1 Temat przez acebix

  • acebix
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-11-16
  • Posty: 42

Temat: OpenVPN - pomoc w konfiguracji

Sprawa wygląda tak: chciałbym wystawić na zewnątrz stronę www z urządzenia w sieci domowej (sieć za natem bez możliwości otwarcia portów), za to do dyspozycji mam vps'a z publicznym adresem ip. Dodatkowo dodam że z zewnątrz chciałbym dostawać się portem innym niż 80.

Z tego co wyczytałem to można zestawić sobie takiego vpn'a tylko jak to skonfigurować by działało to tak jak opisałem powyżej.


Byłbym wdzięczny za wszelką pomoc czy też linki do przykładów opisujących podobną konfigurację.

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,055

Odp: OpenVPN - pomoc w konfiguracji

Wszystko masz opisane tu: http://eko.one.pl/?p=openwrt-openvpntun włącznie z przykładem dla kamery.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez acebix

  • acebix
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-11-16
  • Posty: 42

Odp: OpenVPN - pomoc w konfiguracji

Dziękuje za szybką odpowiedź, na pewno skorzystam z tego do konfiguracji klienta, aczkolwiek serwer vpn mam na debianie więc nie dam rady konfigurować przez UCI ( czy może jednak da się jakoś ?).

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,055

Odp: OpenVPN - pomoc w konfiguracji

Możesz sobie pobrać plik z openwrt i zobaczyć co jest ustawione. Ba, możesz sobie taki serwer zrobić na openwrt i zgrać sobie gotowy konfig....

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez acebix

  • acebix
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-11-16
  • Posty: 42

Odp: OpenVPN - pomoc w konfiguracji

OK udało się skonfigurować i połączyć klienta z serwerem, natomiast mam problem z przekierowaniem portów i wygląda na to że problem jest na kliencie (router z gargoyle): dodałem poniższe przekierowanie :

iptables -I FORWARD -i tun0 -p tcp -d 192.168.2.139 --dport 8080 -j ACCEPT
iptables -t nat -I PREROUTING -i tun0 -p tcp --dport 8080 -j DNAT --to-destination 192.168.2.139:8080

Gdzie 192.168.2.139:8080 to adres serwisu www który ma być przekierowany (dla ułatwienia ustawiłem go na porcie 8080 - taki sam będzie z zewnątrz), a 10.8.0.6 to adres klienta OpenVPN.

Czyli po tym ustawieniu w sieci lokalnej powinienem dostawać się do tego www po adresie 10.8.0.6:8080 co niestety nie działa (leci time out).
W czym może być problem?

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,055

Odp: OpenVPN - pomoc w konfiguracji

To zobacz czy w ogóle 192.168.2.139:8080 odpowiada. Masz na nim ustawny gateway wskazujący na 192.168.2.1 (czy jaki tam adres ma klient)?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez acebix

  • acebix
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-11-16
  • Posty: 42

Odp: OpenVPN - pomoc w konfiguracji

192.168.2.139:8080 odpowiada, tak bramą domyślną jest 192.168.2.1 (adres routera).

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,055

Odp: OpenVPN - pomoc w konfiguracji

No to dalej - będąc na serwerze zobacz czy do 10.8.0.6:8080 możesz się dobić.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez acebix

  • acebix
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-11-16
  • Posty: 42

Odp: OpenVPN - pomoc w konfiguracji

Na serwerze Do 10.8.0.6 pingi idą, a jak sprawdzić port ? bo mam dostęp tylko do konsoli.

10 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,055

Odp: OpenVPN - pomoc w konfiguracji

telnet 10.8.0.6 8080

Jak odrzuci to nie działa przekierowanie, jak wpiszesz GET / HTTP/1.0 i enter to ma odpowiedzieć.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

11 Odpowiedź przez acebix

  • acebix
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-11-16
  • Posty: 42

Odp: OpenVPN - pomoc w konfiguracji

Tak to wygląda:

root@mdi:~# telnet 10.8.0.6 8080
Trying 10.8.0.6...
Connected to 10.8.0.6.
Escape character is '^]'.
GET / HTTP/1.0
Connection closed by foreign host.

12 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,055

Odp: OpenVPN - pomoc w konfiguracji

To jest połączenie, inaczej by cie odrzucił z timeoutem. Więc jednak przekierowanie na serwerze nie działa.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

13 Odpowiedź przez acebix

  • acebix
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-11-16
  • Posty: 42

Odp: OpenVPN - pomoc w konfiguracji

A w sieci lokalnej klienta nie powinienem dostawać się do 10.8.0.6:8080 ?

Na serverze przekierowanie wygląda tak:

iptables -I FORWARD -i venet0 -p tcp -d 10.8.0.6 --dport 8080 -j ACCEPT
iptables -t nat -I PREROUTING -i venet0 -p tcp --dport 8080 -j DNAT --to-destination 10.8.0.6:8080

14 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,055

Odp: OpenVPN - pomoc w konfiguracji

Nie, bo przekierowanie zrobiłeś z interfejsu tun0 a nie lokalnego lanu. Nie ten interfejs na którym idzie ruch z lanu.

Ten VPS nie wymaga odblokowania portów na firewallu?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

15 Odpowiedź przez acebix

  • acebix
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-11-16
  • Posty: 42

Odp: OpenVPN - pomoc w konfiguracji

Do tej pory nie musiałem odblokowywać żadnych portów do innych aplikacji.

