Portál AbcLinuxu, 12. května 2025 18:21

Dotaz: aky soft pre VPN server?

17.5.2009 13:10 eth4rendil | skóre: 13
aky soft pre VPN server?
Přečteno: 774×
Odpovědět | Admin

Dobrý deň,

 

chcel by som sa spýtať aké máte skúsenosti s programami pre VPN-server. Mam Debian lenny, s eth0 - LAN a eth1 - WAN. Potreboval by som poradit pri vybere VPN softu pre tento server. Chcel by som ho pouzivať ako VPN gateway z WAN do LAN. Klientsky program by mal byť pre XP popr. vistu. Ja som zatiaľ skušal OpenVPN ale neviem či je to spravna voľba. Aké máte s tým skúsenosti a čo by ste odporúčali?

Ďakujem

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

cynic_asshole avatar 17.5.2009 13:24 cynic_asshole | skóre: 28
Rozbalit Rozbalit vše Re: aky soft pre VPN server?
Odpovědět | | Sbalit | Link | Blokovat | Admin
poptop - klient je přímo ve windows, netřeba doinstalovávat další software
Neznáš nějakou linuxovou distribuci pro Windows?
17.5.2009 13:29 Dušan Hokův | skóre: 43 | blog: Fedora a další...
Rozbalit Rozbalit vše Re: aky soft pre VPN server?
Odpovědět | | Sbalit | Link | Blokovat | Admin
openvpn je spravna volba :-)
cynic_asshole avatar 17.5.2009 17:58 cynic_asshole | skóre: 28
Rozbalit Rozbalit vše Re: aky soft pre VPN server?
A co je špatného na mnou navrhnutém řešení?
Neznáš nějakou linuxovou distribuci pro Windows?
17.5.2009 13:53 Opičák | skóre: 18 | blog: Opicakovy_blaboly
Rozbalit Rozbalit vše Re: aky soft pre VPN server?
Odpovědět | | Sbalit | Link | Blokovat | Admin

OpenVPN ....používám, umí vše co potřebuju (včetně klientských certifikátů), myslím že z free segmentu je to nejlepší volba.

17.5.2009 15:02 eth4rendil | skóre: 13
Rozbalit Rozbalit vše Re: aky soft pre VPN server?

existuje pre openVPN aj neaky iny windows klient ako ten originalny?

17.5.2009 15:53 Mti. | skóre: 31 | blog: Mti
Rozbalit Rozbalit vše Re: aky soft pre VPN server?

je ten "originalni" necim spatny? :-D

Vidim harddisk mrzuty, jehoz hlava plotny se dotyka...
17.5.2009 17:09 eth4rendil | skóre: 13
Rozbalit Rozbalit vše Re: aky soft pre VPN server?

no neako sa mi zda ze sa zastavil vyvoj pri tom originalnom :)

17.5.2009 17:17 /
Rozbalit Rozbalit vše Re: aky soft pre VPN server?

Verze z 2008/11 vám připadá nějak zvlášť stará?

http://openvpn.net/changelog-beta.html

17.5.2009 17:37 eth4rendil | skóre: 13
Rozbalit Rozbalit vše Re: aky soft pre VPN server?

nj tiez pravda ale je to rc a posledny stable bol 2006.10.01.

 

no teraz mi vznikol problem. installol som openvpn server aj klienta. Klient moze opingat server ale nemoze opingat siet za serverom... Okrem toho server nemoze opingat klienta. Vie my s tym niekto pomoct?

infos:

server ma dve sietovky: LAN - 10.224.34.204/23 WAN xxx.xxx.142.118

pripajam sa z internetu na adresu serveru xxx.xxx.142.118 a chcel by som sa dostat dalej :) (10.224.34.0/23)

zjavne mam zle nastavene ten openVPN .conf a treba asi aj nieco s routingom ...

packet forwarding mam povoleny 

phenon:~/vpnconfig# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.10.10.2      *               255.255.255.255 UH    0      0        0 tun0
xxx.xxx.142.112 *               255.255.255.248 U     0      0        0 eth1
10.232.129.0    10.224.34.1     255.255.255.0   UG    0      0        0 eth0
10.10.10.0      10.10.10.1      255.255.255.0   UG    0      0        0 tun0
10.10.10.0      10.10.10.2      255.255.255.0   UG    0      0        0 tun0
localnet        *               255.255.254.0   U     0      0        0 eth0
default         stip-static-113 0.0.0.0         UG    0      0        0 eth1
default         10.224.34.1     0.0.0.0         UG    0      0        0 eth0
 

