forum.opennet.ru - "Настройка OpenVPN и Shorewall?" (9)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Настройка OpenVPN и Shorewall?"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Настройка OpenVPN и Shorewall?"		+/–
Сообщение от gRUblo (ok) on 11-Июн-09, 15:55
+----------+ +--------------+ \| Linux \|10.8.0.2 tap0 10.8.0.1\| Win2003 \| \| debian5.0[]-----------------------------[] server \| \| client \| VPN \| \| \| OpenVPN \|eth1 \| \| \| Shorewall[]-----------------------------[] \| \| \|192.168.1.2 192.168.1.1\| \| +---[]-----+ +--------------+ \|192.168.2.2 \|eth0 \| \| \|192.168.2.1 +---[]-----+ \| \| \| user \| \| \| +----------+ Приветствую! Такая проблема, может кто-нибудь сталкивался с такой... Надо настроить shorewall на Linux, чтобы user смог "достучаться" до servera через VPN, т.е. чтобы все пакеты шли через зашифрованный канал... Никак не могу это сделать... Заранее спасибо за помощь!
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Настройка OpenVPN и Shorewall?, reader, 17:51 , 11-Июн-09, (1)

Настройка OpenVPN и Shorewall?, gRUblo, 09:33 , 13-Июн-09, (2)
Настройка OpenVPN и Shorewall?, gRUblo, 13:37 , 15-Июн-09, (3)

Настройка OpenVPN и Shorewall?, ddh, 20:47 , 22-Июл-09, (8)

Настройка OpenVPN и Shorewall?, gRUblo, 13:40 , 15-Июн-09, (4)

Настройка OpenVPN и Shorewall?, reader, 14:40 , 15-Июн-09, (5)

Настройка OpenVPN и Shorewall?, gRUblo, 08:51 , 02-Июл-09, (6)

Настройка OpenVPN и Shorewall?, reader, 11:52 , 02-Июл-09, (7)

Настройка OpenVPN и Shorewall?, gRUblo, 10:33 , 11-Авг-09, (9)

Сообщения по теме [Сортировка по времени | RSS]

1. "Настройка OpenVPN и Shorewall?" +/–

Сообщение от reader (ok) on 11-Июн-09, 17:51

разрешите все пакеты через tap интерфейс, у user должен быть прописан маршрут к 10.8.0.0/24 через 192.168.2.2 и обращаться к server он должен по 10.8.0.1, а не по 192.168.1.1, ну или в случай обращения по 192.168.1.1 делать DNAT на 10.8.0.1. для возврата пакетов от server через tap , на server прописать маршрут к 192.168.2.1/32 или к 192.168.2.0/24 через 10.8.0.2 или на debian делать SNAT на tap интерфейсе

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Настройка OpenVPN и Shorewall?" +/–

Сообщение от gRUblo (??) on 13-Июн-09, 09:33

Большое спасибо попробую - отпишусь...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Настройка OpenVPN и Shorewall?" +/–

Сообщение от gRUblo (ok) on 15-Июн-09, 13:37

Настраивал весь день и толку мало... не хочет пинговать и всё тут... пишет что заданный узел недоступен:
interfaces
#ZONE    INTERFACE    BROADCAST    OPTIONS
loc2     eth0        detect          tcpflags,nosmurfs
loc      tap0        detect          tcpflags,nosmurfs

masq
#INTERFACE        SOURCE        ADDRESS        PROTO    PORT(S)    IPSEC    MARK
eth0            tap0
policy
#SOURCE        DEST        POLICY        LOG LEVEL    LIMIT:BURST
$FW             net             ACCEPT          info
loc             net             ACCEPT          info
loc2            loc             ACCEPT          info
loc             loc2            ACCEPT          info
all        all        REJECT

rules
#ACTION        SOURCE        DEST        PROTO    DEST    SOURCE        ORIGINAL    RATE        USER/    MARK
#                            PORT    PORT(S)        DEST        LIMIT        GROUP
DNS/ACCEPT    $FW        net
DNS/ACCEPT    loc        loc2
DNS/ACCEPT    loc2        loc
SSH/ACCEPT      loc             $FW
SSH/ACCEPT      loc2            $FW
SSH/ACCEPT      loc             loc2
SSH/ACCEPT      loc2            loc
Ping/ACCEPT     loc             $FW
Ping/ACCEPT     loc2            $FW
Ping/ACCEPT     loc             loc2
Ping/ACCEPT     loc2            loc
Ping/ACCEPT     loc2            net
ACCEPT        $FW        net        icmp
ACCEPT        $FW        loc        icmp
ACCEPT        $FW        loc2        icmp

