Dost

[nieznany]

Cześć.
Mam problem z konfiguracją VPN w firmie.

Siec wygląda następująco:

• 3 komputery z Windows7 [pc1 (192.168.1.100), pc2 (dhcp), pc3 (dhcp)],
• komputery z Windows 7 są za routerem Linksys [192.168.1.1],
• serwer z Debian Lenny dostępny przez Internet (srv01) - serwer nie znajduje się w sieci lan.

Na srv01 zainstalowałem serwer OpenVPN.
Na komputerze pc1 zainstalowałem klienta OpenVPN.

Wszystko poszło dobrze i mogę wykonać

Kod: Zaznacz cały

ping [B]pc1[/B] -> [B]srv01[/B]

Chcę, aby pozostałe komputery miały dostęp do VPN przez komputer pc1.

W tym celu zastosowałem konfigurację jak poniżej:

Dodałem następującą trasę do rutera Linksys:

Kod: Zaznacz cały

Destination LAN - 10.8.0.0
IP  Subnet Mask - 255.255.255.0
Gateway - 192.168.1.100
Interface -  LAN & Wireless

Plik konfiguracyjny klienta:

Kod: Zaznacz cały

dev tun
client
remote  94.124.5.34
proto udp
port 17003
nobind
ca cacert.pem
cert  usercert.pem
key userkey.pem
comp-lzo
verb 3

Plik konfiguracyjny serwera:

Kod: Zaznacz cały

local 94.124.5.34
port 17003
proto  udp
dev tun

ca cacert.pem
cert openvpncert.pem
key  openvpnkey.pem  # This file should be kept secret
dh dh1024.pem

server  10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir  ccd
route 192.168.1.0 255.255.255.0

push "dhcp-option DNS  208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

client-to-client

keepalive  10 120
comp-lzo

max-clients 20

persist-key
persist-tun

status  openvpn-status.log

verb 3

Dla klienta pc1 zdefiniowałem też plik ccd/pc1 o następującej zawartości:

Kod: Zaznacz cały

iroute  192.168.1.0 255.255.255.0

Mimo to komputery w sieci lan nie widzą serwera VPN.

Docelowo chciałbym, aby osoby pracujące poza biurem miały dostęp do sieci lan (www, samba), czy konfiguracja, którą próbuję uruchomić jest odpowiednia?

Każda pomoc będzie mile widziana.

Pozdrawiam serdecznie,
Piotr Repetowski

[adasiek_j]

A na tym PC z Windows (który jest p2p do serwera srv), to zrobiłeś NAT i odpowiednie regułki, aby Windows był w stanie tunelować pakiety?
Ja takie rozwiązania robiłem, ale zamiast Windows był Linux, ewentualnie zamiast linkssysa zrób sobie http://www.ipcop.org i wtedy będziesz mógł zrobić sobie na nim serwer ipsec dla klientów road-warrior i będziesz miał co chcesz.

Adam

[nieznany]

Dodałem taki wpis za pośrednictwem OpenVPN

Kod: Zaznacz cały

iroute  192.168.1.0 255.255.255.0

Pomysł z ipsec jest dobry, ale wymaga aby komputer, który go uruchamia był dostępny z zewnątrz.

Mam jeszcze pytanie do osób, które z VPNem mają styczność na co dzień. Czy to co próbuję zrobić jest dobrym pomysłem? Bo mam wrażenie, że najlepiej byłoby aby serwer VPN był w biurze i udostępniał sieć zewnętrznym kompom. Natomiast w moim przypadku sieć biurowa jest niedostępna z zewnątrz, jedynie osobny serwer w Internecie może stanowić pośrednika w dostępie do sieci i przez to wszystko się komplikuje.

Czy spotykacie się z takimi rozwiązaniami? Jak one się sprawdzają w przypadku uruchamianiu na nich różnych usług sieciowych np. samby, www, ftp?

Pozdrawiam,
Piotr Repetowski

[adasiek_j]

Nie sprawdzają się. Jeśli twój LAN jako domyślna brama ma maszynę, która NIE ma publicznego ip, to jedyne, co możesz zrobić, to to, co zrobiłeś, ale zamiast windowsowej maszyny powinieneś użyć Linuksa. I jeszcze w openVPN dać taki konfig, aby każdy klient "widział się" wzajemnie.
Wtedy masz szansę, że maszyna X podłączona do internetu jako klient serwera vpn będzie "widziała" dzięki tej konfiguracji komputery w sieci lan za tym komputerem (nazwijmy go Z), który z Linuksem będzie "quasi" bramą.

Zagmatwane - powinno być jednak wykonalne.
Adam