# cat /etc/openvpn/server.conf

local xxx.xxx.142.118   # My VPN server's IP
port 1194               # Local Port
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key          # This file should be kept secret
dh dh1024.pem
server 10.10.10.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push route 10.224.34.0 255.255.254.0
client-to-client
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun

klient windows konfigurak


client
dev tun
proto udp
remote xxx.xxx.xxx.118 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert leo.crt
key leo.key
comp-lzo
verb 3

 

17.5.2009 17:43 kafi | skóre: 25 | blog: muj_prvni_blog
Rozbalit Rozbalit vše Re: aky soft pre VPN server?
Co firewall a chain FORWARD? Mas vse povolene?
17.5.2009 17:55 eth4rendil | skóre: 13
Rozbalit Rozbalit vše Re: aky soft pre VPN server?

s firewalom som nic nerobil ani chain FORWARD. Ale firewalom to esi nebude bo moje iptables su este mlade :)

17.5.2009 18:08 kafi | skóre: 25 | blog: muj_prvni_blog
Rozbalit Rozbalit vše Re: aky soft pre VPN server?
No nevim jak debian ale treba centos ma defaultni firewall. bylo by tedy dobre se kouknout na ty pravidla iptables -L -nv at vidime vsechny chainy. A jeste by to mozna chtelo zkusit dumpnout aby se zjistilo kde se pakety straci. takze tcpdump -i eth0 -n udp and port [cislo portu na vpn] tim muzeme overit overeni resp navazani spojeni s vpn pak si zadame tcpdump -i [tun nebo tap]0 -n icmp. Pak by se melo proverit jeste routovani takze musis tvemu klientu prihlasene prez vpn rict kde ma hledat pipadne tvou vnitrni sit. takze mu pridat do routovaci tabulky zaznam. Takze kdyz vim ze muj vpn server po navazani vpn spojeni ma ip 172.16.0.1 a ma vnitrni sit ma rozsah 192.168.0.1/24 tak pak pridam do me routovaci tabulky na klientskem pc zaznam 192.168.0.0/24 prez 172.16.0.1. V konfiguraci openvpn to provedu nasledovne

push "route 192.168.0.0 255.255.255.0 172.16.0.1"
17.5.2009 18:13 kafi | skóre: 25 | blog: muj_prvni_blog
Rozbalit Rozbalit vše Re: aky soft pre VPN server?
ach to formatovani No nevim jak debian ale treba centos ma defaultni firewall. bylo by tedy dobre se kouknout na ty pravidla

iptables -L -nv

at vidime vsechny chainy. A jeste by to mozna chtelo zkusit dumpnout aby se zjistilo kde se pakety straci. takze

tcpdump -i eth0 -n udp and port [cislo portu na vpn]

tim muzeme overit overeni resp navazani spojeni s vpn pak si zadame

tcpdump -i [tun nebo tap]0 -n icmp

. Pak by se melo proverit jeste routovani takze musis tvemu klientu prihlasene prez vpn rict kde ma hledat pipadne tvou vnitrni sit. takze mu pridat do routovaci tabulky zaznam. Takze kdyz vim ze muj vpn server po navazani vpn spojeni ma ip 172.16.0.1 a ma vnitrni sit ma rozsah 192.168.0.1/24 tak pak pridam do me routovaci tabulky na klientskem pc zaznam 192.168.0.0/24 prez 172.16.0.1. V konfiguraci openvpn to provedu nasledovne 
push "route 192.168.0.0 255.255.255.0 172.16.0.1"
17.5.2009 18:42 eth4rendil | skóre: 13
Rozbalit Rozbalit vše Re: aky soft pre VPN server?

# iptables -L -nv
Chain INPUT (policy ACCEPT 60M packets, 45G bytes)
 pkts bytes target     prot opt in     out     source               destination
    9   540 DROP       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 state NEW recent: UPDATE seconds: 600 hit_count: 2 name: DEFAULT side: source
   10   560            tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 state NEW recent: SET name: DEFAULT side: source

Chain FORWARD (policy ACCEPT 163 packets, 18196 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 64M packets, 76G bytes)
 pkts bytes target     prot opt in     out     source               destination
 

 

no nastavil som v server.conf:

push "route 10.224.34.0 255.255.254.0 10.10.10.1"

tym ze som to nastavil prestal poriadne fungovat connect klienta na server:

 

Sun May 17 18:34:11 2009 Successful ARP Flush on interface [524291] {C198E25C-578D-4ECF-ACC5-D0E63AAB75E9}
Sun May 17 18:34:17 2009 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun May 17 18:34:17 2009 Route: Waiting for TUN/TAP interface to come up...
Sun May 17 18:34:21 2009 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun May 17 18:34:21 2009 Route: Waiting for TUN/TAP interface to come up...
Sun May 17 18:34:22 2009 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun May 17 18:34:22 2009 Route: Waiting for TUN/TAP interface to come up...
Sun May 17 18:34:23 2009 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun May 17 18:34:23 2009 Route: Waiting for TUN/TAP interface to come up...
Sun May 17 18:34:24 2009 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun May 17 18:34:24 2009 Route: Waiting for TUN/TAP interface to come up...
Sun May 17 18:34:25 2009 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun May 17 18:34:25 2009 Route: Waiting for TUN/TAP interface to come up...
Sun May 17 18:34:26 2009 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun May 17 18:34:26 2009 Route: Waiting for TUN/TAP interface to come up...
Sun May 17 18:34:27 2009 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun May 17 18:34:27 2009 Route: Waiting for TUN/TAP interface to come up...
Sun May 17 18:34:28 2009 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun May 17 18:34:28 2009 Route: Waiting for TUN/TAP interface to come up...
Sun May 17 18:34:29 2009 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun May 17 18:34:29 2009 Route: Waiting for TUN/TAP interface to come up...
Sun May 17 18:34:30 2009 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun May 17 18:34:30 2009 Route: Waiting for TUN/TAP interface to come up...
Sun May 17 18:34:31 2009 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun May 17 18:34:31 2009 Route: Waiting for TUN/TAP interface to come up...
.

.

.

Sun May 17 18:34:46 2009 C:\WINDOWS\system32\route.exe ADD 10.224.34.0 MASK 255.255.254.0 10.10.10.1
Sun May 17 18:34:46 2009 Warning: route gateway is not reachable on any active network adapters: 10.10.10.1
Sun May 17 18:34:46 2009 Route addition via IPAPI failed [adaptive]
Sun May 17 18:34:46 2009 Route addition fallback to route.exe
Sun May 17 18:34:46 2009 openvpn_execve: CreateProcess C:\WINDOWS\system32\route.exe failed: Systém nemôže nájsť zadanú cestu.   (errno=3)
Sun May 17 18:34:46 2009 ERROR: Windows route add command failed [adaptive]: external program did not execute -- returned error code -1
Sun May 17 18:34:46 2009 C:\WINDOWS\system32\route.exe ADD 10.10.10.0 MASK 255.255.255.0 10.10.10.5
Sun May 17 18:34:46 2009 Route addition via IPAPI succeeded [adaptive]
SYSTEM ROUTING TABLE
0.0.0.0 0.0.0.0 192.168.0.1 p=0 i=2 t=4 pr=3 a=1304 h=0 m=20/-1/-1/-1/-1
10.10.10.0 255.255.255.0 10.10.10.5 p=0 i=524291 t=4 pr=3 a=0 h=0 m=1/-1/-1/-1/-1
10.10.10.4 255.255.255.252 10.10.10.6 p=0 i=524291 t=3 pr=2 a=31 h=0 m=30/-1/-1/-1/-1
10.10.10.6 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=31 h=0 m=30/-1/-1/-1/-1
10.255.255.255 255.255.255.255 10.10.10.6 p=0 i=524291 t=3 pr=2 a=31 h=0 m=30/-1/-1/-1/-1
127.0.0.0 255.0.0.0 127.0.0.1 p=0 i=1 t=3 pr=2 a=165661 h=0 m=1/-1/-1/-1/-1
169.254.0.0 255.255.0.0 192.168.0.188 p=0 i=2 t=3 pr=3 a=1304 h=0 m=30/-1/-1/-1/-1
192.168.0.0 255.255.255.0 192.168.0.188 p=0 i=2 t=3 pr=2 a=84459 h=0 m=20/-1/-1/-1/-1
192.168.0.188 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=84459 h=0 m=20/-1/-1/-1/-1
192.168.0.255 255.255.255.255 192.168.0.188 p=0 i=2 t=3 pr=2 a=84459 h=0 m=20/-1/-1/-1/-1
224.0.0.0 240.0.0.0 10.10.10.6 p=0 i=524291 t=3 pr=2 a=31 h=0 m=30/-1/-1/-1/-1
224.0.0.0 240.0.0.0 192.168.0.188 p=0 i=2 t=3 pr=2 a=84459 h=0 m=20/-1/-1/-1/-1
255.255.255.255 255.255.255.255 10.10.10.6 p=0 i=65541 t=3 pr=2 a=165655 h=0 m=1/-1/-1/-1/-1
255.255.255.255 255.255.255.255 10.10.10.6 p=0 i=524291 t=3 pr=2 a=93646 h=0 m=1/-1/-1/-1/-1
255.255.255.255 255.255.255.255 192.168.0.188 p=0 i=2 t=3 pr=2 a=165657 h=0 m=1/-1/-1/-1/-1

skusal som dump na eth0 a opingal som ip z vnutornej siete. nic sa nestalo

 

zmenil som to v server.conf tak ako som to mal na

push "route 192.168.1.0 255.255.255.0"


a teraz to vidim uz aj na tun0

# tcpdump -i tun0 -n icmp
tcpdump: WARNING: arptype 65534 not supported by libpcap - falling back to cooked socket
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
18:45:01.519665 IP 10.10.10.6 > 10.224.34.1: ICMP echo request, id 768, seq 45312, length 40
18:45:06.869379 IP 10.10.10.6 > 10.224.34.1: ICMP echo request, id 768, seq 45568, length 40
18:45:12.369951 IP 10.10.10.6 > 10.224.34.1: ICMP echo request, id 768, seq 45824, length 40
18:45:17.870131 IP 10.10.10.6 > 10.224.34.1: ICMP echo request, id 768, seq 46080, length 40


ale opingat sa mi to nepodarilo... hmmm?

17.5.2009 21:15 eth4rendil | skóre: 13
Rozbalit Rozbalit vše Re: aky soft pre VPN server?

prvy problem mam v tom, ze mi neako nefunguje push route

push "route 10.224.34.0 255.255.254.0 10.10.10.1"

to by malo nastaviť vo windose ak sa nemyslim, že všetky pakety ktore majú isť do 10.224.34.0/23 majú ísť cez gateway 10.10.10.1

len pokial zadám túto volbu tak to pri pripájaní zobrazí asi 10 krát toto:

Sun May 17 18:34:17 2009 TEST ROUTES: 1/2 succeeded len=2 ret=0 a=0 u/d=up
Sun May 17 18:34:17 2009 Route: Waiting for TUN/TAP interface to come up...

pripojí sa to normálne pokial dám do server.conf toto:

push "route 10.224.34.0 255.255.254.0"
 

ale potom klientský (windows) route má chybnú gateway 10.10.10.5 (neviem od kial si ju zobralo) a samozrejme, že sa nedopingám do siete za Serverom 

Aktívne trasy:
Cieľ v sieti        Maska siete          Brána       Rozhranie  Metrika

10.224.34.0    255.255.254.0       10.10.10.5      10.10.10.6

 

Ako to mám vyriešiť tento prob?

17.5.2009 18:05 /
Rozbalit Rozbalit vše Re: aky soft pre VPN server?

Stable je stabilní. Funguje. A pokud máte problém s konfigurací, je pro vás úplně postačující. Patrně stejně nevyužijete ty nové fíčury, které má vyšší verze. Používám taky stable a nemám s tím žádný problém. Provozní ani žádný jiný.

17.5.2009 21:55 linuxik | skóre: 32 | Milovice
Rozbalit Rozbalit vše Re: aky soft pre VPN server?

A to ja zase problem se stabilni verzi mam. Nefunguje pridavani route na nekterych konfiguracich windows XP a Vista. Nikdy jsem nemel dost casu zkoumat proc, ale instalace beta verze, konkretne pouzivam tohle openvpn.se/files/install_packages/openvpn-2.1_beta7-gui-1.0.3-install.exe  problem vzdycky vyresila.

17.5.2009 16:00 tezkatlipoka | skóre: 35
Rozbalit Rozbalit vše Re: aky soft pre VPN server?
ja pouzivam tenhle, jednoduche, vkusne.
Vaše řeč budiž ano, ano, ne, ne. Co je nad to, je od ďábla.
17.5.2009 17:40 kafi | skóre: 25 | blog: muj_prvni_blog
Rozbalit Rozbalit vše Re: aky soft pre VPN server?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Zdravim, pouzivam OpenVPN jiz nekolik let asi 5. Poprve jsem jej rozjel na slackwaru, tusim 9 nebo 10. Od te doby pouzivam porad stejny konfigurak(jen par drobnych zmen) bez nejmensich problemu. Po urcite dobe jsem presel na Ubuntu, kde sem opet vsechno "jen" prekopiroval a opet funkcnost k naproste spokojenosti. Shrnuto a podtrzeno muj subjektivni nazor je, ze se jedna o velmi zdarili ba mozna nejlepsi free vpn "platformu". Klienti jsou jak na Linuxu tak na Windows a bez problemu. Je fakt ze windowsi klient ma podle meho soudu znacne mzery do userfriendly klikatka pro windows, ale i tak se snim da poprat a pouzivat ho ke vsi spokojenosti.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.