Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest piątek, 29 marca 2024, 13:05

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 28 ]  Przejdź na stronę 1, 2  Następna
Autor Wiadomość
 Tytuł: openvpn
Post: wtorek, 10 czerwca 2008, 11:26 
Offline

Rejestracja: sobota, 27 stycznia 2007, 14:10
Posty: 80
Witam
Pytanko

Czy da sie skonfigurowa openvpna tak aby na postawie kluczy (key) dało się podłączy więcej niż jednego klienta?

Nie odsyłajcie mnie do strony nnd z konfiguracją bo to czytałem.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 10 czerwca 2008, 11:39 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Według mnie to nie jest możliwe. Ktoś - zdaje się, twierdził inaczej - ale żaden praktyczny opis umożliwiający weryfikację takiego stwierdzenia nie istnieje do tej pory.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 10 czerwca 2008, 11:42 
Offline

Rejestracja: sobota, 27 stycznia 2007, 14:10
Posty: 80
czyli pozostają tylko certyfikaty albo logowanie tak ? jesli sie myle to mnie poprawcie...


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 10 czerwca 2008, 12:20 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Nie "albo logowanie". Przeczytaj sobie dokładnie opisy na www.nnd-linux.pl.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 10 czerwca 2008, 13:53 
Offline
Użytkownik

Rejestracja: niedziela, 8 kwietnia 2007, 15:17
Posty: 383
no to podpinam się pod temat z troche innym problemem robione wszystko jak na nnd-linux.pl stanąłem w 1 miejscu chodzi o cacert.pem którego nie mam

: [/] [] ()
[root@pati rootca]# openssl ca -in request_bramy.pem -out cacert.pem
Using configuration from /etc/ssl/openssl.cnf
Error opening CA certificate /rootca/cacert.pem
17614:error:02001002:system library:fopen:No such file or directory:bss_file.c:352:fopen('/rootca/cacert.pem','r')
17614:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:354:
unable to load certificate

_________________
Jeśli post okazał się pomocny kliknij Pomógł
GG: 9822296
Obrazek
Multimo 2Mb


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 10 czerwca 2008, 14:58 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Zrób jeszcze raz dokładnie wszystko co jest w opisie to będziesz miał cacert.pem.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 10 czerwca 2008, 15:02 
Offline

Rejestracja: sobota, 27 stycznia 2007, 14:10
Posty: 80
zrobielm wszystko wg instrukcji na nnd-linux. przyznam szczerze ze dziala, ale jest male ale. Nikt tam nie wspomnial, ze jak sie tworzy certyfikaty i wyskakują zapytania o kod kraju, nazwe firmy i itd, to najlapiej jest tam wpisywac to samo. Pozniej przy tworzeniu certyfikatu dla kolejnego usera, wyskakują komunikaty ze oznaczenia (np kraju, dwoch liter) nie są zgodne z certyfikatem roota. Jak juz do tego doszedlem to certyfikaty zostaly wygenerowane prawidlowo. Kolejną rzeczą która mnie zatrzymala byla sciezka dostepu do certow z poziomu windowsowego openvpna. to samo mialem wczesniej jak robilem identyfikacje na kluczu. sciezka c:costam.key nie byla prawidlowa. wyrzucalo komunikat ze nie ma tam pliku. pomoglo wrzucenie certow (ew. klucza) do tego samego folderu co plik konfiguracyjny, a w pliku konfiguracyjnym zapis bez sciezki, czyli sama nazwa pliku. Poprostu costam.key (na przykladzie klucza).

Jesli cos skopsałem lub sie myle to mnie poprawcie. Po tych zabiegach i skonfigurowaniu openvpn do autoryzacji po certyfikatach, udalo sie wywołac wiecej niz jedno polaczenie jesli chodzi o klientow. A propos tego co napisal Maciek. Nie odbywa sie tam zadne logowanie z palca. Jedyne co to są sprawdzane certyfiakty.

