Witam,
Chce mieć dostęp do sieci 192.168.0.0/24 z zewnątrz, poprotu jestem w gdzies tam w swiecie łącze sie z serwerem np za pomoca VPN, a moj adres jest w tej samej pod sieci chodzi oto zeby działały usługi broadcastowe. Zrobilem na openvpn Bridge, wszystko ladnie pieknie tylko ze zaczynaja sie cuda dziac, jak jakis klient połaczy sie z serwerem ftp (proftpd), postfix przestaja działac jedynie jest donich dostęp z serwera tak jagby przestały nasłuchiwać na innych interfejsach . Jak sie rozłacze to po czasie wraca do normy, w logach nic niema.
Natepna sprawa to jak zrobic zeby mogło się łączyc wielu klientów przez jedno połączenie tap0 jak ktos sie połączy dostaje 1 adres z puli i tego co jest połączony wypina.
Jestem strasznie zielony, z linuxem mam doczynie od niespelna pol roku, a z zagadnieniami sieciowymi jescze mniej wiec ... prosze o wyrozumialosc
Dost
Nie wiem czy dobrzre Ciebie zrozumialem. Ale
1. uzywam openvpna i co prawda troche sie wiesza ale nie robi szopek z ftepem i pozostalumi uslugami. Zdaje sobie sprawe ze to nie rozwiazanie problemu.
2. W pracy mam tak skonfigurowane ze kazdy kto ma uzywac VPNa ma oddzielny numerek i jest ok, nie wiem czy o to chodzilo. Jezeli bedziesz zainteresowany jak to zrobic to pokaze config.
1. uzywam openvpna i co prawda troche sie wiesza ale nie robi szopek z ftepem i pozostalumi uslugami. Zdaje sobie sprawe ze to nie rozwiazanie problemu.
2. W pracy mam tak skonfigurowane ze kazdy kto ma uzywac VPNa ma oddzielny numerek i jest ok, nie wiem czy o to chodzilo. Jezeli bedziesz zainteresowany jak to zrobic to pokaze config.
Kod: Zaznacz cały
# cat /etc/openvpn/vpn_stepek.conf
dev tun
tun-mtu 1500
local 192.168.1.4
ifconfig 10.0.3.1 10.0.3.2
port xxxx
proto tcp-server
user nobody
group nobody
persist-tun
persist-key
verb 1
secret /etc/openvpn/static.key
Tylko ze u mnie jest to troche bardziej skomplikowane bolaczy soie to najpier z serwerem zewnetrzyym, pozniej dopiero z tym co widzisz ale mysle ze jak trochje poczytasz to sam dojdziesz jak to zrobic a jak sie nie uda to pomoge
Nie jestem pewien czy to jest możliwe...Natepna sprawa to jak zrobic zeby mogło się łączyc wielu klientów przez jedno połączenie tap0 jak ktos sie połączy dostaje 1 adres z puli i tego co jest połączony wypina.
kiedyś sie zagłebiałem w ten temat... jakies 1 miech temu i z tego co zakumałem jeszcze nie jest możliwe "dzielenie" portu
Ponieważ transmisja jest nawiązywana z portem np 1400 i na nim się puxniej ciągnie nie jest przestawiana nigdzie wyżej...
z tego co patrzałem w dokumentacje to tam pisze że mieli to zmienić ale czy już zmienili nie wiem ..
a co do configa stepek, to nie jest to przypadkiem config który umożliwia dostanie się tylko do serwera a reszta musi być już routowana?
stepek z tego co widze to jest to tunelowane połączenie i adresy osob podłaczonych są w innej podsieci, czyli broadcast 192.168.1.255 w twoim przypadku nie bedzie dzialal w sieci 10.0.3.0 a czy wogole połącznie tunelowane przenosza broadcast?? Bo glownie mi oto chodzi.
Jakop
Poczytałem troche dokumentacje openvpn i rzezywiscie wersja 2.X juz posiada obsługę wielu użytkowników jednak mój poziom angielszczyzny jest na tak marnym poziomie że nie czaje jak zrobić to żeby działało. A może przez dhcp-a przyznawać adresy po mac adresie?
No i własnie jak jest z tym tunnelowanie, a bridgem ?? Czy połączenie tapX to jeż połączenie tunelowane tylko można je zmostkować. I czy w przypadku samego tunnelowanie i nadania adresu połączenie tun0 192.168.0.2 i odpowiedniemu routingu też by wszystkie protokoły i broadcast byłby przenoszony przez TCP/IP oraz miałbym dostęp do sieci a serwer miał 2
adresy, nie wspominając o połączeniu z modemem ??
Bedę musiał to sprawdzić ale dopiero w sobote.
Może ktoś zna alternatywny dostęp do sieci z zewnątrz? Dodam ze chodzi mi o dostęp użytkowników windowsowskich
Jakop
Czyli pozostaje mi dla każdego klienta odpalac openvpn z inna konfiguracja odłacznie portu... Straszna lipa niema problemu przy 3, 4 osobach ale to jest klopotliwe w moim przypadku gdzie jest tych osob kolo 15 !! :/kiedyś sie zagłebiałem w ten temat... jakies 1 miech temu i z tego co zakumałem jeszcze nie jest możliwe "dzielenie" portu
Poczytałem troche dokumentacje openvpn i rzezywiscie wersja 2.X juz posiada obsługę wielu użytkowników jednak mój poziom angielszczyzny jest na tak marnym poziomie że nie czaje jak zrobić to żeby działało. A może przez dhcp-a przyznawać adresy po mac adresie?
No i własnie jak jest z tym tunnelowanie, a bridgem ?? Czy połączenie tapX to jeż połączenie tunelowane tylko można je zmostkować. I czy w przypadku samego tunnelowanie i nadania adresu połączenie tun0 192.168.0.2 i odpowiedniemu routingu też by wszystkie protokoły i broadcast byłby przenoszony przez TCP/IP oraz miałbym dostęp do sieci a serwer miał 2
adresy, nie wspominając o połączeniu z modemem ??
Bedę musiał to sprawdzić ale dopiero w sobote.
Może ktoś zna alternatywny dostęp do sieci z zewnątrz? Dodam ze chodzi mi o dostęp użytkowników windowsowskich
dziala to tak ze faktycznie jedno polaczenie jest tunelowane ale jak sie wglebisz w temat to na podstawie tego pluku stworzysz sobie to co chcesz miec u siebie. I u mnie wszystko smiga tak jak smigac powinno.Troche nie do konca rozumiem Twoja wypowiedz (gdzies brakuje jakiegos znaczka interpunkcyjnego i nie wiem jak mam zinterpretowac zdanie).
Ktorego zadania ?stepek pisze:
Troche nie do konca rozumiem Twoja wypowiedz (gdzies brakuje jakiegos znaczka interpunkcyjnego i nie wiem jak mam zinterpretowac zdanie).
A ipsec nie jest lepszym rozwiązaniem?
w zeszłym roku stawiałem takie rozwiązanie i chodziło ono na bardzo starym serverze a obsługiwałem do 150 połączeń.
rzeczywiście jeśli masz standard config to można tap0 łączyć jednego usera na raz ...
ja to obszedłem implementując certyfikaty - http://openvpn.net/easyrsa.html
każdy user miał u mnie swój cert - swój IP - mogłem logować każdego poczynania itd.
powiem CI, że OpenVpn sprawdził się, nie rwało go nic ...
a z takich uwag praktycznych warto np wskazać mu route na sieć wewn w configu poleceniem:
ROUTE ADD ... (zobacz helpa do windy - w windzie masz to ładnie opisane po polsku) - a i ew. warto też wskazać DNSa sieci wewn. żeby można było się odwoływać do urządzeń z sieci wewn. po ich nazwach (poleceniem NAMESERVER <ip>)
rzeczywiście jeśli masz standard config to można tap0 łączyć jednego usera na raz ...
ja to obszedłem implementując certyfikaty - http://openvpn.net/easyrsa.html
każdy user miał u mnie swój cert - swój IP - mogłem logować każdego poczynania itd.
powiem CI, że OpenVpn sprawdził się, nie rwało go nic ...
a z takich uwag praktycznych warto np wskazać mu route na sieć wewn w configu poleceniem:
ROUTE ADD ... (zobacz helpa do windy - w windzie masz to ładnie opisane po polsku) - a i ew. warto też wskazać DNSa sieci wewn. żeby można było się odwoływać do urządzeń z sieci wewn. po ich nazwach (poleceniem NAMESERVER <ip>)
a IPsec nie wymaga czasem stałych IP po obu stronach? (przy dynamic IP można się łączyć ale trzeba zmienić zawsze IP w configu? czy się mylę?)szakal_kp pisze:Ktorego zadania ?stepek pisze:
Troche nie do konca rozumiem Twoja wypowiedz (gdzies brakuje jakiegos znaczka interpunkcyjnego i nie wiem jak mam zinterpretowac zdanie).
A ipsec nie jest lepszym rozwiązaniem?