| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| openvpn http://forum.freesco.pl/viewtopic.php?f=8&t=16950 |
Strona 1 z 2 |
| Autor: | orzyl [ wtorek, 10 czerwca 2008, 11:26 ] |
| Tytuł: | openvpn |
Witam Pytanko Czy da sie skonfigurowa openvpna tak aby na postawie kluczy (key) dało się podłączy więcej niż jednego klienta? Nie odsyłajcie mnie do strony nnd z konfiguracją bo to czytałem. |
|
| Autor: | Maciek [ wtorek, 10 czerwca 2008, 11:39 ] |
| Tytuł: | |
Według mnie to nie jest możliwe. Ktoś - zdaje się, twierdził inaczej - ale żaden praktyczny opis umożliwiający weryfikację takiego stwierdzenia nie istnieje do tej pory. |
|
| Autor: | orzyl [ wtorek, 10 czerwca 2008, 11:42 ] |
| Tytuł: | |
czyli pozostają tylko certyfikaty albo logowanie tak ? jesli sie myle to mnie poprawcie... |
|
| Autor: | Maciek [ wtorek, 10 czerwca 2008, 12:20 ] |
| Tytuł: | |
Nie "albo logowanie". Przeczytaj sobie dokładnie opisy na www.nnd-linux.pl. |
|
| Autor: | realisty [ wtorek, 10 czerwca 2008, 13:53 ] |
| Tytuł: | |
no to podpinam się pod temat z troche innym problemem robione wszystko jak na nnd-linux.pl stanąłem w 1 miejscu chodzi o cacert.pem którego nie mam [root@pati rootca]# openssl ca -in request_bramy.pem -out cacert.pem Using configuration from /etc/ssl/openssl.cnf Error opening CA certificate /rootca/cacert.pem 17614:error:02001002:system library:fopen:No such file or directory:bss_file.c:352:fopen('/rootca/cacert.pem','r') 17614:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:354: unable to load certificate |
|
| Autor: | Maciek [ wtorek, 10 czerwca 2008, 14:58 ] |
| Tytuł: | |
Zrób jeszcze raz dokładnie wszystko co jest w opisie to będziesz miał cacert.pem. |
|
| Autor: | orzyl [ wtorek, 10 czerwca 2008, 15:02 ] |
| Tytuł: | |
zrobielm wszystko wg instrukcji na nnd-linux. przyznam szczerze ze dziala, ale jest male ale. Nikt tam nie wspomnial, ze jak sie tworzy certyfikaty i wyskakują zapytania o kod kraju, nazwe firmy i itd, to najlapiej jest tam wpisywac to samo. Pozniej przy tworzeniu certyfikatu dla kolejnego usera, wyskakują komunikaty ze oznaczenia (np kraju, dwoch liter) nie są zgodne z certyfikatem roota. Jak juz do tego doszedlem to certyfikaty zostaly wygenerowane prawidlowo. Kolejną rzeczą która mnie zatrzymala byla sciezka dostepu do certow z poziomu windowsowego openvpna. to samo mialem wczesniej jak robilem identyfikacje na kluczu. sciezka c:costam.key nie byla prawidlowa. wyrzucalo komunikat ze nie ma tam pliku. pomoglo wrzucenie certow (ew. klucza) do tego samego folderu co plik konfiguracyjny, a w pliku konfiguracyjnym zapis bez sciezki, czyli sama nazwa pliku. Poprostu costam.key (na przykladzie klucza). Jesli cos skopsałem lub sie myle to mnie poprawcie. Po tych zabiegach i skonfigurowaniu openvpn do autoryzacji po certyfikatach, udalo sie wywołac wiecej niz jedno polaczenie jesli chodzi o klientow. A propos tego co napisal Maciek. Nie odbywa sie tam zadne logowanie z palca. Jedyne co to są sprawdzane certyfiakty. pozdrawiam |
|
| Autor: | Maciek [ wtorek, 10 czerwca 2008, 15:18 ] |
| Tytuł: | |
