我正在使用openvpn连接到其他服务器,问题是,我这样运行 openvpn configfile.ovpn …它locking我的shell,所以,如果我closures它,shell被closures,我正在寻找一种方法来初始化它作为守护进程,发送我的configuration文件,但我找不到任何,我看到参数 – configuration文件,但似乎我没有工作,我用它的方式…任何想法或方式来做到这一点? 我正在使用Linux Debian 6 谢谢 编辑:我的.ovpn文件是这样的: dev tap client proto tcp-client ca /etc/openvpn/ca.crt cert /etc/openvpn/client.crt key /etc/openvpn/client.pem tls-remote "/O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server" remote-cert-eku "TLS Web Server Authentication" remote someIP persist-key persist-tun verb 3 mute 20 keepalive 10 60 cipher BF-CBC auth MD5 float 1 reneg-sec 3660 nobind mute-replay-warnings auth-user-pass
我有一些远程托pipe的服务器用于各种目的 – networking和应用程序服务器。 我实际上需要一个“pipe理networking”,这样我就可以简化日志收集和包pipe理等任务,但是对于驻留在第三方数据中心的服务器来说,这是非常困难的。 我正在考虑在我们的办公室安装一个专用的OpenVPN服务器,并在每台远程服务器上安装客户端,以便提供与专用pipe理networking相同的function。 不过,我一直不成功地寻找其他人的例子。 这个想法: 在我们的办公室的虚拟机上的专用OpenVPN服务器(与用户VPN分开连接到办公室networking) 远程服务器configuration为在启动时自动连接的客户端 客户端到客户端被禁用,所以如果一台服务器受到威胁,损害是有限的 虚拟IP从办公室LAN不可路由 这是一个理智的想法,还是有更好的方法? 编辑:所有服务器(在办公室和远程)运行各种风格的Linux。 没有涉及Windows。
当在pfsense中分配接口时,我发现了三个接口em0,em1,bge0 。 我为WAN分配bge0,为LAN分配em1。 有效。 但说实话,我不知道这三者之间有什么确切的区别。 是或者是吗? 或者每个人有什么目的? 任何人都可以指出em0,em1,bge0的区别或用例吗?
我从test-ipv6.com发现我的VPN连接有泄漏,显示了我的VPN的IPv4地址,但是我的家庭路由器的IPv6地址。 我使用下面的.ovpn文件设置我的VPN连接,我从privateinternetaccess.com下载 client dev tun proto udp remote ireland.privateinternetaccess.com 1197 resolv-retry infinite nobind persist-key persist-tun cipher aes-256-cbc auth sha256 tls-client remote-cert-tls server auth-user-pass comp-lzo verb 1 reneg-sec 0 crl-verify crl.rsa.4096.pem ca ca.rsa.4096.crt disable-occ 我如何configuration和/或什么标志我传递到openvpn启用IPv6路由?
使用两台pfSense路由器,我在两个站点之间创build了一个共享密钥VPN。 这两个路由器都是pfSense 1.2.2。 客户端的pfSense框是该站点的网关路由器,但在服务器站点,pfSense不是该LAN的网关。 客户端站点连接到服务器站点确定,并且我得到“初始化顺序完成”日志消息,指示连接成功。 在客户端,我可以使用客户端局域网上的任何一台机器来ping服务器站点上的局域网地址(甚至通过Web界面进行configuration,所以VPN至less在这个地址工作)。 我也可以在“接口IP”(客户端configuration)/“地址池”(服务器configuration)IP范围内ping这两个地址,它们是同一私有子网,并且不在客户端或服务器LAN范围内。 问题是我无法访问服务器站点LAN上的任何其他IP。 我不需要从服务器站点访问客户站点LAN上的机器,但是我确实需要能够从客户站点获得更多的服务器。 目前,客户端LAN上的任何人都可以ping到服务器的LAN接口,而客户端LAN上的任何人都可以从pfSense服务器本身ping通,但不能从服务器LAN ping通。 我在服务器上的LAN接口防火墙规则中添加了任何<>任何规则。 如果我在服务器的LAN接口上捕获stream量,我会看到从客户端LAN站点传来的数据包,但是如果我嗅探到这些数据包,它们就不会进入服务器的LAN。 正如我所说,我已经在LAN接口上添加了一个规则,允许任何对任何如下,所以我还需要做什么,以允许隧道到局域网的stream量,反之亦然? 更新:我在客户端pfSense上为服务器LAN添加了一条推送路线,反之亦然。 我也尝试升级到pfSense 1.2.3的RC,并将opt1接口设置为tun0,然后在opt1和LAN之间添加允许规则。 仍然没有运气。 更新2:需要在接受的答案中描述的服务器LAN上设置正确的路由,但是我忽略提到服务器pfSense / OpenVPN单元在KVM下作为客户操作系统运行,而另一半问题是IP转发需要在主机操作系统的/etc/ufw/before.rules中启用。 这就是我没有更彻底地解释设置的原因。
