|
Openvpn - jak połączyć kilka sieci.
|
| lukaszpieter |
Dodano 04-03-2010 19:27
|
User
Posty: 132
Dołączył: 13/07/2007 00:57
|
Witam.
Chce połączyć ze sobą kilka routerów za pomocą openvpn. Chce zmostkować wszystkie interfejsy, tak aby wszystkie podłączone urządzenia w vpn miały adres ip z puli adresów serwera.
Czytałem opis konfiguracji poszczególny elementów z pliku konfiguracyjnego, ale nie bardzo wiem co użyć.
Czy czegoś brakuje w tych plikach konfiguracyjnych ??
server.conf
Cytat
port 1194
proto udp
dev tap0
key /etc/openvpn/secret.key
keepalive 10 120
status /tmp/openvpn-status.log
verb 3
max-clients 10
client.conf
Cytat
client
dev tap
proto udp
remote XXX.XXX.XXX.XXX 1194
resolv-retry infinite
nobind
mute-replay-warnings
key /etc/openvpn/secret.key
verb 3
float
key client.key - jest taki sam na serwerze i u klienta, a co z plikami :
ca ca.crt
cert client.crt
dh dh1024.pem
Warto wykorzystać te opcje??
Cytat
cipher BF-CBC # Blowfish (default)
cipher AES-128-CBC # AES
cipher DES-EDE3-CBC # Triple-DES
Ten skrypt z eko.one.pl należy użyć tylko na serwerze?
Cytat
#!/bin/sh /etc/rc.common
START=94
start() {
openvpn --mktun --dev tap0
brctl addif br-lan tap0
ifconfig tap0 0.0.0.0 promisc up
}
stop() {
ifconfig tap0 0.0.0.0 down
brctl delif br-lan tap0
openvpn --rmtun --dev tap0
}
Edytowany przez lukaszpieter dnia 04-03-2010 20:26
|
| |
|
|
| lukaszpieter |
Dodano 13-03-2010 18:39
|
User
Posty: 132
Dołączył: 13/07/2007 00:57
|
Widzę że spore zainteresowanie.
wystawiłem certyfikat i chcę podpisać request, ale dostaję coś takiego w odpowiedzi.
Cytat
/rootca# openssl ca -notext -in request_bramy.pem -out /etc/openvpn/certyfikat_bramy.pem
Using configuration from /etc/ssl/openssl.cnf
Error opening CA private key ./demoCA/private/cakey.pem
4472:error:02001002:lib(2):func(1):reason(2):NA:0:fopen('./demoCA/private/cakey.pem','r' 
4472:error:20074002:lib(32):func(116):reason(2):NA:0:
unable to load CA private key
O co tu chodzi??
Jak poprawię w /etc/ssl/openssl.conf linijkę dir na /etc/ssl dostaje taki wynik:
Cytat
/rootca# openssl ca -notext -in request_bramy.pem -out /etc/openvpn/certyfikat_bramy.pem
Using configuration from /etc/ssl/openssl.cnf
Error opening CA private key /etc/ssl/private/cakey.pem
4501:error:02001002:lib(2):func(1):reason(2):NA:0:fopen('/etc/ssl/private/cakey.pem','r'
4501:error:20074002:lib(32):func(116):reason(2):NA:0:
unable to load CA private key
Edytowany przez lukaszpieter dnia 13-03-2010 18:41
|
| |
|
|
| shibby |
Dodano 13-03-2010 20:10
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
Error opening CA private key /etc/ssl/private/cakey.pem
czyli szuka klucza CA w podanesz sciezce (bo tak mu kaze openssl.conf) a tak upss nie ma go.
przez co
unable to load CA private key
nie moze go zalatowac.
zajzyj do wiki-tomato, tam masz moj opis konfiguracji i cenerowania certyfikatow openvpn wraz z gotowymi skryptami. Wystarczy je sobie sprzerobic (zmienic sciezki) i gotowe.
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| lukaszpieter |
Dodano 13-03-2010 21:19
|
User
Posty: 132
Dołączył: 13/07/2007 00:57
|
Już sobie poradziłem. Wygenerowałem wszystkie potrzebne certyfikaty. Teraz zastanawiam się dla czego nie chce mi zestawić połączenia. Do rana może dojdę ;p
Coś mi źle chyba poszło w generowniu kluczy. Jeszcze raz zacząłem generować klucze. Teraz stanąłem podczas request dla usera.
