我期待着创build一个尽可能简单的OpenVPN设置。 我想用一个密码来保护通信,而不是一组密钥文件。 我怎么能这样设置呢?
对于使用tun设备的openvpn隧道,iptables规则允许封装的stream量通过,封装后什么规则控制数据包? 基本上,我想知道操作顺序如何与iptables和openvpn一起工作,以及这如何与链条相关。
安装程序:我有一个openvpn客户端/服务器设置(底部的configuration文件),并MULTI: bad source address from client [192.168.xx], packet dropped得到臭名昭着的MULTI: bad source address from client [192.168.xx], packet dropped在服务器MULTI: bad source address from client [192.168.xx], packet dropped 。 服务器有一个公共IP地址,而客户端在NAT后面。 先前提出的解决scheme的缺点:服务器configuration中定义的client-config-dir目前是空的。 以前的post(这里和openvpn支持论坛)build议在client-config-dir添加一个名为DEFAULT的文件,或者添加一个用户文件来解决这个问题。 但是,这似乎不是一个长期的解决scheme,因为这些规则是特定于客户端的。 所以,我可以添加一个规则来允许来自192.168.x.0客户端连接。 但是,如果他们从另一个使用192.168.y.0networking连接NAT,则需要新的规则。 问题: 所需的规则是否可以用通用/一次性的方式写成? 有人可以解释为什么这个问题首先发生? 服务器configuration: port 1234 proto tcp dev tun ca ca.crt cert openvpn.crt key openvpn.key dh dh2048.pem server 10.78.96.0 255.255.255.0 keepalive 10 […]
目前我有一个openvpn服务器和客户端设置与rounting(不桥接) 当我尝试从我的客户端ping到服务器IP地址,它工作正常。 但是当我尝试ping openvpn服务器后面的其他子网主机时,它不起作用。 有人可以发现我的设置显然是错的东西。 (openvpn服务器是10.10.145.181,主机是10.10.146.8 ip地址,它们在两个独立的子网中,我可以直接从10.10.145.181 ping 10.10.146.8到sshing中,只有当我通过VPN去的时候,不行。) 据我所知,ping通信使它在tun0接口上的VPN服务器,但是然后VPN服务器不通过eth0转发到适当的主机,因此ping通的主机没有看到任何stream量和数据包被丢弃。 但是,这可能是什么原因呢? 在openvpn中是否有一个设置将通信从tun0转发到eth0? 这是我观察到的… 在openvpn客户端主机上: > ping 10.10.146.8 PING 10.10.146.8 (10.10.146.8) 56(84) bytes of data. <no further output> 在openvpn服务器主机上: > sudo tcpdump -i tun0 'icmp[icmptype] = icmp-echo or icmp[icmptype] = icmp-echoreply' 00:34:32.624639 IP 10.10.0.6 > 10.10.146.8: ICMP echo request, id 1644, seq 1863, length 64 00:34:33.634564 […]
我有一个运行CentOS 7的VPS,我使用SSH连接。 我想在VPS上运行OpenVPN客户端,以便通过VPN路由互联网stream量,但仍然允许我通过SSH连接到服务器。 当我启动OpenVPN时,我的SSH会话被断开,我不能再连接到我的VPS。 如何configurationVPS以允许在VPS的实际IP(104.167.102.77)上打开传入的SSH(端口22)连接,但是仍然通过VPN路由传出stream量(如从VPS上的Web浏览器)? 我使用的OpenVPN服务是PrivateInternetAccess,示例config.ovpn文件是: 客户 dev tun 原始udp 远程nl.privateinternetaccess.com 1194 resolv-retry无限 nobind 坚持键 坚持-TUN ca ca.crt TLS客户端 remote-cert-tls服务器 AUTH-用户通 COMP-LZO 动词1 reneg-sec 0 crl-verify crl.pem VPS的ip地址: 1:lo:mtu 65536 qdisc noqueue state UNKNOWN 链接/回放00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8作用域主机lo 永远永远的preferred_lft永久valid_lft inet6 :: 1/128作用域主机 永远永远的preferred_lft永久valid_lft 2:ens33:mtu 1500 qdisc pfifo_fast状态UP qlen 1000 link / ether 00:50:56:be:16:f7 brd […]
我有一个OpenVPN AS正在运行,我正在尝试从letsencrypt安装SSL证书(运行ubuntu)。 我已经设法从letsencrypt(使用letsencrypt standalone)获得我的证书,并且希望能够在OpenVPN sslconfiguration中创build符号链接。 然而,当我看着/usr/local/openvpn_as/etc/web-ssl它不同于我的/live/domain/cert.pem等… 有谁知道我可以如何让我的openvpn作为实例服务letsencrypt证书? 编辑:ls -l的目录 openvpnas@openvpnas2:/usr/local/openvpn_as/etc/web-ssl$ ls -l total 16 -rw-r–r– 1 root root 1111 Mar 10 13:30 ca.crt -rw——- 1 root root 1708 Mar 10 13:30 ca.key -rw-r–r– 1 root root 1078 Mar 10 13:30 server.crt -rw——- 1 root root 1704 Mar 10 13:30 server.key root@openvpnas2:/etc/letsencrypt/live/my.domain# ls -l total 0 […]
我想为我的个人使用安装OpenVPN服务器。 我拥有域名,并且拥有该域的有效SSL证书(由StartSSL颁发)。 在OpenVPN的设置说明的开始部分,有一节描述了我自己的证书颁发机构的生成,这个证书颁发机构稍后用于发布自签名证书。 我想知道是否可以使用我现有的SSL证书? 我有这样的优势吗? 例如,我使用此证书作为邮件服务器SSL,邮件客户端不会抱怨自签名证书。 OpenVPN客户端使用众所周知的根证书来检查服务器的证书,或者他们没有使用这个基础设施,自签名证书会正常工作吗?
我知道PPTP是基于PPP的,那么基于什么样的openVPN呢? 可以的OpenVPN的数据包是 由Ubuntu服务器路由? 谢谢!
我需要configuration我的openvpn服务器来提供一些局域网资源,但我不想为我的客户端路由所有stream量。 这里是我的示例networking描述:我的LAN是192.168.1.0/24。 Openvpnnetworking是192.168.100.0/24。 我在我的服务器端configuration添加push route 192.168.1.0 255.255.255.0 。 我想让我的客户端可以访问192.168.1.0/24,而不是其他的stream量。 我怎样才能从服务器端configuration? 客户端configuration是唯一的方法吗?
当禁用client-to-client的TUN(第3层)OpenVPN服务器时,我的客户端仍然可以相互通话。 客户端到客户端configuration应根据文档来防止此问题: 如果希望连接客户端以便能够通过VPN到达对方,请取消注释客户端到客户端的指令。 默认情况下,客户端将只能访问服务器。 当这个选项被禁用时,为什么客户端可以继续相互通信? 这是我的服务器conf: port 443 proto tcp dev tun ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt key /etc/openvpn/keys/server.key dh /etc/openvpn/keys/dh4096.pem topology subnet server 10.10.201.0 255.255.255.128 ifconfig-pool-persist ipp.txt crl-verify /etc/openvpn/keys/crl.pem push "route [omitted]" push "dhcp-option DNS [omitted]" keepalive 10 120 comp-lzo user nobody group nogroup persist-key persist-tun plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so login cipher AES-256-CBC tls-auth /etc/openvpn/keys/pfs.key 0 verb […]