Ahoj,
snazim se nastavit openvpn server tak, abych pres nej mohl pristupovat dal do inernetu, ale nedari se mi to. Sel jsem podle tohoto navodu: https://blog.sslmarket.cz/ssl/nastaveni-openvpn-na-serveru-s-debian-8-jessie...
a podari se mi pres vpn dostat na server, ale dal uz ne (ani nepingnu). Predpokladam, ze je nejaky problem v nastaveni iptables, zkousel jsem i
|iptables -t nat -I POSTROUTING -s 10.8.0.0/24 -j MASQUERADE|
i podle navodu z https://kb.vpsfree.cz/navody/server/openvpn
iptables -t nat -A POSTROUTING -o venet0 -j SNAT --to x.x.x.x |Diky za jakekoliv nakopnuti nebo upravu vpsfree navodu. Pavel Švojgr --- vypisy nastaveni ---- |
# iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination
Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 10.8.0.0/24 anywhere
Chain OUTPUT (policy ACCEPT) target prot opt source destination
# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination
Chain FORWARD (policy ACCEPT) target prot opt source destination
Chain OUTPUT (policy ACCEPT) target prot opt source destination
# tail /var/log/syslog
Jan 6 16:35:09 svojgr ovpn-server[10656]: 188.122.208.66:37508 [swed] Peer Connection Initiated with [AF_INET]188.122.208.66:37508 Jan 6 16:35:09 svojgr ovpn-server[10656]: swed/188.122.208.66:37508 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled) Jan 6 16:35:09 svojgr ovpn-server[10656]: swed/188.122.208.66:37508 MULTI: Learn: 10.8.0.6 -> swed/188.122.208.66:37508 Jan 6 16:35:09 svojgr ovpn-server[10656]: swed/188.122.208.66:37508 MULTI: primary virtual IP for swed/188.122.208.66:37508: 10.8.0.6 Jan 6 16:35:11 svojgr ovpn-server[10656]: swed/188.122.208.66:37508 PUSH: Received control message: 'PUSH_REQUEST' Jan 6 16:35:11 svojgr ovpn-server[10656]: swed/188.122.208.66:37508 send_push_reply(): safe_cap=940 Jan 6 16:35:11 svojgr ovpn-server[10656]: swed/188.122.208.66:37508 SENT CONTROL [swed]: 'PUSH_REPLY,redirect-gateway def1,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5' (status=1)
# cat server.conf mode server port 1194 proto udp dev tun
ca ca.crt cert server.crt key server.key # privátní klíč serveru, nikam nepřenášet! dh dh2048.pem
server 10.8.0.0 255.255.255.0
#push "redirect-gateway autolocal" #přesměrování všeho provozu do tunelu push "redirect-gateway def1" #push "dhcp-option DNS 217.31.204.130" #budete používat otevřené resolvery CZ.NICu #push "dhcp-option DNS 193.29.206.206"
#tls-server #tls-auth ta.key 0 ifconfig-pool-persist ipp.txt keepalive 10 120 comp-lzo persist-key persist-tun user nobody group users status openvpn-status.log verb 3
# cat /etc/sysctl.conf |grep ip_forward net.ipv4.ip_forward=1
# cat openvpn-status.log OpenVPN CLIENT LIST Updated,Fri Jan 6 16:42:17 2017 Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since swed,188.122.208.66:58268,75127,4993,Fri Jan 6 16:41:55 2017 ROUTING TABLE Virtual Address,Common Name,Real Address,Last Ref 10.8.0.6,swed,188.122.208.66:58268,Fri Jan 6 16:42:16 2017 GLOBAL STATS Max bcast/mcast queue length,0 END
# iptables-save # Generated by iptables-save v1.4.21 on Fri Jan 6 16:57:14 2017 *raw :PREROUTING ACCEPT [198913:44347927] :OUTPUT ACCEPT [177047:151548665] COMMIT # Completed on Fri Jan 6 16:57:14 2017 # Generated by iptables-save v1.4.21 on Fri Jan 6 16:57:14 2017 *nat :PREROUTING ACCEPT [2998:172636] :POSTROUTING ACCEPT [1398:83622] :OUTPUT ACCEPT [1398:83622] -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE COMMIT # Completed on Fri Jan 6 16:57:14 2017 # Generated by iptables-save v1.4.21 on Fri Jan 6 16:57:14 2017 *mangle :PREROUTING ACCEPT [178768:43049496] :INPUT ACCEPT [178768:43049496] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [177047:151548665] :POSTROUTING ACCEPT [177047:151548665] -A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP -A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP -A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP -A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP -A PREROUTING -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP -A PREROUTING -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP -A PREROUTING -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP -A PREROUTING -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP -A PREROUTING -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP -A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP -A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP -A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP -A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j DROP -A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP -A PREROUTING -s 224.0.0.0/3 -j DROP -A PREROUTING -s 169.254.0.0/16 -j DROP -A PREROUTING -s 172.16.0.0/12 -j DROP -A PREROUTING -s 192.0.2.0/24 -j DROP -A PREROUTING -s 192.168.0.0/16 -j DROP -A PREROUTING -s 10.0.0.0/8 -j DROP -A PREROUTING -s 0.0.0.0/8 -j DROP -A PREROUTING -s 240.0.0.0/5 -j DROP -A PREROUTING -s 127.0.0.0/8 ! -i lo -j DROP -A PREROUTING -p icmp -j DROP -A PREROUTING -f -j DROP COMMIT # Completed on Fri Jan 6 16:57:14 2017 # Generated by iptables-save v1.4.21 on Fri Jan 6 16:57:14 2017 *filter :INPUT ACCEPT [8741:3756481] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [7936:4515300] COMMIT # Completed on Fri Jan 6 16:57:14 2017
Dne 6.1.2017 v 18:17 Pavel Švojgr napsal(a):
Ahoj,
snazim se nastavit openvpn server tak, abych pres nej mohl pristupovat dal do inernetu, ale nedari se mi to. Sel jsem podle tohoto navodu: https://blog.sslmarket.cz/ssl/nastaveni-openvpn-na-serveru-s-debian-8-jessie...
a podari se mi pres vpn dostat na server, ale dal uz ne (ani nepingnu).
# cat /etc/sysctl.conf |grep ip_forward net.ipv4.ip_forward=1
Tak začneme tou nejhloupější kontrolou. Co vypíše tenhle příkaz? $ cat /proc/sys/net/ipv4/ip_forward
S pozdravem, Martin Doucha
# cat /proc/sys/net/ipv4/ip_forward 1
Dne 6.1.2017 v 18:39 Martin Doucha napsal(a):
Dne 6.1.2017 v 18:17 Pavel Švojgr napsal(a):
Ahoj,
snazim se nastavit openvpn server tak, abych pres nej mohl pristupovat dal do inernetu, ale nedari se mi to. Sel jsem podle tohoto navodu: https://blog.sslmarket.cz/ssl/nastaveni-openvpn-na-serveru-s-debian-8-jessie...
a podari se mi pres vpn dostat na server, ale dal uz ne (ani nepingnu).
# cat /etc/sysctl.conf |grep ip_forward net.ipv4.ip_forward=1
Tak začneme tou nejhloupější kontrolou. Co vypíše tenhle příkaz? $ cat /proc/sys/net/ipv4/ip_forward
S pozdravem, Martin Doucha
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Zdravím ovpn jsem nastavoval zrovna teď v týdnu, a po drobných úpravách jsem uspěl s configurací níže, dle návodu na debian wiki https://wiki.debian.org/OpenVPN
proti návodům co jsem našel na internetu jsem měnil interface v iptables, na me instalaci neni eth0 ale venet0 a openvpn server jsem pouštěl přes:
# systemctl start openvpn@openvpn.service
aby se správně použil configurační soubor v /etc/openvpn/openvpn.conf
Navíc mě napadá, že není uvedený software na klientské straně, v mém případě tunnelblick zafungoval bez problémů. V případě připojení přímo přes binárku openvpn z klienta jsou potřeba extra ip routy. Alespoň tak jsem to pochopil viz.
