Openvpn su openvpn
Ciao a tutti, ho un piccolo serverino che sfrutta una connessione vpn (fatta con openvpn) per avere un ip statico. Ora però vorrei immettere questo server in una vpn che ho già così da poter accedere ad alcuni servizi che non vorrei esporre. C'è un modo per far passare un'altra connessione openvpn su quella già esistente? È una cosa fattibile? -- Ciao leandro
Re: Openvpn su openvpn
Mandi! Leandro Noferini In chel di` si favelave... > C'è un modo per far passare un'altra connessione openvpn su quella già > esistente? È una cosa fattibile? Tecnicamente credo che si possa fare, alla fin fine è una interfaccia IP; che poi abbia senso e che prestazioni abia il tunnel nel tunnel, non so... -- Mentre Utopia andava via allegramente perche` vedeva il futuro presente Verita` le sussurrava a capo chino: ``stai confondendo desiderio e destino'' (I Nomadi)
openvpn
Ciao, è da un bel po' di tempo che non uso più openvpn, più precisamente dall 1.x, pertanto la sua conoscenza da parte mia è piuttosto arrugginita e sicuramente non adeguata all'attuale versione. Vorrei provare ad accedere al raspberry-pi con annessa telecamera da remoto, ma esclusivamente da vpn. E' possibile fare in modo che il server sia in ip dinamico? PEr i client ricordo che si poteva tranquillamente essere dei road warrior, ma per quanto mi stia sbattendo non mi riesce di configurare il server. Qualche link, o qualche file di configurazione funzionante a riguardo? Paride -- http://keyserver.linux.it/pks/lookup?op=get&search=0xCC6CA35C690431D3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/9bded6b7fdb20eaa36398ac4e282a...@autistici.org
openvpn
Sapete se è possibile avviare openvpn da utente senza i privilegi di root? Dalla mia Debian ho usato openvpn (con sudo) ed ho osservato che rimane attivo un processo che tenta periodicamente di collegarsi? Ho letto che openvpn lavora in user space, ma ho provato ad avviarlo da utente normale e non riuscivo a collegarmi. Ciao Stefano
client openvpn
Qualcuno conosce un client grafico per OpenVPN per Linux? Teoricamente NetworkManager dovrebbe averlo...ma non si trova. -- Davide Coriodavide.corioredomino.com Redomino S.r.l. Largo Valgioie 14 - 10146 Torino - Italy Tel: +39 011 7499875 - Fax: +39 011 19791122http://www.redomino.com/ -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Prestazioni OpenVPN
Ciao a tutti, vorrei metter su una vpn in modo da poter collegare un pc con un router adsl con un portatile con connessione gprs. (sul fisso c'è debian e sul portatile dovrò utilizzare debian e windows). Vorrei sapere se i 56 k/bit della connessione gprs sono sufficienti per utilizzare la vpn (i servizi fondamentali che utilizzero sul server saranno ssh, samba -con trasferimento di piccoli files- , stampante di rete samba) OpenVpn, oltre a cifrare i dati, utilizza anche una compressione? Ciao Alessio -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Shorewall + OpenVpn
Salve, ho la necessita' di collegare due sedi remote con una vpn, la mia esigenza e' quella di far vedere sia i pc che le stampanti delle due sedi come se fossero una rete locale. Ecco come ho configurato il tutto RETE LOCALE A : indirizzi ip utilizzati dal 192.168.10.2 al 192.168.10.99 | | | | eth0: 192.168.10.1 FIREWALL A : ( distribuzione debian ; openvpn ver. 2.0.beta15 ; shorewall ver 2.0.11 ) eth1 : xxx.xxx.xxx.xxx ( indirizzo ip pubblico ) | | |( linea adsl con ip statici ) | INTERNET | | | eth1 : yyy.yyy.yyy.yyy ( indirizzo ip pubblico ) FIREWALL B : ( distribuzione debian ; openvpn ver. 2.0.beta15 ; shorewall ver 2.0.11 ) eth0 : 192.168.10.201 | | | | RETE LOCALE B : indirizzi ip utilizzati dal 192.168.10.202 al 192.168.10.244 Sul firewall A ho attivato openvpn in modalita' bridge ethernet tunnel, sul firewall B lancio la connessione VPN al firewall A. Le due reti locali si vedono ed i vari computer Windows posso sia scambiarsi i file che stampare sulle stampanti condivise delle due sedi. Ho quindi abilitato il firewall ( utilizzando shorewall ) partendo dallo script di esempio fornito dal loro sito, ho quindi configurato shorewall per permettere i collegamenti della vpn seguendo l'howto presente a questo link : http://shorewall.net/OPENVPN.html a questo la vpn non funziona piu' ad esempio quando una macchina della rete locale B tenta di accedere ad un dns server presente su internet nei file di log di shorewall ho : Dec 1 15:38:57 dnsprova kernel: Shorewall:all2all:REJECT:IN=br0 OUT=eth1 PHYSIN=eth0 SRC=192.168.10.221 DST=62.123.105.181 LEN=50 TOS=0x00 PREC=0x00 TTL=127 ID=1176 PROTO=UDP SPT=1045 DPT=53 LEN=30 E' ovvio che il firewall vede i pacchetti che arrivano dalla rete locale ( tramite la vpn e quindi br0 ) come se fossero inviati dall'esterno e quindi li scarta, sembra che non veda le modifiche fatte per accettare i dati della vpn. Secondo voi e' possibile una configurazione di questo tipo' o devo rivedere l'intera struttura ? Tenete presente che le macchine nella rete locale devono anche navigare in Internet. Mille grazie da Obe. ecco come ho configurato shorewall sul FIREWALL B : /etc/shorewall/interfaces : net eth1detect tcpflags,dhcp,routefilter,norfc1918 loc eth0detect tcpflags vpn br0 /etc/shorewall/zone : net Net Internet loc Local Local Networks vpn Vpn prova vpn obe /etc/shorewall/masq : eth1192.168.10.0/24 /etc/shorewall/policy : loc net ACCEPT # If you want open access to the Internet from your Firewall # remove the comment from the following line. fw net ACCEPT net all DROPinfo # THE FOLLOWING POLICY MUST BE LAST all all REJECT info # per openvpn oberdan vpn all ACCEPT all vpn ACCEPT /etc/shorewall/tunnels openvpn net xxx.xxx.xxx.xxx SCRIPT per lanciare la vpn sul FIREWALL A : #!/bin/sh /usr/local/sbin/openvpn --mktun --dev tap0 /usr/sbin/brctl addbr br0 /usr/sbin/brctl addif br0 tap0 /usr/sbin/brctl addif br0 eth0 /sbin/ifconfig tap0 0.0.0.0 promisc up /sbin/ifconfig eth0 0.0.0.0 promisc up /sbin/ifconfig br0 192.168.10.1 netmask 255.255.255.0 broadcast 192.168.0.255 /usr/local/sbin/openvpn --tun-mtu 1500 --tun-mtu-extra 64 --dev tap0 --secret /etc/openvpn/static.key --ping 40 --float --comp-lzo --daemon _ SCRIPT per lanciare la vpn sul FIREWALL B : #!/bin/sh /usr/local/sbin/openvpn --mktun --dev tap0 /usr/sbin/brctl addbr br0 /usr/sbin/brctl addif br0 tap0 /usr/sbin/brctl addif br0 eth0 /sbin/ifconfig tap0 0.0.0.0 promisc up /sbin/ifconfig eth0 0.0.0.0 promisc up /sbin/ifconfig br0 192.168.10.201 netmask 255.255.255.0 broadcast 192.168.0.255 /usr/local/sbin/openvpn --tun-mtu 1500 --tun-mtu-extra 64 --dev tap0 --ping 40 --float --comp-lzo --secret /etc/openvpn/static.key --remote xxx.xxx.xxx.xxx --daemon _
Openvpn clients
Saluti a tutta la ml Ho openvpn 1.6 installato su woody.Ho configuarto il tutto per poter collegare roadwarriors winz con la macchina linux e tutto funziona bene.Il problema è che mi sono accorto che non è possibile collegare più di 1 client per volta.Ho googlato un po ed ho cercato sul sito openvpn ma non sono riuscito a trovare la soluzione.Qualcuno ha avuto lo stesso problema? grazie
Problema openvpn
Ciao, ho configurato una macchina per fare da server openvpn e certificati RSA e due client. Funziona (anche se devo vedere come dare un IP statico...), pero' quando avevo un client solo e chiave statica, c'era una riga nel file config: up script.sh che eseguiva alcuni comandi per abilitare ipv6 su quel canale vpn e mi portava una subnet ipv6 a casa. Ora pero' il file di config e' univoco per tutti i client mentre, diciamo, il client con ipv6 e' uno solo per cui lo script deve essere eseguito solo per quel client. Come fare ? -- Bye Enrico - Windows gives you just a little piece of the horizon. Use Linux. La cera di costoro e chi la duce non sta d'un modo; e pero sotto 'l segno ideale poi piu e men traluce. -- Paradiso, Canto XIII, vv.67-69 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: openvpn
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Il 15/09/2013 19:00, Paride Desimone ha scritto: > Ciao, è da un bel po' di tempo che non uso più openvpn, più > precisamente dall 1.x, pertanto la sua conoscenza da parte mia è > piuttosto arrugginita e sicuramente non adeguata all'attuale > versione. Vorrei provare ad accedere al raspberry-pi con annessa > telecamera da remoto, ma esclusivamente da vpn. E' possibile fare > in modo che il server sia in ip dinamico? PEr i client ricordo che > si poteva tranquillamente essere dei road warrior, ma per quanto mi > stia sbattendo non mi riesce di configurare il server. Qualche > link, o qualche file di configurazione funzionante a riguardo? > > Paride Premetto che io uso openvpn su raspberry con ip fisso, ma non penso ci siano problemi ad usarlo tramite ip dinamico con dyndns... Ciao!! - -- "La teoria è quando si sa tutto ma non funziona niente. La pratica è quando funziona tutto ma non si sa il perché. In ogni caso si finisce sempre con il coniugare la teoria con la pratica: non funziona niente e non si sa il perché". A.Einstein |_|0|_| |_|_|0| |0|0|0| Scopel Emanuele. Server Chiavi: http://pgp.mit.edu Linux Registered User: #425729. gtalk scopel.emanu...@gmail.com sito web: http://www.silvergeko.it fax 0150992390 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/ iQEcBAEBAgAGBQJSNhSbAAoJEH0KVlfLuj2d9o4IAJwneZBCiGgIUWVwQoMx14F3 RF+8WXvrFTIjeIEC3gMQEp20vyxEXIuhR89fBCOCZclcHqVN9R8I/7gSY1SZCwLe gVYO+T7vfn5DVjTHoetvD3jMrERLZEGhBymRHMv4CMoG9DujKipCGSCF9Fmkq31A 1vmBQ5RVcyIy8JqK+EleXsSNpZ7DkoXYzA6fFUulae/W76TrjeIw+EykjzUc92MP Q7hHJYBDtT5cv4GZY2ZUmbcaVLili5EXjNKQv9ngv0EDt3JSftw8FnAizfpmQ4Xr gkKBo6Bw0c4WsFfBVx4hkJjvqZVqu419mv6tQ0iLzO7HiCZLKBpzXAUJUJAysNA= =KWop -END PGP SIGNATURE- -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5236149b.2010...@silvergeko.it
Re: openvpn
Il 15/09/2013 20:12 Emanuele Scopel ha scritto: Premetto che io uso openvpn su raspberry con ip fisso, ma non penso ci siano problemi ad usarlo tramite ip dinamico con dyndns... Da quel che ricordo, il server doveva avere necessariamente un ip fisso nella sua configurazione. Mi faresti vedere il tuo file di configurazione del server, ovviamente epurato dagli ip reali? Paride -- http://keyserver.linux.it/pks/lookup?op=get&search=0xCC6CA35C690431D3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/90420d6e82b5e15a952cd21c3ac6f...@autistici.org
Re: openvpn
Paride Desimone writes: >> Premetto che io uso openvpn su raspberry con ip fisso, ma non penso ci >> siano problemi ad usarlo tramite ip dinamico con dyndns... > > Da quel che ricordo, il server doveva avere necessariamente un ip > fisso nella sua configurazione. No, se non ci metti nessun ip openvpn ascolta su tutti quelli del computer. > Mi faresti vedere il tuo file di configurazione del server, ovviamente > epurato dagli ip reali? Io non ho nessun ip (riga commentata) sul file di configurazione del server. -- Ciao leandro http://6xukrlqedfabdjrb.onion/blog/ gpg fingerprint: 54A4 2612 FD50 0313 7FED 6A91 DA5C 1552 E7A4 D6C2 "Noi di Es Toch narriamo un breve mito: all'inizio il Creatore disse un'immensa bugia. Perché non c'era proprio nulla, ma il Creatore parlò dicendo: Esiste. Ed ecco, affinché la menzogna di Dio potesse essere la verità di Dio, l'universo cominciò subito a esistere..." pgpT3AUtXk52P.pgp Description: PGP signature
Re: openvpn
Ciao puoi usare un ip dinamico con dyndns senza problemi > Qualche link, o qualche file di configurazione funzionante a riguardo? devo cercare... appena ho tempo vedo di mandarti qualcosa :-) Pol -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201309160938.40510.debitv...@fuckaround.org
Re: openvpn
> port 5000 > proto udp > dev tun [...] aggiungi anche: tls-auth ta.key 1 Pol -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201309161824.42033.debitv...@fuckaround.org
Re: openvpn
Il 16/09/2013 16:02 Emanuele Scopel ha scritto: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Il 15/09/2013 23:46, Paride Desimone ha scritto: Il 15/09/2013 20:12 Emanuele Scopel ha scritto: Premetto che io uso openvpn su raspberry con ip fisso, ma non penso ci siano problemi ad usarlo tramite ip dinamico con dyndns... Da quel che ricordo, il server doveva avere necessariamente un ip fisso nella sua configurazione. Mi faresti vedere il tuo file di configurazione del server, ovviamente epurato dagli ip reali? port 5000 proto udp dev tun ca ca.crt cert raspberrypi.crt key raspberrypi.key dh dh1024.pem server 10.0.2.0 255.255.255.0 ifconfig-pool-persist ipp.txt keepalive 10 120 comp-lzo user nobody group users persist-key persist-tun status openvpn-status.log verb 3 client-to-client management 127.0.0.1 ;script-security 2 ;client-connect ./client-connect.sh ;client-disconnect ./client-disconnect.sh Uhm, allora era nella configurazione del roadwarrior che si metteva l'indicazione dell'ip. Si metteva per esempio remote 80.180.170.111 Come lo gestisco con un ip dinamico? Rammento che era necessariamente un ip e non poteva essere un fqdn. Ricordo bene, male, od è cambiato qualche cosa nel frattempo? Paride -- http://keyserver.linux.it/pks/lookup?op=get&search=0xCC6CA35C690431D3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/b92c04ff5f03278719fbaad4c6225...@autistici.org