Cytat
root@OpenWrt:/rootca# openssl ca -notext -in request_ola.pem -out certyfikat_ola.pem -days 1825
Using configuration from /etc/ssl/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
Serial Number: 1 (0x1)
Validity
Not Before: Jan 1 00:12:00 2000 GMT
Not After : Dec 30 00:12:00 2004 GMT
Subject:
countryName = pl
stateOrProvinceName = lubelskie
organizationName = inco
commonName = server
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
0D:3A:B3:EC:F7:CC:3B:A0:7F:98:5E:20:15:3C:CE:94:F2:4D:9F:36
X509v3 Authority Key Identifier:
keyid:15:A6:2D:3D:07:0E:79:06:EF:68:56:F2:5F:F9:EC:60:C0:8F:2E:32
Certificate is to be certified until Dec 30 00:12:00 2004 GMT (1825 days)
Sign the certificate? [y/n]:y
failed to update database
TXT_DB error number 2
Edytowany przez lukaszpieter dnia 14-03-2010 00:09
|
| |
|
|
| rpc |
Dodano 14-03-2010 02:59
|
User
Posty: 111
Dołączył: 26/06/2008 05:54
|
a czemu bridge a nie routing który jest o wiele wydajniejszy i mniej problematyczny ? |
| |
|
|
| lukaszpieter |
Dodano 14-03-2010 10:14
|
User
Posty: 132
Dołączył: 13/07/2007 00:57
|
Wreszcie udało mi się zestawić połączenie vpn. Teraz mam pytanie z innej beczki. Jak poprawić trase routingu, aby adresy ip z sieci za serwerem vpn były dostępne w sieci lan u klienta vpn.
Mamtaką konfiguracje:
Serwer
Cytat
dev tun
tun-mtu 1500
port 1194
comp-lzo
proto tcp-server
ping-timer-rem
persist-tun
persist-key
daemon
verb 4
status /tmp/openvpn-status.log
ca /etc/openvpn/certyfikat_rootca.pem
cert /etc/openvpn/certyfikat_bramy.pem
key /etc/openvpn/klucz_bramy.pem
tls-server
dh /etc/openvpn/dh1024.pem
mode server
server 192.168.10.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/ipp.txt
push "dhcp-option DOMAIN MSHOME"
push "dhcp-option DNS 192.168.1.1"
push "route 192.168.1.0 255.255.255.0"
push "ping 20"
push "ping restart 120"
route -n
Cytat
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.10.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
192.168.10.0 192.168.10.2 255.255.255.0 UG 0 0 0 tun0
89.72.156.0 0.0.0.0 255.255.252.0 U 0 0 0 eth0.1
0.0.0.0 89.72.156.1 0.0.0.0 UG 0 0 0 eth0.1
Klient
Cytat
tls-client
dev tun
proto tcp-client
comp-lzo
persist-tun
persist-key
keepalive 10 60
ping-timer-rem
verb 4
ca /etc/openvpn/certyfikat_rootca.pem
cert /etc/openvpn/certyfikat_user.pem
key /etc/openvpn/klucz_user.pem
remote serwer.ath.cx
pull
port 1194
route -n
Cytat
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.10.1 192.168.10.5 255.255.255.255 UGH 0 0 0 tun0
192.168.10.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
192.168.1.0 192.168.10.5 255.255.255.0 UG 0 0 0 tun0
10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth0.1
0.0.0.0 10.0.0.2 0.0.0.0 UG 0 0 0 eth0.1
Edytowany przez lukaszpieter dnia 14-03-2010 12:30
|
| |
|
|
| lukaszpieter |
Dodano 14-03-2010 12:36
|
User
Posty: 132
Dołączył: 13/07/2007 00:57
|
Dla czego vpn ustawia mi maskę podsieci na 255.255.255.255 skoro w pliku konfig ustawiłem mu maskę 255.255.255.0
Serwer
Cytat
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:192.168.10.1 P-t-P:192.168.10.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:250 errors:0 dropped:0 overruns:0 frame:0
TX packets:133 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:13288 (12.9 KiB) TX bytes:8638 (8.4 KiB)
Klient
Cytat
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:192.168.10.6 P-t-P:192.168.10.5 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:125 errors:0 dropped:0 overruns:0 frame:0
TX packets:236 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:8110 (7.9 KiB) TX bytes:12544 (12.2 KiB)
|
| |
|
|
| shibby |
Dodano 14-03-2010 18:51
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
bo w tej konfiguracji tworzone sa 4ipkowe podsieci dla kazdego usera (izolacja klietow). Tak ma byc.
server 192.168.10.0 255.255.255.0
oznacza ze serwer bedzie przydzial z tej klasy ipki.
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| lukaszpieter |
Dodano 14-03-2010 20:46
|
User
Posty: 132
Dołączył: 13/07/2007 00:57
|
A jak poprawić tą konfigurację, aby adresy ip z sieci za serwerem vpn były dostępne w sieci lan u klienta vpn - i odwrotnie?
wg. tej konfiguracji powinienem mieć dostęp w sieci przyłączonej do serwera dostęp do komputerów za serwerem vpn, a tak nie jest. |
| |
|
' target='_blank'>Link
