Forum Debian Users Gang

tomas0801 · 2011-02-04 08:19:32

Witam,
Na wstępie chciałbym zaznaczyć, że jestem laikiem w temacie VPN, korzystałem z wielu tutków i przeczytałem wiele wątków na ten temat i nadal nie mogę sobie z tym poradzić. Proszę was doświadczonych użytkowników o pomoc.
W firmie mam taką sieć:

Jak przy takim ustawieniu sieci skonfigurować VPN przez pptpd i OpenVPN aby to działało. Mamy w firmie 2 laptopy które chcemy aby mogły się łączyć z siecią w firmie przez VPN.
Proszę o opisanie krok po kroku dla obydwóch opcji pptpd i OpenVPN jak to zrobić, jak powinien być zmodyfikowany skrypt iptables itd. itp.
Z góry dziękuję za pomoc w moim problemie.

Nicram · 2011-02-04 09:39:05

Z czym konkretnie nie możesz sobie poradzić?

Wątpie, że ktoś poda Ci "gotowca". Jeśli chcesz gotowe rozwiązanie, zaproś kogoś kto się na tym zna i mu za pracę i jego czas zapłać,
ewentualnie weź się do roboty :)

przedewszystkim system VPN musisz postawić na hoście który ma dostęp do świata jak i do zasobów do których powinni mieć dostęp klienci vpnowi. W twoim przypadku na komputerze "NETIA - STAŁE IP".
zacznij działać i wówczas powiedz z czym nie możesz sobie poradzić a napewno ktoś ci pomoże. Musisz tylko wykazać własnej inicjatywy.

pptp jest strasznie prostackie do instalacji, dosłownie w pięć minut stawiasz VPN, tylko niektóre routery soho mają problemy ze zwrotnym tunelowaniem gre.
openvpn wymaga nieco więcej nakładu pracy, ale za to "przechodzi" przez wszystko.

Ostatnio edytowany przez Nicram (2011-02-04 09:42:08)

tomas0801 · 2011-02-05 11:08:46

Mój problem polega na tym że nie wiem jak to ustawić aby komputery które będą łączyć się przez VPN dostały adres ip z puli 192.168.1. tak aby mogły połączyć się z programem magazynowym. I nie wiem jakie reguły powinienem dodać do skryptu iptables żeby to grało.

bobycob · 2011-02-06 14:40:03

Właściwie klienci VPN powinni być w innej klasie niż maszyny do których się łączą - ewentualnie należy odpowiednio trasy ustawić między routerami aby była zapewniona komunikacja.

Iptables na początku minimum abyś wiedział gdzie masz problem. Na czas uruchomienia wszystko na ACCEPT - chyba, że gdzieś wymagany nat robisz. Później możesz myśleć nad firewallem jak już uruchomisz VPN.

diabolic · 2011-02-06 19:40:47

Inną opcją w przypadku OpenVPN jest też zrobienie mostu między interfejsami sieci z której chcesz aby te laptopy dostały adres i interfejsem VPN. Tylko w tym wypadku w konfigu OpenVPN nie ustawiasz aby przydzielał adresy.
W linku coś na ten temat, co prawda dla openwrt ale w łatwy sposób do przenisienia na debiana http://eko.one.pl/?p=openwrt-openvpn

Ostatnio edytowany przez diabolic (2011-02-06 19:45:22)

tomas0801 · 2011-02-08 08:36:08

wszystko ustawiłem tak jak trzeba według tutka, a jak dam komendę /etc/init.d/openvpn dostaję failed

saiqard · 2011-02-08 08:52:20

a co logi pokazują?

tomas0801 · 2011-02-08 14:00:59

zrobiłem według tego tutka link

i rezultat komendy - failed.

qlemik · 2011-02-08 22:07:04

wszystko ustawiłem tak jak trzeba według tutka, a jak dam komendę /etc/init.d/openvpn dostaję failed

na pierwszej konsoli daj

Kod:

tail -f /var/log/syslog

na drugiej

Kod:

/etc/init.d/openvpn

i wklej tutaj wszystko co wypluło Ci na pierwszej konsoli czyli tam gdzie dałeś tail -f ...

To jedyny sposób abyśmy mogli pomuc. Oczywiście jak będziesz przeklejał loga to zamienień twój zew ip na xx.xx... :)

tomas0801 · 2011-02-09 08:24:28

Kod:

Feb  9 08:20:32 SERWER ovpn-openvpn-serwer[5129]: OpenVPN 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008
Feb  9 08:20:32 SERWER ovpn-openvpn-serwer[5129]: /usr/sbin/openvpn-vulnkey -q /etc/openvpn/static.key
Feb  9 08:20:32 SERWER ovpn-openvpn-serwer[5129]: Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Feb  9 08:20:32 SERWER ovpn-openvpn-serwer[5129]: Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Feb  9 08:20:32 SERWER ovpn-openvpn-serwer[5129]: Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Feb  9 08:20:32 SERWER ovpn-openvpn-serwer[5129]: Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Feb  9 08:20:32 SERWER ovpn-openvpn-serwer[5129]: TCP/UDP: Socket bind failed on local address [undef]:5000: Address already in use
Feb  9 08:20:32 SERWER ovpn-openvpn-serwer[5129]: Exiting

Coś takiego dostaje.

