Skocz do zawartości

Polecane posty

Witam,

jestem w trakcie konfigurowania połączenia VPN pomiędzy klientami mobilnymi a bramą VPN (Debian). Chciałbym rozwiązać kilka wariantów połączeń w możliwie jednej bezpiecznej konfiguracji.

Klienci VPN powinni mieć możliwość połączenia się z różnych systemów (OSX, iOS, Android, Windows)

To już mniej więcej ogarnąłem.

Natomiast różne są też struktury sieci z których łączą się poszczególne urządzenia. Generalnie nie powinno to być problemem ale...
Nie ma problemu gdy np. tablet łączy się przez operatora komórkowego z bramą.

Problem zaczyna się, gdy w sieci lokalnej jest np. 5 komputerów i każdy z nich chce się połączyć z zdalną bramą VPN.
Gdy tylko jeden komputer się łączy LAN => VPN jest OK.

Gdy kilka próbuje niestety wyskakuje błąd w postaci braku zmiany IP widzianego z internetu.
Dla ułatwienia na początek stosuję dla wszystkich stacji klienckich tę samą konfigurację.
Pytanie ... co w konfiguracji jest nie tak, albo czego brakuje?

Bazuję tu na oprogramowaniu OpenVPN zarówno na bramie VPN jak i wszystkich urządzeniach klienckich.

 

Konfig bramy VPN

dev tun2
tls-server
dh easy-rsa/keys/dh2048.pem
ca easy-rsa/keys/ca.crt
cert easy-rsa/keys/server.crt
key easy-rsa/keys/server.key
server 10.0.0.0 255.255.255.0
comp-lzo
script-security 2
route-up "/sbin/ifconfig tun2 up"
port 443
proto tcp-server
keepalive 30 120
push "redirect-gateway def1 bypas-dhcp"
push "dhcp-option DNS 8.8.8.8"

Konfig klienta:

remote <ADRES BRAMY> 443 tcp-client
persist-key
tls-client
ns-cert-type server
pull
ca ca.crt
redirect-gateway def1
dev tun
persist-tun
cert MacOS.crt
comp-lzo adaptive
key  MacOS.key
dhcp-option DNS 8.8.8.8
resolv-retry infinite
client
proto tcp
nobind
ns-cert-type server
verb 3

Co ciekawe problem występuje (najprawdopodobniej) tylko gdy łączą się komputery z systemem Windows.
Macie jakieś sugestie?

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Problem zaczyna się, gdy w sieci lokalnej jest np. 5 komputerów i każdy z nich chce się połączyć z zdalną bramą VPN.

Gdy tylko jeden komputer się łączy LAN => VPN jest OK.

Gdy kilka próbuje niestety wyskakuje błąd w postaci braku zmiany IP widzianego z internetu.

Co mówią logi serwera? Czy klienci używają tego samego certyfikatu klienckiego?

 

Nie powinni, ale... dodaj

duplicate-cn
do configu serwera i zobacz, czy będzie działało. Jeśli pomoże, to wystaw każdemu urządzeniu oddzielny certyfikat i skasuj duplicate-cn z configu serwera.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Uruchomiłem w konfigu logowanie więc przetestuję co serwer gada...

Dzięki za sugestię co do certyfikatów. Sprawdzę to

Tak się zastanawiam czy da się szczegółowiej monitorować, kto się połączył z bramą i kiedy. Tzn. przydzielić każdemu klientowi prywatne IP identyfikowane mac-adresem i potem monitorować działania i jakoś w sposób atrakcyjny wizualnie je przedstawić.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dzięki za sugestię co do certyfikatów. Sprawdzę to

Dodaj duplicate-cn napierw i zobacz. Działa?

 

Tak się zastanawiam czy da się szczegółowiej monitorować, kto się połączył z bramą i kiedy.

Tak. Możesz wykonać dowolny skrypt przy połączeniu

 

client-connect /sciezka/do/skryptu/client-connect.sh
a w nim np. wysłać sobie maila. Możesz też przydzielić klientom stałe IPki. Weź manuala przeczytaj, bo to wszystko tam jest. Edytowano przez spindritf (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No faktycznie... przeoczyłem to że przed połączeniem i po połączeniu z automatu może być wykonany jakiś skrypt.
Ok póki co dzięki za sugestie. Czas na modyfikacje i testowanie sugestii :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No i zadziałało :)
Póki co sprawdziłem na 3 komputerach z jednego LANu i było OK więc pewnie dla większej ilości będzie również.
Zatem zostaje tylko wygenerować pozostałe klienckie certyfikaty i będzie OK :)

 

dzięki.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×