Open VPN

[On]

Zdravím,

dle návodu na zdejší wiki jsem zprovoznil VPN jak na serveru, tak client...mám ale pár dotazů, pač jsem v tomhle nováčkem...

Server má běžně IP: 192.168.1.1, přes VPN má 10.0.1.1 (tak je to nastaveno v konfiguráku serveru) a přiděluje adresy 10.0.1.100-200... Mám za to, že VPN se pořizuje proto, abych se připojil do této sítě a choval se, jako bych v této vnitřní síti normálně byl...otázka zní:

Po připojení a přidělení ip od serveru (10.0.1.100), proč nemůžu pingnout nikoho s rozsahem 192.168.x.x?

FW jsem měl pro testy vypnuté ...spojím se na server, tedy pingnu 10.0.1.1 (pokud mám vyplý FW)..VPN mám v podstatě hlavně proto, abych mohl přistupovat k internímu webu, takže když do prohlížeče zadám ip serveru (10.0.1.1), tak vidím obsah, což je ok ...tedy viděl jsem včera...dnes, z práce, ani kolegovi z domu to z nějakého důvodu nejde, ale zkusím to opět až přijdu domů...

EDIT: Nemůže to být tím, že na jeden certifikát se lze připojit jen z jednoho PC?? Pač tento jeden certifikát rozesílám na 3 PC...všechny se spojí, ale zajímavé, že IP serveru nepingnu...jak přijdu domů a zjistím, že z toho mého PC to fungovat bude, tak to bude asi tím

EDIT: Tak z domu mi to skutečně funguje ..vytvořil jsem ale druhý certifikát, na notebook, a ani s ním server ne a ne pingnout

[ufaak]

lze pouzivat jeden certifikat pro vsechny, jen to musis povolit v .conf na serveru

[RNA]

Po připojení a přidělení ip od serveru (10.0.1.100), proč nemůžu pingnout nikoho s rozsahem 192.168.x.x?

1. Na serveru musíte mít povolený forwarding. iptables -A FORWARD -i tun+ -j ACCEPT  a v /proc/sys/net/ipv4//ip_forward číslo 1, jakož  i v /sysctl.conf má být net.ipv4.ipforward=1

2. na ostatních strojích v subnetu serveru musí být nastavený routing sítě 10.0.1.0/24 na síťové rozhraní serveru,(tj ve Vašem případě 192.168.1.1)  aby ty stroje věděly, kam odpovědět. To se dá ale obejít nastavením na routeru, kde je normálně výchozí brána, tak tamocuď to posílat zpět na 192.168.1.1. Ovšem ne každý router to umožňuje, já to mám na ADSL Huawei HG 520 i, tam to jde.

[On]

lze pouzivat jeden certifikat pro vsechny, jen to musis povolit v .conf na serveru

No, mě právě zaráží, proč to nefunguje i s nově vytvořeným certifikátem na jiném pc. Funguje jen na tom PC, pro které jsem CA vytvářel poprvé. Výpis configu na serveru:

mode server
port 77777
proto tcp-server
tls-server
dev tap0

ifconfig 10.0.1.1 255.255.255.0
ifconfig-pool 10.0.1.100 10.0.1.200 255.255.255.0
duplicate-cn

ca /etc/openvpn/cert/cacert.pem    
cert /etc/openvpn/cert/cert.pem
key /etc/openvpn/cert/key.pem
dh /etc/openvpn/cert/dh1024.pem

log-append /var/log/openvpn
status /tmp/vpn.status 10

user gogol
group gogol
comp-lzo
verb 3

keepalive 1 220

Co by se tam tedy mělo změnit/dopsat, aby to fungovalo pod jedním CA..? Případně, aby pro každý nově vytvořený CA to prostě fungovalo..?


Ten Forwarding, co radil RNA vyzkouším co nejdříve...

díky za rady

[RNA]

S těma certifikátama se mi to nezdá,
já to v server.conf mám takto:

ca    /etc/openvpn/server/rsa/keys/ca.crt
cert  /etc/openvpn/server/rsa/keys/nz853.crt
key   /etc/openvpn/server/rsa/keys/nz853.key
dh    /etc/openvpn/server/rsa/keys/dh2048.pem

Vy tam máte všude příponu PEM.

[On]

V tom bych neviděl problém, pač se normálně spojím, VPN jako takové funguje na všech PC, kam dám certifikát...bohužel server propingnu pouze z toho jednoho PC - kde mám také všechno *.pem..

