我正在考虑通过OpenVPN隧道使用dynamic路由[OSPF或RIP]。 现在我有几个连接全网的办公室,但这不是可扩展的解决scheme,因为我们添加更多的位置。 如果我计划使用的两个VPNterminal中有一个closures,我想避免出现大量内部stream量受到影响的情况。 你有类似的configuration工作在生产? 如果是这样 – 你使用什么路由守护进程 – quagga ? 别的东西? 你有没有遇到任何问题? 谢谢!
编辑:我真的很抱歉,不得不说,这个问题魔术般地修复自己,我不知道为什么。 作为对其中一个答案的回应,我从CA链中删除了所有的EKU,但它不起作用。 休假回来后,我一次创build了证书链1, RootCA->VPN然后是RootCA->IntermediateCA->VPN ,最后是RootCA->IntermediateCA->ServerCA->VPN ,它仍然工作! 我不知道为什么这是工作,但我很激动。 只是为了确定这是解决EKU的问题,我回去了,把EKU随机添加到了CA的链中,然后瞧,它仍然有效……这是绝对令人愤慨的,我很抱歉所有试图帮助的人。 我发誓,绝对没有其他改变,没有人在我不在的时候触及任何东西。 结束编辑 当试图连接OpenVPN客户端(Android或Windows 7/10)到我的testing服务器时,我收到以下错误: VERIFY ERROR:深度= 1,错误=不支持的证书目的:C = CA,ST = QC,L =蒙特利尔,O =公司,OU = PKI,CN =服务器authentication中心 我在OpenBSD上运行OpenVPN 2.3.7。 我正在使用使用XCA创build的以下PKI CA层次结构: RootCA -> IntermediateCA -> ServerCA 我为我的ServerCA签署的VPN服务器创build了一个证书。 请注意深度= 1 。 这似乎不是最终的VPN服务器证书的问题。 OpenVPN正在抱怨VPN服务器证书的颁发者。 即使错误消息中的CN是ServerCA NOT的VPN服务器。 就我所能确定的,连锁中的CA没有任何其他目的而不是签署证书的要求。 这是VPN服务器的证书configuration。 请注意,根据OpenVPN的要求,旧的Netscape服务器扩展在那里: nsCertType=server, email extendedKeyUsage=serverAuth, nsSGC, ipsecEndSystem, iKEIntermediate keyUsage=digitalSignature, keyEncipherment, dataEncipherment, keyAgreement authorityKeyIdentifier=keyid, […]
我有一台服务器运行Debian 7,我想连接到一个VPN,让所有的stream量通过除了一些端口(SSH,托pipe的网站等)的VPN传递。 我已经在互联网上search了一段时间,但似乎没有预期的那样工作。 我不是一个iptables /networking专家,所以也许我错过了一些东西… 这是我的脚本: 在VPN脚本之前 这是在VPN之前启动的脚本,除了一些端口(SSH在这里)外,它用于阻止所有通过VPN传输的stream量。 如果我只开始这个脚本,那么他的工作就完成了。 我可以通过SSH连接到我的服务器,但所有其他端口被阻止,并且服务器无法进入Internet(因为VPN未启动)。 #!/bin/bash # Flush iptables iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X # Default policy iptables -P INPUT DROP iptables -P […]
我已经build立了一个openvpn服务器,我可以远程访问,一旦连接,它将在服务器和客户端上使用虚拟ip 10.15.119.x创build一个tun0设备。 openvpn服务器本身是10.15.119.1。 问:我如何解决openvpn服务器后面的局域网中的其他节点? 我可以访问openvpn服务器本身的地址为10.15.119.1:(port)的服务,但我不知道如何解决其他不参与openvpn连接的openvpn服务器所在的LAN: 希望这样的节点可以从10.15.119.x范围内的一些其他虚拟ip客户端节点寻址,如果是这样的话,我只需要一种方法来知道这些ip是什么 我可以创build一些iptables和路由命令转发端口到其他特定的节点,但我相信必须有一个更好的方法来做到这一点,直接寻址节点 为server.conf: dev tun server 10.15.119.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "route 192.168.0.0 255.255.255.0" up ./office.up tls-server dh /home/lurscher/keys/dh1024.pem ca /home/lurscher/keys/ca.crt cert /home/lurscher/keys/vpnCh8TestServer.crt key /home/lurscher/keys/vpnCh8TestServer.key status openvpn-status.log log openvpn.log comp-lzo verb 3 office.up脚本有: #!/bin/sh #route 10.15.119.0 255.255.255.0 route add -net 10.15.119.0 netmask 255.255.255.0 gw $5 #fixed the wrong 10.15.0.0 address […]
我在ubuntu上有一个openvpn安装程序,多个用户正在连接。 我想列出所有与他们的通用名称的活动证书。 他们是这样做的一种方式吗?