https://wiki.debian.org/OpenVPN#TLS-enabled_VPN
# cat /etc/openvpn/openvpn.conf
port 1194 proto tcp dev tun
push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8"
ca /etc/openvpn/easy-rsa/keys/ca.crt # generated keys cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key # keep secret dh /etc/openvpn/easy-rsa/keys/dh2048.pem
server 10.9.8.0 255.255.255.0 # internal tun0 connection IP ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo # Compression - must be turned on at both end persist-key persist-tun
status log/openvpn-status.log
verb 3 # verbose mode client-to-client
pravidla pro iptables
# iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT # iptables -A FORWARD -i venet0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT # iptables -A FORWARD -s 10.9.8.0/24 -o venet0 -j ACCEPT # iptables -t nat -A POSTROUTING -s 10.9.8.0/24 -o venet0 -j MASQUERADE
# configurace klienta
client dev tun proto tcp remote matousmichalik.cz 1194 resolv-retry infinite nobind persist-key persist-tun ns-cert-type server comp-lzo verb 3
<ca> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- -----END PRIVATE KEY----- </key>
S pozdravem Matouš Michalík
pá 6. 1. 2017 v 19:00 odesílatel Pavel Švojgr pavel@svojgr.com napsal:
# cat /proc/sys/net/ipv4/ip_forward 1
Dne 6.1.2017 v 18:39 Martin Doucha napsal(a):
Dne 6.1.2017 v 18:17 Pavel Švojgr napsal(a):
Ahoj,
snazim se nastavit openvpn server tak, abych pres nej mohl pristupovat dal do inernetu, ale nedari se mi to. Sel jsem podle tohoto navodu:https://blog.sslmarket.cz/ssl/nastaveni-openvpn-na-serveru-s-debian-8-jessie...
a podari se mi pres vpn dostat na server, ale dal uz ne (ani nepingnu).
# cat /etc/sysctl.conf |grep ip_forward net.ipv4.ip_forward=1
Tak začneme tou nejhloupější kontrolou. Co vypíše tenhle příkaz? $ cat /proc/sys/net/ipv4/ip_forward
S pozdravem, Martin Doucha
Community-list mailing listCommunity-list@lists.vpsfree.czhttp://lists.vpsfree.cz/listinfo/community-list
-- S pozdravem Ing. Pavel Švojgr
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Tak bohuzel, ani s timto navodem jsem neuspel. Mam tam nekde nakou botu :-) Jako klienta pouzivam Network manager applet pro cinnamon, ale kdyz se po pripojeni dostanu na server pres ssh, tak predpokladam, ze v klientovi chyba nebude. Kazdopadne diky za snahu.
Dne 7.1.2017 v 00:32 Matouš Michalík napsal(a):
Zdravím ovpn jsem nastavoval zrovna teď v týdnu, a po drobných úpravách jsem uspěl s configurací níže, dle návodu na debian wiki https://wiki.debian.org/OpenVPN
proti návodům co jsem našel na internetu jsem měnil interface v iptables, na me instalaci neni eth0 ale venet0 a openvpn server jsem pouštěl přes:
# systemctl start openvpn@openvpn.service
aby se správně použil configurační soubor v /etc/openvpn/openvpn.conf
Navíc mě napadá, že není uvedený software na klientské straně, v mém případě tunnelblick zafungoval bez problémů. V případě připojení přímo přes binárku openvpn z klienta jsou potřeba extra ip routy. Alespoň tak jsem to pochopil viz.
