Skocz do zawartości


 

Zdjęcie

Duża sieć VPN - pytania

Duża sieć VPN - pytania vpn

  • Proszę się zalogować aby odpowiedzieć
56 odpowiedzi na ten temat

Duża sieć VPN - pytania

#21 blfr

blfr

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 1208 postów

Napisany 18 listopad 2015 - 04:28

- Nie mogę ustawić tras 'route' w konfiguracji serwera ponieważ nie znam i nie będę znał adresacji sieci klientów;


Możesz użyć route bez znajomości adresacji sieci klientów, bo pchasz tylko adresy, które chcesz obsługiwać. Prosty trick to użycie w miarę niepopularnego zakresu (192.168.213.1/24 czy 172.16.19.1/24).

Ale nie powinieneś musieć tego robić. Trasa dla domyślnego subnetu VPN (tego, w którym dostaje adres również serwer VPN) powinna istnieć niezależnie.

Czy jak łączysz się z VPN-em bez redirect gateway, to nie możesz pingnąć adresu serwera (domyślnie 10.8.0.4 czy 10.8.0.1, nie pamiętam)?

Jeśli to jest pod grę, to może wygodniej będzie zastosować Hamachi?

Edytowany przez blfr, 18 listopad 2015 - 04:31.


#22 kaziu

kaziu

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 135 postów
  • Skąd:Poznań
  • Imię:Adam

Napisany 18 listopad 2015 - 06:00

@blfr 

 

Bez redirect gateway pingi po VPN do serwera nie dochodzą. Hamachi odpada.



#23 samu

samu

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 1178 postów
  • Imię:Jakub
  • Nazwisko:Szafrański

Napisany 18 listopad 2015 - 07:50

Pokaz config tego serwera vpn.

#24 Gość_Spoofy_*

Gość_Spoofy_*
  • Goście

Napisany 18 listopad 2015 - 08:51

Bład konfiguracji. Kompletnie źle się do tego zabierasz. Jak chcesz to mogę Ci pokazać gotowe, w pełni customowe i działające rozwiązanie oparte o openvpn'a z instalatorem, kilkoma feature'ami. Kilka razy nawet grałem z jednym znajomym przez tą sieć. To naprawdę da się zrobić.



#25 kaziu

kaziu

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 135 postów
  • Skąd:Poznań
  • Imię:Adam

Napisany 18 listopad 2015 - 17:31

@Spoofy pewnie, że chce.

 

 

Mój Config:

 

1. Serwer

dev tun                        
local x.x.x.x                       
proto udp                       
port 1194                       
server 10.8.0.0 255.255.255.0   
#ifconfig-pool-persist ipp.txt
ca ca.crt                       
cert openvpn.crt         
key openvpn.key          
dh dh2048.pem                   
persist-tun                     
persist-key                    
keepalive 10 120                
cipher AES-256-CBC              
#comp-lzo                      
verb 1                        
user nobody                     
group nogroup                   
client-to-client
#push "redirect-gateway def1"    
#push "dhcp-option DNS 8.8.8.8"  
#push "dhcp-option DNS 8.8.4.4"  
duplicate-cn                    
log openvpn.log                 
status openvpn-status.log

# Konfiguracja tls-auth         
key-direction 0
<tls-auth>
#
# 2048 bit OpenVPN static key
#

2. Klient

# To connect to the VPN Server as a bridging equipment of "Site-to-Site VPN",
#  specify 'dev tap'. (Layer-2 Ethernet Bridgine Mode)

dev tun


###############################################################################
# Specify the underlying protocol beyond the Internet.
# Note that this setting must be correspond with the listening setting on
# the VPN Server.
# 
# Specify either 'proto tcp' or 'proto udp'.

proto udp


###############################################################################
# The destination hostname / IP address, and port number of
# the target VPN Server.
# 
# You have to specify as 'remote <HOSTNAME> <PORT>'. You can also
# specify the IP address instead of the hostname.
# 
# Note that the auto-generated below hostname are a "auto-detected
# IP address" of the VPN Server. You have to confirm the correctness
# beforehand.
# 
# When you want to connect to the VPN Server by using TCP protocol,
# the port number of the destination TCP port should be same as one of
# the available TCP listeners on the VPN Server.
# 
# When you use UDP protocol, the port number must same as the configuration
# setting of "OpenVPN Server Compatible Function" on the VPN Server.

remote x.x.x.x 1194


###############################################################################
# The HTTP/HTTPS proxy setting.
# 
# Only if you have to use the Internet via a proxy, uncomment the below
# two lines and specify the proxy address and the port number.
# In the case of using proxy-authentication, refer the OpenVPN manual.

