Konecne nekdo normalni, kdo dokaze poradit.
Printable View
Konecne nekdo normalni, kdo dokaze poradit.
Kdo neumi cist, ten si musi pockat, az mu to nekdo napise ... na webu OpenVPN je postup, jak to rozjet pro tri klienty krok po kroku pro uplny blbce :)
Zaklad je mit spravne nakonfigurovany firewwall:Citace:
Původně odeslal Octopuss
- povolene tap/tun zarizeni a port UDP 1194
U linuxu je to to same ...
Pokud je ten linux stroj primo na verejne adrese a nenatuje a nikam to neforwardujes, staci toto:
# OpenVPN
iptables -A INPUT -i ${WAN} -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
Pokud ten linux PC je router a ma treba i NAT a potrebujes na pocitac za natem, atd, budes potrebovat i tento zapis:
# OpenVPN
iptables -A FORWARD -i ${WAN} -p udp --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT
# OpenVPN
iptables -A FORWARD -o ${WAN} -p udp --dport 1194 -j ACCEPT
iptables -A FORWARD -o tun+ -j ACCEPT
iptables -A FORWARD -o tap+ -j ACCEPT
Pokud budes s tou VPN pristupovat ntedy na nejaky pocitac dal v lan, pak je jeste potreba nahodit routy, ale to zatim nechame, ted to hlavne zprovozni peer to peer .... :-)
Jinak jeste mrkni sem (delal jsem nejaky navod) : http://www.gmork.cz/?p=4
jo tak octopuss(y) to nezvladne kym nedostane priamy odkaz na navod, ktory svieti na homepage toho projektu jak severka :)) hlavne ze konfiguraky su na hovno a baty a tiez a pritom to je stale o tom ;) hlavne ze si podakoval ...
a ad Mac OS X > to je predsa znama hlaska/pristup ze Mac OS X je vyrazne lepsi pre retardovanejsich uzivatelov :)
Ja to myslel taky jako joke, neboj .. :-)
Madcap: vagon tvych urazek muze jet pouze po kolejich me lhostejnosti
Si to tu dovolim ozivit. Problem byl samozrejme v nastaveni, zadny OpenVPN nepotrebuju... Mezitim jsem doma udelal malinkou sit za Asus wl-500gp routerem. Vsechno funguje, uz jsem se na ten server i pripojil, ale pro zmenu mi nejde tady v praci upravit routovani.
Dam si route add <ip> MASK 255.255.255.0 <verejna ip co dostavam doma> -p
coz skonci hlaskou
Přidání trasy se nezdařilo: Buď je index rozhraní chybný, nebo brána není ve stejné síti jako rozhraní. Zkontrolujte u tohoto počítače tabulku adres IP.
Kdyz mrknu na vlastnosti VPN pripojeni, IP clienta i serveru je 192.168.14, coz se mi moc nezda. Nemela by tam byt prave ta verejna IP?
Nie. Ty prave preto robis routovanie na tu konkretnu adresu, aby sa pri komunikacii s nou poslal traffic prave na tu verejnu IP.Citace:
Původně odeslal Octopuss
Co kdybys nam tady tu tabulku ukazal? Jedine co z tebe vypadlo, ze pri nejakem prikazu route ( ani ten jsi sem nenapsal ) a nejake route tabulce to hodi jistou hlasku.Citace:
Původně odeslal Octopuss
Vesteckou kouli tu ted bohuzel nemam, tak aspon trefim od boku...
Byla ta ip adresa v route prikazu adresa site a ne treba nejakeho pocitace? tzn. Byla posledni cislice nula? x.x.x.0 ?
Pokud chces routu jen pro jedno pc, tak tam musis dat adresu pc, ale masku 255.255.255.255.
No asi neni uplne dobrej napad davat sem konkretni IP adresy, ze...
Samozrejme to bylo route add x.x.x.0, aby to pokrylo celej segment. Cili 255.255.255.0 je spravne.
Jeste me neco napadlo, pokud to bude blbnout dal, "ozvu" se.
