Strona 3 z 4
: 05 kwietnia 2011, 12:59
autor: maximu856
Dodałem tak jak napisałeś i tu wyciąg z logu. Pominąłem początek bo jet taki jak poprzednio:
Kod: Zaznacz cały
Tue Apr 5 10:56:41 2011 us=145170 OpenVPN 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008
Tue Apr 5 10:56:41 2011 us=145289 WARNING: you are using user/group/chroot without persist-tun -- this may cause restarts to fail
Tue Apr 5 10:56:41 2011 us=145300 WARNING: you are using user/group/chroot without persist-key -- this may cause restarts to fail
Tue Apr 5 10:56:41 2011 us=145334 /usr/sbin/openvpn-vulnkey -q /etc/openvpn/static.key
Tue Apr 5 10:56:41 2011 us=569793 WARNING: file '/etc/openvpn/static.key' is group or others accessible
Tue Apr 5 10:56:41 2011 us=569975 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Apr 5 10:56:41 2011 us=570007 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr 5 10:56:41 2011 us=570062 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Apr 5 10:56:41 2011 us=570074 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr 5 10:56:41 2011 us=570107 LZO compression initialized
Tue Apr 5 10:56:41 2011 us=570306 Note: Cannot open TUN/TAP dev /dev/net/tun: Operation not permitted (errno=1)
Tue Apr 5 10:56:41 2011 us=570320 Note: Attempting fallback to kernel 2.2 TUN/TAP interface
Tue Apr 5 10:56:41 2011 us=571266 Cannot allocate TUN/TAP dev dynamically
Tue Apr 5 10:56:41 2011 us=571281 Exiting
Dostęp jest z poziomu konta roota. Co do certyfikatów, to zainstalowałem je według jakiegoś poradnika, chodź sż one mi niepotrzebne. Wystarczy logowanie za pomocą static.key, bo i tak będzie tylko jeden klient, no może w przyszłości 2. Może trzeba je odinstalować? Jeśli trzeba to byłbym wdzięczny o podpowiedź, jak?
Pozdrawiam.
: 05 kwietnia 2011, 13:53
autor: Cyphermen
Nie trzeba ich odinstalowywać zagalopowałem się trochę z nimi.
Instalowałeś openvpn będąc na zalogowany na konto root?
Dodaj do pliku serwera:
Z jakiegoś powodu on nie może podnieść wirtualnego interfejsu.
: 05 kwietnia 2011, 15:09
autor: maximu856
Tak instalowałem z
konta roota, bo tylko taki mam dostęp, nie
tworzyłem tam żadnych
użytkowników, jest tylko root.
Po wprowadzonych zmianach oto log:
Kod: Zaznacz cały
Tue Apr 5 13:07:22 2011 us=935796 OpenVPN 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008
Tue Apr 5 13:07:22 2011 us=935930 /usr/sbin/openvpn-vulnkey -q /etc/openvpn/static.key
Tue Apr 5 13:07:22 2011 us=988863 WARNING: file '/etc/openvpn/static.key' is group or others accessible
Tue Apr 5 13:07:22 2011 us=989020 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Apr 5 13:07:22 2011 us=989049 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr 5 13:07:22 2011 us=989109 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Apr 5 13:07:22 2011 us=989124 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr 5 13:07:22 2011 us=989158 LZO compression initialized
Tue Apr 5 13:07:22 2011 us=989342 Note: Cannot open TUN/TAP dev /dev/net/tun: Operation not permitted (errno=1)
Tue Apr 5 13:07:22 2011 us=989356 Note: Attempting fallback to kernel 2.2 TUN/TAP interface
Tue Apr 5 13:07:22 2011 us=990046 Cannot allocate TUN/TAP dev dynamically
Tue Apr 5 13:07:22 2011 us=990062 Exiting
: 05 kwietnia 2011, 15:45
autor: Cyphermen
Jaką masz wersję Debiana?
