openvpn a routovani do vnitrni site
Jaroslav Votruba
jaroslav.votruba at keytec.cz
Mon Mar 3 09:39:25 CET 2008
prosim o radu , co kde jak nastavit ,aby mi fungovalo routovani do
vnitrni site. Doted jsem to delal tak ,ze na jednom stroji ve vnitrni
siti bezel vpn klient. Pak se nechalo z domova nastavit IP z vnitrni
site treba 192.168.0.100(nebo jakoukoliv jinou ve vnitrni siti) na vnc
a ono to proroutovalo(samozrejme pri spustenym klientovi na tom domacim
stroji) na tu pozadovanou stanici. Pokud na te jedne stanici ve vnitrni
siti shodim vpn klienta, tak se jiz nikam neprihlasim(pouze na server
na IP 10.0.1.1). Stavajici stav je ale neprakticky, protoze pokud na
widlich bezi vpn klient, tak se neni mozne z toho stroje dostat na
jakykoliv pocitac ve vnitrni siti. Nepomohlo ani pridani dalsi sitovky,
ten klient proste blokuje vsechny ostatni rozhrani krome TAP.
Proste to vypada , ze to routovani nedela server,ale klient na te jedne
stanici. Možna to muze zpusobovat volba pull na klientovi-netusim.
1. -necha se to nejak upravit configem na serveru ,aby to fungovalo bez
te stanice?
2. -bylo by resenim routovat to NATem? pokud ano, jak udelat zapis pro
routovani site 10.0.1.0/24 do 192.168.0.0/24?
umim jen redirectovat port,IP nebo maskaradu pro internet.
Routovani nekolika siti jsem jeste nepotreboval.
3. -bylo by mozna resenim rozbehat zaroven klienta primo na serveru, ze
by to pak routovalo,ale prijde mi to dost krkolomny, musi existovat
elegantnejsi reseni.
priupojuji konfigy
server
local xxx.xxx.xxx.xxx #venkovni sit
port 1194 #port na kterem posloucha
proto udp #protokol UPD (muzete zamenit za TCP)
dev tap0 #virtualni zarizeni-muze jich byt vice s
ruznymi konfiguraky
#klice
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/myserver.crt
key /usr/local/etc/openvpn/keys/myserver.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
server 10.0.1.0 255.255.255.0 #rozsah pridelovanych adres
ifconfig-pool-persist ipp.txt # Zajisti aby VPN klienti
dostavali porad stejnou VPN ip adresu
push "route 192.168.0.0 255.255.255.0" #site do kterych se bude
routovat-muze jich byt vice
#push "dhcp-option DNS 10.0.0.2" #IP DNS serveru
keepalive 10 120 # pingy pro udrzeni NAT
spojeni(kazdych 10sec,po 120sec bez odezvy ukonci spojeni)
#duplicate-cn #soucasne prihlaseni vice klientu se
stejnym certifikatem
#pokud je ifconfig-pool-persist ipp.txt musi toto bzt zakomentovane
cipher AES-256-CBC #sifrovaci metoda
auth SHA1 #autentifikacni metoda
comp-lzo #pouziti komprimace
user nobody #uzivatel pod kterym to pobezi
group nobody #skupina pod kterou to pobezi
persist-key
persist-tun
client-to-client # Pokud chcete videt i z klienta na klienta
#logovani
log-append /var/log/openvpn.log
verb 5 #nastaveni vypisu v logach rozsah 1-11
status /var/log/openvpn.status 10 #kam OpenVPN pravidelne uklada
svuj stav
mute 20
klient
#ve win bez cisla, v unixu s cislem(tap0)
dev tap
proto udp
#adresa serveru
remote xxx 1194
#dulezite, dovoluje stahnout nastaveni od serveru
pull
tls-client # SSL klient
ca ca.crt
cert votruba.crt
key votruba.key
ns-cert-type server
auth SHA1
cipher aes-256-cbc
nobind
comp-lzo
persist-key
persist-tun
verb 3
More information about the Users-l
mailing list