Forum elektroda.pl

Regulamin  | Punkty  | Dodaj...  | Ostatnie  | Szukaj | Rejestracja | Zaloguj



OpenVPN konfiguracja na serwerze


  Strona Główna -> Forum elektroda.pl-> Sieci, Internet -> Sieci Komputerowe ->OpenVPN konfiguracja na serwerze Napisz nowy temat  Temat zablokowany. 
AutorSchowaj lewą kolumnę Wiadomość
bobi1326
Poziom 17
Poziom 17


Dołączył: 29 Paź 2005
Posty: 439
Miasto: Toruń

bobi1326
Poziom 17
Post#1 22 Mar 2012 16:41  Autor tematu   

OpenVPN konfiguracja


Witam. Chciałbym uruchomić sobie usługę VPN. Mam sieć w domu opartą na routerze, mam zmienne IP ale uruchomiłem DDNS'a. Do routera podłączone są komputery. Do jednego z nich chciałbym mieć dostęp po VPN aby móc przez niego wchodzić do sieci lokalnej z zewnątrz. Na komputerze serwerze instaluje oprogramowanie OpenVPN. Łączyć z tym połączeniem chciałbym za pomocą portable OpenVPN. Wszystkie programy mam skompletowane. Trochę posiedziałem nad dwiema instrukcjami. I mam trochę problemów (http://sierp.net/faq/openvpn.html http://www.tomcom.com.pl/tomato/vpn-konfiguracja.html)

Najpierw instaluje sobie openVPN na komputerze serwerze. W połączeniach sieciowych pojawia mi się dodatkowe połączenie. Ogólnie łączę się poprzez WiFi także odpalam właściwości tego połączenia WiFi i ustawiam wszystko na sztywno (IP, maskę, bramę, DNS'y). Internet na komputerze działa. Wtedy zaznaczam to połączenie bezprzewodowe oraz to dodane przez OpenVPN i robię mostek. Mostek się tworzy. Wchodzę w jego właściwości i ustawiam także na sztywno ustawienia takie same jak miało samo połączenie bezprzewodowe oraz w zaawansowanych dodaje adres IP 10.10.10.2 i maskę 255.255.255.0. Internet działa.

Dla IP komputera serwera mam przekierowany port 1194.


Teraz odpalam wiersz poleceń.
1. Daje polecenie: set PATH=%PATH%;c:\program files\openvpn\bin

2. Wchodzę do lokalizacji C:\Program Files\OpenVPN\easy-rsa\

3. Daje polecenie: C:\Program Files\OpenVPN\easy-rsa>init-config

4. Daje polecenie: C:\Program Files\OpenVPN\easy-rsa>vars
(System, nie zwraca żadnej informacji)

5. C:\Program Files\OpenVPN\easy-rsa>clean-all
(Liczba skopiowanych plików: 1.
Liczba skopiowanych plików: 1.)

6. Daje polecenie: C:\Program Files\OpenVPN\easy-rsa>build-ca
(Country Name (2 letter code) [US]: PL
State or Province Name (full name) [CA]: KP
Locality Name (eg, city) [SanFrancisco]: TORUN
Organization Name (eg, company) [OpenVPN]: BORVPN
Organizational Unit Name (eg, section) []: cisco
Common Name (eg, your name or your server's hostname) []: linksys
Name [changeme]: ADMIN
Email Adress [mail@host.domian]: aaaa(malpa)gmail.com

7. Daje polecenie: C:\Program Files\OpenVPN\easy-rsa>build-key-server server
(Country Name (2 letter code) [US]: PL
State or Province Name (full name) [CA]: KP
Locality Name (eg, city) [SanFrancisco]: TORUN
Organization Name (eg, company) [OpenVPN]: BORVPN
Organizational Unit Name (eg, section) []: cisco
Common Name (eg, your name or your server's hostname) []: linksys
Name [changeme]: SERWER
Email Adress [mail@host.domian]: bbbb(malpa)gmail.com
Zapytanie o hasło: serwer
Zapytanie o nazwę: serwer
Zapytanie [y/n]: y
Zapytanie [y/n]: y)

8. Daje polecenie: C:\Program Files\OpenVPN\easy-rsa>build-key client1
(Country Name (2 letter code) [US]: PL
State or Province Name (full name) [CA]: KP
Locality Name (eg, city) [SanFrancisco]: TORUN
Organization Name (eg, company) [OpenVPN]: BORVPN
Organizational Unit Name (eg, section) []: cisco
Common Name (eg, your name or your server's hostname) []: linksys
Name [changeme]: CLIENT1
Email Adress [mail@host.domian]: cccc(malpa)gmail.com
Zapytanie o hasło: client1
Zapytanie o nazwę: client1
Zapytanie [y/n]: y
Zapytanie [y/n]: y)


I tutaj się zatrzymałem. W katalogu keys otrzymałem pliki:
1. 01.pem ; 02.pem
2. ca.crt ; ca.key
3. client1.crt ; client1.csr ; client1. key
4. index.txt ; index.txt.attr ; serial
5. server.crt ; server.csr ; server.key

Wiem, że teraz część plików powinienem przenieść do katalogu config oraz dodać tam plik server.ovpn z jakąś zawartością. Domyślam się, że to właśnie w tym pliku będę musiał zawrzeć informację o DDNS'ie. Jednak łączę dwie instrukcje i jest tu rozbieżność w nazewnictwie. Czy ktoś mógłby mi podpowiedzieć co dalej na serwerze oraz jakie pliki wkleić do konfiguracji openVPNportable?


W jednej z wymienionych instrukcji jest napisane, że na serwerze powinienem w configu utworzyć plik server.ovpn o treści:

mode server
proto udp
port 1194
dev tap0
# VPN Server Subnetmask Start-IP End-IP
server-bridge 10.10.10.2 255.255.255.0 10.10.10.50 10.10.10.100
keepalive 10 120
verb 3
comp-lzo
client-to-client
muszę zmienić ten parametr?
dh dh1024.pem ja nie posiadam takiego pliku tylko 01.pem oraz 02.pem
ca ca.crt ten plik pozostaje bez zmian?
cert client.crt tutaj w moim przypadku daję plik server.crt?
key client.key tutaj w moim przypadku daję plik server.key?


Nie wiem gdzie tu wpisać informację o DDNS'ie który jest uruchomiony na routerze do który podpięty jest komputer serwer.


A na kliencie client.ovpn o treści:

client
dev tap
proto udp
remote 1194
nobind
persist-key
persist-tun
ca ca.crt
plik pozostaje bez zmian?
cert client.crt tutaj w moim przypadku daję plik client1.crt?
key client.key tutaj w moim przypadku daję plik client1.crt?
comp-lzo
verb 3


Tutaj też muszę zawrzeć informację o DDNS'ie? Jeżeli tak to gdzie?



Jeszcze jedno pytanie. Czy jeżeli już się uda to wszystko ustawić i będę chciał wykonać połączenie poprzez portable OpenVPN na komputer serwer z zewnątrz, a tam gdzie będę jest router to muszę na tym routerze przekierowywać jakieś porty?

Z góry dzięki za pomoc

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
Google


Google Adsense


Google


Powrót do góry
bogiebog
Pomocny w Sieci, Internet
Pomocny w Sieci, Internet


Dołączył: 16 Paź 2006
Posty: 19464
Miasto: Adort Kele

bogiebog
Pomocny w Sieci, Internet
Post#2 22 Mar 2012 16:49    

Re: OpenVPN konfiguracja


Jakiej konfiguracji będziesz używał
bridged czy routed ?
Z routed to trudniej będzie bo będziesz musiał ustawić route na wszystkich komputerach dodatkowo.

Dodano po 35 [sekundy]:

Port na routerze będziesz musiał przekierować.

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
Google


Google Adsense


Google


Powrót do góry
bobi1326
Poziom 17
Poziom 17


Dołączył: 29 Paź 2005
Posty: 439
Miasto: Toruń

bobi1326
Poziom 17
Post#3 22 Mar 2012 16:58  Autor tematu   

Re: OpenVPN konfiguracja


Kurde z tym przekierowaniem portu trochę mnie zasmuciłeś. Często pracuję na różnych komputerach (na zewnątrz sieci) i chciałbym mieć dostęp do sieci lokalnej w moim domu. Nie zawsze mam możliwość dostania się szybkiego do routera i przekierowania portów (zawsze trzeba wyciągać dane do logowania a najczęściej to trwa dłużej niż cała praca).

A czy na komputerze kliencie jak odpalę portable OpenVPN to też muszę najpierw stworzyć mostek sieciowy z aktualnego połączenia sieciowego oraz tego od VPN?

Tak czy owak spróbuję to wykonać. Chyba tryb bridged będzie łatwiejszy jak mówisz.

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
bogiebog
Pomocny w Sieci, Internet
Pomocny w Sieci, Internet


Dołączył: 16 Paź 2006
Posty: 19464
Miasto: Adort Kele

bogiebog
Pomocny w Sieci, Internet
Post#4 22 Mar 2012 17:56Pomocny post    

Re: OpenVPN konfiguracja


Port przekierowujesz tylko raz.

Portable czy nie, devtun potrzebujesz.

http://openvpn.net/index.php/open-source/documentation/howto.html

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
szwagros
Poziom 20
Poziom 20


Dołączył: 23 Lip 2004
Posty: 866
Miasto: Kielce

szwagros
Poziom 20
Post#5 22 Mar 2012 18:11Pomocny post    

Re: OpenVPN konfiguracja


Klient potrzebuje 3 pliki wygenerowane na serwerze:
server.crt
client.crt
client.key
(nazwy są umowne, ale wg konwencji w Twoim poście)
Musisz skopiować je na komputer klienta i podać w konfigu.
A adres DDNS podajesz w konfigu klienta w linijce 'remote'.
Port (1194) trzeba przekierować tylko po stronie serwera, i tylko gdy nie ma on publicznego IP.

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
bobi1326
Poziom 17
Poziom 17


Dołączył: 29 Paź 2005
Posty: 439
Miasto: Toruń

bobi1326
Poziom 17
Post#6 22 Mar 2012 18:32  Autor tematu   

Re: OpenVPN konfiguracja


Ok zacząłem od serwera. Stworzyłem plik serwer.opvn o treści:

mode server
proto udp
port 1194
dev tap0
dev tun
# VPN Server Subnetmask Start-IP End-IP
server-bridge 10.10.10.2 255.255.255.0 10.10.10.50 10.10.10.100
keepalive 10 120
verb 3
comp-lzo
client-to-client
dh 01.pem
ca ca.crt
cert server.crt
key server.key


Dodałem linijkę dev tun jak polecił bogiebog ale nie wiem czy o to chodziło dokładnie. Nazwy plików podmieniłem na swoje. Tylko mam problem z plikiem dh, bo mi żaden taki się nie tworzy tylko dwa pliki 01.pem i 02.pem. Wpisałem 01.pem. Wszystkie pliki przeniosłem do katalogu config.

Przy próbie wciśnięcia połącz w OpenVPN na serwerze wywala błąd:
Options error: --server-bridge directive only makes sense with --dev tap

Czyli pewnie coś źle z tym dev tun wpisałem. Tylko co?

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
szwagros
Poziom 20
Poziom 20


Dołączył: 23 Lip 2004
Posty: 866
Miasto: Kielce

szwagros
Poziom 20
Post#7 22 Mar 2012 18:35Pomocny post    

Re: OpenVPN konfiguracja


Wywal linijki dev tun i dh 01.pem.

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
Google


Google Adsense


Google


Powrót do góry
bobi1326
Poziom 17
Poziom 17


Dołączył: 29 Paź 2005
Posty: 439
Miasto: Toruń

bobi1326
Poziom 17
Post#8 22 Mar 2012 18:46  Autor tematu   

Re: OpenVPN konfiguracja


Po wywaleniu tych linijek przy próbie połączenia podaje błąd:
Options error: You must define DH file (--dh)

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
szwagros
Poziom 20
Poziom 20


Dołączył: 23 Lip 2004
Posty: 866
Miasto: Kielce

szwagros
Poziom 20
Post#9 22 Mar 2012 18:50Pomocny post    

Re: OpenVPN konfiguracja


http://openvpn.net/index.php/open-source/documentation/howto.html - poczytaj jak wygenerować plik dh.

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
bobi1326
Poziom 17
Poziom 17


Dołączył: 29 Paź 2005
Posty: 439
Miasto: Toruń

bobi1326
Poziom 17
Post#10 22 Mar 2012 20:00  Autor tematu   

Re: OpenVPN konfiguracja


Udało się wygenerować plik dh i uzyskać połączenie na serwerze.

Teraz zabrałem się za klienta.

Mój plik client1.ovpn:

client
dev tap
proto udp
remote http://moj_ddns.com:1194
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3


Uruchomiłem sobie portable OpenVPN na komputerze i do folderu config wrzuciłem ca.crt, client1.crt, client1.key oraz client1.opvn


Przy próbie połączenia mam cały czas status Connecting i kręci się w koło coś takiego:

Thu Mar 22 19:57:04 2012 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Thu Mar 22 19:57:04 2012 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu Mar 22 19:57:04 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Mar 22 19:57:05 2012 LZO compression initialized
Thu Mar 22 19:57:05 2012 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Mar 22 19:57:05 2012 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Mar 22 19:57:05 2012 Local Options hash (VER=V4): 'd79ca330'
Thu Mar 22 19:57:05 2012 Expected Remote Options hash (VER=V4): 'f7df56b8'
Thu Mar 22 19:57:05 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Mar 22 19:57:05 2012 UDPv4 link local: [undef]
Thu Mar 22 19:57:05 2012 UDPv4 link remote: xxx.xxx.xxx.xxx:1194
Thu Mar 22 19:58:05 2012 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Mar 22 19:58:05 2012 TLS Error: TLS handshake failed
Thu Mar 22 19:58:05 2012 TCP/UDP: Closing socket
Thu Mar 22 19:58:05 2012 SIGUSR1[soft,tls-error] received, process restarting
Thu Mar 22 19:58:05 2012 Restart pause, 2 second(s)
Thu Mar 22 19:58:07 2012 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu Mar 22 19:58:07 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Mar 22 19:58:07 2012 Re-using SSL/TLS context
Thu Mar 22 19:58:07 2012 LZO compression initialized
Thu Mar 22 19:58:07 2012 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Mar 22 19:58:07 2012 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Mar 22 19:58:07 2012 Local Options hash (VER=V4): 'd79ca330'
Thu Mar 22 19:58:07 2012 Expected Remote Options hash (VER=V4): 'f7df56b8'
Thu Mar 22 19:58:07 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Mar 22 19:58:07 2012 UDPv4 link local: [undef]
Thu Mar 22 19:58:07 2012 UDPv4 link remote: xxx.xxx.xxx.xxx:1194



Jak na razie robię to będąc podpiętym pod ten sam router co komputer serwer. Czy to może mieć wpływ na to, że nie działa? I czy muszę po stronie klienta także robić mostek w połączeniach sieciowych?

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
szwagros
Poziom 20
Poziom 20


Dołączył: 23 Lip 2004
Posty: 866
Miasto: Kielce

szwagros
Poziom 20
Post#11 22 Mar 2012 20:46Pomocny post    

Re: OpenVPN konfiguracja


bobi1326 napisał:
Jak na razie robię to będąc podpiętym pod ten sam router co komputer serwer. Czy to może mieć wpływ na to, że nie działa?

Tak. Do testowania użyj takiego IP, jaki ma serwer w sieci lokalnej. I nie używaj przedrostka 'http://' w opcji 'remote'.
bobi1326 napisał:
I czy muszę po stronie klienta także robić mostek w połączeniach sieciowych?

Zależy do czego chcesz używać zestawionego tunelu. Zestawić połączenie i pingować drugi koniec tunelu da się bez konfiguracji mostka.