Postupoval jsem z tadyma: http://wiki.ubuntu.cz/OpenVPN%20server

[ufaak]

Co by se tam tedy mělo změnit/dopsat, aby to fungovalo pod jedním CA..? Případně, aby pro každý nově vytvořený CA to prostě fungovalo..?

Kód: [Vybrat]

duplicate-cn

Potřebné cerifikáty a jiné soubory:

Kód: [Vybrat]

ca ca.crt
cert server.crt
key server.key
dh dh1024.pem

Tohle by měl obsahovat konfigurák na serveru.

[ufaak]

http://blogs.techrepublic.com.com/opensource/?p=1873

http://blogs.techrepublic.com.com/opensource/?p=1894

[On]

duplicate-cn

No, to tam právě mám ...

Prostuduji ještě ty odkazy...
díky

[DuckD]

V tom bych neviděl problém, pač se normálně spojím, VPN jako takové funguje na všech PC, kam dám certifikát...bohužel server propingnu pouze z toho jednoho PC - kde mám také všechno *.pem..

Postupoval jsem z tadyma: http://wiki.ubuntu.cz/OpenVPN%20server

Jak víš že se pc propojí se serverem? Nějaký log by nebyl? Nemáš na pc nastaven firewall?

[On]

V tom bych neviděl problém, pač se normálně spojím, VPN jako takové funguje na všech PC, kam dám certifikát...bohužel server propingnu pouze z toho jednoho PC - kde mám také všechno *.pem..

Postupoval jsem z tadyma: http://wiki.ubuntu.cz/OpenVPN%20server

Jak víš že se pc propojí se serverem? Nějaký log by nebyl? Nemáš na pc nastaven firewall?

Vím to proto, že server propingnu..server, který má od VPN nastaveno IP 10.0.1.1 z tohoto jednoho PC propingnu, z jiného ne...a potvrdí se to tím, když tuto IP vložím do adresního řádku web browseru (URL) ...dostanu se do interního webu..ale pouze z toho jednoho PC (při vypnutém FW na serveru)

[On]

Tak nevím proč, ale po přehrání vpn_server.conf je vše funkční ...v podstatě stačilo restartnout službu nebo PC..možná jsem udělal nějakou změnu a nerestartoval, což mě mohlo mást... Každopádně teď už je VPN funkční... díky všem

Ještě řeším ten forward na síť 192.168.x.x, abych se mohl dostat i na router a tím by to bylo komplet...to pravidlo pro forward nepomohlo, v podstatě jsem dal do FORWARD jako výchozí politiku ACCEPT a také nic

[RNA]

No, a máte nastavený routing na tu VPN z klientů, kteří jsou za subnetu serveru?
Jestli je ten server na síti 192.168.x.x a ta VPN má 10.x.x.x tak musíte přidat těm počítačům na které se chcete dostat pravidlo, že na síť 10.x.x.x se dostanou přes vzdálenou bránu 192.168.routeru.

[On]

K těm počítačům se hned tak nedostanu, jsme od sebe 300km..tak abych si to zatím jen vyzkoušel, chtěl bych propingnout aspoň ten router, případně server s IP 192.168.x.x ...to je ale věcí toho FW na serveru nebo ne? A pokud jsem ho měl vypnutý, měl jsem za to, že by to fungovat mohlo..samotný router podporuje VPN, nikdy jsem to nezkoušel, tak nevim, co tam je za volby, nicméně nějaké přesměrování by tam být mohlo, tak jak budu mít cestu do Phy, mrknu na to ...navíc jsem na routeru nastavil, aby se tam mohla dostat jen konkrétní IP adresa z podsítě 192.168.x.x, čehož já z domu asi nedosáhnu předpokládám :-) Ale kdyby se mi ho podařilo aspoň propingnout, bylo by to supr

[munina]

nechcem zakladat novu temu, ale ja by som potreboval poradit nieco podobne.
Chcel by som rozbehat zdielanie suborov cez Sambu aj mimo siete pomocou OpenVPN. Do teraz som to mal riesene cez FTP, ale ked som sa dozvedel o vyhodach Samby, nebolo o com. Instalovanie programov, pozeranie filmov priamo zo servera. Uplna parada..
Nainstaloval som teda OpenVPN na Ubuntu Server a studoval som dalej.. certifikaty a kluce sa mi podarilo vygenerovat, ale neviem ako ich dostat na Windows, resp kam skopirovat clientske certifikaty.
Co mozem pouzit ako Clienta? Klasika cez Windows "Nastavit nove pripojenie alebo siet"? Alebo radsej nejaky Cisco AnyConnect VPN Client? Este som sa dozvedel o zabezpeceni bez certifikatov - zadanim systemoveho mena a hesla pomocou openvpn-auth-pam.so modulu. Mate niekto skusenosti, co by bolo idealnejsie a ako to spravne nakonfigurovat? Ci davat 30 uzivatelom certifikat do pocitaca, lebo sambu mam nastavenu bez hesla guest ok = yes, alebo radsej vytvorim 30 systemovych uzivatelov?