;http-proxy-retry
;http-proxy [proxy server] [proxy port]


###############################################################################
# The encryption and authentication algorithm.
# 
# Default setting is good. Modify it as you prefer.
# When you specify an unsupported algorithm, the error will occur.
# 
# The supported algorithms are as follows:
#  cipher: [NULL-CIPHER] NULL AES-128-CBC AES-192-CBC AES-256-CBC BF-CBC
#          CAST-CBC CAST5-CBC DES-CBC DES-EDE-CBC DES-EDE3-CBC DESX-CBC
#          RC2-40-CBC RC2-64-CBC RC2-CBC
#  auth:   SHA SHA1 MD5 MD4 RMD160

cipher AES-256-CBC
auth SHA1


###############################################################################
# Other parameters necessary to connect to the VPN Server.
# 
# It is not recommended to modify it unless you have a particular need.

resolv-retry infinite
nobind
persist-key
persist-tun
client
verb 1
#auth-user-pass


###############################################################################
# The certificate file of the destination VPN Server.
# 
# The CA certificate file is embedded in the inline format.
# You can replace this CA contents if necessary.
# Please note that if the server certificate is not a self-signed, you have to
# specify the signer's root certificate (CA) here.

<ca>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----


</ca>


###############################################################################
# The client certificate file (dummy).
# 
# In some implementations of OpenVPN Client software
# (for example: OpenVPN Client for iOS),
# a pair of client certificate and private key must be included on the
# configuration file due to the limitation of the client.
# So this sample configuration file has a dummy pair of client certificate
# and private key as follows.

<cert>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----


</cert>

<key>
-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----

</key>

# Konfiguracja tls-auth
ns-cert-type server
key-direction 1
 
<tls-auth>

#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----

-----END OpenVPN Static key V1-----

</tls-auth> 

Macie jakieś pomysły? 

 

 

 

 



#26 kafi

kafi

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 3412 postów

Napisany 18 listopad 2015 - 17:54

dev tap



#27 kaziu

kaziu

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 135 postów
  • Skąd:Poznań
  • Imię:Adam

Napisany 18 listopad 2015 - 20:43

Nie jestem ekspertem ale wg mnie tap w tym przypadku nie wypali ponieważ serwer nie ma swojej sieci lokalnej. Z czym mam zrobić bridge? z WANem?



#28 kafi

kafi

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 3412 postów

Napisany 18 listopad 2015 - 21:29

Z niczym. Interfejs sieciowy TAP zapewni ci właśnie ową "sieć lokalną".



#29 kaziu

kaziu

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 135 postów
  • Skąd:Poznań
  • Imię:Adam

Napisany 18 listopad 2015 - 22:22

Działa od ręki. Dziękuje kafi. 



#30 Jarosław Szmańda

Jarosław Szmańda

    Weteran WHT

  • Firma Bronze
  • PipPipPipPipPipPipPipPip
  • 1408 postów
  • Skąd:Malbork
  • Firma:datpol.pl
  • Imię:Jarosław
  • Nazwisko:Szmańda

Napisany 24 listopad 2015 - 20:29

A może SoftEther?



#31 kaziu

kaziu

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 135 postów
  • Skąd:Poznań
  • Imię:Adam

Napisany 19 styczeń 2016 - 23:08

Trochę odświeżam stary temat.

 

Mam już skonfigurowany serwer OpenVPN i wszystko działa dobrze. Chcę tylko ustawić aby klienci otrzymywali swoje stałe adresy IP po każdym połączeniu. Nie chcę tego konfigurować za pomocą certyfikatów, czy logowania.

Chciałbym, żeby to działało na podobnej zasadzie do zwykłych routerów, gdzie IP jest przypisywany do MAC Adresu karty sieciowej. Czy jest to możliwe? Jak się do tego zabrać? Czy może znacie jakieś inne lepsze metody? 



