Skocz do zawartości


 

Zdjęcie

VPN na Debianie

VPN na Debianie VPN Debian iPad iPhone

  • Proszę się zalogować aby odpowiedzieć
5 odpowiedzi na ten temat

VPN na Debianie

#1 Merlin

Merlin

    Nowy użytkownik

  • Użytkownicy
  • 8 postów
  • Firma:MC2Studio
  • Imię:Maciej
  • Nazwisko:Cybulski

Napisany 04 wrzesień 2014 - 16:42

Witam,

jestem w trakcie konfigurowania połączenia VPN pomiędzy klientami mobilnymi a bramą VPN (Debian). Chciałbym rozwiązać kilka wariantów połączeń w możliwie jednej bezpiecznej konfiguracji.

Klienci VPN powinni mieć możliwość połączenia się z różnych systemów (OSX, iOS, Android, Windows)

To już mniej więcej ogarnąłem.

Natomiast różne są też struktury sieci z których łączą się poszczególne urządzenia. Generalnie nie powinno to być problemem ale...
Nie ma problemu gdy np. tablet łączy się przez operatora komórkowego z bramą.

Problem zaczyna się, gdy w sieci lokalnej jest np. 5 komputerów i każdy z nich chce się połączyć z zdalną bramą VPN. 
Gdy tylko jeden komputer się łączy LAN => VPN jest OK. 

Gdy kilka próbuje niestety wyskakuje błąd w postaci braku zmiany IP widzianego z internetu.
Dla ułatwienia na początek stosuję dla wszystkich stacji klienckich tę samą konfigurację.
Pytanie ... co w konfiguracji jest nie tak, albo czego brakuje?

Bazuję tu na oprogramowaniu OpenVPN zarówno na bramie VPN jak i wszystkich urządzeniach klienckich.

 

Konfig bramy VPN
 

dev tun2
tls-server
dh easy-rsa/keys/dh2048.pem
ca easy-rsa/keys/ca.crt
cert easy-rsa/keys/server.crt
key easy-rsa/keys/server.key
server 10.0.0.0 255.255.255.0
comp-lzo
script-security 2
route-up "/sbin/ifconfig tun2 up"
port 443
proto tcp-server
keepalive 30 120
push "redirect-gateway def1 bypas-dhcp"
push "dhcp-option DNS 8.8.8.8"

Konfig klienta:

remote <ADRES BRAMY> 443 tcp-client
persist-key
tls-client
ns-cert-type server
pull
ca ca.crt
redirect-gateway def1
dev tun
persist-tun
cert MacOS.crt
comp-lzo adaptive
key  MacOS.key
dhcp-option DNS 8.8.8.8
resolv-retry infinite
client
proto tcp
nobind
ns-cert-type server
verb 3

Co ciekawe problem występuje (najprawdopodobniej) tylko gdy łączą się komputery z systemem Windows.
Macie jakieś sugestie?

 

 


  • 0

#2 spindritf

spindritf

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 869 postów

Napisany 04 wrzesień 2014 - 16:57

Problem zaczyna się, gdy w sieci lokalnej jest np. 5 komputerów i każdy z nich chce się połączyć z zdalną bramą VPN. 
Gdy tylko jeden komputer się łączy LAN => VPN jest OK. 
Gdy kilka próbuje niestety wyskakuje błąd w postaci braku zmiany IP widzianego z internetu.


Co mówią logi serwera? Czy klienci używają tego samego certyfikatu klienckiego?

Nie powinni, ale... dodaj
duplicate-cn
do configu serwera i zobacz, czy będzie działało. Jeśli pomoże, to wystaw każdemu urządzeniu oddzielny certyfikat i skasuj duplicate-cn z configu serwera.
  • 0

#3 Merlin

Merlin

    Nowy użytkownik

  • Użytkownicy
  • 8 postów
  • Firma:MC2Studio
  • Imię:Maciej
  • Nazwisko:Cybulski

Napisany 04 wrzesień 2014 - 17:10

Uruchomiłem w konfigu logowanie więc przetestuję co serwer gada...

Dzięki za sugestię co do certyfikatów. Sprawdzę to

Tak się zastanawiam czy da się szczegółowiej monitorować, kto się połączył z bramą i kiedy. Tzn. przydzielić każdemu klientowi prywatne IP identyfikowane mac-adresem i potem monitorować działania i jakoś w sposób atrakcyjny wizualnie je przedstawić.


  • 0

#4 spindritf

spindritf

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 869 postów

Napisany 04 wrzesień 2014 - 17:21

Dzięki za sugestię co do certyfikatów. Sprawdzę to


Dodaj duplicate-cn napierw i zobacz. Działa?

Tak się zastanawiam czy da się szczegółowiej monitorować, kto się połączył z bramą i kiedy.


Tak. Możesz wykonać dowolny skrypt przy połączeniu
 
client-connect /sciezka/do/skryptu/client-connect.sh
a w nim np. wysłać sobie maila. Możesz też przydzielić klientom stałe IPki. Weź manuala przeczytaj, bo to wszystko tam jest.

Edytowany przez spindritf, 04 wrzesień 2014 - 17:21.

  • 0

#5 Merlin

Merlin

    Nowy użytkownik

  • Użytkownicy
  • 8 postów
  • Firma:MC2Studio
  • Imię:Maciej
  • Nazwisko:Cybulski

Napisany 04 wrzesień 2014 - 17:47

No faktycznie... przeoczyłem to że przed połączeniem i po połączeniu z automatu może być wykonany jakiś skrypt.
Ok póki co dzięki za sugestie. Czas na modyfikacje i testowanie sugestii :)


  • 0

#6 Merlin

Merlin

    Nowy użytkownik

  • Użytkownicy
  • 8 postów
  • Firma:MC2Studio
  • Imię:Maciej
  • Nazwisko:Cybulski

Napisany 05 wrzesień 2014 - 00:00

No i zadziałało :) 
Póki co sprawdziłem na 3 komputerach z jednego LANu i było OK więc pewnie dla większej ilości będzie również.
Zatem zostaje tylko wygenerować pozostałe klienckie certyfikaty i będzie OK :)

 

dzięki.


  • 0






Także otagowane jednym lub więcej z tych słów kluczowych: VPN, Debian, iPad, iPhone

0 użytkowników czyta ten temat

0 użytkowników, 0 gości, 0 anonimowych użytkowników