我试图build立一个OpenVPN的“链”,类似于这里所描述的。 我有两个独立的networking,A和B.每个networking都有一个使用标准的“道路战士”或“客户端/服务器”方法的OpenVPN服务器。 客户端可以连接到任一个用于访问相应networking上的主机/服务。 但服务器A和B也相互连接。 每个networking上的服务器之间都有一个“站点到站点”的连接。 我试图完成的是能够连接到networkingA作为客户端,然后与networkingB上的主机连接。我使用tun /路由的所有VPN连接。 “链”看起来像这样: [客户端] —> [服务器A] —> [服务器A] —> [服务器B] —> [服务器B] —> [主机B] (tun0)(tun0)(tun1)(tun0)(eth0)(eth0) 整个想法是,当来自tun0的客户端尝试连接时,服务器A应该通过在tun1上设置的“站点到站点”VPN来路由去往networkingB的stream量。 我简单地通过在服务器A上设置了两个连接configuration文件来完成此操作。一个configuration文件是在tun0上运行的标准服务器configuration,定义了虚拟客户端networking,IP地址池,推送路由等。另一个是与服务器B运行的客户端连接在tun1上。 启用ip_forwarding后,我只是简单地将一个“推送路线”添加到广告到networkingB的路由的客户端。 在服务器A上,当我查看tcpdump输出时,这似乎工作。 如果我作为客户端连接,然后pingnetworkingB上的主机,则可以看到服务器A上的stream量从tun0传递到tun1: tcpdump -nSi tun1 icmp 奇怪的是,我没有看到服务器B通过隧道接收stream量。 就好像服务器A正在通过站点到站点的连接发送它,但服务器B完全忽略它。 当我查找服务器B上的stream量时,它根本不在那里。 服务器A – >主机B的ping工作正常。 但是从连接到服务器A到主机B的客户端ping不通。 我想知道如果服务器B是忽略stream量,因为源IP不匹配客户端IP池,它交给客户端? 有谁知道我是否需要在服务器B上做点什么才能看到stream量? 这是一个复杂的问题来解释,所以谢谢你,如果你坚持到目前为止。
在撰写本文时(第二天),关于如何缓解Apache和其他Web服务器(如本页面)的Logjam,几乎没有准确的指导原则: https://weakdh.org/sysadmin.html OpenVPN服务器的类似说明是什么? OpenVPN是否受到影响? (我猜是的,因为这是一个TLS协议问题)。
我在networking世界相对新手,虽然我编写了很长一段时间的系统pipe理员背景。 在这里,我离目的地只有一步之遥。 整个情况是:在家里我使用一个LinkSys E3000作为网关(不知道这是否是它的名字),无线AP和其他路由/交换设备。 它提供1台个人电脑和1台带局域网的Mac,1台Mac Mini + 1台iPad + 2台带WIFI的智能手机。 我的目标是在E3000上使用openvpn客户端(使用番茄固件),并使我的iPad和智能手机的所有WiFistream量都通过它,其他设备路由保持相同的非openvpn路由。 到目前为止,我可以将E3000上的openvpn客户端连接到openvpn服务器,通过openvpn连接传输所有设备的所有stream量。 剩下的就是如何通过源IP(至less在我的猜测中)select性地路由到隧道,而不要打扰别人。 过去几天我学到了一些“iptables”和“路由”,但没有太多的运气,所以这里就是我的问题。 这里有一些信息可以帮助你获得结构。 ifconfig -a输出一些无用的线条,并且在web界面C0:C1:C0:1A:E0:28是WAN,C0:C1:C0:1A:E0:27是LAN,C0:C1:C0:1A :E0:29是2.4G wifi AP,C0:C1:C0:1A:E0:2A是5G wifi AP。 root @ router:/ tmp / home / root#ifconfig -a br0 Link encap:以太网HWaddr C0:C1:C0:1A:E0:27 inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0 UP BROADCAST运行组播MTU:1500公制:1 eth0 Link encap:以太网HWaddr C0:C1:C0:1A:E0:27 广播运行多播MTU:1500公制:1 eth1 Link encap:以太网HWaddr C0:C1:C0:1A:E0:29 广播运行ALLMULTI MULTICAST MTU:1500公制:1 eth2 Link […]
我如何检查我的Debian OpenVPN客户端是否连接? 有一个特定的命令,我必须运行? 或者我可以从日志文件中读取它? 谢谢。 编辑:下面的答案在debugging中提供了很大的价值。 我在两个不同的系统上使用了相同的开放vpn凭据,导致问题。
我正在使用匿名VPN,但希望SSH访问内部计算机。 如何通过SSH访问我的内部计算机? 当我做ssh 98.123.45.6 ,连接超时。 有线电视提供商的IP地址:98.123.45.6 匿名IP通过VPN:50.1.2.3 内部电脑:192.168.1.123 在四处search时,我发现build议要设置iptables规则,路由规则或将ListenAddress添加到sshd_config。 哪些适用于我的情况? 这是我的路线 : 内核IP路由表 目标网关Genmask标志度量参考使用Iface 10.115.81.1 10.115.81.9 255.255.255.255 UGH 0 0 0 tun0 10.115.81.9 * 255.255.255.255 UH 0 0 0 tun0 50.1.2.3-sta ddwrt 255.255.255.255 UGH 0 0 0 eth0 192.168.1.0 * 255.255.255.0 U 202 0 0 eth0 169.254.0.0 * 255.255.0.0 U 204 0 0 vboxnet0 loopback […]