15.01.2014 16:52, Роман пишет:
Вот это правило прокатило.
iptables -A INPUT -p tcp -m tcp --dport 11194 -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT
Можете кинуть мне свой конфиг сервера OprnVPN и клиента.
Меня интересует как вы создаете tap и параметры для клиенты от DHCP
получают или как то иначе?
VS> 14.01.2014 16:47, Роман пишет:
а я уже и так делал
-A INPUT -p tcp -m tcp --dport 11194 -j ACCEPT
не вышло... может потому что впн через tap ?
другой интерфейс?
VS> 14.01.2014 15:56, Роман пишет:
Добрый день!
Настраиваю VPN сервер и уже есть IPtables с настроненными правилами
для почты.
ПРописил на нем
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 1194 -j ACCEP
VS> попробуйте без -m state --state NEW
VS> и букву P в конце не забудьте.
VS> Попробуй так, ну еще output добавь
VS> У меня без них работает и тот же tap используется
VS> iptables -A INPUT -i tap+ -j ACCEPT
VS> iptables -A FORWARD -i tap+ -j ACCEPT
(да, у меня tcp, а не udp)
подключение принимается, сниффер на сервере видит обращения от
клиента, но соединение не устанавливается. Выключаю iptables stop
и все подключается.
Отсюда вопрос - как мне понять, что надо разрешить?
ПО идее можно было бы посмотреть, что блокируется с данного IP или в
сторону данного IP и разрешить это. НО я не знак как мониторить....
VS> --
VS> --
VS> Faithfully yours,
VS> Vladimir Skubriev
VS> --
VS> --
VS> Faithfully yours,
VS> Vladimir Skubriev
Я настраиваю с помощью opscode chef cookbook openvpn )
server.conf:
# OpenVPN server config file
#
# Generated by Chef - local changes will be overwritten
port 1194
proto udp
dev tun
keepalive 10 120
comp-lzo
local XX.XX.XX.XX
push 'route 192.168.128.0 255.255.255.0'
# Keys and certificates.
ca /etc/openvpn/keys/ca.crt
key /etc/openvpn/keys/server.key # This file should be kept secret.
cert /etc/openvpn/keys/server.crt
dh /etc/openvpn/keys/dh1024.pem
ifconfig-pool-persist /etc/openvpn/ipp.txt
server 10.8.0.0 255.255.0.0
user nobody
group nogroup
# avoid accessing certain resources on restart
persist-key
persist-tun
# current client connections
status /etc/openvpn/openvpn-status.log
# logging settings.
log-append /var/log/openvpn.log
verb 1 # don't spam the log with messages.
mute 10 # suppress identical messages > 10 occurances.
script-security 1
skubriev.conf:
client
dev tun
proto udp
remote gate.example.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert skubriev.crt
key skubriev.key
comp-lzo
verb 3
роль openvpn сервера:
{
"name": "openvpn_server",
"description": "The server that runs OpenVPN",
"json_class": "Chef::Role",
"default_attributes": {
},
"override_attributes": {
"openvpn": {
"routes": [
"push 'route 192.168.128.0 255.255.255.0'"
],
"netmask": "255.255.0.0",
"gateway": "gate.example.com",
"key": {
"country": "RU",
"city": "CityTown",
"email": "ad...@int.example.com",
"province": "61",
"org": "ExampleCOM"
},
"subnet": "10.8.0.0"
}
},
"chef_type": "role",
"run_list": [
"recipe[openvpn]",
"recipe[openvpn::users_ldap]"
],
"env_run_lists": {
}
}
"recipe[openvpn::users_ldap]" - дописывал сам )
Рекомендую обратить внимание на chef-solo (и если будет время berkshelf)
При помощи chef-solo и измененной роли если вникнуть в chef-solo,
openvpn настраивается одной командой )
Остаеться только раздать архивы с конфигами юзерам.
Инструкция для юзеров тоже есть если что.
Если еще что то надо пишите.
--
--
Faithfully yours,
Vladimir Skubriev
--
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
