[vpsFree.cz: community-list] {Disarmed} Re: jak nastavit openvpn server na debianu
Matouš Michalík
vps at matousmichalik.com
Sat Jan 7 00:32:44 CET 2017
Zdravím ovpn jsem nastavoval zrovna teď v týdnu, a po drobných úpravách
jsem uspěl s configurací níže, dle návodu na debian wiki
https://wiki.debian.org/OpenVPN
proti návodům co jsem našel na internetu jsem měnil interface v iptables,
na me instalaci neni eth0 ale venet0 a openvpn server jsem pouštěl přes:
# systemctl start openvpn at openvpn.service
aby se správně použil configurační soubor v /etc/openvpn/openvpn.conf
Navíc mě napadá, že není uvedený software na klientské straně, v mém
případě tunnelblick zafungoval bez problémů. V případě připojení přímo přes
binárku openvpn z klienta jsou potřeba extra ip routy. Alespoň tak jsem to
pochopil viz.
https://wiki.debian.org/OpenVPN#TLS-enabled_VPN
# cat /etc/openvpn/openvpn.conf
port 1194
proto tcp
dev tun
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
ca /etc/openvpn/easy-rsa/keys/ca.crt # generated keys
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key # keep secret
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
server 10.9.8.0 255.255.255.0 # internal tun0 connection IP
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo # Compression - must be turned on at both end
persist-key
persist-tun
status log/openvpn-status.log
verb 3 # verbose mode
client-to-client
pravidla pro iptables
# iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
# iptables -A FORWARD -i venet0 -o tun0 -m state --state
ESTABLISHED,RELATED -j ACCEPT
# iptables -A FORWARD -s 10.9.8.0/24 -o venet0 -j ACCEPT
# iptables -t nat -A POSTROUTING -s 10.9.8.0/24 -o venet0 -j MASQUERADE
# configurace klienta
client
dev tun
proto tcp
remote matousmichalik.cz 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
comp-lzo
verb 3
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>
S pozdravem Matouš Michalík
pá 6. 1. 2017 v 19:00 odesílatel Pavel Švojgr <pavel at svojgr.com> napsal:
> # cat /proc/sys/net/ipv4/ip_forward
> 1
>
>
> Dne 6.1.2017 v 18:39 Martin Doucha napsal(a):
>
> Dne 6.1.2017 v 18:17 Pavel Švojgr napsal(a):
>
> Ahoj,
>
> snazim se nastavit openvpn server tak, abych pres nej mohl pristupovat
> dal do inernetu, ale nedari se mi to.
> Sel jsem podle tohoto navodu:https://blog.sslmarket.cz/ssl/nastaveni-openvpn-na-serveru-s-debian-8-jessie/
>
>
> a podari se mi pres vpn dostat na server, ale dal uz ne (ani nepingnu).
>
> # cat /etc/sysctl.conf |grep ip_forward
> net.ipv4.ip_forward=1
>
> Tak začneme tou nejhloupější kontrolou. Co vypíše tenhle příkaz?
> $ cat /proc/sys/net/ipv4/ip_forward
>
> S pozdravem,
> Martin Doucha
>
>
>
>
> _______________________________________________
> Community-list mailing listCommunity-list at lists.vpsfree.czhttp://lists.vpsfree.cz/listinfo/community-list
>
>
> --
> S pozdravem Ing. Pavel Švojgr
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20170106/0391cf6b/attachment-0002.html>
More information about the Community-list
mailing list