亲爱的serverfault社区, 我目前正在将一个带有OpenVPN服务器的“普通”IPTABLES防火墙迁移到一个包含Endian Community Firewall 2.5.1的新框中。 新的Endian防火墙包含一个OpenVPN服务器; 但是,由于VPN用户有特殊的要求,我不能使用这些新的服务器。 因此,我replace了Endian框上的VPN服务器configuration(以及VPNconfiguration文件的模板)。 问题是我必须使用tun0作为设备,而不是tap0。 Endian自然不支持tun0,并以某种方式使用tap0作为VPN设备。 这导致仅适用于轻拍设备的IPTABLES规则。 因此,我必须手动应用一些IPTABLES规则才能使OpenVPN与旧configuration和tun0设备一起工作。 当我重新启动我的新Endian框时,这些规则再次被覆盖(tap0而不是tun0)。 我跟踪了为什么使用tap0生成这些IPTABLES规则:/ var / efw / openvpn / settings – > PURPLE_DEVICE = tap0 Endian使用此文件来生成IPTABLES规则。 当我将PURPLE_DEVICE的值更改为tun0并重新生成IPTABLES规则时,它都可以工作。 不幸的是重新启动Endian框覆盖了设置文件,我没有find如何防止Endian这样做。 那么 – 如何永久更改设置文件,以便始终包含PURPLE_DEVICE = tun0? 我已经编辑了/ usr / lib / efw / openvpn / default / settings,但不幸的是这似乎没有任何效果。 我不能在这个文件上设置不可变的位,因为Endian不支持它。
我目前正试图通过他们的域名为我的OpenVPN服务器的所有客户端阻止一些网站。 我的第一个想法是使用/etc/hosts文件。 但是,它的效果似乎仅限于主机而不被OpenVPN考虑。 然后我尝试configurationbind9并与OpenVPN进行交互,但是这个解决scheme并不成功,并且不易使用。 在这之后,我考虑使用iptables将这些网站的所有数据包丢弃到这些网站,但是这个论坛让我觉得不然,因为iptables与FQDN的行为可能会产生复杂的问题。 你有没有解决scheme来阻止所有客户使用我的根的OpenVPN服务器的网站?
我正在运行的Ubuntu 12.04,只需要vpn可以绑定到vpn端口(地址)的特定应用程序。 如果我连接到所有通过VPN端口路由的VPN一切工作正常(作为第二条路线显示)。 如果选中“只在networking上使用这个连接”,那么这个路由看起来就像我所期望的那样,其他程序可以到达互联网,但是我不能连接到绑定到vpn端口的远程服务器,比如“ telnet google.com 80 -b 10.187.1.9“看来我可以把数据包拿出来,但是也许不在。任何人都知道路由有什么问题? 使用“只为其networking上的资源使用此连接”集:(无法仅使用tun0(10.187.1.9)连接到远程服务器 0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth2 10.187.1.1 10.187.1.9 255.255.255.255 UGH 0 0 0 tun0 10.187.1.9 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 130.185.155.58 192.168.1.1 255.255.255.255 UGH 0 0 0 eth2 169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 eth2 192.168.1.0 0.0.0.0 255.255.255.0 U 1 […]
我有这些公共IP地址的VPS: xx.xx.xx.192 (This IP-address is assigned to eth0) xx.xx.xx.193 xx.xx.xx.194 xx.xx.xx.195 xx.xx.xx.196 xx.xx.xx.197 xx.xx.xx.198 xx.xx.xx.200 xx.xx.xx.201 xx.xx.xx.202 eth0configuration了静态IP。 网关是xx.xx.xx.254,networking掩码是255.255.255.0 ipv4_forward是1.我还没有iptables规则。 这台服务器不是站在NAT限制的networking后面。 (我不需要为任何地方的服务开放端口,只需设置服务并通过端口连接到服务器。) 我想让OpenVPN服务器将所有的公共IP分配给客户端,当然除了.192。 但是当我连接到OpenVPN服务器,我没有得到一个IP地址。 Windows只需将IP地址设置为169.xx.xx.xx地址(仅限本地) 我试图让TAP适配器有一个静态IP地址,xx.xx.xx.194,其中xx.xx.xx.192作为网关,255.255.255.0作为networking掩码。 现在我无法连接这个IP的东西。 我的电脑尝试先用TAP适配器到达目的地,然后放弃并使用我的默认networking连接。 (WLAN) 这是OpenVPN服务器的configuration,我错过了什么吗? mode server dev tap port 1197 proto udp local xx.xx.xx.192 tls-server dh /etc/openvpn/ssl/dh1024.pem cert /etc/openvpn/ssl/server.crt key /etc/openvpn/ssl/server.key ca /etc/openvpn/ssl/ca.crt reneg-sec 216000 ifconfig xx.xx.xx.193 255.255.255.0 push […]
我很难搞清楚我该如何更新我的Cloudflare账户上的Alogging。 我已经设置了一个脚本来检查IP更改,并通过CloudFlare API推送更改。 问题来了,因为我使用的是 up /usr/local/bin/script 指令,当TUN / TAP设备被设置时脚本被调用。 (所以我还没有IP变化)。 我需要它在隧道成功应用后运行。 我试过使用up-delay指令,并ping(因为它是一个UDP服务器)。 但是这似乎也不起作用。 它看起来像这样: script-security 2 ping 10 ping-restart 60 up-delay /usr/local/bin/script down /usr/local/bin/script 我也尝试在脚本内部设置一个sleep 30命令,以便能够使用up命令启动它,问题是,如果我这样做,OpenVPN在继续连接过程之前等待脚本完成(所以过程暂停30秒,其中OpenVPN连接过程也暂停,因此只需要30秒)。 有任何想法吗? 也许服务器不答复ping请求? 我在这里100%失利。
我在server.cfg中有这个指令,它为连接用户分配了一系列的ips: server 10.8.0.0 255.255.255.0 每当我连接一个客户端,它总是(如果他是第一个)获得10.8.0.4或.5(因为服务器自己保留10.8.0.1)。 我想要做的是从通过服务器configuration创build的范围中为我的客户端分配一个随机IP,而不仅仅是下一个客户端的IP,就像openvpn现在这样做。 有什么我可以做到这一点?
当我试图按照这些指示我的远程Linux(Ubuntu的)服务器崩溃。 我没有物理访问这台电脑。 https://help.ubuntu.com/community/OpenVPN 我将再次尝试与另一个远程Linux服务器(再次Ubuntu)。 有人可以提供任何build议,如何不尝试设置OpenVPN连接永久失去SSH连接? 谢谢。
在NAT后面有一台openvpn服务器。 当我尝试从客户端连接到它 – 我得到这个错误: read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054) 我为TCP和UDP在我的路由器中configuration了1194端口的转发。 这里是服务器的configuration文件: port 1194 proto udp dev tun ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key # This file should be kept secret dh dh2048.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt keepalive 10 120 comp-lzo persist-key persist-tun status openvpn-status.log verb 3 这里是我的客户的configuration: client dev tun proto […]
我正在使用ccd OpenVPN设置为每个用户制作静态密钥。 我的服务器configuration看起来像 cat openvpn.conf dev tun proto udp port 1194 ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key dh /etc/openvpn/easy-rsa/keys/dh1024.pem user nobody group nogroup server 10.8.0.0 255.255.255.0 persist-key persist-tun status /var/log/openvpn-status.log verb 3 client-to-client push "route 10.8.0.0 255.255.255.0" client-config-dir ccd route 10.9.0.0 255.255.255.25 management localhost 7505 push "redirect-gateway def1" #push "redirect-gateway def1" #set the dns servers […]
我使用这个规则允许通过OpenVPN访问互联网: -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE 然而,通过VPN的stream量来自于盒子的主要IP。 eth0有一个/ 29可用 – 我如何指定一个不同的外部IP? 还是比化妆舞会有更好的解决scheme?