Sifrovany nat a nebo Squid OPENVPN Poslední mile

Pentium pentium.konference at seznam.cz
Tue Mar 14 15:09:22 CET 2006


Zdravim tak se mi podarilo nastavit funkcni tunel mezi server1 a server2
Kde 
mistni lan1 ma dhcp server rl0 (192.168.1.100)  192.168.1.0 do internetu je
spojena pres wi0
A Vpn v rezimu client ip 10.0.0.2 zarizeni tun0
Mistni lan2 ma dhcp server rl0 (192.168.1.100)  192.168.1.0 do internetu je
spojena pres rl1
A Vpn v rezimu server ip 10.0.0.1 zarizeni tun0

Ruznym experimentem se me podarilo I routovat na vpn server ale jen
jednostrane :{ to jsem sledoval pres trafshow -I tun0
Proto se ptam jak nastavit routovani pripadne configy abych do tunelu mohl
presmerovat bud cely provoz a nebo port 3128
Neco jako 
nat on $ext_if from 192.168.1.1 to any -> ($int_ssh)
Nebo (to ovsem nefunguje ani pokud misto interface uvedu ip 10.0.0.1 I kdyz
ping funguje)
rdr on $int_if inet proto tcp from any to any port www -> $int_ssh port 3128



Navod na tunel mezi pc1 a pc2
PF.conf
int_ssh="tun0"
int_if="rl0" 
pass in quick on $ext_if proto udp from any to any  port 1194 keep state
pass in quick on $int_ssh proto { tcp, udp, icmp } all keep state

Znovu nacist pravidla
pfctl -f /etc/pf.conf


Priprava conf.
Vytvorit adresar openvpn 
Pr. /etc/openvpn/
V nem vytvorit soubor
vpn.conf 
Pak v adresari vytvorim klic
openvpn --genkey --secret secret.key 
secret.key nakopiruji bezpecnou cestou I na clienta

Pak do v adresari /boot/loader.conf
Pridam radek aby se nacetl sitovej adapter VPN
if_tun_load="YES"
Pokud toto neudelam musim pri kazdem restartu adapter rucne nacist
kldload if_tun

A na Server dat do vpn.conf
dev tun
ifconfig 10.0.0.1 10.0.0.2
secret secret.key
comp-lzo
persist-tun
persist-key
#daemonp


A na Client dat do vpn.conf
#ip na ktere bezi server
remote 11.11.11.11  
dev tun
ifconfig 10.0.0.2 10.0.0.1
comp-lzo
persist-tun
persist-key
daemon

/etc/rc.conf
openvpn_enable="YES"
openvpn_if="tun"
openvpn_configfile="/etc/openvpn/vpn.conf"
openvpn_dir="/etc/openvpn"


Pokud je vse ok tak pujde z clienta ping 10.0.0.1 a ze serveru ping 10.0.0.2


Diagnostika
Firewall sleduji pres
tcpdump -n -e -ttt -i pflog0

Tun adapter pres
tcpdump -i tun0
trafshow -i tun0




More information about the Users-l mailing list