我已经configuration了一个VPN服务器 local 192.168.0.250 dev tun proto udp port 1194 ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/server-vpn.crt key /etc/openvpn/easy-rsa/keys/server-vpn.key dh /etc/openvpn/easy-rsa/keys/dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig 10.8.0.1 10.8.0.2 push "route 10.8.0.1 255.255.255.255" push "route 10.8.0.0 255.255.255.0" push "route 192.168.0.250 255.255.255.0" push "dhcp-option DNS 8.8.8.8" push "redirect-gateway def1" client-to-client duplicate-cn keepalive 10 120 tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0 cipher AES-128-CBC comp-lzo user nobody […]
我不知道如何通过OpenVPN 2.1.0访问运行在Ubuntu 10.04服务器上的Samba共享。 我已经安装和configurationOpenVPN,一切正常。 隧道的服务器端IP地址为10.8.0.1。 当我从XP(通过我们的本地networking)连接时,我得到了10.8.0.6的IP。 我可以从隧道两端ping通线路。 现在,我迷路了…如何从XP和OS X访问Samba共享?
我正尝试使用OpenVPN连接到服务。 有许多configuration文件( .OVPN )共享一个证书( ca.crt ); 全部位于相同的目录中。 Canada.ovpn,例如: client dev tun proto udp remote ca.#########.com 443 resolv-retry 5 nobind fast-io float tun-mtu 1500 tun-mtu-extra 32 mssfix 1450 persist-key persist-tun ca ca.crt auth-user-pass comp-lzo route-delay 5 30 script-security 3 system ping-restart 0 mute-replay-warnings verb 3 当我尝试连接时: sudo openvpn –config ./configs/canada.ovpn –auth-user-pass ./credentials.txt 我得到一个错误,内容如下: 选项错误:-ca以'ca.crt'失败:没有这样的文件或目录选项错误:请更正这些错误。 使用–help获取更多信息。 看来openvpn与相对path有着难度。 […]
我正在configuration一个使用tun接口作为OpenVPN服务器在OpenVZ上运行的VPS。 由于MASQUERADE不可用,我在iptables规则上遇到了一些麻烦。 如果MASQUERADE可用,我会写如下的iptables规则: iptables -A FORWARD -m state –state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT iptables -A FORWARD -j REJECT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE 但是,鉴于我无法使用MASQUERADE,我怎样才能改写这些规则使用SNAT或DNAT呢? 提前致谢 ————–编辑————— 感谢Olipro的解决scheme。 以下是适用于我的规则: iptables -A FORWARD -m state –state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -s 10.8.0.0/24 -j […]
我发现最近OpenSSH支持tun设备 。 当谈到隧道和VPN时,我一直认为主要的程序是OpenVPN。 使用SSH隧道有什么好处吗? 安全呢? 哪一个更容易设置?
我们正在为运行在云中的一些服务器设置一个OpenVPN服务器。 我们被困在一个连接问题,VPN服务器的局域网上的主机可以ping VPN客户端,但事实并非如此。 VPN客户端可以在其VPN地址上ping VPN服务器,但不能在其LAN地址上。 tcpdump显示来自客户端的ping数据包到达主机并发出回复的证据,但由于某种原因,回复永远不会到达VPN服务器或客户端上的tun0接口。 相反,根据tcpdump,在所有预期的接口上可以看到从VPN服务器的LAN到VPN客户端的ping请求stream量。 下面给出了我们的configuration和故障排除的详细描述。 问题似乎与从服务器networking上的地址转发回客户端networking有关。 对我来说真的很奇怪的是,局域网发起的ping可以完成往返,但是客户端发起的ping似乎在VPN服务器的tun0和eth1接口之间的某处丢失。 我们缺less什么? 情况: 3主机: VPN客户端(tun0:10.8.0.22) VPN服务器(tun0:10.8.0.1,eth1:10.11.11.2,eth0:xxxx) 局域网服务器(eth0:10.11.11.7) 这两台服务器都是运行RHEL 5.7的虚拟机。 我认为(但我不完全确定)虚拟主机环境是VMWare。 