[vpsFree.cz: community-list] {Disarmed} {Disarmed} Re: jak nastavit openvpn server na debianu

Pavel Švojgr pavel at svojgr.com
Sat Jan 7 13:35:58 CET 2017 

Tak bohuzel, ani s timto navodem jsem neuspel. Mam tam nekde nakou botu 
:-) Jako klienta pouzivam Network manager applet pro cinnamon, ale kdyz 
se po pripojeni dostanu na server pres ssh, tak predpokladam, ze v 
klientovi chyba nebude. Kazdopadne diky za snahu.

Dne 7.1.2017 v 00:32 Matouš Michalík napsal(a):
> Zdravím ovpn jsem nastavoval zrovna teď v týdnu, a po drobných 
> úpravách jsem uspěl s configurací níže, dle návodu na debian wiki 
> https://wiki.debian.org/OpenVPN
>
> proti návodům co jsem našel na internetu jsem měnil interface v 
> iptables, na me instalaci neni eth0 ale venet0 a openvpn server jsem 
> pouštěl přes:
>
> # systemctl start openvpn at openvpn.service
>
> aby se správně použil configurační soubor v /etc/openvpn/openvpn.conf
>
> Navíc mě napadá, že není uvedený software na klientské straně, v mém 
> případě tunnelblick zafungoval bez problémů. V případě připojení přímo 
> přes binárku openvpn z klienta jsou potřeba extra ip routy. Alespoň 
> tak jsem to pochopil viz.
>
> https://wiki.debian.org/OpenVPN#TLS-enabled_VPN
>
> # cat /etc/openvpn/openvpn.conf
>
> port 1194
> proto tcp
> dev tun
>
> push "redirect-gateway def1 bypass-dhcp"
> push "dhcp-option DNS 8.8.8.8"
>
> ca      /etc/openvpn/easy-rsa/keys/ca.crt    # generated keys
> cert    /etc/openvpn/easy-rsa/keys/server.crt
> key     /etc/openvpn/easy-rsa/keys/server.key  # keep secret
> dh      /etc/openvpn/easy-rsa/keys/dh2048.pem
>
> server 10.9.8.0 255.255.255.0  # internal tun0 connection IP
> ifconfig-pool-persist ipp.txt
>
> keepalive 10 120
>
> comp-lzo         # Compression - must be turned on at both end
> persist-key
> persist-tun
>
> status log/openvpn-status.log
>
> verb 3  # verbose mode
> client-to-client
>
> pravidla pro iptables
>
> # iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
> # iptables -A FORWARD -i venet0 -o tun0 -m state --state 
> ESTABLISHED,RELATED -j ACCEPT
> # iptables -A FORWARD -s *MailScanner has detected a possible fraud 
> attempt from "10.9.8.0" claiming to be* *MailScanner warning: 
> numerical links are often malicious:* 10.9.8.0/24 <http://10.9.8.0/24> 
> -o venet0 -j ACCEPT
> # iptables -t nat -A POSTROUTING -s *MailScanner has detected a 
> possible fraud attempt from "10.9.8.0" claiming to be* *MailScanner 
> warning: numerical links are often malicious:* 10.9.8.0/24 
> <http://10.9.8.0/24> -o venet0 -j MASQUERADE
>
> # configurace klienta
>
> client
> dev tun
> proto tcp
> remote matousmichalik.cz <http://matousmichalik.cz> 1194
> resolv-retry infinite
> nobind
> persist-key
> persist-tun
> ns-cert-type server
> comp-lzo
> verb 3
>
> <ca>
> -----BEGIN CERTIFICATE-----
> -----END CERTIFICATE-----
> </ca>
> <cert>
> -----BEGIN CERTIFICATE-----
> -----END CERTIFICATE-----
> </cert>
> <key>
> -----BEGIN PRIVATE KEY-----
> -----END PRIVATE KEY-----
> </key>
>
> S pozdravem Matouš Michalík
>
>
> pá 6. 1. 2017 v 19:00 odesílatel Pavel Švojgr <pavel at svojgr.com 
> <mailto:pavel at svojgr.com>> napsal:
>
>     # cat /proc/sys/net/ipv4/ip_forward
>     1
>
>
>     Dne 6.1.2017 v 18:39 Martin Doucha napsal(a):
>>     Dne 6.1.2017 v 18:17 Pavel Švojgr napsal(a):
>>>     Ahoj,
>>>
>>>     snazim se nastavit openvpn server tak, abych pres nej mohl pristupovat
>>>     dal do inernetu, ale nedari se mi to.
>>>     Sel jsem podle tohoto navodu:
>>>     https://blog.sslmarket.cz/ssl/nastaveni-openvpn-na-serveru-s-debian-8-jessie/
>>>
>>>
>>>     a podari se mi pres vpn dostat na server, ale dal uz ne (ani nepingnu).
>>>
>>>     # cat /etc/sysctl.conf |grep ip_forward
>>>     net.ipv4.ip_forward=1
>>     Tak začneme tou nejhloupější kontrolou. Co vypíše tenhle příkaz?
>>     $ cat /proc/sys/net/ipv4/ip_forward
>>
>>     S pozdravem,
>>     Martin Doucha
>>
>>
>>
>>     _______________________________________________
>>     Community-list mailing list
>>     Community-list at lists.vpsfree.cz
>>     <mailto:Community-list at lists.vpsfree.cz>
>>     http://lists.vpsfree.cz/listinfo/community-list
>
>     -- 
>     S pozdravem Ing. Pavel Švojgr
>
>     _______________________________________________
>     Community-list mailing list
>     Community-list at lists.vpsfree.cz
>     <mailto:Community-list at lists.vpsfree.cz>
>     http://lists.vpsfree.cz/listinfo/community-list
>
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list

-- 
S pozdravem Ing. Pavel Švojgr

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20170107/e61d5490/attachment-0002.html>

More information about the Community-list mailing list