OpenVPN не могу найти подключенного клиента

0

0

Сейчас начну спрашивать всякий бред, но vpn настраиваю первый раз и пару суток гуглил, стесняясь спрашивать.

Debian. Вводные: сервер поднял, все работает, в том числе и соединение. Мануалы читал, почти все понял, кроме практического применения топологии. Так как пока не могу проверить его ни с кем из внешней сети/интернета, то стал пробовать все это с Xen в которой Венда, OpenVPN client.
Параметры и ипы на прочие сети, инет, роутер, вайфай я опускаю, привожу то, что, как мне кажется касается, касается проблемы.
xenbr0 192.168.10.1 (В венде ип сетевухи 192.168.10.10)
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p udp --dport 1194 -s 192.168.10.10 -j ACCEPT
То есть это как бы модель интернета...

И все работает. Все соединяется, все красиво... Но так как DomU может пропинговать все что у меня есть, я решил пропинговать ее ип (В венде естессно потушены все фаерволы) который ей выделяется 192.168.20.128 и вот над чем бъюсь, его не видно, хотя глядя по пакетам, она с кем-то общается.

В общем не смог понять только как именно реализовать чтоб я был сервером, ко мне подключались клиенты и я мог им шарить данные, открывать сервисы и пр. В каком режиме и как именно это запустить, перепробовал почти все примеры что нашел в инете.

Server :

port 1194
proto udp
mode server
dev tap
tls-server
ifconfig 192.168.20.1 255.255.255.0
server-bridge 192.168.20.22 255.255.255.0 192.168.20.128 192.168.20.254
client-to-client
keepalive 10 120
persist-key
persist-tun

Client :

client
dev tap
proto udp
port 1194
remote 192.168.10.1
tls-client
ns-cert-type server
verb 3
route-method exe
route-delay 10

Понимаю, что истина где-то рядом...

Ссылка

←	Шейпинг + клиенты на PPP

[MySQL] починить таблицы

→

Вот объясни мне, на кой вы все уперто затачиваете tap, а потом эпически трахаетесь с ним???

~~no-dashi~~ ★★★★★
(24.05.10 08:58:44 MSD)

Ответ на: комментарий от no-dashi 24.05.10 08:58:44 MSD

dev [tun | tap] (сервер, клиент) - указание типа интерфейса и режима работы: tun = L3-туннель, tap = L2-туннель
Ну вот я как бы и думал... Что надо делать бриджем который только в tap.

Но опять же, все равно, поставил

dev tun
server 192.168.20.0 255.255.255.0
ifconfig 192.168.20.1 255.255.255.0

Венде присвоился ип 192.168.20.130 но я по прежнему не могу его пингануть.

Мне нужно чтоб я мог спокойно задать нужный ип для клиента в ccb и потом на него открывать сервисы и прочее.

Umberto ★☆
(24.05.10 09:22:16 MSD) автор топика

Ответ на: комментарий от Umberto 24.05.10 09:22:16 MSD

Как мне к примеру увидеть шару на клиенте, если я его ~~не знаю где искать~~ не вижу?

Umberto ★☆
(24.05.10 09:35:55 MSD) автор топика

Ссылка

dev tap persist-tun(!)

И да таки нафиг ты tap заюзал хз..

dev tun
server 10.3.0.0 255.255.255.0
mode server
port 1194
proto udp
user nobody
group nogroup
auth MD5
cipher BF-CBC
client-config-dir ccd
comp-lzo
keepalive 10 120
persist-key
persist-tun
log /var/log/srv.log
status /var/log/status.log
verb 3
tls-server
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh2048.pem
tls-auth /etc/openvpn/keys/secret.key 0

Для персональных настроек юзверей создай директорию ccd, где для каждого пользователя создай файло настроек с именем идентичным имени сертификата. Ну и в файле том рули роутами пользователья в приватную сеть.. Имхо именно в этом твоя проблема.

Valor ★
(24.05.10 09:42:48 MSD)

Ответ на: комментарий от Valor 24.05.10 09:42:48 MSD

Ну и в файле том рули роутами пользователья в приватную сеть.. Имхо именно в этом твоя проблема.