Re: openvpn
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Il 15/09/2013 23:46, Paride Desimone ha scritto: > Il 15/09/2013 20:12 Emanuele Scopel ha scritto: > >> Premetto che io uso openvpn su raspberry con ip fisso, ma non >> penso ci siano problemi ad usarlo tramite ip dinamico con >> dyndns... > > Da quel che ricordo, il server doveva avere necessariamente un ip > fisso nella sua configurazione. Mi faresti vedere il tuo file di > configurazione del server, ovviamente epurato dagli ip reali? port 5000 proto udp dev tun ca ca.crt cert raspberrypi.crt key raspberrypi.key dh dh1024.pem server 10.0.2.0 255.255.255.0 ifconfig-pool-persist ipp.txt keepalive 10 120 comp-lzo user nobody group users persist-key persist-tun status openvpn-status.log verb 3 client-to-client management 127.0.0.1 ;script-security 2 ;client-connect ./client-connect.sh ;client-disconnect ./client-disconnect.sh > Paride - -- "La teoria è quando si sa tutto ma non funziona niente. La pratica è quando funziona tutto ma non si sa il perché. In ogni caso si finisce sempre con il coniugare la teoria con la pratica: non funziona niente e non si sa il perché". A.Einstein |_|0|_| |_|_|0| |0|0|0| Scopel Emanuele. Server Chiavi: http://pgp.mit.edu Linux Registered User: #425729. gtalk scopel.emanu...@gmail.com sito web: http://www.silvergeko.it fax 0150992390 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/ iQEcBAEBAgAGBQJSNyumAAoJEH0KVlfLuj2dRYsH/i58lwIAOVwhK8d4C0bfGE7q Sc9t0jrRHWOto5gFur5DcEg2ZJA2UR63n5fstMROhPCNMI/dia4z4/JNVFGRSIpm 8GPlaQugnReA542sXnIUDlcrbUlOWYFzQzZEtutCEs8Jyf+I2hQ/koih2Wf3TbIP 7LTrEGZ83v0lJqIzENPvaBq2FnIyd1BZNSidbKi0oMJ9WnfKOOuYs3MzGZXopcpG kWm1rJ5DE9zV3rjLwRSXvYAglxGBOaZHtaS0ySMQm5dU3BsvHVGKvfo53LOUltSF dnlgFPMoD5JZ4owkTJqn8E3VsytzXXGW8K6FmenjsMebRv1mygLkkVbTXBM2cWs= =x+I4 -END PGP SIGNATURE- -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52372ba6.8010...@silvergeko.it
Re: openvpn
Paride Desimone writes: [...] > Uhm, allora era nella configurazione del roadwarrior che si metteva > l'indicazione dell'ip. > > Si metteva per esempio > > remote 80.180.170.111 > > Come lo gestisco con un ip dinamico? Rammento che era necessariamente > un ip e non poteva essere un fqdn. Ricordo bene, male, od è cambiato > qualche cosa nel frattempo? Devi avere un dns dinamico così da rendere rintracciabile il tuo server. -- Ciao leandro http://6xukrlqedfabdjrb.onion/blog/ gpg fingerprint: 54A4 2612 FD50 0313 7FED 6A91 DA5C 1552 E7A4 D6C2 "Noi di Es Toch narriamo un breve mito: all'inizio il Creatore disse un'immensa bugia. Perché non c'era proprio nulla, ma il Creatore parlò dicendo: Esiste. Ed ecco, affinché la menzogna di Dio potesse essere la verità di Dio, l'universo cominciò subito a esistere..." pgpFitjNHFnTd.pgp Description: PGP signature
Re: openvpn
Il 16/09/2013 21:19, Paride Desimone ha scritto: > Il 16/09/2013 16:02 Emanuele Scopel ha scritto: >> -BEGIN PGP SIGNED MESSAGE- >> Hash: SHA1 >> >> Il 15/09/2013 23:46, Paride Desimone ha scritto: >>> Il 15/09/2013 20:12 Emanuele Scopel ha scritto: >>> >>>> Premetto che io uso openvpn su raspberry con ip fisso, ma non >>>> penso ci siano problemi ad usarlo tramite ip dinamico con >>>> dyndns... >>> >>> Da quel che ricordo, il server doveva avere necessariamente un ip >>> fisso nella sua configurazione. Mi faresti vedere il tuo file di >>> configurazione del server, ovviamente epurato dagli ip reali? >> >> port 5000 >> proto udp >> dev tun >> ca ca.crt >> cert raspberrypi.crt >> key raspberrypi.key >> dh dh1024.pem >> server 10.0.2.0 255.255.255.0 >> ifconfig-pool-persist ipp.txt >> keepalive 10 120 >> comp-lzo >> user nobody >> group users >> persist-key >> persist-tun >> status openvpn-status.log >> verb 3 >> client-to-client >> management 127.0.0.1 >> ;script-security 2 >> ;client-connect ./client-connect.sh >> ;client-disconnect ./client-disconnect.sh > > Uhm, allora era nella configurazione del roadwarrior che si metteva > l'indicazione dell'ip. > > Si metteva per esempio > > remote 80.180.170.111 > > Come lo gestisco con un ip dinamico? Rammento che era necessariamente un > ip e non poteva essere un fqdn. Ricordo bene, male, od è cambiato > qualche cosa nel frattempo? Questo il mio client (per un collegamento punto-punto): dev tun remote mioserver.no-ip.biz 443 proto tcp-client ifconfig 10.0.1.1 10.0.1.2 tls-client ca /etc/openvpn/ca.crt cert /etc/openvpn/mygeeto.crt key /etc/openvpn/mygeeto.key verb 3 log /etc/openvpn/openvpn.log Il router dietro cui si trova il server è un Technicolor (Fastweb) e gestisce out of the box gli indirizzi di dyndns. -- Hofstadter's Law: "It always takes longer than you expect, even when you take into account Hofstadter's Law." -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/523808ee.9060...@gmail.com
Re: openvpn
Il 17/09/2013 07:46 onetmt ha scritto: Il 16/09/2013 21:19, Paride Desimone ha scritto: Il 16/09/2013 16:02 Emanuele Scopel ha scritto: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Il 15/09/2013 23:46, Paride Desimone ha scritto: Il 15/09/2013 20:12 Emanuele Scopel ha scritto: Premetto che io uso openvpn su raspberry con ip fisso, ma non penso ci siano problemi ad usarlo tramite ip dinamico con dyndns... Da quel che ricordo, il server doveva avere necessariamente un ip fisso nella sua configurazione. Mi faresti vedere il tuo file di configurazione del server, ovviamente epurato dagli ip reali? port 5000 proto udp dev tun ca ca.crt cert raspberrypi.crt key raspberrypi.key dh dh1024.pem server 10.0.2.0 255.255.255.0 ifconfig-pool-persist ipp.txt keepalive 10 120 comp-lzo user nobody group users persist-key persist-tun status openvpn-status.log verb 3 client-to-client management 127.0.0.1 ;script-security 2 ;client-connect ./client-connect.sh ;client-disconnect ./client-disconnect.sh Uhm, allora era nella configurazione del roadwarrior che si metteva l'indicazione dell'ip. Si metteva per esempio remote 80.180.170.111 Come lo gestisco con un ip dinamico? Rammento che era necessariamente un ip e non poteva essere un fqdn. Ricordo bene, male, od è cambiato qualche cosa nel frattempo? Questo il mio client (per un collegamento punto-punto): dev tun remote mioserver.no-ip.biz 443 proto tcp-client ifconfig 10.0.1.1 10.0.1.2 tls-client ca /etc/openvpn/ca.crt cert /etc/openvpn/mygeeto.crt key /etc/openvpn/mygeeto.key verb 3 log /etc/openvpn/openvpn.log Il router dietro cui si trova il server è un Technicolor (Fastweb) e gestisce out of the box gli indirizzi di dyndns. Ok, vi ringrazio tutti. Con il dns dinamico è tutto decisamente più semplice. Adesso vediamo il mio aga modificato dove mi fa mettere il port forwarding :-) Vi terrò ad ogni modo aggiornati. Paride -- http://keyserver.linux.it/pks/lookup?op=get&search=0xCC6CA35C690431D3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/85d49951b96e44419f4c1aa747efa...@autistici.org
Re: openvpn
Il 15/09/2013 19:00 Paride Desimone ha scritto: Qualche link, o qualche file di configurazione funzionante a riguardo? Pefetto, grazie a tutti della disponibilità. Va una bomba, ad orologeria... Debbo studiare meglio il dns dinamico che utilizzo (dtdns.net), perché a volte mi reindirizza correttamente verso il server a volte invece le richiste scadono (provato con ssh). Potrebbe essere anche una incompatibilità tra firmware e dtdns... Paride -- http://keyserver.linux.it/pks/lookup?op=get&search=0xCC6CA35C690431D3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/60069669ea946472ebecd4af6df6e...@autistici.org
Re: openvpn
Il giorno 20/set/2013, alle ore 07:47, Paride Desimone ha scritto: > Pefetto, grazie a tutti della disponibilità. Va una bomba, ad orologeria... > Debbo studiare meglio il dns dinamico che utilizzo (dtdns.net), perché a > volte mi reindirizza correttamente verso il server a volte invece le richiste > scadono (provato con ssh). Potrebbe essere anche una incompatibilità tra > firmware e dtdns... potrebbe essere anche il tempo naturale dei refresh dei dns nel momento in cui si deve propagare il cambio di ip del tuo router. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5f352f49-ac23-44fb-baca-786cf61fa...@nonsolocomputer.com
Re: openvpn
Il 20/09/2013 09:41 mauro ha scritto: potrebbe essere anche il tempo naturale dei refresh dei dns nel momento in cui si deve propagare il cambio di ip del tuo router. Lo escluderei, perché me lo fa a volte, anche cinque minuti dopo il termine di una precedente sessione. Infostrada, con cui sono abbonato, se non spegni il router, l'ip, lo cambia molto raramente. Ad ogni modo su questa tempistica potrò dirtelo con assoluta precisione perché glielo chiedo lunedì. Paride -- http://keyserver.linux.it/pks/lookup?op=get&search=0xCC6CA35C690431D3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/bc8452d11cdb47f64b4350fc85d1e...@autistici.org
Client Openvpn
Ciao a tutti uso openvpn da riga di comando da tempo in questo modo: cd /dovestannoicertificati/ openvpn client.ovpn username e password messi da me interattivamente a tastiera. quello che a me servirebbe è: 1) client che mi mantenga le password e i nomi utenti salvati 2) client che con un click mi connetta, eventualmente automaticamente 3) mi basterebbe capire se riesco a passare user e passwd a openvpn da script al che non mi interessa null'altro :-) ho guardato un po kvpnc ma sempre e dico sempre quando provo ad andare a connettermi al server (non sempre lo stesso) openvpn mi da: TLS key negotiation failed to occur within 60 seconds sembra che non arrivi manco a inviare le password in quanto se io ci metto qualcosa a caso lui comunque mi da lo stesso errore non ho trovato log che mi potessero aiutare nella risoluzione del problema. Voi avete idee? ovviamente con la procedura che ho scritto all'inizio va tutto divinamente -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Configurazione OpenVPN
Ciao a tutti, vorrei una soluzione ad un problema. Adesso vi spiego un po' la situazione: Ho una rete lan con 192.168.1.0/24 (con default gateway 192.168.1.3 e proxy web 192.168.1.21) Su una debian in questa rete ho messo Openvpn (che è poi la stessa macchina che funziona da proxy) La configurazione del server è la seguente: local 192.168.1.21 port 5000 proto udp dev tap ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt key /etc/openvpn/keys/server.key # This file should be kept secret dh /etc/openvpn/keys/dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig 10.8.0.1 255.255.255.0 ifconfig-pool-persist ipp.txt push "route-gateway 10.8.0.1" push "dhcp-option DNS 192.168.1.27" push "route 192.168.0.0 255.255.0.0" client-to-client keepalive 10 120 comp-lzo persist-key persist-tun status openvpn-status.log log /var/log/openvpn.log verb 9 mute 10 Mentre il client è così: client dev tap proto udp remote 213.225.215.152 5000 resolv-retry infinite nobind persist-key persist-tun ca "C:\\Programmi\\OpenVPN\\config\\ca.crt" cert "C:\\Programmi\\OpenVPN\\config\\aartini.crt" key "C:\\Programmi\\OpenVPN\\config\\aartini.key" ns-cert-type server comp-lzo verb 3 mute 10 Il mio problema è il seguente: Da casa ho una rete lan della classe 192.168.1.0/24 (con default gateway 192.168.1.1) Se effettuo la connessione VPN il collegamento avviene, ma poi ho dei problemi a raggiungere l'altra rete (non riesco neppure a pingare) in quanto entrambe le LAN hanno lo stessa classe di indirizzi. Come fare in questi casi? Grazie a tutti per le dritte. Alessio
OpenVpn Drop
Da qualche giorno i client che stabiliscono una connessione con VPN non riescono a collegarsi al server Samba. Ho guardato i log e ho trovato la seguente dicitura: "MULTI: bad source address from client [10.0.2.15], packet dropped" La macchina su cui gira OpenVpn è anche quella su cui gira il server Samba. La cosa strana è che ha incominciato senza motivo da un giorno ad un altro. Qualcuno sa darmi qualche info su come risolvere il problema Grazie a tutti in anticipo Emanuele
Re: openvpn
Ciao Stefano, > Sapete se è possibile avviare openvpn da utente senza i privilegi di root? openvpn deve poter modificare il routing della macchina per instradare il traffico (o parte di esso) verso la VPN, questa è una operazione privilegiata. Ciao E.
