6 Jan
2017
6 Jan
'17
6:17 p.m.
Ahoj,
snazim se nastavit openvpn server tak, abych pres nej mohl pristupovat
dal do inernetu, ale nedari se mi to.
Sel jsem podle tohoto navodu:
https://blog.sslmarket.cz/ssl/nastaveni-openvpn-na-serveru-s-debian-8-jessi…
a podari se mi pres vpn dostat na server, ale dal uz ne (ani nepingnu).
Predpokladam, ze je nejaky problem v nastaveni iptables, zkousel jsem i
|iptables -t nat -I POSTROUTING -s 10.8.0.0/24 -j MASQUERADE|
i podle navodu z https://kb.vpsfree.cz/navody/server/openvpn
iptables -t nat -A POSTROUTING -o venet0 -j SNAT --to x.x.x.x
|Diky za jakekoliv nakopnuti nebo upravu vpsfree navodu. Pavel Švojgr ---
vypisy nastaveni ---- |
# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 10.8.0.0/24 anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
# tail /var/log/syslog
Jan 6 16:35:09 svojgr ovpn-server[10656]: 188.122.208.66:37508 [swed]
Peer Connection Initiated with [AF_INET]188.122.208.66:37508
Jan 6 16:35:09 svojgr ovpn-server[10656]: swed/188.122.208.66:37508
MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Jan 6 16:35:09 svojgr ovpn-server[10656]: swed/188.122.208.66:37508
MULTI: Learn: 10.8.0.6 -> swed/188.122.208.66:37508
Jan 6 16:35:09 svojgr ovpn-server[10656]: swed/188.122.208.66:37508
MULTI: primary virtual IP for swed/188.122.208.66:37508: 10.8.0.6
Jan 6 16:35:11 svojgr ovpn-server[10656]: swed/188.122.208.66:37508
PUSH: Received control message: 'PUSH_REQUEST'
Jan 6 16:35:11 svojgr ovpn-server[10656]: swed/188.122.208.66:37508
send_push_reply(): safe_cap=940
Jan 6 16:35:11 svojgr ovpn-server[10656]: swed/188.122.208.66:37508
SENT CONTROL [swed]: 'PUSH_REPLY,redirect-gateway def1,route
10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6
10.8.0.5' (status=1)
# cat server.conf
mode server
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key # privátní klíč serveru, nikam nepřenášet!
dh dh2048.pem
server 10.8.0.0 255.255.255.0
#push "redirect-gateway autolocal" #přesměrování všeho provozu do tunelu
push "redirect-gateway def1"
#push "dhcp-option DNS 217.31.204.130" #budete používat otevřené
resolvery CZ.NICu
#push "dhcp-option DNS 193.29.206.206"
#tls-server
#tls-auth ta.key 0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
user nobody
group users
status openvpn-status.log
verb 3
# cat /etc/sysctl.conf |grep ip_forward
net.ipv4.ip_forward=1
# cat openvpn-status.log
OpenVPN CLIENT LIST
Updated,Fri Jan 6 16:42:17 2017
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
swed,188.122.208.66:58268,75127,4993,Fri Jan 6 16:41:55 2017
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
10.8.0.6,swed,188.122.208.66:58268,Fri Jan 6 16:42:16 2017
GLOBAL STATS
Max bcast/mcast queue length,0
END
# iptables-save
# Generated by iptables-save v1.4.21 on Fri Jan 6 16:57:14 2017
*raw
:PREROUTING ACCEPT [198913:44347927]
:OUTPUT ACCEPT [177047:151548665]
COMMIT
# Completed on Fri Jan 6 16:57:14 2017
# Generated by iptables-save v1.4.21 on Fri Jan 6 16:57:14 2017
*nat
:PREROUTING ACCEPT [2998:172636]
:POSTROUTING ACCEPT [1398:83622]
:OUTPUT ACCEPT [1398:83622]
-A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE
COMMIT
# Completed on Fri Jan 6 16:57:14 2017
# Generated by iptables-save v1.4.21 on Fri Jan 6 16:57:14 2017
*mangle
:PREROUTING ACCEPT [178768:43049496]
:INPUT ACCEPT [178768:43049496]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [177047:151548665]
:POSTROUTING ACCEPT [177047:151548665]
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG
FIN,SYN,RST,PSH,ACK,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG
FIN,PSH,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG
FIN,SYN,PSH,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG
FIN,SYN,RST,ACK,URG -j DROP
-A PREROUTING -s 224.0.0.0/3 -j DROP
-A PREROUTING -s 169.254.0.0/16 -j DROP
-A PREROUTING -s 172.16.0.0/12 -j DROP
-A PREROUTING -s 192.0.2.0/24 -j DROP
-A PREROUTING -s 192.168.0.0/16 -j DROP
-A PREROUTING -s 10.0.0.0/8 -j DROP
-A PREROUTING -s 0.0.0.0/8 -j DROP
-A PREROUTING -s 240.0.0.0/5 -j DROP
-A PREROUTING -s 127.0.0.0/8 ! -i lo -j DROP
-A PREROUTING -p icmp -j DROP
-A PREROUTING -f -j DROP
COMMIT
# Completed on Fri Jan 6 16:57:14 2017
# Generated by iptables-save v1.4.21 on Fri Jan 6 16:57:14 2017
*filter
:INPUT ACCEPT [8741:3756481]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [7936:4515300]
COMMIT
# Completed on Fri Jan 6 16:57:14 2017
6 Jan
6 Jan
6:39 p.m.
