[vpsFree.cz: community-list] {Disarmed} {Disarmed} Re: jak nastavit openvpn server na debianu

Pavel Švojgr pavel at svojgr.com
Sun Jan 8 14:22:25 CET 2017 

Diky moc vsem za rady, nakonec se mi zadarilo.

Mohlo zato nejake vychozi iptables/fail2ban pravidlo v mangle tabulce
Chain PREROUTING (policy ACCEPT)
DROP       all  --  10.0.0.0/8           anywhere

Po smazani zaclo vpnko normalne fungovat :-)


Dne 8.1.2017 v 13:02 Jirka Bourek napsal(a):
> Pokud chcete přes ten VPN tunel přistupovat dál do Internetu, tak 
> pokud ten tunel nefunguje, je ten server to jediné, na co by se mělo 
> jít připojit. Za předpokladu že je klient nastavený správně
>
> Proč - protože v takovém případě by ve směrovací tabulce klienta měl 
> být záznam, že pouze provoz k IP serveru má jít přes síťové rozhraní 
> připojené do internetu, zatímco všechen ostatní provoz přes tu VPN
>
> S Network Managerem neporadím, ale zkuste ten tunel zapnout a nastavit 
> všechno tak, jak si myslíte, že to má být, a pak sem pošlete výpis 
> příkazu "ip route" z klienta i ze serveru. Na klientovi by mělo být 
> něco jako
>
> 1.2.3.4/32 via 5.6.7.8 dev eth0
> 10.8.0.0/24 dev tun0
> default via 10.8.0.1 dev tun0
>
> 1.2.3.4 je IP adresa vaší VPS, 5.6.7.8 je výchozí brána vašeho ISP
>
> Jinak přesně jak teď zrovna napsal předřečník - tcpdump je váš 
> kamarád, ping na nějakou adresu do internetu a
>
> tcpdump -i interface -n 'icmp'
>
> vám ukáže, kudy ty pakety odcházejí.
>
> Pavel Švojgr wrote:
>> Tak bohuzel, ani s timto navodem jsem neuspel. Mam tam nekde nakou botu
>> :-) Jako klienta pouzivam Network manager applet pro cinnamon, ale kdyz
>> se po pripojeni dostanu na server pres ssh, tak predpokladam, ze v
>> klientovi chyba nebude. Kazdopadne diky za snahu.
>>
>> Dne 7.1.2017 v 00:32 Matouš Michalík napsal(a):
>>> Zdravím ovpn jsem nastavoval zrovna teď v týdnu, a po drobných
>>> úpravách jsem uspěl s configurací níže, dle návodu na debian wiki
>>> https://wiki.debian.org/OpenVPN
>>>
>>> proti návodům co jsem našel na internetu jsem měnil interface v
>>> iptables, na me instalaci neni eth0 ale venet0 a openvpn server jsem
>>> pouštěl přes:
>>>
>>> # systemctl start openvpn at openvpn.service
>>>
>>> aby se správně použil configurační soubor v /etc/openvpn/openvpn.conf
>>>
>>> Navíc mě napadá, že není uvedený software na klientské straně, v mém
>>> případě tunnelblick zafungoval bez problémů. V případě připojení přímo
>>> přes binárku openvpn z klienta jsou potřeba extra ip routy. Alespoň
>>> tak jsem to pochopil viz.
>>>
>>> https://wiki.debian.org/OpenVPN#TLS-enabled_VPN
>>>
>>> # cat /etc/openvpn/openvpn.conf
>>>
>>> port 1194
>>> proto tcp
>>> dev tun
>>>
>>> push "redirect-gateway def1 bypass-dhcp"
>>> push "dhcp-option DNS 8.8.8.8"
>>>
>>> ca      /etc/openvpn/easy-rsa/keys/ca.crt    # generated keys
>>> cert    /etc/openvpn/easy-rsa/keys/server.crt
>>> key     /etc/openvpn/easy-rsa/keys/server.key  # keep secret
>>> dh      /etc/openvpn/easy-rsa/keys/dh2048.pem
>>>
>>> server 10.9.8.0 255.255.255.0  # internal tun0 connection IP
>>> ifconfig-pool-persist ipp.txt
>>>
>>> keepalive 10 120
>>>
>>> comp-lzo         # Compression - must be turned on at both end
