שלום לכולם

אני די חדש כאן, גם בפורום וגם עם לינוקס בכלל... אז בעדינות...
[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.jaya.co.il/phpBB3/images/smilies/icon_e_smile.gif]


יש לי מערכת לינוקס Fedora 10 ועליה מותקן (ואפילו בהצלחה) OpenVPN בתצורת server-bridge
כל משתמשי הקצה מתחברים בהצלחה לשרת ומצליחים להגיע אחד אל השני - עד כאן הכל מצויין...

הבעיות מתחילות בזה שאף משתמש קצה לא יכול לעשות פינג לשרת OpenVPN עצמו בכתובת ה VPN שהוא אמור היה לקבל וגם לא הצלחתי לאפשר גישה מרשת ה VPN לרשת של המשרד.

הוספתי את הסקריפט: openvpn-startup שמריץ בעת העלייה את bridge-start כפי שמוסבר במדריכים
שיוצר לי br0 עבור eth0+tap0
המשרד יושב על 192.168.88.0/24
השרת VPN יוצר את 192.168.3.0/24 ובכלל יש לו כתובת חוקית שזמינה לאינטרנט בפורט 1194 ולו ולרשת המשרד אין שום בעייה לתקשר.

הנה הקובץ server.conf
port 1194
proto udp
dev tap0
tls-server
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key # This file should be kept secret
dh /etc/openvpn/keys/dh1024.pem
mode server
ifconfig-pool-persist ipp.txt
server-bridge 192.168.3.1 255.255.255.0 192.168.3.10 192.168.3.30
push "route 192.168.3.0 255.255.255.0"
push "dhcp-option DOMAIN my.domain.com"
push "dhcp-option DNS 192.168.3.12"
client-to-client
keepalive 10 120
cipher DES-EDE3-CBC # Triple-DES
comp-lzo
max-clients 30
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
log /var/log/openvpn.log
verb 4
mute 20

משהו מוזר ששמתי לב הוא שה tap0 כלל לא מקבל IP... האם אני צריך להגדיר את זה ידנית? אם כן איפה הקובץ שצריך לערוך?
ואם כבר הגענו לדברים המוזרים אז הנה עוד אחד... כשמחשב windows מתחבר ל VPN הוא מצליח לצאת לאינטרנט כאשר זה מחשב לינוקס אני לא מצליח לצאת לאינטרנט...
ובמחשב לינוקס ישנה עוד בעיונת קטנה - את הגדרת החיבור VPN אני עושה דרך Network Manager - איך אני גורם לו להתחבר אוטומטית (במקרה של הפעלה מחדש או ניתוק מכל סיבה שהיא)?

המון תודה לכולם
[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.jaya.co.il/phpBB3/images/smilies/icon_e_smile.gif]

אתה גם דוחף route מצד אחד (ניתוב) וגם בונה את הקונפיגורציה כאילו מדובר ב bridge (כאילו סוויצ' פשוט מחבר בין הרשתות)

תחליט באיזה מצב מהשניים אתה רוצה לעבוד, ניתוב או bridging בין רשתות (טיפ ממני: האחרון הרבה יותר בעייתי מכל מיני סיבות) - ומשם אפשר יהיה להמשיך...

נמאס לכם לזכור סיסמאות? לחצו כאן!

היי שימי

תודה על התגובה, אני באמת קצת מבולבל והגעתי למה שיש כרגע ע"י ניסוי וטעייה.

אני הייתי רוצה לחבר בין הרשתות בעזרת bridge שלהבנתי אמור לספק לכל מי שמתחבר כתובת שהיא חלק מה LAN

אז הכנתי שרת חדש בלילה והנה ההגדרות שלו:
IP: 192.168.88.200

openvpn-startup
dir=/etc/openvpn
echo 1 > /proc/sys/net/ipv4/ip_forward
bash -x /etc/openvpn/scripts/bridge-start

bridge-start
br="br0"
tap="tap0"
eth="eth0"
eth_ip="192.168.88.200"
eth_netmask="255.255.255.0"
eth_broadcast="192.168.88.255"
eth_gateway="192.168.88.1"
for t in $tap; do
openvpn --mktun --dev $t
sleep 1
done
brctl addbr $br
sleep 1
brctl addif $br $eth
sleep 1
for t in $tap; do
brctl addif $br $t
sleep 1
done
ifconfig $eth 0.0.0.0 promisc up
sleep 1
ifconfig $br $eth_ip netmask $eth_netmask broadcast $eth_broadcast
sleep 1
route add default gw $eth_gateway

openvpn-shutdown
bash -x /etc/openvpn/scripts/bridge-stop
echo 0 > /proc/sys/net/ipv4/ip_forward

bridge-stop
br="br0"
tap="tap0"
ifconfig $br down
brctl delbr $br
for t in $tap; do
openvpn --rmtun --dev $t
done

server.conf
port 1194
proto udp
dev tap0
tls-server
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh2048.pem
mode server
ifconfig-pool-persist ipp.txt
server-bridge 192.168.88.200 255.255.255.0 192.168.88.201 192.168.88.250
push "dhcp-option DOMAIN my.domain.com"
push "dhcp-option DNS 192.168.88.1"
client-to-client
keepalive 10 120
tls-auth /etc/openvpn/keys/ta.key 0
cipher DES-EDE3-CBC
comp-lzo
max-clients 100
user nobody
group nobody
persist-key
persist-tun

