我有一些在AWS上运行的前端服务器(运行英镑SSL端接和清漆进行caching)。 我的后端位于远程位置(不在AWS上)。 我正在寻找安全地将AWS与后端连接的最佳/最快的方式。 我认为最好的select是设置OpenVPN(但是这也需要相当多的工作/configuration)。 对于这种特殊的情况,通道是否足够了? 还是有人有其他build议?
我有Carambola2设备上运行的OpenVPN客户端[1],当我使用3g / umts棒或有线以太网时,OpenVPN客户端每次都build立VPN隧道。 当使用WiFi时,如果WiFi信号不完美,则OpenVPN客户端由于TLS超时而失败10/10! 日志在60秒后显示LS超时。 如果杨桃设备(客户)与AP在同一个房间,那么OpenVPN得到build立没有任何问题! 当其他房间的杨桃设备(它与AP之间有两堵墙,信号显示-80dBm左右)时,没有丢弃ping,但是由于TLS超时,OpenVPN在60秒后失败。 我试图在客户端和服务器上设置“tls-timeout 120”,但是60秒后这些仍然是TLS超时,我做错了什么? 我应该在OpenVPN服务器上切换到tcp而不是udp吗? 有什么我可以尝试的其他调整? 我已经读过有时function不太强大的设备(智能手机和小型家庭无线路由器),或者在使用非常慢的连接(GPRS信号覆盖范围较小的区域)时,在TLS握手过程中导致TLS超时问题,因为超时发生在客户端完成计算会话密钥。 但是,为什么这些设备build立OpenVPN的连接没有TLS超时时,无线信号是理想的10/10? [1] http://8devices.com/carambola-2
我有Debian 7.2 VPS服务器,我用它作为Nginx / MySQL / PHP / Mail主机和私人使用的VPN。 对于VPN,我安装了OpenVPN。 安装后我能连接到VPN,但没有互联网连接,所以我跑了VPSterminal的下一个命令: iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT –to MY.SERVER.IP.ADDRESS 它立即解决了问题,但只是暂时的 – 经过几个小时的使用,通过VPN的互联网连接消失了,我需要再次运行命令以重新build立。 对于客户端,我使用Windows的OpenVPN GUI和Linux的OpenVPN客户端。 在两个客户端上 – 同样的问题,直到命令执行。 我能做些什么来防止这种情况发生? 我认为这是我的VPS上的APF防火墙问题,但在禁用和/或转发VPN端口后,它仍然只能暂时工作,所以我认为这是iptables的一些问题。 我试过这个教程 ,并重新启动VPS,但仍然是一样的。 我的OpenVPN server.conf文件: 这里
我们有我们的服务器分布在3个不同的网站(地理上)。 所以,我们已经使用OpenVPN部署了一个VPN,这样虚拟机就可以相互通信,系统pipe理员可以访问任何一台机器。 每个站点在VPN地址池上都有一个(或两个)自己的子网/ 24。 所以,所有的客户端连接到特定站点上的特定机器上的同一个OpenVPN服务器。 这是一个SPOF,我们想避免它。 阅读OpenVPN显示,有可能对OpenVPN进行负载平衡,总的来说,在这种情况下,客户端随机连接到一个服务器,然后,看不到对方。 这里的要点是每个站点有一个服务器,客户端连接到他们最近的服务器。 然后,将所有站点连接在一起,以便客户端可以看到任何其他客户端,无论其站点。 我们的整个基础设施都使用Ubuntu 12.04LTS,因此使用OpenVPN 2.2。 如果不清楚或不精确,我可以提供更多的细节。 提前致谢!
我现在正在为一个特定的OpenVPN场景苦苦挣扎几个月。 研究谷歌,阅读Serverfault,浏览博客和其他论坛,一次又一次搞乱我的configuration。 我不知道,如果我的要求甚至在逻辑上工作。 这里的场景: 我有一个租用的根服务器,我使用它来进行多种服务,云存储,备份等。为了简单起见,我们调用元素Client1和Client2和Server1。 Server1正在使用tun-Device。 Client1物理networking:192.168.1.0/24 Client2物理networking:192.168.178.0/24 Client1物理IP:192.168.1.4 Client2物理IP:192.168.178.22 Server1虚拟networking:192.168.2.0/24 Server1 VPN-IP:192.168.2.1 Client1 VPN-IP:192.168.2.6 Client2 VPN-IP:192.168.2.10 这两个客户端都可以连接到VPN服务器并使用它的服务。 这两个客户端都可以成功地ping服务器VPN-IP。 Server1不能ping客户端VPN-IP。 两个客户端不能ping通VPN-IP。 我想要连接两个客户端,以便它们可以在物理LAN中进行通信,但是却无法这样做。 这是我的configuration。 服务器configuration: port 1195 proto tcp-server dev tun1 ca keys/server1/ca.crt cert keys/server1/openvpn-server.crt key keys/server1/openvpn-server.key dh keys/server1/dh4096.pem server 192.168.2.0 255.255.255.0 crl-verify keys/server1/crl.pem ifconfig-pool-persist servers/server1/logs/ipp.txt cipher AES-256-CBC user nobody group nogroup status servers/server1/logs/openvpn-status.log log-append servers/server1/logs/openvpn.log […]
我寻找最好的解决scheme来logging所有连接客户端的IP到文本文件或login到我的VPN服务器的数据库。 在IP下,我指的是他们所连接的互联网上的公共WAN IP。 一个黑客可以肯定是使openvpn服务器日志到一个单独的日志文件,并定期运行logtail提取必要的信息。 所以我想要build立的数据库看起来像这样: Client_Name | Client_IP | Connection_date roadwarr1 | 72.84.99.11 | 03/04/14 – 22:44:00 Sat 请不要推荐我使用商业Openvpn访问服务器。 这不是一个真正的解决scheme。 如果可以确定断开的date会更好,那么我可以看到一个客户连接了多久,从哪里连接! 谢谢
我刚刚使用以下configuration安装OpenVPN服务器: daemon server-bridge push "route 0.0.0.0 255.255.255.255 net_gateway" proto udp port 1194 dev tap21 comp-lzo adaptive keepalive 15 60 verb 3 plugin /usr/lib/openvpn-plugin-auth-pam.so openvpn client-cert-not-required username-as-common-name duplicate-cn ca ca.crt dh dh.pem cert server.crt key server.key status-version 2 status status 当我连接到客户端时: client dev tap proto udp remote <remote IP> 1194 float comp-lzo adaptive keepalive 15 60 […]
在我的情况下,有一台机器可以同时作为基于iptables的防火墙和OpenVPN服务器。 它有两个networking接口 – eth1连接到互联网,而eth0连接到机器后面的LAN。 到现在为止,我明白如何configuration路由/基于TUN的VPN连接的iptables。 您可以在openvpn.net上find以下可视化文件: | FIREWALL | | | {eth1 eth0} | \ / | | +———————-+ | | | iptables and | | | | routing engine | | | +–+—————-+–+ | | | | | | (openvpn)——-{tun0} | | 10.8.0.1 | +——————————–+ 根据图像,逻辑分区stream程如下所示: Internet – > eth1 – > iptables(通过INPUT链) – […]
我有安装了OpenVPN的Centos 6 64位服务器。 我使用这个iptables规则转发一个OpenVPN用户的端口: iptables -t nat -A PREROUTING -p tcp -m tcp –dport PORT -j DNAT –to-destination 10.8.1.X:PORT 这工作完美,但如果我转发给另一个用户相同的端口。 港口将不会为两个工作。 我如何将同一端口转发给2个不同的用户? 我知道我可以把用户放在不同的子网上,使用不同的外部IP,并将IP上的一个端口上的stream量转发到客户端,并为这样的2个用户开放相同的端口,但这不是我想要做的。 我希望用户在同一个子网上。 提前致谢!
我有一个网站与Linux上的openvpn服务器validation用户对Active Directory(域A)一切工作正常。 现在公司有一个不同的AD域(B),并将“Trust”设置为原始域A. 是否有一个简单的方法来:a)让域B中的用户出现在域A中? b)调整openvpn来尝试多个AD域? 我可以简单地设置另一个端口上的另一个openvpn实例,但我想为所有用户configuration一个。