Jest to config według tego tutka link

Proszę was o pomoc sprawa jest naprawdę pilna.

Ostatnio edytowany przez tomas0801 (2011-02-09 09:43:21)

Nicram · 2011-02-09 09:52:27

tomas0801 napisał(-a):

Kod:

Feb  9 08:20:32 SERWER ovpn-openvpn-serwer[5129]: TCP/UDP: Socket bind failed on local address [undef]:5000: Address already in use

hmm, nie uważasz, że przyczynę problemu masz w tej linijce?? pokaż konfig openvpna, dobry by jeszcze był wydruk ifconfig -a

tomas0801 · 2011-02-09 10:05:03

Kod:

eth0      Link encap:Ethernet  HWaddr 00:30:48:2a:ce:7a
          inet addr:192.168.178.3  Bcast:192.168.178.255  Mask:255.255.255.0
          inet6 addr: fe80::230:48ff:fe2a:ce7a/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:988727 errors:0 dropped:0 overruns:0 frame:0
          TX packets:776461 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:974890270 (929.7 MiB)  TX bytes:307682907 (293.4 MiB)

eth1      Link encap:Ethernet  HWaddr 00:30:48:2a:ce:7b
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::230:48ff:fe2a:ce7b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2986532 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3462127 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:422826326 (403.2 MiB)  TX bytes:2516275836 (2.3 GiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:33108 errors:0 dropped:0 overruns:0 frame:0
          TX packets:33108 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:15619960 (14.8 MiB)  TX bytes:15619960 (14.8 MiB)

tap0      Link encap:Ethernet  HWaddr 00:ff:32:6d:65:d2
          inet addr:10.3.0.1  Bcast:10.3.255.255  Mask:255.255.0.0
          inet6 addr: fe80::2ff:32ff:fe6d:65d2/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:80 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:13081 (12.7 KiB)

Kod:

dev tap0
port 5000 #<= Port na ktorym bedzie dzialal nasz serwer
proto udp
ifconfig 10.3.0.1 255.255.0.0 #<= adres ip na ktorym bedziemy sie logowac
#keepalive 10 120
status /tmp/openvpn-status.log
ping 15
ping-restart 45
ping-timer-rem
verb 3
secret /etc/openvpn/static.key #<= klucz autoryzacji polaczenia
inactive 3600
push "ping 10"
push ping-restart 60"
push "route 192.168.0.0 255.255.255.0"

Ostatnio edytowany przez tomas0801 (2011-02-09 10:07:38)

Nicram · 2011-02-09 10:56:33

tomas0801 napisał(-a):

Kod:

ifconfig 10.3.0.1 255.255.0.0 #<= adres ip na ktorym bedziemy sie logowac

po co ponownie podnosisz interfejs, ktory juz jest podniesiony.
do "słuchania" służy opcja

Kod:

server 10.3.0.1 255.255.0.0

tomas0801 · 2011-02-09 10:58:54

Nicram napisał(-a):
tomas0801 napisał(-a):
Kod:
ifconfig 10.3.0.1 255.255.0.0 #<= adres ip na ktorym bedziemy sie logowac
po co ponownie podnosisz interfejs, ktory juz jest podniesiony.
do "słuchania" służy opcja
Kod:
server 10.3.0.1 255.255.0.0

Czyli co mam zrobić ?
Cały czas gdy próbuję odpalić - failed!

Ostatnio edytowany przez tomas0801 (2011-02-09 11:01:31)

Nicram · 2011-02-09 11:47:59

tomas0801 napisał(-a):
Czyli co mam zrobić ?

Przedewszystkim dobrze skonfigurowac.
zakomentuj ta linie z ifconfigiem a ustaw linie dotyczaca server.

tomas0801 · 2011-02-09 12:15:45

Nicram napisał(-a):
tomas0801 napisał(-a):
Czyli co mam zrobić ?
Przedewszystkim dobrze skonfigurowac.
zakomentuj ta linie z ifconfigiem a ustaw linie dotyczaca server.

jak zakomentuje ifconfig, a wrzuce server to wywala error confa

Ostatnio edytowany przez tomas0801 (2011-02-09 12:16:01)

Nicram · 2011-02-09 12:23:21

troche mieszasz i dlatego wywala ci errory.

