně krok za krokem. Jak s použitím bridge, tak i s "routováním". Vyloženě je to tam napsané jak pro "blbce". Takže začni tam.
    27.5.2007 19:09 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Routovat umím, naroutoval jsem už toho hodně. Jen tady se to nechce vůbec chytit. Postupoval jsem standartně: mám routu na tap0, takže se dostanu na druhou starnu an všechna rozhraní serveru ale dál ne, bez maškarády se nehnu, tak sakra jak to udělat? Routy na druhý straně mám taky a nefunguje to. A bridge je most mezi sítěmi, což je trochu zbytečný, když chci připojit 1 klienta ke vzdálený síti. I návody mluvěj o maškarádě u mýho řešení, tak se ptám jestli to jde i naroutovat příp jak a tak mi tady nenadávejte, když asi ani nevíte o co jde.
    28.5.2007 16:45 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    jak to máš vůbec nastavené? Jako roadwarrior, nebo tunel pro jednoho klienta? Sdílíš certifikát nebo máš pro každého klienta vlastní? Zkus tohle (rozsahy si doplň sám, udávám jen příklad):

    push "route 192.168.1.0 255.255.255.0" ... tvůj VPN klient dostává IP z tohoto rozsahu
    push "redirect-gateway" ... tzn. že vzdálený (VPN) server bude zároveň výchozí bránou. Takže cokoli co tvůj PC nezná bude posláno na něj.

    Snad nekecám, protože to píšu z hlavy. Jinak žádné jiné routování není potřeba nastavovat (alespoň ve Slackware). OpenVPN mi všechno ostatní obstaralo samo. Včetně routy, včetně IP a ostatních volovin.

    PS: vím o co jde, jinak bych se tu neunavoval.
    PS1: nenadávám ti, nastavoval jsem to taky z openvpn.net a na poprvé to chodilo.
    PS2: vykat mi teda nemusíš.
    28.5.2007 18:06 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Dobře, já už totiž nemám trpělivost, protože se to takovou dobu snažím nastavit a nic. Asi tam mám nějakou chybku ale nemážu na to kápnout. To redirect-gateway tam nechci, bránu chci mít moji. Parsnu sem konfigurák serveru a klienta. Trochu jsem pozměnil IP adresy, ale to je tam vidět.
    server:

mode server
tls-server
dev tap0
ifconfig 10.1.0.1 255.255.255.0
ifconfig-pool 10.1.0.2 10.1.0.140 255.255.255.0
push "route 192.168.1.0 255.255.255.0 10.1.0.1"
push "dhcp-option 192.168.1.1"
port 1194
duplicate-cn

ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh2048.pem

log-append openvpn.log

user openvpn
group openvpn
comp-lzo
verb 3

keepalive 10 120
tls-auth ta.key 0

persist-key
persist-tun
verb 2
status openvpn-status.log

plugin /usr/include/openvpn/auth/auth-passwd/openvpn-auth-passwd.so openvpn

routy: 
10.2.0.0/24 dev eth0  proto kernel  scope link  src 10.2.0.4
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.4
10.1.0.0/24 dev tap0  proto kernel  scope link  src 10.1.0.1
default via 192.168.1.1 dev eth0


KLIENT:

remote IP
tls-client
port 1194
dev tap0
pull
mute 10

dhcp-option DOMAIN DOMENA
dhcp-option DNS 192.168.1.1

ca ca.crt
cert client.crt
key client.key

comp-lzo
ping 10
ping-restart 60
ping-timer-rem
verb 3
ns-cert-type server

persist-key
persist-tun
tls-auth ta.key 1

auth-user-pass

routy:
192.168.54.0/24 dev eth0  proto kernel  scope link  src 192.168.54.5
192.168.1.0/24 via 10.1.0.1 dev tap0
10.1.0.0/24 dev tap0  proto kernel  scope link  src 10.1.0.2
169.254.0.0/16 dev eth0  scope link  metric 1000
default via 192.168.54.1 dev eth0
    30.5.2007 16:27 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    No tak prvně, máš ten konfigurák jinačí jak já. Asi jiná verze OpenVPN (1.x) já používám 2.0 ... opravdu netuším. Pak mi připadá vše OK ... jestliže máš routy v obou PC nastavené, tak by to mělo chodit. Jediný problém může být forwarding, netfilter. Nic lepšího mě nenapadá.
    30.5.2007 16:52 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Mám verzi 2, ale v tom bych problém nehledal.
    30.5.2007 19:00 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    no já mám verzi dva, vycházel jsem z konfiguráků, co jsou i na webu a chodí to naprosto super. Je to krásně a bohatě okomentované. http://openvpn.net/howto.html#server a http://openvpn.net/howto.html#client
    30.5.2007 20:49 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    No konfiguráky mi připadají ok, ale v tom návodu je tun zařízení, přes který podle manuálnu nemůžou procházet broadcast pakety a ty já potřebuju.
    31.5.2007 17:05 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    A co ti bráni tomu (tak jako mě) tun zařízení zakomentovat a použít tap? Je to přece jen vzorový konfigurák, můžeš jej pozměnit k obrazu svému. Už mě je to furt dokola, přikládám svůj a tímto se všem omlouvám za jeho délku:
    local xxx.xxx.xxx.xxx
port 1194
proto udp
dev tap

ca ca.crt
cert server.crt
key server.key
dh dh1024.pem

server 10.144.146.0 255.255.255.0
ifconfig-pool-persist ipp.txt

push "route 10.144.146.0 255.255.255.0"
client-config-dir ccd
push "redirect-gateway"
push "dhcp-option DNS 10.144.144.1"
client-to-client

keepalive 10 120
comp-lzo

user nobody
group nobody

persist-key
persist-tun

status /var/log/openvpn-status.log
log-append  /var/log/openvpn
verb 3
    28.5.2007 22:29 Martel
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    možná blbej dotaz, ale co forwarding, máte povolenej?
    28.5.2007 22:58 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    To jsem se nedíval. To je pravda, pokud nenaběhl skript, kterej mi tohle nahazuje tak nemám. Ozvu se.
    29.5.2007 06:49 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Jo tak forwarding povolenej mám.
    29.5.2007 13:00 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Kde jeste hledat chybu?
    29.5.2007 23:25 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Proč neroutuje ta brána? Není potřeba nastavit nějaká prerouting aj, ve firewallu?
    30.5.2007 11:11 Martel
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    v preroute bych asi nic být nemělo, spíš jak vypadá FORWARD. Věci v PRE(POST)ROUTE by v tom zmatek udělat mohly.
    30.5.2007 10:51 Martel
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Jo a jak vypadají iptables?
    30.5.2007 10:50 Martel
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Podle pravidla "nejjednodušší chyby se nejhůř hledaj" - na compu na kterej se chceš připojit, default gateway je adresa vpn serveru?
    30.5.2007 11:08 Martel
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Máš tady uvedený různý verze IP adres, je v tom trochu zmatek. Ale na straně serveru nevidím route informaci pro síť klienta! Zkus kdyžtak traceroute z obou stran, ať je vidět, kam ty pakety dolezou.
    30.5.2007 12:53 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Tabulky v iptables mám prázdý. Já spíš myslel, jestli tam nemá být něco nastaveno. Ta route informace i když tam byla, tak to nejele. A ta default gateway na serveru není adresa vpn serveru, ale to by snad nemělo vadit ne? I když jsem nastavil source base routing, tak to nepomohlo. Nastavil jsem: pokud provoz přichází od klienta 192.168.54.5, máš defaultní bránu ip adresu vpn serveru.
    31.5.2007 06:25 misace
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge

    ještě musí být v síti na straně serveru (192.168.0.0/24) routovací záznam, že vše co jde ke klientovi (192.168.20.5, 10.1.0.2) neposílej na defaultní bránu, ale na ovpn server. Budto se ta routa přidá na počítače na který chceš přistupovat nebo na defaultní bránu sítě 192.168.0.0 .

    Bez toho ti paket na cílový počítač dojde, ale odpověd se pak z něj špatně pošle na defaultní bránu někam do internetu...

    31.5.2007 11:46 Martel
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Přesně to jsem chtěl říct předchozím dotazem
    31.5.2007 18:03 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Tak malá změna. Klient:
    root@vasek:/home/vasek# ping 192.168.1.5
PING 192.168.1.5 (192.168.1.5) 56(84) bytes of data.
From 10.1.0.1: icmp_seq=2 Redirect Host(New nexthop: 192.168.1.5)
From 10.1.0.1: icmp_seq=3 Redirect Host(New nexthop: 192.168.1.5)
From 10.1.0.1 icmp_seq=1 Destination Host Unreachable
From 10.1.0.1 icmp_seq=2 Destination Host Unreachable
From 10.1.0.1 icmp_seq=3 Destination Host Unreachable
From 10.1.0.1: icmp_seq=4 Redirect Host(New nexthop: 192.168.1.5)
From 10.1.0.1: icmp_seq=5 Redirect Host(New nexthop: 192.168.1.5)

--- 192.168.1.5 ping statistics ---
5 packets transmitted, 0 received, +3 errors, 100% packet loss, time 4013ms
, pipe 4
root@vasek:/home/vasek# traceroute 192.168.1.5
traceroute to 192.168.1.5 (192.168.1.5), 30 hops max, 52 byte packets
 1  10.1.0.1 (10.1.0.1)  7.824 ms  7.555 ms  6.295 ms
 2  10.1.0.1 (10.1.0.1)  3023.844 ms !H  3012.871 ms !H  3014.189 ms !H
    server: 
    server:~# ip route list table main
192.168.54.0/24 dev eth0  proto kernel  scope link  src 10.1.0.1
10.2.0.0/24 dev eth0  proto kernel  scope link  src 10.2.0.4
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.4
10.1.0.0/24 dev tap0  proto kernel  scope link  src 10.1.0.1
default via 192.168.1.1 dev eth0

server:~# ip route list table tab2
default via 10.1.0.1 dev tap0

server:~# ip rule
0:      from all lookup 255
201:    from 10.1.0.0/24 to 192.168.1.0/24 lookup tab2
201:    from 192.168.54.0/24 to 192.168.1.0/24 lookup tab2
201:    from all to 192.168.54.0/24 lookup tab2
201:    from all to 10.1.0.0/24 lookup tab2
32766:  from all lookup main
32767:  from all lookup default
    31.5.2007 19:15 Martel
    Rozbalit Rozbalit vše tak teď už je v tom totální mrd.ník
    jaký adresy mají konce toho tapu. Zkus nějak nakreslit topologii tý sítě. A popsat co by to mělo dělat. co má být to rozhraní 10.2.0.4? síť 192.168.54.0 je fakt dosažitelná přez eth0?
    31.5.2007 22:59 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník 
    192.168.1.0/24
192.168.54.0/24 - klient 192.168.54.5
  |
ROUTER
eth0 192.168.1.1
eth0:1 192.168.54.1
  |
internet
  |
ROUTER
eth0 192.168.1.1
  |
192.168.1.0/24
  |
openvpn server
eth0 192.168.1.4
tap0 10.1.0.1
    Můj cíl je dostat se z 192.168.54.5 do 192.168.1.0/24 skrze openvpn server.
    31.5.2007 23:05 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Vítězství, už to jede, stačilo nahradit jeden řádek za 192.168.54.0/24 via 10.1.0.1 dev tap0 a odstranit tabulku tab2.
    31.5.2007 23:07 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Tak ne, byl to planý poplach, omylem jsem nechal po restartu serveru zaplou maškarádu :(
    31.5.2007 23:20 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    No tak jak je to nakreslené to určitě chodit nebude. 1. nějak nevidím na straně klienta konec sítě 10.1.0.X 2. na straně klienta je taky síť 102.168.1.X

    Proč to nepostavit jednoduše?

    eth0:192.168.54.X tun: 10.1.0.1 I I internet I I VPN server tun: 10.1.0.2 eth0: 192.168.1.Y ----------------------- PC 192.168.1.Z I----- PC I----- PC

    Vynechávám routery - skrz ně je třeba natovat provoz na VPN server (pokud není součástí hraničního routeru)
    31.5.2007 23:23 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    nějak jsem zapoměl na pre
    31.5.2007 23:22 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    No tak jak je to nakreslené to určitě chodit nebude. 1. nějak nevidím na straně klienta konec sítě 10.1.0.X 2. na straně klienta je taky síť 102.168.1.X

    Proč to nepostavit jednoduše? 
    eth0:192.168.54.X
tun: 10.1.0.1
   I
   I
internet
   I
   I
VPN server
tun: 10.1.0.2
eth0: 192.168.1.Y ----------------------- PC 192.168.1.Z
                                   I----- PC
                                   I----- PC
    Vynechávám routery - skrz ně je třeba natovat provoz na VPN server (pokud není součástí hraničního routeru)
    31.5.2007 23:29 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Ten klient má ještě samozřejmě jedno rozhraní tap0 10.1.0.2. A tak nějak jak jsi to nakreslil bych to chtěl, akorád, že vpn server je normálně součástí sítě, je píchlej do switche jako ostatní počítače, ty nejsou za ním.
    31.5.2007 23:31 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    To, že je za routrem nevadí, ale musíš provoz na jeho port Dnat-ovat skrz router (pokud teda nemáš další veřejné IP adresy).
    31.5.2007 23:35 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Ve firmě jsme měli (vlastně do půlnoci ještě máme) takhle propojenejch 20 poboček.
    31.5.2007 23:41 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Nakonfiguruj si normálně klasicky VPN tunel mezi 2 PC. Jedno PC bude vpn server. Aspoň jedno PC ale musí mít veřejnou adresu (nebo musíš udělat DNAT na jeho port). Pokud použiješ DNAT, musíš na druhé straně dát do confu parametr FLOAT. směrování nastavíš na routeru tak, že provoz na 192.168.54.0/24 bude přeposílat na vpn server.
    31.5.2007 23:50 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Z toho výpisu pingu u klienta vidíš, že vpn posílá klientovi zpátky ICMP paket s informací, že klient má přímé spojení se 192.168.1.5 Vpn se pak sám pokouší přeposlat paket na 192.168.1.5, což mu ale logicky nevyjde, protože 192.168.1.5 je na druhém konci tunelu. Protože ale máš síť 192.168.1.0 na obou koncích, nemá smysl posílat do ní paket tunelem.
    1.6.2007 00:04 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Já se potřebuju dostat do tý vzdálený sítě 192.168.1.0/24, nepotřebuju, aby se vzdálená síť dostala do mé sítě, stačí mi když se dostane ke mě, takže by 192.168.54.5 mělo stačit, na klientský straně je ta síť 192.168.1.0 jen kvůli kompatibilitě jednoho klienta, já jí vůbec jinak nepoužívám na klientský straně. Ale jinak, proč si to myslí, že 192.168.1.5 je i u klienta a nesnaží se to rvát přes tunel?
    1.6.2007 00:27 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    No to, že 192.168.1.5 je na klientský straně vyplývá z toho, že na klientský straně je taky síť 192.168.1.0. Nastuduj si, jak probíhá směrování v TCPIP. Pokud je síťová část cílové adresy paketu shodná se síťovou částí adresy některého rozhraní, je posílána přímo přez toto rozhraní.
    1.6.2007 06:39 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    No ale 192.168.1.5 v klientský síti ani není. A ani nemám standartně nastavený směrování do tý sítě.
    1.6.2007 10:34 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Jo, ale na LAN rozhraní klienta máš adresu ze sítě 192.168.1.0
    1.6.2007 10:53 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Tak teď jsem to asi špatně pochopil. Na klientu nemám ip adresu ze sítě 192.168.1.0, je sice fakt, že je spojenej přes stejnej switch ze sítí 192.168.1.0/24, ale všechno routování na 192.168.1.0/24 jde přece přes tap0.
    1.6.2007 14:27 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Tak jsem tu klientskou sít převedl kompletně na 192.168.54.0/24 a žádná změna, takže to tím nebylo.
    1.6.2007 20:26 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Ani podle originálního návodu to nejede. :( .............
    2.6.2007 08:24 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Mimochodem, proč ti nedělá VPN server přímo hraniční router s internetem (myslím tedy iGW)? Pokud je to píchlé do switche musíš přidat na iGW patřičná pravidla do iptables, aby byl veškerý provoz na port 1194 přesměrován na VPN stroj, ale ten stroj musí zároveň mít v routovací tabulce informace o všech subnetech se u tebe vyskytujících. Myslím, že kdybys udělal VPN přímo na iGW ubydou ti starosti. Možná to máš kvůli shapingu, ale to mě napadlo až teď.
    2.6.2007 08:18 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Rozepiš to laskavě pořádně. Nic jako eth0:1 neexistuje. Buď rád, že se diskuze neúčastní p. Kubeček. By ti dal. Smím vědět, proč máš na jednom rozhraní dvě IP adresy? Má to nějaký konkrétní smysl?
    2.6.2007 11:17 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Smysl to má dočasný kvůli 1 pc v síti a taky kvůli pokusům. Jinak vpn server je umístěn za routerem taky trochu z technických a blbostních důvodů, port je přesměrován a není shapován. Pokud udělám při pokusu nakonfigurovat openvpn server nějakou botu a openvpn server lehne, nepoznamená to důležitý router. A ty informace o subnetech, tím myslíš konkrétně udělat co?
    2.6.2007 16:45 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Tak jsem dal ten openvpn server na ten router a jsem na tom úplně stejně.
    2.6.2007 18:04 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Znova jsem si to prohlédl a napsal na papír a nechápu jednu věc. Takže ty máš na jenom konci internetu (tunelu) subnet 192.168.1.0/24 a na druhém konci internetu (tunelu) máš taky subnet 192.168.1.0/24. Pominu-li tu síť 192.168.54.0/24, kterou tam máš z pokusných důvodů, tak vidím na obou koncích tytéž subnety. To ti ale nebude chodit (leda bridge, ale v tom případě oba routery nesmí mít 192.168.1.1). Musíš na jednom konci prostě použít jiný subnet. Na pokusné IP subnety se vykašli a té mašině, se kterou to zkoušíš, dej normální IP z toho samého subnetu, který používáš normálně na síti. Jednak to zjednodušíš a je-li tam chyba, tak ji neuděláš. Zkus to a dej vědět.
    2.6.2007 18:21 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    kecám :-) to by platilo pro obyčejný P2P tunel :-)
    2.6.2007 18:28 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    EE, 192.168.1.0/24 na klientský straně je z pokusných důvodů. Ale teď už je to jedno, co jsem to dal na router a přidal volbu local, už to jede, díky za rady.
    2.6.2007 18:05 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    HHHUUURRRÁAA, už to jede. Stačilo v server.conf uvést local VER_IP_ADRESA.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.