форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (VPN / Linux)
Изначальное сообщение		[ Отслеживать ]

"вопрос про openvpn"	+/–
Сообщение от alexkg (ok) on 29-Июн-11, 17:28
помогите настроить маршрутизацию в другие подсети есть сервер openvpn в локальной сети, к примеру ip 192.168.0.116 клиент из-вне подключается к нему и получает ip 10.8.0.6, шлюз 10.8.0.5, маска 255.255.255.252, но не видит сеть 192.168.0.0/24 ... с сервера openvpn пингуется интерфейс 10.8.0.6, шлюз 10.8.0.5 почему то нет с клиента пингуется 192.168.0.116, но остальные компы в сети нет. подскажите где добавить маршруты? на роутере в сети 192.168.0.0/24 или на openvpn нужно еще настраивать iptables ??? начну по порядку... 1) клиенту выдан ip 10.8.0.6 255.255.255.252 шлюз 10.8.0.5 почему выдался ip c такой маской? почему не пингуется основной шлюз? конфиг сервера: port 1194 proto udp dev tun ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/linux.crt key /etc/openvpn/keys/linux.key dh /etc/openvpn/keys/dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt #сети за vpn сервером push "route 192.168.0.0 255.255.255.0 push "route 192.168.22.0 255.255.255.224 ;route 10.8.0.0 255.255.255.0 ;route 192.168.0.0 255.255.255.0 push "redirect-gateway" keepalive 10 120 comp-lzo persist-key persist-tun status openvpn-status.log verb 3 log /var/log/openvpn.log
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "вопрос про openvpn"	+/–
Сообщение от PavelR (??) on 29-Июн-11, 19:04
> клиент из-вне подключается к нему и получает ip 10.8.0.6, шлюз 10.8.0.5, маска > 255.255.255.252, но не видит сеть 192.168.0.0/24 ... ;-) > с сервера openvpn пингуется интерфейс 10.8.0.6, шлюз 10.8.0.5 почему то нет > с клиента пингуется 192.168.0.116, но остальные компы в сети нет. > подскажите где добавить маршруты? на роутере в сети 192.168.0.0/24 да, на роутере сети 192.168.0.0/24 надо прописать маршрут в сеть 10.8.0.0/24 (или её часть) через 192.168.0.116 > или на openvpn нужно еще настраивать iptables ??? По умолчанию - открыто, настраивать iptables не надо. Нужно включить ip forwarding > начну по порядку... > 1) клиенту выдан ip 10.8.0.6 255.255.255.252 шлюз 10.8.0.5 > почему выдался ip c такой маской? Потому что надо прочитать факу по опенвпн, в части различий между tun и tap > почему не пингуется основной шлюз? Потому что что-то недонастроено. Диагностировать помогает tcpdump. > #сети за vpn сервером > push "route 192.168.0.0 255.255.255.0 > push "route 192.168.22.0 255.255.255.224 похоже на правильное направление, за вычетом кавычек и того, что это не требуется при наличии опции: > push "redirect-gateway"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "вопрос про openvpn"	+/–
	Сообщение от alexkg (ok) on 01-Июл-11, 08:53
	спасибо, сети за сервером начали пинговаться а как можно разграничить доступ впн клиентам в подсети и по портам? нужно ставить iptables или как то по другому?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "вопрос про openvpn"	+/–
	Сообщение от PavelR (??) on 01-Июл-11, 09:58
	> спасибо, сети за сервером начали пинговаться > а как можно разграничить доступ впн клиентам в подсети и по портам? > нужно ставить iptables или как то по другому? iptables + отдельной опцией сервера разрешается/запрещается траффик между впн-клиентами
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "вопрос про openvpn"	+/–
	Сообщение от alexkg (ok) on 01-Июл-11, 14:33
	>> спасибо, сети за сервером начали пинговаться >> а как можно разграничить доступ впн клиентам в подсети и по портам? >> нужно ставить iptables или как то по другому? > iptables + отдельной опцией сервера разрешается/запрещается траффик между впн-клиентами с iptables сталкиваюсь впервые, не могу разобраться? подскажите пожалуйста как будет выглядеть правило для vpn клиента, например для доступа только в сеть 192.168.0.0.24 linux:~# ifconfig -a eth0      Link encap:Ethernet  HWaddr 00:50:56:82:1d:ea           inet addr:192.168.0.116  Bcast:192.168.0.255  Mask:255.255.255.0 lo        Link encap:Local Loopback           inet addr:127.0.0.1  Mask:255.0.0.0 tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00           inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255 и где собственно сам конфиг iptables в debian
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "вопрос про openvpn"	+/–
	Сообщение от PavelR (??) on 01-Июл-11, 17:26
	>[оверквотинг удален] > eth0      Link encap:Ethernet  HWaddr 00:50:56:82:1d:ea >           inet addr:192.168.0.116 >  Bcast:192.168.0.255  Mask:255.255.255.0 > lo        Link encap:Local Loopback >           inet addr:127.0.0.1 >  Mask:255.0.0.0 > tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 >           inet addr:10.8.0.1 >  P-t-P:10.8.0.2  Mask:255.255.255.255 > и где собственно сам конфиг iptables в debian Установи http://debian.nikolas.ru/debian/iptables-service_0.1-1_all.deb ;-) правила: iptables -A FORWARD -i tun0 -d 192.168.0.0/24 -j ACCEPT iptables -A FORWARD -i tun0 -j DROP Вообще если правила есть, то их надо выносить выше конца списка, выше запрещающих правил, и выше правил, которые могли бы что-то лишнее разрешать. Можно добавить в самое начало, тогда это будет так: iptables -I FORWARD -i tun0 -j DROP  (станет вторым правилом после добавления следующего в список) iptables -I FORWARD -i tun0 -d 192.168.0.0/24 -j ACCEPT (будет самым первым) ну а потом /etc/init.d/iptables save ( или как там оно делается через service или что там еще). Enjoy.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "вопрос про openvpn"	+/–
	Сообщение от PavelR (??) on 01-Июл-11, 17:30
	> Установи http://debian.nikolas.ru/debian/iptables-service_0.1-1_all.deb > ;-) Конфиг будет в /etc/iptables-service (появится после /etc/init.d/iptables save, если iptables будет загружен) и /etc/default/iptables-config. Возможно, надо будет поправить в /etc/init.d/iptables #!/bin/sh на #!/bin/bash (руки не дошли исправить в пакете, или может пакет устарел).