przedewszystkim określ się, jaki interfejs chcesz używać tap czy tun.
w 90% przypadkach tun jest najlepszym rozwiązaniem, gdyż działa to w warstwie 3. robimy normalny routing.
przy tun opcją "sluchającą" jest server
przy tap jest server-bridge.

tomas0801 · 2011-02-09 12:31:31

Nicram napisał(-a):
troche mieszasz i dlatego wywala ci errory.

przedewszystkim określ się, jaki interfejs chcesz używać tap czy tun.
w 90% przypadkach tun jest najlepszym rozwiązaniem, gdyż działa to w warstwie 3. robimy normalny routing.
przy tun opcją "sluchającą" jest server
przy tap jest server-bridge.

powiedzmy, że jestem zdecydowany na opcję tun.
Co powinienem przy takiej opcji zedytować i w jaki sposób.

Nicram · 2011-02-09 12:32:16

tomas0801 napisał(-a):

Kod:

dev tap0
port 5000 #<= Port na ktorym bedzie dzialal nasz serwer
proto udp
ifconfig 10.3.0.1 255.255.0.0 #<= adres ip na ktorym bedziemy sie logowac
#keepalive 10 120
status /tmp/openvpn-status.log
ping 15
ping-restart 45
ping-timer-rem
verb 3
secret /etc/openvpn/static.key #<= klucz autoryzacji polaczenia
inactive 3600
push "ping 10"
push ping-restart 60"
push "route 192.168.0.0 255.255.255.0"

niby robiłeś według tutoriala a jednak konfig twoj a z tutka znaczaco się różnią

Kod:

port 1194
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 172.16.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
user nobody
group users
persist-key
persist-tun
status openvpn-status.log
verb 3
client-to-client

czy wogóle próbowałeś odpalić ten config a później edytować pod swoje potrzeby??

tomas0801 · 2011-02-09 12:46:15

Nicram napisał(-a):

Kod:

port 1194
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 172.16.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
user nobody
group users
persist-key
persist-tun
status openvpn-status.log
verb 3
client-to-client

czy wogóle próbowałeś odpalić ten config a później edytować pod swoje potrzeby??

Dla tego konfiga:

Kod:

SERWER:/etc/openvpn# openvpn --config server.conf
Wed Feb  9 12:43:28 2011 OpenVPN 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008
Wed Feb  9 12:43:28 2011 Diffie-Hellman initialized with 1024 bit key
Wed Feb  9 12:43:28 2011 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Wed Feb  9 12:43:28 2011 TLS-Auth MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Wed Feb  9 12:43:28 2011 ROUTE default_gateway=192.168.178.1
Wed Feb  9 12:43:28 2011 TUN/TAP device tun0 opened
Wed Feb  9 12:43:28 2011 TUN/TAP TX queue length set to 100
Wed Feb  9 12:43:28 2011 /sbin/ifconfig tun0 172.16.0.1 pointopoint 172.16.0.2 mtu 1500
Wed Feb  9 12:43:28 2011 /sbin/route add -net 172.16.0.0 netmask 255.255.255.0 gw 172.16.0.2
Wed Feb  9 12:43:28 2011 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Feb  9 12:43:28 2011 GID set to users
Wed Feb  9 12:43:28 2011 UID set to nobody
Wed Feb  9 12:43:28 2011 Listening for incoming TCP connection on [undef]:1194
Wed Feb  9 12:43:28 2011 Socket Buffers: R=[87380->131072] S=[16384->131072]
Wed Feb  9 12:43:28 2011 TCPv4_SERVER link local (bound): [undef]:1194
Wed Feb  9 12:43:28 2011 TCPv4_SERVER link remote: [undef]
Wed Feb  9 12:43:28 2011 MULTI: multi_init called, r=256 v=256
Wed Feb  9 12:43:28 2011 IFCONFIG POOL: base=172.16.0.4 size=62
Wed Feb  9 12:43:28 2011 IFCONFIG POOL LIST
Wed Feb  9 12:43:28 2011 MULTI: TCP INIT maxclients=1024 maxevents=1028
Wed Feb  9 12:43:28 2011 Initialization Sequence Completed

Nicram · 2011-02-09 13:55:18

tomas0801 napisał(-a):
Kod:
Wed Feb  9 12:43:28 2011 Initialization Sequence Completed

czyli dziala

tomas0801 · 2011-02-10 09:19:18

Wszystko już działa mogę się połączyć przez VPN. Ale jeszcze mała drobnostka i będzie ok:
Mianowicie:

Lap1 - ip: 172.16.0.6 ------------- ServerVPN 172.16.0.1

eth0 na serwerze: 192.168.178.3
eth1 na serwerze: 192.168.1.1

i o co chodzi: jak zrobić aby Lap1 i każdy klient przez VPN dostał ip z puli eth1 192.168.1. tak aby mógł się podłączyć do programu handlowo-magazynowego który jest pod adresem 192.168.1.1:3050

siarka2107 · 2011-02-10 09:50:05

openvpn-a nie rób w tej samej podsieci co masz wsztstkich miśków, masz ich w innej podsieci teraz tylko "ip route..." w dłoń i jazda