https://wiki.debian.org/OpenVPN#TLS-enabled_VPN
# cat /etc/openvpn/openvpn.conf
port 1194 proto tcp dev tun
push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8"
ca /etc/openvpn/easy-rsa/keys/ca.crt # generated keys cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key # keep secret dh /etc/openvpn/easy-rsa/keys/dh2048.pem
server 10.9.8.0 255.255.255.0 # internal tun0 connection IP ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo # Compression - must be turned on at both end persist-key persist-tun
status log/openvpn-status.log
verb 3 # verbose mode client-to-client
pravidla pro iptables
# iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT # iptables -A FORWARD -i venet0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT # iptables -A FORWARD -s *MailScanner has detected a possible fraud attempt from "10.9.8.0" claiming to be* *MailScanner warning: numerical links are often malicious:* 10.9.8.0/24 http://10.9.8.0/24 -o venet0 -j ACCEPT # iptables -t nat -A POSTROUTING -s *MailScanner has detected a possible fraud attempt from "10.9.8.0" claiming to be* *MailScanner warning: numerical links are often malicious:* 10.9.8.0/24 http://10.9.8.0/24 -o venet0 -j MASQUERADE
# configurace klienta
client dev tun proto tcp remote matousmichalik.cz http://matousmichalik.cz 1194 resolv-retry infinite nobind persist-key persist-tun ns-cert-type server comp-lzo verb 3
<ca> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- -----END PRIVATE KEY----- </key>
S pozdravem Matouš Michalík
pá 6. 1. 2017 v 19:00 odesílatel Pavel Švojgr <pavel@svojgr.com mailto:pavel@svojgr.com> napsal:
# cat /proc/sys/net/ipv4/ip_forward 1 Dne 6.1.2017 v 18:39 Martin Doucha napsal(a):Dne 6.1.2017 v 18:17 Pavel Švojgr napsal(a):Ahoj, snazim se nastavit openvpn server tak, abych pres nej mohl pristupovat dal do inernetu, ale nedari se mi to. Sel jsem podle tohoto navodu: https://blog.sslmarket.cz/ssl/nastaveni-openvpn-na-serveru-s-debian-8-jessie/ a podari se mi pres vpn dostat na server, ale dal uz ne (ani nepingnu). # cat /etc/sysctl.conf |grep ip_forward net.ipv4.ip_forward=1Tak začneme tou nejhloupější kontrolou. Co vypíše tenhle příkaz? $ cat /proc/sys/net/ipv4/ip_forward S pozdravem, Martin Doucha _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> http://lists.vpsfree.cz/listinfo/community-list-- S pozdravem Ing. Pavel Švojgr _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Jako klienta pouzivam Network manager applet pro cinnamon, ale kdyz se po pripojeni dostanu na server pres ssh, tak predpokladam, ze v klientovi chyba nebude.
- pokud se tam dostaneš přes venkovní adresu serveru, je to normální, openvpn klient přidává /32 routu na VPN server - pokud se tam dostaneš přes interní adresu, ještě to neznamená, že máš nastavenou správně routu na klientovi a routování/maškarádu na serveru
-> musíš víc debugovat. Například by mohlo pomoct pustit tcpdump na serveru a sledovat, jestli paket přijde na vnitřní rozhraní, jestli odejde (znatovaný) z vnějšího rozhraní, jestli přijde odpověď a jestli to odpověď zpátky pošle na VPN klienta.
On 7.1.2017 13:35, Pavel Švojgr wrote:
Tak bohuzel, ani s timto navodem jsem neuspel. Mam tam nekde nakou botu :-) Jako klienta pouzivam Network manager applet pro cinnamon, ale kdyz se po pripojeni dostanu na server pres ssh, tak predpokladam, ze v klientovi chyba nebude. Kazdopadne diky za snahu.
Dne 7.1.2017 v 00:32 Matouš Michalík napsal(a):
Zdravím ovpn jsem nastavoval zrovna teď v týdnu, a po drobných úpravách jsem uspěl s configurací níže, dle návodu na debian wiki https://wiki.debian.org/OpenVPNhttps://wiki.debian.org/OpenVPN
proti návodům co jsem našel na internetu jsem měnil interface v iptables, na me instalaci neni eth0 ale venet0 a openvpn server jsem pouštěl přes:
# systemctl start openvpn@openvpn.service
aby se správně použil configurační soubor v /etc/openvpn/openvpn.conf
Navíc mě napadá, že není uvedený software na klientské straně, v mém případě tunnelblick zafungoval bez problémů. V případě připojení přímo přes binárku openvpn z klienta jsou potřeba extra ip routy. Alespoň tak jsem to pochopil viz.