Гы, ну да, именно в этом, собственно опять переспрошу, как? То что там конфиги писать я знаю, писал, видимо не правильные.

dev tun
server 10.3.0.0 255.255.255.0
mode server
port 1194
proto udp
#user nobody
#group nogroup
auth MD5
cipher AES-128-CBC # AES
client-config-dir ccd
#comp-lzo
keepalive 10 120
persist-key
persist-tun
log /var/log/ovpn.log
status /var/log/ovpns.log
verb 9
tls-server
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
ifconfig-pool-persist ipp.txt
status /var/log/openvpn-status.log

client
dev tun
proto udp
port 1194
remote 192.168.10.1
tls-client
ns-cert-type server
dh dh1024.pem
ca ca.crt
cert rgreen.crt
key rgreen.key
verb 3
route-method exe
route-delay 10
cipher AES-128-CBC # AES
auth MD5

#user nobody #group nogroup Это понятно что понижение привелегий, только что еще поправить, а то при них и из венды сервер 10.3.0.1 не пингается? И сама венда так же не пингается, 10.3.0.6.

Umberto ★☆
(24.05.10 10:22:38 MSD) автор топика

Ответ на: комментарий от Umberto 24.05.10 10:22:38 MSD

Рабочий конфиг сервера я Вам дал..

Вот конфиг (рабочий) для виндового клиента

dev tun
remote хх.хх.хх.хх
port 1194
proto udp
client
auth MD5
cipher BF-CBC
comp-lzo
ping 15
ping-restart 45
resolv-retry infinite
persist-tun
persist-key
tls-client
ca ca.crt
cert user.crt
key user.key
tls-auth secret.key 1

В файле конфигурации пользователя (тот что в ccd лежит), прописано только push «route 192.168.0.0 255.255.255.0» Таким образом я даю возможность клиенту юзать ресурсы локальной сети предприятия. Ну и не стоит забывать про iptables )

Valor ★
(24.05.10 11:16:21 MSD)

Ответ на: комментарий от Valor 24.05.10 11:16:21 MSD

прописано только push «route 192.168.0.0 255.255.255.0» Таким образом я даю возможность клиенту юзать ресурсы локальной сети предприятия. Ну и не стоит забывать про iptables )

iptables занулил, все разрешил. Еще раз запустил с вашими настройками.

Хоть убей, не понимаю как достучаться до клиента с сервера, где его искать и как роутить. Пока не могу проверить что клиент все правильно видет на сервере (писал выше, смог бы написать тестовые правила iptables, еслиб ~~знал его правильный ип~~ понимал топологию.).

Сейчас у клиента, винды по приведенным конфигам 10.3.0.6, как на него попасть с севрера, линуха.

Просто к примеру если на клиенте поднята апача? Как туда ломиться? Не пингается с сервера 10.3.0.6 и все.

Umberto ★☆
(24.05.10 11:56:58 MSD) автор топика

Ответ на: комментарий от Umberto 24.05.10 11:56:58 MSD

Вот http://sys-adm.org.ua/security/openvpn-ptp.php посети сие..

Valor ★
(24.05.10 13:24:35 MSD)

Ответ на: комментарий от Umberto 24.05.10 11:56:58 MSD

> Не пингается с сервера 10.3.0.6 и все.

Для начала, попробуйте почитать /var/log/messages. Ну пожаааалуйста!!!! Там все написано, и даже еще чуть-чуть больше. У вас с вероятностью 95% клиент с сервером не соединились, и поэтому (естественно) ничего не пингуется.

Nastishka ★★★★★
(24.05.10 14:06:48 MSD)

Ссылка

Ответ на: комментарий от Valor 24.05.10 13:24:35 MSD

Спасибо за хинты. Оказалось все просто, у меня все работало практически с первого раза, но видимо с сервера на клиент нельзя подключиться при приведенных параметрах. Проверил так: разрешил для DomU 192.168.10.10 вход только на порт 1194, далее она соединилась и получила второй ип 10.3.0.6 для него я разрешил вход только на ипы моего фтп. Под вендой захожу на ftp://10.3.0.1, попробовал качнуть фильм, при этом на сервере процесс openvpn загрузил 40% проца, подтвердилось что, оно шифрует, скорость порядка 600-800кбps. При канале 10мбит. Хотя и по логам соединения видно, но не так наглядно...

Umberto ★☆
(24.05.10 21:56:15 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Шейпинг + клиенты на PPP

Admin

[MySQL] починить таблицы

→

Похожие темы