[vpsFree.cz: community-list] {Disarmed} {Disarmed} Re: jak nastavit openvpn server na debianu
Pavel Švojgr
pavel at svojgr.com
Sat Jan 7 13:35:58 CET 2017
Tak bohuzel, ani s timto navodem jsem neuspel. Mam tam nekde nakou botu
:-) Jako klienta pouzivam Network manager applet pro cinnamon, ale kdyz
se po pripojeni dostanu na server pres ssh, tak predpokladam, ze v
klientovi chyba nebude. Kazdopadne diky za snahu.
Dne 7.1.2017 v 00:32 Matouš Michalík napsal(a):
> Zdravím ovpn jsem nastavoval zrovna teď v týdnu, a po drobných
> úpravách jsem uspěl s configurací níže, dle návodu na debian wiki
> https://wiki.debian.org/OpenVPN
>
> proti návodům co jsem našel na internetu jsem měnil interface v
> iptables, na me instalaci neni eth0 ale venet0 a openvpn server jsem
> pouštěl přes:
>
> # systemctl start openvpn at openvpn.service
>
> aby se správně použil configurační soubor v /etc/openvpn/openvpn.conf
>
> Navíc mě napadá, že není uvedený software na klientské straně, v mém
> případě tunnelblick zafungoval bez problémů. V případě připojení přímo
> přes binárku openvpn z klienta jsou potřeba extra ip routy. Alespoň
> tak jsem to pochopil viz.
>
> https://wiki.debian.org/OpenVPN#TLS-enabled_VPN
>
> # cat /etc/openvpn/openvpn.conf
>
> port 1194
> proto tcp
> dev tun
>
> push "redirect-gateway def1 bypass-dhcp"
> push "dhcp-option DNS 8.8.8.8"
>
> ca /etc/openvpn/easy-rsa/keys/ca.crt # generated keys
> cert /etc/openvpn/easy-rsa/keys/server.crt
> key /etc/openvpn/easy-rsa/keys/server.key # keep secret
> dh /etc/openvpn/easy-rsa/keys/dh2048.pem
>
> server 10.9.8.0 255.255.255.0 # internal tun0 connection IP
> ifconfig-pool-persist ipp.txt
>
> keepalive 10 120
>
> comp-lzo # Compression - must be turned on at both end
> persist-key
> persist-tun
>
> status log/openvpn-status.log
>
> verb 3 # verbose mode
> client-to-client
>
> pravidla pro iptables
>
> # iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
> # iptables -A FORWARD -i venet0 -o tun0 -m state --state
> ESTABLISHED,RELATED -j ACCEPT
> # iptables -A FORWARD -s *MailScanner has detected a possible fraud
> attempt from "10.9.8.0" claiming to be* *MailScanner warning:
> numerical links are often malicious:* 10.9.8.0/24 <http://10.9.8.0/24>
> -o venet0 -j ACCEPT
> # iptables -t nat -A POSTROUTING -s *MailScanner has detected a
> possible fraud attempt from "10.9.8.0" claiming to be* *MailScanner
> warning: numerical links are often malicious:* 10.9.8.0/24
> <http://10.9.8.0/24> -o venet0 -j MASQUERADE
>
> # configurace klienta
>
> client
> dev tun
> proto tcp
> remote matousmichalik.cz <http://matousmichalik.cz> 1194
> resolv-retry infinite
> nobind
> persist-key
> persist-tun
> ns-cert-type server
> comp-lzo
> verb 3
>
> <ca>
> -----BEGIN CERTIFICATE-----
> -----END CERTIFICATE-----
> </ca>
> <cert>
> -----BEGIN CERTIFICATE-----
> -----END CERTIFICATE-----
> </cert>
> <key>
> -----BEGIN PRIVATE KEY-----
> -----END PRIVATE KEY-----
> </key>
>
> S pozdravem Matouš Michalík
>
>
> pá 6. 1. 2017 v 19:00 odesílatel Pavel Švojgr <pavel at svojgr.com
> <mailto:pavel at svojgr.com>> napsal:
>
> # cat /proc/sys/net/ipv4/ip_forward
> 1
>
>
> Dne 6.1.2017 v 18:39 Martin Doucha napsal(a):
>> Dne 6.1.2017 v 18:17 Pavel Švojgr napsal(a):
>>> Ahoj,
>>>
>>> snazim se nastavit openvpn server tak, abych pres nej mohl pristupovat
>>> dal do inernetu, ale nedari se mi to.
>>> Sel jsem podle tohoto navodu:
>>> https://blog.sslmarket.cz/ssl/nastaveni-openvpn-na-serveru-s-debian-8-jessie/
>>>
>>>
>>> a podari se mi pres vpn dostat na server, ale dal uz ne (ani nepingnu).
>>>
>>> # cat /etc/sysctl.conf |grep ip_forward
>>> net.ipv4.ip_forward=1
>> Tak začneme tou nejhloupější kontrolou. Co vypíše tenhle příkaz?
>> $ cat /proc/sys/net/ipv4/ip_forward
>>
>> S pozdravem,
>> Martin Doucha
>>
>>
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> <mailto:Community-list at lists.vpsfree.cz>
>> http://lists.vpsfree.cz/listinfo/community-list
>
> --
> S pozdravem Ing. Pavel Švojgr
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> <mailto:Community-list at lists.vpsfree.cz>
> http://lists.vpsfree.cz/listinfo/community-list
>
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
--
S pozdravem Ing. Pavel Švojgr
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20170107/e61d5490/attachment-0002.html>
More information about the Community-list
mailing list