https://wiki.debian.org/OpenVPN#TLS-enabled_VPN
# cat /etc/openvpn/openvpn.conf
port 1194 proto tcp dev tun
push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8"
ca /etc/openvpn/easy-rsa/keys/ca.crt # generated keys cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key # keep secret dh /etc/openvpn/easy-rsa/keys/dh2048.pem
server 10.9.8.0 255.255.255.0 # internal tun0 connection IP ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo # Compression - must be turned on at both end persist-key persist-tun
status log/openvpn-status.log
verb 3 # verbose mode client-to-client
pravidla pro iptables
# iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT # iptables -A FORWARD -i venet0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT # iptables -A FORWARD -s *MailScanner has detected a possible fraud attempt from "10.9.8.0" claiming to be* *MailScanner warning: numerical links are often malicious:* 10.9.8.0/24 http://10.9.8.0/24 -o venet0 -j ACCEPT # iptables -t nat -A POSTROUTING -s *MailScanner has detected a possible fraud attempt from "10.9.8.0" claiming to be* *MailScanner warning: numerical links are often malicious:* 10.9.8.0/24 http://10.9.8.0/24 -o venet0 -j MASQUERADE
# configurace klienta
client dev tun proto tcp remote matousmichalik.cz http://matousmichalik.cz 1194 resolv-retry infinite nobind persist-key persist-tun ns-cert-type server comp-lzo verb 3
<ca> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- -----END PRIVATE KEY----- </key>
S pozdravem Matouš Michalík
pá 6. 1. 2017 v 19:00 odesílatel Pavel Švojgr <pavel@svojgr.com mailto:pavel@svojgr.com> napsal:
# cat /proc/sys/net/ipv4/ip_forward 1 Dne 6.1.2017 v 18:39 Martin Doucha napsal(a):Dne 6.1.2017 v 18:17 Pavel Švojgr napsal(a):Ahoj, snazim se nastavit openvpn server tak, abych pres nej mohl pristupovat dal do inernetu, ale nedari se mi to. Sel jsem podle tohoto navodu: https://blog.sslmarket.cz/ssl/nastaveni-openvpn-na-serveru-s-debian-8-jessie/ a podari se mi pres vpn dostat na server, ale dal uz ne (ani nepingnu). # cat /etc/sysctl.conf |grep ip_forward net.ipv4.ip_forward=1Tak začneme tou nejhloupější kontrolou. Co vypíše tenhle příkaz? $ cat /proc/sys/net/ipv4/ip_forward S pozdravem, Martin Doucha _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> http://lists.vpsfree.cz/listinfo/community-list-- S pozdravem Ing. Pavel Švojgr _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- S pozdravem Ing. Pavel Švojgr
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Pokud chcete přes ten VPN tunel přistupovat dál do Internetu, tak pokud ten tunel nefunguje, je ten server to jediné, na co by se mělo jít připojit. Za předpokladu že je klient nastavený správně
Proč - protože v takovém případě by ve směrovací tabulce klienta měl být záznam, že pouze provoz k IP serveru má jít přes síťové rozhraní připojené do internetu, zatímco všechen ostatní provoz přes tu VPN
S Network Managerem neporadím, ale zkuste ten tunel zapnout a nastavit všechno tak, jak si myslíte, že to má být, a pak sem pošlete výpis příkazu "ip route" z klienta i ze serveru. Na klientovi by mělo být něco jako
1.2.3.4/32 via 5.6.7.8 dev eth0 10.8.0.0/24 dev tun0 default via 10.8.0.1 dev tun0
1.2.3.4 je IP adresa vaší VPS, 5.6.7.8 je výchozí brána vašeho ISP
Jinak přesně jak teď zrovna napsal předřečník - tcpdump je váš kamarád, ping na nějakou adresu do internetu a
tcpdump -i interface -n 'icmp'
vám ukáže, kudy ty pakety odcházejí.
Pavel Švojgr wrote:
Tak bohuzel, ani s timto navodem jsem neuspel. Mam tam nekde nakou botu :-) Jako klienta pouzivam Network manager applet pro cinnamon, ale kdyz se po pripojeni dostanu na server pres ssh, tak predpokladam, ze v klientovi chyba nebude. Kazdopadne diky za snahu.