Dne 6.1.2017 v 18:17 Pavel Švojgr napsal(a):
Ahoj,
snazim se nastavit openvpn server tak, abych pres nej mohl pristupovat
dal do inernetu, ale nedari se mi to.
Sel jsem podle tohoto navodu:
https://blog.sslmarket.cz/ssl/nastaveni-openvpn-na-serveru-s-debian-8-jessi…
a podari se mi pres vpn dostat na server, ale dal uz ne (ani nepingnu).
# cat /etc/sysctl.conf |grep ip_forward
net.ipv4.ip_forward=1
Tak začneme tou nejhloupější kontrolou. Co vypíše tenhle příkaz?
$ cat /proc/sys/net/ipv4/ip_forward
S pozdravem,
Martin Doucha
6:59 p.m.
# cat /proc/sys/net/ipv4/ip_forward
1
Dne 6.1.2017 v 18:39 Martin Doucha napsal(a):
Dne 6.1.2017 v 18:17 Pavel Švojgr napsal(a):
--
S pozdravem Ing. Pavel Švojgr
Ahoj,
snazim se nastavit openvpn server tak, abych pres nej mohl pristupovat
dal do inernetu, ale nedari se mi to.
Sel jsem podle tohoto navodu:
https://blog.sslmarket.cz/ssl/nastaveni-openvpn-na-serveru-s-debian-8-jessi…
a podari se mi pres vpn dostat na server, ale dal uz ne (ani nepingnu).
# cat /etc/sysctl.conf |grep ip_forward
net.ipv4.ip_forward=1
Tak začneme tou nejhloupější kontrolou. Co vypíše tenhle
příkaz?
$ cat /proc/sys/net/ipv4/ip_forward
S pozdravem,
Martin Doucha
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list 
7 Jan
7 Jan
12:32 a.m.
New subject: {Disarmed} Re: jak nastavit openvpn server na debianu
Zdravím ovpn jsem nastavoval zrovna teď v týdnu, a po drobných úpravách
jsem uspěl s configurací níže, dle návodu na debian wiki
https://wiki.debian.org/OpenVPN
proti návodům co jsem našel na internetu jsem měnil interface v iptables,
na me instalaci neni eth0 ale venet0 a openvpn server jsem pouštěl přes:
# systemctl start openvpn(a)openvpn.service
aby se správně použil configurační soubor v /etc/openvpn/openvpn.conf
Navíc mě napadá, že není uvedený software na klientské straně, v mém
případě tunnelblick zafungoval bez problémů. V případě připojení přímo přes
binárku openvpn z klienta jsou potřeba extra ip routy. Alespoň tak jsem to
pochopil viz.