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
bobi1326
Poziom 17
Poziom 17


Dołączył: 29 Paź 2005
Posty: 439
Miasto: Toruń

bobi1326
Poziom 17
Post#12 22 Mar 2012 20:56  Autor tematu   

Re: OpenVPN konfiguracja


Dokonałem zmian w client1.opvn i wpisałem:
remote 192.168.0.102:1194


Jednak dalej wywala błąd:


Thu Mar 22 20:53:58 2012 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Thu Mar 22 20:53:58 2012 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu Mar 22 20:53:58 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Mar 22 20:53:58 2012 LZO compression initialized
Thu Mar 22 20:53:58 2012 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Mar 22 20:53:58 2012 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Mar 22 20:53:58 2012 Local Options hash (VER=V4): 'd79ca330'
Thu Mar 22 20:53:58 2012 Expected Remote Options hash (VER=V4): 'f7df56b8'
Thu Mar 22 20:53:58 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Mar 22 20:53:58 2012 UDPv4 link local: [undef]
Thu Mar 22 20:53:58 2012 UDPv4 link remote: 192.168.0.102:1194
Thu Mar 22 20:54:58 2012 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Mar 22 20:54:58 2012 TLS Error: TLS handshake failed
Thu Mar 22 20:54:58 2012 TCP/UDP: Closing socket
Thu Mar 22 20:54:58 2012 SIGUSR1[soft,tls-error] received, process restarting
Thu Mar 22 20:54:58 2012 Restart pause, 2 second(s)
Thu Mar 22 20:55:00 2012 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu Mar 22 20:55:00 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Mar 22 20:55:00 2012 Re-using SSL/TLS context
Thu Mar 22 20:55:00 2012 LZO compression initialized
Thu Mar 22 20:55:00 2012 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Mar 22 20:55:00 2012 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Mar 22 20:55:00 2012 Local Options hash (VER=V4): 'd79ca330'
Thu Mar 22 20:55:00 2012 Expected Remote Options hash (VER=V4): 'f7df56b8'
Thu Mar 22 20:55:00 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Mar 22 20:55:00 2012 UDPv4 link local: [undef]
Thu Mar 22 20:55:00 2012 UDPv4 link remote: 192.168.0.102:1194



Połączenia chcę używać do wejścia na komputer serwer do jego dysków i dysków zmapowanych na niego z innych komputerów w sieci oraz do połączenia vnc.

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
Google


Google Adsense


Google


Powrót do góry
szwagros
Poziom 20
Poziom 20


Dołączył: 23 Lip 2004
Posty: 866
Miasto: Kielce

szwagros
Poziom 20
Post#13 22 Mar 2012 21:06    

Re: OpenVPN konfiguracja


W logach serwera coś się pojawia? Wygląda to tak, jakby na serwerze firewall blokował port 1194.

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
bogiebog
Pomocny w Sieci, Internet
Pomocny w Sieci, Internet


Dołączył: 16 Paź 2006
Posty: 19464
Miasto: Adort Kele

bogiebog
Pomocny w Sieci, Internet
Post#14 22 Mar 2012 21:07Pomocny post    

Re: OpenVPN konfiguracja


moj client konfiguracja

client
dev tap
proto udp
remote vpngate.sfx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca acme-ca.crt
cert acme-client.crt
key acme-client.key
ns-cert-type server
tls-auth acme-ta.key 1
comp-lzo
verb 3
auth-user-pass

autoryzacja - cert + login/pass.

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
bobi1326
Poziom 17
Poziom 17


Dołączył: 29 Paź 2005
Posty: 439
Miasto: Toruń

bobi1326
Poziom 17
Post#15 22 Mar 2012 21:32  Autor tematu   

Re: OpenVPN konfiguracja


To bardzo podobnie do mnie tylko tutaj masz jeszcze zapisy o tym, że musisz hasło podać oprócz certyfikatu, a reszta taka sama jak u mnie.

Faktycznie blokował firewall na serwerze ;/

Tylko teraz wywala inny błąd (ale jest zapis w logu serwera że coś chce się z nim połączyć). Mianowicie spaprałem sprawę z wypełnianiem tych pól podczas tworzenia plików.

Nie wiem które informacje muszą być takie same, a które wpisać różne.

Możecie powiedzieć czy gdzieś popełniam błąd?

6. Daje polecenie: C:\Program Files\OpenVPN\easy-rsa>build-ca
(Country Name (2 letter code) [US]: PL
State or Province Name (full name) [CA]: KP
Locality Name (eg, city) [SanFrancisco]: TORUN
Organization Name (eg, company) [OpenVPN]: BORVPN
Organizational Unit Name (eg, section) []: cisco
Common Name (eg, your name or your server's hostname) []: linksys
Name [changeme]: ADMIN
Email Adress [mail@host.domian]: mail1(malpa)gmail.com

7. Daje polecenie: C:\Program Files\OpenVPN\easy-rsa>build-key-server server
(Country Name (2 letter code) [US]: PL
State or Province Name (full name) [CA]: KP
Locality Name (eg, city) [SanFrancisco]: TORUN
Organization Name (eg, company) [OpenVPN]: BORVPN
Organizational Unit Name (eg, section) []: cisco
Common Name (eg, your name or your server's hostname) []: linksys
Name [changeme]: SERWER
Email Adress [mail@host.domian]: mail2(malpa)gmail.com
Zapytanie o hasło: serwer
Zapytanie o nazwę: serwer
Zapytanie [y/n]: y
Zapytanie [y/n]: y)

8. Daje polecenie: C:\Program Files\OpenVPN\easy-rsa>build-key client1
(Country Name (2 letter code) [US]: PL
State or Province Name (full name) [CA]: KP
Locality Name (eg, city) [SanFrancisco]: TORUN
Organization Name (eg, company) [OpenVPN]: BORVPN
Organizational Unit Name (eg, section) []: cisco
Common Name (eg, your name or your server's hostname) []: linksys
Name [changeme]: CLIENT1
Email Adress [mail@host.domian]: mail3(malpa)gmail.com
Zapytanie o hasło: client1
Zapytanie o nazwę: client1
Zapytanie [y/n]: y
Zapytanie [y/n]: y)

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
szwagros
Poziom 20
Poziom 20


Dołączył: 23 Lip 2004
Posty: 866
Miasto: Kielce

szwagros
Poziom 20
Post#16 22 Mar 2012 21:40    

Re: OpenVPN konfiguracja


Common name powinny być chyba inne na serwerze i kliencie.
Ale podaj logi z serwera i klienta.

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
Google


Google Adsense


Google


Powrót do góry
bobi1326
Poziom 17
Poziom 17


Dołączył: 29 Paź 2005
Posty: 439
Miasto: Toruń

bobi1326
Poziom 17
Post#17 22 Mar 2012 22:18  Autor tematu   

Re: OpenVPN konfiguracja


Zrobiłem wszystko jeszcze raz zmieniając CommonName w każdym z trzech miejsc gdzie się to wpisuje (wszędzie jest inne).

Taki mam log w client1:


Thu Mar 22 22:17:22 2012 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Thu Mar 22 22:17:22 2012 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu Mar 22 22:17:22 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Mar 22 22:17:22 2012 LZO compression initialized
Thu Mar 22 22:17:22 2012 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Mar 22 22:17:22 2012 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Mar 22 22:17:22 2012 Local Options hash (VER=V4): 'd79ca330'
Thu Mar 22 22:17:22 2012 Expected Remote Options hash (VER=V4): 'f7df56b8'
Thu Mar 22 22:17:22 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Mar 22 22:17:22 2012 UDPv4 link local: [undef]
Thu Mar 22 22:17:22 2012 UDPv4 link remote: 192.168.0.102:1194
Thu Mar 22 22:17:30 2012 TLS: Initial packet from 192.168.0.102:1194, sid=65d8f031 39ba46dd
Thu Mar 22 22:17:30 2012 VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=PL/ST=KP/L=TORUN/O=BORVPN/OU=cisco/CN=adminlinksys/name=ADMIN/emailAddress=m.m.borowczyk@gmail.com

A taki w serwerze:


Fri Mar 23 22:26:00 2012 OpenVPN 2.2.1 Win32-MSVC++ [SSL] [LZO2] built on Jul 1 2011
Fri Mar 23 22:26:00 2012 NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to
Fri Mar 23 22:26:00 2012 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Fri Mar 23 22:26:00 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Mar 23 22:26:00 2012 Diffie-Hellman initialized with 1024 bit key
Fri Mar 23 22:26:00 2012 TLS-Auth MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Mar 23 22:26:00 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Mar 23 22:26:00 2012 TAP-WIN32 device [Połączenie lokalne 13] opened: \\.\Global\{B6C09C99-BA25-4C54-A27C-A9A5A2B2EC13}.tap
Fri Mar 23 22:26:00 2012 NOTE: could not get adapter index for {B6C09C99-BA25-4C54-A27C-A9A5A2B2EC13}
Fri Mar 23 22:26:00 2012 TAP-Win32 Driver Version 9.8
Fri Mar 23 22:26:00 2012 TAP-Win32 MTU=1500
Fri Mar 23 22:26:00 2012 Sleeping for 10 seconds...
Fri Mar 23 22:26:10 2012 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Fri Mar 23 22:26:10 2012 UDPv4 link local (bound): [undef]:1194
Fri Mar 23 22:26:10 2012 UDPv4 link remote: [undef]
Fri Mar 23 22:26:10 2012 MULTI: multi_init called, r=256 v=256
Fri Mar 23 22:26:10 2012 IFCONFIG POOL: base=10.10.10.50 size=51
Fri Mar 23 22:26:10 2012 Initialization Sequence Completed
Fri Mar 23 22:27:40 2012 MULTI: multi_create_instance called
Fri Mar 23 22:27:40 2012 192.168.0.199:1701 Re-using SSL/TLS context
Fri Mar 23 22:27:40 2012 192.168.0.199:1701 LZO compression initialized
Fri Mar 23 22:27:40 2012 192.168.0.199:1701 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Mar 23 22:27:40 2012 192.168.0.199:1701 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Fri Mar 23 22:27:40 2012 192.168.0.199:1701 Local Options hash (VER=V4): 'f7df56b8'
Fri Mar 23 22:27:40 2012 192.168.0.199:1701 Expected Remote Options hash (VER=V4): 'd79ca330'
Fri Mar 23 22:27:40 2012 192.168.0.199:1701 TLS: Initial packet from 192.168.0.199:1701, sid=db4c115b 649ceb9f



Co to może znaczyć?

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
bogiebog
Pomocny w Sieci, Internet
Pomocny w Sieci, Internet


Dołączył: 16 Paź 2006
Posty: 19464
Miasto: Adort Kele

bogiebog
Pomocny w Sieci, Internet
Post#18 22 Mar 2012 23:29Pomocny post    

Re: OpenVPN konfiguracja


google certificate is not yet valid openvpn

Dodano po 1 [minuty]:

Clock-i nie rozsychrnonizowane client, server komputery ?

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
bobi1326
Poziom 17
Poziom 17


Dołączył: 29 Paź 2005
Posty: 439
Miasto: Toruń

bobi1326
Poziom 17
Post#19 23 Mar 2012 00:31  Autor tematu   

Re: OpenVPN konfiguracja


Faktycznie zegary o jeden dzień się nie zgadzały. Teraz wszystko śmiga. Dzięki wielkie wszystkim za pomoc za uzyskanie połączenia.


Sprawdziłem i działa. Na komputerze serwerze mam na mostku dodane ip 10.10.10.2 i mogę je pingować oraz np wejść na ftp poprzez ftp://10.10.10.2:21

Teraz mam tylko jedno pytanie. Na komputerach w sieci lokalnej mam udostępnione dyski. Teraz jak wepnę pendriva z portableOpnenVPN do jakiegoś komputera na zewnątrz to będę mógł nawiązać połączenie z moim serwerem. Na nim mam również zmapowane wszystkie udostępnione partycje. Ale jak się na nie dostać (albo do otoczenia sieciowego, czyli udostępnionych dysków) na takim komputerze gdzie odpalę portableOpenVPN?

Zrobiłem taki eksperyment. Przepiąłem się pod drugi router tak, że lokalnie nie mam dostępu do komputera serwera. Uruchomiłem sobie połączenie OpenVPN i połączyło się bez problemu. W moich miejscach sieciowych wyświetlają mi się ścieżki do udostępnionych w sieci lokalnej dysków. Jednak nie mogę się do nich dostać.

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
bogiebog
Pomocny w Sieci, Internet
Pomocny w Sieci, Internet


Dołączył: 16 Paź 2006
Posty: 19464
Miasto: Adort Kele

bogiebog
Pomocny w Sieci, Internet
Post#20 23 Mar 2012 08:13Pomocny post    

Re: OpenVPN konfiguracja


bobi1326 napisał:
Ale jak się na nie dostać (albo do otoczenia sieciowego, czyli udostępnionych dysków) na takim komputerze gdzie odpalę portableOpenVPN?


z okna cmd.exe

start \\ip-adres-komputera-który-udostępnia\nazwa-zasobu

Dodano po 1 [minuty]:

bobi1326 napisał:
Jednak nie mogę się do nich dostać.

Jaki masz błąd ?

Upewnij się że komputer który udostępnia - widzi cię (klienta) po IP adresie z LAN - a nie po jakimś zewnętrznym IP adresem.

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
bobi1326
Poziom 17
Poziom 17


Dołączył: 29 Paź 2005
Posty: 439
Miasto: Toruń

bobi1326
Poziom 17
Post#21 24 Mar 2012 15:29  Autor tematu   

Re: OpenVPN konfiguracja


Ok. Zadziałało z dodaniem dysku jako miejsce sieciowe oraz zmapowanie dysku z komputera serwera (ten który ma zainstalowany OpenVPN). Źle wpisywałem adres, bo używałem IP wewnętrznej sieci czyli 192.168.0.102, a nie tego które dodałem na potrzeby VPN czyli 10.10.10.2.

Teraz mam jeszcze dwa pytania. Bo aktualnie jestem połączony poprzez OpenVPN z komputerem serwerem w domu. Na nim są zmapowane dyski z innych komputerów z sieci, oprócz tego dyski z innych komputerów ma on dodane w miejscach sieciowych.

Będąc podłączonym do niego poprzez OpenVPN mogę jakoś zmapować lub dodać do miejsc sieciowych te dyski, które są zmapowane lub w miejscach sieciowych komputera serwera?

Przykładowo mam na nim zmapowany dysk z laptopa, który jest w sieci lokalnej (dysk D, zmapowany jako Z). Próbuje go zmapować lub dodać do miejsc sieciowych pod adresem \\10.10.10.2\Z (\\10.10.10.2\D działa jeżeli chodzi o dysk D z komputera serwera).


To jedno pytanie, a drugim jest to czy mając połączenie z komputerem serwerem mogę jakoś na zewnątrz podejrzeć komputery znajdujące się w tamtej sieci lokalnej (Mój komputer->Moje miejsca sieciowe->Wyświetl komputery z mojej grupy roboczej)?

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
bogiebog
Pomocny w Sieci, Internet
Pomocny w Sieci, Internet


Dołączył: 16 Paź 2006
Posty: 19464
Miasto: Adort Kele

bogiebog
Pomocny w Sieci, Internet
Post#22 24 Mar 2012 16:46    

Re: OpenVPN konfiguracja


Czy możesz pingąć inne komputery ze zdalnego LAN-u ?

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
bobi1326
Poziom 17
Poziom 17


Dołączył: 29 Paź 2005
Posty: 439
Miasto: Toruń

bobi1326
Poziom 17
Post#23 26 Mar 2012 13:30  Autor tematu   

Re: OpenVPN konfiguracja


Komputer serwer ma dwa adresy IP (192.168.0.102 oraz VPN 10.10.10.2)
Komputer kolejny wewnątrz LAN ma IP 192.168.0.101

Ja łączę się z zewnątrz, od VPN dostaje IP 10.10.10.50 (w serwerze zakres ustawiony do .100)
Mogę pingować tylko IP 10.10.10.2. I tak samo sprawa ma się jeżeli chodzi o mapowanie dysku z innego komputera w sieci. Nie mogę zmapować //192.168.0.101/C (chociaż jest udostępniony).

Czyli coś źle zrobiłem. Może muszę dodać na innych komputerach też dodatkowe IP w zakresie od VPN czyli np 10.10.10.51?

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
bogiebog
Pomocny w Sieci, Internet
Pomocny w Sieci, Internet


Dołączył: 16 Paź 2006
Posty: 19464
Miasto: Adort Kele

bogiebog
Pomocny w Sieci, Internet
Post#24 26 Mar 2012 13:48    

Re: OpenVPN konfiguracja


server-bridge 10.10.10.2 255.255.255.0 10.10.10.50 10.10.10.100

w moim vpn serwerze te adresy sa z tego samego lanu co ip serwera
tzn, serwre ma 192.168.33.1 i dyrektywa
server-bridge uzywa ip zakresu z tego samego lanu, czyli 192.168.33.x

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
bobi1326
Poziom 17
Poziom 17


Dołączył: 29 Paź 2005
Posty: 439
Miasto: Toruń

bobi1326
Poziom 17
Post#25 26 Mar 2012 13:54  Autor tematu   

Re: OpenVPN konfiguracja


Czyli w swoim normalnym połączeniu sieciowym nie dodawałeś specjalnie dla VPN kolejnego IP? Tylko w pliku config masz wpisane te IP, które normalnie uzyskujesz od routera albo masz na sztywno wpisane w TCP/IP?

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
bogiebog
Pomocny w Sieci, Internet
Pomocny w Sieci, Internet


Dołączył: 16 Paź 2006
Posty: 19464
Miasto: Adort Kele

bogiebog
Pomocny w Sieci, Internet
Post#26 26 Mar 2012 14:03    

Re: OpenVPN konfiguracja


LAN IP klienta vpn 192.168.1.x -
LAN IP servera - 192.168.33.x,

Jak klient się podłącza do serwrea to dostaje IP (oprócz tego co ma 192.168.1.x) 192.168.33.x, i w ten sposób łączy się z lanem 192.168.33.x.

IP 192.168.33.x klient dostaje od serwera vpn.

Dodano po 2 [minuty]:

Server conf (linux)

port 1194
proto udp
dev tap0
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key # This file should be kept secret
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
server-bridge 192.168.33.2 255.255.0.0 192.168.33.3 192.168.33.63
push "dhcp-option DNS 192.168.33.8"
push "dhcp-option DNS 192.168.33.122"
push "dhcp-option DOMAIN acme.com"
client-to-client
duplicate-cn
keepalive 10 120
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 1
auth-user-pass-verify /etc/openvpn/etc/openvpn-auth.pl via-file
tmp-dir /etc/openvpn/darkness/tmp982
passtos

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
Google


Google Adsense


Google


Powrót do góry
forestowy
Poziom 9
Poziom 9


Dołączył: 16 Mar 2009
Posty: 34

forestowy
Poziom 9
Post#27 26 Mar 2012 15:15Pomocny post    

Re: OpenVPN konfiguracja


bobi1326 napisał:
Komputer serwer ma dwa adresy IP (192.168.0.102 oraz VPN 10.10.10.2)
Komputer kolejny wewnątrz LAN ma IP 192.168.0.101

Ja łączę się z zewnątrz, od VPN dostaje IP 10.10.10.50 (w serwerze zakres ustawiony do .100)
Mogę pingować tylko IP 10.10.10.2. I tak samo sprawa ma się jeżeli chodzi o mapowanie dysku z innego komputera w sieci. Nie mogę zmapować //192.168.0.101/C (chociaż jest udostępniony).

Czyli coś źle zrobiłem. Może muszę dodać na innych komputerach też dodatkowe IP w zakresie od VPN czyli np 10.10.10.51?


Nie możesz pingować i mapować bo komp z którego się łączysz nie zna drogi do tej sieci bo nie ma jej w tablicy routingu. Musisz dodać ją ręcznie lub pushować z serwera dodając linijke:
push "route 192.168.0.0 255.255.255.0"

Oczywiście komputer z którego się łączysz nie może być w tej samej sieci (192.168.0.0/24) co LAN za serwerem VPN

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
bobi1326
Poziom 17
Poziom 17


Dołączył: 29 Paź 2005
Posty: 439
Miasto: Toruń

bobi1326
Poziom 17
Post#28 26 Mar 2012 15:25  Autor tematu   

Re: OpenVPN konfiguracja


Ok, wytłumaczyłeś i pomógł Twój config wytłumaczył dużo. Mój błąd polegał na tym, że dla VPN dodałem w mostku IP z innego zakresu niż ma to połączenie lokalne z internetem. Teraz w configu wpisałem IP takie samo czyli serwer ma jedno IP po połączeniu przez VPN i jest ono takie samo jak bez VPN. A komputer zewnętrzny jak napisałeś dostaje dwa IP, jedno lokalne tam gdzie jest i drugie lokalne z zakresu sieci lokalnej od serwera. Komputery w otoczeniu sieciowym się pojawiły. Teraz zrobię ich skróty na pendriva i zobaczę czy one też będą działały jak "portable".

Aktualnie łączę się z sieci 192.168.1.0, czy jak będę w sieci 192.168.0.0 i odpalę OpenVPN to nie będzie działało?

Jeszcze jeden problem. Próbuje dodać na komputerze serwerze OpenVPN do autostartu i żeby samo się logowało. Korzystam z tej instrukcji http://forums.untangle.com/tips-tricks/3645-making-openvpn-client-connection-startup-windows-xp.html
Wchodzę w panel sterowania, narzędzia administracyjne, usługi. Znajduje OpenVPN service i we właściwościach ustawiam Typ uruchomienia na Automatyczny.
Odpalam regedit w lokalizacji HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run nie mam wartości openvpn-gui. Więc ją dodałem ręcznie. Wpisałem C:\Program Files\OpenVPN\bin\openvpn-gui.exe --connect sserver.ovpn

Ścieżka się zgadza, bo sprawdzałem. Po restarcie program się odpala, ale koło zegara ikona ma żółty kolor i wyskakuje błąd: Error opening logfile for writing: C;\Program Files\OpenVPN\log\server.log You probably don't have administrator privilegas, which are necessary to run Open VPN.

Jestem zalogowany jako administrator.

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
forestowy
Poziom 9
Poziom 9


Dołączył: 16 Mar 2009
Posty: 34

forestowy
Poziom 9
Post#29 26 Mar 2012 15:40Pomocny post    

Re: OpenVPN konfiguracja


Cytat:

Mój błąd polegał na tym, że dla VPN dodałem w mostku IP z innego zakresu niż ma to połączenie lokalne z internetem

To nie błąd. Tak jest ok. Musisz zapamiętać jedną zasadę: na każdym interfejsie sieciowym musi być inna sieć/podsieć. VPN to nic innego jak dodatkowy interfejs.
Cytat:

Teraz w configu wpisałem IP takie samo czyli serwer ma jedno IP po połączeniu przez VPN i jest ono takie samo jak bez VPN

a po co ? Nie widzę konfiga, ale to w sumie nie powinno działać Smile
Cytat:
Aktualnie łączę się z sieci 192.168.1.0, czy jak będę w sieci 192.168.0.0 i odpalę OpenVPN to nie będzie działało?

Jak będziesz chciał się połączyć z 192.168.0.0/24 to nie będzie. Wszyscy uparli się na te 192.168.1.0, 192.168.0.0 i wpisuje zawsze wszędzie i gdzie popadnie jak by innych sieci nie było. Skonfiguruj siebie LAN na routerze w domu choćby w sieci 172.16.5.0/24 i już. Raczej nie trafisz na tak "egzotyczny" zakres z powodów wyżej Smile

Jeśli chodzi o autostart to nie pomogę, bo na linuxach stawiam openvpna

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
bobi1326
Poziom 17
Poziom 17


Dołączył: 29 Paź 2005
Posty: 439
Miasto: Toruń

bobi1326
Poziom 17
Post#30 26 Mar 2012 16:10  Autor tematu   

Re: OpenVPN konfiguracja


A maskę też warto zmienić?


forestowy napisał:

Cytat:

Teraz w configu wpisałem IP takie samo czyli serwer ma jedno IP po połączeniu przez VPN i jest ono takie samo jak bez VPN

a po co ? Nie widzę konfiga, ale to w sumie nie powinno działać


Czyli muszę w mostku dodać IP kolejne? Tylko z zakresu sieci lokalnej? Np 172.16.5.120?

Aktualnie sprawa wygląda tak:
Komputer serwer: IP tylko 172.16.5.102
Komputer wewnątrz lokalnej sieci: IP 172.16.5.101

Mój aktualny config:
mode server
proto udp
port 1194
dev tap0
# VPN Server Subnetmask Start-IP End-IP
server-bridge 172.16.5.102 255.255.255.0 172.16.5.150 172.16.5.160
keepalive 10 120
verb 3
comp-lzo
client-to-client
dh dh1024.pem
ca ca.crt
cert server.crt
key server.key

Czy wiadomość jest pomocna? + 0 -
Powrót do góry
Napisz nowy temat  Temat zablokowany.     Strona Główna -> Forum elektroda.pl-> Sieci, Internet -> Sieci Komputerowe -> OpenVPN konfiguracja na serwerze 12  Następny
Strona 1 z 2
Podobne tematy
Konfiguracja openvpn do gier (1)
[openVPN] konfiguracja klient + serwer (4)
OpenVPN - konfiguracja routerów z DD-WRT (2)
OpenVPN - konfiguracja serwera i klienta (26)
Konfiguracja WRT54GL-EU z tomato 1.25VPN + OpenVPN + XP (13)
Konfiguracja Openvpn - jakie rozszerzenia plików (2)
Konfiguracja klienta OpenVPN - w ruterze Netgear WNR3500L v1 - tomato by shibby (1)
OpenVPN-Brak polaczenia OpenVPN- klient Chiny <-> serwer Niemcy (17)
Konfiguracja QoS na serwerze ZeroShell (3)
Konfiguracja domeny na własnym serwerze ze stałym IP (7)



Administrator || Moderatorzy || Regulamin forum || Regulamin ogólny || Informacja o cookies || Kontakt

Page generation time: 0.066 seconds

elektroda.pl temat RSS