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "вопрос про openvpn"	+/–
	Сообщение от alexkg (ok) on 04-Июл-11, 08:39
	спасибо огромное за ответы! разобрался почти не могу правильно настроить FORWARD, если ставишь ACCEPT для всех, то работает а мне нужно только для одной сети сделать... Посмотрите пжст где ошибка Получился вот такой конфиг: #!/bin/bash iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 1194 -m state --state NEW -j ACCEPT iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A FORWARD -i tun0 -d 192.168.0.0/24 -j ACCEPT iptables -A INPUT -p icmp -j ACCEPT iptables -A OUTPUT -p icmp -j ACCEPT iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "вопрос про openvpn"	+/–
	Сообщение от PavelR (??) on 04-Июл-11, 09:25
	> спасибо огромное за ответы! разобрался почти > не могу правильно настроить FORWARD, если ставишь ACCEPT для всех, то работает > а мне нужно только для одной сети сделать... Посмотрите пжст где ошибка > Получился вот такой конфиг: Запрещено прохождение пакетов в обратную сторону.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "вопрос про openvpn"	+/–
	Сообщение от alexkg (ok) on 04-Июл-11, 10:14
	>> спасибо огромное за ответы! разобрался почти >> не могу правильно настроить FORWARD, если ставишь ACCEPT для всех, то работает >> а мне нужно только для одной сети сделать... Посмотрите пжст где ошибка >> Получился вот такой конфиг: > Запрещено прохождение пакетов в обратную сторону. исправил, однако проблема таже сеть 192.168.0.0/24 недоступна. да кстати если для обратного пути вместо 10.8.0.0/24 ставишь tun0 почему то пишет: linux:~# /etc/init.d/netfilter restart iptables v1.4.2: host/network `tun0' not found если раскоментировать строку #iptables -P FORWARD ACCEPT то все сети доступны, а мне нужна только одна #!/bin/bash iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --dport 1194 -m state --state NEW -j ACCEPT iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #iptables -P FORWARD ACCEPT iptables -A FORWARD -i tun0 -d 192.168.0.0/24 -j ACCEPT iptables -A FORWARD -i 192.168.0.0/24 -d 10.8.0.0/24 -j ACCEPT iptables -A INPUT -p icmp -j ACCEPT iptables -A OUTPUT -p icmp -j ACCEPT iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "вопрос про openvpn"	+/–
	Сообщение от PavelR (??) on 04-Июл-11, 11:20
	> если раскоментировать строку #iptables -P FORWARD ACCEPT то все сети доступны, а > мне нужна только одна > iptables -A FORWARD -i tun0 -d 192.168.0.0/24 -j ACCEPT > iptables -A FORWARD -i 192.168.0.0/24 -d 10.8.0.0/24 -j ACCEPT невнимательность приводит к долгим мучениям. -i и -s путаете.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "вопрос про openvpn"	+/–
	Сообщение от alexkg (ok) on 04-Июл-11, 11:48
	>> если раскоментировать строку #iptables -P FORWARD ACCEPT то все сети доступны, а >> мне нужна только одна >> iptables -A FORWARD -i tun0 -d 192.168.0.0/24 -j ACCEPT >> iptables -A FORWARD -i 192.168.0.0/24 -d 10.8.0.0/24 -j ACCEPT > невнимательность приводит к долгим мучениям. > -i и -s путаете. спасибо, заработало.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "вопрос про openvpn"	+/–
	Сообщение от artemrts (ok) on 04-Июл-11, 19:31
	> спасибо, сети за сервером начали пинговаться > а как можно разграничить доступ впн клиентам в подсети и по портам? > нужно ставить iptables или как то по другому? Лично я не понимаю, КАК вы еще спрашиваете про то ставить ли вам фаервол. У вас же машина в сети. Любой сервер с сетевой картой = стоит настроенный фаервол.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	13. "вопрос про openvpn"	+/–
	Сообщение от alexkg (ok) on 06-Июл-11, 14:02
	возник другой вопрос, относительно безопастности этого сервера сгенерированными сертификатами можно подключиться из любого места где есть выход в интернет, просто скопировав их и конф. файл. Как можно сделать чтобы впн подключался только с одного компьютера, чтобы пользователи не смогли подключиться например из дома. Пробывал привязать к имени компьютера(делал по имени компьютера и Common Name указал имя), не получилось. Есть какие-то мысли или может кто уже делал?
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	14. "вопрос про openvpn"	+/–
	Сообщение от PavelR (??) on 11-Июл-11, 08:30
	> возник другой вопрос, относительно безопастности этого сервера > сгенерированными сертификатами можно подключиться из любого места где есть выход в интернет, > просто скопировав их и конф. файл. > Как можно сделать чтобы впн подключался только с одного компьютера, чтобы пользователи > не смогли подключиться например из дома. > Пробывал привязать к имени компьютера(делал по имени компьютера и Common Name указал > имя), не получилось. > Есть какие-то мысли или может кто уже делал? опенвпн позволяет вызывать скрипты (поддерживает хуки), в них можно делать любые проверки.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема