Přístup k netu přes VPN

Pavel T

Přístup k netu přes VPN
« kdy: 13. 05. 2014, 21:09:54 »
Ahoj,

mám ve firmě na serveru OpenVPN v bridge. (snad to popisuju správně.. když se připojim, tak dostanu stejnou adresu v rozsahu firemné sítě. NE 10.8.0.2 atd.. a vidim na všechny zařízení v síti.) Teď pojedu do zahraničí a potřeboval bych aby můj provoz šel přes tu VPN.. obvykle jsem vygooglil 2 věci - povolit v konfiguraci push "redirect-gateway def1" a přidat do iptables něco jako tohle - iptables -t nat -A POSTROUTING -s 10.0.8.0/24 -o eth0 -j SNAT --to EXTERNAL_IP ... to první není problém, ale tomu druhýmu nerozumim a pokud chápu tak snad nepotřebuju, protože já dostanu adresu jako v lokální sítí a tam už se to natuje a net tam jde.. Každopádně net mi skrz to nejde... Tušíte kde moje zabedněnost dělá chybu?

přikládám konfigurák vpn:
Kód: [Vybrat]
port 1194
proto tcp
dev tap0
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
ifconfig-pool-persist ipp.txt
server-bridge 192.168.0.101 255.255.255.0 192.168.0.235 192.168.0.238
push "redirect-gateway def1 bypass-dhcp"
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3


someone

Re:Přístup k netu přes VPN
« Odpověď #1 kdy: 14. 05. 2014, 08:15:04 »
S tímto set-up nemám zkušenost, ale dám pár tipů - spíše na zamyšlení pro Vás:
Internet přes to nejde - to znamená, že chodí kolem, nebo po startu VPN přestane fungovat?
Jaká je po startu VPN default gateway (projděte určitě celou routing table) na klientovi!
Hlásí log OpenVPN něco podezřelého? Např. na win když nespustíte OpenVPN s admin právy, odmítne tuším modifikovat cesty a napíše to do logu.
A k zamyšlení případně dál - jaké DNS klient používá / bude používat?

Trubicoid2

Re:Přístup k netu přes VPN
« Odpověď #2 kdy: 14. 05. 2014, 09:13:01 »
Ten
Kód: [Vybrat]
push "redirect-gateway def1" udělá, aby všechen provoz klienta šel přes server, to chces.
Bypass-dhcp nevim co dela, nemam to tam.

Openvpn muže byt forwardovany (dev tun) nebo bridgeovany (dev tap0) jak mas ty. Ten iptables prikaz je zrejme pro prvni moznost. Ty naopak musis mit nastaveny bridge treba br0 mezi tap0 a eth0, ale to asi mas, jinak by ti nic pres vpn nefungovalo.

Jinak muzes mit i dva openvpn servery na jednom pocitaci, pokud maji jiny port. Ja mam jeden tap0 udp 1194 a jeden tun tcp 443, protoze openvpn na ios neumi tap0 a tcp 443 taky nebyva casto blokovany.

Trubicoid2

Re:Přístup k netu přes VPN
« Odpověď #3 kdy: 14. 05. 2014, 09:15:07 »
A jeste lahudka je, ze tcp 443 muzes multiplexovat mezi openvpn, ssh a https pomoci sslh 8)

pet

Re:Přístup k netu přes VPN
« Odpověď #4 kdy: 14. 05. 2014, 09:41:50 »
Vše potřebné o OpenVPN je na http://openvpn.net/howto.html.
Je tam i sekce "Routing all client traffic (including web-traffic) through the VPN".


Trubicoid2

Re:Přístup k netu přes VPN
« Odpověď #5 kdy: 14. 05. 2014, 11:04:56 »
Tak to von asi cet, protoze tam presne je ten iptables postrouting, kterej nepotrebuje. Neni to tam uplne jasne vysvetleny.

Trubicoid2

Re:Přístup k netu přes VPN
« Odpověď #6 kdy: 14. 05. 2014, 11:14:39 »
Ja uz asi vim, nejede ti reslovovani dns, ne? Ja mam toto a ty to nemas, tak zkus:

Kód: [Vybrat]
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 208.67.222.222"

To prvni je guglu a druhy opendns, klidne jich dej i vic nebo svoji nebo od ISP

Pavel T

Re:Přístup k netu přes VPN
« Odpověď #7 kdy: 14. 05. 2014, 21:15:31 »
Pánové,

moc děkuji za rady :), ještě jsem s tím nepohnul.. ale hned jak se k tomu dostanu, tak postnu výsledek.

Díky moc

Karlos

Re:Přístup k netu přes VPN
« Odpověď #8 kdy: 14. 05. 2014, 21:40:56 »
Zdravim, trochu se přiseru. Řešil jsem teď úplně stejný problém, ale potřeboval bych, aby se změna GW a DNS nastavila pouze u jednoho klienta, tzn. nechat konfiguraci na serveru a upravit .conf v v tom klientovi. Není třeba možné dát do klienta jen toto - bez push?
Kód: [Vybrat]
redirect-gateway def1
dhcp-option DNS 8.8.8.8
dhcp-option DNS 208.67.222.222
Nebo to vyřešit přes up script?
Díky

Re:Přístup k netu přes VPN
« Odpověď #9 kdy: 15. 05. 2014, 01:22:50 »
A co nechat konfiguraci na serveru i klientovi puvodni a nastavit natvrdo IP a DNS primo na tom TUN/TAP adapteru?

trubicoid2

Re:Přístup k netu přes VPN
« Odpověď #10 kdy: 15. 05. 2014, 10:25:53 »
Zdravim, trochu se přiseru. Řešil jsem teď úplně stejný problém, ale potřeboval bych, aby se změna GW a DNS nastavila pouze u jednoho klienta, tzn. nechat konfiguraci na serveru a upravit .conf v v tom klientovi. Není třeba možné dát do klienta jen toto - bez push?

na klientovi to asi nejde, ale na serveru jde elegantne pouzit
Kód: [Vybrat]
client-config-dir kde pak jenom jednomu klientovi das push gw a dns

trubicoid2

Re:Přístup k netu přes VPN
« Odpověď #11 kdy: 21. 05. 2014, 11:43:05 »
A jak to teda dopadlo?

alfi

  • ****
  • 324
    • Zobrazit profil
    • E-mail
Re:Přístup k netu přes VPN
« Odpověď #12 kdy: 22. 05. 2014, 08:14:03 »
A co nechat konfiguraci na serveru i klientovi puvodni a nastavit natvrdo IP a DNS primo na tom TUN/TAP adapteru?
přesně tak. default route i DNS se dá měnit i na klientovi a i dodatečně po připojení.. tedy nejlépe na klientovi udělat dva profily k vpn, jeden s default route a druhý bez ní, třeba v network manageru je to dokonce klikací :-) a ten s default route se stejně hodí (=je potřeba!) při cestách a připojování přes různé nešifrované či jinak pochybné wifi :-)

trubicoid2

Re:Přístup k netu přes VPN
« Odpověď #13 kdy: 22. 05. 2014, 11:20:34 »
a ten s default route se stejně hodí (=je potřeba!) při cestách a připojování přes různé nešifrované či jinak pochybné wifi :-)

no to je jasny, spis na co je dobry ten druhy, bez default route? nic mi nenapada

snad jen, ze pres vpn je brouzdani o kousicek pomalejsi? no tak si ho treba vypnu, nemusim to mit furt zapnuty