集成的企业OpenVPNconfiguration 我试图find一个如何以安全的方式configurationopenvpn的最终来源,最重要的是100%与Active Directory集成在一起。 我懒得有多个系统照顾。 我想要: OpenVPN客户端没有定制(当然除了configuration文件) 与Active Directory紧密集成 authentication的多重因素(MS证书商店+密码) 超级简单的pipe理 这是我想出来的。 这个解决scheme是否安全,是否满足上述需求? 在这一点上,我假定有一个活动的目录服务器在openvpn服务器可以连接到的地方,并且客户机连接到域。 我也将假设你有一个AD CA部署。 自动注册 这一切都始于一个古老的自动注册过程之旅。 我不打算在这里详细说明,因为本说明很好地描述了这个过程。 唯一需要注意的是我自动注册的机器证书,而不是用户证书。 一旦GPO推出,所有最终用户都将拥有由域CA签署的不可移植的私人机器证书。 现在,我们可以用OpenVPN结婚AD自动注册证书吗? 我想是的。 证书颁发机构 在AD CA上,导出CA公用证书。 在我的情况下,我把它命名为最后一个.crt的机器名称。 PKIconfiguration 这些例子假设一个基于ubuntu的操作系统。 调整您的发行包和电子证书步骤。 # install our requisite packages apt-get -y install openvpn openvpn-auth-ldap # install our ca key as root ca mkdir /usr/share/ca-certificates/extra/ cat > /usr/share/ca-certificates/extra/contoso-CONAWSDC01-CA.crt << EOM —–BEGIN […]
设置了一个VPN杀戮开关后,我注意到有几件事情不起作用:aptitude,使用请求的python脚本,&wget。 (curl确实有效)。 有谁知道为什么? 我的ufw设置是: Status: active To Action From — —— —- Anywhere on tun0 ALLOW Anywhere 8.8.8.8 ALLOW Anywhere 8.8.4.4 ALLOW Anywhere Anywhere ALLOW 192.168.0.0/24 Anywhere ALLOW 224.0.0.0/24 127.0.0.1 ALLOW Anywhere Anywhere (v6) on tun0 ALLOW Anywhere (v6) ff01::/16 ALLOW Anywhere (v6) ff02::/16 ALLOW Anywhere (v6) ff05::/16 ALLOW Anywhere (v6) ::1 ALLOW Anywhere (v6) […]
我在家build立了一个基于Debian的服务器,它处理DHCP和一堆其他服务。 不幸的是,即使机器能够使用IPv6,我的ISP也不支持它。 我想知道是否有可能从我的networking路由到外部服务器的ipv6stream量。 我已经恢复了一个退役的服务器,这是很好的去与两个协议。 它有两个公共地址分配给它,我也包括设置的路由。 inet addr:86.XX.XX.190 Bcast:86.XX.XX.255 Mask:255.255.255.0 default via 86.XX.XX.1 dev eth0 86.XX.XX.0/24 dev eth0 proto kernel scope link src 86.XX.XX.190 inet6 addr: 2a03:XXXX:10:abe::1/64 Scope:Global 2a03:XXXX:10:abe::/64 dev eth0 proto kernel metric 256 fe80::/64 dev eth0 proto kernel metric 256 default via fe80::1 dev eth0 metric 1024 正如我之前所说,这些地址是公开的。 我已经在外部服务器上build立了一个OpenVPN,并将我的家庭服务器作为一个客户端连接到它,只使用IPv4。 工作得很好,两台机器都可以在创build的networking中互相ping通。 我想实现的是使用这个外部服务器来处理我家的ipv6stream量。 我相信这是可能的,不是吗? 我不知道如何解决这个问题,因为ipv6似乎真的很复杂。 任何forms的帮助,将不胜感激。 […]
我试图configuration我的OpenVPN服务器(Ubuntu 16.04),使客户端无法与除OpenVPN服务器本身以外的任何其他设备进行通信。 我已经尝试从我的服务器configuration中删除客户端到客户端,但是这并不会阻止ping通过,大概是因为操作系统是通过接口从tun0路由数据包。 我已经尝试了这里提出的解决scheme,但没有任何效果。 我正在使用ufw来configuration我的防火墙,并试图直接在/etc/ufw/before.rules中将这个规则添加到iptables中,但没有任何更改。 我也调查过使用OpenVPN的内部数据包filter,但有关此function的文档是稀疏的。 示例服务器configuration指出:“强制客户端只能看到服务器,您还需要适当地防火墙服务器的TUN / TAP接口”,但我不清楚如何使用ufw或iptables来实现这一点。
