Autor Téma: openvpn (Přečteno 14794 krát)

Petr Merlin Vaněček · « **Odpověď #25 kdy:** 22 Května 2012, 14:16:37 »

Ten nmap jsem chtěl spíše jen proto, abychom vyloučili extrémně restriktivní firewall.
Stejnak mu to běží na UDP a i s parametrem -u bych pochyboval, že to nmap najde.

Kód: [Vybrat]

ps wax | grep openvpn

Corsair · « **Odpověď #26 kdy:** 23 Května 2012, 08:12:03 »

Ahoj našel jsem na stránkách openvpn

Kód: [Vybrat]

http://openvpn.net/index.php/access-server/docs/quick-start-guide.html přímo deb balíček pro ubuntu a je to webové rozhraní pro správu serveru.Myslím že to by mělo možná být ono.Jinak koukal jsem na ten port 1194 a běží ale na jiném eth rozhraní než potřebuji,kde se dá eth karta změnit.

Petr Merlin Vaněček · « **Odpověď #27 kdy:** 23 Května 2012, 09:36:32 »

Kód: [Vybrat]

# If running as a server, which local IP address should OpenVPN
# listen on? Specify this as either a hostname or IP address. If
# this is left blank, OpenVPN will default to listening on all
# interfaces.
#local a.b.c.d

Corsair · « **Odpověď #28 kdy:** 23 Května 2012, 09:55:45 »

Toto nastavení tam nemůžu najít.Přikládám můj server.conf. Ještě připomínám pomínám že jsem dle tohoto návodu

Kód: [Vybrat]

https://help.ubuntu.com/10.04/serverguide/network-configuration.html#bridging nastavil na můj eth1 brigdge.

[příloha smazaná administrátorem]

Petr Merlin Vaněček · « **Odpověď #29 kdy:** 23 Května 2012, 22:20:56 »

Proto jej tam uveďte - pokud openvpn poslouchá na špatném iface, je třeba jej odkázat tam, kam patří.

Corsair · « **Odpověď #30 kdy:** 01 Června 2012, 11:26:12 »

Ahoj,
Tak konečně hlásím úspěch

Dle tohoto návodu

Kód: [Vybrat]

https://help.ubuntu.com/11.10/serverguide/openvpn.html jsem úspěšně spustil openvpn zatím v režimu router s TAP adaptérem na ten bridge se podívám teď.Ale mám jinou otázku na windows klientu mne opev vpn přidělila IP adresu 10.8.0.6 ping funguje a když ji otevřu v síti tak nevidím sdílení ale nabízí pouze sdílení tiskáren, zřejmě se bude muset něco nastavit na sambě aby viděl mé sdílené složky.

Petr Merlin Vaněček · « **Odpověď #31 kdy:** 01 Června 2012, 11:51:59 »

Možná samba neposlouchá na tom rozhraní?

Corsair · « **Odpověď #32 kdy:** 01 Června 2012, 12:03:41 »

Už to jde.Zadal jsem do server conf souboru push dns.Tak teď ještě zkusím ten bridge.
PS: kde se u samby dá nastavit aby naslouchala jenom na jednom eth portu.

Corsair · « **Odpověď #33 kdy:** 01 Června 2012, 19:59:10 »

Tak spojení jde ale klienti namají ping na server a ani v siti ho nevidi.Ale pripojeni jde i dostanou i ip adresu.

Petr Merlin Vaněček · « **Odpověď #34 kdy:** 02 Června 2012, 11:03:07 »

Pingem na server se rozumí ping na IP adresu VPN rozhraní na serveru?

Corsair · « **Odpověď #35 kdy:** 04 Června 2012, 13:46:58 »

Ano ip adresa vpn serveru je 10.8.0.1 a já mám přiděleno 10.8.0.6 bohužel ping nejde.

Petr Merlin Vaněček · « **Odpověď #36 kdy:** 04 Června 2012, 20:48:37 »

A jaká je default policy pro iptables? Nemáte to náhodou vše do DROP?

Corsair · « **Odpověď #37 kdy:** 05 Června 2012, 06:42:11 »

Iptables mám takto, v tom asi problém nebude.

Kód: [Vybrat]

sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  192.168.0.0/24       anywhere             state NEW
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Corsair · « **Odpověď #38 kdy:** 05 Června 2012, 06:59:35 »

Ještě mě napadá jestli to nebude tím že mám vypnutut forward.

Kód: [Vybrat]

cat /proc/sys/net/ipv4/ip_forward pise 0 nemám to změnit na 1.

Ještě přikládám client.log nněco tam není v pořádku.

