Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

OpenVPN umrezavanje

[es] :: SOHO Networking :: OpenVPN umrezavanje

[ Pregleda: 2916 | Odgovora: 8 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

GORSHTAK
Ivan Matić

Član broj: 136182
Poruke: 285
*.adsl.verat.net.



+5 Profil

icon OpenVPN umrezavanje14.11.2012. u 18:50 - pre 138 meseci
Danas sam podigao OpenVPN na jednom serveru (os CentOS), client-server tip, i malo sam se pogubio, ostadoh bez koncentracije.
Cilj mi je da preko te konekcije mogu da pristupim i ostalim serverima u toj mreži.
Server se nalazi u 172.16.30.0/24 opsegu, za klijente sam odredio 172.16.32.192/27.
Datom serveru mogu da pristupim bez problema kad gađam adresu 172.16.32.193, čak sam jednom uspeo da priđem preko 172.16.30.20 na kojoj se taj server nalazi, ali zato ne mogu da pristupim drugim serverima u toj mreži (172.16.30.21, 172.16.30.22, 172.16.30.23, ...)
Ideja kako to da rešim?
Konfig servera je:
Code:
# Which local IP address should OpenVPN
# listen on? (optional)
;local a.b.c.d
port 1194
proto udp

;dev tap
dev tun

;dev-node MyTap

ca ca.crt
cert server.crt
key server.key

dh dh1024.pem

server 172.16.32.192 255.255.255.224

ifconfig-pool-persist ipp.txt

;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
;server-bridge

;push "route 172.16.30.0 255.255.255.0"

;client-config-dir ccd
;route 172.16.30.0 255.255.255.0
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
;learn-address ./script

;push "redirect-gateway def1 bypass-dhcp"

;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"

;client-to-client

keepalive 10 120

comp-lzo
persist-key
persist-tun

status openvpn-status.log

verb 3
 
Odgovor na temu

bachi
Vladimir Vučićević
System administrator
Beograd, Srbija

Član broj: 17912
Poruke: 5316

Sajt: www.bachi.in.rs


+2826 Profil

icon Re: OpenVPN umrezavanje14.11.2012. u 19:11 - pre 138 meseci
Da li je taj server (centos komp) i default gateway (ruter) za klijente?

Moraš u konfig fajlu da skineš ";" iz ovog dela i treba da stoji ovako:

push "route 172.16.30.0 255.255.255.0"


Ako ne proradi, onda moraš da podesiš firewall da forwarduje ip pakete, a kako se to radi u centosu, to pitaj nekog linux guru-a. :D

Ako server (ovaj centos komp) nije default ruter za računare u LANu gde je i centos, onda pokraj ovog gore moraš da dodaš statičnu rutu na default ruteru za računare u LANu gde je i centos:

Destination: 172.16.32.192/27, (ili 172.16.32.192, mask 255.255.255.224) default gateway 172.16.30.x gde je x ip adresa centos računara (pričam o lan ip adresi, a ne od interfejsa koji dobija od openvpn adaptera)...


[Ovu poruku je menjao bachi dana 14.11.2012. u 21:45 GMT+1]
... Vladimir Vučićević aka. Bachi
~~~ www.bachi.in.rs <<<<>>>> [email protected]
>>> It's nice to be important, but it's more important to be nice...
 
Odgovor na temu

GORSHTAK
Ivan Matić

Član broj: 136182
Poruke: 285
*.adsl.verat.net.



+5 Profil

icon Re: OpenVPN umrezavanje14.11.2012. u 20:06 - pre 138 meseci
Citat:
bachi:... i default gateway (ruter) za klijente?

Ako misliš na da li klijenti idu na internet preko tunela, odgovor je ne, svrha je samo da se pristupi datoj mreži.

push "route 172.16.30.0 255.255.255.0" mi je omogućio da priđem samo datom serveru, a ne i ostalima.

Citat:
bachi
Ako server (ovaj centos komp) nije default ruter za klijente, onda pokraj ovog gore moraš da dodaš statičnu rutu na default ruteru za klijente:

??? Misliš na adsl ruteru? Cilj mi je da bude što jednostavnije za krajnje korisnike, ne da drndaju još nešto, nego da im odmah radi na jednostavan connect.

Ok, linux i OpenVPN gurui, javljajte se :)
 
Odgovor na temu

bachi
Vladimir Vučićević
System administrator
Beograd, Srbija

Član broj: 17912
Poruke: 5316

Sajt: www.bachi.in.rs


+2826 Profil

icon Re: OpenVPN umrezavanje14.11.2012. u 20:39 - pre 138 meseci
Skini ti ";" sa te linije (svaki put kad menjaš conf fajl, moraš da restaruješ openvpn service/konekciju), jer ta linija šalje openvpn klijentima podatak ko je nadležan za taj subnet gde su ti ostali računari u tom subnetu (među kojima je i centos). I ne, neće klijenti ići na net preko vpna, za to je zadužena push "redirect-gateway def1 bypass-dhcp" komanda koju ti nemaš i ne treba da imaš, već da klijenti znaju da postoji i taj subnet.


Mislim na glavni ruter u mreži gde je i taj centos računar. Ako ti je ADSL ruter glavni, onda na njemu dodaj statičku rutu, jer kako računari u subnetu mogu da znaju ko rutira ka openvpn mreži? Oni dobiju zadatak da priđu openvpn klijentu (ili da mu daju odgovor), pošto ne znaju koja im je ruta do njega, pitaju defaulti ruter, a to je u tvom slučaju ADSL ruter, a pošto ni on ne zna (nisi definisao statičku rutu u kojoj se zna ko je glavni baja za vpn subnet) - pampur.


Krajnji korisnici (vpn klijenti) nemaju nikakve veze sa ovim rutama.

Pošalji mi i klijentsku konfiguraiciju.

Malo sam editovao svoj prvi post, jer sam ga pisao na brzinu.

P.S. Ukoliko želiš da openvpn klijenti međusobno komuniciraju, onda skini ";" i sa client-to-client linije.

[Ovu poruku je menjao bachi dana 14.11.2012. u 21:59 GMT+1]
... Vladimir Vučićević aka. Bachi
~~~ www.bachi.in.rs <<<<>>>> [email protected]
>>> It's nice to be important, but it's more important to be nice...
 
