嘿大家。 首先让我说,我的Linux经验不是超棒的,但我通常可以轻松find解决问题的方法。 在工作中,我们有一个OpenVPN的设置,一段时间以来有所改进。 主服务器(分stream模式)在我们的办公室运行,在相当慢的DSL连接之后。 主要的问题是,因为我通常不在办公室,所以每次我想访问虚拟networking上的东西时,都必须通过该服务器才能到达其他任何地方。 我们有两台服务器用于100 Mbit连接,我们用于开发和生产目的,另外约三台服务器(其中一台服务器位于不同的T1线路上,用于VOIP)和大约二十个客户每天使用networking来自不同的地点。 我们有一些情况,networking路由(我们的控制之外)不允许用户访问我们的主要OpenVPN服务器,而其他地点是可以连接的。 同样,任何时候,办公室外的人都想从任何一台服务器(比如说一个500MB的代码仓库)中获取某些东西,那么现在下载速度高达20KB / s是不可接受的(我提到了慢DSL是好的)。 我们不得不在这个服务器上实现stream量整形,因为最大化这个连接是相当简单的。 我曾想过在networking中运行两个(或更多)OpenVPN服务器。 这些必须具有相同的子网,因为我们的应用程序依靠虚拟networking的IP地址来实现其某些核心function。 客户最好还是保留相同的IP地址,但这并不重要。 为了简单起见,让我们打电话给当前的服务器办公室和我设置的第二台服务器, 云 。 拨打T1 电话上的服务器。 事实certificate,这是相当复杂的,因为只要我连接到云 ,我不能看到办公室 。 任何通过办公室的服务器的路由也不会工作,而我连接到云 (不ping,没有),反之亦然。 对于阻止stream量的iptables没有规定。 最近我遇到了这篇关于linuxjournal的文章,但是他们提供的解决scheme似乎只涵盖了两台服务器的使用,而且有点过时(甚至找不到太多的文档,他们的wiki是离线的)。 他们还表示,增加更多的服务器将是一项复杂的任务。 理想情况下,我想让现有的服务器办公室运行虚拟networking,并在云服务器和电话服务器上运行OpenVPN守护进程(分别为100 Mbit和非常可靠的连接),以便在出现硬件故障时保证安全,DSL故障等 因此,本质上,我正在寻找一个高可用性的OpenVPN解决scheme(修复,修补,破解,调整,无论你想调用它),将接受多个主机(2或更多)的连接,同时保持相同的IP地址子网无论您连接到哪个服务器。 感谢您的阅读和对长文章的抱歉,我希望得到的重点:P 编辑: 我忘记提到的另一个重要的部分是3台服务器需要在虚拟networking上拥有一致的IP地址,因为我们的应用逻辑直接依赖于这些。 客户端是不相关的,他们可以有任何地址,但服务器之间需要进行通信。 如果你知道一个不同的解决scheme(可能是10.8.0。*中的条目的某种types的dns),请将其包含在内。 再次感谢。 编辑2: 添加了一个networking地图,这不是很好,但应该得到的重点。 请注意,对于任何服务器与任何其他服务器进行通信,它必须始终通过Office服务器。 这是意图,虽然我想将这个function改为Cloud 。 networking地图
我已经build立了openvpn,它的工作原理。 从客户端ping到服务器和向后工作就好了。 但现在我想通过vpnredirect所有的客户端stream量。 所以我做了文档中提到的以下步骤。 在服务器上: 在server.conf我把推“redirect网关def1” 我启用路由通过iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE 在客户端: 实际上什么都没有,服务器这一切都为客户端,我启动它在win7上:openvpn.exe –config client.ovpn 现在我的路由表是这样的,Realtek是我的物理网卡,物理网关是192.168.2.1。 我的电脑的ip是192.168.2.199: http://pastebin.com/1XPVVeab 当在server.conf中使用“push redirect-gateway”时,它看起来像这样: http://pastebin.com/gPkupPSz 两个都不行,我做错了什么? 我无法ping通网关10.8.0.5,但vpn不能ping任何网关。 我可以ping通VPN 10.8.0.1。 我不明白的是,什么是网关10.8.0.5?