גם עכשיו משתמשים מצליחים להתחבר אבל לא לעשות פינג לשרת עצמו וגם הוא לא מצליח לעשות פינג למי שהתחבר אליו... כמובן שהבעייה העיקרית היא שמי שמחובר לשרת לא מגיע לאף משאב אחר על רשת 192.168.88.0

טוב, דווקא במוד של bridge לא עבדתי (כי הוא טפשי לדעתי. אין שום סיבה הגיונית לבזבז רוחב פס וביצועים על שליחה של broadcast ושאר שטויות בין כל לקוחות ה VPN)

באופן כללי, ממה שאני יודע על bridging, זה נראה בסדר (לא התעמקתי אז אולי פספסתי משהו)

הצעד הבא הוא לבדוק האם הקליינטים מקבלים כתובת, אם כן, מאיזו תת רשת.
אם כן, הגיע הזמן להריץ tcpdump עם i- כדי לראות מה נכנס ויוצא מכל ממשק, כדי לגלות היכן זה לא עובר...

(כמובן, אני יוצא מנקודת הנחה שאין לך פיירוול על הלינוקס שיכול לחסום את הדברים..)

נמאס לכם לזכור סיסמאות? לחצו כאן!

יש לך דוגמא של Server.conf שעובד בראוטר?

אני רק רוצה משהו שמאפשר לכל מי שמתחבר גישה לכתובת ה LAN של השרת וגם לשאר המשאבים ברשת (כמו המדפסות)

בווינדוס זה כל כך פשוט... אבל אני לא נכנע... אני תקוע עם זה כבר חודש...

והמון תודה שאתה משקיע זמן ועונה לי

פשוט תשתמש בדוגמא שיש באתר שלהם, זה מה שאני עשיתי, וזה עבד לי על הפעם הראשונה.

העקרון פשוט: השרת יוצר subnet שאליו מתחברים כל הלקוחות. במהלך החיבור, השרת מקצה כתובת מה subnet הזה, ומפרסם ללקוח את טווח הכתובות של הרשת המקומית. הלקוח, בהתאמה, מגדיר route לכיוון הרשת המקומית דרך ה IP של שרת ה VPN. וזהו.

כמובן, שבקונפיגורציה הזו, המחשבים מה LAN צריכים לדעת לצאת ל subnet של הלקוחות דרך המחשב של ה VPN. אם המחשב הזה הוא גם ה default gateway שלך, זה פשוט יעבוד. אם לא, צריך להוסיף route ל subnet של לקוחות ה VPN בכל המחשבים דרך ה IP של שרת ה VPN, או, לחלופין, אם הנתב שמחבר את כולם לאינטרנט תומך בכך, אפשר להגדיר את ה route פשוט שם, ואז כל התעבורה תגיע לנתב הרגיל, ותחזור חזרה לכיוון שרת ה VPN

נמאס לכם לזכור סיסמאות? לחצו כאן!

היי שימי

המון תודה,

תן לי לחזור על מה שאמרת ותגיד לי אם הבנתי נכון,

# לעבור ל ROUTING במקום BRIDGE ולהקצות למשתמשי ה VPN טווח משלהם,
אם הרשת שלי היא 192.168.88.0/24 אז השרת יחלק 192.168.99.0/24 למשתמשי ה VPN כאשר הוא מקבל את הכתובת הראשונה בטווח (בזה ה OPENVPN מטפל לבד).
ifconfig-pool 192.168.99.4 192.168.99.50 - משהו כזה לא?
# איך זה מתחבר לכתובות ה TUNNEL ? מה שמגדירים דרך:
ifconfig 192.168.99.1 192.168.99.2
# עכשיו אני אמור לשים שורת ראוט כזו על השרת:
push "route 192.168.88.0 255.255.255.0" ?

... זה עושה היגיון?

אני באופן אישי מגדיר את טווח הכתובות לחלוקה דרך ה directive העונה לשם server ואז חוץ ממנו רק עושים push ל route. ממש פשוט...

נמאס לכם לזכור סיסמאות? לחצו כאן!