No cóż.. jeśli chodzi o same pliki certyfikatów, to w plikach konfiguracyjnych są ścieżki (w przypadku linuksowego serwera czy klienta, jest sprawą oczywistą, że trzeba sobie pliki przekopiować). W przypadku klienta windowsowego także są w przykładzie ścieżki do certyfikatu z tym, że zabrakło w nich backslasha, ale w końcu chyba można wymagać od kogoś, kto podejmuje się konfiguracji, że wie jak wyglądają prawidłowe ścieżki w pliku. Oczywiście najprostszą sprawą jest umieszczenie certyfikatów w tym samym miejscu, gdzie jest plik konfiguracyjny i nie ma w tym nic złego. Co do samego generowania certyfikatów - racja, dane muszą się pokrywać w kolejnych certyfikatach - nie można sobie tego losowo wymyślać. W sumie, może należało o tym napisać, choć mi wydało się to oczywiste. A propos tego - co napisałem - oczywiście nie odbywa się żadne logowanie - to usiłowałem dać do zrozumienia w ostatnim poście. |
|
| Autor: | orzyl [ wtorek, 10 czerwca 2008, 16:11 ] |
| Tytuł: | |
no wlasnie problem polega na tym ze dalem tez backslasha i nadal bylo zle, a plik napewno byl w swoim miejscu. no ale nie chce mi sie juz z tym kombinowac bo certy nie przeszkadzają mi tam gdzie plik ovpn. |
|
| Autor: | tasiorek [ wtorek, 10 czerwca 2008, 18:20 ] |
| Tytuł: | |
Ja twierdzilem, ale sie pomylilem. Jedynym znanym mi sposobem zeby podlaczyc kilku klientow na kluczach trzeba odpalic kilka serwerow na roznych portach. O sensownosci takiego rozwiazania nie bede dyskutowal 
realisty, jesli robisz juz bezmyslnie wedlug opisu, to stosuj sie do niego w 100%. W tym wpadku pominales to: Cytuj: ##########ZMIANA#############
certificate = $dir/certyfikat_rootca.pem # The CA certificate |
|
| Autor: | orzyl [ czwartek, 12 czerwca 2008, 13:48 ] |
| Tytuł: | |
kolejne pytanie Czy ktoś z was może wie jak zrobić taką rzecz: serwer ma adres 10.0.0.1 komputery w sieci mają adresy 10.0.0.10 i kolejno aż do 10.0.0.30 jak wiadomo widzą się (wszedzie maska 255.0.0.0) podpinam klienta na vpn'ie i dostaje on adres zalozmy 10.0.1.6 i problem polega na tym że dostaje maske 255.255.255.252. nie widzi pozostałych komputerów. widzi natomiast tylko serwer na adresie 10.0.1.1. Chciałbym zrobić tak żeby się widziały wszystkie. Czy jest to kwestia zmiany maski? Czy trzeba dokonać wpisu do tablicy z routingiem? |
|
| Autor: | tasiorek [ czwartek, 12 czerwca 2008, 14:01 ] |
| Tytuł: | |
Trzeba uruchomic openvpna w trybie bridge (nie polecam) i przydzielac ip z tego samego adresu. Mozna tez uruchomic w trybie routingu jak jest w opisie i przeslac odpowiednie trasy routingu za pomoca push. Przy zalozeniu ze serwer z openvpnem jest brama domyslna dla kompow podpietych bezposrednio to wystarczy. Jesli nie, to trzeba jeszcze na tych komputerach dodat trase do klientow openvpna. |
|
| Autor: | orzyl [ czwartek, 12 czerwca 2008, 14:15 ] |
| Tytuł: | |
ok rozumiem. bardziej mi pasuje opcja puszczenia tego przez route. ale teraz sprawa. mam taką instrukcję i wywala mi taki błąd: Warning: address 10.0.0.1 is not a network address in relation to netmask 255.255.255.0 Thu Jun 12 14:13:49 2008 us=782046 ROUTE: route addition failed using CreateIpFo rwardEntry: Parametr jest niepoprawny. [if_index=4] dlaczego ? odrazu zaznaczam że jak dam w tym miejscu maske 255.0.0.0 to jest to samo... |
|
| Autor: | tasiorek [ czwartek, 12 czerwca 2008, 14:19 ] |
| Tytuł: | |
10.0.100.1 nie jest w tym wypadku adresem sieci. Moze jeszcze raz: Klientow wpietych bezposrednio masz w klasie 10.0.0.0/24 (nie /8 ) i router z openvpnem jest dla nich brama domyslna. Ludziom z opnevpna przypisujesz adresy z klasy 10.0.1.0/24. Wtedy z serwera pchasz trase do klientow openvpna za pomoca polecenia: push "route 10.0.0.0 255.255.255.0" |
