Openvpn - konfiguracja adresów dla wielu klientów

Konfiguracja serwerów, usług, itp.
ODPOWIEDZ
poldas
Beginner
Posty: 105
Rejestracja: 12 grudnia 2006, 08:51

Openvpn - konfiguracja adresów dla wielu klientów

Post autor: poldas »

Witam

Uruchomiłem Openvpn-a w oparciu o certyfikaty (serwer Debian, stacje klienckie Windows), konfiguracja dla jednego klienta nie sprawiła żadnego problemu, pytanie brzmi:

Jak powinny być zdefiniowane zakresy adresów dla stacji klienckich w pliku serwera oraz jak powinno to wyglądać w pliku klienta?

Poniżej konfigi.

Serwer:

Kod: Zaznacz cały

dev tun
               tun-mtu 1500
               ifconfig 10.3.0.1 10.3.0.2

               ; port 5000

                user nobody
                group nobody

               comp-lzo

                  ; ping 15

                  ; ping 15
                  ; ping-restart 45
                  ; ping-timer-rem
                  ; persist-tun
                  ; persist-key

                verb 4
                tls-server
                dh /etc/openvpn/certs/dh1024.pem
                
                # certyfikat wystawcy (CA)
                ca /etc/openvpn/certs/cacert.pem

                # certyfikat bramy
                cert /etc/openvpn/certs/gwcert.pem

                # klucz prywatny bramy 
                key /etc/openvpn/certs/gwkey.pem
                # lub /etc/openvpn/certs/gwkey.pem_bezhasla
                ;eof
Klient:

Kod: Zaznacz cały

                dev tun
                tun-mtu 1500
                ifconfig 10.3.0.2 10.3.0.1

                tls-client

                 Certificate Authority file
                 ca c:\progra~1\openvpn\config\cacert.pem
                
                 # Our certificate/public key
                 cert c:\progra~1\openvpn\config\usercert.pem
                
                 # Our private key
                 key c:\progra~1\openvpn\config\userkey.pem
                
                 ; ping-restart 60
                 ; ping-timer-rem
                 ; persist-tun
                 ; persist-key
                 ; resolv-retry 86400
                
                # # keep-alive ping
                ping 10
                
                # # enable LZO compression
                comp-lzo
                verb 4
                ; eof
Z góry dziękuję za pomoc.
Na górę
Awatar użytkownika
kayo
Posty: 90
Rejestracja: 22 lipca 2007, 12:43

Post autor: kayo »

Klient win32 ma obostrzenia co do adresow ip wykonaj na windowsie komende

Kod: Zaznacz cały

openvpn --show-valid-subnets
da ci to liste dostepnych ip dla klientow. Jeszcze na serwerze musisz podac w konfiguracji ze klienci korzystaja z tego samego certyfikatu - do pliku konfiguracji Openvpn dodaj

Kod: Zaznacz cały

duplicate-cn
Tak wygladaja moje configi
serwer

Kod: Zaznacz cały

local xx.xx.xx.xx
port 5000
proto udp
dev tun0
ca keys/roadwarrior/ca.crt
cert keys/roadwarrior/merynos.crt
key keys/roadwarrior/merynos.key
dh keys/roadwarrior/dh2048.pem
server 192.168.2.0 255.255.255.0
push "route 10.0.0.0 255.0.0.0"
duplicate-cn
crl-verify keys/roadwarrior/crl.pem
cipher BF-CBC
user nobody
group nogroup
status servers/merynos/logs/openvpn-status.log
log-append servers/merynos/logs/openvpn.log
verb 3
mute 20
max-clients 100
keepalive 10 120
client-config-dir /etc/openvpn/servers/merynos/ccd
comp-lzo
persist-key
persist-tun
ccd-exclusive
klient

Kod: Zaznacz cały

client
remote xx.xx.xx.xx 5000
dev tun
proto udp
resolv-retry infinite
nobind
ca c:\\progra~1\\openvpn\\config\\ca.crt
cert c:\\progra~1\\openvpn\\config\\merynosik.crt
key c:\\progra~1\\openvpn\\config\\merynosik.key
comp-lzo
ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key
Powyzsza konfiguracja przydziela automagicznie ip klientowi
Na górę
poldas
Beginner
Posty: 105
Rejestracja: 12 grudnia 2006, 08:51

Post autor: poldas »

Dziękuję za pomoc, oczywiście ruszyło, mam jednak jeszcze kilka pytań:
  1. Czy jest możliwość przydzielenia klientom adresów IP w sposób statyczny tj wpisując je w konfig?
  2. Co konkretnie oznaczają poniższe linie w pliku konfiguracyjnym:

    Kod: Zaznacz cały

    server 192.168.2.0 255.255.255.0 
push "route 10.0.0.0 255.0.0.0"
  3. Oraz poniższe linie:

    Kod: Zaznacz cały

    client-config-dir /etc/openvpn/servers/merynos/ccd 
comp-lzo 
persist-key 
persist-tun 
ccd-exclusive
Z góry dziękuję za informacje.
Na górę
jacexx
Beginner
Posty: 107
Rejestracja: 24 lutego 2009, 12:22

Post autor: jacexx »

Ja równiez przyłączam sie do przedmówcy, bardzo proszę kogoś o wytłumaczenie tych parametrów
Na górę
Cyphermen
Beginner
Posty: 426
Rejestracja: 24 maja 2009, 10:56
Lokalizacja: cze-wa

Post autor: Cyphermen »

Domyślam się że

Kod: Zaznacz cały

server 192.168.2.0 255.255.255.0
push "route 10.0.0.0 255.0.0.0"
oznacza pule adresów z której są one przydzielane serwerowi oraz klientom a także przekierowanie domyślnej trasy bodajże do klienta. Chodzi chyba by dostać się przez tunel do sieci lan gdzie 10.0.0.0 to siec lokalna serwera. Ale głowy za to nie dam.
Na górę
jacexx
Beginner
Posty: 107
Rejestracja: 24 lutego 2009, 12:22

Post autor: jacexx »

No tak, mozna z tego tak wnioskować ale dobrze by było wiedzieć co dokładnie się wpisuje. Może ktoś jeszcze się wypowie i pomoże odszyfrować te magiczne wpisy?
Na górę
Cyphermen
Beginner
Posty: 426
Rejestracja: 24 maja 2009, 10:56
Lokalizacja: cze-wa

Post autor: Cyphermen »

Kod: Zaznacz cały

server 192.168.2.0 255.255.255.0
to pula adresów z których zostaną one przydzielone dla serwera i klientów by stworzyć tunel wirtualny.

Kod: Zaznacz cały

push "route 10.0.0.0 255.0.0.0"
ten adres to zapewne adres sieci lan po stronie klienta, tak by można było dostać się do niej. Tyle wiem i tyle wywnioskowałem z google.pl.
Wydaje mi się że nie, a tu więcej już do wyjaśnienia chyba ze skorygowania mojej wypowiedzi jeśli się mylę.
Na górę
jacexx
Beginner
Posty: 107
Rejestracja: 24 lutego 2009, 12:22

Post autor: jacexx »

No dobrze ale jeżeli mamy podłączając się do serwera dostać adres z puli 192.168.2.0 to po co jeszcze ta sieć z 10.0.0.0?
Na górę
Cyphermen
Beginner
Posty: 426
Rejestracja: 24 maja 2009, 10:56
Lokalizacja: cze-wa

Post autor: Cyphermen »

Bo adres 192.168.2.0 to jest pula adresów do utworzenia połączenia miedzy wami na tej wirtualnej karcie sieciowej.

Natomiast ta sieć 10.0.0.0 to sieć powiedzmy klienta. Sieć wewnętrzna. Powiedzmy że klient jest serwerem sieci lan 10.0.0.0. To żebyś mógł się do niej dostać to musisz mu podać tą drogę.
Na górę
ketchup
Posty: 21
Rejestracja: 01 września 2009, 09:30

Post autor: ketchup »

Witam.
¯eby nie zaczynać nowego tematu to podłącze się tutaj.

  1. Kod: Zaznacz cały

    user nobody
group nogroup
    Oznacza ze vpn będzie startował na uprawnieniach użytkownika nobody.
    w logach mam ostrzeżenie ze użytkownik nobody może nie mieć uprawnień do podniesienia interfejsu wirtualnego.
    Czy uruchamianie na uprawnienia roota (czyli bez tych linijek) może czymś zaszkodzić?

  2. Kod: Zaznacz cały

    tls-server
mode server
    Czy jak nie ma tych linijek w konfigu serwera to znaczy, że połączenie nie jest szyfrowane?
  3. Odpowiedz na dwie linijki
    comp-lzo – to algorytm kompresji
    client-config-dir ccd - to katalog z plikami specyficznych ustawień użytkowników
    Jeśli chcemy aby użytkownicy dostawali za każdym razem ten sam adres IP, możemy w
    pliku dla każdego użytkownika, w katalogu ccd, wpisać:

    Kod: Zaznacz cały

    ifconfig-push <adres klienta> <adres bramy>
    np.:

    Kod: Zaznacz cały

    ifconfig-push 10.8.0.6 10.8.0.5
znalezione w M. Serafin „Sieci VPN”, wyd. Helion
Na górę
ODPOWIEDZ

Wróć do „Serwer”