openvpn a routovani do vnitrni site

Jaroslav Votruba jaroslav.votruba at keytec.cz
Mon Mar 3 09:39:25 CET 2008


prosim o radu , co kde jak nastavit ,aby mi fungovalo routovani do 
vnitrni site. Doted jsem to delal tak ,ze na jednom stroji ve vnitrni 
siti bezel  vpn klient. Pak se nechalo z domova nastavit IP z vnitrni 
site treba 192.168.0.100(nebo jakoukoliv jinou ve vnitrni  siti) na vnc 
a ono to proroutovalo(samozrejme pri spustenym klientovi na tom domacim 
stroji) na tu pozadovanou stanici. Pokud na te jedne stanici ve vnitrni 
siti  shodim vpn klienta, tak se jiz nikam neprihlasim(pouze na server 
na IP 10.0.1.1). Stavajici stav je ale neprakticky, protoze pokud na 
widlich bezi vpn klient, tak se neni mozne z toho stroje dostat na 
jakykoliv pocitac ve vnitrni siti. Nepomohlo ani pridani dalsi sitovky, 
ten klient proste blokuje vsechny ostatni rozhrani krome TAP.
Proste to vypada , ze to routovani nedela server,ale klient na te jedne 
stanici. Možna to muze zpusobovat volba pull na klientovi-netusim.

1. -necha se to nejak upravit configem na serveru ,aby to fungovalo bez 
te stanice?
2. -bylo by resenim routovat to NATem? pokud ano, jak udelat zapis pro 
routovani site 10.0.1.0/24 do 192.168.0.0/24?
       umim jen redirectovat port,IP nebo maskaradu pro internet. 
Routovani nekolika siti jsem jeste nepotreboval.
3. -bylo by mozna resenim rozbehat zaroven klienta primo na serveru, ze 
by to pak routovalo,ale prijde mi to dost krkolomny, musi existovat 
elegantnejsi reseni.

priupojuji konfigy

server

local xxx.xxx.xxx.xxx                #venkovni sit
port 1194                       #port na kterem posloucha
proto udp                       #protokol UPD (muzete zamenit za TCP)
dev tap0                       #virtualni zarizeni-muze jich byt vice s 
ruznymi konfiguraky

#klice
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/myserver.crt
key /usr/local/etc/openvpn/keys/myserver.key
dh /usr/local/etc/openvpn/keys/dh1024.pem


server 10.0.1.0 255.255.255.0             #rozsah pridelovanych adres
ifconfig-pool-persist ipp.txt              # Zajisti aby VPN klienti 
dostavali porad stejnou VPN ip adresu
push "route 192.168.0.0 255.255.255.0"         #site do kterych se bude 
routovat-muze jich byt vice
#push "dhcp-option DNS 10.0.0.2"             #IP DNS serveru
keepalive 10 120                          # pingy pro udrzeni NAT 
spojeni(kazdych 10sec,po 120sec bez odezvy ukonci spojeni)
#duplicate-cn                    #soucasne prihlaseni vice klientu se 
stejnym certifikatem
#pokud je ifconfig-pool-persist ipp.txt musi toto bzt zakomentovane
cipher AES-256-CBC            #sifrovaci metoda
auth SHA1                     #autentifikacni metoda
comp-lzo                        #pouziti komprimace
user nobody                         #uzivatel pod kterym to pobezi
group nobody                        #skupina pod kterou to pobezi
persist-key
persist-tun
client-to-client         # Pokud chcete videt i z klienta na klienta

#logovani
log-append /var/log/openvpn.log
verb 5                          #nastaveni vypisu v logach rozsah 1-11
status /var/log/openvpn.status 10       #kam OpenVPN pravidelne uklada 
svuj stav
mute 20




klient

#ve win bez cisla, v unixu s cislem(tap0)
dev tap

proto udp

#adresa serveru
remote xxx 1194

#dulezite, dovoluje stahnout nastaveni od serveru
pull

tls-client # SSL klient
ca ca.crt
cert votruba.crt
key votruba.key
ns-cert-type server
auth SHA1
cipher aes-256-cbc
nobind
comp-lzo
persist-key
persist-tun
verb 3


More information about the Users-l mailing list