настройка openvpn сервера / Unix-системы

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / настройка openvpn сервера

13 сообщений из 13, страница 1 из 1

настройка openvpn сервера

#38577794

evgen25

Гость

добрый день. есть ВПН сервер на линуксе. к впн серверу подключен сервер терминалов. пользователи иметь доступ к серверу терминалов, но не должны "видеть". друг друга. если на сервере пишу client-to-client то все видят всех. когда убираю этот параметр, то к серверу терминалом никто не может подключиться. кто имел опыт с подобными вещами, поделитесь опытом как это реализовать.

...

Рейтинг:

0 / 0

04.03.2014, 14:21

| Ответить | Цитировать | Написать

настройка openvpn сервера

#38577868

bga83

Участник

Откуда: Город герой Ленинград

Сообщения: 29 914

Рейтинг: 0 / 0

evgen25но не должны "видеть". друг друга.
что именно за этим стоит?

...

Рейтинг:

0 / 0

04.03.2014, 15:18

| Ответить | Цитировать | Написать

настройка openvpn сервера

#38577944

k-nike

Участник

Откуда: Левый берег

Сообщения: 2 079

Рейтинг: 0 / 0

evgen25,

Вероятно, вам просто нужно передать впн-клиентам маршрут до сервера.

...

Рейтинг:

0 / 0

04.03.2014, 16:15

| Ответить | Цитировать | Написать

настройка openvpn сервера

#38577964

miwaonline

Участник

Сообщения: 2 274

Рейтинг: 0 / 0

evgen25,

Обычная непонятка у тех кто не читает документацию :)

client-to-client в большинстве случаев не нужен; вместо этого надо просто настроить файрвол/маршрутизацию на ВПН-сервере. Если включить форвардинг, то все клиенты и без client-to-client будут видеть друг друга. А если надо одних пущать, а других нет - это делается средствами iptables.

...

Рейтинг:

0 / 0

04.03.2014, 16:28

| Ответить | Цитировать | Написать

настройка openvpn сервера

#38578249

evgen25

Гость

tcpdump даже не показывает трафика на интерфейсе. что там делать iptables при таком раскладе? может я еще не до конца понял принцип работы openvpn. расскажите по подробнее как правилами iptables и маршрутизацией управлять этим процессом? интерфейс tun

...

Рейтинг:

0 / 0

04.03.2014, 19:51

| Ответить | Цитировать | Написать

настройка openvpn сервера

#38578257

evgen25

Гость

форвардинг пакетов включен. документацию читал. есть тяга к знаниям, но не всегда понимаю документацию.

...

Рейтинг:

0 / 0

04.03.2014, 20:00

| Ответить | Цитировать | Написать

настройка openvpn сервера

#38578321

miwaonline

Участник

Сообщения: 2 274

Рейтинг: 0 / 0

evgen25tcpdump даже не показывает трафика на интерфейсе. что там делать iptables при таком раскладе?

На каком именно интерфейсе? Что в логах клиента и сервера?
evgen25 может я еще не до конца понял принцип работы openvpn. расскажите по подробнее как правилами iptables и маршрутизацией управлять этим процессом? интерфейс tun
Например, так (упрощенно)

Код: sql

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.

#!/bin/bash
IPT=/sbin/iptables

$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
...
$IPT -A INPUT -s 0/0 -p udp --destination-port 1194 -j ACCEPT
...
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -s 10.17.0.2 -j ACCEPT
$IPT -A FORWARD -s 10.17.0.12 -j ACCEPT
$IPT -A FORWARD -d 10.17.0.50 -j ACCEPT

Собственно, разрешить 10.17.0.2 и 0.12 ходить куда угодно в пределах vpn, а к 0.50 - кому угодно (в тех же пределах). И никаких client-to-client.

...

Рейтинг:

0 / 0

04.03.2014, 22:27

| Ответить | Цитировать | Написать

настройка openvpn сервера

#38579414

evgen25

Гость

делал я так. даже в цепочке форвард все разрешал. в итоге даже пинги не ходят и ни одного соединения не получается установить

...

