[vpsFree.cz: community-list] {Disarmed} {Disarmed} Re: jak nastavit openvpn server na debianu

Jirka Bourek vpsfree-list at keroub.cz
Sun Jan 8 13:02:07 CET 2017 

Pokud chcete přes ten VPN tunel přistupovat dál do Internetu, tak pokud 
ten tunel nefunguje, je ten server to jediné, na co by se mělo jít 
připojit. Za předpokladu že je klient nastavený správně

Proč - protože v takovém případě by ve směrovací tabulce klienta měl být 
záznam, že pouze provoz k IP serveru má jít přes síťové rozhraní 
připojené do internetu, zatímco všechen ostatní provoz přes tu VPN

S Network Managerem neporadím, ale zkuste ten tunel zapnout a nastavit 
všechno tak, jak si myslíte, že to má být, a pak sem pošlete výpis 
příkazu "ip route" z klienta i ze serveru. Na klientovi by mělo být něco 
jako

1.2.3.4/32 via 5.6.7.8 dev eth0
10.8.0.0/24 dev tun0
default via 10.8.0.1 dev tun0

1.2.3.4 je IP adresa vaší VPS, 5.6.7.8 je výchozí brána vašeho ISP

Jinak přesně jak teď zrovna napsal předřečník - tcpdump je váš kamarád, 
ping na nějakou adresu do internetu a

tcpdump -i interface -n 'icmp'

vám ukáže, kudy ty pakety odcházejí.

Pavel Švojgr wrote:
> Tak bohuzel, ani s timto navodem jsem neuspel. Mam tam nekde nakou botu
> :-) Jako klienta pouzivam Network manager applet pro cinnamon, ale kdyz
> se po pripojeni dostanu na server pres ssh, tak predpokladam, ze v
> klientovi chyba nebude. Kazdopadne diky za snahu.
>
> Dne 7.1.2017 v 00:32 Matouš Michalík napsal(a):
>> Zdravím ovpn jsem nastavoval zrovna teď v týdnu, a po drobných
>> úpravách jsem uspěl s configurací níže, dle návodu na debian wiki
>> https://wiki.debian.org/OpenVPN
>>
>> proti návodům co jsem našel na internetu jsem měnil interface v
>> iptables, na me instalaci neni eth0 ale venet0 a openvpn server jsem
>> pouštěl přes:
>>
>> # systemctl start openvpn at openvpn.service
>>
>> aby se správně použil configurační soubor v /etc/openvpn/openvpn.conf
>>
>> Navíc mě napadá, že není uvedený software na klientské straně, v mém
>> případě tunnelblick zafungoval bez problémů. V případě připojení přímo
>> přes binárku openvpn z klienta jsou potřeba extra ip routy. Alespoň
>> tak jsem to pochopil viz.
>>
>> https://wiki.debian.org/OpenVPN#TLS-enabled_VPN
>>
>> # cat /etc/openvpn/openvpn.conf
>>
>> port 1194
>> proto tcp
>> dev tun
>>
>> push "redirect-gateway def1 bypass-dhcp"
>> push "dhcp-option DNS 8.8.8.8"
>>
>> ca      /etc/openvpn/easy-rsa/keys/ca.crt    # generated keys
>> cert    /etc/openvpn/easy-rsa/keys/server.crt
>> key     /etc/openvpn/easy-rsa/keys/server.key  # keep secret
>> dh      /etc/openvpn/easy-rsa/keys/dh2048.pem
>>
>> server 10.9.8.0 255.255.255.0  # internal tun0 connection IP
>> ifconfig-pool-persist ipp.txt
>>
>> keepalive 10 120
>>
>> comp-lzo         # Compression - must be turned on at both end
>> persist-key
>> persist-tun
>>
>> status log/openvpn-status.log
>>
>> verb 3  # verbose mode
>> client-to-client
>>
>> pravidla pro iptables
>>
>> # iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
>> # iptables -A FORWARD -i venet0 -o tun0 -m state --state
>> ESTABLISHED,RELATED -j ACCEPT
>> # iptables -A FORWARD -s *MailScanner has detected a possible fraud
>> attempt from "10.9.8.0" claiming to be* *MailScanner warning:
>> numerical links are often malicious:* 10.9.8.0/24 <http://10.9.8.0/24>
>> -o venet0 -j ACCEPT
>> # iptables -t nat -A POSTROUTING -s *MailScanner has detected a
>> possible fraud attempt from "10.9.8.0" claiming to be* *MailScanner
>> warning: numerical links are often malicious:* 10.9.8.0/24
>> <http://10.9.8.0/24> -o venet0 -j MASQUERADE
>>
>> # configurace klienta
>>
>> client
>> dev tun
>> proto tcp
>> remote matousmichalik.cz <http://matousmichalik.cz> 1194
>> resolv-retry infinite
>> nobind
>> persist-key
>> persist-tun
>> ns-cert-type server
>> comp-lzo
>> verb 3
>>
>> <ca>
>> -----BEGIN CERTIFICATE-----
>> -----END CERTIFICATE-----
>> </ca>
>> <cert>
>> -----BEGIN CERTIFICATE-----
>> -----END CERTIFICATE-----
>> </cert>
>> <key>
>> -----BEGIN PRIVATE KEY-----
>> -----END PRIVATE KEY-----
>> </key>
>>
>> S pozdravem Matouš Michalík
>>
>>
>> pá 6. 1. 2017 v 19:00 odesílatel Pavel Švojgr <pavel at svojgr.com
>> <mailto:pavel at svojgr.com>> napsal:
>>
>>     # cat /proc/sys/net/ipv4/ip_forward
>>     1
>>
>>
>>     Dne 6.1.2017 v 18:39 Martin Doucha napsal(a):
>>>     Dne 6.1.2017 v 18:17 Pavel Švojgr napsal(a):
>>>>     Ahoj,
>>>>
>>>>     snazim se nastavit openvpn server tak, abych pres nej mohl
>>>> pristupovat
>>>>     dal do inernetu, ale nedari se mi to.
>>>>     Sel jsem podle tohoto navodu:
>>>>
>>>> https://blog.sslmarket.cz/ssl/nastaveni-openvpn-na-serveru-s-debian-8-jessie/
>>>>
>>>>
>>>>
>>>>     a podari se mi pres vpn dostat na server, ale dal uz ne (ani
>>>> nepingnu).
>>>>
>>>>     # cat /etc/sysctl.conf |grep ip_forward
>>>>     net.ipv4.ip_forward=1
>>>     Tak začneme tou nejhloupější kontrolou. Co vypíše tenhle příkaz?
>>>     $ cat /proc/sys/net/ipv4/ip_forward
>>>
>>>     S pozdravem,
>>>     Martin Doucha
>>>
>>>
>>>
>>>     _______________________________________________
>>>     Community-list mailing list
>>>     Community-list at lists.vpsfree.cz
>>>     <mailto:Community-list at lists.vpsfree.cz>
>>>     http://lists.vpsfree.cz/listinfo/community-list
>>
>>     --     S pozdravem Ing. Pavel Švojgr
>>
>>     _______________________________________________
>>     Community-list mailing list
>>     Community-list at lists.vpsfree.cz
>>     <mailto:Community-list at lists.vpsfree.cz>
>>     http://lists.vpsfree.cz/listinfo/community-list
>>
>>
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>

More information about the Community-list mailing list