Sifrovany nat a nebo Squid OPENVPN Poslední mile
Pentium
pentium.konference at seznam.cz
Tue Mar 14 15:09:22 CET 2006
Zdravim tak se mi podarilo nastavit funkcni tunel mezi server1 a server2
Kde
mistni lan1 ma dhcp server rl0 (192.168.1.100) 192.168.1.0 do internetu je
spojena pres wi0
A Vpn v rezimu client ip 10.0.0.2 zarizeni tun0
Mistni lan2 ma dhcp server rl0 (192.168.1.100) 192.168.1.0 do internetu je
spojena pres rl1
A Vpn v rezimu server ip 10.0.0.1 zarizeni tun0
Ruznym experimentem se me podarilo I routovat na vpn server ale jen
jednostrane :{ to jsem sledoval pres trafshow -I tun0
Proto se ptam jak nastavit routovani pripadne configy abych do tunelu mohl
presmerovat bud cely provoz a nebo port 3128
Neco jako
nat on $ext_if from 192.168.1.1 to any -> ($int_ssh)
Nebo (to ovsem nefunguje ani pokud misto interface uvedu ip 10.0.0.1 I kdyz
ping funguje)
rdr on $int_if inet proto tcp from any to any port www -> $int_ssh port 3128
Navod na tunel mezi pc1 a pc2
PF.conf
int_ssh="tun0"
int_if="rl0"
pass in quick on $ext_if proto udp from any to any port 1194 keep state
pass in quick on $int_ssh proto { tcp, udp, icmp } all keep state
Znovu nacist pravidla
pfctl -f /etc/pf.conf
Priprava conf.
Vytvorit adresar openvpn
Pr. /etc/openvpn/
V nem vytvorit soubor
vpn.conf
Pak v adresari vytvorim klic
openvpn --genkey --secret secret.key
secret.key nakopiruji bezpecnou cestou I na clienta
Pak do v adresari /boot/loader.conf
Pridam radek aby se nacetl sitovej adapter VPN
if_tun_load="YES"
Pokud toto neudelam musim pri kazdem restartu adapter rucne nacist
kldload if_tun
A na Server dat do vpn.conf
dev tun
ifconfig 10.0.0.1 10.0.0.2
secret secret.key
comp-lzo
persist-tun
persist-key
#daemonp
A na Client dat do vpn.conf
#ip na ktere bezi server
remote 11.11.11.11
dev tun
ifconfig 10.0.0.2 10.0.0.1
comp-lzo
persist-tun
persist-key
daemon
/etc/rc.conf
openvpn_enable="YES"
openvpn_if="tun"
openvpn_configfile="/etc/openvpn/vpn.conf"
openvpn_dir="/etc/openvpn"
Pokud je vse ok tak pujde z clienta ping 10.0.0.1 a ze serveru ping 10.0.0.2
Diagnostika
Firewall sleduji pres
tcpdump -n -e -ttt -i pflog0
Tun adapter pres
tcpdump -i tun0
trafshow -i tun0
More information about the Users-l
mailing list