Dne 7.1.2017 v 00:32 Matouš Michalík napsal(a):
Zdravím ovpn jsem nastavoval zrovna teď v týdnu, a po drobných úpravách jsem uspěl s configurací níže, dle návodu na debian wiki https://wiki.debian.org/OpenVPN
proti návodům co jsem našel na internetu jsem měnil interface v iptables, na me instalaci neni eth0 ale venet0 a openvpn server jsem pouštěl přes:
# systemctl start openvpn@openvpn.service
aby se správně použil configurační soubor v /etc/openvpn/openvpn.conf
Navíc mě napadá, že není uvedený software na klientské straně, v mém případě tunnelblick zafungoval bez problémů. V případě připojení přímo přes binárku openvpn z klienta jsou potřeba extra ip routy. Alespoň tak jsem to pochopil viz.
https://wiki.debian.org/OpenVPN#TLS-enabled_VPN
# cat /etc/openvpn/openvpn.conf
port 1194 proto tcp dev tun
push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8"
ca /etc/openvpn/easy-rsa/keys/ca.crt # generated keys cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key # keep secret dh /etc/openvpn/easy-rsa/keys/dh2048.pem
server 10.9.8.0 255.255.255.0 # internal tun0 connection IP ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo # Compression - must be turned on at both end persist-key persist-tun
status log/openvpn-status.log
verb 3 # verbose mode client-to-client
pravidla pro iptables
# iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT # iptables -A FORWARD -i venet0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT # iptables -A FORWARD -s *MailScanner has detected a possible fraud attempt from "10.9.8.0" claiming to be* *MailScanner warning: numerical links are often malicious:* 10.9.8.0/24 http://10.9.8.0/24 -o venet0 -j ACCEPT # iptables -t nat -A POSTROUTING -s *MailScanner has detected a possible fraud attempt from "10.9.8.0" claiming to be* *MailScanner warning: numerical links are often malicious:* 10.9.8.0/24 http://10.9.8.0/24 -o venet0 -j MASQUERADE
# configurace klienta
client dev tun proto tcp remote matousmichalik.cz http://matousmichalik.cz 1194 resolv-retry infinite nobind persist-key persist-tun ns-cert-type server comp-lzo verb 3
<ca> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- -----END PRIVATE KEY----- </key>
S pozdravem Matouš Michalík
pá 6. 1. 2017 v 19:00 odesílatel Pavel Švojgr <pavel@svojgr.com mailto:pavel@svojgr.com> napsal:
# cat /proc/sys/net/ipv4/ip_forward 1 Dne 6.1.2017 v 18:39 Martin Doucha napsal(a):Dne 6.1.2017 v 18:17 Pavel Švojgr napsal(a):Ahoj, snazim se nastavit openvpn server tak, abych pres nej mohlpristupovat dal do inernetu, ale nedari se mi to. Sel jsem podle tohoto navodu:
https://blog.sslmarket.cz/ssl/nastaveni-openvpn-na-serveru-s-debian-8-jessie...
a podari se mi pres vpn dostat na server, ale dal uz ne (aninepingnu).
# cat /etc/sysctl.conf |grep ip_forward net.ipv4.ip_forward=1Tak začneme tou nejhloupější kontrolou. Co vypíše tenhle příkaz? $ cat /proc/sys/net/ipv4/ip_forward S pozdravem, Martin Doucha _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> http://lists.vpsfree.cz/listinfo/community-list-- S pozdravem Ing. Pavel Švojgr _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Diky moc vsem za rady, nakonec se mi zadarilo.
Mohlo zato nejake vychozi iptables/fail2ban pravidlo v mangle tabulce Chain PREROUTING (policy ACCEPT) DROP all -- 10.0.0.0/8 anywhere
Po smazani zaclo vpnko normalne fungovat :-)
Dne 8.1.2017 v 13:02 Jirka Bourek napsal(a):
Pokud chcete přes ten VPN tunel přistupovat dál do Internetu, tak pokud ten tunel nefunguje, je ten server to jediné, na co by se mělo jít připojit. Za předpokladu že je klient nastavený správně
Proč - protože v takovém případě by ve směrovací tabulce klienta měl být záznam, že pouze provoz k IP serveru má jít přes síťové rozhraní připojené do internetu, zatímco všechen ostatní provoz přes tu VPN
S Network Managerem neporadím, ale zkuste ten tunel zapnout a nastavit všechno tak, jak si myslíte, že to má být, a pak sem pošlete výpis příkazu "ip route" z klienta i ze serveru. Na klientovi by mělo být něco jako
1.2.3.4/32 via 5.6.7.8 dev eth0 10.8.0.0/24 dev tun0 default via 10.8.0.1 dev tun0
1.2.3.4 je IP adresa vaší VPS, 5.6.7.8 je výchozí brána vašeho ISP
Jinak přesně jak teď zrovna napsal předřečník - tcpdump je váš kamarád, ping na nějakou adresu do internetu a
tcpdump -i interface -n 'icmp'
vám ukáže, kudy ty pakety odcházejí.
