• Ismertető
  • Hírek
  • Letöltés
  • Súgó
  • Tananyag
  • Közösség
  • Ubuntu Women
ubuntu.hu

Belépés

Mi az az OpenID?
  • Belépés OpenID használatával
  • OpenID belépés megszakítása
  • Felhasználó létrehozása
  • Elfelejtett jelszó

Facebook

Kapcsolat

  • Identi.ca csoport
  • Facebook oldal
  • IRC
  • Közösségi levlista
  • Segítői levlista
  • Magyar Ubuntu Planet
  • További elérhetőségek

OpenVPN hardy-n

2010. február 11. – 10.32 – body007
  • Kiszolgálók

Hali

Szeretnék csinálni egy vpn-t a meló helyen lévő hálóhoz. Hardy szerver van samba-val, ennek egy megosztását kellene elérnem neten keresztül.
Ezen leírás alapján telepítettem a dolgokat.
Az openVPN elindul a szerveren, de ilyen dolgokat ír ki nekem ha csatlakozni próbálok (w7 és xp-ről):

Thu Feb 11 09:17:00 2010 MULTI: multi_create_instance called
Thu Feb 11 09:17:00 2010 Re-using SSL/TLS context
Thu Feb 11 09:17:00 2010 LZO compression initialized
Thu Feb 11 09:17:00 2010 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Thu Feb 11 09:17:00 2010 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Feb 11 09:17:00 2010 Local Options hash (VER=V4): 'c0103fa8'
Thu Feb 11 09:17:00 2010 Expected Remote Options hash (VER=V4): '69109d17'
Thu Feb 11 09:17:00 2010 TCP connection established with 81.183.55.231:37831
Thu Feb 11 09:17:00 2010 Socket Buffers: R=[131072->131072] S=[131072->131072]
Thu Feb 11 09:17:00 2010 TCPv4_SERVER link local: [undef]
Thu Feb 11 09:17:00 2010 TCPv4_SERVER link remote: 81.183.55.231:37831
Thu Feb 11 09:17:00 2010 81.183.55.231:37831 WARNING: Bad encapsulated packet length from peer (5635), which must be > 0 and <= 1544 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attemping restart...]
Thu Feb 11 09:17:00 2010 81.183.55.231:37831 Connection reset, restarting [0]
Thu Feb 11 09:17:00 2010 81.183.55.231:37831 SIGUSR1[soft,connection-reset] received, client-instance restarting
Thu Feb 11 09:17:00 2010 TCP/UDP: Closing socket

Az ip-t (81.183.55.231:37831) DynDNS-től kapja de miért a 37831-en próbál csatlakozni ha megadtam neki a 1194-et? Egyébként ha helyi hálón próbálom (192.168.0.101:1194) is ugyan ez a helyzet.
...
Thu Feb 11 09:15:05 2010 192.168.0.103:49682 WARNING: Bad encapsulated packet length from peer (5635), which must be > 0 and <= 1544 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attemping restart...]
Thu Feb 11 09:15:05 2010 192.168.0.103:49682 Connection reset, restarting [0]
Thu Feb 11 09:15:05 2010 192.168.0.103:49682 SIGUSR1[soft,connection-reset] received, client-instance restarting
...
Itt is 49682-es a port, ezt honnan veszi?

Router-en a szerver fix ip-t kap:


Address Reservation
ID MAC Address Reserved IP Address Status Modify
1 00-19-66-62-7E-47 192.168.0.101 Enabled

és forwarding-olva is van 2 port (egy a vnc-nek az megy is szépen, neten keresztül is):


Virtual Servers
ID Service Port IP Address Protocol Status Modify
1 5900 192.168.0.101 ALL Enabled Modify Delete
2 1194 192.168.0.101 ALL Enabled Modify Delete

Igazából azt se vágom, h kell csatlakozni a szerverhez. Telepítettem az openVPN-t xp-re és 7-re is. A programfiles/openvpn/config/-ba bemásoltam a file-okat. De nem akarja az igazságot...

szerk.:
még ide másolom, h indul a service:

root@ubuntu:/etc/openvpn# openvpn vpn-szerver.ovpn
Thu Feb 11 10:49:29 2010 OpenVPN 2.1_rc7 x86_64-pc-linux-gnu [SSL] [LZO2] [EPOLL] built on May 8 2009
Thu Feb 11 10:49:29 2010 Diffie-Hellman initialized with 2048 bit key
Thu Feb 11 10:49:29 2010 /usr/bin/openssl-vulnkey -q -b 2048 -m
Thu Feb 11 10:49:31 2010 TLS-Auth MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Thu Feb 11 10:49:31 2010 TUN/TAP device tun0 opened
Thu Feb 11 10:49:31 2010 TUN/TAP TX queue length set to 100
Thu Feb 11 10:49:31 2010 ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Thu Feb 11 10:49:31 2010 route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2
Thu Feb 11 10:49:31 2010 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Feb 11 10:49:31 2010 Listening for incoming TCP connection on [undef]:1194
Thu Feb 11 10:49:31 2010 Socket Buffers: R=[87380->131072] S=[16384->131072]
Thu Feb 11 10:49:31 2010 TCPv4_SERVER link local (bound): [undef]:1194
Thu Feb 11 10:49:31 2010 TCPv4_SERVER link remote: [undef]
Thu Feb 11 10:49:31 2010 MULTI: multi_init called, r=256 v=256
Thu Feb 11 10:49:31 2010 IFCONFIG POOL: base=10.8.0.4 size=62
Thu Feb 11 10:49:31 2010 IFCONFIG POOL LIST
Thu Feb 11 10:49:31 2010 MULTI: TCP INIT maxclients=1024 maxevents=1028
Thu Feb 11 10:49:31 2010 Initialization Sequence Completed

‹ VirtualBox-os szerverbe kéne felcsatolni a /home mappát ! (MEGOLDVA) OpenVPN hardy-n ›
  • A hozzászóláshoz regisztráció és belépés szükséges
Gorkhaan – moderátor – 2010. február 11. 11.35

Melyik OpenVPN Verziód használod kliensen és szerveren?

Kliens és Server configot elpostolhatnád. ( http://pastebin.com )

  • A hozzászóláshoz regisztráció és belépés szükséges

||"Ha előre tudtad volna, hogy a gyertya lángja tűz, akkor már régen kész lenne az étel..." || My Homepage = Hasznos tippek & Trükkök

body007 – 2010. február 11. 15.07 – előzmény

server
client

server: OpenVPN 2.1_rc7 x86_64-pc-linux-gnu [SSL] [LZO2] [EPOLL] built on May 8 2009
client (win): OpenVPN 2.1.1 -- released on 2009.12.11

Egyébként nem mindegy neki a verzió?

  • A hozzászóláshoz regisztráció és belépés szükséges

my channel

Gorkhaan – moderátor – 2010. február 11. 17.01 – előzmény

2.1_rc7 nagyon régi verzió ( 2008.01.29 ) kérlek frissítsd.

2.1.1-et fordíthatod is a szerverre:

apt-get install libssl-dev liblzo2-dev

Ezek a függőségei. Bizonyára a forrásból való fordítás nem lesz gond.

Aztán a server/kliens configban hiányzik még egy-két opció:

Server configba ajánlatos a: topology subnet
Client configból meg lemaradt a DH opció: dh dh2048.pem

Nagyjából ennyi és menni fog. :)

  • A hozzászóláshoz regisztráció és belépés szükséges

||"Ha előre tudtad volna, hogy a gyertya lángja tűz, akkor már régen kész lenne az étel..." || My Homepage = Hasznos tippek & Trükkök

body007 – 2010. február 12. 11.05 – előzmény

Fent az újabb vpn a szerón:
Fri Feb 12 10:25:16 2010 OpenVPN 2.1.1 x86_64-unknown-linux-gnu [SSL] [LZO2] [EPOLL] built on Feb 12 2010
beírtam a fenti dolgokat a conf file-okba.
de ugyan az mint eddig:
Fri Feb 12 10:55:19 2010 MULTI: multi_create_instance called
Fri Feb 12 10:55:19 2010 Re-using SSL/TLS context
Fri Feb 12 10:55:19 2010 LZO compression initialized
Fri Feb 12 10:55:19 2010 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Fri Feb 12 10:55:19 2010 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Feb 12 10:55:19 2010 Local Options hash (VER=V4): 'c0103fa8'
Fri Feb 12 10:55:19 2010 Expected Remote Options hash (VER=V4): '69109d17'
Fri Feb 12 10:55:19 2010 TCP connection established with 192.168.0.103:50515
Fri Feb 12 10:55:19 2010 Socket Buffers: R=[131072->131072] S=[131072->131072]
Fri Feb 12 10:55:19 2010 TCPv4_SERVER link local: [undef]
Fri Feb 12 10:55:19 2010 TCPv4_SERVER link remote: 192.168.0.103:50515
Fri Feb 12 10:55:19 2010 192.168.0.103:50515 WARNING: Bad encapsulated packet length from peer (5635), which must be > 0 and <= 1544 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attemping restart...]
Fri Feb 12 10:55:19 2010 192.168.0.103:50515 Connection reset, restarting [0]
Fri Feb 12 10:55:19 2010 192.168.0.103:50515 SIGUSR1[soft,connection-reset] received, client-instance restarting
Fri Feb 12 10:55:19 2010 TCP/UDP: Closing socket

Egyébként lehet én vagyok a láma, win-en, h kell ezt az egészet beállítani? Annyit csináltam, h feltettem az openVPN-t, megjelent egy tray ikon, ott nyomtam egy proxy settinset és az állítottam, h "use openvpn config file settings...". Ezután hálozati és megosztási központ, csatlakozás hálózathoz, kiválasztottam, h vpn, pár kérdés és csatlakozás, de semmi... Nem kell valamit állítani win-en? Van egy halom vpn típus: pppt, l2tp, sstp, ikev2 akkor protokollok: eap, pap, chap, ms-chapv2 (és ez még csak a biztonság fül...)

  • A hozzászóláshoz regisztráció és belépés szükséges

my channel

Gorkhaan – moderátor – 2010. február 12. 12.16 – előzmény

Nem, nem Windowstól teljesen független az OpenVPN. Ha a tray ikon már megjelent ott, akkor Rendszergazdai jogosultsággal indítsd az OpenVPN GUI-t ( a trayt ). Default esetben a konfig csomagnak a következő helyen kell lennie: C:\Program Files\OpenVPN\config\[Clientconfigmappa]

Clientconfigmappában kellenek a következő fájlok:
ca.crt
noszalyG.crt
noszalyG.key
dh2048.pem
klienskonfig.ovpn

Klienskonfigodban láttam, hogy minden meg van, csak be kell másolni őket a Clientconfigmappa-ba. Ezek után megjelenik az OpenVPN GUI ( tray ikon )-nál egy lehetőség legfelül, hogy CONNECT ( http://www.danoneverythingelse.com/images/openvpn-gui2.png - Ezen a képen szürke, ezt találtam )

OpenVPN IPSEC alapú VPN kapcsolat. Saját Server/Kliens programmal.

  • A hozzászóláshoz regisztráció és belépés szükséges

||"Ha előre tudtad volna, hogy a gyertya lángja tűz, akkor már régen kész lenne az étel..." || My Homepage = Hasznos tippek & Trükkök

body007 – 2010. február 12. 13.16 – előzmény

Na akkor csak láma vagyok a win beállításához... :D
2 dolog hibádzott:
1. nem volt a kliensnél a dh2048.pem file (ezt mintha nem írta volna a fent említett leírás...)
2. a cliens.conf nem volt átnevezve cliens.ovpn-re... :)

Szóval most kapcsolódott de hol a bajkarikába tudom elérni a hálózatot? Meg egyáltalán a szerveren hol tudom beállítani, h mit érhet el a kliens?

Az eddig segítséged köszönöm szépen, nem is volt túl bonyolult :)

  • A hozzászóláshoz regisztráció és belépés szükséges

my channel

Gorkhaan – moderátor – 2010. február 12. 13.34 – előzmény

Szóval most kapcsolódott de hol a bajkarikába tudom elérni a hálózatot?

Próbáld pingelni, hogy a kiépült kapcsolaton át megy-e a kommunikáció. ( 10.8.0.1 a server )

Ahogy láttam Samba-t szeretnél vele elérni. Akkor ezt a Samba configban: hosts allow = 10.8.0.0/24

Azután már is eléred a serveren lévő tartalmat.

Ha az interfaces opció is be van állítva a samba configban, akkor azt is hozzá kell adni, például: interfaces = eth* tun* lo

Tűzfalat érdemes teljesen kikapcsolni ( a szűrést legalább is ) a próbák idejére. Ha már működik minden frankón, az után érdemes a tűzfalat hozzáfaragni.

( http://www.samba.org/samba/docs/server_security.html )

Meg egyáltalán a szerveren hol tudom beállítani, h mit érhet el a kliens?
OpenVPN Serveren sehol, annak csak a VPN kapcsolat kiépítése a feladat. IPTABLES-sel gyönyörűen körbe lehet keríteni a dolgokat. :)
Route-okat ( meg sok minden mást is ) le "push"-olhatsz a klienseknek, ha más hálózati tartományt is el akarsz érni a serveren kívül, de ez már más kérdés....

  • A hozzászóláshoz regisztráció és belépés szükséges

||"Ha előre tudtad volna, hogy a gyertya lángja tűz, akkor már régen kész lenne az étel..." || My Homepage = Hasznos tippek & Trükkök

body007 – 2010. február 12. 14.25 – előzmény

Meg is vagyok :)
Megy szépen, win explorer-en (a file kezelője) címsorba beírom, h 10.8.0.1, bekéri a samba-s user/pass-t és már csatlakozik is :)

Még egyszer köszönöm a közreműködést, ha reklám anyagra lenne szükséged szólj, megoldjuk ;) LGM (nem sok minden van fent a lapunkon, szólni kéne már, h frissítsék... :D )

szerk.: mégvalami, ha bezárom a szerveren a kapcsolatot nem indítja el újra mert azt mondja foglalt a 1194-es port. Ezt, h tudom kiküszöbölni?

  • A hozzászóláshoz regisztráció és belépés szükséges

my channel

Gorkhaan – moderátor – 2010. február 12. 14.40 – előzmény

Nah örülök, hogy műxik minden! Reklám anyag nem lesz elfelejtve, lehet majd érdeklődnék, most még semmi konkrét nincs, de soha nem lehet tudni. :D

szerk.: mégvalami, ha bezárom a szerveren a kapcsolatot nem indítja el újra mert azt mondja foglalt a 1194-es port. Ezt, h tudom kiküszöbölni?
Pontosítsd kérlek. Serveren CTRL + C-vel ( vagy F4-el asszem ) lehet lelőni az OpenVPN Servert.

Megkaphatod a PID-jét, amivel le tudod lőni ha háttérben lenne: netstat -atnp4 | grep openvpn ( szokás a htop progit is használni F9-el pedig kilőni olykor ami nem kell )

update: OpenVPN serverconfigba: writepid /utvonal/vpnserver.pid

Beleírja a PID-et, fájlból kiolvasva könnyebb scriptekkel vagy valamivel lelőni. Crontabbal ( gondolom nem kell 24/7 VPN elérés, ki tudja, lehetőségek határtalanok. :D )

  • A hozzászóláshoz regisztráció és belépés szükséges

||"Ha előre tudtad volna, hogy a gyertya lángja tűz, akkor már régen kész lenne az étel..." || My Homepage = Hasznos tippek & Trükkök

body007 – 2010. február 12. 15.19 – előzmény

Úgy értem a bezárást, h véletlen bezártam a terminált ahol futott a service :)
Ha próbálom újraindítani ezt írja:
root@ubuntu:/etc/openvpn# openvpn vpn-szerver.ovpn
Fri Feb 12 14:59:32 2010 OpenVPN 2.1.1 x86_64-unknown-linux-gnu [SSL] [LZO2] [EPOLL] built on Feb 12 2010
Fri Feb 12 14:59:32 2010 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Fri Feb 12 14:59:32 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Feb 12 14:59:32 2010 Diffie-Hellman initialized with 2048 bit key
Fri Feb 12 14:59:32 2010 TLS-Auth MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Fri Feb 12 14:59:32 2010 TCP/UDP: Socket bind failed on local address [undef]:1194: Address already in use
Fri Feb 12 14:59:32 2010 Exiting

  • A hozzászóláshoz regisztráció és belépés szükséges

my channel

Gorkhaan – moderátor – 2010. február 12. 15.25 – előzmény

Jah, ha a terminált bezárod attól még a server fut, úgy marad. Erre használják a screen csomagot.

https://help.ubuntu.com/community/Screen
http://www.ubuntugeek.com/screen-manages-multiple-sessions-on-one-termin...

Ezt bezárhatod, majd később újra hozzácsatlakozhatsz.

Szóval most is fut, nincs mit újraindítani. Ha PID-el kilövöd, után felszabadul a Port is, akkor tudod újra elindítani.

  • A hozzászóláshoz regisztráció és belépés szükséges

||"Ha előre tudtad volna, hogy a gyertya lángja tűz, akkor már régen kész lenne az étel..." || My Homepage = Hasznos tippek & Trükkök

body007 – 2010. február 12. 16.00 – előzmény

Értem
Ez a screen cucc (ahogy nézem) meg olyasmi mint a terminator

  • A hozzászóláshoz regisztráció és belépés szükséges

my channel

ChDeep – 2011. január 6. 13.34 – előzmény

Helló!
Nekem az lenne a kérdésem, hogy ugyan ez alapján létrehoztam mindent és úgynézem fut is a dolog, de a felhasznalo1 nél hogy határozok meg felhasználónavet meg jelszót, hogy ki férjen hozzá.
Most kapok egy ablakot kapcsolódás közben a kliensnél, felh. jelsz. ezek mik, és hol és hogyan lehet módosítani?

  • A hozzászóláshoz regisztráció és belépés szükséges

Ifj.Kiss István

ChDeep – 2011. január 7. 11.41 – előzmény

Megoldva...

  • A hozzászóláshoz regisztráció és belépés szükséges

Ifj.Kiss István

ChDeep – 2011. január 11. 9.28

Helló!
VPN probléma... apróság, de fontos.:)
VPN-re kapcsolódok egy ubuntu serverrel... a következő a bajom nem tom autostartba hogy rakombe, hogy mindíg induljon és konnekteljen, 2 a vpn server ahova konektelek felhszn. és passwd-t kér azt hogy állítom be utostartnál?
Köszönöm...

  • A hozzászóláshoz regisztráció és belépés szükséges

Ifj.Kiss István

Hozzászólás-megjelenítési lehetőségek

A választott hozzászólás-megjelenítési mód a „Beállítás” gombbal rögzíthető.
© 2007–2011. Magyar Ubuntu Közösség.
Az Ubuntu a Canonical bejegyzett védjegye.
Az ubuntu.hu az fsf.hu kiszolgálóin fut.