Jak rozchodit OpenVPN - vyreseno

[okob]

Ahoj jsem uplnej amater ale Ubuntu je muj nej system co jsem mel.Tak se zeptam nes ni neco podelam.Chtel bych se k pc pripojovat odkudkoli.Na teto strance http://www.czela.net/wiki/index.php/OpenVPN jsem neco nasel ale nevim zda na to musim mit root terminal a hlavne nevim jak ho spustit.Pomuzete mi nejak krok za krokem???Dekuji predem

[Beetljuice]

Na to aby jsi se připojil k pc potřebuješ veřejnou IP adresu. Než OpenVPN bych ti radši doporučil NX viz zde.

[beer]

No, pokud stačí SSH, tak takto:

sudo su
heslo, pak zadat tento kód:

Kód: [Vybrat]

apt-get install n2n openssh-server; ufw enable; ufw allow ssh;

Pak je potřeba, aby se n2n spouštělo při startu PC, nejjednodušší, ale ne nejčistčí, je přidání do /etc/rc.local

Kód: [Vybrat]

edge -d okob-network -a 10.2.2.1 -c okob-network -k heslo -l 88.86.108.50:82 &> /dev/null &
Skript v /etc/rc.local musí končit

Kód: [Vybrat]

exit 0 a musí mít nastaven spustitelný příznak (

Kód: [Vybrat]

chmod +x /etc/rc.local).

Na druhém PC bych udělal to samé, s tím, že by byla jen jiná IP adresa (řádek by vypadal takto:

Kód: [Vybrat]

edge -d okob-network -a 10.2.2.2 -c okob-network -k heslo -l 88.86.108.50:82 &> /dev/null &).

Připojení například přes ssh:
na obou strojích jako uživatel zadáš pro vygenerování klíčů:

Kód: [Vybrat]

ssh-keygen -t dsa
Předpokládejme, že na obou pc je uživatel okob, předání klíčů realizuješ takto, raději spouštěj jako uživatel, ne root.

na stroji s ip 10.2.2.2 zadáš:

Kód: [Vybrat]

ssh-copy-id -i ~/.ssh/id_dsa.pub okob@10.2.2.1
na stroji s ip 10.2.2.1 zadáš:

Kód: [Vybrat]

ssh-copy-id -i ~/.ssh/id_dsa.pub okob@10.2.2.2
Následně se budeš připojovat ke stroji s IP 10.2.2.1 takto:

Kód: [Vybrat]

ssh okob@10.2.2.1
a naopak
ke stroji s IP 10.2.2.2 takto:

Kód: [Vybrat]

ssh okob@10.2.2.2

[okob]

no me jde hlavne o sledovani kamer ktere mam,kamery jsou sitove no switch.takze potrebuji pristup na kazdou kameru.

[beer]

Asi bych hledal potom na googlu něco jako ssh vlc, pokud je možné kameru sledovat přes vlc, nebo ssh webcam a pod. Vidím, že odkazů je tam mraky.

N2N ti udělá vlastně místní síť, kamery by mohly fungovat.

[Beetljuice]

no me jde hlavne o sledovani kamer ktere mam,kamery jsou sitove no switch.takze potrebuji pristup na kazdou kameru.

Na kamery používám Zoneminder jen si zkontroluj kompatibilní HW.

[beer]

Pokud je tam ipv6 připojení a kamery jsou ipv6 kompatibilní a mají ipv6 adresu, n2n by vůbec nemuselo být potřeba, a dokonce ani ssh. Nevím, jestli zoneminder umí ipv6, ale asi ano.

[okob]

nasel jsem na ikone wifi VPN ale jak to rozchodit.Vezmu to od zacatku.
Mam zarizeni na kamery to je pripojene do routru po siti. pres wifi si zadam adresu192.168.1.10 a tim se dostanu na kamery.Jak se ale k tomuto dostanu treba z prace??Jak se do stanu treba z mobilu??je na to aplikace do tel ale nevim co dat do server port je 34567.Ma stim nekdo zkusenosti?