我们用一个Web GUI运行一个小型的web服务器,但是越来越多的机密数据被存储在其上。 所以我们安装了一个OpenVPN Server。 在过去的几个月中,由于更严格的http和https代理服务器,我们面临越来越多的连接到服务器的困难。 所以我看到的唯一机会就是把它封装在另一个协议中。 由于我们仍然在端口80上运行我们的Web服务器,并且端口80和443通常是开放的,所以我将尝试安装OpenVPN以通过HTTP运行,但是我想在服务器站点上使用不同的端口,例如8080,将会 客户…..->服务器 1.2.3.4:80 – > 5.6.7.8:8080 我的问题是,这是可能的,因为我发现只有资源设置服务器在端口80听? 我知道OpenVPN的共享端口function,但我想避免它保持服务器的响应时间等低。 此外, 我已经了解到 ,根据HTTP VPN连接的build立方式,您不能build立隧道,因为一些proxys不允许http CONNECT请求。 这仍然是一个OpenVPN的问题,因为我只能find一个非常老的post谈论它呢? 我也开始阅读SoftEther VPN,但是如果它真的是等价的或者更好的select,我就无法获得资产,因为我找不到那么多独立的信息。
我只是设置了一个包含几个XEN虚拟机的盒子。 其中一台虚拟机正在运行Windows Server 2008,并将很快运行我们的openvpn。 有没有办法将这台(networking)打印机分享给我们所有的电脑,这样我们就可以从家里打印东西,到办公室准备处理呢?
有没有人尝试使用Windows证书服务生成的证书使用OpenVPN? 理论上这应该起作用。 提供的easy-rsa PKI对于许多用户来说pipe理起来并不是很舒服。 我已经有一个ActiveDirectory设置,我最好想有证书AD集成。 我遵循本指南为用户组设置自动注册。 但是我甚至不能确定相应的用户是否已经成功地分配了一个证书。 对我来说似乎过于复杂。 http://www.isaserver.org/img/upl/vpnkitbeta2/autoenroll.htm
我在我的Windows 7笔记本电脑上,想要连接到我的家庭networking并浏览到\\ 192.168.1.10。 我在192.168.1.11的家庭networking上运行了Ubuntu服务器。 到目前为止,我已经在我的Ubuntu服务器上做了这个: apt-get install openvpn 我现在需要做什么来让我的Windows 7笔记本电脑连接到OpenVPN?
我有一个服务器客户端openvpn安装程序与所有客户端stream量通过udp通过隧道指示。 Id喜欢限制客户端可以使用什么types的应用程序,而连接到我的VPN。 就像客户端能够浏览的id一样。 你将如何去与iptables做这个? 你会在什么结束这些限制,即在服务器tun适配器或其面向公众的eth0适配器? *******更新*****根据PQD的build议我更新了我的iptables,但由于某种原因,它允许其他端口上的stream量被转发。 testing我试图通过洪stream作为我的vpn上的客户端下载Ubuntu,并且它不应该(在torrent客户端的端口号不责怪)它工作正常。 任何人都可以在我的iptables发现一个错误? #!/bin/bash SERVER_IP="***.***.***.***" HOME_IP="***.***.***.***" CLIENT_IP_RANGE="***.***.***.***/**" # Flush all current rules from iptables iptables -F # Allow SSH connections on tcp port 22 iptables -A INPUT -p tcp –dport 22 -s $HOME_IP -j ACCEPT iptables -A OUTPUT -p tcp –sport 22 -d $HOME_IP -j ACCEPT #Only ping my server […]
我怀疑我的ISP有相当差的对等安排,导致我经常访问的几个站点访问缓慢。 我通过将我的networkingstream量代理到我放置在附近某个数据中心的服务器,并在浏览体验上看到了巨大的改进,从而确定了这一事实。 所以我很确定,我的最后一英里是相对干净的,给我的广告一样多,而从我的ISP的上行链路是造成问题。 我希望代理向前迈进一步,通过我的服务器路由所有本地stream量,因为数据中心的对等安排似乎要好得多。 我该如何做到这一点? 我想到了两种可能的方法: configuration从我的家庭路由器到服务器的静态路由。 我假设我必须configuration服务器的IPTable堆栈以作为路由器以及? 在我的服务器上configurationOpenVPN,并在我家的所有PC上configurationOpenVPN客户端。 我想要一些反馈,哪种方法会更好。 我的服务器正在运行Debian,我的家庭路由器在Linksys WRT54GL上运行Tomato固件,而家里的PC运行的是Ubuntu的变种。 谢谢! 皇