Zdravím ovpn jsem nastavoval zrovna teď v týdnu, a po drobných úpravách jsem uspěl s configurací níže, dle návodu na debian wiki https://wiki.debian.org/OpenVPN

proti návodům co jsem našel na internetu jsem měnil interface v iptables, na me instalaci neni eth0 ale venet0 a openvpn server jsem pouštěl přes:

# systemctl start openvpn@openvpn.service

aby se správně použil configurační soubor v /etc/openvpn/openvpn.conf

Navíc mě napadá, že není uvedený software na klientské straně, v mém případě tunnelblick zafungoval bez problémů. V případě připojení přímo přes binárku openvpn z klienta jsou potřeba extra ip routy. Alespoň tak jsem to pochopil viz.

https://wiki.debian.org/OpenVPN#TLS-enabled_VPN

# cat /etc/openvpn/openvpn.conf

port 1194

proto tcp

dev tun

push "redirect-gateway def1 bypass-dhcp"

push "dhcp-option DNS 8.8.8.8"

ca      /etc/openvpn/easy-rsa/keys/ca.crt    # generated keys

cert    /etc/openvpn/easy-rsa/keys/server.crt

key     /etc/openvpn/easy-rsa/keys/server.key  # keep secret

dh      /etc/openvpn/easy-rsa/keys/dh2048.pem

server 10.9.8.0 255.255.255.0  # internal tun0 connection IP

ifconfig-pool-persist ipp.txt

keepalive 10 120

comp-lzo         # Compression - must be turned on at both end

persist-key

persist-tun

status log/openvpn-status.log

verb 3  # verbose mode

client-to-client

pravidla pro iptables

# iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT

# iptables -A FORWARD -i venet0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# iptables -A FORWARD -s MailScanner has detected a possible fraud attempt from "10.9.8.0" claiming to be MailScanner warning: numerical links are often malicious: 10.9.8.0/24 -o venet0 -j ACCEPT

# iptables -t nat -A POSTROUTING -s MailScanner has detected a possible fraud attempt from "10.9.8.0" claiming to be MailScanner warning: numerical links are often malicious: 10.9.8.0/24 -o venet0 -j MASQUERADE

# configurace klienta

client

dev tun

proto tcp

remote matousmichalik.cz 1194

resolv-retry infinite

nobind

persist-key

persist-tun

ns-cert-type server

comp-lzo

verb 3

<ca>

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

</ca>

<cert>

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

</cert>

<key>

-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----

</key>

S pozdravem Matouš Michalík

pá 6. 1. 2017 v 19:00 odesílatel Pavel Švojgr <pavel@svojgr.com> napsal:

# cat /proc/sys/net/ipv4/ip_forward 
1

Dne 6.1.2017 v 18:39 Martin Doucha napsal(a):

Dne 6.1.2017 v 18:17 Pavel Švojgr napsal(a):

Ahoj,

snazim se nastavit openvpn server tak, abych pres nej mohl pristupovat
dal do inernetu, ale nedari se mi to.
Sel jsem podle tohoto navodu:
https://blog.sslmarket.cz/ssl/nastaveni-openvpn-na-serveru-s-debian-8-jessie/


a podari se mi pres vpn dostat na server, ale dal uz ne (ani nepingnu).

# cat /etc/sysctl.conf |grep ip_forward
net.ipv4.ip_forward=1

Tak začneme tou nejhloupější kontrolou. Co vypíše tenhle příkaz?
$ cat /proc/sys/net/ipv4/ip_forward

S pozdravem,
Martin Doucha

_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list

-- 
S pozdravem Ing. Pavel Švojgr

_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list

_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list

-- 
S pozdravem Ing. Pavel Švojgr