To ne, ale je dobrej napad sem dam komplet prikazy, ktery hlasi chybu a IP adresy zmenit tak, aby to odpovidalo, tezko se pak z toho neco vykouka :)
Uff, prislo mi to srozumitelny az az, s drobnym detailem, ze jsem nespecifikoval, routuju celej subnet :)
"route add x.x.x.0 MASK 255.255.255.0 x.x.x.x -p"
Nicmene asi nikdo netusi, jaky konkretni sluzby potrebuju pro provoz Windows VPN serveru? Vzdalenou plochu uz jsem vyresil externim softem, co vsechno laduje pres http, ale tohle me zajima vzhledem k ladeni Windows (vetsinou vypinam vsechny sluzby co nepotrebuju a v celkovym efektu to je docela znat)
To sice netusim, ale chvili jsem si s tim hral a imho to nestoji ani za snahu zprovoznovat.
Ani na LAN jsem nedosah nejakeho stabilniho spojeni, natoz pres internet. :rolleyes:
Microsoftí VPN server (předpokládám hovoříme o Windows 2003 Server?) se konfiguruje přes MMC Routing and Remote Access. Jaké všechny služby jsou na tomto závislé nevím, ale primárně -jak jinak- Routing and Remote Access.
Za konfiguraci rozhodně stojí, umožňuje integraci autentifikace userů do domény, tj. odpadá nutnost generování certifikátů (mluvíme o nejjednodušší variantě konfigurace) atp. - stačí povolit v doménovém účtu remote access...
Na konfiguraci není složitá, stačí proklikat pár průvodců -klasika MS. Ale doporučuji pro VPN server dedikovat síťovku na serveru - v případě, že primární síťovka serveru slouží i pro VPN, občas jsou s tím potíže (já se s tím několikrát setkal).
Před konfigurací však doporučuju dobře promyslet, jak bude infrastruktura vypadat a připravit si postup dle MS Supportu - je tam hodně článků na toto téma, např. http://technet2.microsoft.com/window....mspx?mfr=true
Druhá věc je konfigurace firewallu, pokud máš VPN server za firewallem nebo i za NATem. To je trošku složitější, v linuxu jsou třeba nějaký extra moduly k iptables, ale jde to. Je třeba povolit forward protokolu GRE a forward několika UDP a TCP portů (v případě, že je VPn server za NATem).
Good luck :)
Hm, asi myslime neco jinyho. Start - programy - prislusenstvi - komunikace - pruvodce vytvorenim pripojeni, no a pak jiny typ, prijimat prichozi.
Nemluvíme tedy o Windows 2003 Serveru.
To tedy bohužel neporadím. Na jednoduché propojení PC do VPN přes internet používám Hamachi... je to jednoduché, nevyžaduje konfiguraci firewallu a funguje to.
Tak uz to mam - na VPN je potreba pouze smerovani a vzdaleny pristup a telefonni subsystem.
(Routing and Remote Access, jak jsem psal :-) )Citace:
Původně odeslal Octopuss
Vo windowsoch XP a 2K sice nejaka VPN je, ale je uplne na <>u. Ani nie je poriadne bezpecna a ani poriadne nefunguje (cez NAT) - proste klasika od M$ ;D
No a proto tady kazdej basni o OpenVPN, ktera je ale uplne zbytecna ... :)
Ja ti nevim clovece. Bezpecnost nemuzu posoudit, ale jde tam nastavit sifrovani a podobne a pres NAT mi beha naprosto v pohode. Z prace za miliardou proxyn a firewallu domu, kde bezi server za routerem.Citace:
Původně odeslal Rainbow
A funguje :)
O openVPN basni proto, jelikoz je super a bozi ...
IPsec do MS je shit - pokud je server za natem MUZE byt problem ..Samotny IPSec NENI delay n praci za natem, OpenVPN je to sumak a potrebuje jen jeden JEDINY port ...
Pokud nema server a klienti prislusne service packy = problem ...
Pokud pouzivate od MS sracky roadwarrior scenar (L2TP/IPsec) tak se casto pouzivaji sdilene klice, ne certifikaty - nepripada mi moc bezpecne ....
IPSec je o bezpecnosti a bezpecnost v podani MS ??? :-)
s tou nutnou verejnou IP bych si dovolil odporovat...Citace:
Původně odeslal monsoon
neni nutne si kvuli VPN zarizovat placenou verejnou statickou IP.. postaci router ktery podporuje DynDNS
pote pomoci regnuti na nektere z uvedenych web adr v nabidce routeru a nastaveni DynDNS na routeru mas statickou verejnou IP (neplacenou=free!) i pres to ze tva IP od provozovatele neni verejna :-)
Radeji moc neodporuj, protoze verejna a staticka jsou dva uplne jiny pojmy ;)
(a taky nechapu, proc ozivovat 4 roky starej thread)