我正在尝试使用openvpn-auth-ldap插件configurationOpenVPN,以通过Active Directory LDAP授权用户。 当我使用相同的服务器configuration没有插件选项,并添加客户端configuration与生成的客户端密钥和证书,连接成功,所以问题是在插件。 为server.conf: plugin /usr/lib/openvpn/openvpn-auth-ldap.so "/etc/openvpn-test/openvpn-auth-ldap.conf" port 1194 proto tcp dev tun keepalive 10 60 topology subnet server 10.0.2.0 255.255.255.0 tls-server ca ca.crt dh dh1024.pem cert server.crt key server.key #crl-verify crl.pem persist-key persist-tun user nobody group nogroup verb 3 mute 20 OpenVPN的authentication – ldap.conf的: <LDAP> URL ldap://dc1.domain:389 TLSEnable no BindDN cn=bot_auth,cn=Users,dc=domain Password bot_auth […]
我真的很苦恼,因为我不是一个networkingpipe理员,只有一个凡人的程序员。 Linode为您提供一个外部和内部IP,以便与linodenetworking上的其他节点一起使用。 在我的情况下,我已经configuration我的外部接口像这样: # The loopback interface auto lo iface lo inet loopback # Configuration for eth0 and aliases # This line ensures that the interface will be brought up during boot. auto eth0 eth0:0 eth0:1 # eth0 – This is the main IP address that will be used for most outbound connec$ # The […]
嗨,当我尝试在我的Ubuntu服务器中运行openvpn时出现以下错误 Fri Jan 8 02:12:59 2010 OpenVPN 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Mar 9 2009 Fri Jan 8 02:12:59 2010 WARNING: –keepalive option is missing from server config Fri Jan 8 02:12:59 2010 NOTE: the current –script-security setting may allow this configuration to call user-defined scripts Fri Jan 8 02:12:59 2010 Diffie-Hellman […]
我期待部署openvpn作为一个Linux RAS服务器(而不是站点到站点),我想使用双因素authentication,特别是使用ssl证书和密码绑定到ntlm域或ldap服务器。 这甚至有可能吗? 我真的很努力挖掘有关做这样的事情的信息,所以我开始怀疑这一点。 如果有人这么做了,那么知道(或者知道开源的方式来做这样的事情)会更好,或者更好的是需要openvpn服务器configuration来实现这个function。 编辑:我知道一个SSL证书是不是一个理想的因素。 🙂
我已经configuration了一个工作openvpn服务器(Ubuntu 10.04)和客户端,没有问题。 我为客户端机器生成证书和密钥文件等。 我们部署了大量的这些通用客户端机器来进行数据采集,每月10到20个月。 VPN的原因是允许我们远程login以进行偶尔的支持和监控。 他们通过其他方式将数据发送回家(不是VPN) 我正在考虑使客户端configuration文件通用,并在所有部署的机器上使用它们(服务器端的“duplicate-cn”选项)。 我的推理是这样的: VPN服务器明确地禁止从我们的办公室以外的任何地方sshlogin,所以连接的客户端不能ssh进入服务器 此外,login到openvpn服务器需要X509 .pem密钥文件(这是一个Amazon EC2实例) 服务器不允许客户端彼此看到(“客户端到客户端”被注释掉),并且没有任何其他networking的访问权限,这是纯粹的,我们可以ssh到客户端。 我们懒惰,不想pipe理员生成证书,将它们应用到机器上(因此不再是通用的,不再是热插拔的等),人们会感到困惑,弄错了。 主要缺点似乎是: 很难说哪个机器是哪里有很多连接(我还没有find解决scheme) 客户端机器安装在“不受信任”的站点上,也就是说,我不能保证他们的财务安全。 所以我的问题是…在这种情况下可能发生的最坏的事情是什么? 如果一台机器直接受到攻击,最坏的情况就是打开一个VPN隧道(无论如何都是自动进行的),但是除此之外无法实现。 一旦检测到,我们可以在防火墙级别阻止该IP。 我的思维过程是正确的吗?还是我错过了什么? 编辑: 我也许应该说,客户端机器是无头的(没有video/键盘),不能直接被客户端访问(尽pipe你不能直接保证!)。 这是一个机器2机器(M2M)环境。 这些不是(例如)由销售人员携带的笔记本电脑。