| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| openvpn + internet http://forum.freesco.pl/viewtopic.php?f=24&t=16616 |
Strona 1 z 2 |
| Autor: | passy [ niedziela, 24 lutego 2008, 13:55 ] |
| Tytuł: | openvpn + internet |
Witam. Skonfigurowałem prawidłowo openvpn według opisu http://www.nnd-linux.pl/modules.php?nam ... cle&sid=46 . Wygenerowałem klucze i mogę się połączyć. Mam jednak pytanie, co zrobić by po połączeniu z zewnątrz mieć również internet na kliencie ? Adresacja 192.168.0 Adresacja tun0 192.168.10. |
|
| Autor: | Maciek [ niedziela, 24 lutego 2008, 14:05 ] |
| Tytuł: | |
Cytuj: co zrobić by po połączeniu z zewnątrz mieć również internet na kliencie
Nie bardzo rozumiem. Na jakim kliencie? Na tym, na którym się połączyłeś? Przez internet? |
|
| Autor: | passy [ niedziela, 24 lutego 2008, 14:09 ] |
| Tytuł: | |
Tak. Łączę się przez vpn skonfigurowanym na porcie 443, muszę ponieważ inne porty mam zablokowane z miejsca, z którego się będę łączył via vpn. |
|
| Autor: | tasiorek [ niedziela, 24 lutego 2008, 14:14 ] |
| Tytuł: | |
Moze byc pewniem problem, bo musialbys dac jako brame domyslna ip serwera vpnu, a taka juz masz. Mozesz sprobowac skonfigurowac routing tylko do serwera vpn, a brame domyslna dodawac po polaczeniu, ale nie wiem, czy to sie uda. |
|
| Autor: | passy [ niedziela, 24 lutego 2008, 20:51 ] |
| Tytuł: | |
Niestety nic to nie dało. A czy można tak skonfigurować ip openvpna by była taka sama adresacji jak mojej sieci, czyli 192.168.0 ? Jeśli to dałoby coś to mam jeszcze router sprzętowy, który mogę wykorzystać i mogłoby to wyglądać tak, żeby serwer routował na urządzenia w sieci o adresacji 192.168.10 bo w tej konfiguracji tak nie jest 
EDIT Ok. Ping na 192.168.0.1 idzie, teraz podejrzewam, że problem leży w ustawieniach windowsa. Jak mogę zmienić na stałe stateczne wpisy w xp-ku ? |
|
| Autor: | tasiorek [ poniedziałek, 25 lutego 2008, 00:23 ] |
| Tytuł: | |
passy pisze: Niestety nic to nie dało.
Niestety szklana kula cos mi szwankuje. |
|
| Autor: | passy [ poniedziałek, 25 lutego 2008, 00:27 ] |
| Tytuł: | |
Cytuj: Moze byc pewniem problem, bo musialbys dac jako brame domyslna ip serwera vpnu, a taka juz masz. Mozesz sprobowac skonfigurowac routing tylko do serwera vpn, a brame domyslna dodawac po polaczeniu, ale nie wiem, czy to sie uda.
Zmiana bramy domyślnej nic nie dała
Podczas połączenia pojawia mi się jeszcze takie komunikaty Sun Feb 24 23:41:57 2008 us=833771 Route: Waiting for TUN/TAP interface to come up... Sun Feb 24 23:41:59 2008 us=97041 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down Sun Feb 24 23:41:59 2008 us=97096 Route: Waiting for TUN/TAP interface to come up... Sun Feb 24 23:42:00 2008 us=360604 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down Sun Feb 24 23:42:00 2008 us=360789 route ADD 192.168.0.0 MASK 255.255.255.0 192.168.10.5 Sun Feb 24 23:42:00 2008 us=367973 ROUTE: route addition failed using CreateIpForwardEntry: Co najmniej jeden argument jest niepoprawny. [if_index=17] Sun Feb 24 23:42:00 2008 us=368016 Route addition via IPAPI failed Sun Feb 24 23:42:00 2008 us=368053 route ADD 192.168.10.1 MASK 255.255.255.255 192.168.10.5 Sun Feb 24 23:42:00 2008 us=372172 ROUTE: route addition failed using CreateIpForwardEntry: Co najmniej jeden argument jest niepoprawny. [if_index=17] Sun Feb 24 23:42:00 2008 us=372218 Route addition via IPAPI failed Sun Feb 24 23:42:00 2008 us=372251 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv ) |
|
| Autor: | tasiorek [ poniedziałek, 25 lutego 2008, 00:37 ] |
| Tytuł: | |
Narysuj jakis prosty schemat i opisz co zmieniales. |
|
| Autor: | passy [ poniedziałek, 25 lutego 2008, 00:54 ] |
| Tytuł: | |
to jest mój plik multi.conf verb 4 log-append /var/log/openvpn.log ca /etc/openvpn/certyfikat_rootca.pem cert /etc/openvpn/certyfikat_bramy.pem key /etc/openvpn/klucz_bramy.pem tls-server dh /etc/openvpn/dh1024.pem mode server # poniżej podany zakres sieci oznacza, że serwer na interfejsie tun0 będzie miał numer 192.168.10.1 # klienci dostaną numery od 2 wzwyż server 192.168.10.0 255.255.255.0 # przed uruchomieniem serwera ten plik należy stworzyć ifconfig-pool-persist /etc/openvpn/ipp.txt #ponizsze opcje można zmieniać w zależności od potrzeb, DOMAIN zależy od grupy roboczej w jakiej jest serwer, #można użyć domeny jeśli jest w niej sieć, serwer DNS należy wpisac taki jaki jest w danej sieci, #route z kolei musi zawierać zakres realnej sieci za serwerem VPN, #klasa ta nie może się pokrywać z siecią po stronie klientów push "dhcp-option DOMAIN lodzka" push "dhcp-option DNS 192.168.0.1" push "route 192.168.0.0 255.255.255.0" push "ping 20" push "ping restart 120" Dziwne, bo jak byłem poza swoją siecią to po połączeniu mogłem pingować 192.168.0.1 a od siebie z domu nie mogę pomimo, że jest "push "route 192.168.0.0"" baaardzo uproszczony schemat sieci http://panet.pl/vpn.jpg Jeszcze konfig klienta tls-client dev tun proto tcp-client comp-lzo persist-tun persist-key verb 4 ca C:\\certyfikat_rootca.pem cert C:\\certyfikat_lukasz.pem key C:\\klucz_lukasz.pem remote ipzewnetrzne pull port 443 ping 15 Znalazłem jeszcze taką stronkę, ale nie wiem jak zmiany zaimplementować u siebie. http://forum.slackware.pl/printview.php ... 2ea57b60f4 |
|
| Autor: | tasiorek [ poniedziałek, 25 lutego 2008, 01:03 ] |
| Tytuł: | |
Wlasnie sprawdzilem i to co napisalem dziala. 1. usuwasz brame domyslna z widnowsa 2. dodajesz wpis o trasie do serwera vpn przez ip ktore bylo brama 3. laczysz sie z serwerem vpn 4. jako brame domyslna ustawiasz ip serwera vpn (nie to ktore masz w konfigu klienta, tylko to od tunelu vpn) Jesli dalej nie dziala, to sprawdz zezwolenie na forward i maskarade. |
|
| Autor: | passy [ poniedziałek, 25 lutego 2008, 01:18 ] |
| Tytuł: | |
1. usuwasz brame domyslna z widnowsa 2. dodajesz wpis o trasie do serwera vpn przez ip ktore bylo brama czy można ciutkę jaśniej ? dostaję jeszcze w logu klienta komunikaty o niemożności komunikacji z gateway Mon Feb 25 00:34:26 2008 us=240330 SENT CONTROL [lukasz]: 'PUSH_REQUEST' (status=1) Mon Feb 25 00:34:26 2008 us=422887 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DOMAIN lodzka,dhcp-option DNS 192.168.0.1,route 192.168.0.0 255.255.255.0,ping 20,ping restart 120,route 192.168.10.1,ifconfig 192.168.10.6 192.168.10.5' Mon Feb 25 00:34:26 2008 us=423172 OPTIONS IMPORT: timers and/or timeouts modified Mon Feb 25 00:34:26 2008 us=423205 OPTIONS IMPORT: --ifconfig/up options modified Mon Feb 25 00:34:26 2008 us=423229 OPTIONS IMPORT: route options modified Mon Feb 25 00:34:26 2008 us=423362 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified Mon Feb 25 00:34:26 2008 us=440674 TAP-WIN32 device [Połączenie lokalne 7] opened: \\.\Global\{5F93A93D-0360-4F66-9743-38526BDA8731}.tap Mon Feb 25 00:34:26 2008 us=440756 TAP-Win32 Driver Version 8.4 Mon Feb 25 00:34:26 2008 us=440796 TAP-Win32 MTU=1500 Mon Feb 25 00:34:26 2008 us=440866 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.10.6/255.255.255.252 on interface {5F93A93D-0360-4F66-9743-38526BDA8731} [DHCP-serv: 192.168.10.5, lease-time: 31536000] Mon Feb 25 00:34:26 2008 us=440914 DHCP option string: 0f066c6f 647a6b61 0604c0a8 0001 Mon Feb 25 00:34:26 2008 us=441855 Successful ARP Flush on interface [17] {5F93A93D-0360-4F66-9743-38526BDA8731} Mon Feb 25 00:34:26 2008 us=574133 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up Mon Feb 25 00:34:26 2008 us=574303 route ADD 192.168.0.0 MASK 255.255.255.0 192.168.10.5 Mon Feb 25 00:34:26 2008 us=614963 Warning: route gateway is not reachable on any active network adapters: 192.168.10.5 Mon Feb 25 00:34:26 2008 us=615113 Route addition via IPAPI failed Mon Feb 25 00:34:26 2008 us=615153 route ADD 192.168.10.1 MASK 255.255.255.255 192.168.10.5 Mon Feb 25 00:34:26 2008 us=640332 Warning: route gateway is not reachable on any active network adapters: 192.168.10.5 Mon Feb 25 00:34:26 2008 us=640482 Route addition via IPAPI failed Mon Feb 25 00:34:26 2008 us=640515 Initialization Sequence Completed Po połączeniu nie mogę spingować ani 192.168.0.1 ani nawet 192.168.10.1 EDIT Pingi na 192.168.0.1 idą, wymagało to dołożenia dwóch wpisów w Viscie, ale nadal nie mogę pinga puścić na 192.168.10.1 |
|
| Autor: | tasiorek [ poniedziałek, 25 lutego 2008, 10:02 ] |
| Tytuł: | |
Znajdujesz linie z miejscem docelowym 0.0.0.0 i zapamietujesz brame Cytuj: route delete 0.0.0.0 route add zewnetrzne_ip_serwera_vpn mask 255.255.255.255 brama_zczytana_z_polecenia_route_print laczysz sie z serwerem vpn Patrzysz jakie ip Ci przydzielilo. Brama nie bedzie 192.168.10.1, tylko jedno ip nizej niz przydzielone. W tym przypadku przydzielilo Ci 192.168.10.6, wiec brama vpna jest 192.168.10.5. Dodajesz trase domyslna przez vpna: tasiorek pisze: Jesli dalej nie dziala, to sprawdz zezwolenie na forward i maskarade.
|
|
| Autor: | passy [ poniedziałek, 25 lutego 2008, 23:11 ] |
| Tytuł: | |
Tasiorek!!!! Jesteś wielki. Działa  Dziękuję Ci bardzo
|
|
| Autor: | passy [ wtorek, 26 lutego 2008, 13:14 ] |
| Tytuł: | |
Działa ale u mnie w sieci (mojej prywatnej) z miejsca docelowego (tam gdzie teraz jestem nie działa - tzn wogole internet się rozłacza i połączenie vpn również się rozłącza). Poniżej wyniki route print z windowsa: Aktywne trasy: Miejsce docelowe w sieci Maska sieci Brama Interfejs Metryka 0.0.0.0 0.0.0.0 223.10.2.1 223.10.2.97 20 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.10.0 255.255.255.0 192.168.10.6 192.168.10.6 30 192.168.10.6 255.255.255.255 127.0.0.1 127.0.0.1 30 192.168.10.255 255.255.255.255 192.168.10.6 192.168.10.6 30 223.10.2.0 255.255.255.0 223.10.2.97 223.10.2.97 20 223.10.2.97 255.255.255.255 127.0.0.1 127.0.0.1 20 223.10.2.255 255.255.255.255 223.10.2.97 223.10.2.97 20 224.0.0.0 240.0.0.0 192.168.10.6 192.168.10.6 30 224.0.0.0 240.0.0.0 223.10.2.97 223.10.2.97 20 255.255.255.255 255.255.255.255 192.168.10.6 192.168.10.6 1 255.255.255.255 255.255.255.255 223.10.2.97 223.10.2.97 1 Domyślna brama: 223.10.2.1. |
|
| Autor: | Maciek [ wtorek, 26 lutego 2008, 13:37 ] |
| Tytuł: | |
Mnie zastanawiaja te IP 223.x.x.x. Czy to jest realny zewnętrzny IP dla danej sieci? |
|
| Autor: | passy [ wtorek, 26 lutego 2008, 13:46 ] |
| Tytuł: | |
nie, to jest wewnętrzna adresacja (VLAN) |
|
| Autor: | MAC!EK [ wtorek, 26 lutego 2008, 16:56 ] |
| Tytuł: | |
$ ipcalc 223.10.2.0 Address: 223.10.2.0 11011111.00001010.00000010. 00000000 Netmask: 255.255.255.0 = 24 11111111.11111111.11111111. 00000000 Wildcard: 0.0.0.255 00000000.00000000.00000000. 11111111 => Network: 223.10.2.0/24 11011111.00001010.00000010. 00000000 HostMin: 223.10.2.1 11011111.00001010.00000010. 00000001 HostMax: 223.10.2.254 11011111.00001010.00000010. 11111110 Broadcast: 223.10.2.255 11011111.00001010.00000010. 11111111 Hosts/Net: 254 Class C hmm będą problemy, to nie są adresy prywatne |
|
| Autor: | passy [ wtorek, 26 lutego 2008, 21:32 ] |
| Tytuł: | |
Skoro się nie da to trudno. Ważne że mam połączenie z własną siecią. Najwyżej połączę się via RDP z kompem w domu i jakoś dam sobie radę. Wolałbym jednak mieć to "po Bożemu". Sieć wewnętrzna ma kilka adresacji zaczynających się na 223.x.x.x jest to zależne od VLANu do którego przypisze admin. |
|
| Autor: | tasiorek [ wtorek, 26 lutego 2008, 23:17 ] |
| Tytuł: | |
passy pisze: Działa ale u mnie w sieci (mojej prywatnej) z miejsca docelowego (tam gdzie teraz jestem nie działa - tzn wogole internet się rozłacza i połączenie vpn również się rozłącza).
No i ma sie rozlaczyc po usunieciu bramy domyslnej (route delete 0.0.0.0). Polaczenie z vpnem powinienes nawiazac dopiero po usunieciu bramy i dodaniu trasy do serwera vpn (route add zewnetrzne_ip_serwera_vpn mask 255.255.255.255 brama_zczytana_z_polecenia_route_print). Zadne zdalne pulpity nie sa potrzebne. |
|
| Autor: | topa [ czwartek, 28 sierpnia 2008, 20:37 ] |
| Tytuł: | |
Zrobiłem dokładnie w/g opisu tasiorka i działa. Pozostała konfiguracja jak w http://www.nnd-linux.pl/modules.php?nam ... cle&sid=48 Ruszyło za 1 razem. Podziękowania dla Tasiorka 
|
|
| Strona 1 z 2 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|