|
| Autor: | orzyl [ czwartek, 12 czerwca 2008, 14:31 ] |
| Tytuł: | |
moglbys mi jeszcze wytlumaczyc dlaczego /24 a nie /8 ? |
|
| Autor: | Maciek [ czwartek, 12 czerwca 2008, 14:32 ] |
| Tytuł: | |
Masz 16777216 szt. komputerów? |
|
| Autor: | orzyl [ czwartek, 12 czerwca 2008, 14:33 ] |
| Tytuł: | |
nadal nie idzie ping do 10.0.0.1 
|
|
| Autor: | orzyl [ czwartek, 12 czerwca 2008, 14:38 ] |
| Tytuł: | |
config: dev tun tun-mtu 1500 port 1194 user nobody group nobody comp-lzo proto tcp-server ping 20 ping-restart 120 ping-timer-rem persist-tun persist-key daemon verb 4 log-append /var/log/openvpn.log ca /etc/openvpn/certyfikat_rootca.pem cert /etc/openvpn/certyfikat_bramy.pem key /etc/openvpn/klucz_bramy.pem tls-server dh /etc/openvpn/dh1024.pem mode server server 10.0.100.0 255.255.255.0 ifconfig-pool-persist /etc/openvpn/ipp.txt push "dhcp-option DOMAIN workgroup" push "dhcp-option DNS 10.0.0.1" push "route 10.0.0. 255.255.255.0" push "ping 20" push "ping restart 120" |
|
| Autor: | tasiorek [ czwartek, 12 czerwca 2008, 14:38 ] |
| Tytuł: | |
Poniewaz komputer o adresie np 10.0.0.10 z maska /8 bedzie starala sie komunikowac z ip od 10.0.0.1 do 10.255.255.254 bezposrednio, a w Twoim wypadku powinien to zrobic przez brame domyslna. Innym rozwiazaniem jest przydzielenie klientom openvpna ipkow np 192.168.0.0/24, ale nie widze sensu w stosowaniu maski /8 ktore obejmuje jak juz Ci Maciek napisal 16777214 adresow do wykorzystania dla 22 urzadzen. orzyl2 pisze: nadal nie idzie ping do 10.0.0.1
Bo isc nie powinien. Na sieciowce masz 10.0.0.1/8 ktore zawiera juz w sobie 10.0.100.0/24. |
|
| Autor: | orzyl [ czwartek, 12 czerwca 2008, 14:51 ] |
| Tytuł: | |
na sieciowce od strony sieci wewnetrznej mam 10.0.0.1 i maske 255.255.255.0. Chyba że przeszkadza to że na komputerach w sieci są maski 255.0.0.0?? EDIT: super dziala... zrobilem juz te maski na /24 i jeszcze znalazlem literowke w configu. dzieki Panowie. EDIT: a chcecie mi jeszcze troche pomoc ? kwestia teraz tego ze. klient po vpnie dostaje adres 10.0.100.6, serwer widzi zarowno na 10.0.100.1 i 10.0.0.1. mozna sie dostac pod oboma adresami. i teraz tak. idzie ping na maszyne w sieci lokalnej czyli 10.0.0.10. ale nie moge sie dostac do zasobow. czy to kwestia tego ze te kompy muszą być w tej samej podsieci? bo teraz nie są 10.0.0.10 i 10.0.100.6 no to nie ta sama podsiec przy okazji maski 255.255.255.0. jak uważacie? jesli chodzi o same podsieci to moze poprostu przerzuce sie na maske /23 klientow na vpnie dam na 10.0.1.0 a reszte lokalną na 10.0.0.0 i bedzie wszystko widoczne? EDIT: dobra na chwile obecna konfiguracja prezentuje sie tak : serwer(10.0.0.1/24) - za nim lokalnie komputery od 10.0.0.10 do 10.0.0.30 / 24 | (10.0.1.1/24) | klient na vpn (10.0.1.6/24) pingi idą z 10.0.1.6 do: 10.0.0.1, 10.0.1.1, oraz do 10.0.0.10. wszystko fajnie natomiast pingi nie idą z 10.0.0.10 do 10.0.1.6 nie mozna tez z 10.0.1.6 dostac sie do zasobow komputera 10.0.0.10 (ale pingi idą). napewno mozną się dostać z 10.0.0.11 do zasobów z 10.0.0.10 mozna dostac sie do zasobów z 10.0.1.6 do 10.0.0.1. pomocy.... ja juz wymiękam... JakubC: Pobawiłem się w sklejanie. Nie pisz post pod postem, używaj opcji edytuj. |
|
| Strona 1 z 2 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|