przekierowanie portów poza nat

maximu856 · Post autor: **maximu856** » 05 kwietnia 2011, 12:59

Dodałem tak jak napisałeś i tu wyciąg z logu. Pominąłem początek bo jet taki jak poprzednio:

Tue Apr  5 10:56:41 2011 us=145170 OpenVPN 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008
Tue Apr  5 10:56:41 2011 us=145289 WARNING: you are using user/group/chroot without persist-tun -- this may cause restarts to fail
Tue Apr  5 10:56:41 2011 us=145300 WARNING: you are using user/group/chroot without persist-key -- this may cause restarts to fail
Tue Apr  5 10:56:41 2011 us=145334 /usr/sbin/openvpn-vulnkey -q /etc/openvpn/static.key
Tue Apr  5 10:56:41 2011 us=569793 WARNING: file '/etc/openvpn/static.key' is group or others accessible
Tue Apr  5 10:56:41 2011 us=569975 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Apr  5 10:56:41 2011 us=570007 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr  5 10:56:41 2011 us=570062 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Apr  5 10:56:41 2011 us=570074 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr  5 10:56:41 2011 us=570107 LZO compression initialized
Tue Apr  5 10:56:41 2011 us=570306 Note: Cannot open TUN/TAP dev /dev/net/tun: Operation not permitted (errno=1)
Tue Apr  5 10:56:41 2011 us=570320 Note: Attempting fallback to kernel 2.2 TUN/TAP interface
Tue Apr  5 10:56:41 2011 us=571266 Cannot allocate TUN/TAP dev dynamically
Tue Apr  5 10:56:41 2011 us=571281 Exiting

Dostęp jest z poziomu konta roota. Co do certyfikatów, to zainstalowałem je według jakiegoś poradnika, chodź sż one mi niepotrzebne. Wystarczy logowanie za pomocą static.key, bo i tak będzie tylko jeden klient, no może w przyszłości 2. Może trzeba je odinstalować? Jeśli trzeba to byłbym wdzięczny o podpowiedź, jak?

Pozdrawiam.

Cyphermen · Post autor: **Cyphermen** » 05 kwietnia 2011, 13:53

Nie trzeba ich odinstalowywać zagalopowałem się trochę z nimi.

Instalowałeś openvpn będąc na zalogowany na konto root?

Dodaj do pliku serwera:

Kod: Zaznacz cały

persist-tun i persist-key

Z jakiegoś powodu on nie może podnieść wirtualnego interfejsu.

maximu856 · Post autor: **maximu856** » 05 kwietnia 2011, 15:09

Tak instalowałem z konta roota, bo tylko taki mam dostęp, nie tworzyłem tam żadnych użytkowników, jest tylko root.
Po wprowadzonych zmianach oto log:

Kod: Zaznacz cały

Tue Apr  5 13:07:22 2011 us=935796 OpenVPN 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008
Tue Apr  5 13:07:22 2011 us=935930 /usr/sbin/openvpn-vulnkey -q /etc/openvpn/static.key
Tue Apr  5 13:07:22 2011 us=988863 WARNING: file '/etc/openvpn/static.key' is group or others accessible
Tue Apr  5 13:07:22 2011 us=989020 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Apr  5 13:07:22 2011 us=989049 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr  5 13:07:22 2011 us=989109 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Apr  5 13:07:22 2011 us=989124 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr  5 13:07:22 2011 us=989158 LZO compression initialized
Tue Apr  5 13:07:22 2011 us=989342 Note: Cannot open TUN/TAP dev /dev/net/tun: Operation not permitted (errno=1)
Tue Apr  5 13:07:22 2011 us=989356 Note: Attempting fallback to kernel 2.2 TUN/TAP interface
Tue Apr  5 13:07:22 2011 us=990046 Cannot allocate TUN/TAP dev dynamically
Tue Apr  5 13:07:22 2011 us=990062 Exiting

Cyphermen · Post autor: **Cyphermen** » 05 kwietnia 2011, 15:45

Jaką masz wersję Debiana?

Wklej tutaj wynik polecenia:

Kod: Zaznacz cały

uname -a

Dodatkowo usuń chwilowo z serwera i klienta dyrektywy:

Kod: Zaznacz cały

tcp-server  tcp-klient

i wpisz do nich:

Kod: Zaznacz cały

proto udp
port 5000

maximu856 · Post autor: **maximu856** » 06 kwietnia 2011, 00:45

Wersja Debiana:

Kod: Zaznacz cały

Linux  2.6.32-4-pve #1 SMP Wed Dec 15 14:04:31 CET 2010 i686 GNU/Linux

Mnie to się wydaje, że tu coś jest nie tak z tym dev tun, bo jak wpiszę:

Kod: Zaznacz cały

openvpn --dev tun

to wychodzi:

Kod: Zaznacz cały

openvpn --dev tun
Tue Apr  5 22:43:55 2011 OpenVPN 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008
Tue Apr  5 22:43:55 2011 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Tue Apr  5 22:43:55 2011 ******* WARNING *******: all encryption and authentication features disabled -- all data will be tunnelled as cleartext
Tue Apr  5 22:43:55 2011 Note: Cannot ioctl TUNSETIFF tun: Inappropriate ioctl for device (errno=25)
Tue Apr  5 22:43:55 2011 Note: Attempting fallback to kernel 2.2 TUN/TAP interface
Tue Apr  5 22:43:55 2011 Cannot allocate TUN/TAP dev dynamically
Tue Apr  5 22:43:55 2011 Exiting

Ponadto po usunięciu i wpisaniu tego co podałeś nic się nie zmienia.

Cyphermen · Post autor: **Cyphermen** » 06 kwietnia 2011, 08:30

To powiem szczerze nie wiem co jest nie tak. Informuje, że nie można wystartować wirtualnego interfejsu tun.

Masz możliwość skopiowania tych plików wszystkich i przeinstalowanie tego Debiana? Bo u mnie wszystko działa bez problemów. Działa to w dwóch firmach i nie mam żadnych problemów.

Jedyna różnica to, że ja działam na certyfikatach ale to nie jest powód, że nie działa u ciebie bo na ,,shared key'' też to robiłem i działało.

maximu856 · Post autor: **maximu856** » 07 kwietnia 2011, 13:50

Niestety nie mam możliwości reinstalacji Debiana. Tzn teoretycznie jest, ale jest to VPS i taka reinstalacja sporo kosztuje. Poczytam w sieci i wykupię taki, na którym już ktoś uruchomił tunel.
Pozdrawiam

Edycja:
Napisałem do pomocy technicznej mojego VPS-a i dostałem taką odpowiedź:

You need the TUN/TAP device enabled on the host machine, we will do that and then update you.

Best regards

To jak włączą będę próbował dalej.

Cyphermen · Post autor: **Cyphermen** » 07 kwietnia 2011, 19:13

Czyli lipa, że oni to muszą zrobić. Prawdopodobnie to załatwi sprawę.

maximu856 · Post autor: **maximu856** » 14 kwietnia 2011, 03:41

Witam.
Dopiero dziś mi włączyli ten TUN/TAP.

Jako Openvpn wszystko gra, Debiany się widzą, można wysyłać ping. Zostały tylko reguły przekierowania portów.
Potrzebuję przekierować kilka portów, np. 9600, 9700, 9800, 9900 na klienta openvpn: 10.8.0.2 i tylko te porty, reszty nie.

A, i zanim mi odpiszesz, to dodam, że ruch wracający ma iść także przez VPS, czyli:

Kod: Zaznacz cały

pakiet, port 9600 ==> VPS (serwer openvpn) ==> przekierowanie na 10.8.0.2:9600 (klient openvpn - mój komputer z Debianem) || odpowiedź serwera na PC Debian ==> przekierowanie na 10.8.0.1 ==> adres ip skąd przyszedł pakiet

Pozdrawiam.

Cyphermen · Post autor: **Cyphermen** » 14 kwietnia 2011, 11:37

Będąc połączonym tunelem vpn spróbuj wpisać:

Kod: Zaznacz cały

iptables -t nat -I PREROUTING -p tcp --dport 9600 -j DNAT --to 10.8.0.2:9600

pod warunkiem że ten port puszczasz po tcp bo może też być udp więc wtedy musisz wpisać stosowny protokół.