Re: openvpn
Ciao, Il Mar, 7 Giugno 2022 12:05 pm, Stefano Simonucci ha scritto: > openvpn lavora in user space, ma ho provato ad avviarlo da utente > normale e non riuscivo a collegarmi. Non confondere la suddivisione "kernel space" / "user space" con la suddivisione "utente privilegiato", "utente con permessi", "utente generico"! Ĝis, m
openvpn e carpaltunnel
hi *, qualcuno ha provato i due pacchetti? in particolare su sid carpaltunnel non trova i file di configurazione openvpn in /etc: robinhood:~# carpaltunnel /usr/bin/carpaltunnel: changing into base dir: [Errno 2] No such file or directory: '/etc/openvpn' non so se aprire un bug per openvpn sul bts o sono io a sbagliare qualcosa. Filippo Carone __ Tiscali ADSL. Scopri la fantastica promozione di Natale: tutto Gratis fino al 9 gennaio! Abbonati ora: prima ti abboni, più risparmi! http://point.tiscali.it/adsl/index.shtml
Re: client openvpn
Il giorno mer, 28/03/2007 alle 11.19 +0200, Davide Corio ha scritto: > Qualcuno conosce un client grafico per OpenVPN per Linux? > Teoricamente NetworkManager dovrebbe averlo...ma non si trova. rettifico...si trova -- Davide Coriodavide.corioredomino.com Redomino S.r.l. Largo Valgioie 14 - 10146 Torino - Italy Tel: +39 011 7499875 - Fax: +39 011 19791122http://www.redomino.com/ -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: client openvpn
Il giorno mer, 28/03/2007 alle 11.19 +0200, Davide Corio ha scritto: > Qualcuno conosce un client grafico per OpenVPN per Linux? > Teoricamente NetworkManager dovrebbe averlo...ma non si trova. Se hai network manager installato (ultima versione in debian unstable) e fai click col sinistro appare "Connessioni VPN". -- Federico Di Gregorio http://people.initd.org/fog Debian GNU/Linux Developer[EMAIL PROTECTED] INIT.D Developer [EMAIL PROTECTED] The number of the beast: vi vi vi. -- Delexa Jones signature.asc Description: Questa è una parte del messaggio firmata digitalmente
Re: client openvpn
Il giorno mer, 28/03/2007 alle 12.17 +0200, Federico Di Gregorio ha scritto: > Il giorno mer, 28/03/2007 alle 11.19 +0200, Davide Corio ha scritto: > > Qualcuno conosce un client grafico per OpenVPN per Linux? > > Teoricamente NetworkManager dovrebbe averlo...ma non si trova. > > Se hai network manager installato (ultima versione in debian unstable) e > fai click col sinistro appare "Connessioni VPN". Si si, il problema è che mi faceva creare solo vpn pptp (che sotto linux funzionano una volta su 200 per problemi noti da anni). Ho visto cmq che c'è il pacchetto apposta per openvpn -- Davide Coriodavide.corioredomino.com Redomino S.r.l. Largo Valgioie 14 - 10146 Torino - Italy Tel: +39 011 7499875 - Fax: +39 011 19791122http://www.redomino.com/ -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
openvpn e routing
ciao a tutti, l idea è questa: N client 1 server openvpn su 10.0.1.1 client su 10.0.1.X la vpn con openvpn, client e server debian testing o unstable avrei bisogno di routare tutti i pacchetti dei client sull macchina server, che è un serverino messo li apposta in praticamente apposta. in modo tale da avere una privacy sulle connessioni un pò stabile, visto che giro molto. la vpn viene su pingo il server e il server pinga me. tun0 è up. ora come faccio a far routare tutti i pacchetti su tun0 quando la vpn è su e farli routare sulla mia rete d'accesso quando la vpn è giu? ho provato con quagga ma sinceramente non ci ho capito molto. ho abilitato il protocollo ripd sia sul client che sul server e messo in ripd.conf router rip network $inter_accessorete network tap0 e ora come faccio a capire come routa? che soluzioni avete trovato voi? Fabio -- Nigi Fabio mail:echo "kfdfc^_fl=dju+fq" | perl -pe 's/(.)/chr(ord($1)+3)/ge' www.nigifabio.com || www.debianhardstyle.net || -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
[semi OT] OpenVpn
Ciao a tutti, il mio problema con OpenVpn che non riesco a capire, è che posso avere un singolo accesso per volta alla vpn, se mi connetto da un altro client mi sconnette quello che è attualmente connesso. i miei file di configurazione sono: **Server*** secret /etc/openvpn/file.key lport 5000 ping 10 verb 3 mute 10 dev tap ifconfig 10.23.24.1 255.255.255.0 log-append /var/log/openvpn.log **Client** remote mioserver.com*** rport 5000 secret /etc/openvpn/file.key ping 10 verb 1 mute 10 dev tap ifconfig 10.23.24.2 255.255.255.0 log-append /var/log/openvpn.log *** Grazie Matrxdan -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
[semi OT] OpenVpn
Ciao a tutti, il mio problema con OpenVpn che non riesco a capire, è che posso avere un singolo accesso per volta alla vpn, se mi connetto da un altro client mi sconnette quello che è attualmente connesso. i miei file di configurazione sono: **Server*** secret /etc/openvpn/file.key lport 5000 ping 10 verb 3 mute 10 dev tap ifconfig 10.23.24.1 255.255.255.0 log-append /var/log/openvpn.log **Client 1** remote mioserver.com*** rport 5000 secret /etc/openvpn/file.key ping 10 verb 1 mute 10 dev tap ifconfig 10.23.24.2 255.255.255.0 log-append /var/log/openvpn.log *** **Client 2** remote mioserver.com*** rport 5000 secret /etc/openvpn/file.key ping 10 verb 1 mute 10 dev tap ifconfig 10.23.24.3 255.255.255.0 log-append /var/log/openvpn.log *** Grazie Matrxdan
[semi OT] OpenVpn
Ciao a tutti, il mio problema con OpenVpn che non riesco a capire, è che posso avere un singolo accesso per volta alla vpn, se mi connetto da un altro client mi sconnette quello che è attualmente connesso. i miei file di configurazione sono: **Server*** secret /etc/openvpn/file.key lport 5000 ping 10 verb 3 mute 10 dev tap ifconfig 10.23.24.1 255.255.255.0 log-append /var/log/openvpn.log **Client 1** remote mioserver.com*** rport 5000 secret /etc/openvpn/file.key ping 10 verb 1 mute 10 dev tap ifconfig 10.23.24.2 255.255.255.0 log-append /var/log/openvpn.log *** **Client 2** remote mioserver.com*** rport 5000 secret /etc/openvpn/file.key ping 10 verb 1 mute 10 dev tap ifconfig 10.23.24.3 255.255.255.0 log-append /var/log/openvpn.log *** Grazie Matrxdan
OpenVPN qualche problemino
Ciao ho seguito + o - howto del sito http://openvpn.net/howto.html configurando la mia linuxbox come server VPN sulla 443. Da un client remoto riesco a connettermi, ma non vedo la rete remota, e non riesco neppure a pingare il server VPN. suggerimenti? la configurazione del server è : dev tun ca /usr/share/openvpn/easy-rsa/2.0/keys/ca.crt cert /usr/share/openvpn/easy-rsa/2.0/keys/server.crt key /usr/share/openvpn/easy-rsa/2.0/keys/server.key dh /usr/share/openvpn/easy-rsa/2.0/keys/dh1024.pem verb 3 mute 10 proto tcp-server lport 443 server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt comp-lzo keepalive 10 60 ping-timer-rem persist-tun persist-key status openvpn-status.log ___ L'email della prossima generazione? Puoi averla con la nuova Yahoo! Mail: http://it.docs.yahoo.com/nowyoucan.html -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
openvpn salvataggio password
Salve, mi trovo ad utilizzare openvpn. Ad ogni avvio del servizio mi richiede l'account e la password per connettersi sulla wlan. mi chiedevo se esiste un modo per salvarle in qualche file di configurazione. byex :wq _ Blocca le pop-up pubblicitarie con MSN Toolbar! http://toolbar.msn.it/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Prestazioni OpenVPN
On 12/27/05, Alessio Caddeo <[EMAIL PROTECTED]> wrote: OpenVpn, oltre a cifrare i dati, utilizza anche una compressione? se glielo chiedi, si! ;-) ciao fabrizio
avvio di openvpn
Accipicchia, come si fa a dire ad openvpn di non avviare al boot non tutte le vpn configurate ma solo alcune? temo che non sia possibile a gaurdare lo script di init, ma prima di aprire una feature request al pacchetto vorrei essere sicuro. -- Non c'è più forza nella normalità, c'è solo monotonia.
Re: Openvpn clients
On Wed, 13 Apr 2005 12:55:41 +0200 [EMAIL PROTECTED] wrote: > più di 1 client per volta.Ho googlato un po ed ho cercato sul sito > openvpn ma non sono riuscito a trovare la soluzione. e' spiegato sulla documentazione di openvpn. In 1.x per n tunnel devi avere n .conf che ascoltino su n porte. Ad ogni modo per diverse ragioni (nuove feature, interoperabilita' con XP SP2, unico file di configurazione ecc..ecc...) ti consiglierei di utilizzare openvpn2.x utilizzzando X509 PKI. http://openvpn.net/howto.html#pki Per ogni dubbio leggi attentamente la documentazione del progetto che e' fatta _veramente_ molto bene. ciao, a. -- Io sono un tipo all'antica. Non credo alle relazioni extraconiugali. Credo che ci si dovrebbe accoppiare a vita, come i piccioni e i cattolici. -- Woody Allen
Re: Openvpn clients
On Wed, 13 Apr 2005 16:48:29 +0200 [EMAIL PROTECTED] wrote: > Sarà la stanchezza ma non riesco a trovare la doc sulla configurazione > di piu file .conf nella versione 1.x.mi puoi dare il link? fai come ti dicevo prima. per ogni tunnel devi avere un diverso file di conf che ascolti su una diversa porta. In pratica non fai altro che copiare il tuo file di conf che funziona per client1, rinominarlo e cambiargli porta. Poi dovrai tirare su ogni tunnel a mano oppure farti uno script in /etc/init.d che faccia il lavoro per te. Trovi un esempio qui: http://openvpn.net/1xhowto.html e' per red hat ma ci metti poco a modificarlo... ciao, a. -- Il superfluo, cosa quanto mai necessaria. -- Voltaire
Re: Problema openvpn
Ciao, Sun, Jul 10, 2005 at 11:18:45PM +0200, Cherubini Enrico wrote: > portava una subnet ipv6 a casa. Ora pero' il file di config e' univoco per > tutti i client mentre, diciamo, il client con ipv6 e' uno solo per cui lo > script deve essere eseguito solo per quel client. Come fare ? risolto leggendo un po' piu' a fondo in giro. Grazie lo stesso ;) -- Bye Enrico - Windows gives you just a little piece of the horizon. Use Linux. The root of all superstition is that men observe when a thing hits, but not when it misses. -- Francis Bacon -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
OpenVPN, quali possibilità
Salve a tutti, mi sono iscritto da poco alla lista, finora l'ho utilizzata in sola lettura imparando molte cose utili e scoprendo alcuni aspetti di Debian che non conoscevo. Ora vorrei approfittare della vostra disponibilità per una piccola domanda. Non sono molto esperto di vpn, non ne ho mai messa su una ma ho letto indicativamente quali software vanno utilizzati e penso che a breve sperimenterò la cosa. Volevo però prima di cominciare a studiare documentazione varia sapere se è possibile realizzare una cosa: recentemente ho provato il software (non GPL) hamachi [1] il quale, tra le altre caratteristiche, promette la creazione di una vpn con zero configurazione, criptata etc. etc., ma soprattutto funziona in qualsiasi ambiente di rete comprese reti con NAT, firewall e compagnia bella. Inoltre sul sito si afferma che le connessioni tra due nodi della vpn vengono stabilite tramite il loro server, ma poi il traffico fluisce direttamente tra i vari nodi senza più passare dal server. Quello che vorrei sapere è se è possibile fare la stessa cosa con openVPN, ed in particolare se è possibile fare la seguente cosa, io ho l'adsl con fastweb pertanto, come molti sapranno, non dispongo di un IP pubblico, ma nell'ufficio dove lavoro abbiamo un provider che ci mette a disposizione vari ip pubblici e soprattutto statici. Quello che vorrei fare, se possibile, è di creare una VPN con l'ufficio e utilizzare uno di questi ip pubblici in congiunzione con il redirect tramite iptables in modo da avere a disposizione un ip pubblico. Immagino che la cosa si possa fare, giusto? Se si, sono però vincolato a far passare il traffico verso tale ip necessariamente dal router dell'ufficio vero? Se invece facessi installare a chi volesse poter accedere al mio pc un client vpn, sarei ancora costretto a far passare tutto il traffico dal router dell'ufficio o potrei avere una cosa simile al su citato hamachi? Chiaramente, ogni link con approfondimenti sulla cosa è ben accetto. Grazie in anticipo per le eventuali risposte. [1] http://www.hamachi.cc/ -- Fabio Napoleoni [EMAIL PROTECTED] "Computer Science is no more about computers than astronomy is about telescopes" Edsger W. Dijkstra -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
openvpn e iptables
Ciao a tutti :-) dopo aver configurato correttamente openvpn, ho provato a modificare le impostazioni del firewall: iptables -F iptables -X iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P INPUT DROP iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i tap0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth1 -p tcp --dport ssh -j ACCEPT iptables -A INPUT -i tap0 -p udp --dport 3246 -j ACCEPT iptables -A INPUT -i eth1 -p icmp -j ACCEPT questo "dovrebbe" chiudere tutto dall'esterno e aprire ssh e la porta udp 3246 (che e' quella di openvpn). I client putroppo mi danno: Destination Net Unreachable (eth0 e' connessa al router, eth1 e' la lan, tap0 la vpn) - resettando il firewall la vpn torna a funzionare :-) e' quindi un problema di firewall.. Chi mi puo' aiutare? Grazie! Pol -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
