Fórum Root.cz
Hlavní témata => Server => Téma založeno: darebacik 23. 09. 2020, 20:49:56
-
Na jednom stroji mi bezi uspesne openvpn server. Na tom istom stroji potrebujem spojazdnit aj openvpn klienta, ktory sa bude pripajat na iny openvpn server (bohuzial to bude openvpn server na MK).
Predpokladam, ze openvpn uz instalovat nemusim, len jednoducho pouzijem klientsky konfigurak (+ key atd ...). Kedze port 1194 pouzivam na openvpn servery, tak ako openvpn klient si budem musiet vybrat iny port.
Bude to takto fungovat ?
ps hladal som nejake info, kde by fungoval openvpn server a klient, ale asi som blbo hladal
-
Ano, fungovat by to mělo. U klienta lze použít volbu nobind, aby se použil dynamicky alokovaný port.
-
Predpokladam, ze openvpn uz instalovat nemusim, len jednoducho pouzijem klientsky konfigurak (+ key atd ...).
Ano, samozřejmě.
Kedze port 1194 pouzivam na openvpn servery, tak ako openvpn klient si budem musiet vybrat iny port.
Na klientovi přece jeho port vůbec nenastavuješ (jen destination port protistrany), a UDP (i TCP) odchozí spojení dostane náhodný nepoužitý port. Z počítače, na kterém běží webserver, si přece taky můžeš číst root.cz.
-
jj jasne to ma nenapadlo, ze na klientovy sa nemusi riesit port.
Teraz sa pripajam MK proti MK a v pohode to funguje.
Mam k tomu
amad.txt - tam je ulozene na prvom riadku meno a na druhom heslo
ca.crt
crlrsa2048.crt
keyrsa2048.key
pass.pass - 8 miestne cislo
client.conf
Teraz som vytvoril v PC (kde je uz funkcny openvpn server) adresar /etc/openvpn/user/ a tieto subory som do toho adresara presunul
client.conf som nechal v
/etc/openvpn/
client.conf
client
dev tun
proto tcp
remote remote_server.dyndns.org 1194
resolv-retry infinite
nobind
persist-key
persist-tun
cipher aes-256-cbc
auth sha1
tls-client
remote-cert-tls server
keepalive 10 60
#comp-lzo adaptive
verb 1
route 100.100.9.253 255.255.255.0 100.1.1.1 #pozostatok z MK, zrejme to neni potrebne (neviem ci to moze robit sarapatu, alebo nie)
#reneg-sec 0
#crl-verify /etc/openvpn/crl.rsa.2048.pem
askpass /etc/openvpn/user/pass.pass
cert /etc/openvpn/user/crlrsa2048.crt
key /etc/openvpn/user/keyrsa2048.key
ca /etc/openvpn/user/ca.crt
auth-user-pass /etc/openvpn/user/amad.txt
#disable-occ
Neviem ci tieto subory musia byt umiestnene v presne definovanom adresare (/etc/openvpn/client), ale zatial mi pripojenie na server nefunguje
-
route 100.100.9.253 255.255.255.0 100.1.1.1 #pozostatok z MK, zrejme to neni potrebne (neviem ci to moze robit sarapatu, alebo nie)
To přidá routu přes tu VPN (a možná ti vynadá že adresa sítě není adresa sítě, ale počítače v ní).
Neviem ci tieto subory musia byt umiestnene v presne definovanom adresare (/etc/openvpn/client)
Samozřejmě nemusí, jenom je klient musí umět přečíst (a protože se asi spouští pod rootem, tak přečte cokoli). Taky je zajímavé je vůbec do souborů nedávat, ale embednout je do konfiguráku mezi <tagy>. Nepoužívám teda klíče s heslem.
ale zatial mi pripojenie na server nefunguje
Openvpn velmi intenzivně loguje, takže se do toho logu musíš podívat, vždycky z toho jde poznat, co tomu je. Pokud ne, tak sis blbě nastavil verb. Asi bych na něj buď nesahal, nebo nastavil o trochu vyšší než je default.
-
Takze OK, vsetko funkcne, ale divne mi bolo to, ze po restarte openvpn to nefungovalo (az po restarte KVM). Potom sa vytvorila serverova tun0 a aj klientska tun1.
-
"Nefungovalo" je úplně k ničemu popis, když jsi vůbec nenapsal, jak to spouštíš (systemd unita? openvpn-client@ nebo jen openvpn@? ve screenu? klasický init?) a jak s tím proboha souvisí nějaké KVM. Výstřel do tmy: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=921079