Elektroda.pl
Elektroda.pl
X
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

OpenVPN brak routingu - cfg serwer

Rafq25 11 Dec 2016 10:25 3915 46
  • #31
    bogiebog
    Level 43  
    Jak korpo wypuszcza 443 to tylko TCP !!! nie UDP.
    VPN po TCP to może być nieporozumienie, jak jeden pakiet wypadnie to zamraża wszystkie następne, taka natura TCP.

    W ustawienaich openvpn możesz zmienić proto na TCP i port na 443.
  • #32
    Rafq25
    Level 16  
    tak rozumiem. wiem jak to zmienić, ale najpierw chcę zostawić połączenie testowe na standardowym porcie i protokole.

    Kolega jedzie na TCP i 443 i jak na razie działa mu dobrze.

    Dodano po 3 [godziny] 15 [minuty]:

    Jak zestawiam połączenie, ikonka w windows świeci się na żółto, pewnie jest problem z firewallem, jak ustawić go na debianie ?

    Info z łączenia się vpn
    Quote:
    Sun Dec 11 22:16:37 2016 UDPv4 link remote: [AF_INET]Moj adres IP:1194
    Sun Dec 11 22:16:37 2016 MANAGEMENT: >STATE:1481490997,WAIT,,,
  • #33
    bogiebog
    Level 43  
    Nie mam pojęcia co robisz
    wrzuć schemat
  • #34
    Rafq25
    Level 16  
    schemat jest taki sam jak na początku wątku.

    A)
    Debian - serwer
    Adres IP : 10.0.0.50
    Maska podsieci :255.255.0.0
    Brama domyślna :10.0.0.1

    Sieć B) klient
    IPv4 Address. . . . . . . . . . . : 192.168.0.10
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
    Default Gateway . . . . . . . . . : 192.168.0.1

    chce się połączyć klientem do serwera tamtej sieci i mieć dostęp do zasobów lan i internetu
  • #35
    Rafq25
    Level 16  
    Sprawa została rozwiązana dzięki użytkownikowi bogiebog który zadeklarował się pomóc. Czy ktoś jest jeszcze wstanie pomóc z zaporą w kasperskim aby możliwe było podłączenie się do komputera na którym jest takowa zapora ?
  • #36
    bogiebog
    Level 43  
    spróbuj google VPN trusted kaspersky
  • #37
    Rafq25
    Level 16  
    Niestety nie ma za wiele przydatnych informacji. Musiałbym jakoś stworzyć regułę dla sieci 10.8.0.0
  • #39
    Rafq25
    Level 16  
    Tak jest opcja dla całej sieci lokalnej - zaufana sieć, po ustawieniu tej opcji komputer pinguje. Próbowałem również dodać podsieć niestety bez skutecznie.
    Chciałbym uzyskać taki efekt że tylko dane komputery mogę mieć dostęp do zasobów komputera z kasperskim, jest tam baza ms sql do której w późniejszym czasie będę się łączył.

    OpenVPN brak routingu - cfg serwervpn.PNG Download (173.43 kB)
  • #40
    bogiebog
    Level 43  
    Narysuj to, wszystkie sieci, gdzie jest serwer i komputery co mają się łączyć
    Może to się da zrobić w iptables na serwerze vpn.
  • #41
    Rafq25
    Level 16  
    Wszystko już ustawiłem, z pomocą supportu karsperskiego. Dość sporo grzebania w zaporze, ale nowe doświadczenie i umiejętności.

    Kolejna rzecz to kwestia anonimowości i bezpieczeństwa czyli:
    Łącząc się z sieci korporacyjnej do serwera VPN chciałbym odciąć się od sieci LAN w sieci korporacyjnej czy jest możliwość tak skonfigurowania serwera?
    Czy dalej rozrysować schemat tych sieci?
  • #42
    bogiebog
    Level 43  
    Rafq25 wrote:
    Łącząc się z sieci korporacyjnej do serwera VPN chciałbym odciąć się od sieci LAN w sieci korporacyjnej czy jest możliwość tak skonfigurowania serwera?

    Raczej nie ma,
    jak jesteśn na corpo to dostęp do VPN jest przez LAN corpo, więc to sprzeczność, no chyba że masz co innego na myśłi

    Dodano po 1 [minuty]:

    Gdyby to był linux to można by w ip tables zostawić dostęp tylko do routera w corp lan, a resztę lan zablokować, ale pod windowsem, nie wiem, może coś w zaporze, kto wie.
  • #43
    Rafq25
    Level 16  
    no tak dostęp jest przez lan, komputer nie jest w domenie więc raczej nie będę miał i tak dostępu do zasobów sieci lokalnej, wiec pc nie będzie aż tak łatwy do wykrycia.
  • #44
    bogiebog
    Level 43  
    Ustaw w windowsie corp network jako "publiczna sieć" - wtedy firewall zablokuje wszystkie lan dostępy, zostawi tylko bramę
  • #45
    Rafq25
    Level 16  
    Super. Czy usunięcie plików crt, csr, key, ovpn działa jak odwoływanie certyfikatów? Odwołałem certyfikaty i chce te niepotrzebne usunąć.
  • #46
    bogiebog
    Level 43  
    Nie, odwołanie cert klienta przez aktualizację crl.pem

    cd ...easy-rsa
    ./revoke-full nazwa-uzytkownika-jak-przy-tworzeniu

    potem trzeba skopiować keys/crl.pem do /etc/openvnpn/

    jest jeszcze opcja openvpn "ccd", poczytaj o tym, może być prościej
  • #47
    Rafq25
    Level 16  
    Odgrzewając temat. Wszystko śmiga jak powinno. Chce przenieść cały obraz z jednej maszyny na nowszą. Czy klonując dysk zadziała server vpn? Jest ktoś wstanie pomóc zoptymalizować cfg tak by ruch był szybszy ?