[On]

Kamery zatím ještě nepoužívám, ale abych správně pochopil funkčnost ... ty zadáš do URL IP adresu a tam uvidíš tyto kamery? Pokud ano, pak je řešením:

a) OpenVPN
b) Přístup z veřejného internetu (ovšem je nutné zkonfigurovat apache kvůli bezpečnosti, jinak by se tam mohl dívat kdokoliv)

U obou nezáleží na tom, jestli máš veřejnou nebo neveřejnou IP. Stačí se jen domluvit s providerem, aby ti povolil jakýkoliv port z rozsahu 1024-65535
Apache pak nakonfiguruješ na tento port + radši ještě přidáš autentizaci a hotovo.. do URL napíšeš svojí IP a je to.


U neveřejné IP je nevýhoda, že ti ji provider může kdykoliv změnit, nicméně ze zkušeností se to stane možná jednou, max 2x za rok (lze zjistit třeba na http://ip.o2active.cz). Ale obrovská výhoda zase je, že se ke kamerám dostaneš odkudkoliv ze světa...


U OpenVPN neřešíš tyto komplikace, bude ti to fungovat na stejné IP (OpenVPN IP) pořád..jen musíš čas od času prodloužit certifikát - teda dle nastavení. Ale nedostaneš se odkudkoliv ze světa...pouze z tama, kde máš OpenVPN klienta. Takže záleží na využití..

[okob]

Super tomu rikam odpoved.

Jeste ti to popisu presneji.Adresa routru je 10.0.0.138 ale ten je pripojen na wifi antenu 5G a tam je 192.168.1.1.Tak ze z meho pc se na net dostanu pres 192.168.1.1.Tak zarizeni na kamery je sitove zarizeni s linuxem to mam pomoci kabelu pripojene do routru.Bud pomoci programu CMS (tusim) nebo v prohlizeci otevru kamery.Kdyz zadam 192.168.1.10 tak mam prihlaseni do kamer a muzu cumet.
Takze kdyz si zaridim ten port jak tedy dal pokracovat??Muzes poradit nebo nekdo kdo tomu rozumi?Dekuji zatim

[On]

Uplně ideální by bylo, kdyby ti povolil port 80, to bys nemusel dělat víceméně žádné změny...to ale těžko říct, jestli provider povolí. Na routeru bys provedl NAT portu 80 na IP 192.168.1.10 a hotovo...


Pokud si necháš povolit port řekněme na 8080, pak musíš zkonfigurovat službu, která ti naslouchá na portu 80 na serveru 192.168.1.10 ...na této IP se nachází co konkrétně? Nějaká spešl "kamerová" služba? Nebo klasický apache...?

Ať už uděláš cokoliv, nebude to fungovat, pokud nebude port opravdu povolen..dá se zjistit takhle:

Kód: [Vybrat]

sudo apt-get install nmap
A zkus si konkrétní příklady:

Př.: a) nmap www.seznam.cz -p 80
Př.: b) nmap www.seznam.cz -p 8080

Zatímco u příkladu a) je port otevřen a je tedy vše v pořádku, v příkladu b) uvidíš "filtered", což je špatně...po dosazení své IP (místo domény www.seznam.cz) tam uvidíš nejspíš i "close". Fungovat to bude jedině v případě a), kdy je port OPEN..Až budeš mít port OPEN, do URL zadej IP z adresy http://ip.iol.cz a měl bys kamery vidět...

Samozřejmě pak by bylo fajn udělat tu autentizaci, ať to nevidí každý

[okob]

Takze takto ze:


Starting Nmap 5.21 ( http://nmap.org ) at 2012-08-13 21:24 CEST
Nmap scan report for www.seznam.cz (77.75.76.3)
Host is up (0.012s latency).
PORT     STATE    SERVICE
8080/tcp filtered http-proxy

Nmap done: 1 IP address (1 host up) scanned in 0.39 seconds
okob@okob-Aspire-9300:~$ nmap www.seznam.cz -p 80

Starting Nmap 5.21 ( http://nmap.org ) at 2012-08-13 21:24 CEST
Nmap scan report for www.seznam.cz (77.75.76.3)
Host is up (0.013s latency).
PORT   STATE SERVICE
80/tcp open  http


pak jsem zkusil moji adresu s portama
okob@okob-Aspire-9300:~$ nmap 62.201.21.6  -p 8080

