我正在使用DD-WRT 3.0路由器通过openVPN进行连接。 在局域网中,192.168.1.50是不应该通过VPN的设备。 ( 如何设置防火墙有192.168.1.50不通过VPN和如何使所有其他IP丢失WAN连接时,VPN断开/丢弃? ) 要么 ( 创build两个子网,一个通过VPN(Wi-Fi设备)和其他直接(有线设备) , 并使VPN子网在VPN丢失时失去WAN连接 ) 我没有任何设置的偏好。 无论如何更容易。 此规则不起作用(对于第一种情况): iptables -I FORWARD ! -o tun1 -s 192.168.1.50 -j DROP 路由器处于网关模式:
我们的一个企业网站运行在Linux服务器上,使用Apache2和PHP5构build。 只能从OpenVPN子网 (地址10.8.0.1/24) 访问多个网页 。 要检查每个请求, php脚本比较由apache提供的$_SERVER["REMOTE_ADDR"]值,并决定授予或拒绝进一步的执行。 目的是拒绝从未configuration为通过服务器VPN工作的设备访问这些页面。 OpenVPN服务器运行在同一台机器上 ,这就是为什么PHP从VPN内部的客户端接收地址10.8.0.25的原因,以及其他请求的真实地址。 “保护”网页免受公众访问是否正确? testing这个系统我发现一个奇怪的事情,如果我请求使用Windows机器的这些“受保护”页面之一,连接到我们的OpenVPNnetworking,服务器能够看到真正的IP地址(而不是10.8.0.xx)在Android设备上按预期工作(服务器无法看到真正的IP地址,并在PHP中获得10.8.0.xx)。 我在Android上使用OpenVPN Connect应用程序,在Windows上使用OpenVPN GUI 。 在这两种情况下,客户端通过VPN服务器路由其stream量,“什么是我的IP?” 服务显示VPN地址,而不是我的ISP的真实地址。 但不pipe怎样,Windows客户端都可以通过networking服务器上的真实(提供商)地址来识别,而无论VPN是打开还是closures,都无法访问受保护的页面。 这有什么可能的原因? 我怀疑OpenVPN在Windows PC上无法正常工作。 否则,为什么服务器以不同的方式识别Android和Windows vpn客户端? 谢谢。 UPD:在VPN / websrv机器上的iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp — 10.8.0.0/24 anywhere tcp dpts:63000:64000 REJECT tcp — anywhere anywhere tcp dpts:63000:64000 reject-with icmp-port-unreachable ACCEPT […]
这应该是非常容易的,我想我错过了一些明显的东西。 OpenVPN文档声明你可以在Unix域套接字上运行pipe理接口。 好的,没问题,我试过了。 openvpn –dev tun –management /dev/openvpn unix 这似乎工作; 设备被创build,OpenVPN启动。 如何连接到pipe理界面? 这不是TCP,所以Netcat将无法工作。 我试图直接向套接字回显命令,并得到一个错误: $ echo "help"| /dev/openvpn bash: /dev/openvpn: No such device or address 我知道我错过了一些基本的东西,但是我可以在互联网上find任何实际连接到Unix域套接字pipe理接口的零例子。
我目前有一个与OpenVPN服务器搭build的VPS。 我的想法背后是,在开发的同时,我将通过VPN连接到服务器,这将允许我访问服务器上被外部世界阻止的iptables / ufw端口。 OpenVPN被设置为伪装并转发所有stream量。 这对任何外部网站都非常有效。 但是,当我尝试访问服务器本身上运行的某个服务/端口时,请求似乎没有被屏蔽,服务器也不会将其视为来自tun0接口客户端的请求,因此根据UFW规则设置请求被封锁。 我没有很多设置vpn或自定义路由的经验,所以我的问题是:我缺less什么configuration,以便允许来自OpenVPN客户端的请求? 在我的before.rules : :POSTROUTING ACCEPT [0:0] # Allow traffic from OpenVPN client to eth0 -A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE COMMIT 访问服务器本身的服务(来自连接的客户端)时出错: [UFW BLOCK] IN=eth0 OUT= MAC=[…] SRC=[MY-ACTUAL-CLIENT-IP] DST=[SERVER-IP] LEN=60 TOS=0x08 PREC=0x00 TTL=55 ID=46182 DF PROTO=TCP SPT=47449 DPT=9332 WINDOW=14600 RES=0x00 SYN URGP=0
多个客户端对多个服务器进行身份validation的最佳方式是什么? 当我为每个客户端生成一个令牌时,我正在考虑一个基于令牌的系统,并添加了一个自定义脚本来validation这一点。 但是这意味着用户很容易受到MITM攻击,因为他们没有使用密钥。 但是为每个服务器生成一个客户端,然后不得不重置服务器和每个服务器的文件是不可接受的。 这也使撤销非常困难。 什么是最好的方法来authentication多个用户到多个服务器? 也许我可以使用基于令牌的方法,并让每个用户使用相同的.crt(或者是.pem ??),只是为了确认服务器的真实性,以防止MITM攻击。
我安装了Samba4,并将其configuration为域控制器,并自动生成ca.pem,cert.pem,key.pem。 现在我想使用同一个samba的CA来签署新的证书(可能由easyRSA或OpenSSL生成)。 有人可以请指导我如何做到这一点(使用easyRSA或OpenSSL)? 主要的困难是我刚从桑巴(不是crt和密钥文件)pem文件,因此我不知道我怎么能做我想要的。 一个相关的问题:我怎么知道我的pem文件是只包含证书还是证书和私钥? (这点对我理解我的主要问题非常重要)。 并且,如果它同时拥有证书和私钥,我怎样才能将它们分开以便将它们方便地用作crt和密钥文件? 我打算做的实际上是使用Samba4 AD DC使用starttls来validationOpenVPN,但由于某种原因,openvpn不接受这个问题,我认为问题在于服务器证书的签名不同。 任何帮助真的很感激。
我有一个没有连接到VPN服务器的OpenVPN客户端。 我粘贴下面的完整日志,但特别是,我得到这些路线的问题: OpenVPN路由:OpenVPN需要一个–route选项的网关参数,并且没有默认由–route-gateway或–ifconfig选项指定 OpenVPN路由:无法parsing/解决主机/networking的路由:10.8.0.1 有很多客户端configuration相同的客户端连接就好了。 这个客户端(和一些其他客户端)已经连接,由于系统时间变得太不同步(我相信)而失去了连接,从而同步系统时间,但现在仍然无法连接。 通常,重新启动系统可以解决问题。 所以它似乎不是VPNconfiguration的问题,而是客户端系统的问题。 我不太了解路线问题或解决问题。 我需要处理从时间同步问题恢复,但现在,为什么我不能从这个客户端手动启动VPN连接? 什么会导致OpenVPN现在需要一个网关参数? 日志 $ openvpn gatewaymaster.conf Fri Sep 30 12:03:07 2016 OpenVPN 2.2.1 arm-linux-gnueabihf [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Dec 1 2014 Fri Sep 30 12:03:07 2016 NOTE: OpenVPN 2.1 requires '–script-security 2' or higher to call user-defined […]
我试图同时运行多个openvpn实例,所有工作正常运行一个单一的,但我想有几个实例,其中每个连接到不同的主机,从那里能够使用接口,我想。 我正在尝试这样的: France.ovpn client dev tun proto udp remote france.privateinternetaccess.com lport 1190 resolv-retry infinite persist-key persist-tun cipher aes-128-cbc auth sha1 tls-client remote-cert-tls server auth-user-pass /etc/openvpn/piaauth.txt comp-lzo verb 1 reneg-sec 0 crl-verify /etc/openvpn/crl.rsa.2048.pem ca /etc/openvpn/ca.rsa.2048.crt disable-occ lport 1189 rport 1198 | sudo /usr/sbin/openvpn –config /etc/openvpn/France.ovpn –dev tun0 Fri Dec 16 16:59:32 2016 OpenVPN 2.3.10 x86_64-pc-linux-gnu [SSL […]
在使用TUN设备时,我遇到了OpenVPN集中器的问题。 情况是这样的: OpenVPN Server VPN Subnet: 10.10.10.1/24 PC1 OpenVPN Client VPN IP: 10.10.10.50 PC Local subnet/IP: 192.168.20.100 PC2 OpenVPN Client VPN IP: 10.10.10.60 PC Local subnet/IP: 192.168.30.100 RemoteSite1 VPN IP: 10.10.10.70 Local Subnet: 192.168.80.0/24 RemoteSite2 VPN IP: 10.10.10.80 Local Subnet: 192.168.80.0/24 PC1连接到RemoteSite1,PC2连接到RemoteSite2,但在使用popup式连接时,其中一台PC到达错误的远程站点。 使用TAP设备时,此设置可以很好地工作。 为了避免OpenVPN服务器发生networking冲突,远程站点没有路由规则,每台PC都有一个特定的查找路由表: root@openvpn~ # ip rule sh 0: from all lookup local 1: […]
我有一个专门的服务器运行在托pipe服务提供商的Ubuntu。 我已经configuration了OpenVPN和VirtualBox,并使用VirtualBox安装了Windows 7虚拟机。 该服务器具有以下接口: 接口eth0被分配公共IP地址 环回接口 Tun接口从OpenVPN 让Win7-VM从VM-Range(10.8.0.0/24)获得IP地址是否可以实现? 我希望这是可能的,以便系统是可以通过公共IP访问,如果我连接到VPN访问虚拟机,例如IP 10.8.0.7 ? 我听说过networking桥接,并已经尝试了几种configuration,但是当我这样做,使整个服务器无法访问。 也许有人可以解释我,如果它是现实的,哪种方法是最合适的。 谢谢