https://wiki.debian.org/OpenVPN#TLS-enabled_VPN
# cat /etc/openvpn/openvpn.conf
port 1194
proto tcp
dev tun
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
ca /etc/openvpn/easy-rsa/keys/ca.crt # generated keys
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key # keep secret
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
server 10.9.8.0 255.255.255.0 # internal tun0 connection IP
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo # Compression - must be turned on at both end
persist-key
persist-tun
status log/openvpn-status.log
verb 3 # verbose mode
client-to-client
pravidla pro iptables
# iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
# iptables -A FORWARD -i venet0 -o tun0 -m state --state
ESTABLISHED,RELATED -j ACCEPT
# iptables -A FORWARD -s 10.9.8.0/24 -o venet0 -j ACCEPT
# iptables -t nat -A POSTROUTING -s 10.9.8.0/24 -o venet0 -j MASQUERADE
# configurace klienta
client
dev tun
proto tcp
remote matousmichalik.cz 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
comp-lzo
verb 3
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>
S pozdravem Matouš Michalík
pá 6. 1. 2017 v 19:00 odesílatel Pavel Švojgr <pavel(a)svojgr.com> napsal:
# cat /proc/sys/net/ipv4/ip_forward
1
Dne 6.1.2017 v 18:39 Martin Doucha napsal(a):
Dne 6.1.2017 v 18:17 Pavel Švojgr napsal(a):
Ahoj,
snazim se nastavit openvpn server tak, abych pres nej mohl pristupovat
dal do inernetu, ale nedari se mi to.
Sel jsem podle tohoto
navodu:https://blog.sslmarket.cz/ssl/nastaveni-openvpn-na-serveru-s-debian-8-jessie/
a podari se mi pres vpn dostat na server, ale dal uz ne (ani nepingnu).
# cat /etc/sysctl.conf |grep ip_forward
net.ipv4.ip_forward=1
Tak začneme tou nejhloupější kontrolou. Co vypíše tenhle příkaz?
$ cat /proc/sys/net/ipv4/ip_forward
S pozdravem,
Martin Doucha
_______________________________________________
Community-list mailing
listCommunity-list@lists.vpsfree.czhttp://lists.vpsfree.cz/listinfo/community-list
--
S pozdravem Ing. Pavel Švojgr
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
1:35 p.m.
New subject: {Disarmed} {Disarmed} Re: jak nastavit openvpn server na debianu
Tak bohuzel, ani s timto navodem jsem neuspel. Mam tam nekde nakou botu
:-) Jako klienta pouzivam Network manager applet pro cinnamon, ale kdyz
se po pripojeni dostanu na server pres ssh, tak predpokladam, ze v
klientovi chyba nebude. Kazdopadne diky za snahu.
Dne 7.1.2017 v 00:32 Matouš Michalík napsal(a):
Zdravím ovpn jsem nastavoval zrovna teď v týdnu, a po
drobných
úpravách jsem uspěl s configurací níže, dle návodu na debian wiki
https://wiki.debian.org/OpenVPN
proti návodům co jsem našel na internetu jsem měnil interface v
iptables, na me instalaci neni eth0 ale venet0 a openvpn server jsem
pouštěl přes:
# systemctl start openvpn(a)openvpn.service
aby se správně použil configurační soubor v /etc/openvpn/openvpn.conf
Navíc mě napadá, že není uvedený software na klientské straně, v mém
případě tunnelblick zafungoval bez problémů. V případě připojení přímo
přes binárku openvpn z klienta jsou potřeba extra ip routy. Alespoň
tak jsem to pochopil viz.
https://wiki.debian.org/OpenVPN#TLS-enabled_VPN
# cat /etc/openvpn/openvpn.conf
port 1194
proto tcp
dev tun
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
ca /etc/openvpn/easy-rsa/keys/ca.crt # generated keys
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key # keep secret
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
server 10.9.8.0 255.255.255.0 # internal tun0 connection IP
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo # Compression - must be turned on at both end
persist-key
persist-tun
status log/openvpn-status.log
verb 3 # verbose mode
client-to-client
pravidla pro iptables
# iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
# iptables -A FORWARD -i venet0 -o tun0 -m state --state
ESTABLISHED,RELATED -j ACCEPT
# iptables -A FORWARD -s *MailScanner has detected a possible fraud
attempt from "10.9.8.0" claiming to be* *MailScanner warning:
numerical links are often malicious:* 10.9.8.0/24 <http://10.9.8.0/24>
-o venet0 -j ACCEPT
# iptables -t nat -A POSTROUTING -s *MailScanner has detected a
possible fraud attempt from "10.9.8.0" claiming to be* *MailScanner
warning: numerical links are often malicious:* 10.9.8.0/24
<http://10.9.8.0/24> -o venet0 -j MASQUERADE
# configurace klienta
client
dev tun
proto tcp
remote matousmichalik.cz <http://matousmichalik.cz> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
comp-lzo
verb 3
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>
S pozdravem Matouš Michalík
pá 6. 1. 2017 v 19:00 odesílatel Pavel Švojgr <pavel(a)svojgr.com
<mailto:pavel@svojgr.com>> napsal:
# cat /proc/sys/net/ipv4/ip_forward
1
Dne 6.1.2017 v 18:39 Martin Doucha napsal(a):
--
S pozdravem Ing. Pavel Švojgr
Dne 6.1.2017 v 18:17 Pavel Švojgr napsal(a):
--
S pozdravem Ing. Pavel Švojgr
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list Ahoj,
snazim se nastavit openvpn server tak, abych pres nej mohl pristupovat
dal do inernetu, ale nedari se mi to.
