1. Fórum Root.cz
  2. Profil beer
  3. Zobrazit příspěvky
  4. Příspěvky

Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - beer

Stran: 1 ... 17 18 [19] 20 21 ... 49
271
Sítě / Re:OpenVPN server na Turrisu
« kdy: 19. 01. 2016, 11:55:36 »
a to musím zadávat zvlášť pro eth0-eth2 a pro br-lan, nebo se to dá nastavit čistě na port 1194?

Jak by soubor firewall.user, který má obsahovat ručně přidaná iptables pravidla měl vypadat tedy kompletně, s ohledem na má nastavení a sítě?

272
Sítě / Re:OpenVPN server na Turrisu
« kdy: 19. 01. 2016, 11:19:25 »
Citace: beather  19. 01. 2016, 11:07:41
myslel jsem tí adresu... pardon... proč používáte 192.... a ne klasickou VPNkovou 10...? potom může dojít k záměně

Jsou to všechno adresy privátního rozsahu, takže je to jedno. Navíc tu klasickou VPNkovou 10... používám jinde v místních sítích, rozsah 192.168.100.0/24 mi s ničím nekoliduje a je i v návodu http://www.s474n.com/project-turris-zprovozneni-openvpn-serveru/

Jinak na tom návodu není nic o iptables, je opravdu nutné do nich zasahovat?

273
Sítě / Re:OpenVPN server na Turrisu
« kdy: 19. 01. 2016, 11:03:42 »
Citace: beather  19. 01. 2016, 10:54:30
proč takovej rozsah? normálně bych tam dal klasickej a to je 10.8.0.0 případně 10.x.x.0...

Rozsah je přece stejný (maska 255.255.255.0 či /24), oboje (192.168.100.0./24
i 10.8.0.0/24) je maximálně 254 ip adres...

274
Sítě / Re:OpenVPN server na Turrisu
« kdy: 19. 01. 2016, 10:48:13 »
Citace: beather  19. 01. 2016, 10:27:44
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o lan -j MASQUERADE klasicky přes SSH... pokud ten turis umí iptables

10.8.0.0/24 jsou adresy VPNky a ty si musíte upravit podle sebe, co jste nastavil... = jakou bude mít klient VPN adresu a server atd.. nevím jak to máte

Tak v konfiguráku mám, aby měla vpn adresy z rozsahu 192.168.100.0./24

Když zadám na turrisu ifconfig, vypíše mi to následující:
Kód: [Vybrat]
br-lan Link encap:EthernetHWaddr D8:58:D7:00:17:EB 
inet addr:192.168.1.1Bcast:192.168.1.255Mask:255.255.255.0
inet6 addr: fd04:1778:866e::1/60 Scope:Global 
inet6 addr: fe80::da58:d7ff:fe00:17eb/64 Scope:Link 
UP BROADCAST RUNNING MULTICASTMTU:1500Metric:1
RX packets:13007 errors:0 dropped:0 overruns:0 frame:0
TX packets:22788 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0 
RX bytes:1087272 (1.0 MiB)TX bytes:27682961 (26.4 MiB)



eth0 Link encap:EthernetHWaddr D8:58:D7:00:17:EB 
UP BROADCAST RUNNING MULTICASTMTU:1500Metric:1
RX packets:12760 errors:0 dropped:0 overruns:0 frame:0
TX packets:22225 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1454319 (1.3 MiB)TX bytes:27437641 (26.1 MiB)
Base address:0x8000 



eth1 Link encap:EthernetHWaddr D8:58:D7:00:17:EC 
UP BROADCAST RUNNING MULTICASTMTU:1500Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:626 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
 RX bytes:0 (0.0 B)TX bytes:90014 (87.9 KiB) 
Base address:0xa000 



eth2 Link encap:EthernetHWaddr D8:58:D7:00:17:ED 
inet addr:89.177.109.252Bcast:89.177.109.255Mask:255.255.255.0
inet6 addr: fe80::da58:d7ff:fe00:17ed/64 Scope:Link 
UP BROADCAST RUNNING MULTICASTMTU:1500Metric:1
RX packets:56395 errors:0 dropped:0 overruns:0 frame:0
TX packets:26298 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:33599502 (32.0 MiB)TX bytes:3132262 (2.9 MiB)
Base address:0xc000 



lo Link encap:Local Loopback 
inet addr:127.0.0.1Mask:255.0.0.0 
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNINGMTU:65536Metric:1
RX packets:3612 errors:0 dropped:0 overruns:0 frame:0 
TX packets:3612 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:549972 (537.0 KiB)TX bytes:549972 (537.0 KiB)



tun0 Link encap:UNSPECHWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
inet addr:192.168.100.1P-t-P:192.168.100.2Mask:255.255.255.0
UP POINTOPOINT RUNNING NOARP MULTICASTMTU:1500Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100 
RX bytes:0 (0.0 B)TX bytes:0 (0.0 B)



wlan0 Link encap:EthernetHWaddr BC:30:7D:92:8B:A1 
inet6 addr: fe80::be30:7dff:fe92:8ba1/64 Scope:Link 
UP BROADCAST RUNNING MULTICASTMTU:1500Metric:1
RX packets:272 errors:0 dropped:0 overruns:0 frame:0
TX packets:887 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000

Mám tedy zadat přes ssh
Kód: [Vybrat]
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o lan -j MASQUERADE

nebo například takto, jestli to bude brát ze všech rozhraní vše, co půjde na port 1194??
Kód: [Vybrat]
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 --dport 1194 -j MASQUERADE
, žádné rozhraní lan ifconfig jako takový nevypíše, ale zóna firewallu ho má... V návodech na turris tohle zmiňované není... Abych si ten turris nějak neodrovnal. Předpokládám pro trvalou změnu to dát do toho /etc/firewall.user?

275
Sítě / Re:OpenVPN server na Turrisu
« kdy: 19. 01. 2016, 10:16:34 »
Citace: beather  19. 01. 2016, 10:10:19
já bych zkusil ten příkaz co jsem poslal s tím, že adapter bude váš "lan"

Můžeš to prosím rozvést podrobně? Co přesně kam zadat?

276
Sítě / Re:OpenVPN server na Turrisu
« kdy: 19. 01. 2016, 10:06:09 »
Citace: beather  18. 01. 2016, 19:20:40
ano, ale je potřeba nastavit na serveru (routeru) přeroutování ethernetu do té VPN sítě, kterou přiděluje

A jak přesně? Řekněme, že fyzicky nemám k webovému rozhraní většinou přístup a že se toho webového rozhraní firewallu bojím, ale mám přístup přes ssh... Co mám tedy kde přesně nastavit? Můžete tedy mrknout ještě na mé konfigurační soubory, jestli je tam něco špatně?

277
Sítě / Re:OpenVPN server na Turrisu
« kdy: 18. 01. 2016, 17:25:05 »
Ten ubuntu je k turrisu ale připojený skrze lan a nikoliv van, možná by se mělo nějak upravit ještě takto

Kód: [Vybrat]
# This file is interpreted as shell script.
# Put your custom iptables rules here, they will
# be executed with each firewall (re-)start.


# Internal uci firewall chains are flushed and recreated on reload, so
# put custom rules into the root chains e.g. INPUT or FORWARD or into the
# special user chains, e.g. input_wan_rule or postrouting_lan_rule.
iptables -t nat -A prerouting_wan -p udp --dport 1194 -j ACCEPT
iptables -A input_wan -p udp --dport 1194 -j ACCEPT
iptables -t nat -A prerouting_lan -p udp --dport 1194 -j ACCEPT
iptables -A input_lan -p udp --dport 1194 -j ACCEPT

iptables -I INPUT -i tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
iptables -I OUTPUT -o tun+ -j ACCEPT
iptables -I FORWARD -o tun+ -j ACCEPT
?

278
Sítě / Re:OpenVPN server na Turrisu
« kdy: 18. 01. 2016, 17:20:48 »
Citace: beather  18. 01. 2016, 17:06:33
:-D to jsou rady... :D

když pustíš openvpn clienta tak ti automaticky má vytvořit clienta v ifconfigu... případné problémy se dají zkontrolovat v syslogu...

povolil jsi maškarádu na serveru? iptables -t nat -A POSTROUTING -s (přidělované adresa tunelem)/24 -o (adaptér) -j MASQUERADE klasicky u linuxu..

Veškeré konfigurační soubory jsem sem dal, většina návodů o iptables nemluvila, ale v některém jsem viděl přidání do


/etc/firewall.user, jeho obsah jsem dal v prvním příspěvku, je tam prerouting. Je to špatně?

Kód: [Vybrat]
# This file is interpreted as shell script.
# Put your custom iptables rules here, they will
# be executed with each firewall (re-)start.


# Internal uci firewall chains are flushed and recreated on reload, so
# put custom rules into the root chains e.g. INPUT or FORWARD or into the
# special user chains, e.g. input_wan_rule or postrouting_lan_rule.
iptables -t nat -A prerouting_wan -p udp --dport 1194 -j ACCEPT
iptables -A input_wan -p udp --dport 1194 -j ACCEPT


iptables -I INPUT -i tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
iptables -I OUTPUT -o tun+ -j ACCEPT
iptables -I FORWARD -o tun+ -j ACCEPT

Na serveru v turrisu (openvrt) a v tom ubuntu mám udělat ještě co přesně?

279
Sítě / Re:OpenVPN server na Turrisu
« kdy: 18. 01. 2016, 16:47:17 »
Citace: trubicoid2  18. 01. 2016, 16:37:27
to vypada, ze se ti nespoji, zkus to bez ufw

I s deaktivovaným ufw to nejde, hlášky stejné

280
Sítě / Re:OpenVPN server na Turrisu
« kdy: 18. 01. 2016, 16:10:48 »
Citace: trubicoid2  18. 01. 2016, 15:53:20
jestli mas verb 3, tak pise mnohem vic, jak vypada ta konfigurace na klientovi?

jinak si u tebe stezuje, ze prave paket na portu 1194 byl zamitnut
Kód: [Vybrat]
openvpn --config /etc/openvpn/vpn.conf                     
Mon Jan 18 16:03:25 2016 OpenVPN 2.3.7 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS
11] [MH] [IPv6] built on Jul  8 2015                                                          
Mon Jan 18 16:03:25 2016 library versions: OpenSSL 1.0.2d 9 Jul 2015, LZO 2.08                
Mon Jan 18 16:03:25 2016 Socket Buffers: R=[212992->131072] S=[212992->131072]                
Mon Jan 18 16:03:25 2016 NOTE: UID/GID downgrade will be delayed because of --client, --pull, 
or --up-delay                                                                                 
Mon Jan 18 16:03:25 2016 UDPv4 link local: [undef]                                            
Mon Jan 18 16:03:25 2016 UDPv4 link remote: [AF_INET]89.177.109.252:1194                      
Mon Jan 18 16:03:25 2016 TCP/UDP: Incoming packet rejected from [AF_INET]192.168.1.1:1194[2], 
expected peer address: [AF_INET]89.177.109.252:1194 (allow this incoming source address/port b
y removing --remote or adding --float)                                                        
Mon Jan 18 16:03:27 2016 TCP/UDP: Incoming packet rejected from [AF_INET]192.168.1.1:1194[2], 
expected peer address: [AF_INET]89.177.109.252:1194 (allow this incoming source address/port b
y removing --remote or adding --float)                                                        
Mon Jan 18 16:03:31 2016 TCP/UDP: Incoming packet rejected from [AF_INET]192.168.1.1:1194[2], 
expected peer address: [AF_INET]89.177.109.252:1194 (allow this incoming source address/port b
y removing --remote or adding --float)
...
Kód: [Vybrat]
ufw allow openvpn                                                  
Přeskakuje se přidání již existujícího pravidla                                               
Přeskakuje se přidání již existujícího pravidla (v6)

v
/etc/sysctl.conf mám odkomentované
Kód: [Vybrat]
net.ipv4.ip_forward = 1

v /etc/openvpn/vpn.conf na klientovi
Kód: [Vybrat]
client
dev tun
proto udp
remote mojedomena.cz
port 1194 
keepalive 10 1200 
nobind
user nobody 
group nogroup 
persist-tun
persist-key
auth-nocache
script-security 2
<ca>
-----BEGIN CERTIFICATE----- 
...
-----END CERTIFICATE----- 
</ca> 
<cert>
-----BEGIN CERTIFICATE----- 
...
-----END CERTIFICATE-----
</cert> 
<key> 
-----BEGIN PRIVATE KEY----- 
...
-----END PRIVATE KEY----- 
key-direction 1
ns-cert-type server 
comp-lzo yes
verb 3
mute 20

281
Sítě / Re:OpenVPN server na Turrisu
« kdy: 18. 01. 2016, 15:40:13 »
Když openvpn spustím ručně na klientovi, píše mi to:

Kód: [Vybrat]
Mon Jan 18 15:38:54 2016 TCP/UDP: Incoming packet rejected from [AF_INET]192.168.1.1:1194[2], 
expected peer address: [AF_INET]89.177.109.252:1194 (allow this incoming source address/port b
y removing --remote or adding --float)

Mám aktivní ufw a v něm povoleno openvpn na portu 1194

282
Sítě / Re:OpenVPN server na Turrisu
« kdy: 18. 01. 2016, 12:41:53 »
Citace: Trubicoid2  18. 01. 2016, 12:31:54
To je ňáký divný. Co je klient? A má jen wifi a ta nemá ani ip?
A z klienta se připojuješ přesně jak?
Kód: [Vybrat]
sudo openvpn tvujconfig.opvn
? Tam to ip určitě najdeš, pár řádků od konce

Klient je ubuntu, bez network  manageru, připojený přes lan kabel, ten samozřejmě svojí ip adresu na svém rozhraní má. Možná je problém v tom, že tam mám na serveru dle návodu pro openwrt client-to-client. /etc/openvpn/vpn.conf jsem nyní smazal a spustil openvpn přes /etc/config/openvpn, kam jsem dal dle http://www.s474n.com/project-turris-zprovozneni-openvpn-serveru/ níže uvedený obsah a restartoval turris, nejsem ale u klienta, není aktuálně online, tak nevím, jestli se teď chytne. V tomhle konfiguráku je topology subnet, což by mohlo fungovat lépe.

Kód: [Vybrat]
config openvpn 'turris_server'
	option enabled '1'
	option dev 'tun'
	option proto 'udp'
	option port '1194'
	option keepalive '10 1200'
	option ca '/etc/easy-rsa/keys/ca.crt'
	option cert '/etc/easy-rsa/keys/turris.crt'
	option key '/etc/easy-rsa/keys/turris.key'
	option dh '/etc/openvpn/dh2048.pem'
	option server '192.168.100.0 255.255.255.0'
	option remote-cert-tls 'server'
	list push 'redirect-gateway def1'
	option comp-lzo 'yes'
	option verb '3'
	option topology 'subnet'
	option ifconfig_pool_persist '/tmp/ipp.txt'
	option persist_key '1'
	option persist_tun '1'
	option status '/tmp/openvpn-status.log'

283
Sítě / Re:OpenVPN server na Turrisu
« kdy: 18. 01. 2016, 11:55:34 »
Citace: trubicoid2  18. 01. 2016, 11:46:19
adresu rekne openvpn klient, kdyz se pripojis, ne?
a ifconfig taky, ale na klientovi

Neřekne

tohle mám aktuálně na serveru (turris)
Kód: [Vybrat]
mode server 
tls-server
### network options
port 1194
proto udp 
dev tun 
### Certificate and key files 
ca /etc/openvpn/ca.crt
cert /etc/openvpn/turris.crt
key /etc/openvpn/turris.key 
dh /etc/openvpn/dh2048.pem
client-to-client
server 192.16.100.0 255.255.255.0 
push "redirect-gateway def1"
push "dhcp-option DNS 192.168.1.1" # Change this to your router's LAN IP Address
push "route 192.168.100.0 255.255.255.0" # Change this to your network
### (optional) compression (Can be slow). If not used specifically set to no and do not comme 
nt out.
### with no comp-lzo can result in write to TUN/TAP : Invalid argument (code=22) error
#comp-lzo no
comp-lzo yes
ifconfig-pool-persist /etc/openvpn/ipp.txt
persist-key 
persist-tun 
verb 3
keepalive 10 120
log-append /var/log/openvpn/openvpn.log

Měla by být v ipp.txt, ten to sice vytvořilo, ale je prázdný.

Když dám na klientovi ifconfig, tak mám

Kód: [Vybrat]
wlp5s4    Link encap:Ethernet  HWadr 00:23:f8:28:84:9c                                        
          AKTIVOVÁNO VŠESMĚROVÉ_VYSÍLÁNÍ MULTICAST  MTU:1500  Metrika:1                       
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0                                  
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0                                
          kolizí:0 délka odchozí fronty:1000                                                  
          Přijato bajtů: 0 (0.0 B) Odesláno bajtů: 0 (0.0 B)

ping na 192.168.100.1 má odpověď z turrisu, ale ani nmap na turrisu na 192.168.100.- nepoví ip adresu klienta.

284
Sítě / Re:OpenVPN server na Turrisu
« kdy: 18. 01. 2016, 10:41:59 »
Omlouvám se, funguje, opraveno, z klienta pingnu na server a na serveru spustím, ale nějak nemohu na klientovi dohledat, jakou má ip adresu (ifconfig mi jí neukáže).

285
Sítě / Re:OpenVPN server na Turrisu
« kdy: 18. 01. 2016, 04:45:01 »
edit poslední věty, myslel jsem v konfiguračním souboru.


Chyba bude asi tam, protože když zkusím spustit openvpn ručně, tak hlásí chybu, ale nepoznám z toho, jakou.



Kód: [Vybrat]

root@turris:~# openvpn --config /etc/openvpn/vpn.conf 
Options error: In /etc/openvpn/vpn.conf:1: Error opening configuration file: openvpn
Use --help for more information.


Stran: 1 ... 17 18 [19] 20 21 ... 49