Re: problemi openvpn dietro gw
stiamo facendo molta confuzione,openvpn in modalita bridge non ha bisogno di route e comunque ti ricordo che lo script lo devi modificare esempio gw="192.168.1.251" devi mettere il tuo di gateway e qua metti il tuo ip eth_ip="192.168.1.251" Il 01 novembre 2010 10:38, giovanni Scudeller ha scritto: > scusa al tua tabella letta via testo con chiara: > vediamo se ho capito: > Ip scheda server 192.168.1.1 /netsmask 255.255.255.0 > ip scheda pc 192.168.1.31 /netmask 255.255.255.0 > > scheda br0 192.168.1.255/netmsk 255.255.255.0 > > quindi il tuo server quando attivi il bridge non ha piu' indirizzo > 192.168.1.1 ma 192.168.1.205 > > E' corretto tutto questo ? > se si vedo troppi 192.168.1.x per funzionare > Toricamente il pc dovrebbe avare sulla sua scheda un indirizzo > 192.168.3.31 se la tua vpn ha come rete 192.168.2.x e il server > 192.168.1.1 poi nel file di configurazione fai un push della route > 192.168.1.0 > riga da inserire > push "route 192.168.1.0 255.255.255.0" > > ifconfig-pool-persist ipp.txt > con questa riga assegni sempre lo stesso IP allo stesso pc. > > se in Windows 7 con questa configurazione ? devi avviarla in modo > esplicito ( e non da gui) facendo tasto destro esegui come amministratore. > client.ovpn > > client > dev tap0 > proto udp > remote 151.76.34.27 1194 > resolv-retry infinite > nobind > persist-key > persist-tun > ca ca.crt > cert user1.crt > key user1.key > tls-auth ta.key 1 > verb 4 > ping 60 > ping-restart 120 > --explicit-exit-notify 2 > > Se poi passa ad un linux box di cosiglio di fare anziche una vpn > client/server una vpn simmetrica in quanto hai meno problemi in caso di > caduta link e mantieni sempre gli stessi ip. > > > -- > Per REVOCARE l'iscrizione alla lista, inviare un email a > debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per > problemi inviare un email in INGLESE a listmas...@lists.debian.org > > To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org > Archive: http://lists.debian.org/4cce98ac.50...@gmail.com > > -- esta es mi vida e me la vivo hasta que dios quiera -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktik1axeqy==6uxox=kxp_qyjuwv2nv6ad2m1u...@mail.gmail.com
Re: problemi openvpn dietro gw
scusa al tua tabella letta via testo con chiara: vediamo se ho capito: Ip scheda server 192.168.1.1 /netsmask 255.255.255.0 ip scheda pc 192.168.1.31 /netmask 255.255.255.0 scheda br0 192.168.1.255/netmsk 255.255.255.0 quindi il tuo server quando attivi il bridge non ha piu' indirizzo 192.168.1.1 ma 192.168.1.205 E' corretto tutto questo ? se si vedo troppi 192.168.1.x per funzionare Toricamente il pc dovrebbe avare sulla sua scheda un indirizzo 192.168.3.31 se la tua vpn ha come rete 192.168.2.x e il server 192.168.1.1 poi nel file di configurazione fai un push della route 192.168.1.0 riga da inserire push "route 192.168.1.0 255.255.255.0" ifconfig-pool-persist ipp.txt con questa riga assegni sempre lo stesso IP allo stesso pc. se in Windows 7 con questa configurazione ? devi avviarla in modo esplicito ( e non da gui) facendo tasto destro esegui come amministratore. client.ovpn client dev tap0 proto udp remote 151.76.34.27 1194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert user1.crt key user1.key tls-auth ta.key 1 verb 4 ping 60 ping-restart 120 --explicit-exit-notify 2 Se poi passa ad un linux box di cosiglio di fare anziche una vpn client/server una vpn simmetrica in quanto hai meno problemi in caso di caduta link e mantieni sempre gli stessi ip. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4cce98ac.50...@gmail.com
Re: problemi openvpn dietro gw
Il 31 ottobre 2010 17:52, emmanuel segura ha scritto:
> mi hai vedere la tua configurazione?
>
|___D M Z_|
Client 1 (windows7): Gateway1:
Internet Gateway2:Server VPN:
Application server:
ip 192.168.1.31ip 192.168.1.1
ip 192.168.1.1eth1 0.0.0.0
ip 192.168.1.5
gw 192.168.1.1
tun0 0.0.0.0
gw 192.168.1.1
br0
192.168.1.205
Dal client, che in via definitiva sarà una linux box embedded, ho
bisogno di collegarmi all'application server probabilmente tramite
telnet. Di conseguenza ho bnisogno del collegamento vpn che mi
consenta di fare accesso con canale bidirezionale.
Attualmente per la fase di test, usando come client windows e seguendo
la guida che hai postato, la configurazione è questa:
Client Windows 7 con OpenVPN GUI:
client.ovpn
client
dev tap0
proto udp
remote 151.76.34.27 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert user1.crt
key user1.key
tls-auth ta.key 1
verb 4
ping 60
ping-restart 120
--explicit-exit-notify 2
Server Debian5:
server.conf
#/etc/openvpn/server.conf
local 192.168.1.205
port 1194
proto udp
dev tap0
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
tls-auth /etc/openvpn/keys/ta.key 0
ifconfig-pool-persist ipp.txt
server-bridge 192.168.2.1 255.255.255.0 192.168.2.70 192.168.2.79
keepalive 40 180
push "redirect-gateway"
max-clients 5
persist-key
persist-tun
status openvpn-status.log
log-append openvpn.log
verb 3
E in definitiva, fatto partire il server con la configurazione di br0
bridge.sh
#bridge.sh
#!/bin/bash
# Create global variables
# Define Bridge Interface
br="br0"
# Define list of TAP interfaces to be bridged,
# for example tap="tap0 tap1 tap2".
tap="tap0"
# Define physical ethernet interface to be bridged
# with TAP interface(s) above.
eth="eth1"
eth_ip="192.168.1.251"
eth_netmask="255.255.255.0"
eth_broadcast="192.168.1.255"
gw="192.168.1.251"
start_bridge () {
#
# Set up Ethernet bridge on Linux
#
for t in $tap; do
openvpn --mktun --dev $t
done
for t in $tap; do
ifconfig $t 0.0.0.0 promisc up
done
ifconfig $eth 0.0.0.0 promisc up
brctl addbr $br
brctl addif $br $eth
for t in $tap; do
brctl addif $br $t
done
ifconfig $br $eth_ip netmask $eth_netmask broadcast $eth_broadcast up
route add default gw $gw $br
}
stop_bridge () {
# Pull Down Ethernet bridge on Linux
ifconfig $br down
brctl delbr $br
for t in $tap; do
openvpn --rmtun --dev $t
done
ifconfig $eth $eth_ip netmask $eth_netmask broadcast $eth_broadcast up
route add default gw $gw $eth
}
case "$1" in
start)
echo -n "Starting Bridge"
start_bridge
;;
stop)
echo -n "Stopping Bridge"
stop_bridge
;;
restart)
stop_bridge
sleep 2
start_bridge
;;
*)
echo "Usage: $0 {start|stop|restart}" >&2
exit 1
;;
esac
--
...non riesco più a raggiungere il server neppure in ssh (ovviamente
ho forwardato le porte ssh e vpn dal gateway).
Cosa sto sbagliando? :-(
Grazie!