#32 kafi

kafi

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 3412 postów

Napisany 19 styczeń 2016 - 23:38

Koncentrator VPN nie ma wiedzy o adresach MAC jakiejkolwiek karty sieciowej (w tym - wirtualnej TAP).

Jedyne, po czym może on rozróżnić, kto się do niego łączy, to albo login i hasło, albo nazwa CN certyfikatu.

A jeśli nawet by taką wiedzę posiadł, to dopiero PO nawiązaniu połączenia vpn (a adres IP jest w ovpn przydzielany i konfigurowany właśnie podczas nawiązywania sesji).



#33 kaziu

kaziu

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 135 postów
  • Skąd:Poznań
  • Imię:Adam

Napisany 20 styczeń 2016 - 06:08

Koncentrator VPN nie ma wiedzy o adresach MAC jakiejkolwiek karty sieciowej (w tym - wirtualnej TAP).

Jedyne, po czym może on rozróżnić, kto się do niego łączy, to albo login i hasło, albo nazwa CN certyfikatu.

A jeśli nawet by taką wiedzę posiadł, to dopiero PO nawiązaniu połączenia vpn (a adres IP jest w ovpn przydzielany i konfigurowany właśnie podczas nawiązywania sesji).

 

Czyli nie ma możliwości żeby klientom przydzielić stałe IP?



#34 Gość_Kamikadze_*

Gość_Kamikadze_*
  • Goście

Napisany 20 styczeń 2016 - 06:44

Powinno się dać. Widziałem infrastrukturę na kilkaset komputerów i każdy miał stałe IP.



#35 kaziu

kaziu

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 135 postów
  • Skąd:Poznań
  • Imię:Adam

Napisany 20 styczeń 2016 - 19:52

Powinno się dać. Widziałem infrastrukturę na kilkaset komputerów i każdy miał stałe IP.

 

Za pomocą certyfikatów powinno dać radę. Ale teraz mam taką sytuację, że ludzie łączą się z jednego certa (chcę tak zostawić), ale mimo wszystko, chcę aby każdy klient przy pierwszym połączeniu otrzymywał swój adres IP i po każdym ponownym połączeniu dostawał ten sam.



#36 areq

areq

    Nowy użytkownik

  • Użytkownicy
  • 22 postów

Napisany 23 styczeń 2016 - 11:05

Tap u klienta jest losowy, jeśli założysz ze jest unikalny to na jego podstawie w skrypcie connect możesz przydzielać zawsze to samo IP.

#37 kaziu

kaziu

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 135 postów
  • Skąd:Poznań
  • Imię:Adam

Napisany 24 styczeń 2016 - 13:20

Tap u klienta jest losowy, jeśli założysz ze jest unikalny to na jego podstawie w skrypcie connect możesz przydzielać zawsze to samo IP.

 

Możesz mi to dokładniej wyjaśnić, najlepiej na przykładzie.



#38 Gość_Kamikadze_*

Gość_Kamikadze_*
  • Goście

Napisany 24 styczeń 2016 - 14:06

Wiesz co, bawię się od wczoraj mikrotikiem i chyba działa ok.

Utworzyłem konto ppp i ustawiłem stałe IP i działa dobrze, przydziela odpowiednie IP. Można również ustalić pulę (i inni użytkownicy mogą mieć IP z puli).

 

Testowałem na pptp



#39 kafi

kafi

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 3412 postów

Napisany 24 styczeń 2016 - 15:34

yyy... ale tu jest mowa o openvpn, a nie pptp; ale jeśli i pptp nawet - to łącząc się w kilku sesjach tym samym loginem i hasłem to nie ma bata, żebyś był w stanie rozróżnić który jest którym.



#40 Gość_Kamikadze_*

Gość_Kamikadze_*
  • Goście

Napisany 24 styczeń 2016 - 15:45

yyy... ale tu jest mowa o openvpn, a nie pptp; ale jeśli i pptp nawet - to łącząc się w kilku sesjach tym samym loginem i hasłem to nie ma bata, żebyś był w stanie rozróżnić który jest którym.

 

Chyba umknął mi gdzieś post że ma być jeden login i hasło.

Co do openvpn jeszcze nie testowałem ;)








Także otagowane jednym lub więcej z tych słów kluczowych: vpn

0 użytkowników czyta ten temat

0 użytkowników, 0 gości, 0 anonimowych użytkowników