Odgovor na temu

GORSHTAK
Ivan Matić

Član broj: 136182
Poruke: 285
*.adsl.verat.net.



+5 Profil

icon Re: OpenVPN umrezavanje16.12.2012. u 16:11 - pre 137 meseci
Ponovo se vraćam na temu posle pauze.
Ovaj put sam radio konfiguraciju na drugom serveru, prvi je bio test.
Klijent i server konfig su u prilogu.

Na serveru sam uradio još i sledeće:
Code:
net.ipv4.ip_forward = 1


Interfejsi i rutiranje:
Code:

[root@server20 keys]# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:21:51:12:17:3C
          inet addr:192.168.169.82  Bcast:192.168.169.255  Mask:255.255.255.0
          inet6 addr: fe80::221:5eff:fe67:f62a/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:41176774 errors:0 dropped:0 overruns:0 frame:0
          TX packets:55932774 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:4794648333 (4.4 GiB)  TX bytes:37659700470 (35.0 GiB)
          Memory:91a80000-91aa0000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:99709 errors:0 dropped:0 overruns:0 frame:0
          TX packets:99709 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:7077579 (6.7 MiB)  TX bytes:7077579 (6.7 MiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:6 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:360 (360.0 b)  TX bytes:240 (240.0 b)

[root@server20 keys]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.8.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.169.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth0
0.0.0.0         192.168.169.250 0.0.0.0         UG    0      0        0 eth0
[root@server20 keys]#                                



Dodao sam još i tabelu rutiranja, zaboravio sam koju tačno komandu ali to je izazvalo da drugi računari u toj mreži nisu mogli da pristupe datom serveru, a ja preko vpn-a i dalje nisam mogao da priđem drugim serverima u mreži.

Primere sam gledao preko ovog sajta: http://openvpn.net/index.php/o...umentation/howto.html#examples
Prikačeni fajlovi
 
Odgovor na temu

jovanmal
Jovan Malešević
Sistem administrator
BL, Republika Srpska

Član broj: 6106
Poruke: 204
*.teol.net.

Sajt: flashofobvious.blogspot.c..


+2 Profil

icon Re: OpenVPN umrezavanje17.01.2013. u 13:23 - pre 136 meseci
Izlistaj nam iptables pravila. U svakom slučaju bi trebao u FORWARD chainu dozvoliti saobraćaj preko interfejsa tun0, npr.

Code:
iptables -A FORWARD -i tun0 -j ACCEPT



A na sličan način dozvoljavaš i na koje hostove će VPN klijenti imati pristup:

Code:
iptables -A FORWARD -s 10.8.0.0/24 -d 192.168.169.90/32 -i tun0 -j ACCEPT 


..blinding flash of the obvious..
 
Odgovor na temu

GORSHTAK
Ivan Matić

Član broj: 136182
Poruke: 285
*.adsl.verat.net.



+5 Profil

icon Re: OpenVPN umrezavanje31.01.2013. u 22:50 - pre 135 meseci
ip-tables je iskljucen, za fw se brine cisco
 
Odgovor na temu

jovanmal
Jovan Malešević
Sistem administrator
BL, Republika Srpska

Član broj: 6106
Poruke: 204
*.teol.net.

Sajt: flashofobvious.blogspot.c..


+2 Profil

icon Re: OpenVPN umrezavanje16.02.2013. u 11:05 - pre 135 meseci
Izvini zbog kasnjenja sa odgovorom.

1. Nije baš dobra ideja da držiš isključen firewall na VPN serveru. Vanjski firewall te ne štiti od klijenata koji dolaze kroz tunel. Sa Iptablesom ćeš moći tačno odrediti do kojih servera će klijenti moći doći i na koji port.

2. Jesi li uključio ip forwarding? U fajlu /etc/sysctl.conf treba biti setovano net.ipv4.ip_forward = 1
..blinding flash of the obvious..
 
Odgovor na temu

GORSHTAK
Ivan Matić

Član broj: 136182
Poruke: 285
*.aDSL.Verat.Net.



+5 Profil

icon Re: OpenVPN umrezavanje25.02.2013. u 19:24 - pre 134 meseci
Da, ip_forward = 1
 
Odgovor na temu

[es] :: SOHO Networking :: OpenVPN umrezavanje

[ Pregleda: 2916 | Odgovora: 8 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.