Wklej tutaj wynik polecenia:
Dodatkowo usuń chwilowo z serwera i klienta dyrektywy:
i wpisz do nich:
: 06 kwietnia 2011, 00:45
autor: maximu856
Wersja Debiana:
Kod: Zaznacz cały
Linux 2.6.32-4-pve #1 SMP Wed Dec 15 14:04:31 CET 2010 i686 GNU/Linux
to się wydaje, że tu coś jest nie tak z tym dev tun, bo jak wpiszę:
to wychodzi:
Kod: Zaznacz cały
openvpn --dev tun
Tue Apr 5 22:43:55 2011 OpenVPN 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008
Tue Apr 5 22:43:55 2011 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Tue Apr 5 22:43:55 2011 ******* WARNING *******: all encryption and authentication features disabled -- all data will be tunnelled as cleartext
Tue Apr 5 22:43:55 2011 Note: Cannot ioctl TUNSETIFF tun: Inappropriate ioctl for device (errno=25)
Tue Apr 5 22:43:55 2011 Note: Attempting fallback to kernel 2.2 TUN/TAP interface
Tue Apr 5 22:43:55 2011 Cannot allocate TUN/TAP dev dynamically
Tue Apr 5 22:43:55 2011 Exiting
Ponadto po usunięciu i wpisaniu tego co podałeś nic się nie zmienia.
: 06 kwietnia 2011, 08:30
autor: Cyphermen
To powiem szczerze nie wiem co jest nie tak. Informuje, że nie można wystartować wirtualnego interfejsu tun.
Masz możliwość skopiowania tych plików wszystkich i przeinstalowanie tego Debiana? Bo u mnie wszystko działa bez problemów. Działa to w dwóch firmach i nie mam żadnych problemów.
Jedyna różnica to, że ja działam na certyfikatach ale to nie jest powód, że nie działa u ciebie bo na ,,shared key'' też to robiłem i działało.
: 07 kwietnia 2011, 13:50
autor: maximu856
Niestety nie mam możliwości reinstalacji Debiana. Tzn teoretycznie jest, ale jest to VPS i taka reinstalacja sporo kosztuje. Poczytam
w sieci i wykupię taki, na którym już ktoś
uruchomił tunel.
Pozdrawiam
Edycja:
Napisałem do
pomocy technicznej moje
go VPS-a i dostałem taką odpowiedź:
You need the TUN/TAP device enabled on the host machine, we will do that and then update you.
Best regards
To jak włączą będę próbował dalej.
: 07 kwietnia 2011, 19:13
autor: Cyphermen
Czyli lipa, że oni to muszą zrobić. Prawdopodobnie to załatwi sprawę.
: 14 kwietnia 2011, 03:41
autor: maximu856
Witam.
Dopiero dziś mi włączyli ten TUN/TAP.
Jako Openvpn wszystko gra, Debiany się widzą, można wysyłać ping. Zostały tylko reguły przekierowania portów.
Potrzebuję przekierować kilka portów, np. 9600, 9700, 9800, 9900 na klienta openvpn: 10.8.0.2 i tylko te porty, reszty nie.
A, i zanim mi odpiszesz, to dodam, że ruch wracający ma iść także przez VPS, czyli:
Kod: Zaznacz cały
pakiet, port 9600 ==> VPS (serwer openvpn) ==> przekierowanie na 10.8.0.2:9600 (klient openvpn - mój komputer z Debianem) || odpowiedź serwera na PC Debian ==> przekierowanie na 10.8.0.1 ==> adres ip skąd przyszedł pakiet
Pozdrawiam.
: 14 kwietnia 2011, 11:37
autor: Cyphermen
Będąc połączonym tunelem vpn spróbuj wpisać:
Kod: Zaznacz cały
iptables -t nat -I PREROUTING -p tcp --dport 9600 -j DNAT --to 10.8.0.2:9600
pod warunkiem że ten port puszczasz po tcp bo może też być udp więc wtedy musisz wpisać stosowny protokół.