Forum Debian Users Gang

shafty84 · 2011-08-30 14:48:46

Witam.

Otrzymałem zadanie skonfigurowania vpn w ten sposób aby za pomocą open vpn można było się podłączyć do mojej sieci lokalnej a następnie surfować po kilku stronach www jak tej właśnie sieci.
Połączenia z openvpn muszą być na login/hasło i muszą być logowane.

Skonfigurowałem openvpn wg instrukcji http://forum.dug.net.pl/viewtopic.php?id=15583.
Połączenie działa. Chciał bym jednak rozszerzyć moja konfigurację o możliwość łączenia się z wykorzystaniem hasła oraz o możliwość wychodzenia do internetu z adresem ip sieci vpn.

Co muszę dopisać do mojej konfiguracji ? Jak zrealizować te dwa zadania ?
Jakimi narzędziami mogę sprawdzić czy wychodzę do netu przez vpn a nie normalnie po sieci klienta.

Ostatnio edytowany przez shafty84 (2011-09-05 21:11:36)

0dd · 2011-08-30 15:07:21

Musisz skonfigurować routing.

Jacekalex · 2011-08-30 15:49:41

shafty84 napisał(-a):
......
Jakimi narzędziami mogę sprawdzić czy wychodzę do netu przez vpn a nie normalnie po sieci klienta.

Samą przegladarką:
http://checkip.dyndns.com

shafty84 · 2011-08-31 11:20:41

topologia sieci to:
server-vpn(debian 192.168.50.55) <-10.100.0.5-openvpn-10.100.0.6->klient(winxp 192.168.50.57)

Dziękuje za dotychczasowe odpowiedzi w miedzy czasie rozwiązałem problem z autoryzacją.
Pozostał ten routing.

Aktualnie moja konfiguracja serwera wygląda następująco:

Kod:

port 5000
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.100.0.0 255.255.255.0
push "route 192.168.50.0 255.255.255.0"
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
client-to-client
keepalive 10 120
comp-lzo
max-clients 25
persist-key
persist-tun
log         openvpn.log
verb 3
mute 20
plugin /usr/lib/openvpn/openvpn-auth-pam.so openvpn
client-cert-not-required
username-as-common-name

Klient Windows łączy się i otrzymuje adres 10.100.0.6.

Problem polega jednak na tym ze po połączeniu nic nie działa. Nie mogę nawet pingować serwera po adresie 10.100.0.5
taki adres dostaje sądząc po tym jaka jest brama dla połączenia Polaczenie Lokalne Tap-Win32 (klient windows).

Serwer da się natomiast pingować z jego sieci lokalnej.

wynik polecenia
ip r na serwerze openvpn debiana

Kod:

10.100.0.2 dev tun0  proto kernel  scope link  src 10.100.0.1
192.168.50.0/24 dev eth0  proto kernel  scope link  src 192.168.50.55  metric 1
10.100.0.0/24 via 10.100.0.2 dev tun0
default via 192.168.50.1 dev eth0  proto static

tablica routingu na winxp to (route print):

Kod:

Miejsce docelowe w sieci      Maska sieci      Brama      Interfejs      Met

          0.0.0.0        128.0.0.0       10.100.0.5      10.100.0.6       1
          0.0.0.0          0.0.0.0     192.168.50.1   192.168.50.57       10
       10.100.0.0    255.255.255.0       10.100.0.5      10.100.0.6       1
       10.100.0.4  255.255.255.252       10.100.0.6      10.100.0.6       30
       10.100.0.6  255.255.255.255        127.0.0.1       127.0.0.1       30
   10.255.255.255  255.255.255.255       10.100.0.6      10.100.0.6       30
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
        128.0.0.0        128.0.0.0       10.100.0.5      10.100.0.6       1
     192.168.50.0    255.255.255.0    192.168.50.57   192.168.50.57       10
     192.168.50.0    255.255.255.0       10.100.0.5      10.100.0.6       1
    192.168.50.55  255.255.255.255     192.168.50.1   192.168.50.57       1
    192.168.50.57  255.255.255.255        127.0.0.1       127.0.0.1       10
   192.168.50.255  255.255.255.255    192.168.50.57   192.168.50.57       10
        224.0.0.0        240.0.0.0       10.100.0.6      10.100.0.6       30
        224.0.0.0        240.0.0.0    192.168.50.57   192.168.50.57       10
  255.255.255.255  255.255.255.255       10.100.0.6      10.100.0.6       1
  255.255.255.255  255.255.255.255    192.168.50.57   192.168.50.57       1
Domyślna brama:       10.100.0.5

Ostatnio edytowany przez shafty84 (2011-08-31 11:32:08)

shafty84 · 2011-09-01 12:12:19

Witam kolejny dzień mojej walki z routingiem dzisiaj udało mi się wreszcie pingować bramkę
Pozmieniałem trochę topologię sieci. Teraz wygląda ona tak:

Kod:

server (debian6)
WAN 192.168.187.133
LAN 192.168.50.55
KONIEC_VPN 10.100.0.1

klient (winxp)
WAN 192.168.187.132
KONIEC_VPN 10.100.0.1

Działa ping owanie w obie strony klientów mogę się nawet zalogować z klienta po ssh na server po adresie 10.100.0.1 niestety nie jestem wstanie połączyć się z żadnym innym komputerem w sieci lokalnej serwera. Tym bardziej nie jestem w stanie wyjść do internetu za pośrednictwem serwera.

