目标:openvpn客户端的访问控制。 每个客户端指定的内部IP。 客户端将获得一个固定的IP。 这是行得通的,例如:iptables -t nat -A POSTROUTING -s 10.1.0.104/32 -d 192.168.1.10 -o eth0 -j MASQUERADE(10.1.0.0子网是来自openvpn的池) 但是我喜欢为每个客户端定制一个链,所以我可以更容易地编写访问脚本。 我试图用自己的replacePOSTROUTING链,但不起作用。 有人?谢谢
我试图通过OpenVPN连接两个IP范围。 我有以下设置: 范围为“10.4.36.0”的办公室范围为“10.6.50.0”的根服务器 办公室PC通过Windows OVPN客户端连接。 OVPN服务器在debian 7机器上运行。 但是我现在有一种特定的设置,那就是OVPN服务器没有安装两个网卡,它只有一个。 OVPN服务器有一个IP为“10.6.50.70”的网卡,本机的所有stream量都通过另一个设置为标准网关的linux软件防火墙进行路由。 这个软件防火墙的内部IP为“10.6.50.1”,它是服务器上唯一有两个网卡连接到互联网的机器。 软件防火墙具有IPCONFIG规则,允许端口11194将此端口路由到正确的机器(OVPN服务器正在侦听的端口): iptables -A INPUT -i eth1 -p tcp –dport 11194 -j ACCEPT (…) iptables -t nat -A PREROUTING -p tcp -i eth1 –dport 11194 -j DNAT –to-destination 10.6.50.70:11194 然后,用户再次自动重新安装在同一服务器上的AD控制器。 所有这一切工作正常,与路由不起作用的额外奖金。 当我(成功)连接到OVPN服务器时,我可以ping服务器本身没有问题。 但是我不能在整个根服务器上访问OVPN服务器(10.6.50.1)的默认网关或任何其他机器。 Tracert的结束在…无处: C:\Windows\system32>tracert 10.6.50.186 Routenverfolgung zu 10.6.50.186 über maximal 30 Hops 1 * * […]
路由器是Teltonika RUT905与VPN。 它支持TLS , Static Key , Passwordauthentication。 还有一个选项– custom –authentication,允许input一些string值。 我希望同时使用TLS和密码authentication。 任何人都可以请帮我理解– custom –身份validation和我应该input什么样的身份validation?
Freebsd 11.0 dnscrypt 1.9.1 openvpn 2.4.3 我有openvpn与opendns通过在server.conf文件中推DSN的工作。 我也有dnscrypt-proxy在127.0.0.1上工作。 我已经看过了interweb上的一些“解决scheme”,除非他们不工作。 是否有可能使用dnscrypt与openvpn而不诉诸绑定或解除绑定? 什么不行的例子就是放 push "dhcp-option DNS 127.0.0.1" 在server.conf文件中,虽然我发现了一个表示它应该工作的post。 这是一个dnscrypt-proxy工作的例子: # hostip -r 127.0.0.1 cnn.com 151.101.1.67 151.101.129.67 151.101.193.67 151.101.65.67 问题是你不能推送本地主机上的VPN客户端。 另一个build议是推送本地IP网关,即10.8.0.0或10.8.0.1。 那也行不通。 我也尝试把127.0.0.1放在/etc/resolv.conf中,而不是在openvpn的server.conf中使用“push”,但是显然不推送一个DNS使得客户端回退到它正在使用的互联网访问的DSN。
我有一个运行openvpn的Debian安装。 我想访问本地ip在我的vpn但ufw(防火墙)块,因为input设备是eth0而不是tun0。 任何想法为什么发生这种情况 server.conf(在服务器上) proto udp port 1194 dev tun ca easy-rsa/keys/ca.crt cert easy-rsa/keys/domain.crt key easy-rsa/keys/domain.key dh easy-rsa/keys/dh2048.pem topology subnet server 10.8.0.0 255.255.255.0 route 10.8.0.0 255.255.255.0 push "dhcp-option DNS 8.8.8.8" push "topology subnet" client-to-client keepalive 10 120 comp-lzo user ovpn group nogroup persist-key persist-tun client-config-dir ccd cipher AES-256-CBC remote-cert-eku "TLS Web Client Authentication" tls-version-min 1.2 […]
日志文件/var/log/openvpnas.log中的一行示例 2017-07-22 01:13:51+0200 [-] OVPN 4 OUT: "Fri Jul 21 23:13:51 2017 62.140.147.120:5414 SENT CONTROL [jeff]: 'AUTH_FAILED' (status=1)" 我想要使用fail2ban,当AUTH_FAILED在该行中时,ip-adres 62.140.147.120被阻塞,就像在示例行中那样。 我花了几个小时试图做到这一点。 在Google上search。 用正则expression式进行实验。 仍然无法使其工作。 到目前为止,openvpn.conf中最为合乎逻辑的一行似乎是: failregex = ^ … OVPN 4 OUT: \".* .* .* ..:..:.. …. <HOST>:.* SENT CONTROL .*: \'AUTH_FAILED\' $ 但是命令: fail2ban-regex /var/log/openvpnas.log /etc/fail2ban/filter.d/openvpn.conf 一直说:0匹配 任何人都可以帮我吗? 什么是“failregex”的参数,我必须inputopenvpn.conf?
我正在尝试使Apache VirtualHost只能在VPN上访问(具体的OpenVPN)。 让虚拟主机监听我们使用的VPNnetworking; <VirtualHost 10.8.0.1:80> #Directives… </VirtualHost> 假设10.8.0.1是VPN接口的IP地址。 我想知道的是,如何在VPNnetworking上为上面创build的VirtualHost分配一个IP地址。 有什么想法吗?
我configuration了一个在Azure中运行的OpenVPNnetworking10.8.0.0/24(networkingA)。 Linux虚拟机的IP为10.1.0.4,位于Azure的10.1.0.0/24networking中(networkingB)。 我也configuration了一个路由器作为一个OpenVPN客户端与自己的子网192.168.1.0/24(networkingC)。 在Azure中,有一个IP地址为10.1.0.5的Windows Server虚拟机。 在远程路由器上有一个ip 192.168.1.223的设备。 所以总结我有这些networking: 10.8.0.0/24(OpenVPNnetworking) 10.1.0.0/24(Azure虚拟networking) 192.168.1.0/24(远程路由器的局域网) 而这些设备: 10.1.0.5(Azure中的Windows Server VM) 10.1.0.4(Azure中的Linux VM / OpenVPN服务器) 10.8.0.3(路由器作为OpenVPNnetworking上的客户端) 192.168.1.223(路由器局域网上的设备) 我已经设置了路由表,以便IP 192.168.1.223上的设备和IP 10.1.0.5上的Windows Server VM可以相互通信。 这是完美的工作。 当我想将SNMP陷阱(UDP 162)从设备发送到Windows Server VM时,会发生此问题。 数据包通过源IP 10.8.0.3(OpenVPNnetworking上的路由器IP)接收。 我想让SNMP数据包到达192.168.1.223设备的源IP,这是它们的实际来源。 在远程路由器的client.conf文件中可以使用一些POSTROUTING规则或configuration吗?
我有一个用户无法从国外连接到我的OpenVPN服务器。 我的服务器被放置在葡萄牙,我的客户正在缅甸。 连接始终从用户端重新启动。 他现在通过PPTP使用旧的备份VPN。 这台服务器与Windows 10,Linux和MacOS的用户正常工作,其中一些使用连接每天8小时,使用数月后仍然工作正常,仍然没有发现问题。 我正在通过端口TCP 51184使用非标准连接,以避免服务被ISP阻塞到默认端口和通信量。 从用户端日志来看,除了这部分外,都看得很好: Fri Jul 28 09:35:32 2017 Attempting to establish TCP connection with [AF_INET]x:51194 [nonblock] Fri Jul 28 09:35:33 2017 TCP connection established with [AF_INET]x:51194 Fri Jul 28 09:35:33 2017 TCP_CLIENT link local (bound): [AF_INET][undef]:0 Fri Jul 28 09:35:33 2017 TCP_CLIENT link remote: [AF_INET]x:51194 Fri Jul 28 09:36:14 […]
我有一个慈善机构,我正在帮忙,它有一个运行4个Linux服务器的传统networking,每个服务器都在一个单独的build筑物中。 每个服务器运行Samba和LDAP,但他们已经设法得到Server 2016作为捐赠,所以我需要将它们移动到AD这不是一个问题。 新系统将使用不同的AD域名从头开始设置。 当前的networking在build立时运行了一个非基于TCP的应用程序,所以build筑物以桥接模式与OpenVPN连接,所有4个站点都在192.168.0 / 24上。 还设置了Linux服务器,将每个站点的数据备份到其他站点的数据。 使用AD,最好的做法是使用站点和服务join4个不同的子网,让AD进行编排,所以我需要从桥接切换到路由设置。 我的问题是我可以在同一台机器上运行桥接接口和路由隧道,并在它们之间传送数据。 我打算将VPN服务器(这是一个明星设置)移动到最快的互联网连接,这是最初的AD DC的地方,所以机器将暂时成为新的路由networking的VPN服务器,但也将连接作为尚未迁移到新子网的机器的旧桥接客户端。 然后,我可以将剩余的三个站点切换到不同的子网,并将其与最初的VPN服务器连接到vpn。 有没有人以前做过这个,或者我只是不得不切换到路由设置,并做一个大热门所有的网站? 有4个新的服务器将安装服务器2016年,他们将在作为防火墙的OpenVPN网关运行的Linux机箱后面。 谢谢, Joolz