Starting Nmap 5.21 ( http://nmap.org ) at 2012-08-13 21:26 CEST
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Nmap done: 1 IP address (0 hosts up) scanned in 3.16 seconds

okob@okob-Aspire-9300:~$ nmap 62.201.21.6  -p 80

Starting Nmap 5.21 ( http://nmap.org ) at 2012-08-13 21:27 CEST
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Nmap done: 1 IP address (0 hosts up) scanned in 3.07 seconds


Takze asi port zatim nemam.zitra tam zavolam jaky port mi daji pokud daji.

zitra napisu jak to vypada dikes

[On]

Pokud je to tvá IP, tak budeš mít na routeru nejspíš nastaveno potlačení icmp protokolu (pingu)...tuto IP nepropingnu. Porty by to ale zobrazovat mělo tak jako tak. Nevím, jak máš dělaný rozvod sítě od providera...jednoduše se ho zeptej, jestli je možné na tvůj router propustit nějaký port a uvidíme co řekne..

[Martin Kiklhorn]

Z uvedených IP adres jsem nepochopil topologii sítě. Nicméně pokud nemáte nějakou veřejnou IP napřímo nebo alespoň namapované některé porty tak to není moc dobré a pomůže s tím jenom provider.

Pokud to cestou providera nepůjde tak ještě pár variant mne napadá:

(pořadí od nejvyššího po nejnižší výkon)
1) třeba tunelem na nějaký jiný váš stroj který veřejnou IP má (na kterém spustíte třeba ovpn server, nastavíte některé porty směrované na IP klienta a na něm dále na kamery), nebo viz ↑ beer

2) pokud prochází protocol 41 až na váš stroj tak zkusit IPv6 tunel od http://tunnelbroker.net/ , na PC nahodit radvd a celou vnitřní síť máte dostupnou přes IPv6

3) IPv6 tunel navazovaný zevnitř přes aiccu http://www.sixxs.net , radvd dtto

4) zkuste využít nějakou veřejnou službu - třeba teamviewer

Pokud zvolíte variantu podle bodu 2) nebo 3) tak dopručuji si něco nastudovat o IPv6 http://knihy.nic.cz/ a jestli se chcete dostávat z mobilu tak imho starší androidi IPv6 nepodporují (ale můžu se mýlit)

[okob]

k topologii site:

Na strese je 5G zarizeni ktere prijima internet to ma adresu 192.168.1.1
muj wifi routr ten je doma tento interne prijima kabelem od 5G anteny (routru) a preposila ho wifi do pocitacu.Ten ma adresu 10.0.0.138.

Klasickej internet wifi a zarizeni na kamery je primo napojeno kabelem do meho routru(sitove zarizeni) IP je 192.168.1.10

Takze zmeho pc je internet na 192.168.1.1 a 10.0.0.138 myslim funguje jen jako most.je tam vyple DHCP (je to jen prostrednik)


K zarizeni mam cd kde je soft na mobil mam WM6.5 ale je potreba nastavit server a port v zarizeni na kamery je nastaven port na mobilni prohlizeni na 34567

Z uvedených IP adres jsem nepochopil topologii sítě. Nicméně pokud nemáte nějakou veřejnou IP napřímo nebo alespoň namapované některé porty tak to není moc dobré a pomůže s tím jenom provider.

Pokud to cestou providera nepůjde tak ještě pár variant mne napadá:

(pořadí od nejvyššího po nejnižší výkon)
1) třeba tunelem na nějaký jiný váš stroj který veřejnou IP má (na kterém spustíte třeba ovpn server, nastavíte některé porty směrované na IP klienta a na něm dále na kamery), nebo viz ↑ beer

2) pokud prochází protocol 41 až na váš stroj tak zkusit IPv6 tunel od http://tunnelbroker.net/ , na PC nahodit radvd a celou vnitřní síť máte dostupnou přes IPv6

3) IPv6 tunel navazovaný zevnitř přes aiccu http://www.sixxs.net , radvd dtto

4) zkuste využít nějakou veřejnou službu - třeba teamviewer

Pokud zvolíte variantu podle bodu 2) nebo 3) tak dopručuji si něco nastudovat o IPv6 http://knihy.nic.cz/ a jestli se chcete dostávat z mobilu tak imho starší androidi IPv6 nepodporují (ale můžu se mýlit)

[Petr Merlin Vaněček]

PS: Jen technická - provádět scanování portů na cizích strojích není úplně košér a hodně správců i ISP to považuje za útok.
Opatrně s tím seznamem.