Jakieś pomysły ?

#SERVER

Kod:

local 192.168.187.133
port 5000
proto udp
dev tap
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.100.0.0 255.255.255.0
push "route 192.168.50.0 255.255.255.0"
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 91.210.48.20"
push "dhcp-option DNS 8.8.8.8"
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3
mute 20
plugin /usr/lib/openvpn/openvpn-auth-pam.so openvpn
client-cert-not-required
username-as-common-name

#KLIENT

Kod:

client
dev tap
proto udp
remote 192.168.187.133 5000
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
ns-cert-type server
comp-lzo
auth-user-pass
auth-nocache

Ostatnio edytowany przez shafty84 (2011-09-01 12:13:54)

hello_world · 2011-09-01 14:10:52

A mogę zapytać skąd łączysz się klientem do serwera.
Czy ty tylko chesz sobie z tunelować połączenie do serwera vpn w sieci lokalnej?
Z podanych twoich danych nie ma szans abyś się rutowal pomiedzy wanami (chyba że wan to interfejs lokalny)

shafty84 · 2011-09-01 23:45:13

wan to interface lokalny. Moj problem to tylko labowanie bo probuje sie czegos nauczyc. Problem jednak juz udalo mi sie rozwiazac. Okazalo sie ze brakowalo czegos w iptables. Temat do zamkniecia.

ba10 · 2011-09-02 08:32:49

shafty84 napisał(-a):
wan to interface lokalny. Moj problem to tylko labowanie bo probuje sie czegos nauczyc. Problem jednak juz udalo mi sie rozwiazac. Okazalo sie ze brakowalo czegos w iptables. Temat do zamkniecia.

Tutaj się tematów nie zamyka, a dodatkowo podaje się dokładnie rozwiązanie, gdyby ktoś miał ten sam problem to będzie miał rozwiązanie.

shafty84 · 2011-09-05 21:10:48

Regułki firewalla które rozwiązują mój problem.

Kod:

echo "1" > /proc/sys/net/ipv4/ip_forward
#forwardowanie pakietow
iptables -F
iptables -A INPUT -i tap0 -j ACCEPT
iptables -A FORWARD -o tap0 -j ACCEPT
#otwieranie portow dla serwera i klienta openvpn
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 5000 -j ACCEPT #openvpn
iptables -A INPUT -p udp -m state --state NEW -m udp --dport 5000 -j ACCEPT #openvpn
#routing dla adresu ip klienta
iptables -t nat -A POSTROUTING -s 10.100.0.2/255.255.255.0  -j MASQUERADE 
iptables -A FORWARD -s 10.100.0.2/255.255.255.0 -j ACCEPT #10.100.0.0 adresy ip sieci wirtualnej klient-server vpn

Forum Debian Users Gang

Ogłoszenie

#1 2011-08-30 14:48:46

shafty84 - Użytkownik

[ROWIAZANE] Openvpn problem z routingiem.

#2 2011-08-30 15:07:21

0dd - Członek DUG

Re: [ROWIAZANE] Openvpn problem z routingiem.

#3 2011-08-30 15:49:41

Jacekalex - Podobno człowiek...;)

Re: [ROWIAZANE] Openvpn problem z routingiem.

shafty84 napisał(-a):

#4 2011-08-31 11:20:41

shafty84 - Użytkownik

Re: [ROWIAZANE] Openvpn problem z routingiem.

Kod:

Kod:

Kod:

#5 2011-09-01 12:12:19

shafty84 - Użytkownik

Re: [ROWIAZANE] Openvpn problem z routingiem.

Kod:

Kod:

Kod:

#6 2011-09-01 14:10:52

hello_world - Członek DUG

Re: [ROWIAZANE] Openvpn problem z routingiem.

#7 2011-09-01 23:45:13

shafty84 - Użytkownik

Re: [ROWIAZANE] Openvpn problem z routingiem.

#8 2011-09-02 08:32:49

ba10 - Członek DUG

Re: [ROWIAZANE] Openvpn problem z routingiem.

shafty84 napisał(-a):

#9 2011-09-05 21:10:48

shafty84 - Użytkownik

Re: [ROWIAZANE] Openvpn problem z routingiem.

Kod:

Stopka forum