Author Topic: openVPN  (Read 20405 times)

Oiler

  • Zen Apprentice
  • *
  • Posts: 20
  • Karma: +1/-0
    • View Profile
Re: openVPN
« Reply #15 on: July 02, 2012, 12:43:04 pm »
Закрыты порты на сервере. Я вообще разрешил сети 192.168.160.0/24 полный доступ к своей внутренней сети
Разрешил всё туда-обратно и в "Правила фильтрации из внешних сетей на внутренние сети" и в "Правила Фильтрации между внутренними сетями" по UDP 1194 (как в настройке сервера VPN), сервер слушает "все интерфейсы", результат без изменений:
Quote
настроил на сервере OpenVPN, на домашнем ноуте установил клиента, подключаюсь, вижу ресурсы на сервере, проходят пинги на машины за сервером по айпишникам офисной сети, по http:\\внутренний_ip виден сайт на внутренней машине, в сетевом окружении клиента виден только сервер.
Как увидеть офисные машины?

YOBA

  • Zen Monk
  • **
  • Posts: 87
  • Karma: +4/-0
  • ALLU YOBA ETO TI?
    • View Profile
    • XXX MYTISCHI HARDCORE OCHOBA XXX
Re: openVPN
« Reply #16 on: July 04, 2012, 07:47:11 am »
Закрыты порты на сервере. Я вообще разрешил сети 192.168.160.0/24 полный доступ к своей внутренней сети
Разрешил всё туда-обратно и в "Правила фильтрации из внешних сетей на внутренние сети" и в "Правила Фильтрации между внутренними сетями" по UDP 1194 (как в настройке сервера VPN), сервер слушает "все интерфейсы", результат без изменений:
Quote
настроил на сервере OpenVPN, на домашнем ноуте установил клиента, подключаюсь, вижу ресурсы на сервере, проходят пинги на машины за сервером по айпишникам офисной сети, по http:\\внутренний_ip виден сайт на внутренней машине, в сетевом окружении клиента виден только сервер.
Как увидеть офисные машины?

Тебе надо в настройках VPN-сервера тыцнуть кнопачьку "Advertised networks" и добавить туда твою локаклку.

Eagle

  • Zen Apprentice
  • *
  • Posts: 1
  • Karma: +1/-0
    • View Profile
Re: openVPN
« Reply #17 on: July 06, 2012, 03:33:50 pm »
Товарищи, как сделать так, чтобы шлюз, который находится в advertised network становился шлюзом по умолчанию у клиентов OpenVPN?

Само собой разумеется, что правка /etc/openvpn/<имя>.conf "смывается" zentyal'ом.

Где находятся шаблоны, которые необходимо поправить, чтобы прописать в конфигах openvpn настройку, согласно которой клиентам будет "пушиться" днс и шлюз?

Настройки лежат по адресу /usr/share/zentyal/stubs/openvpn

tunsa

  • Zen Samurai
  • ****
  • Posts: 350
  • Karma: +15/-1
    • View Profile
Re: openVPN
« Reply #18 on: July 07, 2012, 04:29:47 pm »
Re: openVPN
« Reply #14 on: June 07, 2012, 10:07:45 am »
Quote
Закрыты порты на сервере. Я вообще разрешил сети 192.168.160.0/24 полный доступ к своей внутренней сети


А как ты это сделал??? Как это нужно прописать в Файрволе подскажи плиз......

tunsa

  • Zen Samurai
  • ****
  • Posts: 350
  • Karma: +15/-1
    • View Profile
Re: openVPN
« Reply #19 on: July 08, 2012, 01:53:30 pm »
а как это сделать в файрволе???

mravil

  • Zen Samurai
  • ****
  • Posts: 410
  • Karma: +27/-4
  • В чужую сеть со своим протоколом не лезь!
    • View Profile
Re: openVPN
« Reply #20 on: July 09, 2012, 05:23:30 am »
Packet Filter ▸ External networks to internal networks
Decision: Accept
Source: 192.168.160.0/24
Destination: Any
Service:    Any
Description: OpenVPN

Также как писал модератор atikhonov нужно использовать Advertised Networks, просто поставив в настройках OpenVPN галочку на Allow client-to-client connections

tunsa

  • Zen Samurai
  • ****
  • Posts: 350
  • Karma: +15/-1
    • View Profile
Re: openVPN
« Reply #21 on: July 09, 2012, 10:01:11 am »
спс....блин так же делала всё равно локальные машины клиента openvpn не видят внутреннюю сеть сервера openvpn. А сервер openvpn и клиент видят внутренние сети друг друга....В чем может быть проблема??????

mravil

  • Zen Samurai
  • ****
  • Posts: 410
  • Karma: +27/-4
  • В чужую сеть со своим протоколом не лезь!
    • View Profile
Re: openVPN
« Reply #22 on: July 09, 2012, 10:18:56 am »
спс....блин так же делала всё равно локальные машины клиента openvpn не видят внутреннюю сеть сервера openvpn. А сервер openvpn и клиент видят внутренние сети друг друга....В чем может быть проблема??????
То есть VPN-клиент имеет доступ к ресурсам Zentyal сервера, но не может получить доступ к ресурсам компьютера в локально для Zentyal сети? Правильно я вас понимаю? Какая ОС установлена на VPN-клиенте - Windows или Linux?
Покажите маршруты VPN-клиента
Code: [Select]
route print - просмотр маршрутов на Windows
Code: [Select]
route - просмотр маршрутов на Linux

Oiler

  • Zen Apprentice
  • *
  • Posts: 20
  • Karma: +1/-0
    • View Profile
Re: openVPN
« Reply #23 on: July 11, 2012, 02:15:35 pm »
Тебе надо в настройках VPN-сервера тыцнуть кнопачьку "Advertised networks" и добавить туда твою локаклку.
Указана офисная сеть, не помогает...

Licht

  • Zen Apprentice
  • *
  • Posts: 18
  • Karma: +0/-0
    • View Profile
Re: openVPN
« Reply #24 on: October 15, 2012, 09:08:17 am »
Подниму тему.
Как добавить маршрут на сервере к сети которая находиться за клиентом?

mravil

  • Zen Samurai
  • ****
  • Posts: 410
  • Karma: +27/-4
  • В чужую сеть со своим протоколом не лезь!
    • View Profile
Re: openVPN
« Reply #25 on: October 15, 2012, 11:15:19 am »
Подниму тему.
Как добавить маршрут на сервере к сети которая находиться за клиентом?
Одного маршрута мало. Нужно еще рзарешаюющее правило для фаервола.
К примеру
Zentyal
static ip: 192.168.1.1 netmask 255.255.255.0
OpenVPN ip: 192.168.160.1

Client - наш клиент,
static ip: 192.168.2.1 netmask  255.255.255.0
Openvpn ip: 192.168.160.2

На Zentyal пишем:
Code: [Select]
route add -net 192.168.2.0 -netmask 255.255.255.0 192.168.160.1
iptables -I FORWARD -p ALL -s 192.168.1.0/24 -d 192.168.2.0/24 -j ACCEPT
Первая строка задает маршрут из Zentyal в сеть клиента 192.168.2.0/24 через шлюз 192.168.160.2

Это же самое можно сделать через web-морду:
1) Network -> Static Routes -> Add new
Network:    192.168.2.0/24
Gateway:    192.168.160.2
2) Firewall -> Filtering rules for internal networks -> Add new
Decision:    Accept
Source:    192.168.1.0/24
Destination:    192.168.2.0/24
Service:    Any


Теоретически должно работать. Если на стороне клиента шлюз, то и там нужно прописать правило, разрешающее доступ из сети 192.168.1.0/24 к ресурсам сети 192.168.2.0/24

Licht

  • Zen Apprentice
  • *
  • Posts: 18
  • Karma: +0/-0
    • View Profile
Re: openVPN
« Reply #26 on: October 25, 2012, 04:27:33 pm »
При попытке добавить маршрут через вэбморду.
Gateway 192.168.160.2 not reachable

Если добавлять маршрут руками то все нормально, все ходит и без правил в фаере.

есть гли где возможность прописать добавление маршрута в обход вэбинтерфейса?
« Last Edit: October 25, 2012, 04:35:18 pm by Licht »

mravil

  • Zen Samurai
  • ****
  • Posts: 410
  • Karma: +27/-4
  • В чужую сеть со своим протоколом не лезь!
    • View Profile
Re: openVPN
« Reply #27 on: October 29, 2012, 03:51:54 am »
Клиент поднят? Адрес клиента верный? Пинг до клиента идет?

Licht

  • Zen Apprentice
  • *
  • Posts: 18
  • Karma: +0/-0
    • View Profile
Re: openVPN
« Reply #28 on: October 31, 2012, 11:17:48 am »
Да, и при ручном добавлении маршрута пинг идет в сеть за клиентом. Необходимо автомотизировать процесс.
может как вариант использовать hooks? Как добавить тогда?

Russian_Ivan

  • Zen Apprentice
  • *
  • Posts: 12
  • Karma: +2/-0
    • View Profile
Re: openVPN
« Reply #29 on: January 15, 2013, 03:28:26 pm »
Доброго времени суток.
В сети провайдера (внешней сети) имеются мой Zentyal и сервер баз данных (win2003). к этому серверу подключаются пользователи из локальной сети за моим Zentyal-ом (внутренней сети), а так же несколько пользователь из внешней (все на виндоводы). Все это идет без какого либо шифрования.
Есть вариант организовать на Зенте OpenVPN сервер, а остальные будут подключатся к нему  как клиенты. VPN-канал между БД-сервером и Зентом я поднял, а дальше возникает ряд специфических вопросов.

1)как сделать так, чтоб БД-сервер при подключении к VPN всегда получал один и  тоже IP адрес? Это необходимо для настройки программы БД-клиента. Желательно, но не обязательно, чтоб все VPN-клиенты при конекте получали постоянные адреса.

2)Вопрос про сертификаты. При созданни VPN-сервера я указал конкретный клиентский сертификат. Далее все клиенты будут подключатся по одному сертификату, или каждому клиенты требуется свой сертификат?

3) Licht, А какой протокол используешь, для VPN-канала?
« Last Edit: January 15, 2013, 03:30:53 pm by Russian_Ivan »