Как только не пытался... да видимо не всё так просто как казалось бы...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Настройка OpenVPN и Shorewall?" +/–

Сообщение от ddh (??) on 22-Июл-09, 20:47

>
>masq
>#INTERFACE  SOURCE  ADDRESS  PROTO PORT(S) IPSEC MARK
>eth0   tap0
>
маскарадинг не обязателен, но если действительно нужен, то для соединения user-->tap
надо поменять местами:
tap0   eth0
>
также, в файле shorewall.conf установи параметр: IP_FORWARDING=On

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Настройка OpenVPN и Shorewall?" +/–

Сообщение от gRUblo (ok) on 15-Июн-09, 13:40

забыл про зоны и конфиг...

#ZONE    TYPE    OPTIONS            IN            OUT
#                    OPTIONS            OPTIONS
fw    firewall
net    ipv4
loc    ipv4
loc2    ipv4
конфиг дефолтный только изменил
ADD_SNAT_ALIASES=Yes
DETECT_DNAT_IPADDRS=Yes

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Настройка OpenVPN и Shorewall?" +/–

Сообщение от reader (ok) on 15-Июн-09, 14:40

не, правила для генератора правил без толку тут показывать , iptables-save - это понятней будет
а так же таблицы маршрутизации с user, debian и server

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Настройка OpenVPN и Shorewall?" +/–

Сообщение от gRUblo (ok) on 02-Июл-09, 08:51

>не, правила для генератора правил без толку тут показывать
Получается что без настройки iptales тут не обойтись! Говорили что мол настроил один только shorewall и всё работает!??! или я чего то не понимаю!?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Настройка OpenVPN и Shorewall?" +/–

Сообщение от reader (ok) on 02-Июл-09, 11:52

>>не, правила для генератора правил без толку тут показывать
>
>Получается что без настройки iptales тут не обойтись! Говорили что мол настроил
>один только shorewall и всё работает!??! или я чего то не
>понимаю!?
shorewall - это один из генераторов правил для iptables (если рассматривать сильно упрощенно) и запоминать кто и как создает правила не вариант, лично мне проще было понять как пишутся правила в iptables и теперь не важно как загружались правила для него, посмотрев вывод iptables-save видно какие правила на текущий момент , при этом если вывод перенаправить в файл, то из него же можно их и загрузить или с небольшими затратами сделать скипт для загрузки этих или подправленных правил.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Настройка OpenVPN и Shorewall?" +/–