Sel jsem podle tohoto navodu:
https://blog.sslmarket.cz/ssl/nastaveni-openvpn-na-serveru-s-debian-8-jessi…
a podari se mi pres vpn dostat na server, ale dal uz ne (ani nepingnu).
# cat /etc/sysctl.conf |grep ip_forward
net.ipv4.ip_forward=1
Tak začneme tou nejhloupější kontrolou. Co vypíše
tenhle příkaz?
$ cat /proc/sys/net/ipv4/ip_forward
S pozdravem,
Martin Doucha
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list 
8 Jan
8 Jan
12:48 p.m.
New subject: {Disarmed} {Disarmed} Re: jak nastavit openvpn server na debianu
Jako klienta pouzivam Network manager applet pro
cinnamon, ale kdyz se po pripojeni dostanu na server pres ssh, tak predpokladam, ze v
klientovi chyba nebude.
- pokud se tam dostaneš přes venkovní adresu serveru, je to normální, openvpn klient
přidává /32 routu na VPN server
- pokud se tam dostaneš přes interní adresu, ještě to neznamená, že máš nastavenou
správně routu na klientovi a routování/maškarádu na serveru
-> musíš víc debugovat. Například by mohlo pomoct pustit tcpdump na serveru a
sledovat, jestli paket přijde na vnitřní rozhraní, jestli odejde (znatovaný) z vnějšího
rozhraní, jestli přijde odpověď a jestli to odpověď zpátky pošle na VPN klienta.
On 7.1.2017 13:35, Pavel Švojgr wrote:
Tak bohuzel, ani s timto navodem jsem neuspel. Mam tam
nekde nakou botu :-) Jako klienta pouzivam Network manager applet pro cinnamon, ale kdyz
se po pripojeni dostanu na server pres ssh, tak predpokladam, ze v klientovi chyba nebude.
Kazdopadne diky za snahu.
Dne 7.1.2017 v 00:32 Matouš Michalík napsal(a):
--
Jan Hrach | https://jenda.hrach.eu/
GPG CD98 5440 4372 0C6D 164D A24D F019 2F8E 6527 282E
Zdravím ovpn jsem nastavoval zrovna teď v týdnu,
a po drobných úpravách jsem uspěl s configurací níže, dle návodu na debian wiki
<https://wiki.debian.org/OpenVPN>https://wiki.debian.org/OpenVPN
proti návodům co jsem našel na internetu jsem měnil interface v iptables, na me instalaci
neni eth0 ale venet0 a openvpn server jsem pouštěl přes:
# systemctl start openvpn(a)openvpn.service
aby se správně použil configurační soubor v /etc/openvpn/openvpn.conf
Navíc mě napadá, že není uvedený software na klientské straně, v mém případě tunnelblick
zafungoval bez problémů. V případě připojení přímo přes binárku openvpn z klienta jsou
potřeba extra ip routy. Alespoň tak jsem to pochopil viz.
https://wiki.debian.org/OpenVPN#TLS-enabled_VPN
# cat /etc/openvpn/openvpn.conf
port 1194
proto tcp
dev tun
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
ca /etc/openvpn/easy-rsa/keys/ca.crt # generated keys
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key # keep secret
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
server 10.9.8.0 255.255.255.0 # internal tun0 connection IP
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo # Compression - must be turned on at both end
persist-key
persist-tun
status log/openvpn-status.log
verb 3 # verbose mode
client-to-client
pravidla pro iptables
# iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
# iptables -A FORWARD -i venet0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A FORWARD -s *MailScanner has detected a possible fraud attempt from
"10.9.8.0" claiming to be* *MailScanner warning: numerical links are often
malicious:* 10.9.8.0/24 <http://10.9.8.0/24> -o venet0 -j ACCEPT
# iptables -t nat -A POSTROUTING -s *MailScanner has detected a possible fraud attempt
from "10.9.8.0" claiming to be* *MailScanner warning: numerical links are often
malicious:* 10.9.8.0/24 <http://10.9.8.0/24> -o venet0 -j MASQUERADE
# configurace klienta
client
dev tun
proto tcp
remote matousmichalik.cz <http://matousmichalik.cz> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
comp-lzo
verb 3
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>
S pozdravem Matouš Michalík
pá 6. 1. 2017 v 19:00 odesílatel Pavel Švojgr <pavel(a)svojgr.com
<mailto:pavel@svojgr.com>> napsal:
# cat /proc/sys/net/ipv4/ip_forward
1
Dne 6.1.2017 v 18:39 Martin Doucha napsal(a):
--
S pozdravem Ing. Pavel Švojgr
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
Dne 6.1.2017 v 18:17 Pavel Švojgr napsal(a):
--
S pozdravem Ing. Pavel Švojgr
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list Ahoj,
snazim se nastavit openvpn server tak, abych pres nej mohl pristupovat
dal do inernetu, ale nedari se mi to.
Sel jsem podle tohoto navodu:
https://blog.sslmarket.cz/ssl/nastaveni-openvpn-na-serveru-s-debian-8-jessi…
a podari se mi pres vpn dostat na server, ale dal uz ne (ani nepingnu).
# cat /etc/sysctl.conf |grep ip_forward
net.ipv4.ip_forward=1
Tak začneme tou nejhloupější kontrolou. Co vypíše
tenhle příkaz?
$ cat /proc/sys/net/ipv4/ip_forward
S pozdravem,
Martin Doucha
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list 
1:02 p.m.
New subject: {Disarmed} {Disarmed} Re: jak nastavit openvpn server na debianu
Pokud chcete přes ten VPN tunel přistupovat dál do Internetu, tak pokud
ten tunel nefunguje, je ten server to jediné, na co by se mělo jít
připojit. Za předpokladu že je klient nastavený správně
Proč - protože v takovém případě by ve směrovací tabulce klienta měl být
záznam, že pouze provoz k IP serveru má jít přes síťové rozhraní
připojené do internetu, zatímco všechen ostatní provoz přes tu VPN
S Network Managerem neporadím, ale zkuste ten tunel zapnout a nastavit
všechno tak, jak si myslíte, že to má být, a pak sem pošlete výpis
příkazu "ip route" z klienta i ze serveru. Na klientovi by mělo být něco
jako
1.2.3.4/32 via 5.6.7.8 dev eth0
10.8.0.0/24 dev tun0
default via 10.8.0.1 dev tun0
1.2.3.4 je IP adresa vaší VPS, 5.6.7.8 je výchozí brána vašeho ISP
Jinak přesně jak teď zrovna napsal předřečník - tcpdump je váš kamarád,
ping na nějakou adresu do internetu a
tcpdump -i interface -n 'icmp'
vám ukáže, kudy ty pakety odcházejí.
Pavel Švojgr wrote:
Tak bohuzel, ani s timto navodem jsem neuspel. Mam tam
nekde nakou botu
:-) Jako klienta pouzivam Network manager applet pro cinnamon, ale kdyz
se po pripojeni dostanu na server pres ssh, tak predpokladam, ze v
klientovi chyba nebude. Kazdopadne diky za snahu.
Dne 7.1.2017 v 00:32 Matouš Michalík napsal(a):
Zdravím ovpn jsem nastavoval zrovna teď v týdnu,
a po drobných
úpravách jsem uspěl s configurací níže, dle návodu na debian wiki
https://wiki.debian.org/OpenVPN
proti návodům co jsem našel na internetu jsem měnil interface v
iptables, na me instalaci neni eth0 ale venet0 a openvpn server jsem
pouštěl přes:
# systemctl start openvpn(a)openvpn.service
aby se správně použil configurační soubor v /etc/openvpn/openvpn.conf
Navíc mě napadá, že není uvedený software na klientské straně, v mém
případě tunnelblick zafungoval bez problémů. V případě připojení přímo
přes binárku openvpn z klienta jsou potřeba extra ip routy. Alespoň
tak jsem to pochopil viz.
https://wiki.debian.org/OpenVPN#TLS-enabled_VPN
# cat /etc/openvpn/openvpn.conf
port 1194
proto tcp
dev tun
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
ca /etc/openvpn/easy-rsa/keys/ca.crt # generated keys
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key # keep secret
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
server 10.9.8.0 255.255.255.0 # internal tun0 connection IP
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo # Compression - must be turned on at both end
persist-key
persist-tun
status log/openvpn-status.log
verb 3 # verbose mode
client-to-client
pravidla pro iptables
# iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
# iptables -A FORWARD -i venet0 -o tun0 -m state --state
ESTABLISHED,RELATED -j ACCEPT
# iptables -A FORWARD -s *MailScanner has detected a possible fraud
attempt from "10.9.8.0" claiming to be* *MailScanner warning:
numerical links are often malicious:* 10.9.8.0/24 <http://10.9.8.0/24>
-o venet0 -j ACCEPT
# iptables -t nat -A POSTROUTING -s *MailScanner has detected a
possible fraud attempt from "10.9.8.0" claiming to be* *MailScanner
warning: numerical links are often malicious:* 10.9.8.0/24
<http://10.9.8.0/24> -o venet0 -j MASQUERADE
# configurace klienta
client
dev tun
proto tcp
remote matousmichalik.cz <http://matousmichalik.cz> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
comp-lzo
verb 3
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>
S pozdravem Matouš Michalík
pá 6. 1. 2017 v 19:00 odesílatel Pavel Švojgr <pavel(a)svojgr.com
<mailto:pavel@svojgr.com>> napsal:
# cat /proc/sys/net/ipv4/ip_forward
1
Dne 6.1.2017 v 18:39 Martin Doucha napsal(a):
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
Dne 6.1.2017 v 18:17 Pavel Švojgr napsal(a):
-- S pozdravem Ing. Pavel Švojgr
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list Ahoj,
snazim se nastavit openvpn server tak, abych pres nej mohl
pristupovat
dal do inernetu, ale nedari se mi to.
Sel jsem podle tohoto navodu:
https://blog.sslmarket.cz/ssl/nastaveni-openvpn-na-serveru-s-debian-8-jessi…
a podari se mi pres vpn dostat na server, ale dal uz ne (ani
nepingnu).
# cat /etc/sysctl.conf |grep ip_forward
net.ipv4.ip_forward=1
Tak začneme tou nejhloupější kontrolou. Co vypíše
tenhle příkaz?
$ cat /proc/sys/net/ipv4/ip_forward
S pozdravem,
Martin Doucha
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
2:22 p.m.
New subject: {Disarmed} {Disarmed} Re: jak nastavit openvpn server na debianu
Diky moc vsem za rady, nakonec se mi zadarilo.
Mohlo zato nejake vychozi iptables/fail2ban pravidlo v mangle tabulce
Chain PREROUTING (policy ACCEPT)
DROP all -- 10.0.0.0/8 anywhere
Po smazani zaclo vpnko normalne fungovat :-)
Dne 8.1.2017 v 13:02 Jirka Bourek napsal(a):
Pokud chcete přes ten VPN tunel přistupovat dál do
Internetu, tak
pokud ten tunel nefunguje, je ten server to jediné, na co by se mělo
jít připojit. Za předpokladu že je klient nastavený správně
Proč - protože v takovém případě by ve směrovací tabulce klienta měl
být záznam, že pouze provoz k IP serveru má jít přes síťové rozhraní
připojené do internetu, zatímco všechen ostatní provoz přes tu VPN
S Network Managerem neporadím, ale zkuste ten tunel zapnout a nastavit
všechno tak, jak si myslíte, že to má být, a pak sem pošlete výpis
příkazu "ip route" z klienta i ze serveru. Na klientovi by mělo být
něco jako
1.2.3.4/32 via 5.6.7.8 dev eth0
10.8.0.0/24 dev tun0
default via 10.8.0.1 dev tun0
1.2.3.4 je IP adresa vaší VPS, 5.6.7.8 je výchozí brána vašeho ISP
Jinak přesně jak teď zrovna napsal předřečník - tcpdump je váš
kamarád, ping na nějakou adresu do internetu a
tcpdump -i interface -n 'icmp'
vám ukáže, kudy ty pakety odcházejí.
Pavel Švojgr wrote:
--
S pozdravem Ing. Pavel Švojgr
Tak bohuzel, ani s timto navodem jsem neuspel.
Mam tam nekde nakou botu
:-) Jako klienta pouzivam Network manager applet pro cinnamon, ale kdyz
se po pripojeni dostanu na server pres ssh, tak predpokladam, ze v
klientovi chyba nebude. Kazdopadne diky za snahu.
Dne 7.1.2017 v 00:32 Matouš Michalík napsal(a):
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list Zdravím ovpn jsem nastavoval zrovna teď v týdnu,
a po drobných
úpravách jsem uspěl s configurací níže, dle návodu na debian wiki
https://wiki.debian.org/OpenVPN
proti návodům co jsem našel na internetu jsem měnil interface v
iptables, na me instalaci neni eth0 ale venet0 a openvpn server jsem
pouštěl přes:
# systemctl start openvpn(a)openvpn.service
aby se správně použil configurační soubor v /etc/openvpn/openvpn.conf
Navíc mě napadá, že není uvedený software na klientské straně, v mém
případě tunnelblick zafungoval bez problémů. V případě připojení přímo
přes binárku openvpn z klienta jsou potřeba extra ip routy. Alespoň
tak jsem to pochopil viz.
https://wiki.debian.org/OpenVPN#TLS-enabled_VPN
# cat /etc/openvpn/openvpn.conf
port 1194
proto tcp
dev tun
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
ca /etc/openvpn/easy-rsa/keys/ca.crt # generated keys
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key # keep secret
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
server 10.9.8.0 255.255.255.0 # internal tun0 connection IP
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo # Compression - must be turned on at both end
persist-key
persist-tun
status log/openvpn-status.log
verb 3 # verbose mode
client-to-client
pravidla pro iptables
# iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
# iptables -A FORWARD -i venet0 -o tun0 -m state --state
ESTABLISHED,RELATED -j ACCEPT
# iptables -A FORWARD -s *MailScanner has detected a possible fraud
attempt from "10.9.8.0" claiming to be* *MailScanner warning:
numerical links are often malicious:* 10.9.8.0/24 <http://10.9.8.0/24>
-o venet0 -j ACCEPT
# iptables -t nat -A POSTROUTING -s *MailScanner has detected a
possible fraud attempt from "10.9.8.0" claiming to be* *MailScanner
warning: numerical links are often malicious:* 10.9.8.0/24
<http://10.9.8.0/24> -o venet0 -j MASQUERADE
# configurace klienta
client
dev tun
proto tcp
remote matousmichalik.cz <http://matousmichalik.cz> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
comp-lzo
verb 3
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>
S pozdravem Matouš Michalík
pá 6. 1. 2017 v 19:00 odesílatel Pavel Švojgr <pavel(a)svojgr.com
<mailto:pavel@svojgr.com>> napsal:
# cat /proc/sys/net/ipv4/ip_forward
1
Dne 6.1.2017 v 18:39 Martin Doucha napsal(a):
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
Dne 6.1.2017 v 18:17 Pavel Švojgr napsal(a):
> Ahoj,
>
> snazim se nastavit openvpn server tak, abych pres nej mohl
> pristupovat
> dal do inernetu, ale nedari se mi to.
> Sel jsem podle tohoto navodu:
>
> https://blog.sslmarket.cz/ssl/nastaveni-openvpn-na-serveru-s-debian-8-jessi…
>
>
>
>
> a podari se mi pres vpn dostat na server, ale dal uz ne (ani
> nepingnu).
>
> # cat /etc/sysctl.conf |grep ip_forward
> net.ipv4.ip_forward=1
Tak začneme tou nejhloupější kontrolou. Co vypíše tenhle příkaz?
$ cat /proc/sys/net/ipv4/ip_forward
S pozdravem,
Martin Doucha
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
-- S pozdravem Ing. Pavel Švojgr
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
3056
days inactive
3058
days old
community-list@lists.vpsfree.cz
7 comments
5 participants
participants (5)
-
Jan Hrach -
Jirka Bourek -
Martin Doucha -
Matouš Michalík -
Pavel Švojgr