OpenVPN

[Black Reider]

na cem jsem se opet zastavil je generovani certifikatu..

pri generovani se mi vse uklada v adresari "easy-rsa" do adresare keys

pri prikazu guild-key-server server mi to pokazde na konci napise hlasky, ktere jsme jin vypsal vyse.. co jsem zatim prolezl vsemozne vse co snad znam v nejruznejsich jazycich ... tak jde jen a pouze o obsah toho :-X openssl.cnf

potrebuju zaslat obsah tohoto souboru pro widle,, kde bude vse zmeneno tak aby to fungovalo se zakladnim nastaveni adresarove struktury instal souboru OpenVPN ver. 2.2.0

C:\Program Files\OpenVPN\
C:\Program Files\OpenVPN\bin
C:\Program Files\OpenVPN\config
C:\Program Files\OpenVPN\driver
C:\Program Files\OpenVPN\easy-rsa
C:\Program Files\OpenVPN\easy-rsa\keys
C:\Program Files\OpenVPN\log
C:\Program Files\OpenVPN\sample-config

vyse uvedeny openssl.cnf je pro linux a nikoli windows.. ve widlych jsou prikazy prochu jine a adresarova struktura taktez..

dekuji za help s timto zakletym souborem

[HollyG]

Vidim ze to soudruzi nejak poladili, skoro bych doporucil stahnout verzi 2.1.4, kde to funguje bez problemu nez se babrat s timto.

[Black Reider]

ok .. tak ja zkusim sarsi verzi.. snad to bude lepsi...

[Black Reider]

Tak del verze 2.1.4 je vse fajn.. vse probehlo bez jakychkoliv hlasek ci chyb

chci se zeptat.. jak a kde nastavim, aby se klient, ktery je pripojeny pres vytvoren VPN mohl pripojit na moji lokalni sit apod.?

vim ze se nekde musi "zadat prava" pro clienta ale zatim jsem to nenasel..

nevite to nahodou nekdo ?

[admix]

pushnes mu routu do tvoji site pres vpn endpoint, akorat budes mozna muset udelat snat. Na windows tyhle sofistikovanejsi nastaveni vetsinou nejdou udelat nejakym rozumnym zpusobem.
ta routa je pres push "route ..."

[Black Reider]

pushnes mu routu do tvoji site pres vpn endpoint, akorat budes mozna muset udelat snat. Na windows tyhle sofistikovanejsi nastaveni vetsinou nejdou udelat nejakym rozumnym zpusobem.
ta routa je pres push "route ..."

pokud tomu dobre rozumim ...

adresni rozsah lokalni site, na ktere je spusten VPN server je 192.168.0.0 255.255.255.0
na v server.ovpn nastavim nasledujici:

push "route 192.168.0.0 255.255.255.0"

a tim dam volny pristup clientovy aby se pohyboval v adresnim rozsahu lokalni site?

snad to pisu spravne

[Black Reider]

pokud bych chtel omezit jen na nektere IP mohu napsat toto ?

push "route 192.168.0.0 255.255.255.0 192.168.0.200 192.168.0.100"

[admix]

Ne, tam ma bejt klasicky "ip mask" syntax, takze vickrat pushnout jednotlivy stroje (push "route 192.168.0.200 255.255.255.255", za tu masku by jeste melo jit dodat vpn_gateway, kdyby to nejelo).
Vzhledem k pouzity siti mas velkou sanci, ze se na prvnim pripojeni zvenci dostanes do kolize s lokalni siti (tedy ze stejna IP existuje lokalne i vzdalene) a pak ti v zavislosti na rozsahu a metrice prestane fungovat bud vzdalena nebo lokalni IP. Porad budes pravdepodobne potrebovat SNAT na vpn serveru, a porad je velka pravdepodobnost, ze to na windows nebude fungovat

[Black Reider]

Ne, tam ma bejt klasicky "ip mask" syntax, takze vickrat pushnout jednotlivy stroje (push "route 192.168.0.200 255.255.255.255", za tu masku by jeste melo jit dodat vpn_gateway, kdyby to nejelo).
Vzhledem k pouzity siti mas velkou sanci, ze se na prvnim pripojeni zvenci dostanes do kolize s lokalni siti (tedy ze stejna IP existuje lokalne i vzdalene) a pak ti v zavislosti na rozsahu a metrice prestane fungovat bud vzdalena nebo lokalni IP. Porad budes pravdepodobne potrebovat SNAT na vpn serveru, a porad je velka pravdepodobnost, ze to na windows nebude fungovat

jj neboj.. pouzil jsem IP jen jako priklad.. ja mam lokalni 85.123.121.0 (dosti silena na to aby nedoslo ke kolizi )

mohu poprosit o vysvetleni SNAT? k cemu to je?..

hodim tu malinko pripravene soubory.. pro konfiguraci VPN site u kamose
Server

local 85.12.31.1
port 1194
proto udp
dev tap
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
ifconfig-pool-persist ipp.txt
server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
server-bridge
push "route 85.12.31.158 255.255.255.255"
push "route 85.12.31.159 255.255.255.255"
push "route 85.12.31.196 255.255.255.255"
push "route 85.12.31.199 255.255.255.255"
push "route 85.12.31.198 255.255.255.255"
keepalive 10 120
cipher AES-128-CBC
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

Client

client
dev tap
proto udp
remote my-server-1 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
comp-lzo
verb 3

Tak snad jsem toho moc nezkonil prosim o rady tipy triky pripadne dotazy

a budte na me hodni jsou to me prvni VPN

[HollyG]

Ty "lokalni-verejny" 85.12.31.1 trochu nerozumim, k cemu to? Mimochodem dany rozsah ma prideleny EuroAccess Enterprises Ltd. z Nizozemi
Kdyz uz chces neco s nejmensi koliznosti s verejnymi wifinami apod., vyber neco nahodne z 10.x.x.x

[admix]

To je vybornej napad, pouzit v lan cizi verejnej rozsah

[Jezevec]

2Black Reider:

jen pro info, takhle rozhodne nijak pristup do VPN neomezujes, tohle takhle udelat nemuzes. Kdyz si do klienta pridam ruco routu na celej ten rozsah, tak se dostanu na libovolnej stroj na tvy vnitrni siti. Jedina cesta je firewall na tom stroji, kde ti bezi VPN server, coz je prave ten problem. Widle zadnej pouzitelnej nemaj.

A jeste jedno upozorneni, nevim jak to plati/neplati pro nejposlednejsi verze, ale XPcka na oVPN rozhrani nenahodi svoje systemovy sluzby (RDP napr), takze se na ne z vnitrni site nedostanes (pokud si tam nedoinstalis neco dalsiho).

[Black Reider]

dekuji za upozorneni na spatny vyber zadani pristupu...

Vnitrni IP jsem si poupravil. ale i tak mi config serveru nefacha ani se nespusti a hodi mi to chybu
conecting to server has failed

Thu May 26 07:00:49 2011 OpenVPN 2.1.4 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 8 2010
Thu May 26 07:00:49 2011 NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to
Thu May 26 07:00:49 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu May 26 07:00:49 2011 Diffie-Hellman initialized with 1024 bit key
Thu May 26 07:00:49 2011 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu May 26 07:00:49 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu May 26 07:00:49 2011 TCP/UDP: Socket bind failed on local address 185.12.31.1:1194: Požadovaná adresa není v tomto kontextu platná.
Thu May 26 07:00:49 2011 Exiting

prosim o vysvetleni co s tim.. nekde tam musim mit chybu

[admix]

Nemuze se nabindovat na 185.12.31.1 - hadam preklep a/nebo spatnou adresu.

[Black Reider]

Nemuze se nabindovat na 185.12.31.1 - hadam preklep a/nebo spatnou adresu.

nabindovat?...

pokud ti jde o

local 185.12.31.1

tak zde bych (dle meho) mel napsat IP, ktere ma naslouchat.. a to je IP routeru, odkud chodi data po presmerovani... nebo ne ? chapu to spatne?

navic.. tento radek jsem zkousel vyhodit protoze to je volitelne nastaveni..ale i tak mi to nepusti dale a pise mi stejny text

[admix]

No to chapes spatne to je lokalni interface danyho pocitace, program prece nemuze poslouchat na adrese, ktera je na jinym pocitaci

[Black Reider]

No to chapes spatne to je lokalni interface danyho pocitace, program prece nemuze poslouchat na adrese, ktera je na jinym pocitaci

ok zkusim tam dal IP PC na kterem to bezi...snad to pomuze...

[admix]

Tohle jsou takovy docela zakladni veci, mozna zacinat VPNkou nebylo uplne nejvhodnejsi

[Black Reider]

Tohle jsou takovy docela zakladni veci, mozna zacinat VPNkou nebylo uplne nejvhodnejsi

obcas musis udelat vetsi krok a doucovat se za chodu.. pokud chces pracovni vzestup

[admix]

/me tusi tragedii

[Fox!MURDER]

/me si bere popkorn

openvpn na windows jako zacatek se sitovanim vubec ... no

[Black Reider]

vtipny
nahodou jsem se za pul roku dokazal diky tomu doucit to co jsem kdysi na stredni nechapal

a mame tu pokrok....

1) na IP jsem vsude misto 85 pouzil 185

2) local jsem opravil na IP, kde je server spusten

3) sezver se mi spustil, jen netusim zda je vse OK.. kazdopadne mam zelene monitory na ikonce OpenVPN

Thu May 26 11:04:04 2011 OpenVPN 2.1.4 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 8 2010
Thu May 26 11:04:04 2011 NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to
Thu May 26 11:04:04 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu May 26 11:04:04 2011 Diffie-Hellman initialized with 1024 bit key
Thu May 26 11:04:04 2011 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu May 26 11:04:04 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu May 26 11:04:04 2011 TAP-WIN32 device [OpevVPN] opened: \\.\Global\{57901368-4409-4CAB-B541-F212EA6EAF44}.tap
Thu May 26 11:04:04 2011 TAP-Win32 Driver Version 9.7
Thu May 26 11:04:04 2011 TAP-Win32 MTU=1500
Thu May 26 11:04:04 2011 Sleeping for 10 seconds...
Thu May 26 11:04:14 2011 NOTE: FlushIpNetTable failed on interface [19] {57901368-4409-4CAB-B541-F212EA6EAF44} (status=116 : Prvek nebyl nalezen.
Thu May 26 11:04:14 2011 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Thu May 26 11:04:14 2011 UDPv4 link local (bound): 185.12.31.193:1194
Thu May 26 11:04:14 2011 UDPv4 link remote: [undef]
Thu May 26 11:04:14 2011 MULTI: multi_init called, r=256 v=256
Thu May 26 11:04:14 2011 IFCONFIG POOL: base=10.8.0.50 size=51
Thu May 26 11:04:14 2011 IFCONFIG POOL LIST
Thu May 26 11:04:14 2011 Initialization Sequence Completed

4) v configu clienta jsem udelal zmenu

remote my-server-1 1194

jsem nahradil za

remote "verejna IP na kterou se pojim":1194

5) pri pokusu o pripojeni clienta mi to napsalo

Thu May 26 11:34:33 2011 OpenVPN 2.2.0 Win32-MSVC++ [SSL] [LZO2] built on Apr 26 2011
Thu May 26 11:34:33 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu May 26 11:34:33 2011 LZO compression initialized
Thu May 26 11:34:33 2011 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu May 26 11:34:33 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu May 26 11:34:33 2011 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Thu May 26 11:34:33 2011 Local Options hash (VER=V4): 'd79ca330'
Thu May 26 11:34:33 2011 Expected Remote Options hash (VER=V4): 'f7df56b8'
Thu May 26 11:34:33 2011 UDPv4 link local: [undef]
Thu May 26 11:34:33 2011 UDPv4 link remote: 84.XXX.XXX.XXX:1194
Thu May 26 11:35:33 2011 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu May 26 11:35:33 2011 TLS Error: TLS handshake failed
Thu May 26 11:35:33 2011 TCP/UDP: Closing socket
Thu May 26 11:35:33 2011 SIGUSR1[soft,tls-error] received, process restarting

zda se mi to jak kdyby se nemohl napojit na sit.. client se pripojuje pres wifi..
wifi+tap=bridge

co poradite

[admix]

Ja ted nejak absolutne nechapu topologii tvoji site, tobe to posloucha na verejne IP 185.neco a klienta pripojujes na 84.neco ?

[Black Reider]

Ja ted nejak absolutne nechapu topologii tvoji site, tobe to posloucha na verejne IP 185.neco a klienta pripojujes na 84.neco ?

ah.. ok.. zkusim to rozepsat...

verejna IP moji site je 84.XXX.XXX.XXX
lokalni sit je 185.XXX.XXX.XXX
server bezi na PC s 185.XXX.XXX.199

snad jsem na nic nezapomnel

[admix]

http://whois.smartweb.cz/object/185.12.31.193/

Proc pouzivas verejnou adresu v lokalni siti?