我工作的公司有一个站点(我将把它称为“站点A”)。 在站点A中有几个专用networking。我们有一个OpenVPN的运行实例,它允许一些员工连接到站点A中的一个专用networking。 我们正计划将我们的设施扩展到另一个网站(我将其称为“网站B”),并且希望使用OpenVPN连接两个网站。 连接站点A到B的VPN将成为中继链路,这意味着它可以访问所有networking。 如果我们对两个VPN服务器使用相同的证书颁发机构,则这将允许只能连接到站点A中的一个专用networking的员工连接到站点到站点链接,这将允许他们访问所有networking。 当然,这是不可取的。 使用2个不同的证书颁发机构似乎是显而易见的解决scheme,但它不正确。 如果有一种方法可以在单一证书颁发机构中维护权限控制,
我有一个NAT路由器有2个IP地址,可以说222.222.222.222和222.222.222.222与接口eth0和eth0:1相关联。 我有两台通过tap0 (OpenVPN客户端)连接到此NAT网关的服务器,IP为10.0.0.1和10.0.0.2 。 我希望他们冒充每个NAT路由器的IP地址。 到目前为止,我做了以下的iptables规则: iptables -A PREROUTING -d 111.111.111.111/32 -i eth0 -j DNAT –to-dest 10.0.0.1 iptables -A PREROUTING -d 222.222.222.222/32 -i eth0 -j DNAT –to-dest 10.0.0.2 这是将所有传入连接路由到正确的服务器。 而且,传出连接仍然使用相同的IP地址访问网页。 如何创build一个规则来强制这些本地服务器的所有传出stream量使用其各自的外部IP地址,并实现我想要的模拟效果?
我试图configuration我的客户端只使用用户名/密码进行身份validation。 不幸的是,iOS应用程序一直在问我一个证书(我不确定它是否是客户端证书)。 这里是client.config: client dev tun proto tcp remote … resolv-retry infinite nobind persist-tun ca ca.crt ns-cert-type server auth-user-pass auth-retry interact 下面是它在iOS上的样子(注意第二个字段要求证书):
我有一个问题…我花了很多天在我的专用服务器上configurationVPN …我1个月前开始。 现在它可以工作,我可以连接到它。 我没有错误。 但是我想要一个静态IP,当我连接到它时,我已经读过了,我必须添加一个网关,但是我还没有全部理解,而且我的英语不是很好理解所有的解释。 那么你能帮我吗? 这里是我的confs:server.conf local 12.345.678.901 port 12345 proto tcp dev tun ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key dh /etc/openvpn/easy-rsa/keys/dh1024.pem server 192.168.0.0 255.255.255.0 push "route 10.4.0.0 255.255.255.0" keepalive 10 120 cipher AES-128-CBC comp-lzo max-clients 5 user nobody group nogroup persist-key persist-tun status openvpn-status.log log openvpn.log verb 6 client.conf client dev tun proto […]
我有一台服务器和两个客户端的OpenVPNnetworking。 当我在C1上设置我的默认路由以通过S(其具有IP转发和NAT启用)时,一切按预期工作。 问题是,如果我将C1默认路由指向C2(也适当configuration为从VPN到Internet的NATstream量),则stream量会被S抢占并由其转发。 当我在C2的tcpdump,没有任何东西到达那里的迹象。 是否有可能在OpenVPN中将客户端设置为其他客户端的网关,或者如果客户端上的路由被指向其他客户端,是否是由服务器事件路由数据包的系统属性? 编辑: 方括号代表我的虚拟networking(它并不物理存在)。 C1 / C2 / S可以在networking内互相ping通没问题。 我想从C1到C2路由到互联网。 我可以从C1(也可能从C2)通过S路由到互联网,但通过C2路由不起作用,因为数据包转发由S而不是。 这似乎是OpenVPN服务器不想发送数据包,他们应该去的问题。 [C1-S(NAT)] – 互联网 互联网 – [(NAT)C2 /]
我使用openvpnconfiguration文件成功连接到vpnserver。 但是,当我按ctrl + C退出openvpn,ubuntu counld不访问networking。 我认为路由表是错误的或openvpn没有正确closures,但我不知道如何处理它。 详情如下: kasim@ubuntu:~$ ip route show 0.0.0.0/1 via 10.211.1.2 dev tun0 default via 192.168.1.2 dev eth0 metric 100 10.211.1.2 dev tun0 proto kernel scope link src 10.211.1.1 126.41.112.147 via 192.168.1.2 dev eth0 128.0.0.0/1 via 10.211.1.2 dev tun0 192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.130 kasim@ubuntu:~$ ping 8.8.8.8 PING […]
networking: 10.1.1.2和10.1.1.3在同一个networking中。 10.1.1.2 VPN服务器以桥接模式运行。 10.1.1.4 – VPN客户端的IP地址。 所有机器都安装了Debian 6。 我正在尝试使用iperf来testing多播。 监听器: iperf -s -u -B 224.1.1.1 -i 1 发件人: iperf -c 224.1.1.1 -u -T 32 -t 3 -i 1 这些组合工作正常: 10.1.1.2上的监听器,10.1.1.3上的发送器 10.1.1.2上的监听器,10.1.1.4上的发送器 10.1.1.3上的监听器,10.1.1.3上的发送器 监听器10.1.1.3,发件人10.1.1.4 10.1.1.4上的监听器,10.1.1.3上的发送器 10.1.1.4上的监听器,10.1.1.4上的发送器 这些组合失败: 10.1.1.3上的监听器,10.1.1.2上的发送器 10.1.1.4上的监听器,10.1.1.2上的发送器 10.1.1.2上的侦听器,10.1.1.2上的发送器 所以,我不能从10.1.1.2发送任何组播数据包。 10.1.1.2的ifconfig: br0 Link encap:Ethernet HWaddr 00:25:90:e3:1e:0c inet addr:10.1.1.2 Bcast:10.1.1.255 Mask:255.255.255.0 inet6 addr: fe80::225:90ff:fee3:1e0c/64 Scope:Link […]
我写了简单的服务器客户端OpenVPNconfiguration文件: 为server.conf dev tun0 ifconfig 10.8.0.1 10.8.0.2 client.conf dev tun0 ifconfig 10.8.0.2 10.8.0.1 remote 192.168.0.123 这基本上是一个明确的OpenVPN隧道 – 现在对我来说,我只是从基础知识,重点是 – 是的,它的工作原理! 🙂 我也写了一个简单的bash脚本来自动运行客户端: #!/bin/bash openvpn –config client.conf 并保存为run.sh 然后,想要添加到cron允许客户端连接到VPN服务器在我想要的时间。 我做了: crontab -e 11 5 * * * /home/mirx/run.sh 但我没有看到服务器网站上的任何连接的客户端 – 我的cron项目是否工作? 在客户端网站上,当我用ifconfig检查它时,我没有看到任何新的tun接口。 有任何想法吗?
为了保证我的互联网体验,我想使用亚马逊AWS EC2按需按需设置VPN。 我的主要客户端运行Windows 7专业版。 (也许更多的客户将是我的Android手机和Fedora上网本。)VPN应该是一台Linux机器,我倾向于debian / cent-os。 这台机器专门用于这个目的。 我发现有几种方法可以在vpn上设置pptpd ,但只能使用用户名/密码authentication。 至less,这个密码是以明文forms存储在configuration上让我很头疼。 我没有问题,使用KeePass的安全密码(我已经习惯了),但我不喜欢存储明文密码,即使只是为了这个目的。 我宁愿使用存储在我的客户端的证书。 所以我的问题是 是pptpd推荐技术? 如果没有,为什么? 我可以设置pptpd来接受一种authentication吗? 如果不是,推荐哪个技术/软件? 我应该使用openvpn吗?
我必须在我的VPS上使用外部IPv4-IP。 我想路由一个VPN客户端,OpenVPN(tun)。 只有一个VPN客户端应该使用VPN,并且我想要将所有的stream量路由到我的第二个外部IP到这个VPN – 为一些服务,比如邮件服务器,获得一个静态地址。 所以我做了以下事情: 有两个IP的VPS(109.230.XXX.5; 109.230.XXX.6) 第一个IP用于VPN本身和其他服务,如web服务器和icecast2 第二个IP应该被路由到OpenVPN-Client OpenVPN在109.230.XXX.5上侦听 – 在tun0上有内部子网10.8.0.0/24 OpenVPN客户端在NAT后面,在OpenVPN中有10.8.0.6,在我的路由器(10.0.0.1)中有10.0.0.6在家 外部IP是217.235.XXX.32(dynamic) OpenVPN服务器上的iptables是: iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT # Allow forwarding for VPN iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE # Enable NAT for VPN iptables -t nat -A PREROUTING -d 109.230.XXX.6 -j DNAT –to-destination 10.8.0.6 […]