Nicram · 2011-02-10 09:56:46

tomas0801 napisał(-a):
Wszystko już działa mogę się połączyć przez VPN. Ale jeszcze mała drobnostka i będzie ok:
Mianowicie:

Lap1 - ip: 172.16.0.6 ------------- ServerVPN 172.16.0.1

eth0 na serwerze: 192.168.178.3
eth1 na serwerze: 192.168.1.1

i o co chodzi: jak zrobić aby Lap1 i każdy klient przez VPN dostał ip z puli eth1 192.168.1. tak aby mógł się podłączyć do programu handlowo-magazynowego który jest pod adresem 192.168.1.1:3050

nie przyznawaj z tej samej puli!!! no chyba, że będziesz robił na urządzeniu tap.
w tej konfiguracji ustaw routing do tej sieci.

push route 192.168.1.0 255.255.255.0

i klient dostanie do tablicy routingu ta sieć i bez problemu będzie mógł się do niej dostać.
nie zapomnij o ip_forward.

tomas0801 · 2011-02-10 11:04:34

wstawiłem do configa to push route i teraz mam failed znowu jak startuje openvpn

EDIT dobra już się uruchamia, ale dalej nie mogę się dostać do programu handlowo-magazynowego.

Ostatnio edytowany przez tomas0801 (2011-02-10 11:56:05)

Forum Debian Users Gang

Ogłoszenie

#1 2011-02-04 08:19:32

tomas0801 - Użytkownik

VPN problemy z konfiguracją do konkretnej sieci.

#2 2011-02-04 09:39:05

Nicram - Użytkownik

Re: VPN problemy z konfiguracją do konkretnej sieci.

#3 2011-02-05 11:08:46

tomas0801 - Użytkownik

Re: VPN problemy z konfiguracją do konkretnej sieci.

#4 2011-02-06 14:40:03

bobycob - Członek z Ramienia

Re: VPN problemy z konfiguracją do konkretnej sieci.

#5 2011-02-06 19:40:47

diabolic - Użytkownik

Re: VPN problemy z konfiguracją do konkretnej sieci.

#6 2011-02-08 08:36:08

tomas0801 - Użytkownik

Re: VPN problemy z konfiguracją do konkretnej sieci.

#7 2011-02-08 08:52:20

saiqard - Użytkownik

Re: VPN problemy z konfiguracją do konkretnej sieci.

#8 2011-02-08 14:00:59

tomas0801 - Użytkownik

Re: VPN problemy z konfiguracją do konkretnej sieci.

#9 2011-02-08 22:07:04

qlemik - Użytkownik

Re: VPN problemy z konfiguracją do konkretnej sieci.

Kod:

Kod:

#10 2011-02-09 08:24:28

tomas0801 - Użytkownik

Re: VPN problemy z konfiguracją do konkretnej sieci.

Kod:

#11 2011-02-09 09:52:27

Nicram - Użytkownik

Re: VPN problemy z konfiguracją do konkretnej sieci.

tomas0801 napisał(-a):

Kod:

#12 2011-02-09 10:05:03

tomas0801 - Użytkownik

Re: VPN problemy z konfiguracją do konkretnej sieci.

Kod:

Kod:

#13 2011-02-09 10:56:33

Nicram - Użytkownik

Re: VPN problemy z konfiguracją do konkretnej sieci.

tomas0801 napisał(-a):

Kod:

Kod:

#14 2011-02-09 10:58:54

tomas0801 - Użytkownik

Re: VPN problemy z konfiguracją do konkretnej sieci.

Nicram napisał(-a):

tomas0801 napisał(-a):

Kod:

Kod:

#15 2011-02-09 11:47:59

Nicram - Użytkownik

Re: VPN problemy z konfiguracją do konkretnej sieci.

tomas0801 napisał(-a):

#16 2011-02-09 12:15:45

tomas0801 - Użytkownik

Re: VPN problemy z konfiguracją do konkretnej sieci.

Nicram napisał(-a):

tomas0801 napisał(-a):

#17 2011-02-09 12:23:21

Nicram - Użytkownik

Re: VPN problemy z konfiguracją do konkretnej sieci.

#18 2011-02-09 12:31:31

tomas0801 - Użytkownik

Re: VPN problemy z konfiguracją do konkretnej sieci.

Nicram napisał(-a):

#19 2011-02-09 12:32:16

Nicram - Użytkownik

Re: VPN problemy z konfiguracją do konkretnej sieci.

tomas0801 napisał(-a):

Kod:

Kod: