[vpsFree.cz: community-list] {Disarmed} {Disarmed} Re: jak nastavit openvpn server na debianu

Jan Hrach jenda at hrach.eu
Sun Jan 8 12:48:16 CET 2017 

> Jako klienta pouzivam Network manager applet pro cinnamon, ale kdyz se po pripojeni dostanu na server pres ssh, tak predpokladam, ze v klientovi chyba nebude.

 - pokud se tam dostaneš přes venkovní adresu serveru, je to normální, openvpn klient přidává /32 routu na VPN server
 - pokud se tam dostaneš přes interní adresu, ještě to neznamená, že máš nastavenou správně routu na klientovi a routování/maškarádu na serveru

 -> musíš víc debugovat. Například by mohlo pomoct pustit tcpdump na serveru a sledovat, jestli paket přijde na vnitřní rozhraní, jestli odejde (znatovaný) z vnějšího rozhraní, jestli přijde odpověď a jestli to odpověď zpátky pošle na VPN klienta.

On 7.1.2017 13:35, Pavel Švojgr wrote:
> Tak bohuzel, ani s timto navodem jsem neuspel. Mam tam nekde nakou botu :-) Jako klienta pouzivam Network manager applet pro cinnamon, ale kdyz se po pripojeni dostanu na server pres ssh, tak predpokladam, ze v klientovi chyba nebude. Kazdopadne diky za snahu.
> 
> Dne 7.1.2017 v 00:32 Matouš Michalík napsal(a):
>> Zdravím ovpn jsem nastavoval zrovna teď v týdnu, a po drobných úpravách jsem uspěl s configurací níže, dle návodu na debian wiki <https://wiki.debian.org/OpenVPN>https://wiki.debian.org/OpenVPN
>>
>> proti návodům co jsem našel na internetu jsem měnil interface v iptables, na me instalaci neni eth0 ale venet0 a openvpn server jsem pouštěl přes:
>>
>> # systemctl start openvpn at openvpn.service
>>
>> aby se správně použil configurační soubor v /etc/openvpn/openvpn.conf
>>
>> Navíc mě napadá, že není uvedený software na klientské straně, v mém případě tunnelblick zafungoval bez problémů. V případě připojení přímo přes binárku openvpn z klienta jsou potřeba extra ip routy. Alespoň tak jsem to pochopil viz.
>>
>> https://wiki.debian.org/OpenVPN#TLS-enabled_VPN
>>
>> # cat /etc/openvpn/openvpn.conf
>>
>> port 1194
>> proto tcp
>> dev tun
>>
>> push "redirect-gateway def1 bypass-dhcp"
>> push "dhcp-option DNS 8.8.8.8"
>>
>> ca      /etc/openvpn/easy-rsa/keys/ca.crt    # generated keys
>> cert    /etc/openvpn/easy-rsa/keys/server.crt
>> key     /etc/openvpn/easy-rsa/keys/server.key  # keep secret
>> dh      /etc/openvpn/easy-rsa/keys/dh2048.pem
>>
>> server 10.9.8.0 255.255.255.0  # internal tun0 connection IP
>> ifconfig-pool-persist ipp.txt
>>
>> keepalive 10 120
>>
>> comp-lzo         # Compression - must be turned on at both end
>> persist-key
>> persist-tun
>>
>> status log/openvpn-status.log
>>
>> verb 3  # verbose mode
>> client-to-client
>>
>> pravidla pro iptables
>>
>> # iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
>> # iptables -A FORWARD -i venet0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT
>> # iptables -A FORWARD -s *MailScanner has detected a possible fraud attempt from "10.9.8.0" claiming to be* *MailScanner warning: numerical links are often malicious:* 10.9.8.0/24 <http://10.9.8.0/24> -o venet0 -j ACCEPT
>> # iptables -t nat -A POSTROUTING -s *MailScanner has detected a possible fraud attempt from "10.9.8.0" claiming to be* *MailScanner warning: numerical links are often malicious:* 10.9.8.0/24 <http://10.9.8.0/24> -o venet0 -j MASQUERADE
>>
>> # configurace klienta
>>
>> client
>> dev tun
>> proto tcp
>> remote matousmichalik.cz <http://matousmichalik.cz> 1194
>> resolv-retry infinite
>> nobind
>> persist-key
>> persist-tun
>> ns-cert-type server
>> comp-lzo
>> verb 3
>>
>> <ca>
>> -----BEGIN CERTIFICATE-----
>> -----END CERTIFICATE-----
>> </ca>
>> <cert>
>> -----BEGIN CERTIFICATE-----
>> -----END CERTIFICATE-----
>> </cert>
>> <key>
>> -----BEGIN PRIVATE KEY-----
>> -----END PRIVATE KEY-----
>> </key>
>>
>> S pozdravem Matouš Michalík
>>
>>
>> pá 6. 1. 2017 v 19:00 odesílatel Pavel Švojgr <pavel at svojgr.com <mailto:pavel at svojgr.com>> napsal:
>>
>>     # cat /proc/sys/net/ipv4/ip_forward 
>>     1
>>
>>
>>     Dne 6.1.2017 v 18:39 Martin Doucha napsal(a):
>>>     Dne 6.1.2017 v 18:17 Pavel Švojgr napsal(a):
>>>>     Ahoj,
>>>>
>>>>     snazim se nastavit openvpn server tak, abych pres nej mohl pristupovat
>>>>     dal do inernetu, ale nedari se mi to.
>>>>     Sel jsem podle tohoto navodu:
>>>>     https://blog.sslmarket.cz/ssl/nastaveni-openvpn-na-serveru-s-debian-8-jessie/
>>>>
>>>>
>>>>     a podari se mi pres vpn dostat na server, ale dal uz ne (ani nepingnu).
>>>>
>>>>     # cat /etc/sysctl.conf |grep ip_forward
>>>>     net.ipv4.ip_forward=1
>>>     Tak začneme tou nejhloupější kontrolou. Co vypíše tenhle příkaz?
>>>     $ cat /proc/sys/net/ipv4/ip_forward
>>>
>>>     S pozdravem,
>>>     Martin Doucha
>>>
>>>
>>>
>>>     _______________________________________________
>>>     Community-list mailing list
>>>     Community-list at lists.vpsfree.cz <mailto:Community-list at lists.vpsfree.cz>
>>>     http://lists.vpsfree.cz/listinfo/community-list
>>
>>     -- 
>>     S pozdravem Ing. Pavel Švojgr
>>
>>     _______________________________________________
>>     Community-list mailing list
>>     Community-list at lists.vpsfree.cz <mailto:Community-list at lists.vpsfree.cz>
>>     http://lists.vpsfree.cz/listinfo/community-list
>>
>>
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
> 
> -- 
> S pozdravem Ing. Pavel Švojgr
> 
> 
> 
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
> 

-- 
Jan Hrach | https://jenda.hrach.eu/
GPG CD98 5440 4372 0C6D 164D A24D F019 2F8E 6527 282E

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: OpenPGP digital signature
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20170108/ce6bf420/attachment.sig>

More information about the Community-list mailing list