我试图在运行2.0.1-RELEASE的两台pfsense服务器之间build立点对点的OpenVPN,但是客户端一直断开连接,状态为“重新连接; ping-restart”,没有任何东西看起来像路由它们之间。 这两个防火墙也正在做正确工作的PPTP VPN。 FW01(“服务器”) ======================= 局域网:10.1.1.2/24 广域网:xx.xx.126.34 / 27 ServerMode:对等(共享密钥) 协议:UDP DeviceMode:tun 接口:WAN 港口1194 隧道:10.0.8.1/30 本地networking:10.1.1.0/24 远程networking:192.168.1.0/24 OpenVPN选项卡中的防火墙规则:UDP * * * * * none FW03(客户端) 局域网:192.168.1.2/24 广域网:xx.xx.9.66 / 27 ServerMode:对等(共享密钥) 协议:UDP DeviceMode:tun 接口:WAN 服务器主机:xx.xx.126.34 隧道: – 也试过10.1.8.0/24 远程networking:10.1.1.0/24 客户端日志: 系统日志 4月6日18:00:08内核:…重新启动软件包。 4月6日18:00:13 check_reload_status:启动包 Apr 6 18:00:19 php::重新启动/启动所有软件包。 4月6日18:00:56内核:ovpnc1:链路状态改为DOWN Apr 6 18:00:56 check_reload_status:重载filter 4月6日18:00:57 check_reload_status:重载filter […]
我在Fedora 19上有一个OpenVPN服务器,有两个客户端 – 一个客户端和服务器在同一个LAN上,另一个在互联网上。 我希望2个客户端能够通过隧道相互交谈,如果我停止在服务器上的firewalld.service,他们可以。 我怎样才能configurationfirewalld允许这种stream量? 可以使用GUI,也可以使用firewall-cmd。 我认为相当于iptables的命令是: iptables -A INPUT -i tun + -j ACCEPT iptables -A FORWARD -i tun + -j ACCEPT 如何用firewalld做到这一点?
我正在使用Windows 7连接到运行CentOS 6.4的VPS服务器 首先,我已阅读每一个职位,只是无法find解决我的问题 我用openvpnconfiguration了我的VPN服务器,终于在开启和closures尝试4个月之后运行。 所以我必须连接到我的服务器,这是一个突破,但我没有互联网接入:(我不知道你们都需要看到能够帮助,但我会发布我所知道的可能是相关的 据我所知,我已经正确configurationopenvpn,因为我可以成功连接到服务器 我不知道我使用的是什么防火墙,我想这就是所谓的iptables iptables # Generated by iptables-save v1.4.7 on Thu Feb 13 17:10:07 2014 *nat :PREROUTING ACCEPT [721:50130] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE COMMIT # Completed on Thu Feb 13 17:10:07 2014 # Generated by iptables-save v1.4.7 on Thu Feb […]
我正在尝试使用OpenVPN设置pfSense服务器。 OpenVPN将使用tap界面, tun客户端对我们来说不是select。 LANnetworking为10.0.0.0/24机器为10.0.0.10 ,客户端的DHCP范围为10.0.0.200-10.0.0.220 。 客户端连接DHCP很好,可以使用networking。 我曾尝试在pfSense中使用客户端特定的覆盖来分配静态IP。 我使用了通常的ifconfig-push命令,但是我testing过的客户端(Windows 8和Arch Linux)却没有把IP分配给它们。 我试着用不同的参数(客户端IP +服务器,客户端IP +子网掩码,..)的ifconfig-push 。 如果我将tap接口的DHCP保留为开启状态,则客户端将从客户端DHCP范围获取IP地址,如果将DHCPclosures,则客户端根本不会获得IP。 我试图推动DHCP范围内外的静态IP。 有没有办法使覆盖工作,并强制分配的IP到客户端? 我特别需要这个来限制pfSense防火墙的访问。