16 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,055

Odp: OpenVPN - pomoc w konfiguracji

Sprawdź, wyłącz całkowicie firewalla na chwilę.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

17 Odpowiedź przez acebix

  • acebix
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-11-16
  • Posty: 42

Odp: OpenVPN - pomoc w konfiguracji

Hmm tylko jak wyłączyć ? Oprócz ip_tables żadnych innych firewall'ów nie mam włączonych na czas tych konfiguracji.

A wygląda to tak:

# Generated by iptables-save v1.4.8 on Tue Aug 11 17:58:39 2015
*mangle
:PREROUTING ACCEPT [203171:42868187]
:INPUT ACCEPT [203171:42868187]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [289769:41215426]
:POSTROUTING ACCEPT [289858:41228936]
COMMIT
# Completed on Tue Aug 11 17:58:39 2015
# Generated by iptables-save v1.4.8 on Tue Aug 11 17:58:39 2015
*raw
:PREROUTING ACCEPT [203171:42868187]
:OUTPUT ACCEPT [289769:41215426]
COMMIT
# Completed on Tue Aug 11 17:58:39 2015
# Generated by iptables-save v1.4.8 on Tue Aug 11 17:58:39 2015
*nat
:PREROUTING ACCEPT [4:232]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i venet0 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 10.8.0.6:8080
-A POSTROUTING -s 10.8.0.0/24 -o venet0 -j MASQUERADE
COMMIT
# Completed on Tue Aug 11 17:58:39 2015
# Generated by iptables-save v1.4.8 on Tue Aug 11 17:58:39 2015
*filter
:INPUT ACCEPT [132:7461]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [129:8256]
-A FORWARD -d 10.8.0.6/32 -i venet0 -p tcp -m tcp --dport 8080 -j ACCEPT
COMMIT
# Completed on Tue Aug 11 17:58:39 2015

18 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,055

Odp: OpenVPN - pomoc w konfiguracji

Masz otwarte wszystko. Ta maskarada skąd?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

19 Odpowiedź przez acebix (edytowany przez acebix 2015-08-12 09:43:59)

  • acebix
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-11-16
  • Posty: 42

Odp: OpenVPN - pomoc w konfiguracji

Większość była domyślnie, ja dopisałem tylko te przekierowania. Więc firewall nie jest problemem więc może z configiem vpna może być coś tak ?:

dev tun                         # rodzaj interfejsu
local 91.196.49.30              # IP serwera (zamiast xxx podajemy adres IP serwera)
proto udp                       # uzywany protokol
port 1194                       # uzywany port
server 10.8.0.0 255.255.255.0   # klasa IP dla tunelu VPN
ca ca.crt                       # plik certyfikatu CA
cert openvpn-server.crt         # plik certyfikatu serwera
key openvpn-server.key          # plik klucza prywatnego serwera
dh dh2048.pem                   # plik z parametrami algorytmu Diffiego-Hellmana
max-clients 100                 # maksymalna ilosc klientow
persist-tun                     # podtrzymuje interfejs TUN w stanie UP podczas restartu
persist-key                     # zapamietuje klucz
keepalive 10 120                # utrzymuje polaczenie
cipher AES-256-CBC              # ustawienie algorytmu szyfrowania
comp-lzo                        # wlaczenie kompresji
verb 1                          # poziom logowania
user nobody                     # uzytkownik na potrzeby OpenVPN
group nogroup                   # grupa na potrzeby OpenVPN
push "dhcp-option DNS 8.8.8.8"  # konfiguracja DNS dla DHCP
push "dhcp-option DNS 8.8.4.4"  # konfiguracja DNS dla DHCP

log openvpn.log                 # pliki logów serwera OpenVPN
status openvpn-status.log

20 Odpowiedź przez acebix

  • acebix
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-11-16
  • Posty: 42

Odp: OpenVPN - pomoc w konfiguracji

Czy można jakoś inaczej sformułować przekierowanie ? po ip'kach a nie interfejsach

root@mdi:~# ifconfig
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:88 errors:0 dropped:0 overruns:0 frame:0
          TX packets:88 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:7834 (7.6 KiB)  TX bytes:7834 (7.6 KiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:8 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:672 (672.0 B)  TX bytes:672 (672.0 B)

venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:127.0.0.2  P-t-P:127.0.0.2  Bcast:0.0.0.0  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:76765 errors:0 dropped:0 overruns:0 frame:0
          TX packets:72849 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:32636977 (31.1 MiB)  TX bytes:13215035 (12.6 MiB)

venet0:0  Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:91.196.49.30  P-t-P:91.196.49.30  Bcast:0.0.0.0  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1

21 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,055

Odp: OpenVPN - pomoc w konfiguracji

U ciebie wanem jest venet0:0, nie venet0...

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

22 Odpowiedź przez acebix

  • acebix
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-11-16
  • Posty: 42

Odp: OpenVPN - pomoc w konfiguracji

Próbowałem dla obu i dalej nie działa.

23 Odpowiedź przez acebix

  • acebix
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-11-16
  • Posty: 42

Odp: OpenVPN - pomoc w konfiguracji

Otóż sednem problemu okazała się wirtualizacja serwera VPS: OpenVZ na której nie można wprowadzać zmian w karnelu, więc komendą 

echo 1 > /proc/sys/net/ipv4/ip_forward

która włącza forwading tak naprawdę nie zrobiłem nic.

Rozwiązaniem będzie przejście na środowisko pełnej wirtualizacji KVM.

Cezary dziękuje za pomoc i expresowe odpowiedzi, temat do zamknięcia.