Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam.
Otrzymałem zadanie skonfigurowania vpn w ten sposób aby za pomocą open vpn można było się podłączyć do mojej sieci lokalnej a następnie surfować po kilku stronach www jak tej właśnie sieci.
Połączenia z openvpn muszą być na login/hasło i muszą być logowane.
Skonfigurowałem openvpn wg instrukcji http://forum.dug.net.pl/viewtopic.php?id=15583.
Połączenie działa. Chciał bym jednak rozszerzyć moja konfigurację o możliwość łączenia się z wykorzystaniem hasła oraz o możliwość wychodzenia do internetu z adresem ip sieci vpn.
Co muszę dopisać do mojej konfiguracji ? Jak zrealizować te dwa zadania ?
Jakimi narzędziami mogę sprawdzić czy wychodzę do netu przez vpn a nie normalnie po sieci klienta.
Ostatnio edytowany przez shafty84 (2011-09-05 21:11:36)
Offline
Musisz skonfigurować routing.
Offline
shafty84 napisał(-a):
......
Jakimi narzędziami mogę sprawdzić czy wychodzę do netu przez vpn a nie normalnie po sieci klienta.
Samą przegladarką:
http://checkip.dyndns.com
Offline
topologia sieci to:
server-vpn(debian 192.168.50.55) <-10.100.0.5-openvpn-10.100.0.6->klient(winxp 192.168.50.57)
Dziękuje za dotychczasowe odpowiedzi w miedzy czasie rozwiązałem problem z autoryzacją.
Pozostał ten routing.
Aktualnie moja konfiguracja serwera wygląda następująco:
port 5000 proto udp dev tun ca ca.crt cert server.crt key server.key dh dh1024.pem server 10.100.0.0 255.255.255.0 push "route 192.168.50.0 255.255.255.0" push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" client-to-client keepalive 10 120 comp-lzo max-clients 25 persist-key persist-tun log openvpn.log verb 3 mute 20 plugin /usr/lib/openvpn/openvpn-auth-pam.so openvpn client-cert-not-required username-as-common-name
Klient Windows łączy się i otrzymuje adres 10.100.0.6.
Problem polega jednak na tym ze po połączeniu nic nie działa. Nie mogę nawet pingować serwera po adresie 10.100.0.5
taki adres dostaje sądząc po tym jaka jest brama dla połączenia Polaczenie Lokalne Tap-Win32 (klient windows).
Serwer da się natomiast pingować z jego sieci lokalnej.
wynik polecenia
ip r na serwerze openvpn debiana
10.100.0.2 dev tun0 proto kernel scope link src 10.100.0.1 192.168.50.0/24 dev eth0 proto kernel scope link src 192.168.50.55 metric 1 10.100.0.0/24 via 10.100.0.2 dev tun0 default via 192.168.50.1 dev eth0 proto static
tablica routingu na winxp to (route print):
Miejsce docelowe w sieci Maska sieci Brama Interfejs Met 0.0.0.0 128.0.0.0 10.100.0.5 10.100.0.6 1 0.0.0.0 0.0.0.0 192.168.50.1 192.168.50.57 10 10.100.0.0 255.255.255.0 10.100.0.5 10.100.0.6 1 10.100.0.4 255.255.255.252 10.100.0.6 10.100.0.6 30 10.100.0.6 255.255.255.255 127.0.0.1 127.0.0.1 30 10.255.255.255 255.255.255.255 10.100.0.6 10.100.0.6 30 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 128.0.0.0 128.0.0.0 10.100.0.5 10.100.0.6 1 192.168.50.0 255.255.255.0 192.168.50.57 192.168.50.57 10 192.168.50.0 255.255.255.0 10.100.0.5 10.100.0.6 1 192.168.50.55 255.255.255.255 192.168.50.1 192.168.50.57 1 192.168.50.57 255.255.255.255 127.0.0.1 127.0.0.1 10 192.168.50.255 255.255.255.255 192.168.50.57 192.168.50.57 10 224.0.0.0 240.0.0.0 10.100.0.6 10.100.0.6 30 224.0.0.0 240.0.0.0 192.168.50.57 192.168.50.57 10 255.255.255.255 255.255.255.255 10.100.0.6 10.100.0.6 1 255.255.255.255 255.255.255.255 192.168.50.57 192.168.50.57 1 Domyślna brama: 10.100.0.5
Ostatnio edytowany przez shafty84 (2011-08-31 11:32:08)
Offline
Witam kolejny dzień mojej walki z routingiem dzisiaj udało mi się wreszcie pingować bramkę
Pozmieniałem trochę topologię sieci. Teraz wygląda ona tak:
server (debian6) WAN 192.168.187.133 LAN 192.168.50.55 KONIEC_VPN 10.100.0.1 klient (winxp) WAN 192.168.187.132 KONIEC_VPN 10.100.0.1
Działa ping owanie w obie strony klientów mogę się nawet zalogować z klienta po ssh na server po adresie 10.100.0.1 niestety nie jestem wstanie połączyć się z żadnym innym komputerem w sieci lokalnej serwera. Tym bardziej nie jestem w stanie wyjść do internetu za pośrednictwem serwera.
Jakieś pomysły ?
#SERVER
local 192.168.187.133 port 5000 proto udp dev tap ca ca.crt cert server.crt key server.key dh dh1024.pem server 10.100.0.0 255.255.255.0 push "route 192.168.50.0 255.255.255.0" push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 91.210.48.20" push "dhcp-option DNS 8.8.8.8" client-to-client keepalive 10 120 comp-lzo persist-key persist-tun verb 3 mute 20 plugin /usr/lib/openvpn/openvpn-auth-pam.so openvpn client-cert-not-required username-as-common-name
#KLIENT
client dev tap proto udp remote 192.168.187.133 5000 resolv-retry infinite nobind persist-key persist-tun ca ca.crt ns-cert-type server comp-lzo auth-user-pass auth-nocache
Ostatnio edytowany przez shafty84 (2011-09-01 12:13:54)
Offline
A mogę zapytać skąd łączysz się klientem do serwera.
Czy ty tylko chesz sobie z tunelować połączenie do serwera vpn w sieci lokalnej?
Z podanych twoich danych nie ma szans abyś się rutowal pomiedzy wanami (chyba że wan to interfejs lokalny)
Offline
wan to interface lokalny. Moj problem to tylko labowanie bo probuje sie czegos nauczyc. Problem jednak juz udalo mi sie rozwiazac. Okazalo sie ze brakowalo czegos w iptables. Temat do zamkniecia.
Offline
shafty84 napisał(-a):
wan to interface lokalny. Moj problem to tylko labowanie bo probuje sie czegos nauczyc. Problem jednak juz udalo mi sie rozwiazac. Okazalo sie ze brakowalo czegos w iptables. Temat do zamkniecia.
Tutaj się tematów nie zamyka, a dodatkowo podaje się dokładnie rozwiązanie, gdyby ktoś miał ten sam problem to będzie miał rozwiązanie.
Offline
Regułki firewalla które rozwiązują mój problem.
echo "1" > /proc/sys/net/ipv4/ip_forward #forwardowanie pakietow iptables -F iptables -A INPUT -i tap0 -j ACCEPT iptables -A FORWARD -o tap0 -j ACCEPT #otwieranie portow dla serwera i klienta openvpn iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 5000 -j ACCEPT #openvpn iptables -A INPUT -p udp -m state --state NEW -m udp --dport 5000 -j ACCEPT #openvpn #routing dla adresu ip klienta iptables -t nat -A POSTROUTING -s 10.100.0.2/255.255.255.0 -j MASQUERADE iptables -A FORWARD -s 10.100.0.2/255.255.255.0 -j ACCEPT #10.100.0.0 adresy ip sieci wirtualnej klient-server vpn
Offline