pozdrawiam


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 10 czerwca 2008, 15:18 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
No cóż.. jeśli chodzi o same pliki certyfikatów, to w plikach konfiguracyjnych są ścieżki (w przypadku linuksowego serwera czy klienta, jest sprawą oczywistą, że trzeba sobie pliki przekopiować). W przypadku klienta windowsowego także są w przykładzie ścieżki do certyfikatu z tym, że zabrakło w nich backslasha, ale w końcu chyba można wymagać od kogoś, kto podejmuje się konfiguracji, że wie jak wyglądają prawidłowe ścieżki w pliku. Oczywiście najprostszą sprawą jest umieszczenie certyfikatów w tym samym miejscu, gdzie jest plik konfiguracyjny i nie ma w tym nic złego. Co do samego generowania certyfikatów - racja, dane muszą się pokrywać w kolejnych certyfikatach - nie można sobie tego losowo wymyślać. W sumie, może należało o tym napisać, choć mi wydało się to oczywiste. A propos tego - co napisałem - oczywiście nie odbywa się żadne logowanie - to usiłowałem dać do zrozumienia w ostatnim poście.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 10 czerwca 2008, 16:11 
Offline

Rejestracja: sobota, 27 stycznia 2007, 14:10
Posty: 80
no wlasnie problem polega na tym ze dalem tez backslasha i nadal bylo zle, a plik napewno byl w swoim miejscu. no ale nie chce mi sie juz z tym kombinowac bo certy nie przeszkadzają mi tam gdzie plik ovpn.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 10 czerwca 2008, 18:20 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
Ja twierdzilem, ale sie pomylilem. Jedynym znanym mi sposobem zeby podlaczyc kilku klientow na kluczach trzeba odpalic kilka serwerow na roznych portach. O sensownosci takiego rozwiazania nie bede dyskutowal ;)

realisty, jesli robisz juz bezmyslnie wedlug opisu, to stosuj sie do niego w 100%. W tym wpadku pominales to:

Cytuj:
##########ZMIANA#############
certificate = $dir/certyfikat_rootca.pem # The CA certificate

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 12 czerwca 2008, 13:48 
Offline

Rejestracja: sobota, 27 stycznia 2007, 14:10
Posty: 80
kolejne pytanie

Czy ktoś z was może wie jak zrobić taką rzecz:

serwer ma adres 10.0.0.1
komputery w sieci mają adresy 10.0.0.10 i kolejno aż do 10.0.0.30
jak wiadomo widzą się (wszedzie maska 255.0.0.0)

podpinam klienta na vpn'ie i dostaje on adres zalozmy 10.0.1.6 i problem polega na tym że dostaje maske 255.255.255.252. nie widzi pozostałych komputerów. widzi natomiast tylko serwer na adresie 10.0.1.1.

Chciałbym zrobić tak żeby się widziały wszystkie. Czy jest to kwestia zmiany maski? Czy trzeba dokonać wpisu do tablicy z routingiem?


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 12 czerwca 2008, 14:01 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
Trzeba uruchomic openvpna w trybie bridge (nie polecam) i przydzielac ip z tego samego adresu.
Mozna tez uruchomic w trybie routingu jak jest w opisie i przeslac odpowiednie trasy routingu za pomoca push. Przy zalozeniu ze serwer z openvpnem jest brama domyslna dla kompow podpietych bezposrednio to wystarczy. Jesli nie, to trzeba jeszcze na tych komputerach dodat trase do klientow openvpna.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 12 czerwca 2008, 14:15 
Offline

Rejestracja: sobota, 27 stycznia 2007, 14:10
Posty: 80
ok rozumiem.

bardziej mi pasuje opcja puszczenia tego przez route. ale teraz sprawa.

: [/] [] ()
"route 10.0.100.1 255.255.255.0"


mam taką instrukcję i wywala mi taki błąd:

: [/] [] ()
Warning: address 10.0.0.1 is not a network
address in relation to netmask 255.255.255.0
Thu Jun 12 14:13:49 2008 us=782046 ROUTE: route addition failed using CreateIpFo
rwardEntry: Parametr jest niepoprawny.   [if_index=4]


dlaczego ? odrazu zaznaczam że jak dam w tym miejscu maske 255.0.0.0 to jest to samo...


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 12 czerwca 2008, 14:19 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
10.0.100.1 nie jest w tym wypadku adresem sieci.
Moze jeszcze raz:
Klientow wpietych bezposrednio masz w klasie 10.0.0.0/24 (nie /8 ) i router z openvpnem jest dla nich brama domyslna. Ludziom z opnevpna przypisujesz adresy z klasy 10.0.1.0/24. Wtedy z serwera pchasz trase do klientow openvpna za pomoca polecenia:
push "route 10.0.0.0 255.255.255.0"

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 12 czerwca 2008, 14:31 
Offline

Rejestracja: sobota, 27 stycznia 2007, 14:10
Posty: 80
moglbys mi jeszcze wytlumaczyc dlaczego /24 a nie /8 ?


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 12 czerwca 2008, 14:32 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Masz 16777216 szt. komputerów?

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 12 czerwca 2008, 14:33 
Offline

Rejestracja: sobota, 27 stycznia 2007, 14:10
Posty: 80
nadal nie idzie ping do 10.0.0.1 :(


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 12 czerwca 2008, 14:38 
Offline

Rejestracja: sobota, 27 stycznia 2007, 14:10
Posty: 80
config:

dev tun
tun-mtu 1500
port 1194
user nobody
group nobody
comp-lzo
proto tcp-server
ping 20
ping-restart 120
ping-timer-rem
persist-tun
persist-key
daemon
verb 4
log-append /var/log/openvpn.log
ca /etc/openvpn/certyfikat_rootca.pem
cert /etc/openvpn/certyfikat_bramy.pem
key /etc/openvpn/klucz_bramy.pem
tls-server
dh /etc/openvpn/dh1024.pem
mode server
server 10.0.100.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/ipp.txt
push "dhcp-option DOMAIN workgroup"
push "dhcp-option DNS 10.0.0.1"
push "route 10.0.0. 255.255.255.0"
push "ping 20"
push "ping restart 120"


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 12 czerwca 2008, 14:38 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
Poniewaz komputer o adresie np 10.0.0.10 z maska /8 bedzie starala sie komunikowac z ip od 10.0.0.1 do 10.255.255.254 bezposrednio, a w Twoim wypadku powinien to zrobic przez brame domyslna. Innym rozwiazaniem jest przydzielenie klientom openvpna ipkow np 192.168.0.0/24, ale nie widze sensu w stosowaniu maski /8 ktore obejmuje jak juz Ci Maciek napisal 16777214 adresow do wykorzystania dla 22 urzadzen.

orzyl2 pisze:
nadal nie idzie ping do 10.0.0.1

Bo isc nie powinien. Na sieciowce masz 10.0.0.1/8 ktore zawiera juz w sobie 10.0.100.0/24.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 12 czerwca 2008, 14:51 
Offline

Rejestracja: sobota, 27 stycznia 2007, 14:10
Posty: 80
na sieciowce od strony sieci wewnetrznej mam 10.0.0.1 i maske 255.255.255.0. Chyba że przeszkadza to że na komputerach w sieci są maski 255.0.0.0??

EDIT:
super dziala... zrobilem juz te maski na /24 i jeszcze znalazlem literowke w configu. dzieki Panowie.

EDIT:
a chcecie mi jeszcze troche pomoc ?

kwestia teraz tego ze. klient po vpnie dostaje adres 10.0.100.6, serwer widzi zarowno na 10.0.100.1 i 10.0.0.1. mozna sie dostac pod oboma adresami. i teraz tak. idzie ping na maszyne w sieci lokalnej czyli 10.0.0.10. ale nie moge sie dostac do zasobow. czy to kwestia tego ze te kompy muszą być w tej samej podsieci? bo teraz nie są 10.0.0.10 i 10.0.100.6 no to nie ta sama podsiec przy okazji maski 255.255.255.0. jak uważacie?

jesli chodzi o same podsieci to moze poprostu przerzuce sie na maske /23 klientow na vpnie dam na 10.0.1.0 a reszte lokalną na 10.0.0.0 i bedzie wszystko widoczne?

EDIT:
dobra na chwile obecna konfiguracja prezentuje sie tak :

serwer(10.0.0.1/24) - za nim lokalnie komputery od 10.0.0.10 do 10.0.0.30 / 24
| (10.0.1.1/24)
|
klient na vpn (10.0.1.6/24)

pingi idą z 10.0.1.6 do: 10.0.0.1, 10.0.1.1, oraz do 10.0.0.10. wszystko fajnie

natomiast pingi nie idą z 10.0.0.10 do 10.0.1.6

nie mozna tez z 10.0.1.6 dostac sie do zasobow komputera 10.0.0.10 (ale pingi idą).

napewno mozną się dostać z 10.0.0.11 do zasobów z 10.0.0.10

mozna dostac sie do zasobów z 10.0.1.6 do 10.0.0.1.

pomocy.... ja juz wymiękam...


JakubC: Pobawiłem się w sklejanie. Nie pisz post pod postem, używaj opcji edytuj.


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 28 ]  Przejdź na stronę 1, 2  Następna

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 11 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl