Přístup do netu přes OpenVPN

na server jsem hodil direktivu

push "route-gateway 192.168.0.1"

, ale nejak to nezabralo .. klienti maji samozrejme pull

7.1.2008 20:39 batt | skóre: 11 | jiříkov
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

ahoj, mě by zajímalo jak to maš na tech winxp ? mě jse to nepodařilo rozjet mužeš podat více info , mě na severu beží openvpn ale nevím jak jse pripojit pres windle v llinuxu to vím ale v xp nevím mužeš prozradit jak to maš udělané? díky moc zdenek

7.1.2008 20:41 krausik
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

no, jsem zacatecnik, ale tohle jsem nejak rozchodil a maka to bez problemu.. tak se mi tu snad nikdo nebude moc smat, kdyz sem hodim konfiguraky moji ovpn :o) .. momentik, hodim ti to sem ;o)

7.1.2008 20:49 batt | skóre: 11 | jiříkov
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

díky to by bylo super

7.1.2008 20:50 krausik
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

server.conf

# server
mode server

# tls jako server
tls-server

crl-verify /etc/openvpn/crl.pem

# vytvori zarizeni
dev tap0

# protokol (mozno i tcp-server)
proto udp

# port na kterem nasloucha
port 113

# adresa serveru (rozhrani tap0)
ifconfig 10.0.11.1 255.255.255.0

# adresy pro klienty
ifconfig-pool 10.0.11.50 10.0.11.60 255.255.255.0

# soucasne prihlaseni vice klientu se stejnym certifikatem
duplicate-cn

# maximalni pocet klientu, kteri se mohou pripojit
#max-clients 3

# pripojeni klienti na VPN se uvidi
client-to-client

# posle na klienta routy na zpristupneni lan za VPN serverem
push "route 10.0.10.0 255.255.255.0 10.0.11.1"  # prvni jsou IP site za serverem, maska, IP tap0
# push "route 10.0.1.0 255.255.255.0 10.0.11.1"
push "dhcp-option DNS 10.0.10.1"

# udrzuje spojeni nazivu, 10 (ping) a 60 ping-restart)
keepalive 10 30

# certifikat certifikacni autority
ca /etc/openvpn/ca.crt

# certifikat serveru
cert /etc/openvpn/server.crt

# klic serveru
key /etc/openvpn/server.key

# parametry pro Diffie-Hellman protokol
dh /etc/openvpn/dh2048.pem

# logy serveru
log-append /var/log/openvpn

# status serveru
status /var/run/openvpn/vpn.status 10

# na Win nefunguje, muze byt zakomentovane
user nobody
group nogroup

# komprese prenesenych dat
comp-lzo

# ukecanost;)
verb3

client.conf (WinXP s OpenVPN GUI)

remote xxx.xxx.xxx.xxx
port 113
tls-client
dev tap
pull

ns-cert-type server

mute 10
ca ca.crt
cert user.crt
key user.key

comp-lzo
verb 3

#user nobody

snad to trošku pomůže :o)

7.1.2008 21:32 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

spravny paramert co hledas je "redirect gateway" viz manual .. .

Never give up ! Stay ATARI !

7.1.2008 21:58 krausik
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

ten uz jsem taky zkousel, ale bez uspechu.. nemuze to byt pouzitim tap? tap je ale to jediny, co widle umi..

7.1.2008 22:16 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

Aha, nevsiml jsem si ... Ano muze to byt ten problem, ja to mam odzkouseno na linux server vs linux klient ... Hmm, tak to nevim ....

Jinak je to popsano zde a je take potreba hodit na tu VPN sit maskaradu (na serveru) to jsi taky udelal ???

Never give up ! Stay ATARI !

7.1.2008 22:23 krausik
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

mrknu na ten navod, ale jak ted hledam, tak jsem se dostal az nekam k widlimu brige.. zatim se ale nedari.. na maskaradu jeste mrknu, ted ji mam mezi ppp0 (dsl) a eth1 (lan), nerad bych ale dopatlal moji jiz funkcni sit.... jdu dal laborovat ;)

8.1.2008 00:07 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

NATovat muzes vice interface a je to jen jeden prikaz, muzes to kdykoliv deaktivovat. Neni se ceho bat. Myslim, ze to bude v tom ..

Na bridge kasli, ma vic nevyhod, nez vyhod ...

Never give up ! Stay ATARI !

8.1.2008 00:09 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

takze v tvem pripade muzes:

iptables -t nat -A POSTROUTING -s ip.tvoji.vpn.site/24 -o ppp0 -j MASQUERADE

smazes to:

iptables -t nat -D POSTROUTING -s ip.tvoji.vpn.site/24 -o ppp0 -j MASQUERADE

Never give up ! Stay ATARI !

8.1.2008 19:30 krausik
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

muzu tohle pridat, kdyz mam Shorewall?

8.1.2008 19:44 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

Ano. To muses pridat vzdy, at mas cokoliv ... :-)

Akorat, kdyz to budes chtit pouzivat musis to pak nejak zaclenit do Shorewallu nebo do nejakeho rc.local ...

NEznam zadne nastavby firewalu, jako je shorewall atd, firewall si resim vzdy na kolene, takze v tomto nepomuzu ...

Never give up ! Stay ATARI !

8.1.2008 19:55 krausik
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

Jasny, ja sahl po shorewallu, protoze mi prislo nastaveni funkcni i prehledny..:) Tak jsem skusil tu maskaradu, shorewall mi to nerozhodilo, ale ani mi to moc nepomohlo:( Jinak jsem v konfiguraku OpenVPN nechal direktivu push "redirect-gateway" a stejne mi ji to neprihodi... Nerikejte mi, ze tu neni nikdo, kdo to pouziva??? Jinak svacovi dekuji za vytrvalost:)

8.1.2008 20:50 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

Koukam jeste do toho konfiguraku a je zapotrebi toto (SERVER):

1. NAT - nat musi byt na WAN interface - to mame
2. openvpn server MUSI vedet o te siti, na ktere je ten klient, ktery se bude redirectovat, takze pokud je klient na 192.168.0.50 musi na serveru byt:

route 192.168.0.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"

koukam,ze dulezity je i ten DRUHY radek, ktery znova rika tomu klientovi ze je dostupny pro ostatni ... - myslim ted pri volbe PULL, kterou mas na klientovi .... Cely konfig vypada pak takto:

oot@game:~# cat /etc/openvpn/server-road.conf 
mode server
tls-server
keepalive 10 120
dev tun
server 10.1.1.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/ipp.txt
dh dh1024.pem
ca ca.crt
cert server.crt
key server.key
route-up "route delete -net 10.1.1.0/24"
route-up "route add -net 10.1.1.0/24 tun0"
client-config-dir ccd
route 192.168.0.0 255.255.255.0
client-to-client
push "route 192.168.0.0 255.255.255.0" # sit tveho redirectovany klient 
persist-key
persist-tun
log-append /var/log/openvpn
status /var/log/openvpn-status
comp-lzo
verb 3

no a client vypada takto:

root@game:~# cat /etc/openvpn/client-road.conf 
client
dev tun
float
mssfix 1500
remote IP.NA.VPN.SERVER
tls-client
ns-cert-type server
ca ca.crt
cert navaro.crt
key navaro.key
persist-key
persist-tun
pull
comp-lzo
verb 3
redirect-gateway

Never give up ! Stay ATARI !

8.1.2008 20:52 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

Jo jeste je dulezite toto:

root@game:/etc/openvpn# cat ccd/nazev_klienta 
iroute 192.168.0.0 255.255.255.0

Never give up ! Stay ATARI !

8.1.2008 21:12 krausik
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

Koukam, ze ty to mas pres tun . Jinak

route 192.168.0.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"

jsou IP klienta od pridelene od OpenVPN nebo IP klienta v ty svoji LAN? Jo a redirect gateway posilam klientovi ze serveru pres push .

8.1.2008 21:42 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

tun MAM i ve Windows - to funguje neboj .... IP jsou z ty jeho LAN, OpenVPN ma jinou sit, viz vyse ... vim, ze ji posilas push, ja jsem pouze psal jak to PRESNE mam ...

Ale jak uz jsem rikal, jede to linux vs linux ... Ted me napada ... za tim wondows je router, neni to nejak blokovane tam ???

Never give up ! Stay ATARI !

8.1.2008 21:48 krausik
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

tzn., ze reseni by bylo, prekopat to na tun . No, asi to vyzkousim, ale zejtra. Udelam si zkusebni nastaveni podle tvych konfiguraku a uvidim, jak to poslape... Jinak toho klienta s widlema jsem dal zkusebne do DMZ, takze by nemelo byt na jeho strane nic v ceste...

8.1.2008 22:22 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

OK vyzkousej .. . :-)

Dej pak vedet ....

Never give up ! Stay ATARI !

8.1.2008 11:58 Dejv | skóre: 37 | blog: Jak ten blog nazvat ... ? | Ostrava
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

Widle jedou i kdyz mas na serveru tun. Mam to tak uz rok a bez problemu. Server na OpenWRT, klienti Win2k, WinXP, Mac i Linux. Vychozi branu ale ma kazdy svoji, mam to kvuli pristupu na firemni servery. Na tech widlich jsem zadne zvlastni nastaveni delat nemusel, proste jsem nainstaloval OpenVPN-gui a nakopiroval konfigurak. V sitovych pripojenich sice je zarizeni "TAP", ale tam je i zarizeni "Připojení k místní síti" a pod., takze tohle oznaceni moc vazne brat nelze.

Dejv

Pevně věřím, že zkušenější uživatelé mě s mými nápady usměrní a pošlou tam, kam tyto nápady patří...

8.1.2008 15:59 perry
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

s tim TUN ve win je to nejaky divny.. BTW zarizeni ve win se jmenuje TAP-Win32 Provider, proto porovnani napr. s Pripojeni k mistni siti je nesmysl.. ale kdyz to jede, tak je to fajn

8.1.2008 16:44 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

to neres ... muzes pouzivat jak tun, tak tap ..