[příloha smazaná administrátorem]

ntz_reloaded · « **Odpověď #39 kdy:** 05 Června 2012, 11:26:26 »

pokud ma tvuj server routovat (tedy povolit, aby packet prelezl z jednoho rozhrani na druhe), tak ip_forward prirozene potrebujes

Corsair · « **Odpověď #40 kdy:** 05 Června 2012, 11:47:38 »

Jo jo už jsem to routování zapl, stále mám ale u klienta chybu viz. log

Už jsem to rozchodil
1. ve windows 7 se musí to openvpnGUI spuštět pod admin právy
2. do klient.conf se musí přidat tyto 2 řádky

Kód: [Vybrat]

route-method exe
route-delay 2

Pak mne to začalo fungovat.

Corsair · « **Odpověď #41 kdy:** 07 Června 2012, 10:07:50 »

Tak abych nevypadl ze cviku zkouším druhé nastavení a to v bridge modu.Ale mám zde pár nejasností nejde připojení z klienta na serveru a v logu na serveru je tato chyba.

Kód: [Vybrat]

Thu Jun  7 09:57:46 2012 OpenVPN 2.2.1 i686-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Mar 30 2012
Thu Jun  7 09:57:46 2012 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:7505
Thu Jun  7 09:57:46 2012 NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to
Thu Jun  7 09:57:46 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Jun  7 09:57:46 2012 Diffie-Hellman initialized with 1024 bit key
Thu Jun  7 09:57:46 2012 TLS-Auth MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Jun  7 09:57:46 2012 Socket Buffers: R=[163840->131072] S=[163840->131072]
Thu Jun  7 09:57:46 2012 TUN/TAP device tap0 opened
Thu Jun  7 09:57:46 2012 TUN/TAP TX queue length set to 100
Thu Jun  7 09:57:46 2012 /etc/openvpn/up.sh br0 eth1 tap0 1500 1574   init
Thu Jun  7 09:57:46 2012 WARNING: External program may not be called unless '--script-security 2' or higher is enabled.  Use '--script-security 3 system' for backward compatibility with 2.1_rc8 and earlier.  See --help text or man page for detailed info.
Thu Jun  7 09:57:46 2012 WARNING: Failed running command (--up/--down): external program fork failed
Thu Jun  7 09:57:46 2012 Exiting

Nějak na googlu nemůžu dohledat o co se jedná.

Petr Merlin Vaněček · « **Odpověď #42 kdy:** 07 Června 2012, 10:16:51 »

Kód: [Vybrat]

External program may not be called unless '--script-security 2' or higher is enabled.  Use '--script-security 3 system'

Corsair · « **Odpověď #43 kdy:** 07 Června 2012, 11:01:03 »

Můžete mne ještě trochu nakopnout

Petr Merlin Vaněček · « **Odpověď #44 kdy:** 07 Června 2012, 11:35:40 »

Script /etc/openvpn/up.sh nevrátil jako návratový kód 0, ale něco jiného, čiliže selhal.
Patrně není (neměl by být) ani spuštěn (may not be called unless ...)

Corsair · « **Odpověď #45 kdy:** 07 Června 2012, 13:11:16 »

Odstranil jsem up.sh ale nevím proč to tedy píšou v novádu že má být takto nastaven pro bridge mode.Viz příloha.

Kód: [Vybrat]

remote 192.168.0.254 1194Nyní už spojení jde ale ještě mám problém v nastavení sítě.Bridge je spojen s eth0 a bridge se jmenuje br0.Na tomto rozhraní běží dhcp v rozsahu 192.168.0.0 a brána eth1(br0) je 254.
To mne píše chby v logu

Kód: [Vybrat]