>>> persist-key
>>> persist-tun
>>>
>>> status log/openvpn-status.log
>>>
>>> verb 3  # verbose mode
>>> client-to-client
>>>
>>> pravidla pro iptables
>>>
>>> # iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
>>> # iptables -A FORWARD -i venet0 -o tun0 -m state --state
>>> ESTABLISHED,RELATED -j ACCEPT
>>> # iptables -A FORWARD -s *MailScanner has detected a possible fraud
>>> attempt from "10.9.8.0" claiming to be* *MailScanner warning:
>>> numerical links are often malicious:* 10.9.8.0/24 <http://10.9.8.0/24>
>>> -o venet0 -j ACCEPT
>>> # iptables -t nat -A POSTROUTING -s *MailScanner has detected a
>>> possible fraud attempt from "10.9.8.0" claiming to be* *MailScanner
>>> warning: numerical links are often malicious:* 10.9.8.0/24
>>> <http://10.9.8.0/24> -o venet0 -j MASQUERADE
>>>
>>> # configurace klienta
>>>
>>> client
>>> dev tun
>>> proto tcp
>>> remote matousmichalik.cz <http://matousmichalik.cz> 1194
>>> resolv-retry infinite
>>> nobind
>>> persist-key
>>> persist-tun
>>> ns-cert-type server
>>> comp-lzo
>>> verb 3
>>>
>>> <ca>
>>> -----BEGIN CERTIFICATE-----
>>> -----END CERTIFICATE-----
>>> </ca>
>>> <cert>
>>> -----BEGIN CERTIFICATE-----
>>> -----END CERTIFICATE-----
>>> </cert>
>>> <key>
>>> -----BEGIN PRIVATE KEY-----
>>> -----END PRIVATE KEY-----
>>> </key>
>>>
>>> S pozdravem Matouš Michalík
>>>
>>>
>>> pá 6. 1. 2017 v 19:00 odesílatel Pavel Švojgr <pavel at svojgr.com
>>> <mailto:pavel at svojgr.com>> napsal:
>>>
>>>     # cat /proc/sys/net/ipv4/ip_forward
>>>     1
>>>
>>>
>>>     Dne 6.1.2017 v 18:39 Martin Doucha napsal(a):
>>>>     Dne 6.1.2017 v 18:17 Pavel Švojgr napsal(a):
>>>>>     Ahoj,
>>>>>
>>>>>     snazim se nastavit openvpn server tak, abych pres nej mohl
>>>>> pristupovat
>>>>>     dal do inernetu, ale nedari se mi to.
>>>>>     Sel jsem podle tohoto navodu:
>>>>>
>>>>> https://blog.sslmarket.cz/ssl/nastaveni-openvpn-na-serveru-s-debian-8-jessie/ 
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>     a podari se mi pres vpn dostat na server, ale dal uz ne (ani
>>>>> nepingnu).
>>>>>
>>>>>     # cat /etc/sysctl.conf |grep ip_forward
>>>>>     net.ipv4.ip_forward=1
>>>>     Tak začneme tou nejhloupější kontrolou. Co vypíše tenhle příkaz?
>>>>     $ cat /proc/sys/net/ipv4/ip_forward
>>>>
>>>>     S pozdravem,
>>>>     Martin Doucha
>>>>
>>>>
>>>>
>>>>     _______________________________________________
>>>>     Community-list mailing list
>>>>     Community-list at lists.vpsfree.cz
>>>>     <mailto:Community-list at lists.vpsfree.cz>
>>>>     http://lists.vpsfree.cz/listinfo/community-list
>>>
>>>     --     S pozdravem Ing. Pavel Švojgr
>>>
>>>     _______________________________________________
>>>     Community-list mailing list
>>>     Community-list at lists.vpsfree.cz
>>>     <mailto:Community-list at lists.vpsfree.cz>
>>>     http://lists.vpsfree.cz/listinfo/community-list
>>>
>>>
>>>
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list at lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>
>>
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list

-- 
S pozdravem Ing. Pavel Švojgr

More information about the Community-list mailing list