Strona 1 z 2
Dostęp do sieci wewnętrznej z internetu.
: 07 maja 2007, 23:06
autor: szakal_kp
Witam,
Chce mieć dostęp do sieci 192.168.0.0/24 z zewnątrz, poprotu jestem w gdzies tam w swiecie łącze sie z serwerem np za pomoca VPN, a moj adres jest w tej samej pod sieci chodzi oto zeby działały usługi broadcastowe. Zrobilem na openvpn Bridge, wszystko ladnie pieknie tylko ze zaczynaja sie cuda dziac, jak jakis klient połaczy sie z serwerem ftp (proftpd), postfix przestaja działac jedynie jest donich dostęp z serwera tak jagby przestały nasłuchiwać na innych interfejsach . Jak sie rozłacze to po czasie wraca do normy, w logach nic niema.
Natepna sprawa to jak zrobic zeby mogło się łączyc wielu klientów przez jedno połączenie tap0 jak ktos sie połączy dostaje 1 adres z puli i tego co jest połączony wypina.
Jestem strasznie zielony, z linuxem mam doczynie od niespelna pol roku, a z zagadnieniami sieciowymi jescze mniej wiec ... prosze o wyrozumialosc
: 08 maja 2007, 07:46
autor: stepek
Nie wiem czy dobrzre Ciebie zrozumialem. Ale
1. uzywam openvpna i co prawda troche sie wiesza ale nie robi szopek z ftepem i pozostalumi uslugami. Zdaje sobie sprawe ze to nie rozwiazanie problemu.
2. W pracy mam tak skonfigurowane ze kazdy kto ma uzywac VPNa ma oddzielny numerek i jest ok, nie wiem czy o to chodzilo. Jezeli bedziesz zainteresowany jak to zrobic to pokaze config.
: 08 maja 2007, 08:45
autor: szakal_kp
stepek pisze:
2. W pracy mam tak skonfigurowane ze kazdy kto ma uzywac VPNa ma oddzielny numerek i jest ok, nie wiem czy o to chodzilo. Jezeli bedziesz zainteresowany jak to zrobic to pokaze config.
Bardzo jestem zainteresowany ty configiem
: 08 maja 2007, 10:36
autor: stepek
Kod: Zaznacz cały
# cat /etc/openvpn/vpn_stepek.conf
dev tun
tun-mtu 1500
local 192.168.1.4
ifconfig 10.0.3.1 10.0.3.2
port xxxx
proto tcp-server
user nobody
group nobody
persist-tun
persist-key
verb 1
secret /etc/openvpn/static.key
tak wyglada moj config tylko w porcie nalezy wpisac jakies cyferki
Tylko ze u mnie jest to troche bardziej skomplikowane bolaczy soie to najpier z serwerem zewnetrzyym, pozniej dopiero z tym co widzisz ale mysle ze jak trochje poczytasz to sam dojdziesz jak to zrobic a jak sie nie uda to pomoge
: 08 maja 2007, 14:42
autor: Jakop
Natepna sprawa to jak zrobic zeby mogło się łączyc wielu klientów przez jedno połączenie tap0 jak ktos sie połączy dostaje 1 adres z puli i tego co jest połączony wypina.
Nie jestem pewien czy to jest możliwe...
kiedyś sie zagłebiałem w ten temat... jakies 1 miech temu i z tego co zakumałem jeszcze nie jest możliwe "dzielenie" portu
Ponieważ transmisja jest nawiązywana z portem np 1400 i na nim się puxniej ciągnie nie jest przestawiana nigdzie wyżej...
z tego co patrzałem w dokumentacje to tam pisze że mieli to zmienić ale czy już zmienili nie wiem ..
a co do configa
stepek, to nie jest to przypadkiem config który umożliwia dostanie się tylko do serwera a reszta musi być już routowana?
: 08 maja 2007, 19:04
autor: szakal_kp
stepek z tego co widze to jest to tunelowane połączenie i adresy osob podłaczonych są w innej podsieci, czyli broadcast 192.168.1.255 w twoim przypadku nie bedzie dzialal w sieci 10.0.3.0 a czy wogole połącznie tunelowane przenosza broadcast?? Bo glownie mi oto chodzi.
