8 Jan
2017
8 Jan
'17
11:48 a.m.
Jako klienta pouzivam Network manager applet pro
cinnamon, ale kdyz se po pripojeni dostanu na server pres ssh, tak predpokladam, ze v
klientovi chyba nebude.
- pokud se tam dostaneš přes venkovní adresu serveru, je to normální, openvpn klient
přidává /32 routu na VPN server
- pokud se tam dostaneš přes interní adresu, ještě to neznamená, že máš nastavenou
správně routu na klientovi a routování/maškarádu na serveru
-> musíš víc debugovat. Například by mohlo pomoct pustit tcpdump na serveru a
sledovat, jestli paket přijde na vnitřní rozhraní, jestli odejde (znatovaný) z vnějšího
rozhraní, jestli přijde odpověď a jestli to odpověď zpátky pošle na VPN klienta.
On 7.1.2017 13:35, Pavel Švojgr wrote:
Tak bohuzel, ani s timto navodem jsem neuspel. Mam tam
nekde nakou botu :-) Jako klienta pouzivam Network manager applet pro cinnamon, ale kdyz
se po pripojeni dostanu na server pres ssh, tak predpokladam, ze v klientovi chyba nebude.
Kazdopadne diky za snahu.
Dne 7.1.2017 v 00:32 Matouš Michalík napsal(a):
--
Jan Hrach | https://jenda.hrach.eu/
GPG CD98 5440 4372 0C6D 164D A24D F019 2F8E 6527 282E
Zdravím ovpn jsem nastavoval zrovna teď v týdnu,
a po drobných úpravách jsem uspěl s configurací níže, dle návodu na debian wiki
<https://wiki.debian.org/OpenVPN>https://wiki.debian.org/OpenVPN
proti návodům co jsem našel na internetu jsem měnil interface v iptables, na me instalaci
neni eth0 ale venet0 a openvpn server jsem pouštěl přes:
# systemctl start openvpn(a)openvpn.service
aby se správně použil configurační soubor v /etc/openvpn/openvpn.conf
Navíc mě napadá, že není uvedený software na klientské straně, v mém případě tunnelblick
zafungoval bez problémů. V případě připojení přímo přes binárku openvpn z klienta jsou
potřeba extra ip routy. Alespoň tak jsem to pochopil viz.
https://wiki.debian.org/OpenVPN#TLS-enabled_VPN
# cat /etc/openvpn/openvpn.conf
port 1194
proto tcp
dev tun
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
ca /etc/openvpn/easy-rsa/keys/ca.crt # generated keys
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key # keep secret
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
server 10.9.8.0 255.255.255.0 # internal tun0 connection IP
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo # Compression - must be turned on at both end
persist-key
persist-tun
status log/openvpn-status.log
verb 3 # verbose mode
client-to-client
pravidla pro iptables
# iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
# iptables -A FORWARD -i venet0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A FORWARD -s *MailScanner has detected a possible fraud attempt from
"10.9.8.0" claiming to be* *MailScanner warning: numerical links are often
malicious:* 10.9.8.0/24 <http://10.9.8.0/24> -o venet0 -j ACCEPT
# iptables -t nat -A POSTROUTING -s *MailScanner has detected a possible fraud attempt
from "10.9.8.0" claiming to be* *MailScanner warning: numerical links are often
malicious:* 10.9.8.0/24 <http://10.9.8.0/24> -o venet0 -j MASQUERADE
# configurace klienta
client
dev tun
proto tcp
remote matousmichalik.cz <http://matousmichalik.cz> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
comp-lzo
verb 3
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>
S pozdravem Matouš Michalík
pá 6. 1. 2017 v 19:00 odesílatel Pavel Švojgr <pavel(a)svojgr.com
<mailto:pavel@svojgr.com>> napsal:
# cat /proc/sys/net/ipv4/ip_forward
1
Dne 6.1.2017 v 18:39 Martin Doucha napsal(a):
--
S pozdravem Ing. Pavel Švojgr
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
Dne 6.1.2017 v 18:17 Pavel Švojgr napsal(a):
--
S pozdravem Ing. Pavel Švojgr
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list Ahoj,
snazim se nastavit openvpn server tak, abych pres nej mohl pristupovat
dal do inernetu, ale nedari se mi to.
Sel jsem podle tohoto navodu:
https://blog.sslmarket.cz/ssl/nastaveni-openvpn-na-serveru-s-debian-8-jessi…
a podari se mi pres vpn dostat na server, ale dal uz ne (ani nepingnu).
# cat /etc/sysctl.conf |grep ip_forward
net.ipv4.ip_forward=1
Tak začneme tou nejhloupější kontrolou. Co vypíše
tenhle příkaz?
$ cat /proc/sys/net/ipv4/ip_forward
S pozdravem,
Martin Doucha
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list