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org
To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive:
http://lists.debian.org/aanlkti~l87x1ibdq1olgeyy-dx_wjeqcyzptqnk...@mail.gmail.com
Re: problemi openvpn dietro gw
>>> >>> I problemi sono due: >>> 1) non riesco a passare dati specifici ai client tramite i file >>> contenuti nella cartella specificata in "client-config-dir" nel file >>> di configurazione del server; il common name dovrebbe essere corretto, >>> ma sembra non passare il file di configurazione (la conseguenza è che >>> non riesco ad assegnare un ip fisso ai client) (può centrare >>> tun/tap?). che versione hai di openvpn, se pre 2.1 potrebbe bastare mettere nel file di configurazione persist-tun ( raissegna sempre gli stessi ip) >>> 2) dai client riesco a pingare l'interfaccia tap del server, e l'ip >>> privato della DMZ sempre del server, ma non riesco a pingare gli altri >>> IP in DMZ: ho provato sia con le bridge-utils sul server che con varie >>> route, sia su server che su client, ma non sono riuscito a risolvere. >>> Direttamente dal server VPN riesco a pingare sia i client che i pc in >>> DMZ. un bel route add ? o meglio push della route locale. se non hai messo che tutto traffico viaggia sulla openvpn ( cosa da non fare) al massimo se raggiungi il server. >>> Scusa mi sorge un dubbio non che IP privato del server e IP del tuo pc siano nella rete ? tipo 192.168.1.0/24 -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4ccd9fbd.4070...@gmail.com
Re: problemi openvpn dietro gw
mi hai vedere la tua configurazione? Il 31 ottobre 2010 16:36, xserver80 ha scritto: > Niente da fare: addirittura una volta configurato e riavviato, e > quindi avviato bridge.sh, non riesco a raggiungere il server vpn > dall'esterno in nessuna maniera (neppure in ssh, che ho opportunamente > forwardato sul router e che prima della configurazione di openvpn > funzionava correttamente). > Lo script bridge.sh aggiunge l'interfaccia br0 e la configura con tap0 > di openvpn ed eth0 fisica. > > Qualche altro consiglio? -_-" > > Grazie ancora! > > Federico > > > Il 29 ottobre 2010 12:23, emmanuel segura ha scritto: >> io ho fatto una cosa di questo genere >> >> http://www.cryptolife.org/index.php/Openvpn_roadwarrior_bridged_mode_howto >> >> Il 29 ottobre 2010 11:18, xserver80 ha scritto: >>> Buon giorno a tutta la lista. >>> >>> Scrivo per un problema probabilmente di "facile" soluzione e per il >>> quale mi meriterei forse un 4--, ma è da diverse settimane che ci sto >>> sbattendo la testa e non riesco a venirne a capo: >>> >>> si tratta della configurazione di una VPN con OpenVPN. >>> >>> Ho un server VPN all'interno di una DMZ, raggiungibile dall'esterno >>> per forwarding dal router principale. L'ho configurato e riesco ad >>> effettuare la connessione da client. >>> >>> I problemi sono due: >>> 1) non riesco a passare dati specifici ai client tramite i file >>> contenuti nella cartella specificata in "client-config-dir" nel file >>> di configurazione del server; il common name dovrebbe essere corretto, >>> ma sembra non passare il file di configurazione (la conseguenza è che >>> non riesco ad assegnare un ip fisso ai client) (può centrare >>> tun/tap?). >>> 2) dai client riesco a pingare l'interfaccia tap del server, e l'ip >>> privato della DMZ sempre del server, ma non riesco a pingare gli altri >>> IP in DMZ: ho provato sia con le bridge-utils sul server che con varie >>> route, sia su server che su client, ma non sono riuscito a risolvere. >>> Direttamente dal server VPN riesco a pingare sia i client che i pc in >>> DMZ. >>> >>> >>> A qualcun'altro è capitato un caso analogo? >>> >>> >>> Grazie mille a tutti, >>> Federico >>> >>> >>> -- >>> Per REVOCARE l'iscrizione alla lista, inviare un email a >>> debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per >>> problemi inviare un email in INGLESE a listmas...@lists.debian.org >>> >>> To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org >>> with a subject of "unsubscribe". Trouble? Contact >>> listmas...@lists.debian.org >>> Archive: >>> http://lists.debian.org/aanlktin7b6k1tx0slza+ajdvb2e80ugv0btwhcekj...@mail.gmail.com >>> >>> >> >> >> >> -- >> esta es mi vida e me la vivo hasta que dios quiera >> > -- esta es mi vida e me la vivo hasta que dios quiera -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktik8z2y6mvslswsjpr97xgdb9=xa5bbzockvt...@mail.gmail.com
Re: problemi openvpn dietro gw
Niente da fare: addirittura una volta configurato e riavviato, e quindi avviato bridge.sh, non riesco a raggiungere il server vpn dall'esterno in nessuna maniera (neppure in ssh, che ho opportunamente forwardato sul router e che prima della configurazione di openvpn funzionava correttamente). Lo script bridge.sh aggiunge l'interfaccia br0 e la configura con tap0 di openvpn ed eth0 fisica. Qualche altro consiglio? -_-" Grazie ancora! Federico Il 29 ottobre 2010 12:23, emmanuel segura ha scritto: > io ho fatto una cosa di questo genere > > http://www.cryptolife.org/index.php/Openvpn_roadwarrior_bridged_mode_howto > > Il 29 ottobre 2010 11:18, xserver80 ha scritto: >> Buon giorno a tutta la lista. >> >> Scrivo per un problema probabilmente di "facile" soluzione e per il >> quale mi meriterei forse un 4--, ma è da diverse settimane che ci sto >> sbattendo la testa e non riesco a venirne a capo: >> >> si tratta della configurazione di una VPN con OpenVPN. >> >> Ho un server VPN all'interno di una DMZ, raggiungibile dall'esterno >> per forwarding dal router principale. L'ho configurato e riesco ad >> effettuare la connessione da client. >> >> I problemi sono due: >> 1) non riesco a passare dati specifici ai client tramite i file >> contenuti nella cartella specificata in "client-config-dir" nel file >> di configurazione del server; il common name dovrebbe essere corretto, >> ma sembra non passare il file di configurazione (la conseguenza è che >> non riesco ad assegnare un ip fisso ai client) (può centrare >> tun/tap?). >> 2) dai client riesco a pingare l'interfaccia tap del server, e l'ip >> privato della DMZ sempre del server, ma non riesco a pingare gli altri >> IP in DMZ: ho provato sia con le bridge-utils sul server che con varie >> route, sia su server che su client, ma non sono riuscito a risolvere. >> Direttamente dal server VPN riesco a pingare sia i client che i pc in >> DMZ. >> >> >> A qualcun'altro è capitato un caso analogo? >> >> >> Grazie mille a tutti, >> Federico >> >> >> -- >> Per REVOCARE l'iscrizione alla lista, inviare un email a >> debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per >> problemi inviare un email in INGLESE a listmas...@lists.debian.org >> >> To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org >> with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org >> Archive: >> http://lists.debian.org/aanlktin7b6k1tx0slza+ajdvb2e80ugv0btwhcekj...@mail.gmail.com >> >> > > > > -- > esta es mi vida e me la vivo hasta que dios quiera > -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktika51plz6t0kz+nrvyydhw2d8eliecs5y85-...@mail.gmail.com
Re: problemi openvpn dietro gw
io ho fatto una cosa di questo genere http://www.cryptolife.org/index.php/Openvpn_roadwarrior_bridged_mode_howto Il 29 ottobre 2010 11:18, xserver80 ha scritto: > Buon giorno a tutta la lista. > > Scrivo per un problema probabilmente di "facile" soluzione e per il > quale mi meriterei forse un 4--, ma è da diverse settimane che ci sto > sbattendo la testa e non riesco a venirne a capo: > > si tratta della configurazione di una VPN con OpenVPN. > > Ho un server VPN all'interno di una DMZ, raggiungibile dall'esterno > per forwarding dal router principale. L'ho configurato e riesco ad > effettuare la connessione da client. > > I problemi sono due: > 1) non riesco a passare dati specifici ai client tramite i file > contenuti nella cartella specificata in "client-config-dir" nel file > di configurazione del server; il common name dovrebbe essere corretto, > ma sembra non passare il file di configurazione (la conseguenza è che > non riesco ad assegnare un ip fisso ai client) (può centrare > tun/tap?). > 2) dai client riesco a pingare l'interfaccia tap del server, e l'ip > privato della DMZ sempre del server, ma non riesco a pingare gli altri > IP in DMZ: ho provato sia con le bridge-utils sul server che con varie > route, sia su server che su client, ma non sono riuscito a risolvere. > Direttamente dal server VPN riesco a pingare sia i client che i pc in > DMZ. > > > A qualcun'altro è capitato un caso analogo? > > > Grazie mille a tutti, > Federico > > > -- > Per REVOCARE l'iscrizione alla lista, inviare un email a > debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per > problemi inviare un email in INGLESE a listmas...@lists.debian.org > > To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org > Archive: > http://lists.debian.org/aanlktin7b6k1tx0slza+ajdvb2e80ugv0btwhcekj...@mail.gmail.com > > -- esta es mi vida e me la vivo hasta que dios quiera -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktikcek171dl65ovjxkaj_ktejfddxsyjkhd-x...@mail.gmail.com