Рейтинг:

0 / 0

05.03.2014, 19:02

| Ответить | Цитировать | Написать

настройка openvpn сервера

#38579605

miwaonline

Участник

Сообщения: 2 274

Рейтинг: 0 / 0

evgen25,

Еще раз. Медленно.

Ты что-то делаешь неправильно. Я задаю наводящие вопросы, чтобы понять, что именно. Если тебе нужна помощь - нужны твои ответы.

На каком интерфейсе tcpdump не показывает трафик? Что в это время в логах клиента? Что в логах сервера? Откуда и куда пинги не ходят?

...

Рейтинг:

0 / 0

06.03.2014, 00:13

| Ответить | Цитировать | Написать

настройка openvpn сервера

#38579680

evgen25

Гость

трафик смотрю tcpdump на интерфейсе tun0. client-to-client убрал из конфига сервера. для впн выделелена подсеть 10.0.0.0/24 (server 10.0.0.0/24). есть клиенская машина, которая при подключении к впн получает адрес 10.0.0.6. есть сервер терминалов который при подключении к впн серверу получает адрес 10.0.0.18. если я делаю iptables -A FORWARD -j ACCEPT то ни сервер терминалов ни клиент не видят друг друга. пинги не ходят, открытых портов не видят. клиенты успешно пингуют адрес 10.0.0.1 и могут подключится к открытым портам.

...

Рейтинг:

0 / 0

06.03.2014, 07:36

| Ответить | Цитировать | Написать

настройка openvpn сервера

#38579770

miwaonline

Участник

Сообщения: 2 274

Рейтинг: 0 / 0

evgen25трафик смотрю tcpdump на интерфейсе tun0.

Клиента или сервера? Судя по контексту - сервера, но на всякий случай переспрошу.
evgen25если я делаю iptables -A FORWARD -j ACCEPT то ни сервер терминалов ни клиент не видят друг друга. пинги не ходят, открытых портов не видят.

Посмотри, есть ли в iptables другие правила (-A значит append - добавить в конец цепочки; если в цепочке есть правило, которое блокирует транзитный ВПН, то до этого правила пакеты просто не дойдут.
Еще можно сделать iptables -L чтобы посмотреть, по каким правилам сколько трафика прошло, и убедиться, что по обсуждаемому правилу трафик (не) ходит.
evgen25 клиенты успешно пингуют адрес 10.0.0.1 и могут подключится к открытым портам.
Это еще не показатель. На клиентах вообще VPN поднимается?
А то запросто может оказаться, что 10.0.0.1 им доступен по defaultroute из обычной сети, а не через VPN.

...

Рейтинг:

0 / 0

06.03.2014, 10:16

| Ответить | Цитировать | Написать

настройка openvpn сервера

#38581588

evgen25

Гость

для проверки делал первое правило в форварде -j LOG и в логах пусто. клиенты поднимают соединение. трафик между клиентами и впн сервером ходит. а вот трафик между клиентами - нет. В логах трафик должен отобразиться, т.к. это самое первое правило в форварде. а в логах пусто.

...

Рейтинг:

0 / 0

07.03.2014, 21:44

| Ответить | Цитировать | Написать

настройка openvpn сервера

#38581600

miwaonline

Участник

Сообщения: 2 274

Рейтинг: 0 / 0

evgen25,

Форвардинг точно включен? Что говорит sysctl net.ipv4 | grep forward ?

Если запустить пинг по ВПН из одного клиента к другому, что кажет tcpdump/trafshow на всех интрефейсах сервера?

...

Рейтинг:

0 / 0

07.03.2014, 22:17

| Ответить | Цитировать | Написать

13 сообщений из 13, страница 1 из 1

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / настройка openvpn сервера

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=25&msg=38581588&tid=1482591]:	0ms
get settings:	10ms
get forum list:	13ms
check forum access:	4ms
check topic access:	4ms
track hit:	163ms
get topic data:	10ms
get forum data:	3ms
get page messages:	50ms
get tp. blocked users:	1ms
others:	14ms

total:	272ms