Never give up ! Stay ATARI !

8.1.2008 16:45 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

tun = routing tap = bridge

Never give up ! Stay ATARI !

9.1.2008 07:28 Dejv | skóre: 37 | blog: Jak ten blog nazvat ... ? | Ostrava
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

Jo, s tim jmenem mas pravdu.

Tim porovnanim jsem chtel rict, ze to, co je v Sitovych pripojenich, nelze povazovat za prilis smerodatne.

Dejv

Pevně věřím, že zkušenější uživatelé mě s mými nápady usměrní a pošlou tam, kam tyto nápady patří...

ja to mam takhle a funguje vse bez roblemu. pokud se pripojim do OpenVPN tak veskery provoz do netu jde pres VPNku

Server

port 10056
proto tcp
mode server
tls-server

dev tap

ca cert/ca.crt
cert cert/server_vpn.crt
key cert/server_vpn.key
dh cert/dh1024.pem

ifconfig-pool-persist ip_pool.txt
server 10.8.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0 10.8.0.1"
push "dhcp-option domain domain.tld"
push "dhcp-option DNS 192.168.1.5"
push "dhcp-option DNS 192.168.1.4"
# Nastavi klientovi defaultni branu pres OpenVPN
push "redirect-gateway"

#Zajistuje aby se mezi sebou videli klienti
client-to-client

duplicate-cn
keepalive 10 120
comp-lzo

persist-key
persist-tun

verb 3

log-append /var/log/openvpn
status /var/run/openvpn/vpn.status 10

Klient

remote <ip_adresa_serveru>
tls-client

port 10056
proto tcp-client
dev tap
pull

ca /etc/openvpn/cert/ca.domena.tld.crt
cert /etc/openvpn/cert/vpn.domena.tld.crt
key /etc/openvpn/cert/vpn.domena.tld.key

log-append /var/log/openvpn.log
status /var/run/vpn.status 10
comp-lzo
verb 3

na serveru musi byt zaple routovani packetu

echo 1 < /proc/sys/net/ipv4/ip_forward

a pokud je to i brana do netu a provadi maskaradu tak nastavit v iptables maskaradu

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o <sitovka_do_netu> -j SNAT --to <verejna_ip_adresa>

9.1.2008 11:58 hates | skóre: 30 | blog: Jak_jsem_se_dostal_k_linuxu
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

Potom si na VPN klientovy over pomoci traceroute jakou cestou ti to bezi

9.1.2008 15:03 krausik
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

Ahoj, tak jsem to v rychlosti testnul tak, jak to mas ty, ale porad mi to nejede. Ja mam takovej pocit, ze mi to tam nekde hapruje s tim Shorewallem. Maskaradu jsem nahodil pomoci iptables, jak pises a ip_forward mam taky nastavenej.. Pripojuju se z win klienta, ktery je uplne v jiny siti v internetu. Kdyz se podivas na ip nastaveni toho tap ve widlich, tak tam mas i tu vychozi branu?

9.1.2008 15:04 krausik
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

jeste ze zeptam, nemuze byt muj pripad tohle? : http://www.shorewall.net/OPENVPN.html#Bridge

9.1.2008 15:53 hates | skóre: 30 | blog: Jak_jsem_se_dostal_k_linuxu
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

jak to je na vidlich si ted nevybavim. nekde to mam popsane tak to zkusim vecer najit. ale na 100% mi to fungovalo i ve widlich

9.1.2008 16:34 krausik
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

to bys byl hodnej... me se porad nejak nechce prekopavat komplet tu moji konfiguraci na tun, protoze porad verim, ze i s tap to musi nejak makat ;)

9.1.2008 16:55 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

jenze tap bys NEMEL pouzivat .. tap je pro bridge a ty v bridge tu VPN NEMAS na serveru ...

Proto je tu tun a tap ... :-)

Ma to svuj vyznam ...

Never give up ! Stay ATARI !

10.1.2008 16:47 fila
Rozbalit Rozbalit vše Re: Přístup do netu přes OpenVPN

prosim vas, mam podobny problem s openvpn. chtel bych vyuzivat sluzby vzdalene site ale taky redirektovat cely internetovy provoz pres openvpn z windows klienta... jde mi o to, ze kdyz se pripojim nekde na wifi hotspot, bez problemu se pripojim na moji domaci lokalni sit.. vse funguje (prohlizeni pocitacu v siti atd.). Jenomze na hotspotu, ktery chci vyuzit je zablokovane napr. pouzivani jabberu atd.. jak tedy redirectuju cely provoz prez muj vzdaleny server pomoci openvpn? Je nekde nejaky funkcni navod nebo model nastaveni openvpn? V tuto chvili mam podobne nastaveni jako kolega vyse s tun rozhranim... diky za eventuelni rady.

Dotaz: Přístup do netu přes OpenVPN

Odpovědi