Pokud chcete přes ten VPN tunel přistupovat dál do Internetu, tak pokud ten tunel nefunguje, je ten server to jediné, na co by se mělo jít připojit. Za předpokladu že je klient nastavený správně
Proč - protože v takovém případě by ve směrovací tabulce klienta měl být záznam, že pouze provoz k IP serveru má jít přes síťové rozhraní připojené do internetu, zatímco všechen ostatní provoz přes tu VPN
S Network Managerem neporadím, ale zkuste ten tunel zapnout a nastavit všechno tak, jak si myslíte, že to má být, a pak sem pošlete výpis příkazu "ip route" z klienta i ze serveru. Na klientovi by mělo být něco jako
1.2.3.4/32 via 5.6.7.8 dev eth0 10.8.0.0/24 dev tun0 default via 10.8.0.1 dev tun0
1.2.3.4 je IP adresa vaší VPS, 5.6.7.8 je výchozí brána vašeho ISP
Jinak přesně jak teď zrovna napsal předřečník - tcpdump je váš kamarád, ping na nějakou adresu do internetu a
tcpdump -i interface -n 'icmp'
vám ukáže, kudy ty pakety odcházejí.
Pavel Švojgr wrote:
Tak bohuzel, ani s timto navodem jsem neuspel. Mam tam nekde nakou botu :-) Jako klienta pouzivam Network manager applet pro cinnamon, ale kdyz se po pripojeni dostanu na server pres ssh, tak predpokladam, ze v klientovi chyba nebude. Kazdopadne diky za snahu.
Dne 7.1.2017 v 00:32 Matouš Michalík napsal(a):
Zdravím ovpn jsem nastavoval zrovna teď v týdnu, a po drobných úpravách jsem uspěl s configurací níže, dle návodu na debian wiki https://wiki.debian.org/OpenVPN
proti návodům co jsem našel na internetu jsem měnil interface v iptables, na me instalaci neni eth0 ale venet0 a openvpn server jsem pouštěl přes:
# systemctl start openvpn@openvpn.service
aby se správně použil configurační soubor v /etc/openvpn/openvpn.conf
Navíc mě napadá, že není uvedený software na klientské straně, v mém případě tunnelblick zafungoval bez problémů. V případě připojení přímo přes binárku openvpn z klienta jsou potřeba extra ip routy. Alespoň tak jsem to pochopil viz.
https://wiki.debian.org/OpenVPN#TLS-enabled_VPN
# cat /etc/openvpn/openvpn.conf
port 1194 proto tcp dev tun
push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8"
ca /etc/openvpn/easy-rsa/keys/ca.crt # generated keys cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key # keep secret dh /etc/openvpn/easy-rsa/keys/dh2048.pem
server 10.9.8.0 255.255.255.0 # internal tun0 connection IP ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo # Compression - must be turned on at both end persist-key persist-tun
status log/openvpn-status.log
verb 3 # verbose mode client-to-client
pravidla pro iptables
# iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT # iptables -A FORWARD -i venet0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT # iptables -A FORWARD -s *MailScanner has detected a possible fraud attempt from "10.9.8.0" claiming to be* *MailScanner warning: numerical links are often malicious:* 10.9.8.0/24 http://10.9.8.0/24 -o venet0 -j ACCEPT # iptables -t nat -A POSTROUTING -s *MailScanner has detected a possible fraud attempt from "10.9.8.0" claiming to be* *MailScanner warning: numerical links are often malicious:* 10.9.8.0/24 http://10.9.8.0/24 -o venet0 -j MASQUERADE
# configurace klienta
client dev tun proto tcp remote matousmichalik.cz http://matousmichalik.cz 1194 resolv-retry infinite nobind persist-key persist-tun ns-cert-type server comp-lzo verb 3
<ca> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- -----END PRIVATE KEY----- </key>
S pozdravem Matouš Michalík
pá 6. 1. 2017 v 19:00 odesílatel Pavel Švojgr <pavel@svojgr.com mailto:pavel@svojgr.com> napsal:
# cat /proc/sys/net/ipv4/ip_forward 1 Dne 6.1.2017 v 18:39 Martin Doucha napsal(a):Dne 6.1.2017 v 18:17 Pavel Švojgr napsal(a):Ahoj, snazim se nastavit openvpn server tak, abych pres nej mohlpristupovat dal do inernetu, ale nedari se mi to. Sel jsem podle tohoto navodu:
https://blog.sslmarket.cz/ssl/nastaveni-openvpn-na-serveru-s-debian-8-jessie...
a podari se mi pres vpn dostat na server, ale dal uz ne (aninepingnu).
# cat /etc/sysctl.conf |grep ip_forward net.ipv4.ip_forward=1Tak začneme tou nejhloupější kontrolou. Co vypíše tenhle příkaz? $ cat /proc/sys/net/ipv4/ip_forward S pozdravem, Martin Doucha _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> http://lists.vpsfree.cz/listinfo/community-list-- S pozdravem Ing. Pavel Švojgr _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list