8 Jan
2017
8 Jan
'17
1:22 p.m.
Diky moc vsem za rady, nakonec se mi zadarilo.
Mohlo zato nejake vychozi iptables/fail2ban pravidlo v mangle tabulce
Chain PREROUTING (policy ACCEPT)
DROP all -- 10.0.0.0/8 anywhere
Po smazani zaclo vpnko normalne fungovat :-)
Dne 8.1.2017 v 13:02 Jirka Bourek napsal(a):
Pokud chcete přes ten VPN tunel přistupovat dál do
Internetu, tak
pokud ten tunel nefunguje, je ten server to jediné, na co by se mělo
jít připojit. Za předpokladu že je klient nastavený správně
Proč - protože v takovém případě by ve směrovací tabulce klienta měl
být záznam, že pouze provoz k IP serveru má jít přes síťové rozhraní
připojené do internetu, zatímco všechen ostatní provoz přes tu VPN
S Network Managerem neporadím, ale zkuste ten tunel zapnout a nastavit
všechno tak, jak si myslíte, že to má být, a pak sem pošlete výpis
příkazu "ip route" z klienta i ze serveru. Na klientovi by mělo být
něco jako
1.2.3.4/32 via 5.6.7.8 dev eth0
10.8.0.0/24 dev tun0
default via 10.8.0.1 dev tun0
1.2.3.4 je IP adresa vaší VPS, 5.6.7.8 je výchozí brána vašeho ISP
Jinak přesně jak teď zrovna napsal předřečník - tcpdump je váš
kamarád, ping na nějakou adresu do internetu a
tcpdump -i interface -n 'icmp'
vám ukáže, kudy ty pakety odcházejí.
Pavel Švojgr wrote:
--
S pozdravem Ing. Pavel Švojgr
Tak bohuzel, ani s timto navodem jsem neuspel.
Mam tam nekde nakou botu
:-) Jako klienta pouzivam Network manager applet pro cinnamon, ale kdyz
se po pripojeni dostanu na server pres ssh, tak predpokladam, ze v
klientovi chyba nebude. Kazdopadne diky za snahu.
Dne 7.1.2017 v 00:32 Matouš Michalík napsal(a):
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list Zdravím ovpn jsem nastavoval zrovna teď v týdnu,
a po drobných
úpravách jsem uspěl s configurací níže, dle návodu na debian wiki
https://wiki.debian.org/OpenVPN
proti návodům co jsem našel na internetu jsem měnil interface v
iptables, na me instalaci neni eth0 ale venet0 a openvpn server jsem
pouštěl přes:
# systemctl start openvpn(a)openvpn.service
aby se správně použil configurační soubor v /etc/openvpn/openvpn.conf
Navíc mě napadá, že není uvedený software na klientské straně, v mém
případě tunnelblick zafungoval bez problémů. V případě připojení přímo
přes binárku openvpn z klienta jsou potřeba extra ip routy. Alespoň
tak jsem to pochopil viz.
https://wiki.debian.org/OpenVPN#TLS-enabled_VPN
# cat /etc/openvpn/openvpn.conf
port 1194
proto tcp
dev tun
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
ca /etc/openvpn/easy-rsa/keys/ca.crt # generated keys
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key # keep secret
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
server 10.9.8.0 255.255.255.0 # internal tun0 connection IP
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo # Compression - must be turned on at both end
persist-key
persist-tun
status log/openvpn-status.log
verb 3 # verbose mode
client-to-client
pravidla pro iptables
# iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
# iptables -A FORWARD -i venet0 -o tun0 -m state --state
ESTABLISHED,RELATED -j ACCEPT
# iptables -A FORWARD -s *MailScanner has detected a possible fraud
attempt from "10.9.8.0" claiming to be* *MailScanner warning:
numerical links are often malicious:* 10.9.8.0/24 <http://10.9.8.0/24>
-o venet0 -j ACCEPT
# iptables -t nat -A POSTROUTING -s *MailScanner has detected a
possible fraud attempt from "10.9.8.0" claiming to be* *MailScanner
warning: numerical links are often malicious:* 10.9.8.0/24
<http://10.9.8.0/24> -o venet0 -j MASQUERADE
# configurace klienta
client
dev tun
proto tcp
remote matousmichalik.cz <http://matousmichalik.cz> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
comp-lzo
verb 3
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>
S pozdravem Matouš Michalík
pá 6. 1. 2017 v 19:00 odesílatel Pavel Švojgr <pavel(a)svojgr.com
<mailto:pavel@svojgr.com>> napsal:
# cat /proc/sys/net/ipv4/ip_forward
1
Dne 6.1.2017 v 18:39 Martin Doucha napsal(a):
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
Dne 6.1.2017 v 18:17 Pavel Švojgr napsal(a):
> Ahoj,
>
> snazim se nastavit openvpn server tak, abych pres nej mohl
> pristupovat
> dal do inernetu, ale nedari se mi to.
> Sel jsem podle tohoto navodu:
>
> https://blog.sslmarket.cz/ssl/nastaveni-openvpn-na-serveru-s-debian-8-jessi…
>
>
>
>
> a podari se mi pres vpn dostat na server, ale dal uz ne (ani
> nepingnu).
>
> # cat /etc/sysctl.conf |grep ip_forward
> net.ipv4.ip_forward=1
Tak začneme tou nejhloupější kontrolou. Co vypíše tenhle příkaz?
$ cat /proc/sys/net/ipv4/ip_forward
S pozdravem,
Martin Doucha
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
-- S pozdravem Ing. Pavel Švojgr
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list