Pavel Švojgr wrote:
Tak bohuzel, ani s timto navodem jsem neuspel. Mam tam nekde nakou botu :-) Jako klienta pouzivam Network manager applet pro cinnamon, ale kdyz se po pripojeni dostanu na server pres ssh, tak predpokladam, ze v klientovi chyba nebude. Kazdopadne diky za snahu.
Dne 7.1.2017 v 00:32 Matouš Michalík napsal(a):
Zdravím ovpn jsem nastavoval zrovna teď v týdnu, a po drobných úpravách jsem uspěl s configurací níže, dle návodu na debian wiki https://wiki.debian.org/OpenVPN
proti návodům co jsem našel na internetu jsem měnil interface v iptables, na me instalaci neni eth0 ale venet0 a openvpn server jsem pouštěl přes:
# systemctl start openvpn@openvpn.service
aby se správně použil configurační soubor v /etc/openvpn/openvpn.conf
Navíc mě napadá, že není uvedený software na klientské straně, v mém případě tunnelblick zafungoval bez problémů. V případě připojení přímo přes binárku openvpn z klienta jsou potřeba extra ip routy. Alespoň tak jsem to pochopil viz.
https://wiki.debian.org/OpenVPN#TLS-enabled_VPN
# cat /etc/openvpn/openvpn.conf
port 1194 proto tcp dev tun
push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8"
ca /etc/openvpn/easy-rsa/keys/ca.crt # generated keys cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key # keep secret dh /etc/openvpn/easy-rsa/keys/dh2048.pem
server 10.9.8.0 255.255.255.0 # internal tun0 connection IP ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo # Compression - must be turned on at both end persist-key persist-tun
status log/openvpn-status.log
verb 3 # verbose mode client-to-client
pravidla pro iptables
# iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT # iptables -A FORWARD -i venet0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT # iptables -A FORWARD -s *MailScanner has detected a possible fraud attempt from "10.9.8.0" claiming to be* *MailScanner warning: numerical links are often malicious:* 10.9.8.0/24 http://10.9.8.0/24 -o venet0 -j ACCEPT # iptables -t nat -A POSTROUTING -s *MailScanner has detected a possible fraud attempt from "10.9.8.0" claiming to be* *MailScanner warning: numerical links are often malicious:* 10.9.8.0/24 http://10.9.8.0/24 -o venet0 -j MASQUERADE
# configurace klienta
client dev tun proto tcp remote matousmichalik.cz http://matousmichalik.cz 1194 resolv-retry infinite nobind persist-key persist-tun ns-cert-type server comp-lzo verb 3
<ca> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- -----END PRIVATE KEY----- </key>
S pozdravem Matouš Michalík
pá 6. 1. 2017 v 19:00 odesílatel Pavel Švojgr <pavel@svojgr.com mailto:pavel@svojgr.com> napsal:
# cat /proc/sys/net/ipv4/ip_forward 1 Dne 6.1.2017 v 18:39 Martin Doucha napsal(a):Dne 6.1.2017 v 18:17 Pavel Švojgr napsal(a):Ahoj, snazim se nastavit openvpn server tak, abych pres nej mohlpristupovat dal do inernetu, ale nedari se mi to. Sel jsem podle tohoto navodu:
https://blog.sslmarket.cz/ssl/nastaveni-openvpn-na-serveru-s-debian-8-jessie...
a podari se mi pres vpn dostat na server, ale dal uz ne (aninepingnu).
# cat /etc/sysctl.conf |grep ip_forward net.ipv4.ip_forward=1Tak začneme tou nejhloupější kontrolou. Co vypíše tenhle příkaz? $ cat /proc/sys/net/ipv4/ip_forward S pozdravem, Martin Doucha _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> http://lists.vpsfree.cz/listinfo/community-list-- S pozdravem Ing. Pavel Švojgr _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
community-list@lists.vpsfree.cz
-
Jan Hrach -
Jirka Bourek -
Martin Doucha -
Matouš Michalík -
Pavel Švojgr