openvpn e iptables
Ciao a tutti :-) dopo aver configurato correttamente openvpn, ho provato a modificare le impostazioni del firewall: iptables -F iptables -X iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P INPUT DROP iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i tap0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth1 -p tcp --dport ssh -j ACCEPT iptables -A INPUT -i tap0 -p udp --dport 3246 -j ACCEPT iptables -A INPUT -i eth1 -p icmp -j ACCEPT questo "dovrebbe" chiudere tutto dall'esterno e aprire ssh e la porta udp 3246 (che e' quella di openvpn). I client putroppo mi danno: Destination Net Unreachable (eth0 e' connessa al router, eth1 e' la lan, tap0 la vpn) - resettando il firewall la vpn torna a funzionare :-) e' quindi un problema di firewall.. Chi mi puo' aiutare? Grazie! Pol -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
openvpn (e routing)
Ciao a tutti, ho un "piccolo" problema di ping tra gli host della vpn :-) Vorrei che sia possibile pingare gli host tra loro (sia quelli in locale - attaccati al server) - sia quelli connessi su internet (passando chiaramente dalla vpn). Ho infatti messo la direttiva client-to-client. Dagli host riesco soltanto a pingare ed accedere al server. Qui' sotto ho messo le configurazioni Qualcuno ha voglia di darci un'occhiata? :-) Grazie! vpn config server: port 1742 proto udp dev tap ;dev-node tap0 ca ca.crt cert server.crt key server.key dh dh1024.pem server 10.10.10.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "route 10.10.10.0 255.255.255.0" ;duplicate-cn keepalive 10 120 ;cipher BF-CBC ;cipher AES-128-CBC ;cipher DES-EDE3-CBC comp-lzo user nobody group nobody persist-key persist-tun ;status openvpn-status.log ;log-append openvpn.log verb 10 mute 20 client-to-client client-config-dir ccd "route 10.10.10.1 255.255.255.0" ping-restart 0 ifconfig: eth0 Link encap:Ethernet HWaddr 00:15:F2:2A:AC:74 inet addr:192.168.0.2 Bcast:192.168.0.255 Mask:255.255.255.0 inet6 addr: fe80::215:f2ff:fe2a:ac74/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:376324 errors:0 dropped:0 overruns:0 frame:0 TX packets:357194 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:141256642 (134.7 MiB) TX bytes:74325323 (70.8 MiB) eth2 Link encap:Ethernet HWaddr 00:60:08:6D:59:50 inet addr:192.168.1.100 Bcast:192.168.1.255 Mask:255.255.255.0 inet6 addr: fe80::260:8ff:fe6d:5950/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:108734 errors:0 dropped:0 overruns:0 frame:0 TX packets:136835 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:13942176 (13.2 MiB) TX bytes:104518436 (99.6 MiB) Interrupt:217 Base address:0xde80 loLink encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:28162 errors:0 dropped:0 overruns:0 frame:0 TX packets:28162 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:5360422 (5.1 MiB) TX bytes:5360422 (5.1 MiB) tap0 Link encap:Ethernet HWaddr B6:7A:90:16:13:79 inet addr:10.10.10.1 Bcast:10.10.10.255 Mask:255.255.255.0 inet6 addr: fe80::b47a:90ff:fe16:1379/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:7808 errors:0 dropped:0 overruns:0 frame:0 TX packets:5889 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:513040 (501.0 KiB) TX bytes:591577 (577.7 KiB) route -n Kernel IP routing table Destination Gateway Genmask Flags Metric RefUse Iface 192.168.1.0 0.0.0.0 255.255.255.0 U 0 00 eth2 192.168.0.0 0.0.0.0 255.255.255.0 U 0 00 eth0 10.10.10.0 0.0.0.0 255.255.255.0 U 0 00 tap0 0.0.0.0 192.168.0.1 0.0.0.0 UG0 00 eth0 Un client che si connette da internet vpn config file: remote 10.10.10.1 1742 client dev tap proto udp #resolv-retry infinite # this is necessary for DynDNS nobind user nobody group nobody persist-key persist-tun ca ca.crt cert client3.crt key client3.key comp-lzo verb 4 mute 20 eth0 Link encap:Ethernet HWaddr 00:08:C7:05:A1:CA inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0 inet6 addr: fe80::208:c7ff:fe05:a1ca/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:560815 errors:2 dropped:0 overruns:0 frame:2 TX packets:319969 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:773484998 (737.6 MiB) TX bytes:36623351 (34.9 MiB) loLink encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:180 errors:0 dropped:0 overruns:0 frame:0 TX packets:180 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:13212 (12.9 KiB) TX bytes:13212 (12.9 KiB) tap0 Link encap:Ethernet HWaddr 00:FF:92:77:C5:65 inet addr:10.10.10.2 Bcast:10.10.10.255 Mask:255.255.255.0 inet6 addr: fe80::2ff:92ff:fe77:c565/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1809 errors:0 dropped:0 overruns:0 frame:0 TX packets:702 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:1127
openvpn e bridging
Ciao a tutti :-) ho alcuni problemi tecnici con il bridging e openvpn situazione attuale: Server eth0 192.168.0.2 va al router eth2 192.168.1.1 va alla lan tap0 10.10.10.1 va alla vpn ho installato bridge-utils e cercato howto (tra cui quello ufficiale di openvpn) ma ancora senza risultati, cioe' non ho ancora capito come mappare br0. Qualcuno mi puo' essere d'aiuto? (magari con un esempio se non chiedo troppo :-) Invece per quanto riguarda la configurazione di openvpn ho sostituito: dev tap con dev tap0 e la riga server con server-bridge ip netmask Pol -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
primi passi openvpn
Ciao a tutti, vorrei collegare una casa ed uno studio con openvpn; nello studio c'è un file server Debian per la LAN, mentre nell'abitazione c'è solo un notebook senza una LAN. Il problema è che non c'è ip statico in nessuno dei due posti. Tuttavia posso appoggiarmi ad un server Debian esterno che l'ip statico ce l'ha, ma chiaramente non fa parte di nessuna delle due LAN da collegare. È possibile farlo? È possibile farlo con il bridging invece del routing? Grazie, Lucio. -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
openvpn - alcuni dubbi
Ciao a tutti! Sto cercando di capire, da un punto di visto pratico, come funziona openvpn. Ho letto un poco qui e là (man, wiki, faq) ma le idee mi si confondono sempre più ;( Poco fa, rileggendo il man, sezione 'examples' ho letto che: [libera traduzione] "prima ancora di lanciare questi esempi dovrete avere installato openvpn su due macchine che possano essere connesse in rete tra loro [letter. 'two machine with network connectivity between them']. Mi chiedo di quale 'network' si parli: una LAN, una WAN, il WEB? Se lo riferisco ad una rete domestica (LAN) mi chiedo se abbia senso, ritenendo (erroneamente???) che il collegamento tra due PC sulla stessa rete domestica siano già sicuri (magari con ssl). Oppure il traffico di una rete domestica viene 'visto' anche dall'esterno? Se invece si parla di WEB, mi chiedo se sia possibile raggiungere un PC "A" (a valle di un router che riceve un IP dinamico da Telecom-Alice) da un PC "B" connesso (via Wi-Fi) a Internet, ad es. tramite un "WebCubeNew" della Tre. [E' il mio caso concreto con il quale sto sperimentando, ma non mi riesce di raggiungere il PC "A", sebbene abbia tolto ogni firewall (almeno così credo) al router (Netgear DG834GT). L'altra grossa curiosità (almeno per il momento) è: il pacchetto openvpn installato su "A", ossia: openvpn_2.1.3-2+squeeze1_i386.deb contiene una serie di scripts che inserisce nella subdir 'easy-rsa', mentre quello installato su "B": openvpn_2.1.3-2+squeeze2_powerpc.deb mette quegli scripts in /usr/share/doc/openvpn/examples/easy-rsa. Ho manualmente creato su "B" una situazione analoga a quella presente in "A", ma (dopo avervi naturalmente trasferito i file .crt e .key creati in "A") ottengo un errore di autenticazione quando tento di avviare (su "B") openvpn. Infine (si fa per dire ...), quand'anche io fossi riuscito ad avviare openvpn su entrambi i PC e questi si 'parlassero tra loro' (ping), in che modo potrei, da "B", navigare su "A"? Potrei, forse, indicare nella riga del browser 'http://ip-di-A' o dovrei usare (da linea di comando in console) $ ssh "A" ? Spero che qualcuno di voi voglia chiarirmi le idee direttamente oppure indirizzandomi a istruzioni "for dummies"... Vi ringrazio dell'attenzione, ennio -- [Perche' usare Win$ozz (dico io) se ..."anche uno sciocco sa farlo. \\?// Fa' qualche cosa di cui non sei capace!" (diceva Henry Miller) ](°|°) [Why use Win$ozz (I say) if ... "even a fool can do that. )=( Do something you aren't good at!" (as Henry Miller used to say) ] -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20140110001944.ga32...@mcm-deby.ei.hnet
openvpn e systemd
Da alcuni giorni mi sono accorto che openvpn non viene più lanciato all'avvio. Cercando nei bug del pacchetto ho letto che è passato da poco a systemd... Posso lanciarlo manualmente ma mi chiedevo se è un bug o cosa... $ cat /lib/systemd/system/openvpn.service # This service is actually a systemd target, # but we are using a service since targets cannot be reloaded. [Unit] Description=OpenVPN service After=network.target [Service] Type=oneshot RemainAfterExit=yes ExecStart=/bin/true ExecReload=/bin/true WorkingDirectory=/etc/openvpn [Install] WantedBy=multi-user.target $ sudo journalctl -b -p 3 -- Logs begin at dom 2014-10-19 03:39:17 CEST, end at dom 2014-10-19 05:39:15 CEST. -- ott 19 03:39:19 laptop kernel: [drm:intel_dp_start_link_train] *ERROR* too many full retries, give up ott 19 03:39:19 laptop systemd[1]: Failed to start LSB: Starts and stops cman. ott 19 03:39:19 laptop systemd[1]: Failed to start LSB: Starts and stops gfs_controld. ott 19 03:39:19 laptop systemd[1]: Failed to start LSB: mount/unmount gfs2 filesystems configured in /etc/fstab. ott 19 03:39:20 laptop bluetoothd[777]: Sap driver initialization failed. ott 19 03:39:20 laptop bluetoothd[777]: sap-server: Operation not permitted (1) ott 19 03:39:20 laptop bluetoothd[777]: hci0 Load Connection Parameters failed: Unknown Command (0x01) ott 19 03:39:24 laptop ntpd_intres[1085]: host name not found: 0.debian.pool.ntp.org ott 19 03:39:24 laptop ntpd_intres[1085]: host name not found: 1.debian.pool.ntp.org ott 19 03:39:24 laptop ntpd_intres[1085]: host name not found: 2.debian.pool.ntp.org ott 19 03:39:24 laptop ntpd_intres[1085]: host name not found: 3.debian.pool.ntp.org ott 19 03:39:29 laptop gdm3[883]: GLib-GIO: g_dbus_interface_skeleton_unexport: assertion 'interface_->priv->connections != NULL' failed ott 19 03:39:30 laptop pulseaudio[1633]: Failed to open module module-x11-publish.so: module-x11-publish.so: impossibile aprire il file oggetto condiviso: File o directory non esistente ott 19 03:39:30 laptop pulseaudio[1633]: Failed to open module "module-x11-publish". ott 19 03:44:23 laptop exim4[2296]: ALERT: exim paniclog /var/log/exim4/paniclog has non-zero size, mail system possibly broken ott 19 03:44:59 laptop systemd[2488]: Failed at step CHDIR spawning /bin/kill: No such file or directory ott 19 03:44:59 laptop systemd[2462]: Failed to start Exit the Session. ott 19 03:44:59 laptop systemd[2462]: Dependency failed for Exit the Session. L'autenticazione è tramite chiave GPG. Nessuna password, quindi questo non c'entra: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=747265
Re: Client Openvpn
2009/7/28 Carlo : > Ciao a tutti > > uso openvpn da riga di comando da tempo in questo modo: > > cd /dovestannoicertificati/ > openvpn client.ovpn > > username e password messi da me interattivamente a tastiera. > > > quello che a me servirebbe è: > > 1) client che mi mantenga le password e i nomi utenti salvati > 2) client che con un click mi connetta, eventualmente automaticamente > 3) mi basterebbe capire se riesco a passare user e passwd a openvpn da > script > al che non mi interessa null'altro :-) > > ho guardato un po kvpnc ma sempre e dico sempre quando provo ad andare a > connettermi al server (non sempre lo stesso) openvpn mi da: > > TLS key negotiation failed to occur within 60 seconds > > sembra che non arrivi manco a inviare le password in quanto se io ci metto > qualcosa a caso > lui comunque mi da lo stesso errore > non ho trovato log che mi potessero aiutare nella risoluzione del problema. > > Voi avete idee? > > ovviamente con la procedura che ho scritto all'inizio va tutto divinamente Anche se non l'ho mai provato, hai guardato network-manager su lenny/sid? Supporta le connessioni OpenVPN con un plugin incluso in Debian, e ci si collega con un click. Dagli un'occhiata :-) -- Dario Pilori -Linux registered user #406515 -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Client Openvpn
Dario Pilori ha scritto: 2009/7/28 Carlo : Ciao a tutti uso openvpn da riga di comando da tempo in questo modo: cd /dovestannoicertificati/ openvpn client.ovpn username e password messi da me interattivamente a tastiera. quello che a me servirebbe è: 1) client che mi mantenga le password e i nomi utenti salvati 2) client che con un click mi connetta, eventualmente automaticamente 3) mi basterebbe capire se riesco a passare user e passwd a openvpn da script al che non mi interessa null'altro :-) Anche se non l'ho mai provato, hai guardato network-manager su lenny/sid? Supporta le connessioni OpenVPN con un plugin incluso in Debian, e ci si collega con un click. Dagli un'occhiata :-) Si però non fa tutto quello che vorrei, praticamente funziona solo su alcune configurazioni abbastanza base, su configurazioni un po più complesse ha qualche problema Grazie comunque per la dritta ;) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Configurazione OpenVPN
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Artini Alessio ha scritto: > Il mio problema è il seguente: > Da casa ho una rete lan della classe 192.168.1.0/24 (con default gateway > 192.168.1.1) > Se effettuo la connessione VPN il collegamento avviene, ma poi ho dei > problemi a raggiungere l'altra rete (non riesco neppure a pingare) in > quanto entrambe le LAN hanno lo stessa classe di indirizzi. > > Come fare in questi casi? > > Grazie a tutti per le dritte. > > Alessio > assegna alle interfacce tun una net che non c'entri niente con le 2 fisiche ad esempio 192.169.100.10/24 al server e 192.168.100.11/24 al client. Con questo metodo a me funziona - -- Mario Vittorio Guenzi E-mail jcl...@tiscali.it Si vis pacem, para bellum -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.9 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iEYEARECAAYFAkqqBd4ACgkQm6qs1ZkNrIqrWQCeP3SiEZHn5zE6/FKtMUwhdCU/ xwEAnRsjANStfly4tbiNA2ryNhIBKBpp =UP9v -END PGP SIGNATURE- -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Configurazione OpenVPN
Mario Vittorio Guenzi ha scritto: Artini Alessio ha scritto: Il mio problema è il seguente: Da casa ho una rete lan della classe 192.168.1.0/24 (con default gateway 192.168.1.1) Come fare in questi casi? assegna alle interfacce tun una net che non c'entri niente con le 2 fisiche ad esempio 192.169.100.10/24 al server e 192.168.100.11/24 al client. Con questo metodo a me funziona scusa la curiosità.. ma come fa a funzionarti? non sono così addentro agli arcani di openvpn ma se hai una interfaccia di rete con subnet 192.168.1.0/24 come puoi fargli instradare i pacchetti per un qualunque altro indirizzo di quella subnet attraverso un'altra subnet/interfaccia? forse attraverso metric? ciao Max -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Configurazione OpenVPN
Il 11 settembre 2009 14.54, Max ha scritto: > Mario Vittorio Guenzi ha scritto: >> >> Artini Alessio ha scritto: >> >>> Il mio problema è il seguente: >>> Da casa ho una rete lan della classe 192.168.1.0/24 (con default gateway >>> 192.168.1.1) >>> Come fare in questi casi? >> >> assegna alle interfacce tun una net che non c'entri niente con le 2 >> fisiche ad esempio 192.169.100.10/24 al server e 192.168.100.11/24 al >> client. >> Con questo metodo a me funziona > > scusa la curiosità.. ma come fa a funzionarti? > non sono così addentro agli arcani di openvpn ma se hai una interfaccia di > rete con subnet 192.168.1.0/24 come puoi fargli instradare i pacchetti per > un qualunque altro indirizzo di quella subnet attraverso un'altra > subnet/interfaccia? > forse attraverso metric? > > ciao > > Max > > > -- > Per REVOCARE l'iscrizione alla lista, inviare un email a > debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per > problemi inviare un email in INGLESE a listmas...@lists.debian.org > > To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org > > funziona perchè un'interfaccia vede la rete 192.168.1.0/24 e l'altra vede la rete 192.168.100.0/24 la cosa negativa di questa configurazione è che così facendo puoi raggiungere solo il server openvpn e non tutto il resto della rete remota -- Matteo Filippetto -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Configurazione OpenVPN
Ciao, >> Se effettuo la connessione VPN il collegamento avviene, ma poi ho dei >> problemi a raggiungere l'altra rete (non riesco neppure a pingare) in >> quanto entrambe le LAN hanno lo stessa classe di indirizzi. La stessa classe (tipo sono entrambe /24) o gli stessi indirizzi? Perche' ovviamente non puoi sperare che due computer diversi che chiamano entrambi se stesso 192.168.1.1 sappiano come chiamarsi a vicenda... > assegna alle interfacce tun una net che non c'entri niente con le 2 > fisiche ad esempio 192.169.100.10/24 al server e 192.168.100.11/24 al > client. La VPN e` un'ulteriore rete, quindi deve avere indirizzi ancora diversi... > Si vis pacem, para bellum Si vis pacem, para pacem. Saluti! Marco -- http://bodrato.it/ -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Configurazione OpenVPN
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 matteo filippetto ha scritto: > > funziona perchÚ un'interfaccia vede la rete 192.168.1.0/24 > e l'altra vede la rete 192.168.100.0/24 > la cosa negativa di questa configurazione > Ú che così facendo puoi raggiungere solo il server openvpn > e non tutto il resto della rete remota > scusate se solo ora rispondo, sono stato un po "in orbita" si effettivamente e' come dici ma era la mia esigenza far vedere solo il server. - -- Mario Vittorio Guenzi E-mail jcl...@tiscali.it Si vis pacem, para bellum -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.9 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iEYEARECAAYFAkrEVUAACgkQm6qs1ZkNrIpDQgCeOHGoTPmHTmYhrdUDN/panQFi W/8An1Mwu9owlARUu+1mf7Xk3/sQLzKO =CheQ -END PGP SIGNATURE- -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: OpenVpn Drop
Prova a vedere qua: http://www.void.gr/kargig/blog/2008/05/17/openvpn-multi-bad-source-address-from-client-solution/ oppure http://openvpn.net/index.php/open-source/documentation/howto.html#scope 2010/6/16 Support > Da qualche giorno i client che stabiliscono una connessione con VPN non > riescono a collegarsi al server Samba. > > Ho guardato i log e ho trovato la seguente dicitura: "MULTI: bad source > address from client [10.0.2.15], packet dropped" > > La macchina su cui gira OpenVpn è anche quella su cui gira il server Samba. > > La cosa strana è che ha incominciato senza motivo da un giorno ad un altro. > > Qualcuno sa darmi qualche info su come risolvere il problema > > Grazie a tutti in anticipo > > Emanuele >
Re: OpenVpn Drop
Ho provato ad aggiungere sul server la riga push "route 192.168.0.0 255.255.255.0", ma inutilmente. Quello che ho notato che funziona tutti i servizi, infatti riesco a visualizzare APACHE, che è chiuso da fuori, riesco a pingare, ma non riesco ad accedere a Samba. Non riesco a capire dove possa essere il problema. Grazie E original message- Da: "Manuel Jenko" evilma...@gmail.com A: "Support" supp...@ejart.net CC: debian-italian@lists.debian.org Data: Wed, 16 Jun 2010 07:44:16 +0200 -- Prova a vedere qua: [http://www.void.gr/kargig/blog/2008/05/17/openvpn-multi-bad-source-address-from-client-solution/ oppure http://openvpn.net/index.php/open-source/documentation/howto.html#scope 2010/6/16 Support <mailto:supp...@ejart.net";>supp...@ejart.net -> http://www.void.gr/kargig/blog/2008/05/17/openvpn-multi-bad-source-address-from-client-solution/]> Da qualche giorno i client che stabiliscono una connessione con VPN non riescono a collegarsi al server Samba. Ho guardato i log e ho trovato la seguente dicitura: "MULTI: bad source address from client [10.0.2.15], packet dropped" La macchina su cui gira OpenVpn è anche quella su cui gira il server Samba. La cosa strana è che ha incominciato senza motivo da un giorno ad un altro. Qualcuno sa darmi qualche info su come risolvere il problema Grazie a tutti in anticipo Emanuele -- Emanuele Ciacchella Ejart S.r.l. Open Network S.r.l. Fax: 06.23328403 Cell: 329.7258647 E-Mail: [e.ciacche...@ejart.net E-Mail: e.ciacche...@open-network.it Web: http://www.ejart.net -> mailto:e.ciacche...@ejart.it] Web: http://www.open-network.it Via Ottorino Gentiloni 57/B 00139 Roma Italy Ai sensi del D.Lgs. 196/2003 si precisa che le informazioni contenute in questo messaggio sono riservate ed a uso esclusivo del destinatario. Qualora il messaggio in parola Le fosse pervenuto per errore, La invitiamo ad eliminarlo senza copiarlo e a non inoltrarlo a terzi, dandocene gentilmente comunicazione. Grazie. Pursuant to Legislative Decree No. 196/2003, you are hereby informed that this message contains confidential information intended only for the use of the addressee. If you are not the addressee, and have received this message by mistake, please delete it and immediately notify us. You may not copy or disseminate this message to anyone. Thank you.
Re: OpenVpn Drop
Il giorno Mer 16 Giu 2010 09:51:21 CET, Support ha scritto: Ho provato ad aggiungere sul server la riga push "route 192.168.0.0 255.255.255.0", ma inutilmente. Quello che ho notato che funziona tutti i servizi, infatti riesco a visualizzare APACHE, che è chiuso da fuori, riesco a pingare, ma non riesco ad accedere a Samba. Non riesco a capire dove possa essere il problema. Grazie E La faccenda sa di filtro. Il fatto che tu riesca a vedere la porta 80 (tcp) potrebbe suggerire che il traffico udp non è permesso attraverso l'interfaccia VPN. Inoltre nei link che ti hanno suggerito si faceva riferimento a dei ccd specifici con impostazioni di iroute, sicuro di aver provato tutto quanto suggerito? Ciao! -- RaSca Mia Mamma Usa Linux: Niente è impossibile da capire, se lo spieghi bene! ra...@miamammausalinux.org http://www.miamammausalinux.org -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4c188569.1080...@miamammausalinux.org
Re: OpenVpn Drop
Anche a me sa di filtro, ma non so dove andarlo a togliere, visto che l'errore di drop mi viene da OpenVpn. Le impostazioni di iroute sono da inserire sul client, se ho capito bene, ma io non so con quale ip si connetterà il client visto che usa diverse connessioni in diverse reti. Il firewall scritto con iptables ho inserito le seguenti regole per effettuare il test, quindi il firewall non centra. iptables -A FOWARD -i tun+ -j ACCEPT iptables -A INPUT -i tun+ -j ACCEPT Grazie a tutti E original message- Da: "RaSca" ra...@miamammausalinux.org A: "Support" supp...@ejart.net CC: "Manuel Jenko" evilma...@gmail.com, debian-italian@lists.debian.org Data: Wed, 16 Jun 2010 10:03:53 +0200 - > Il giorno Mer 16 Giu 2010 09:51:21 CET, Support ha scritto: >> Ho provato ad aggiungere sul server la riga push "route 192.168.0.0 >> 255.255.255.0", ma inutilmente. >> Quello che ho notato che funziona tutti i servizi, infatti riesco a >> visualizzare APACHE, che è chiuso da fuori, riesco a pingare, ma non >> riesco ad accedere a Samba. >> Non riesco a capire dove possa essere il problema. >> Grazie >> E > > La faccenda sa di filtro. Il fatto che tu riesca a vedere la porta 80 > (tcp) potrebbe suggerire che il traffico udp non è permesso attraverso > l'interfaccia VPN. Inoltre nei link che ti hanno suggerito si faceva > riferimento a dei ccd specifici con impostazioni di iroute, sicuro di > aver provato tutto quanto suggerito? > > Ciao! > > -- > RaSca > Mia Mamma Usa Linux: Niente è impossibile da capire, se lo spieghi bene! > ra...@miamammausalinux.org > http://www.miamammausalinux.org > -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/e71bae9d0fe63d5930bb776d487ac...@webmail.open-network.it
Re: OpenVpn Drop
Il giorno Mer 16 Giu 2010 10:18:57 CET, Support ha scritto: Anche a me sa di filtro, ma non so dove andarlo a togliere, visto che l'errore di drop mi viene da OpenVpn. Le impostazioni di iroute sono da inserire sul client, se ho capito bene, ma io non so con quale ip si connetterà il client visto che usa diverse connessioni in diverse reti. No, le impostazioni di iroute sono da inserire sul server nel file ccd specifico al client openvpn che si collega. Il firewall scritto con iptables ho inserito le seguenti regole per effettuare il test, quindi il firewall non centra. iptables -A FOWARD -i tun+ -j ACCEPT iptables -A INPUT -i tun+ -j ACCEPT Grazie a tutti E Se come hai scritto il server openvpn e quello samba sono la stessa macchina probabilmente è vero che il firewall non c'entra. Visto che la cosa è successa da un giorno all'altro non dipende magari da un update di Samba? Magari Samba non è più in ascolto sull'interfaccia tun o magari si è "rotta" la configurazione per qualche ragione. Del resto se gli altri servizi li vedi e pinghi gli altri hosts, probabilmente il problema riguarda quello specifico software. -- RaSca Mia Mamma Usa Linux: Niente è impossibile da capire, se lo spieghi bene! ra...@miamammausalinux.org http://www.miamammausalinux.org -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4c1889ee.70...@miamammausalinux.org
Re: OpenVpn Drop
Resta il fatto che l'errore me lo da openvpn. Comunque effettivamente avevo inserito su samba la seguente configurazione, per evitare broadcast sulla DMZ, che non deve usufruire dei servizi samba. hosts allow = 127.0.0.1 192.168.1.0/255.255.255.0 10.8.0.0/255.255.255.0 192.168.3.0/255.255.255.0 bind interfaces only = yes interfaces = eth1 tun* ppp* lo C'è qualcosa di sbagliato in questa configurazione? Ciao E original message- Da: "RaSca" ra...@miamammausalinux.org A: "Support" supp...@ejart.net CC: "Manuel Jenko" evilma...@gmail.com, debian-italian@lists.debian.org Data: Wed, 16 Jun 2010 10:23:10 +0200 - > Il giorno Mer 16 Giu 2010 10:18:57 CET, Support ha scritto: >> Anche a me sa di filtro, ma non so dove andarlo a togliere, visto che >> l'errore di drop mi viene da OpenVpn. >> Le impostazioni di iroute sono da inserire sul client, se ho capito bene, ma >> io non so con quale ip si connetterà il client visto che usa diverse >> connessioni in diverse reti. > > No, le impostazioni di iroute sono da inserire sul server nel file ccd > specifico al client openvpn che si collega. > >> Il firewall scritto con iptables ho inserito le seguenti regole per >> effettuare il test, quindi il firewall non centra. >> iptables -A FOWARD -i tun+ -j ACCEPT >> iptables -A INPUT -i tun+ -j ACCEPT >> Grazie a tutti >> E > > Se come hai scritto il server openvpn e quello samba sono la stessa > macchina probabilmente è vero che il firewall non c'entra. Visto che la > cosa è successa da un giorno all'altro non dipende magari da un update > di Samba? Magari Samba non è più in ascolto sull'interfaccia tun o > magari si è "rotta" la configurazione per qualche ragione. Del resto se > gli altri servizi li vedi e pinghi gli altri hosts, probabilmente il > problema riguarda quello specifico software. > > -- > RaSca > Mia Mamma Usa Linux: Niente è impossibile da capire, se lo spieghi bene! > ra...@miamammausalinux.org > http://www.miamammausalinux.org > -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/9114c1f616e55e8b856665f21886d...@webmail.open-network.it
Re: OpenVpn Drop
Il giorno Mer 16 Giu 2010 14:57:24 CET, Support ha scritto: Resta il fatto che l'errore me lo da openvpn. Comunque effettivamente avevo inserito su samba la seguente configurazione, per evitare broadcast sulla DMZ, che non deve usufruire dei servizi samba. hosts allow = 127.0.0.1 192.168.1.0/255.255.255.0 10.8.0.0/255.255.255.0 192.168.3.0/255.255.255.0 bind interfaces only = yes interfaces = eth1 tun* ppp* lo C'è qualcosa di sbagliato in questa configurazione? Assolutamente sì. Considerato che l'errore te lo da sull'ip 10.0.2.15... Prova a togliere hosts allow e vedi se così va, in alternativa aggiungi la classe che ti indica nel log. A presto, -- RaSca Mia Mamma Usa Linux: Niente è impossibile da capire, se lo spieghi bene! ra...@miamammausalinux.org http://www.miamammausalinux.org -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4c19d291.8020...@miamammausalinux.org
Re: OpenVpn Drop
Ho commentato le tre righe e tutto è ricominciato a funzionare. Grazie a tutti per l'aiuto Emanuele original message- Da: "RaSca" ra...@miamammausalinux.org A: "Support" supp...@ejart.net CC: "Manuel Jenko" evilma...@gmail.com, debian-italian@lists.debian.org Data: Thu, 17 Jun 2010 09:45:21 +0200 - > Il giorno Mer 16 Giu 2010 14:57:24 CET, Support ha scritto: >> Resta il fatto che l'errore me lo da openvpn. >> Comunque effettivamente avevo inserito su samba la seguente >> configurazione, >> per evitare broadcast sulla DMZ, che non deve usufruire dei servizi samba. >> hosts allow = 127.0.0.1 192.168.1.0/255.255.255.0 >> 10.8.0.0/255.255.255.0 >> 192.168.3.0/255.255.255.0 >> bind interfaces only = yes >> interfaces = eth1 tun* ppp* lo >> C'è qualcosa di sbagliato in questa configurazione? > > Assolutamente sì. Considerato che l'errore te lo da sull'ip 10.0.2.15... > Prova a togliere hosts allow e vedi se così va, in alternativa aggiungi > la classe che ti indica nel log. > > A presto, > > -- > RaSca > Mia Mamma Usa Linux: Niente è impossibile da capire, se lo spieghi bene! > ra...@miamammausalinux.org > http://www.miamammausalinux.org > -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/490e5c36b869741342fbb9459d7ee...@webmail.open-network.it
openvpn e interfaces
Salve a tutti,
ho configurato openvpn (configurazione cosiddetta road warrior).
Funziona tutto se faccio partire i comandi a mano:
# bridge-start
# /etc/init.d/openvpn start
Volevo mettere i comandi del bridge-start nella interfaces.
Ho fatto tentativi in tutte le salse, ma faccio solo pasticci.
Riporto la configurazione del mio bridge-start
< -->
#!/bin/bash
#
# Set up Ethernet bridge on Linux
# Requires: bridge-utils
#
# Define Bridge Interface
br="br0"
# Define list of TAP interfaces to be bridged,
# for example tap="tap0 tap1 tap2".
tap="tap0"
# Define physical ethernet interface to be bridged
# with TAP interface(s) above.
eth="eth0"
eth_ip="192.168.1.1"
eth_netmask="255.255.255.0"
eth_broadcast="192.168.1.255"
for t in $tap; do
openvpn --mktun --dev $t
done
brctl addbr $br
brctl addif $br $eth
for t in $tap; do
brctl addif $br $t
done
for t in $tap; do
ifconfig $t 0.0.0.0 promisc up
done
ifconfig $eth 0.0.0.0 promisc up
ifconfig $br $eth_ip netmask $eth_netmask broadcast $eth_broadcast
<-->
Penso che la configurazione di eth1 ed eth4 sia irrilevante per cui
riporto solo unl pezzo dello script interfaces originale:
<-->
# The loopback network interface
auto lo eth0 eth1 eth4
iface lo inet loopback
allow hotplug eth0
iface eth0 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
<-->
$MotoreDiRicerca trova tutto e il contrario di tutto, per cui, essendo
proprio tipicamente debian, chiedo aiuto alla lista.
Ho provato con un:
auto lo eth1 eth4 br0
iface lo inet loopback
allow hotplug eth0
iface eth0 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
# OpenVPN interface
iface br0 inet static
address 192.168.1.1
netmask 255.255.255.0
pre-up openvpn --mktun --dev tap0
pre-up ifconfig tap0 0.0.0.0 promisc up
pre-up ifconfig eth0 0.0.0.0 promisc up
bridge_ports eth0 tap0
post-down openvpn --rmtun --dev tap0
post-down ifconfig eth0 192.168.1.1 netmask 255.255.255.0 up
ma devo aver sbagliato ancora troppe cose.
Inoltre:
auto eth0 va messo o tolto?
allow-hotplug va messo o tolto?
Potrei infilare lo script di avvio del bridge nello script iniziale di
openvpn, ma credo che qualora arrivi un aggiornamento questo venga
riscritto, con conseguenze facilmente immaginabili.
Grazie e saluti a tutti
Luigi
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org
To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/201007012133.35229.in3...@gmx.de
PROBLEMA CON OPENVPN
Salve. Da poco ho messo in piedi un server in piedi. Riguardo la cofigurazione non penso che ci siano errori perche funziona tutta... ma la cosa strana é che non cifra niente e non fa da tunnell. Cioe.. io ho una sola interfaccia(la rete lan) piu quella della vpn(tap). Il problema é che il traffico invece di passare sull interfaccia tap di openvpn, passa sull interfaccia lan ! Quindi non cifra e non maschera l ip! Ho provato sia su windows, android e linux.. niente da fare. Evidentemente manca qualcosa in una delle due configurazioni( client o server). Ad ogni modo...vi posto i file di configurazione cosi potete dargli uno sguardo e dirmi cosa c e che non va. Grazie -- Inviato dal mio dispositivo con K-9 Mail. Perdonate non la brevità, ma la prolissitá 🤔. Se solo potreste vedere il mondo come lo vedo io https://github.com/vincenzogianfelice https://twitter.com/vincenzogi_ vpclient.ovpn Description: Binary data server.conf Description: Binary data
OpenVPN con backup
Ciao a tutti. Avendo da collegare più sedi geograficamente distribuite (e talvolta poco supervisionate) sarebbe utile avere in ogni sede due link: - master: ADSL/fibra, unmetered, normalmente attivo - backup: LTE, metered e con traffico abbastanza ridotto, quindi da usare quasi solo se l'altra connessione è giù Quello che vorrei è avere per ogni sede due client attivi (master e backup) verso il/un server, così se p.e. devo cambiare server/certificati/ecc posso farlo gradualmente, magari prima riconfigurando il client di backup e poi, quando quello è a posto, il principale, senza quasi interruzione. Le connessioni dovrebbero venire instradate automaticamente sul link master, andando sul backup solo se il master è down. Le macchine delle diverse sedi dovrebbero potersi "vedere" tutte. Qualcuno ha già configurato qualcosa di analogo? Non mi pare un uso troppo "strano", ma non trovo nulla :( Grazie. -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
OpenVPN, Letsencrypt, Windows.
Mi sono infliato in un bel guaio. ,-) Pensando di fare una gallata, e testandola con Linux, sto usando per una rete remota OpenVPN con dei certficarti letsencrypt; su linux basta che metta il certificate bundle (/etc/ssl/certs/ca-certificates.crt) come CA e sono a posto. Con Android, allo stesso modo verifica il certificato tra quelli trusted installati e gestiti. Ma su windows devo passargli la CA. Ed è vero che posso prenderla da: https://letsencrypt.org/certificates/ ma se cambia mi fotto tutti i client, dovrei mettere in peidi un meccanismo per verficare quando cambia la CA e ripropagarla (ma sono client remoti, potrebbe essere tropo tardi). Ho dato una occhata alla documentazione, sicuramente windows ha nel suo 'ceriticate store' i ceritifcati dela CA di Letsencypt ma... come faccio a dirgli di cercarselo li?! Spero di essermi spiegato, grazie. -- La CIA ha scoperto chi porta il carbonchio... la befanchia!!!
OpenVPN: un server + client
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Salve,
ho configurato OpenVPN su sarge e cosa strana, con un solo client mi
funziona, appena se ne connette un altro cominciano problemi.
Nei log trovo questo:
TLS Error: local/remote TLS keys are out of sync: :1194
Dove l'indirizzo è quello del client che era connesso e non appena è
arrivato il nuovo ha perso la connessione alla VPN.
Quindi in modo alterno nel log compare l'errore con gli indirizzi ip dei
client.
Cercando su Google ho trovato questo:
http://openvpn.net/archive/openvpn-users/2004-12/msg00022.html
Ho fatto ciò che è scritto, ping-restart, ma la cosa non cambia.
Il file di configurazione dei client è:
client
dev tap
remote 1194
ca ca.crt
cert .crt
key .key
tls-client ta.key
cipher BF-CBC
keysize 448
comp-lzo
ping 10
verb 3
mute 10
ifconfig 10.0.0. 255.255.255.0
Il file di configurazione del server è:
local
port 1194
dev tap
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
tls-server ta.key
cipher BF-CBC
keysize 448
ifconfig 10.0.0.1 255.255.255.0
comp-lzo
max-clients 100
ping 10
ping-restart 60
verb 4
mute 10
log-append /var/log/openvpn/openvpn.log
status /var/log/openvpn/openvpn-status.log
Le varie chiavi le ho generate così:
- - CA
openssl genrsa -out ca.key 1024
openssl req -new -key ca.key -out rich.ca
openssl x509 -req -in rich.ca -signkey ca.key -out ca.crt
- - TA
openvpn --genkey --secret ta.key
- - Diffie-Hellman
openssl dhparam -out dh1024.pem 1024
- - Chiave Server
openssl genrsa -out server.key 1024
openssl req -new -key server.key -out rich.ser
openssl x509 -req -in rich.ser -CA ca.crt -CAkey ca.key -CAcreateserial
- -out server.crt
- - Chiave Client
openssl genrsa -out .key 1024
openssl req -new -key .key -out .rich
openssl x509 -req -in .rich -CA ca.crt -CAkey ca.key
- -CAcreateserial -out .cert
C'è qualcosa di errato?
Grazie a chi prende in considerazione questo mio problema.
Gianluca
- --
echo aculnaiG | awk 'BEGIN { FS = "" }
{ for (i = NF; i >= 1; i-- )
printf $i }'; echo
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (Darwin)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFF5AMDK1z3HmyB2QIRAlKBAJ40Pukric+HDHfsa7V7Y8thG1DMQgCfQ55o
Kot7cqCIwITN/tr8FKfLr3E=
=ikoS
-END PGP SIGNATURE-
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
[EMAIL PROTECTED] con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a [EMAIL PROTECTED]
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: openvpn e routing
Fabio Nigi - ha scritto: > ora come faccio a far routare tutti i pacchetti su tun0 quando la vpn > è su e farli routare sulla mia rete d'accesso quando la vpn è giu? > ho provato con quagga ma sinceramente non ci ho capito molto. leggi qui: http://www.debian.org/doc/manuals/reference/ch-gateway.en.html#s-net-high ci sono parecchi spunti sulla configurazione di rete dovrebbe esserci anche la traduzione italiana. con trolla su debian.org/doc ciao Max
Re: openvpn e routing
Il giorno Tue, 22 May 2007 15:59:09 +0200 Fabio Nigi - <[EMAIL PROTECTED]> ha scritto: > avrei bisogno di routare tutti i pacchetti dei client sull macchina > server, che è un serverino messo li apposta in praticamente apposta. > in modo tale da avere una privacy sulle connessioni un pò stabile, > visto che giro molto. guarda se può esserti utile: http://openvpn.net/howto.html#redirect Ciao
Script Debian per openvpn.
Un saluto a tutti. Mi stò scontrando con gli script di Debian per openvpn, se lancio il comando da un terminale con tutti i suoi argomenti (per entrambi gli host remoti) funziona tutto ok ma se avvio il demone tramite gli script di Debian la vpn non funziona. Ho seguito scrupolosamente gli esempi riportati sulla documentazione del pacchetto (anzi ho proprio copiato gli script proposti e fatto qualche piccolo adattamento), ma niente. Forse qualcuno si è già scontrato con questa cosa? Mi piacerebbe far funzionare openvpn "alla Debian". Matteo. -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [semi OT] OpenVpn
Giovanni ha scritto: Ciao a tutti, il mio problema con OpenVpn che non riesco a capire, è che posso avere un singolo accesso per volta alla vpn, se mi connetto da un altro client mi sconnette quello che è attualmente connesso. [] **Client** remote mioserver.com*** rport 5000 secret /etc/openvpn/file.key ping 10 verb 1 mute 10 dev tap ifconfig 10.23.24.2 255.255.255.0 log-append /var/log/openvpn.log *** Se non sbaglio potrebbe dipendere da l afftyo che hai creato un solo client al quale viene assegnato un IP 10.23.24.2, quindi quando ti colleghi con il secondo client l'IP viene riassegnato al nuovo client Bye -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [semi OT] OpenVpn
Il giorno lun, 25/06/2007 alle 09.21 +0200, Giovanni ha scritto: > il mio problema con OpenVpn che non riesco a capire, è che posso avere > un singolo accesso per volta alla vpn, se mi connetto da un altro > client > mi sconnette quello che è attualmente connesso. E` ovvio, hai fatto una rete punto a punto con gli IP preassegnati. Quando si connette un secondo client mica può dargli lo stesso IP del primo, quindi si fida, immagina che il primo abbia finito, disconnette. Leggi l'HOWTO sull'autenticazione con certificati X.509 per capire come configurare un server che accetta client multipli. federico -- Federico Di Gregorio http://people.initd.org/fog Debian GNU/Linux Developer[EMAIL PROTECTED] INIT.D Developer [EMAIL PROTECTED] If nobody understand you, that doesn't mean you're an artist. -- anonymous signature.asc Description: Questa è una parte del messaggio firmata digitalmente
Re: [semi OT] OpenVpn
Giovanni ha scritto: Ciao a tutti, il mio problema con OpenVpn che non riesco a capire, è che posso avere un singolo accesso per volta alla vpn, se mi connetto da un altro client mi sconnette quello che è attualmente connesso. [] **Client** remote mioserver.com*** rport 5000 secret /etc/openvpn/file.key ping 10 verb 1 mute 10 dev tap ifconfig 10.23.24.2 255.255.255.0 log-append /var/log/openvpn.log *** Se non sbaglio potrebbe dipendere da l afftyo che hai creato un solo client al quale viene assegnato un IP 10.23.24.2, quindi quando ti colleghi con il secondo client l'IP viene riassegnato al nuovo client Bye -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [semi OT] OpenVpn
> Ciao a tutti, > il mio problema con OpenVpn che non riesco a capire, ?? che posso avere > un singolo accesso per volta alla vpn, se mi connetto da un altro client > mi sconnette quello che ?? attualmente connesso. > > i miei file di configurazione sono: > --SNIP-- Il tuo problema e' che cerchi di fare una configurazione server-multiclient utilizzando chiave statica. Tale configurazione e' possibile solo usando autenticazione TLS Io ad esempio per fare la stessa cosa uso: Server: cd /etc/openvpn/assistenza local port 5008 proto udp dev tun20 ca /etc/openvpn/assistenza/easy-cert/keys/ca.crt cert /etc/openvpn/assistenza/easy-cert/keys/server.crt key /etc/openvpn/assistenza/easy-cert/keys/server.key dh /etc/openvpn/assistenza/easy-cert/keys/dh1024.pem server 172.17.0.0 255.255.0.0 ifconfig-pool-persist /etc/openvpn/assistenza/ipp.txt keepalive 10 120 tls-auth /etc/openvpn/assistenza/assistenza.key 0 comp-lzo max-clients 100 persist-key persist-tun status /etc/openvpn/assistenza/openvpn-status.log verb 3 mute 20 daemon assistenza Client: cd /etc/openvpn/assistenza client dev tun proto udp remote 5008 resolv-retry infinite nobind user nobody group nogroup persist-key persist-tun ca /etc/openvpn/assistenza/ca.crt cert /etc/openvpn/assistenza/client.crt key /etc/openvpn/assistenza/client.key ns-cert-type server tls-auth /etc/openvpn/assistenza/ta.key 1 comp-lzo verb 3 mute 20 daemon client -- Franco (nextime) Lanza Busto Arsizio - Italy SIP://[EMAIL PROTECTED] NO TCPA: http://www.no1984.org you can download my public key at: http://danex.nexlab.it/nextime.asc || Key Servers Key ID = D6132D50 Key fingerprint = 66ED 5211 9D59 DA53 1DF7 4189 DFED F580 D613 2D50 --- echo 16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D212153574F444E49572045535520454D20454B414D204F54204847554F4E452059415020544F4E4E4143205345544147204C4C4942snlbxq | dc --- signature.asc Description: PGP signature
Re: [semi OT] OpenVpn
On Fri, 29 Jun 2007 17:01:52 +0200 "[EMAIL PROTECTED]" <[EMAIL PROTECTED]> wrote: > Ciao a tutti, > il mio problema con OpenVpn che non riesco a capire, è che posso avere > un singolo accesso per volta alla vpn, se mi connetto da un altro > client mi sconnette quello che è attualmente connesso. > > i miei file di configurazione sono: > > **Server*** > secret /etc/openvpn/file.key > lport 5000 > ping 10 > verb 3 > mute 10 > dev tap > ifconfig 10.23.24.1 255.255.255.0 > log-append /var/log/openvpn.log > > Per il server... port 1194 proto udp ifconfig ipNodoVPNServer netmaskNodoVPNServer dev tap server-bridge ipNodoVPNServer netmaskNodoVPNServer ipInizioDhcp ipFineDhcp keepalive 10 120 comp-lzo persist-key persist-tun verb 3 oltre ovviamente al tipo di "protezione" > **Client 1** > remote mioserver.com*** > rport 5000 > secret /etc/openvpn/file.key > ping 10 > verb 1 > mute 10 > dev tap > ifconfig 10.23.24.2 255.255.255.0 > log-append /var/log/openvpn.log > *** > sui client client dev tap proto udp remote ipPubblicoServer porta resolv-retry infinite nobind persist-key persist-tun comp-lzo verb 3 Ciao Francesco
Re: [semi OT] OpenVpn
Il giorno Mon, 02 Jul 2007 09:09:56 +0200 "[EMAIL PROTECTED]" <[EMAIL PROTECTED]> ha scritto: > Ciao a tutti, > il mio problema con OpenVpn che non riesco a capire, è che posso avere > un singolo accesso per volta alla vpn, se mi connetto da un altro > client mi sconnette quello che è attualmente connesso. > [...] hai già chiesto la stessa cosa qualche giorno fa, vai a leggere le risposte; se non ti sono arrivate guarda negli archivi. Ciao -- Andrea Corradi | Debian User | www.debian.org Fingerprint: A41E F6B0 DBDB F04C 4940 E411 30F3 CD62 57B1 8458 gpg --keyserver keyserver.linux.it --recv-key 57B18458 Please avoid sending me Word or PowerPoint attachments. http://www.gnu.org/philosophy/no-word-attachments.html
Re: [semi OT] OpenVpn
Il giorno lun, 02/07/2007 alle 10.44 +0200, [L]ash ha scritto: > Il giorno Mon, 02 Jul 2007 09:09:56 +0200 > "[EMAIL PROTECTED]" <[EMAIL PROTECTED]> ha scritto: > > > Ciao a tutti, > > il mio problema con OpenVpn che non riesco a capire, è che posso avere > > un singolo accesso per volta alla vpn, se mi connetto da un altro > > client mi sconnette quello che è attualmente connesso. > > > [...] > > hai già chiesto la stessa cosa qualche giorno fa, vai a leggere le > risposte; se non ti sono arrivate guarda negli archivi. > > Ciao Si ho già chiesto e ringrazio per le riposte che mi sono state date, ma ancora non sono riuscito a capire dove sbaglio, scusate se richiedo la stessa cosa. Grazie
Re: OpenVPN qualche problemino
Mr. P|pex ha scritto: Da un client remoto riesco a connettermi, ma non vedo la rete remota, e non riesco neppure a pingare il server VPN. suggerimenti? magari è banale.. ma hai configurato le tabelle di instradamento? ciao Max
Re: OpenVPN qualche problemino
Mr. P|pex ha scritto: > [...] > proto tcp-server Se non erro questa riga può essere solo tcp o udp. Hai provato a rinominarla in proto tcp ?? Prova a postare i log del server e del client all'atto della connessione. Stai cercando di bypassare un server proxy? -- Dario Pilori -Linux registered user #406515 -Esci dall'illegalità! Usa OpenOffice.org! http://linguistico.sourceforge.net/wiki/doku.php?id=UsaOOo -Non inviatemi documenti Word o PowerPoint. Non li posso leggere. Usate formati aperti (OpenDocument, PDF, HTML). "L'anima è in sommo grado simile a ciò che è divino, immortale, intelligibile, uniforme, indissolubile, sempre identico a sé medesimo, mentre il corpo è in sommo grado simile a ciò che è umano, mortale, multiforme, inintelligibile, dissolubile e mai identico a sé medesimo." Platone, Fedone smime.p7s Description: S/MIME Cryptographic Signature
Re: OpenVPN qualche problemino
--- Dario Pilori <[EMAIL PROTECTED]> ha scritto: > > Stai cercando di bypassare un server proxy? > tramite i log del server ho capito che iptables aveva bisogno di essere modificato :) comunque la VPN su 443 mi permette di raggiungere l'ufficio anche quando sono da clienti che nn permettono di usare altro che web (di solito 80 e 443). ciao ___ L'email della prossima generazione? Puoi averla con la nuova Yahoo! Mail: http://it.docs.yahoo.com/nowyoucan.html -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Configurazione OpenVPN con Webmin
Ciao a tutti. Sto utilizzando il modulo OpenVPN+CA per Webmin per configurare OpenVPN. Ho creato una CA, per questa CA ho creato una chiave client e una chiave server, e ora sto cercando di creare una VPN. Ho però qualche domanda da farvi. Durante la creazione della nuova VPN, non ho capito cosa significano i seguenti parametri (e la cosa non è documentata): - Dispositivo bridge - Dispositivo locale in bridge - IP configurato in bridge (IP/gateway e netmask) - IP-Range per bridge clients - local (Ascolta su IP locali) - server (Rete IP assegnati), network e netmask Inoltre, vi faccio alcune domande generiche su OpenVPN: - Devo per forza utilizzare una rete differente sulla VPN o posso usare la stessa rete con la stessa netmask della mia rete locale? - Non posso avere la gestione degli utenti con le relative password? Qualcuno mi potrebbe chiarire questi aspetti, per piacere? Grazie mille! Ciao.
Re: avvio di openvpn
On Thu, 16 Dec 2004 22:30:47 +0100 Ottavio Campana <[EMAIL PROTECTED]> wrote: Ciao ottavio, > Accipicchia, come si fa a dire ad openvpn di non avviare al boot non > tutte le vpn configurate ma solo alcune? parli di openvpn 1.6? La 2.0 potrebbe esserti d'aiuto visto che con un unico file di configurazione, unica porta in ascolto (UDP 1194 di default), puoi tirare su n vpn? ciao, a.
Re: avvio di openvpn
straluna wrote: On Thu, 16 Dec 2004 22:30:47 +0100 Ottavio Campana <[EMAIL PROTECTED]> wrote: Ciao ottavio, Accipicchia, come si fa a dire ad openvpn di non avviare al boot non tutte le vpn configurate ma solo alcune? parli di openvpn 1.6? quella di sarge: 1.99+2.beta17-1 -- Non c'è più forza nella normalità, c'è solo monotonia. signature.asc Description: OpenPGP digital signature
Re: avvio di openvpn
On Sat, 18 Dec 2004 09:39:27 +0100 Ottavio Campana <[EMAIL PROTECTED]> wrote: > quella di sarge: 1.99+2.beta17-1 ok, allora hai una 2.0 (saggia decisione del mantainer IMHO). Immagino, pero', che in questo momento tu la stia usando come una 1.6 nel senso che hai tanti file del tipo vpn.conf e all'avvio vengono "tirati su" tutti giusto(dimmi se ho capito male)? Con la 2.0, del tutto retrocompatibile con la 1.6, hai la possibilita' di avere un unico file del tipo server.conf in grado di servire n client (in questo caso, pero', sei obbligato a usare la modalita' TLS, che peraltro porta piu' vantaggi che altro). Nella documentazione trovi i file sample-config-files/server.conf.gz e sample-config-files/client.conf che potrebbero esserti utili nel caso. ciao, a. -- Osservazione di Zenone: L'altra coda va piu' veloce.
Re: Re: Openvpn clients
>> più di 1 client per volta.Ho googlato un po ed ho cercato sul sito >> openvpn ma non sono riuscito a trovare la soluzione. >In 1.x per n tunnel devi avere n .conf che ascoltino su n porte. >ti consiglierei di >utilizzare openvpn2.x utilizzzando X509 PKI. grazie per il consiglio ma purtroppo non posso usare al momento la versione 2. Sarà la stanchezza ma non riesco a trovare la doc sulla configurazione di piu file .conf nella versione 1.x.mi puoi dare il link? Grazie
OpenVPN, routing, bridging (lungo)
Ciao a tutti,
sto provando a realizzare una VPN per collegare due LAN
usando ovviamente due Linux box con Debian e OpenVPN ma
come potrete immaginare scrivo perché ho qualche problema...
La situazione è la seguente:
PC1192.168.0.10/24 +
(Gateway 192.168.0.10) |
|
|
PC2192.168.0.20/24 +
(Gateway 192.168.0.10) |
|
|
192.168.0.17/24 +
OVPN_A |
192.168.3.2/24 --+ 192.168.0.10/24
| RouterA
| |
| |
|
|VPN {Internet}
|tunnel
| |
| |
| RouterB
192.168.3.1/24 --+ 192.168.1.1/24
OVPN_B |
192.168.1.123/24 --+
(Gateway 192.168.1.1) |
|
|
PC3192.168.1.10/24 +
(Gateway 192.168.1.1) |
|
|
PC4192.168.2.20/24 +
La prima rete è costituita da client Windows (PC1 e PC2) che raggiungono
Internet tramite il routerA.
La stessa cosa succede per la seconda rete che usa il RouterB come
gateway.
A questo punto io ho messo su due gateway VPN con OpenVPN 2.0: OVPN_A
è una Woody con kernel 2.4 e OVPN_B è una Sarge con kernel 2.6.
Il tunnel tra i due gateway si instaura e si possono pingare fra loro ma
non tutti i client riescono a fare altrettanto. Di quelli che riescono a
pingarsi, solo un client riesce ad accedere alle risorse condivise di un
altro client remoto.
Credo che il problema dipenda dal fatto che i gateway VPN non coincidano
con i gateway verso Internet e per questo ho fatto quanto segue.
Sui gateway VPN:
1) Ho abilitato il forwarding
su OVPN_A:
echo "1" > /procfs/sys/net/ipv4/ip_forwarding
su OVPN_B:
sysctl net.ipv4.ip_forwarding=1
2) Mi sono accertato con iptables che il traffico in FORWARD venga
accettato
3) Ho aggiunto un paio di regole di routing per far sì che i pacchetti
destinati alla rete remota vengano consegnati al gateway remoto
su OVPN_A:
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.3.1
su OVPN_B:
route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.3.2
Sui client ho aggiunto una regola di routing in modo che i pacchetti
destinati alla rete remota vengano consegnati al gateway VPN locale.
Su PC1 e PC2 (la sintassi è quella di Windows):
route ADD 192.168.1.0 MASK 255.255.255.0 192.160.0.17
Mentre su PC3 e PC4:
route ADD 192.168.0.0 MASK 255.255.255.0 192.160.1.123
Come dicevo prima il risultato di tutto ciò è un funzionamento
parziale: solo un client riesce ad accedere ad un altro client
remoto (aprendo Gestione delle Risorse e puntando a
\\IndirizzoIP\DirectoryCondivisa)
e molti non riescono neanche a pingarsi.
Non sapendo dove sbattere la testa ho provato anche ad abilitare
il masquerading sui gateway VPN:
iptables -t nat -a POSTROUTING -o tap0 -s 192.168.0.0/24 -j MASQUERADE
ma non cambia nulla.
A questo punto, continuando a leggere documentazione e cercare su
Google, m'è venuta l'idea di provare ad attivare sui gateway VPN
il bridging tra scheda Ethernet e l'interfaccia virtuale tap0.
Secondo voi è sensato? Avete qualche altro consiglio?
Grazie in anticipo,
Marco
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: openvpn e iptables
> il traffico alla 3246 udp arriva dall'esterno all'interfaccia eternet, non > alla tap0 mhmh.. quindi dov'e' l'errore/omissione? Pol -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: openvpn e iptables
> tap0 <-- sbagliato > eth? <-- dove arrivano i pacchetti, giusto anche con: iptables -A INPUT -i eth0 -p udp --dport 2746 -j ACCEPT non si connette :-/ Pol -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: openvpn e iptables
Il giorno lun, 19/11/2007 alle 21.49 +0100, Pol Hallen ha scritto: > Ciao a tutti :-) > > dopo aver configurato correttamente openvpn, ho provato a modificare le > impostazioni del firewall: A me sembra che manchi la regola per accettare le connessioni in input della vpn. Suppongo sia una cosa del tipo: iptables -A INPUT -i eth1 -p udp --dport -j ACCEPT Nota che tu hai messo "-i tap0" che non fa quello che vuoi. Ma da dove tenti di accedere alla VPN? Dall'esterno o dall'interno? Perché dici che eth0 è il router ma non ha regole per lui... > iptables -F > iptables -X > iptables -P OUTPUT ACCEPT > iptables -P FORWARD ACCEPT > iptables -P INPUT DROP > iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A INPUT -i tap0 -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A INPUT -i eth1 -p tcp --dport ssh -j ACCEPT > iptables -A INPUT -i tap0 -p udp --dport 3246 -j ACCEPT > iptables -A INPUT -i eth1 -p icmp -j ACCEPT > > questo "dovrebbe" chiudere tutto dall'esterno e aprire ssh e la porta udp > 3246 > (che e' quella di openvpn). > > I client putroppo mi danno: Destination Net Unreachable > > (eth0 e' connessa al router, eth1 e' la lan, tap0 la vpn) - resettando il > firewall la vpn torna a funzionare :-) e' quindi un problema di firewall.. -- Federico Di Gregorio http://people.initd.org/fog Debian GNU/Linux Developer[EMAIL PROTECTED] INIT.D Developer [EMAIL PROTECTED] Everything will be OK at the end. If it's not OK, it's not the end. -- Unknown signature.asc Description: Questa è una parte del messaggio firmata digitalmente
Re: openvpn e iptables
> della vpn. Suppongo sia una cosa del tipo: > iptables -A INPUT -i eth1 -p udp --dport -j ACCEPT > Nota che tu hai messo "-i tap0" che non fa quello che vuoi. Ma da dove > tenti di accedere alla VPN? Dall'esterno o dall'interno? Perché dici che > eth0 è il router ma non ha regole per lui... accedo sia dall'esterno che dall'interno. Anche con questa regola non riesco ad accedervi.. iptables -A INPUT -i eth1 -p udp --dport -j ACCEPT Pol
Re: openvpn e iptables
Il giorno mar, 20/11/2007 alle 12.30 +0100, Pol Hallen ha scritto: > > della vpn. Suppongo sia una cosa del tipo: > > iptables -A INPUT -i eth1 -p udp --dport -j ACCEPT > > Nota che tu hai messo "-i tap0" che non fa quello che vuoi. Ma da dove > > tenti di accedere alla VPN? Dall'esterno o dall'interno? Perché dici che > > eth0 è il router ma non ha regole per lui... > accedo sia dall'esterno che dall'interno. > > Anche con questa regola non riesco ad accedervi.. > iptables -A INPUT -i eth1 -p udp --dport -j ACCEPT Quindi qui provi dall'interno. Devi anche garantire che tutto quello che esce dal tunnel sia ok per la macchina locale: iptables -A INPUT -i tap0 -j ACCEPT Non solo i related ed established perché altrimenti rifiuti i SYN. federico -- Federico Di Gregorio http://people.initd.org/fog Debian GNU/Linux Developer[EMAIL PROTECTED] INIT.D Developer [EMAIL PROTECTED] E tu usa il prefisso corretto Re: non R:, questa è una ML seria. -- cosmos, su debian-italian signature.asc Description: Questa è una parte del messaggio firmata digitalmente
Re: openvpn (e routing)
2007/12/10, Pol Hallen <[EMAIL PROTECTED]>: > Ciao a tutti, > ho un "piccolo" problema di ping tra gli host della vpn :-) > > Vorrei che sia possibile pingare gli host tra loro (sia quelli in locale - > attaccati al server) - sia quelli connessi su internet (passando chiaramente > dalla vpn). > > Ho infatti messo la direttiva client-to-client. > > Dagli host riesco soltanto a pingare ed accedere al server. > > Qui' sotto ho messo le configurazioni > > Qualcuno ha voglia di darci un'occhiata? :-) OpenVPN non configura il routing sul server, si limita a dire ai client che possono accedere a determinate reti mediante il server (o un client). Quindi devi fare una cosa tipo: echo 1 > /proc/sys/net/ipv4/ip_forward Poi abiliti il mascheramento IP e permetti il forward iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -A FORWARD -i tap0 -j ACCEPT iptables -A FORWARD -o tap0 -j ACCEPT -- Dario Pilori Linux registered user #406515 "Per chi intraprende cose belle è bello soffrire, qualsiasi cosa gli tocchi" Platone, /Fedro/
Re: openvpn (e routing)
> OpenVPN non configura il routing sul server, si limita a dire ai > client che possono accedere a determinate reti mediante il server (o > un client). Quindi devi fare una cosa tipo: > echo 1 > /proc/sys/net/ipv4/ip_forward > Poi abiliti il mascheramento IP e permetti il forward > iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE > iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE Questi gia' li avevo :-) > iptables -A FORWARD -i tap0 -j ACCEPT > iptables -A FORWARD -o tap0 -j ACCEPT Questi no e hanno "miracolosamente" risolto il problema! Grazie per il tuo aiuto! :-) Pol -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: openvpn e bridging
Pol Hallen ha scritto: > Ciao a tutti :-) > > ho alcuni problemi tecnici con il bridging e openvpn > > situazione attuale: > > Server > eth0 192.168.0.2 va al router > eth2 192.168.1.1 va alla lan > tap0 10.10.10.1 va alla vpn > > ho installato bridge-utils e cercato howto (tra cui quello ufficiale di > openvpn) ma ancora senza risultati, cioe' non ho ancora capito come mappare > br0. Dipende da cosa vuoi ottenere... Io sono riuscito a metter su una configurazione funzionante su debian collegandomi alla rete privata dell'ufficio facendo il setup in questo modo Server ufficio eth0 (lan interna) 192.168.1.0 netmask 255.255.255.0 eth1 (internet) ip pubblico Ho sostituito eth0 con br0 in interfaces mantenendo gli stessi parametri di rete e aggiungendo un paio di comandi: auto br0 iface br0 inet static address 192.168.1.100 netmask 255.255.255.0 pre-up openvpn --mktun --dev tap0 bridge_ports eth0 tap0 > Invece per quanto riguarda la configurazione di openvpn ho sostituito: > > dev tap con dev tap0 > e la riga server con server-bridge ip netmask Si, anche io ho la riga dev tap0 e poi ho messo queste direttive server-bridge 192.168.1.100 255.255.255.0 192.168.1.180 192.168.1.190 client-to-client in questo modo i client che si collegano appaiono nella lan dell'ufficio prendendo un ip compreso tra il 180 ed il 190, potendo accedere a tutte le risorse smb e alle stampanti, praticamente è come se fossero in ufficio a tutti gli effetti. Inoltre con la direttiva client-to-client possono vedersi anche tra di loro. Una nota, visto che il firewall è configurato tramite shorewall ho dovuto sostituire le occorrenze di eth0 con br0 per far funzionare tutto. L'unico inconveniente di questo approccio è che il comando pre-up openvpn --mktun --dev tap0 se viene ripetuto lancia un warning in quanto trova tap0 già attiva, ma a parte il warning tutto funziona correttamente, compresi i vari networking restart o ifup ifdown. Non so se è questo che ti servisse, spero di esserti stato utile. -- Fabio Napoleoni [EMAIL PROTECTED] "Computer Science is no more about computers than astronomy is about telescopes" Edsger W. Dijkstra -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
openvpn problema lato client
Ciao a tutti :-) openvpn funziona bene, ma alcuni client (con debian testing) a volte mi restituiscono questo errore: Mon Dec 17 11:14:52 2007 us=771636 Cannot load certificate file client1.crt: error:02001002:system library:fopen:No such file or directory: error:20074002:BIO routines:FILE_CTRL:system lib: error:140AD002:SSL routines:SSL_CTX_use_certificate_file:system lib Mon Dec 17 11:14:52 2007 us=772699 Exiting il fatto e' che solo alcune volte, a furia di insistere poi si connette.. qualche idea? Pol -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
openvpn e chiavi buggate
apt-listbugs list openvpn [...] grave bugs of openvpn (2.1~rc7-3 -> ) #483020 - openssl-vulnkey hangs on connecting (Fixed: openvpn/2.1~rc7-4) [...] dpkg -l|grep openvpn ii openvpn 2.1~rc7-3 virtual private network daemon apt-get update && apt-get install openvpn (o comunque upgrade) openvpn is already the newest version Se e' corretto mi spiegate il perche' (visto che e' stato risolto nella rc7-4)? Tnks :-) Pol -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: primi passi openvpn
Il Tuesday 26 August 2008 01:14:49 Lucio Crusca ha scritto: > Ciao a tutti, > > vorrei collegare una casa ed uno studio con openvpn; nello studio c'è un > file server Debian per la LAN, mentre nell'abitazione c'è solo un notebook > senza una LAN. Il problema è che non c'è ip statico in nessuno dei due > posti. Tuttavia posso appoggiarmi ad un server Debian esterno che l'ip > statico ce l'ha, ma chiaramente non fa parte di nessuna delle due LAN da > collegare. È possibile farlo? È possibile farlo con il bridging invece del > routing? > > Grazie, > Lucio. non puoi usare un servizio dyndns? metti il client sul server in azienda, che tiene controllata la lan, e quanda cambia l'indirizzo lo comunica ai server di dyndns. Personalmente in passato l'ho trovato molto comodo. Devi solamente configurarlo in modo che non controlli l'IP della porta di rete, ma l'IP pubblico del router. (dovrebbero esserci le info nel man di ddclient, altrimenti cerca nell'archivio di questa ML con il mio nick, che avevo postato la soluzione circa un annetto fa...) Byez -- Gollum 1 Tessoro, dov'é il mio tesssoro... Questa e-mail, ed i suoi eventuali allegati, contengono informazioni confidenziali e riservate. Se avete ricevuto questa comunicazione per errore non utilizzatene il contenuto e non portatelo a conoscenza di alcuno. Siete inoltre pregati di eliminarla dalla vostra casella e avvisare il mittente. E' da rilevare inoltre che l'attuale infrastruttura tecnologica non puo' garantire l'autenticita' del mittente, ne' tantomeno l'integrita' dei contenuti. Opinioni, conclusioni ed altre informazioni contenute nel messaggio possono rappresentare punti di vista personali a meno di diversa esplicita indicazione autorizzata. -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