[On]

PS: Jen technická - provádět scanování portů na cizích strojích není úplně košér a hodně správců i ISP to považuje za útok.
Opatrně s tím seznamem.

Ona to měla být jen praktická ukázka toho, jak zjistit dostupnost konkrétního portu..nepředpokládám, že si tím bude krátit večer

[okob]

Volal jsem dnes na poskytovatele NETu a bylo my zdeleno ze nemam zadne porty blokovane a uz vubec ne 80.Jak to ale vyzkouset a kde a co nastavit??(Myslim treba jak nastavit router)

Dik

[ntz_reloaded]

Datum registrace:
    27 Květen 2007, 04:30:50


^^ zas takovy amater nejsi .. nicmene pro tebe tady neni reseni .. ty se totiz jen dokola ptas bez toho, aniz by ses treba jen obtezoval zkusit, co ti tady nekdo poradi ...

[Martin Kiklhorn]

Takže chápu dobře že síť máte 192.168.1.0/24 a přístupový router je ten co má na vnitřním rozhraní 192.168.1.1 a dělá i dhcp a ten 10.0.0.138 je jen v režimu switche a se sítí nemá jinak nic společného.

Takže předpokládám že veřejnou IP máte na vnějším rozhraní toho 192.168.1.1. Takže na něm si nastavte mapování třeba portu 34567 z veřejné adresy na vnitřní IP té kamery.

Pokud budete mít trochu štěstí tak po zadání výrobce a typu toho vašeho zařízení na stránkách http://portforward.com/ se objeví obrázkový průvodce který vás krok za krokem provede tímto procesem přímo pro vaše konkrétní zařízení.

[On]

Volal jsem dnes na poskytovatele NETu a bylo my zdeleno ze nemam zadne porty blokovane a uz vubec ne 80.Jak to ale vyzkouset a kde a co nastavit??(Myslim treba jak nastavit router)

Dik

Pak máš veřejnou IP..čili no problém..jak už říkal kolega výše, stačí udělat NAT na tvém routeru (192.168.1.1) a je to

[Bum]

Neda mi to a musim povedat, ze uplne suhlasim s ntz_reloaded.
Ani si len neskusal zistit aku mas vonkajsiu adresu co ti radili. a furt sa moces po vnutornej sieti. zisti si vonkajsiu adresu ak ju mas stale rovnaku nastav nat na port ktory potrebujes a hotovo. 

[okob]

Tak ma nejakou adresu porty nejsou blokovane.Posilam schema te site (rychlokurz).Ten port mam nastavit na mem routru nebo ne te prijimaci antene MICROTIK??

[příloha smazaná administrátorem]

[Beetljuice]

Jestli na tom venkovním rozhraní mikrotiku máš veřejnou IP, tak to budeš muset proroutovat přes mikrotik a i ten druhej router tzn. venkovní IP nastavit třeba na port 8080 na vnitřní ip mikrotiku 8080 a vnější toho druhýho routeru na 8080 na vnitřní rozsah port 80 na IP toho kamerovýho zařízení.

[okob]

Nejsem sice amater ale 5G zarizeni je instalovane od A-net a nemam pristup,kdyz to nastavim na mem routru je asi blbosttak musim sehnad prihlasovani na Mikrotik.Mam ubuntu  2mesice jsem spokojenej a jako moderator jdes po me jako bych byl sicak.Kdyz nevim postup tak se ptam.Myslim ze od tohoto je forum.Kdyz budes chtit poradit s autem,jak polozit dlazbu nebo jak udelat krov strechy  zeptej se me.Ja se na Linux a postup se ptam tebe,prosim o trpelivost.

Dekuji ze pochopeni a pomoc (kdyzby jsi mi to nakreslil co a jak pochopim to.)

Datum registrace:
    27 Květen 2007, 04:30:50


^^ zas takovy amater nejsi .. nicmene pro tebe tady neni reseni .. ty se totiz jen dokola ptas bez toho, aniz by ses treba jen obtezoval zkusit, co ti tady nekdo poradi ...