情况是这样的: 我有一个Debian服务器,作为一个Web /邮件服务器以及一个小型办公室的Internet网关。 所有可用的外部服务都在OpenVZ虚拟环境中运行。 我有一个要求,提供外部访问与办公室内的员工共享的目录(devise师)。 这个目录必须可以通过SMB访问,所以我设置了OpenVPN来通过互联网提供对Samba的安全访问。 为了提高安全性,我不希望OpenVPN远程用户(将来可能会有更多的用户)能够完全访问公司networking,所以我打算在一个虚拟环境中设置一个Samba守护进程,只监听OpenVPN虚拟接口以及单独的Samba守护进程,仅在内部networking接口上侦听。 守护进程将服务于位于VE根目录树内的相同目录(并且可以访问物理机器的操作系统)。 主要问题是:从内部networking和外部同时访问文件时(这可能是因为此设置用于Adobe InDesign / InCopy协作),不会出现冲突(文件locking问题等)吗? 如果是这样的话,那么在这种情况下更好的设置是什么? 我想到的另一种select是通过端口转发在OpenVPN接口上访问内部Samba后台进程。 同样,我不希望OpenVPN客户端能够实际访问公司networking,我只想让Samba共享在互联网上工作(计划的工作stream程需要这样做)。 如果有人有类似的设置的经验,如果你分享你的见解,我将非常感激。 编辑 – 澄清:我使用OpenVPN的桥接VPN(一个tap接口),据我所知,这是Samba的正确select(它甚至可以在路由VPN上工作吗?是否需要精心devise的转发/路由设置?)但是,我不想将VPN与物理服务器的接口连接起来,原因有三:避免干扰公司networking,同时使接口向上和向下; 避免授予外部客户访问整个内部networking; 作为策略规则,避免在物理机器上运行公共服务。 目前,我打算使用选项1: 选项1:在VE上为外部客户端运行OpenVPN和Samba,在主服务器上为员工(不需要VPN)运行第二个Samba实例。 然而,我担心两个Samba服务相同的文件和冲突(因此原来的问题表述)的实例。 选项2将只在VE上运行OpenVPN,并将Samba端口转发到物理机(或OpenVZ术语中的硬件节点)。 选项3将不会为这项服务的虚拟企业服务而烦恼(因为它本质上是非公开的),只需在硬件节点上用Tap(桥接)接口运行OpenVPN,但实际上并没有用物理接口桥接它,然后使单个Samba实例监听内部networking接口和Tap接口(用于VPN客户端),而不是侦听外部接口。 所以,最新的问题是:选项3会比前两项安全吗? 如果没有,我会执行它,因为它似乎是最简单和最强大的。 对不起,我不能用更less的话来expression:)感谢阅读和答案。
我有一个很好的openvpn设置。 有大约50个客户连接,一切都方便丹迪。 我需要这些客户端之一通过vpn路由所有stream量。 我为该特定的客户端设置了一个ccd ,并添加了push "redirect-gateway def1" 。 路由表似乎在客户端更新。 我可以访问vpn中的所有主机,但不能访问vpn以外的其他任何东西。 当从客户端tracerouting,一切都进入VPN网关,但之后没有更进一步。 我相信罪魁祸首是在服务器上的iptablesconfiguration。 这是设置 我有一个openvpn使用子网10.170.xx与10.170.0.1的VPN网关(VPNGATEWAY) 我有不同的子网10.171.xx,通过ccdlogging(这是pipe理networking,有3个客户端) 我想通过VPN的所有stream量的客户端是10.171.0.1(客户端) 从10.171.0.1(CLIENT)我可以ping通10.170.0.1(VPNGATEWAY)。 事实上,我可以ping 10.170.xx和10.171.xx中的所有主机,但不能ping 8.8.8.8。 这是iptables conf 有一些规则,我拿出来使其更简单。 *filter :INPUT DROP [1000:900000] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -s 127.0.0.1 -j ACCEPT # here were some rules accepting certain ports […]
我在configuration我自己的服务器时遇到问题。 它具有Linux Ubuntu Server Edition 10.04 LTS作为操作系统,两个网卡(eth0和eth1)并使用OpenVPN。 eth0连接到一个连接到3G路由器的交换机(静态IP:192.168.0.254),eth1有时连接到一个(之前的)未知LAN,并使用DHCP获取IP地址。 这些接口中只有一个接口有时间上网,即如果在eth1中插入了电缆,则需要closures3G路由器*。 最终,我希望所有的stream量都通过连接到互联网的接口通过VPN,而且所有的stream量都通过特定的IP地址和端口(比如192.168.45.1:8443)来使用eth1,无论如何。 在build立的过程中,我首先集中在3G部分,将eth1拔出,并设法使用VPN通过eth0与VPN中的其他服务器进行通信。 / etc / network / interfaces看起来像这样: auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet static address 192.168.0.100 netmask 255.255.255.0 gateway 192.168.0.254 auto eth1 iface eth1 inet dhcp 然后,我在eth1中插入一根以太网电缆,禁用VPN并closures3G路由器。 eth1所连接的局域网有一个DHCP服务器(192.168.0.254),恰好与连接到eth0(192.168.0.x)的机器具有相同的ip范围。 我绝对不能保证这两个子网在未来会有所不同。 服务器从DHCP服务器获得一个IP(192.168.0.45),但是我也不能ping通它,也看不到DHCP服务器接口上连接的设备列表中的服务器。 在注释掉/ etc / network / […]
我现在正面临一些前任同事设立的OpenVPN服务器的麻烦(我不太注意ATM)。 我们使用OpenVPN作为大约200个客户端的专用networking(更具体地说,只有15个客户端,其上有虚拟机,桥接到同一个networking,192.168.1.0/24)。 它很好地工作了几年,但几个星期,这是奇怪的。 我在这个networking中有一台笔记本电脑,它曾经有IP 192.168.1.156。 这里是我的OpenVPN服务器configuration有趣的部分: ifconfig-pool-persist ipp.txt ifconfig-pool 192.168.1.1 192.168.1.254 255.255.255.0 在我的ipp.txt文件中: gfenollar.xxxxx.local,192.168.1.156 但是,当我重新启动我的openvpn客户端,我有另一个IP,总是不同的。 当然,它分配给我一个已经被另一个OpenVPN客户端使用的IP,这是疯了! 这是我的客户的日志: Wed Feb 6 12:36:29 2013 SENT CONTROL [xxx]: 'PUSH_REQUEST' (status=1) Wed Feb 6 12:36:29 2013 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 192.168.1.5,ping 8,ping-restart 20,ifconfig 192.168.1.24 255.255.255.0' Wed Feb 6 12:36:29 2013 OPTIONS IMPORT: timers and/or timeouts modified Wed […]
我有一个OpenVPN的Ubuntu 12.04盒子。 VPN工作正常 – 客户端可以连接,浏览网页等。在tun0上的OpenVPN服务器IP是10.8.0.1。 在同一个盒子上,我可以使用sshuttle通过另一个networking访问10.10.0.9上的Web服务器。 sshuttle使用下面的iptables命令来实现它的魔力: iptables -t nat -N sshuttle-12300 iptables -t nat -F sshuttle-12300 iptables -t nat -I OUTPUT 1 -j sshuttle-12300 iptables -t nat -I PREROUTING 1 -j sshuttle-12300 iptables -t nat -A sshuttle-12300 -j REDIRECT –dest 10.10.0.0/24 -p tcp –to-ports 12300 -m ttl ! –ttl 42 iptables -t nat -A […]
题 为了满足以下条件,我需要什么样的服务器和客户端configuration指令的最小集合? 虚拟2层以太网networking将不会与任何其他接口桥接。 VPN客户端可以与任何其他VPN客户端交换帧。 DHCP不是必需的(在VPN内不会使用TCP / IP) 所有在VPN上的stream量都是以太网brodcasts(实际上没有第3层+networking连接) 虚拟networking的MTU需要远远高于底层networking的MTU,这对VPN内的节点应该是透明的。 OpenVPN可以在VPN之外分割数据包 – 我认为这是通过fragment和tun-mtu指令启用的。 使用这些选项的开销不是问题。 (目标MTU是2360 ) networking的安全不是一个问题,其目的严格来说是一个完全在软件中的以太网链路,用于物理上不相邻的节点。 我已经做了什么工作? 我有很多OpenVPN的经验,所以我相当有信心,我已经涵盖了基础知识。 但是,我似乎无法确定大的MTU尺寸要求。 VPN上的客户端可以连接,如果我configurationTCP / IP进行testing,所有客户端可以互相ping通,除非pingtesting使用不分段和数据包大小超过1472.日志没有显示任何明显的东西。 请看下面的configuration文件。 服务器configuration: mode server port 1195 proto udp dev tap tun-mtu 2360 fragment 1500 comp-lzo max-clients 200 client-to-client ca special-net/ca.crt cert special-net/sn-server.crt key special-net/sn-server.key dh special-net/dh1024.pem status special-net/status.log tls-server tls-auth ta.key 0 auth-user-pass-verify […]
是的我知道。 啊! 我有一个小办公室,我们正在努力减less我们的networking开支。 由于客户审计要求,我们运行自己的邮件服务器,并希望保持这种方式。 为此,我们需要两个静态的IP地址。 到目前为止,我们已经为我们的办公networking提供了与我们的ISP的“StaticIP商业计划书”。 这项服务一直不够好。 我想把办公室连接切换成我能find的最便宜/最快的dynamic计划; 很多的select。 但是这意味着放弃我们的邮件服务器的静态IP。 我们也有一个简单的网站云中的小VPS。 它没有足够的资源来托pipe我们的邮件服务器,但是有2个静态IP。 我想build立一个“隧道”,使用VPS的静态IP作为我们的邮件服务器的公开可见的IP地址,并且连接到实际的邮件服务器 – 现在在我们的LAN上,使用dynamicIPv4后面的NAT。 阅读完毕后,我想这样做的方法是使用OpenVPN将使用本地OpenVPN客户端的办公室邮件服务器连接到在VPS上运行的OpenVPN服务器 – 全部由静态IPv6提供隧道经纪人(HE.net), 独立于我们的ISP。 我设法得到了IPv6隧道设置。 和OpenVPN服务器和客户端。 我甚至可以通过IPv6在两者之间build立连接 在这一点上,我被困住了 – 我完全丧失了路由(我想!)需要获得VPS上的外部IPv4地址来通话和监听邮件服务器正在监听的内部IPv4地址IPv6链路。 我在网上发现了一些文章,但是他们似乎都说“只是在客户端和服务器之间build立一个OpenVPN连接”,根本就不详细说明 – 不pipe怎样:-(然后对于获取地址和入站和出站stream量的映射完全没有任何说法。 VPS和Office路由器上也有一个防火墙。 我甚至没有开始考虑我需要打开通过VPN的IMAP和SMTPstream量… 有人可以共享一个文档,或者帮助你在这里做什么,以及如何做? 作为参考,我的networking布局是: ———————————— | VPS Server | | eth0: | | IPv4 = 172.16.10.100 | | IPv6 = 2100:…:0444::100 | | tun1: | | IPv6 […]
感谢您阅读本文,感谢任何和所有的build议。 我有一些严重的问题使用Riseup.net的VPN重新连接到我的OpenVPN客户端。 我花了几天的时间把我的头靠在墙上试图在我的iOS设备上进行设置….但是这是另外一个问题。 然而,我却能够在我的Mac OS X上,在我的Windows Vista 32位BootCamp VM上专门设置,而且麻烦相对较小。 对于最初的连接,我只需稍微修改推荐的configuration文件(configuration文件包括在本文末尾) : – 我不得不直接input代码到我的configuration文件 – 改变“dev tap”到“dev tun” 所以我被连接了。 (注意 – 在我最初连接之后,我做了testing以确保VPN实际上工作正常,并validation了.pem文件(作为编码插入到我的configuration文件中)用于真实性)。 我离开了VPN运行。 我的电脑进入睡眠状态 今天,我去使用互联网期待(可能不正确 – 我现在不确定是否我错了离开它运行)仍然连接到VPN。 但是,我立即看到我不是。 我去重新连接。 而且是(上午)无法。 尝试连接(并获取连接失败对话框)后,我的日志显示所有工作,因为它应该(据我所知),直到结束,我得到以下几行: Mon Sep 23 21:07:49 2013 us=276809 Initialization Sequence Completed Mon Sep 23 21:07:49 2013 us=276809 MANAGEMENT: >STATE:1379995669,CONNECTED,SUCCESS, OMITTED Mon Sep 23 21:22:50 2013 us=390350 Authenticate/Decrypt […]
我本质上是一个路由问题,我不熟悉路由和iptables有效地排除故障,并设置我的networking需求。 什么工作 我有一个开放的VPNnetworkingbuild立和工作; 客户端可以通过互联网连接到局域网。 我想要发生什么 …当客户端连接到给定子网上的VPN时。 客户端应该可以从VPNnetworking访问 奖励积分如果规则可以做以下一项或多项: 客户端不应该能够发起到VPN的连接 客户端应该显示在我们的DNS 拓扑 我们的networking拓扑如下所示: ______ ____________________ / \ / \ | internet |—| client (10.8.8.0/24) | \________/ \____________________/ | ______ / \ | gateway | \________/ | —–LAN—— (10.10.10.0/24) | | | | L_____VPN Server `VPN1` 10.10.10.2 (fictional name/subnet) 当前的设置 我们的网关有以下路线定义: 10.8.8.0 255.255.255.0 10.10.10.2 LAN & WLAN […]
一个服务器在不同的公共networking中有3个ifaces,2个内部(eth1 / 2),一个外部(eth0)。 有一个服务(openvpn)不能绑定到一些IP / ifaces,只有全部或一个,但我需要它只接受连接(UDP)的内部ifaces。 默认的gw是通过外部的。 我有一个工作的设置与服务的两个实例绑定到每个内部iface的IP和iproute2路由集( ip route add xxx table x , ip rule add from <IP> table x )。 是否有可能将第二个内部iface(eth2)上的传入连接DNAT到第一个内部iface(eth1)的IP并通过相同接口(eth2)进行响应? 在这种情况下,不需要运行服务的第二个实例,并保持2个相同的configuration,只需要监听IP的不同。 问题是,如果我(使用DNAT)将eth2上的传入连接的目标IP更改为eth1的IP,则基于from <IP>的IP规则将不起作用。 或者,更好地说,它将使服务通过eth1而不是eth2使用eth1的默认gw来回答。 是否有可能对DNATed“会话”(UDP)的所有传出数据包进行高效设置标记,所以我可以在ip规则中使用fwmark? 任何其他解决scheme的主要问题?