在我安装了OpenVPN 2.3.2服务器的VPS(Ubuntu 14.04 – 64位)上,我的performance令人失望。 VPN-server使用AES-128-CBC密码进行encryption,而且我没有安装防火墙。 问题是下载/上传速度相当低。 在进行一些速度testing时,平均值约为45 Mbps。 实际速度将下降到20 Mbps,最高可达50 Mbps。 在进行这些testing时,CPU和服务器负载似乎相当低。 我试着改变服务器和客户端的tun-mtu值,使用不同的密码(blowfish等),增加缓冲区大小等我的下载速度没有VPN连接大约180 – 190 Mbps(我的ISP承诺200 Mbps),我的上传速度是10 Mbps。 正如你所看到的,差别是非常激烈的,我想尽可能提高下载速度。 使用从可用熵生成的程序,似乎没有获得性能。 我可用的熵总是在附近 700 – 800位 3000积极活跃,这是足够的? 服务器本身有一个1千兆位的连接。 服务器的下载testing确认了这个速度(大约800 Mbps)。 我也testing了从服务器上下载一个随机的1 GB文件到一个VPN客户端,而不使用VPN连接,这给了我平均180 Mbps(我的最大)的下载速度。 我无法在互联网上find很多有关OpenVPN服务器帮助缓慢/低下载速度的信息。 我担心的是CPU和服务器负载很低(在进行速度testing时,只有一个核心(OpenVPN不支持多/超线程?),CPU使用率约为16%)。 如果您想了解更多关于设置或configuration的信息或详细信息,请询问。 编辑2015-02-28: 我再次尝试使用只有三(3)个客户端的OpenVPN服务器。 再次,我面临的问题是下载速度不是最大(甚至不是一半)客户端的Internet连接速度。 我已经testing了在主机上安装OpenVPN-server,这给了我相当好的结果! 但是,我需要在VPS(虚拟机)上使用VPN服务器,而不是在主机上使用。 在下载一个10 GB的文件时,我可以高达10 MB / s(800 Mb / s),平均值为7.5 MB / s(60 Mb / s)。 我的客户端连接的互联网连接是200 […]
我有一个根服务器和两个客户端。 根服务器有一个静态IP地址并运行Debian Linux。 我的客户是使用dynamicIP地址的Mac OS X和Debian Linux。 从我的客户端,我可以打开一个VPN连接,但交通被Shorewall封锁。 Shorewall日志告诉我,stream量来自净区域到fw区域(fw是服务器区域,我没有本地区域,因为它只有一台机器),但它应该从vpn区域到fw区域? 这是从日志中的一行: net-fw:DROP:IN=tun0 OUT= SRC=10.8.0.3 DST=10.8.0.1 PROTO=TCP SPT=37744 DPT=3000 这是我的configuration文件: openvpn server.conf: port 1194 proto udp dev tun ca ca.crt cert me.crt key me.key dh dh2048.pem topology subnet server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt keepalive 10 120 comp-lzo user nobody group nogroup persist-key persist-tun status openvpn-status.log verb 3 […]
我有一台Linux机器上运行的OpenVPN。 VPN服务器具有公共IP地址(xxxx),VPN客户端在10.8.0.0 \ 24的“tun”设备上分配地址。 我有一个IP地址规则NAT伪装10.8.0.0 \ 24公共IP地址。 为了让VPN服务器运行,我必须启用IP转发(所以我设置net.ipv4.conf.default.forwarding = 1)。 换句话说,这正是OpenVPN教程所要做的,没有花哨的技巧。 这一切工作,但我担心启用转发部分。 我认为机器现在将把数据包从任何IP地址转发到任何IP地址,这看起来不合适。 由于它具有可公开访问的IP,所以这一点尤其糟糕。 是否有任何防火墙规则build议来限制不需要的转发行为? 我想任何答案都是FORWARD链中的一个或多个IPTables规则,但这是我卡住的地方。 谢谢!
我希望实现一个VPN,约200个并发用户可以login来简单访问我的networking。 我看了一下OpenVPN,看起来很好,但是希望能够在并发用户的基础上降低成本。 我不需要特别强大的安全性,我唯一的其他要求是我需要能够通过csv或类似的方式批量添加用户。 编辑 我将在机器上运行FlexLM服务器,用户将需要能够从该许可证服务器下载许可证密钥。 我的印象是,远程用户需要与许可证服务器在同一个networking上,因此也就是VPN。 如果我错了,请纠正我。 OpenVPN的价格来自www.openvpn.net/index.php/access-server/license-key.html,其中说: 注册码: 每个许可证密钥激活连接到访问服务器的特定数量的OpenVPN客户端。 免费的许可证密钥旨在让您启动并运行,并将激活(2)客户端。 您可以购买额外的客户端为$ 5.00 /每个客户端。 有没有人有什么build议?