vopred dakujem za rady a teorie

[On]

nechcem zakladat novu temu, ale ja by som potreboval poradit nieco podobne.
Chcel by som rozbehat zdielanie suborov cez Sambu aj mimo siete pomocou OpenVPN. Do teraz som to mal riesene cez FTP, ale ked som sa dozvedel o vyhodach Samby, nebolo o com. Instalovanie programov, pozeranie filmov priamo zo servera. Uplna parada..
Nainstaloval som teda OpenVPN na Ubuntu Server a studoval som dalej.. certifikaty a kluce sa mi podarilo vygenerovat, ale neviem ako ich dostat na Windows, resp kam skopirovat clientske certifikaty.
Co mozem pouzit ako Clienta? Klasika cez Windows "Nastavit nove pripojenie alebo siet"? Alebo radsej nejaky Cisco AnyConnect VPN Client? Este som sa dozvedel o zabezpeceni bez certifikatov - zadanim systemoveho mena a hesla pomocou openvpn-auth-pam.so modulu. Mate niekto skusenosti, co by bolo idealnejsie a ako to spravne nakonfigurovat? Ci davat 30 uzivatelom certifikat do pocitaca, lebo sambu mam nastavenu bez hesla guest ok = yes, alebo radsej vytvorim 30 systemovych uzivatelov?

vopred dakujem za rady a teorie

Někde jsem se dozvěděl, že Samba není nějak extra bezpečná, tak jsem pro sdílení dat zvolil trochu jiný způsob a sice ssh. Nicméně tohle byl server do firmy, kde není třeba spouštění multimedií, ale pouze sdílení souborů. Ikdyž pokud jsou správná oprávnění, možná by se hudba i filmy spouštět daly....nezkoušel jsem ale...

Každopádně co se OpenVPN týká, to jsem právě řešil a klienty pod widle musíš mít taky OpenVPN...čili klient, který ti tyto certifikáty umožní použít. Našel jsem stránku, kde jsou klienti pro všechny nejpoužívanější OS (Linux, MAc OS, Widle) - http://www.zeroshell.net/eng/openvpn-client/

Já to používám tak, že mám vytvořený jeden certifikát a tento dávám všem osobám, kteří by měli mít přístup do VPN. Je to stabilní, funkční.

[mira_mo]

Zdravím....Potřeboval bych poradit jak jednotlivým klientům kteří se připojují v openvpnn serveru přiřadit stále stejnou, respektive mnou určenou IP. měl jsem to řešeno tak, že na konkrétním klientovi jsem do konfiguráku zadal např. ifconfig 10.0.1.2 a tuto adresu měl klient pokaždé.Ovšem po aktualizaci openvpn již toto nefunguje.Zřejmě nějaká úprava openvpn.Poradil by někdo?

[DuckD]

Zdravím....Potřeboval bych poradit jak jednotlivým klientům kteří se připojují v openvpnn serveru přiřadit stále stejnou, respektive mnou určenou IP. měl jsem to řešeno tak, že na konkrétním klientovi jsem do konfiguráku zadal např. ifconfig 10.0.1.2 a tuto adresu měl klient pokaždé.Ovšem po aktualizaci openvpn již toto nefunguje.Zřejmě nějaká úprava openvpn.Poradil by někdo?

http://www.leonardoborda.com/blog/how-to-assign-a-fixed-ip-address-to-a-openvpn-user-lan-to-lan-connection/

[mira_mo]

Zdravím....Potřeboval bych poradit jak jednotlivým klientům kteří se připojují v openvpnn serveru přiřadit stále stejnou, respektive mnou určenou IP. měl jsem to řešeno tak, že na konkrétním klientovi jsem do konfiguráku zadal např. ifconfig 10.0.1.2 a tuto adresu měl klient pokaždé.Ovšem po aktualizaci openvpn již toto nefunguje.Zřejmě nějaká úprava openvpn.Poradil by někdo?

http://www.leonardoborda.com/blog/how-to-assign-a-fixed-ip-address-to-a-openvpn-user-lan-to-lan-connection/

tak podle tohoto mi to nefunguje :-(

[ufaak]

Kód: [Vybrat]

ifconfig-pool-persist klienti.txtv konfiguraku serveru ti nefunguje? Me uplne bez problemu...