Сообщение от gRUblo (ok) on 11-Авг-09, 10:33

Огромное спасибо! Разобрался с iptables, но как-то shorewall роднее оказался...
Как говориться каждому своё!
Еще один вопросик меня интересует... я использую VPN и для этого установил OpenVPN... вопрос: есть ли в shorewall свой встроеный "OpenVPN"... и подойдет ли он для замены отдельной программы OpenVPN? Заранее спасибо!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Настройка OpenVPN и Shorewall?"		+/–
Сообщение от reader (ok) on 11-Июн-09, 17:51
разрешите все пакеты через tap интерфейс, у user должен быть прописан маршрут к 10.8.0.0/24 через 192.168.2.2 и обращаться к server он должен по 10.8.0.1, а не по 192.168.1.1, ну или в случай обращения по 192.168.1.1 делать DNAT на 10.8.0.1. для возврата пакетов от server через tap , на server прописать маршрут к 192.168.2.1/32 или к 192.168.2.0/24 через 10.8.0.2 или на debian делать SNAT на tap интерфейсе
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Настройка OpenVPN и Shorewall?"		+/–
	Сообщение от gRUblo (??) on 13-Июн-09, 09:33
	Большое спасибо попробую - отпишусь...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Настройка OpenVPN и Shorewall?"		+/–
	Сообщение от gRUblo (ok) on 15-Июн-09, 13:37
	Настраивал весь день и толку мало... не хочет пинговать и всё тут... пишет что заданный узел недоступен: interfaces #ZONE INTERFACE BROADCAST OPTIONS loc2 eth0 detect tcpflags,nosmurfs loc tap0 detect tcpflags,nosmurfs masq #INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARK eth0 tap0 policy #SOURCE DEST POLICY LOG LEVEL LIMIT:BURST $FW net ACCEPT info loc net ACCEPT info loc2 loc ACCEPT info loc loc2 ACCEPT info all all REJECT rules #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ MARK # PORT PORT(S) DEST LIMIT GROUP DNS/ACCEPT $FW net DNS/ACCEPT loc loc2 DNS/ACCEPT loc2 loc SSH/ACCEPT loc $FW SSH/ACCEPT loc2 $FW SSH/ACCEPT loc loc2 SSH/ACCEPT loc2 loc Ping/ACCEPT loc $FW Ping/ACCEPT loc2 $FW Ping/ACCEPT loc loc2 Ping/ACCEPT loc2 loc Ping/ACCEPT loc2 net ACCEPT $FW net icmp ACCEPT $FW loc icmp ACCEPT $FW loc2 icmp Как только не пытался... да видимо не всё так просто как казалось бы...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Настройка OpenVPN и Shorewall?"		+/–
	Сообщение от ddh (??) on 22-Июл-09, 20:47
	> >masq >#INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARK >eth0 tap0 > маскарадинг не обязателен, но если действительно нужен, то для соединения user-->tap надо поменять местами: tap0 eth0 > также, в файле shorewall.conf установи параметр: IP_FORWARDING=On
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Настройка OpenVPN и Shorewall?"		+/–
	Сообщение от gRUblo (ok) on 15-Июн-09, 13:40
	забыл про зоны и конфиг... #ZONE TYPE OPTIONS IN OUT # OPTIONS OPTIONS fw firewall net ipv4 loc ipv4 loc2 ipv4 конфиг дефолтный только изменил ADD_SNAT_ALIASES=Yes DETECT_DNAT_IPADDRS=Yes
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Настройка OpenVPN и Shorewall?"		+/–
	Сообщение от reader (ok) on 15-Июн-09, 14:40
	не, правила для генератора правил без толку тут показывать , iptables-save - это понятней будет а так же таблицы маршрутизации с user, debian и server
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Настройка OpenVPN и Shorewall?"		+/–
	Сообщение от gRUblo (ok) on 02-Июл-09, 08:51
	>не, правила для генератора правил без толку тут показывать Получается что без настройки iptales тут не обойтись! Говорили что мол настроил один только shorewall и всё работает!??! или я чего то не понимаю!?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Настройка OpenVPN и Shorewall?"		+/–
	Сообщение от reader (ok) on 02-Июл-09, 11:52
	>>не, правила для генератора правил без толку тут показывать > >Получается что без настройки iptales тут не обойтись! Говорили что мол настроил >один только shorewall и всё работает!??! или я чего то не >понимаю!? shorewall - это один из генераторов правил для iptables (если рассматривать сильно упрощенно) и запоминать кто и как создает правила не вариант, лично мне проще было понять как пишутся правила в iptables и теперь не важно как загружались правила для него, посмотрев вывод iptables-save видно какие правила на текущий момент , при этом если вывод перенаправить в файл, то из него же можно их и загрузить или с небольшими затратами сделать скипт для загрузки этих или подправленных правил.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Настройка OpenVPN и Shorewall?"		+/–
	Сообщение от gRUblo (ok) on 11-Авг-09, 10:33
	Огромное спасибо! Разобрался с iptables, но как-то shorewall роднее оказался... Как говориться каждому своё! Еще один вопросик меня интересует... я использую VPN и для этого установил OpenVPN... вопрос: есть ли в shorewall свой встроеный "OpenVPN"... и подойдет ли он для замены отдельной программы OpenVPN? Заранее спасибо!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору