Владимир, а вы писали, что у вас тоже tap
>> VS> У меня без них работает и тот же tap используется
а конфиг привели с tun. НО меня интересует именно tap
Я хочу чтобы клиент получал IP от внутрисетевого DHCP, клиент
подключается и работают как будто в офисе. Почему и выбрал tap.
С текущей конфигурацией клиент дальше самого VPN сервера ничего не
пингует. Вроде роутинг не надо... ведь у меня бридж.
port 1194
mode server
tls-server
ca ca.crt
cert mail.crt
key mail.key # ñåêðåòíûé ôàéë
dh dh1024.pem
# Since we specified the tls-auth for server, we need it for the client
# note: 0 = server, 1 = client
tls-auth ta.key 0
proto tcp-server
persist-key
persist-tun
#bridging directive
dev tap0 ## If you need multiple tap devices, add them here
up "/etc/openvpn/up.sh br0 tap0 1500"
down "/etc/openvpn/down.sh br0 tap0"
server-bridge
#server-bridge 192.168.5.1 255.255.255.0 192.168.5.100 192.168.5.199
client-to-client
# êîìàíäû íèæå ìîãóò íàçíà÷èòü øëþçîâàíèå âñåãî òðàôèêà êëèåíòà ÷åðåç VPN
push "dhcp-option DNS 192.168.5.4"
push "dhcp-option WINS 192.168.5.9"
#route-method exe
#route-delay 5
push "route-gateway 192.168.5.1"
push "redirect-gateway"
keepalive 10 120
VS> 15.01.2014 16:52, Роман пишет:
>> Вот это правило прокатило.
>>
>> iptables -A INPUT -p tcp -m tcp --dport 11194 -j ACCEPT
>>
>> iptables -A INPUT -i tap+ -j ACCEPT
>> iptables -A FORWARD -i tap+ -j ACCEPT
>>
>> Можете кинуть мне свой конфиг сервера OprnVPN и клиента.
>> Меня интересует как вы создаете tap и параметры для клиенты от DHCP
>> получают или как то иначе?
>>
>>
>> VS> 14.01.2014 16:47, Роман пишет:
>>>> а я уже и так делал
>>>> -A INPUT -p tcp -m tcp --dport 11194 -j ACCEPT
>>>>
>>>> не вышло... может потому что впн через tap ?
>>>> другой интерфейс?
>>>>
>>>>
>>>> VS> 14.01.2014 15:56, Роман пишет:
>>>>>> Добрый день!
>>>>>>
>>>>>> Настраиваю VPN сервер и уже есть IPtables с настроненными правилами
>>>>>> для почты.
>>>>>>
>>>>>> ПРописил на нем
>>>>>> iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 1194 -j
>>>>>> ACCEP
>>>> VS> попробуйте без -m state --state NEW
>>>> VS> и букву P в конце не забудьте.
>>>>
>> VS> Попробуй так, ну еще output добавь
>>
>> VS> У меня без них работает и тот же tap используется
>>
>> VS> iptables -A INPUT -i tap+ -j ACCEPT
>> VS> iptables -A FORWARD -i tap+ -j ACCEPT
>>
>>>>>> (да, у меня tcp, а не udp)
>>>>>>
>>>>>> подключение принимается, сниффер на сервере видит обращения от
>>>>>> клиента, но соединение не устанавливается. Выключаю iptables stop
>>>>>> и все подключается.
>>>>>> Отсюда вопрос - как мне понять, что надо разрешить?
>>>>>>
>>>>>> ПО идее можно было бы посмотреть, что блокируется с данного IP или в
>>>>>> сторону данного IP и разрешить это. НО я не знак как мониторить....
>>>>>>
>>>>>>
>>>>>>
>>>> VS> --
>>>> VS> --
>>>> VS> Faithfully yours,
>>>>
>>>> VS> Vladimir Skubriev
>>>>
>>>>
>>>>
>>>>
>>>>
>>
>> VS> --
>> VS> --
>> VS> Faithfully yours,
>>
>> VS> Vladimir Skubriev
>>
>>
>>
>>
>>
VS> Я настраиваю с помощью opscode chef cookbook openvpn )
VS> server.conf:
VS> # OpenVPN server config file
VS> #
VS> # Generated by Chef - local changes will be overwritten
VS> port 1194
VS> proto udp
VS> dev tun
VS> keepalive 10 120
VS> comp-lzo
VS> local XX.XX.XX.XX
VS> push 'route 192.168.128.0 255.255.255.0'
VS> # Keys and certificates.
VS> ca /etc/openvpn/keys/ca.crt
VS> key /etc/openvpn/keys/server.key # This file should be kept secret.
VS> cert /etc/openvpn/keys/server.crt
VS> dh /etc/openvpn/keys/dh1024.pem
VS> ifconfig-pool-persist /etc/openvpn/ipp.txt
VS> server 10.8.0.0 255.255.0.0
VS> user nobody
VS> group nogroup
VS> # avoid accessing certain resources on restart
VS> persist-key
VS> persist-tun
VS> # current client connections
VS> status /etc/openvpn/openvpn-status.log
VS> # logging settings.
VS> log-append /var/log/openvpn.log
VS> verb 1 # don't spam the log with messages.
VS> mute 10 # suppress identical messages > 10 occurances.
VS> script-security 1
VS> skubriev.conf:
VS> client
VS> dev tun
VS> proto udp
VS> remote gate.example.com 1194
VS> resolv-retry infinite
VS> nobind
VS> persist-key
VS> persist-tun
VS> ca ca.crt
VS> cert skubriev.crt
VS> key skubriev.key
VS> comp-lzo
VS> verb 3
VS> роль openvpn сервера:
VS> {
VS> "name": "openvpn_server",
VS> "description": "The server that runs OpenVPN",
VS> "json_class": "Chef::Role",
VS> "default_attributes": {
VS> },
VS> "override_attributes": {
VS> "openvpn": {
VS> "routes": [
VS> "push 'route 192.168.128.0 255.255.255.0'"
VS> ],
VS> "netmask": "255.255.0.0",
VS> "gateway": "gate.example.com",
VS> "key": {
VS> "country": "RU",
VS> "city": "CityTown",
VS> "email": "[email protected]",
VS> "province": "61",
VS> "org": "ExampleCOM"
VS> },
VS> "subnet": "10.8.0.0"
VS> }
VS> },
VS> "chef_type": "role",
VS> "run_list": [
VS> "recipe[openvpn]",
VS> "recipe[openvpn::users_ldap]"
VS> ],
VS> "env_run_lists": {
VS> }
VS> }
VS> "recipe[openvpn::users_ldap]" - дописывал сам )
VS> Рекомендую обратить внимание на chef-solo (и если будет время berkshelf)
VS> При помощи chef-solo и измененной роли если вникнуть в chef-solo,
VS> openvpn настраивается одной командой )
VS> Остаеться только раздать архивы с конфигами юзерам.
VS> Инструкция для юзеров тоже есть если что.
VS> Если еще что то надо пишите.
VS> --
VS> --
VS> Faithfully yours,
VS> Vladimir Skubriev
--
С уважением,
Роман mailto:[email protected]
--
ubuntu-ru mailing list
[email protected]
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