Jakop
kiedyś sie zagłebiałem w ten temat... jakies 1 miech temu i z tego co zakumałem jeszcze nie jest możliwe "dzielenie" portu
Czyli pozostaje mi dla każdego klienta odpalac openvpn z inna konfiguracja odłacznie portu... Straszna lipa niema problemu przy 3, 4 osobach ale to jest klopotliwe w moim przypadku gdzie jest tych osob kolo 15 !! :/
Poczytałem troche dokumentacje openvpn i rzezywiscie wersja 2.X juz posiada obsługę wielu użytkowników jednak mój poziom angielszczyzny jest na tak marnym poziomie że nie czaje jak zrobić to żeby działało. A może przez dhcp-a przyznawać adresy po mac adresie?
No i własnie jak jest z tym tunnelowanie, a bridgem ?? Czy połączenie tapX to jeż połączenie tunelowane tylko można je zmostkować. I czy w przypadku samego tunnelowanie i nadania adresu połączenie tun0 192.168.0.2 i odpowiedniemu routingu też by wszystkie protokoły i broadcast byłby przenoszony przez TCP/IP oraz miałbym dostęp do sieci a serwer miał 2
adresy, nie wspominając o połączeniu z modemem ??
Bedę musiał to sprawdzić ale dopiero w sobote.
Może ktoś zna alternatywny dostęp do sieci z zewnątrz? Dodam ze chodzi mi o dostęp użytkowników windowsowskich
: 09 maja 2007, 12:18
autor: stepek
dziala to tak ze faktycznie jedno polaczenie jest tunelowane ale jak sie wglebisz w temat to na podstawie tego pluku stworzysz sobie to co chcesz miec u siebie. I u mnie wszystko smiga tak jak smigac powinno.
Troche nie do konca rozumiem Twoja wypowiedz (gdzies brakuje jakiegos znaczka interpunkcyjnego i nie wiem jak mam zinterpretowac zdanie).
: 09 maja 2007, 22:29
autor: aru
iptables -A INPUT -m mac --mac-source XX:XX:XX:XX:XX -j ACCEPT ?
: 10 maja 2007, 16:10
autor: szakal_kp
stepek pisze: dziala to tak ze faktycznie jedno polaczenie jest tunelowane ale jak sie wglebisz w temat to na podstawie tego pluku stworzysz sobie to co chcesz miec u siebie. I u mnie wszystko smiga tak jak smigac powinno.
Troche nie do konca rozumiem Twoja wypowiedz (gdzies brakuje jakiegos znaczka interpunkcyjnego i nie wiem jak mam zinterpretowac zdanie).
Ktorego zadania ?
A ipsec nie jest lepszym rozwiązaniem?
: 11 maja 2007, 16:00
autor: Hunt
w zeszłym roku stawiałem takie rozwiązanie i chodziło ono na bardzo starym serverze a obsługiwałem do 150 połączeń.
rzeczywiście jeśli masz standard config to można tap0 łączyć jednego usera na raz ...
ja to obszedłem implementując certyfikaty -
http://openvpn.net/easyrsa.html
każdy user miał u mnie swój cert - swój IP - mogłem logować każdego poczynania itd.
powiem CI, że OpenVpn sprawdził się, nie rwało go nic ...
a z takich uwag praktycznych warto np wskazać mu route na sieć wewn w configu poleceniem:
ROUTE ADD ... (zobacz helpa do windy - w windzie masz to ładnie opisane po polsku) - a i ew. warto też wskazać DNSa sieci wewn. żeby można było się odwoływać do urządzeń z sieci wewn. po ich nazwach (poleceniem NAMESERVER <ip>)
szakal_kp pisze:stepek pisze: dziala to tak ze faktycznie jedno polaczenie jest tunelowane ale jak sie wglebisz w temat to na podstawie tego pluku stworzysz sobie to co chcesz miec u siebie. I u mnie wszystko smiga tak jak smigac powinno.
Troche nie do konca rozumiem Twoja wypowiedz (gdzies brakuje jakiegos znaczka interpunkcyjnego i nie wiem jak mam zinterpretowac zdanie).
Ktorego zadania ?
A ipsec nie jest lepszym rozwiązaniem?
a IPsec nie wymaga czasem stałych IP po obu stronach? (przy dynamic IP można się łączyć ale trzeba zmienić zawsze IP w configu? czy się mylę?)