|
|
Re: [Lug-bg] Openvpn - не минава траффик
- Subject: Re: [Lug-bg] Openvpn - не минава траффик
- From: Marian Marinov <mm@xxxxxxxx>
- Date: Wed, 5 Sep 2007 15:15:13 +0300
On Wednesday 05 September 2007 14:31:26 Nikolaj wrote:
> Marian Marinov wrote:
> >> Къде точно се дефинира този "интересен трафик", защото ходейки по
> >> документацията на openvpn не срещнах този термин, а не е изключено и аз
> >> да съм пропуснал нещо.
> >
> > Проблема е съвсем прост, тафикът пристигащ по тунела от VPN-а се пропуска
> > от OpenVPN сървър-а тъй като на сървъра никъде не е описан че той трябва
> > да го рутира.
> >
> > В твоя случай ако не си пренастройш OpenVPN-а мисля, че можеш да си решиш
> > проблема като просто добавиш следния ред в конфигурацията на сървъра:
> > route 10.1.1.0 255.255.255.0
> >
> > По този начин обявяваш на OpenVPN, че той трябва да се рутира трафика от
> > тази мрежа към машината и обратно. Принципно това се налага само когато
> > трябва да вързваш две мрежи една към друга а не в peer-to-peer
> > connections но аз никога не съм си сетвал OpenVPN-а по начинът по който
> > ти си го направил.
> >
> > Поздрави
> > Мариян
> >
> Какво е по-екзотичното на моята конфигурация освен може би начина
> автентикация? Това че се позлва routed (tun) впн ли ?
Ти сетваш статично IP при клиента без да си дефинирал такова на сървъра...
т.е. никъде нямаш обявено какво е IP-то на VPN сървърът ти.
Ето ти примерни конфигурации с които аз работя:
Server:
local xxx.xxx.xxx.xxx
port 1253
proto tcp
daemon
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/XXX.crt
key /etc/openvpn/keys/XXX.key
dh /etc/openvpn/keys/dh1024.pem
server 10.2.0.32 255.255.255.224
ifconfig-pool-persist /etc/openvpn/ipp.txt
client-to-client
keepalive 10 120
cipher DES-EDE3-CBC # Triple-DES
max-clients 20
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/server-status.log
log-append /var/log/openvpn/server.log
writepid /var/run/openvpn/server.pid
verb 3
mute 10
Client:
log-append /var/log/openvpn.log
verb 1
cd /etc/openvpn/keys
dev tun
nobind
daemon
client
resolv-retry infinite
cert /etc/openvpn/keys/XXX.crt
key /etc/openvpn/keys/XXX.key
ca /etc/openvpn/keys/ca.crt
dh dh1024.pem
pull
proto tcp-client
remote xxx.xxx.xxx.xxx 1253
port 1253
persist-key
persist-tun
ping-restart 0
cipher DES-EDE3-CBC
IP-то на клиента се задава динамично от сървъра. Ако искаш клиента всеки път
да е с едно и също IP можеш да направиш client-config-dir директивата с която
да направиш настройките базирани на различна информация която имаш за
клиента.
Примерно при мен на базата на сертификатите се подават различни routes за
различните клиенти.
Поздрави
Мариян
_______________________________________________
Lug-bg mailing list
Lug-bg@xxxxxxxxxxxxxxxxxx
http://linux-bulgaria.org/mailman/listinfo/lug-bg
|
|
|