Thu Jun  7 13:04:05 2012 MULTI: multi_create_instance called
Thu Jun  7 13:04:05 2012 192.168.0.26:49184 Re-using SSL/TLS context
Thu Jun  7 13:04:05 2012 192.168.0.26:49184 LZO compression initialized
Thu Jun  7 13:04:05 2012 192.168.0.26:49184 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Jun  7 13:04:05 2012 192.168.0.26:49184 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Jun  7 13:04:05 2012 192.168.0.26:49184 Local Options hash (VER=V4): 'f7df56b8'
Thu Jun  7 13:04:05 2012 192.168.0.26:49184 Expected Remote Options hash (VER=V4): 'd79ca330'
Thu Jun  7 13:04:05 2012 192.168.0.26:49184 TLS: Initial packet from [AF_INET]192.168.0.26:49184, sid=97600dc3 4b5a4bc2
Thu Jun  7 13:04:05 2012 192.168.0.26:49184 VERIFY OK: depth=1, /C=CZ/ST=VC/L=Nachod/O=Mesa/OU=Mesa/CN=test/name=test/emailAddress=filip.corsair@gmail.com
Thu Jun  7 13:04:05 2012 192.168.0.26:49184 VERIFY OK: depth=0, /C=CZ/ST=VC/L=Nachod/O=Mesa/OU=changeme/CN=brclient1/name=brclient1/emailAddress=mail@host.domain
Thu Jun  7 13:04:06 2012 192.168.0.26:49184 WARNING: 'dev-type' is used inconsistently, local='dev-type tap', remote='dev-type tun'
Thu Jun  7 13:04:06 2012 192.168.0.26:49184 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1574', remote='link-mtu 1542'
Thu Jun  7 13:04:06 2012 192.168.0.26:49184 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1532', remote='tun-mtu 1500'
Thu Jun  7 13:04:06 2012 192.168.0.26:49184 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jun  7 13:04:06 2012 192.168.0.26:49184 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun  7 13:04:06 2012 192.168.0.26:49184 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jun  7 13:04:06 2012 192.168.0.26:49184 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun  7 13:04:06 2012 192.168.0.26:49184 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Jun  7 13:04:06 2012 192.168.0.26:49184 [brclient1] Peer Connection Initiated with [AF_INET]192.168.0.26:49184
Thu Jun  7 13:04:06 2012 brclient1/192.168.0.26:49184 MULTI_sva: pool returned IPv4=192.168.0.50, IPv6=14aa:7fb7:9818:a1b8:500:0:9818:a1b8
Thu Jun  7 13:04:08 2012 brclient1/192.168.0.26:49184 PUSH: Received control message: 'PUSH_REQUEST'
Thu Jun  7 13:04:08 2012 brclient1/192.168.0.26:49184 send_push_reply(): safe_cap=960
Thu Jun  7 13:04:08 2012 brclient1/192.168.0.26:49184 SENT CONTROL [brclient1]: 'PUSH_REPLY,dhcp-option DNS 192.168.101.201,route-gateway 192.168.0.254,ping 1,ping-restart 3,ifconfig 192.168.0.50 255.255.255.0' (status=1)
Thu Jun  7 13:04:14 2012 brclient1/192.168.0.26:49184 [brclient1] Inactivity timeout (--ping-restart), restarting
Thu Jun  7 13:04:14 2012 brclient1/192.168.0.26:49184 SIGUSR1[soft,ping-restart] received, client-instance restarting

Jak nejlépe nastavit síť a nebo mám zrušit dhcp.

Petr Merlin Vaněček · « **Odpověď #46 kdy:** 07 Června 2012, 13:39:34 »

Napoprvé nebylo potřeba ten script odstraňovat, jen upravit parametr script-security
Napodruhé máte nekonzistenci v použitých typech zařízení - na serveru používáte TAP na klientovi TUN
Napotřetí máte nekonzistenci v linkové MTU, na serveru 1574, na klientovi 1542
Napočtvrté máte nekonzistenci v MTU na TUN/TAP zařízení, na serveru 1532, na klientovi 1500

Může to jet, ale při přenosech větších paketů (a že doufáte, že budou přenášeny hlavně ty) to bude dělat binec. Budou se ztrácet. Napřed tedy navraťte ten up.sh (asi tam pro něco sloužil?), udělejte si pořádek v konfiguračních souborech klienta a serveru a používejte na obou stranách stejný typ rozhraní (TUN/TAP)

Corsair · « **Odpověď #47 kdy:** 07 Června 2012, 14:18:46 »

Moc děkuji za info.Koukám že ten bridge teda není žádná legrace.
Proto prosím ještě o pomoc s těmito body:
první bod parametr script-security
Jak ho teda aktivuji v helpu pro opevpn jsem se o tom docetl ale nejsem si jist jak to povolit.
Bod 2 jsem nastavil
Bod 3 nekonzistence v linkové MTU, na serveru 1574, na klientovi 1542
Jak to mohu změnit
Bod 4 nekonzistence v MTU na TUN/TAP zařízení, na serveru 1532, na klientovi 1500
Jak mohu změnit.

Děkuji za rady a trpělivost :-)

Petr Merlin Vaněček · « **Odpověď #48 kdy:** 07 Června 2012, 15:29:54 »

Ve vašem případě script-security se definuje v konfiguračním souboru serveru.
Ostatní parametry (MTU) v tomtéž konfiguračním souboru, jen dle hlášení na serveru a klientovi.

Corsair · « **Odpověď #49 kdy:** 12 Června 2012, 13:41:40 »

Takže bude to stačit takhle když do client.conf souboru dám:

Kód: [Vybrat]

script-security 3 system
         fragment 1400
         mssfix

a do server conf

Kód: [Vybrat]

fragment 1400  
        mssfix