testing VPN客户端通过VPN服务器的eth0接口build立到VPN服务器的隧道 VPN客户端可以在其tun0接口10.8.0.1上ping VPN服务器 VPN服务器可以ping 10.8.0.22 局域网服务器可以ping通10.8.0.22 但: VPN客户端不能在其eth1接口上的ping VPN服务器10.11.11.2 VPN客户端不能在其eth0接口上的ping LAN服务器10.11.11.7 对于10.11.11.7和10.8.0.22之间的pingtesting: tcpdump在VPN服务器上显示ping请求并回复遍历tun0 tcpdump在VPN服务器上显示ping请求和回应遍历eth1 tcpdump在局域网服务器上显示ping请求和回应遍历eth0 对于10.11.11.2到10.8.0.22之间的pingtesting: tcpdump在VPN服务器上显示ping请求并回复遍历tun0 对于10.8.0.22到10.11.11.2之间的pingtesting: tcpdump显示在VPN服务器上遍历tun0的ping请求 tcpdump显示在VPN服务器上遍历eth1的ping回复 在tun0接口上没有回复的痕迹 对于10.8.0.22到10.11.11.7之间的pingtesting: tcpdump显示在VPN服务器上遍历tun0的ping请求 tcpdump显示在VPN服务器上遍历eth1的ping请求 tcpdump显示在LAN服务器上遍历eth0的ping请求 tcpdump显示在LAN服务器上遍历eth0的ping回复 VPN服务器的tun0或eth1接口上没有任何回复 在VPN服务器上启用了ip_fowarding在VPN服务器上,除了面向互联网的接口eth0以外的所有接口都禁用了rp_filter。 为了debugging潜在的问题,iptables已经在客户端禁用了(默认的ACCEPT)规则。 我已经在每个主机上包含了相关接口的路由-n和ifconfig转储。 在OpenVPN服务器上 $ /sbin/route -n Kernel […]
我有一个已经正常运行的OpenVPN服务器,允许人们在我们的服务器上工作。 有一个新的项目,要求我允许访问networking和networking内的一个特定的服务器为一组外包编码器。 我想让他们只连接到一个驻留在networking上的开发服务器,但也想知道他们无法连接到networking上的任何其他服务器。 那可能吗? 怎么样? 这是我的server.conf文件: ca ca.crt cert server.crt comp-lzo dev tun dh dh1024.pem group nobody ifconfig-pool-persist ipp.txt keepalive 10 120 key server.key # This file should be kept secret persist-key persist-tun port 1194 proto tcp push "dhcp-option DNS 208.67.220.220" push "dhcp-option DNS 208.67.222.222" push "route 10.1.X.0 255.255.255.0" push "route 192.168.X.0 255.255.255.0" push "route […]
我有一个VPN服务器处理各种客户端; 一些仅使用ipv4,一些使用ipv4和ipv6,一些仅使用ipv6。 其中一些客户端正在漫游,所以理想情况下,他们应该连接到ipv6(如果可用),如果不是,则返回到ipv4。 在我目前的设置中,OpenVPN监听ipv4和ipv6: proto udp proto udp6 dev tun 我的第一个问题在这里:虽然这似乎工作,这是安全和正确的两个原型在一个configuration文件? 我的客户在configuration中有两个远程实例: remote vpn.domain.tld port udp6 remote vpn.domain.tld port udp 我的问题也在这里,因为这似乎工作(首先尝试udp6,如果失败将回落到udp),这是一个很好的方法来做到这一点?
我试图设置OpenVPN来侦听端口443,然后通过使用port-share选项将所有HTTPS通信传递给Apache。 相关的configuration片段是: OpenVPN的 local ${PUBLIC_IP} port 443 port-share localhost 443 Apache与SSL Listen localhost:443 我的OpenVPN客户端连接正常,但是当打开启用HTTPS的页面时,出现错误。 Firefox说: SSL收到的logging超出了允许的最大长度。 (错误代码:ssl_error_rx_record_too_long) 卷毛说 curl:(35)错误:140770FC:SSL例程:SSL23_GET_SERVER_HELLO:未知协议 请求最终在Apache上,因为我在错误日志中看到以下消息: [Wed Oct 06 01:10:20 2010] [error] [client 127.0.0.1] Invalid method in request \x16\x03\x01 [Wed Oct 06 01:11:04 2010] [error] [client 127.0.0.1] Invalid method in request \x16\x03\x01 [Wed Oct 06 01:11:51 2010] [error] [client 127.0.0.1] Invalid […]
我可以为OpenVPN和Apache使用相同的付费SSL证书吗? 更新:目的是获得爱沙尼亚国家身份证支持。 因此,使用这张智能卡的用户,可以使用他的个人PIN码对Apache进行身份validation,以访问受限制的网页,并使用相同的PIN向OpenVPN服务器进行身份validation。 证书的签发人对此可以。