Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: Pavel T 13. 05. 2014, 21:09:54

Název: Přístup k netu přes VPN
Přispěvatel: Pavel T 13. 05. 2014, 21:09:54: Ahoj,

mám ve firmě na serveru OpenVPN v bridge. (snad to popisuju správně.. když se připojim, tak dostanu stejnou adresu v rozsahu firemné sítě. NE 10.8.0.2 atd.. a vidim na všechny zařízení v síti.) Teď pojedu do zahraničí a potřeboval bych aby můj provoz šel přes tu VPN.. obvykle jsem vygooglil 2 věci - povolit v konfiguraci push "redirect-gateway def1" a přidat do iptables něco jako tohle - iptables -t nat -A POSTROUTING -s 10.0.8.0/24 -o eth0 -j SNAT --to EXTERNAL_IP ... to první není problém, ale tomu druhýmu nerozumim a pokud chápu tak snad nepotřebuju, protože já dostanu adresu jako v lokální sítí a tam už se to natuje a net tam jde.. Každopádně net mi skrz to nejde... Tušíte kde moje zabedněnost dělá chybu?

přikládám konfigurák vpn:
Kód: [Vybrat]
port 1194 proto tcp dev tap0 ca ca.crt cert server.crt key server.key dh dh1024.pem ifconfig-pool-persist ipp.txt server-bridge 192.168.0.101 255.255.255.0 192.168.0.235 192.168.0.238 push "redirect-gateway def1 bypass-dhcp" client-to-client keepalive 10 120 comp-lzo persist-key persist-tun verb 3
Název: Re:Přístup k netu přes VPN
Přispěvatel: someone 14. 05. 2014, 08:15:04: S tímto set-up nemám zkušenost, ale dám pár tipů - spíše na zamyšlení pro Vás:
Internet přes to nejde - to znamená, že chodí kolem, nebo po startu VPN přestane fungovat?
Jaká je po startu VPN default gateway (projděte určitě celou routing table) na klientovi!
Hlásí log OpenVPN něco podezřelého? Např. na win když nespustíte OpenVPN s admin právy, odmítne tuším modifikovat cesty a napíše to do logu.
A k zamyšlení případně dál - jaké DNS klient používá / bude používat?
Název: Re:Přístup k netu přes VPN
Přispěvatel: Trubicoid2 14. 05. 2014, 09:13:01: Ten
Kód: [Vybrat]
push "redirect-gateway def1" udělá, aby všechen provoz klienta šel přes server, to chces.
Bypass-dhcp nevim co dela, nemam to tam.

Openvpn muže byt forwardovany (dev tun) nebo bridgeovany (dev tap0) jak mas ty. Ten iptables prikaz je zrejme pro prvni moznost. Ty naopak musis mit nastaveny bridge treba br0 mezi tap0 a eth0, ale to asi mas, jinak by ti nic pres vpn nefungovalo.

Jinak muzes mit i dva openvpn servery na jednom pocitaci, pokud maji jiny port. Ja mam jeden tap0 udp 1194 a jeden tun tcp 443, protoze openvpn na ios neumi tap0 a tcp 443 taky nebyva casto blokovany.
Název: Re:Přístup k netu přes VPN
Přispěvatel: Trubicoid2 14. 05. 2014, 09:15:07: A jeste lahudka je, ze tcp 443 muzes multiplexovat mezi openvpn, ssh a https pomoci sslh 8)
Název: Re:Přístup k netu přes VPN
Přispěvatel: pet 14. 05. 2014, 09:41:50: Vše potřebné o OpenVPN je na http://openvpn.net/howto.html (http://openvpn.net/howto.html).
Je tam i sekce "Routing all client traffic (including web-traffic) through the VPN".
Název: Re:Přístup k netu přes VPN
Přispěvatel: Trubicoid2 14. 05. 2014, 11:04:56: Tak to von asi cet, protoze tam presne je ten iptables postrouting, kterej nepotrebuje. Neni to tam uplne jasne vysvetleny.
Název: Re:Přístup k netu přes VPN
Přispěvatel: Trubicoid2 14. 05. 2014, 11:14:39: Ja uz asi vim, nejede ti reslovovani dns, ne? Ja mam toto a ty to nemas, tak zkus:

Kód: [Vybrat]
push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 208.67.222.222"
To prvni je guglu a druhy opendns, klidne jich dej i vic nebo svoji nebo od ISP
Název: Re:Přístup k netu přes VPN
Přispěvatel: Pavel T 14. 05. 2014, 21:15:31: Pánové,

moc děkuji za rady :), ještě jsem s tím nepohnul.. ale hned jak se k tomu dostanu, tak postnu výsledek.

Díky moc
Název: Re:Přístup k netu přes VPN
Přispěvatel: Karlos 14. 05. 2014, 21:40:56: Zdravim, trochu se přiseru. Řešil jsem teď úplně stejný problém, ale potřeboval bych, aby se změna GW a DNS nastavila pouze u jednoho klienta, tzn. nechat konfiguraci na serveru a upravit .conf v v tom klientovi. Není třeba možné dát do klienta jen toto - bez push?
Kód: [Vybrat]
redirect-gateway def1 dhcp-option DNS 8.8.8.8 dhcp-option DNS 208.67.222.222Nebo to vyřešit přes up script?
Díky
Název: Re:Přístup k netu přes VPN
Přispěvatel: James_Scott 15. 05. 2014, 01:22:50: A co nechat konfiguraci na serveru i klientovi puvodni a nastavit natvrdo IP a DNS primo na tom TUN/TAP adapteru?
Název: Re:Přístup k netu přes VPN
Přispěvatel: trubicoid2 15. 05. 2014, 10:25:53: Citace: Karlos 14. 05. 2014, 21:40:56
Zdravim, trochu se přiseru. Řešil jsem teď úplně stejný problém, ale potřeboval bych, aby se změna GW a DNS nastavila pouze u jednoho klienta, tzn. nechat konfiguraci na serveru a upravit .conf v v tom klientovi. Není třeba možné dát do klienta jen toto - bez push?

na klientovi to asi nejde, ale na serveru jde elegantne pouzit
Kód: [Vybrat]
client-config-dir kde pak jenom jednomu klientovi das push gw a dns
Název: Re:Přístup k netu přes VPN
Přispěvatel: trubicoid2 21. 05. 2014, 11:43:05: A jak to teda dopadlo?
Název: Re:Přístup k netu přes VPN
Přispěvatel: alfi 22. 05. 2014, 08:14:03: Citace: James_Scott 15. 05. 2014, 01:22:50
A co nechat konfiguraci na serveru i klientovi puvodni a nastavit natvrdo IP a DNS primo na tom TUN/TAP adapteru?
přesně tak. default route i DNS se dá měnit i na klientovi a i dodatečně po připojení.. tedy nejlépe na klientovi udělat dva profily k vpn, jeden s default route a druhý bez ní, třeba v network manageru je to dokonce klikací :-) a ten s default route se stejně hodí (=je potřeba!) při cestách a připojování přes různé nešifrované či jinak pochybné wifi :-)
Název: Re:Přístup k netu přes VPN
Přispěvatel: trubicoid2 22. 05. 2014, 11:20:34: Citace: alfi 22. 05. 2014, 08:14:03
a ten s default route se stejně hodí (=je potřeba!) při cestách a připojování přes různé nešifrované či jinak pochybné wifi :-)

no to je jasny, spis na co je dobry ten druhy, bez default route? nic mi nenapada

snad jen, ze pres vpn je brouzdani o kousicek pomalejsi? no tak si ho treba vypnu, nemusim to mit furt zapnuty