Forum KOPI Strona Główna KOPI
Forum Klubu Opiekunów Pracowni Internetowych
 
 FAQFAQ   SzukajSzukaj   UżytkownicyUżytkownicy   GrupyGrupy   RejestracjaRejestracja 
 ProfilProfil   Zaloguj się, by sprawdzić wiadomościZaloguj się, by sprawdzić wiadomości   ZalogujZaloguj 

VPN

 
Napisz nowy temat   Odpowiedz do tematu    Forum KOPI Strona Główna -> Linux
Zobacz poprzedni temat :: Zobacz następny temat  
Autor Wiadomość
butek
Użytkownik Forum


Dołączył: 28 Dec 2007
Posty: 191
Skąd: Sierpc

PostWysłany: Thu Nov 29, 2012 10:19 pm    Temat postu: VPN Odpowiedz z cytatem

Jak zrobić VPN ? Szkoła = serwer (debian) <-> dom (klient opensuse) ? Czytałem że potrzebne są routery z pewnymi możliwościami (nie wiem z jakimi ) ?
W szkole jest łącze tp i stały adres IP w domu netia ? W ogóle czy to ma jakieś znaczenie ?
_________________
Mirosław Butajło
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Wyślij email
Maciek
Administrator


Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca

PostWysłany: Fri Nov 30, 2012 9:54 am    Temat postu: Odpowiedz z cytatem

Konfigurację VPN masz poniżej. Wersja prostsza w oparciu o klucze, dla kilku klientów w oparciu o certyfikaty.
Łącze klienta jest nieistotne, ale serwer VPN pow3inien być na stałym IP raczej i nie może być za firewallem.

http://www.nnd.freesco.pl/modules.php?name=News&file=article&sid=48
http://www.nnd.freesco.pl/modules.php?name=News&file=article&sid=46
_________________
Belfer.one.PL

Autorski Przewodnik Kulturalny
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
butek
Użytkownik Forum


Dołączył: 28 Dec 2007
Posty: 191
Skąd: Sierpc

PostWysłany: Fri Nov 30, 2012 4:19 pm    Temat postu: Odpowiedz z cytatem

Maciek napisał:
Konfigurację VPN masz poniżej. Wersja prostsza w oparciu o klucze, dla kilku klientów w oparciu o certyfikaty.
Łącze klienta jest nieistotne, ale serwer VPN pow3inien być na stałym IP raczej i nie może być za firewallem.

http://www.nnd.freesco.pl/modules.php?name=News&file=article&sid=48
http://www.nnd.freesco.pl/modules.php?name=News&file=article&sid=46

Te adresy o które są wymieniane w artykułach nie są publiczne . Zatem jak komputer z domu może zobaczyć komputer z innego miejsca. W sieci te komputery mają adresy publiczne. Jak przypisać adresy publiczne z adresami lokalnymi. Ponadto ja mam w domu Netię/Neostradę zatem adres publiczny zmienia się . ( W szkole jest stały adres publiczny)
_________________
Mirosław Butajło
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Wyślij email
Maciek
Administrator


Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca

PostWysłany: Fri Nov 30, 2012 5:58 pm    Temat postu: Odpowiedz z cytatem

To, jakie są wpisane przykładowe adresy, nie ma żadnego znaczenia. To jakie będziesz miał adresy zależy od ciebie i twojej sieci. Wirtualny adres VPN nie może pokrywać się z adresem w domu, ani w szkole. Dlatego wybierać adres w rodzaju 192.168.234.1.
Jedyne miejsce, w którym w konfiguracja serwera wymaga podania zewnętrznego IP to linijka:
push "route 83.16.229.5 255.255.255.248"
To wpis przykładowy, podobnie jak wszystkie inne. VPN powinien działać bez problemu o ile stały IP (np DSL masz w szkole i twój serwer do modemu DSL jest podłączony.
_________________
Belfer.one.PL

Autorski Przewodnik Kulturalny
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
butek
Użytkownik Forum


Dołączył: 28 Dec 2007
Posty: 191
Skąd: Sierpc

PostWysłany: Fri Nov 30, 2012 6:28 pm    Temat postu: Odpowiedz z cytatem

Czy muszę kartom sieciowym na serwerze i kliencie nadawać aliasy z nowym ip 10. ....
_________________
Mirosław Butajło
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Wyślij email
Maciek
Administrator


Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca

PostWysłany: Fri Nov 30, 2012 6:55 pm    Temat postu: Odpowiedz z cytatem

Nie. Musisz jedynie zainstalować openvpn i przeprowadzić konfigurację. Wirtualny interfejs tap/tun dostanie adres jaki sobie w konfiguracji wybierzesz.
Nie wiem, jak masz skonfigurowane iptables, więc być może będzie potrzeba dodać jakieś dodatkowe regułki do firewalla, jeśli masz coś w rodzaju "firewall for paranoid people" Wink
_________________
Belfer.one.PL

Autorski Przewodnik Kulturalny
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
butek
Użytkownik Forum


Dołączył: 28 Dec 2007
Posty: 191
Skąd: Sierpc

PostWysłany: Fri Nov 30, 2012 7:11 pm    Temat postu: Odpowiedz z cytatem

Kod:
Fri Nov 30 18:57:38 2012 WARNING: potential route subnet conflict between local LAN [192.168.1.0/255.255.255.0] and remote VPN [192.168.1.0/255.255.255.0]


Jest problem bo w szkole karta sieciowa która odpowiada za połączenie z Internetem i karta sieciowa w domu mają taką samą adresację (192.168.1.10 i 192.168.1.35 z maską 24) Nie mogę zmienić adresacji karty w domu bo mam Netia_Spot a ten nie pozwala na grzebanie w ustawieniach Lan-u. Czy mozna to jakoś obejść ? A może alias na karcie w domu ?

Kod:
Fri Nov 30 18:57:38 2012 OpenVPN 2.2.2 i586-suse-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] built on Dec 14 2011
Fri Nov 30 18:57:38 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Nov 30 18:57:38 2012 LZO compression initialized
Fri Nov 30 18:57:38 2012 TUN/TAP device tun0 opened
Fri Nov 30 18:57:38 2012 /bin/ip link set dev tun0 up mtu 1500
Fri Nov 30 18:57:38 2012 /bin/ip addr add dev tun0 local 10.8.0.2 peer 10.8.0.1
Fri Nov 30 18:57:38 2012 WARNING: potential route subnet conflict between local LAN [192.168.1.0/255.255.255.0] and remote VPN [192.168.1.0/255.255.255.0]
RTNETLINK answers: File exists
Fri Nov 30 18:57:38 2012 ERROR: Linux route add command failed: external program exited with error status: 2
Fri Nov 30 18:57:38 2012 Attempting to establish TCP connection with 80.52.243.42:1194 [nonblock]
Fri Nov 30 18:57:48 2012 TCP: connect to 80.52.243.42:1194 failed, will try again in 5 seconds: Connection timed out
Fri Nov 30 18:58:03 2012 TCP: connect to 80.52.243.42:1194 failed, will try again in 5 seconds: Connection timed out
Fri Nov 30 18:58:18 2012 TCP: connect to 80.52.243.42:1194 failed, will try again in 5 seconds: Connection timed out
^CFri Nov 30 18:58:21 2012 /bin/ip addr del dev tun0 local 10.8.0.2 peer 10.8.0.1
Fri Nov 30 18:58:21 2012 SIGINT[hard,init_instance] received, process exiting[/quote]

_________________
Mirosław Butajło
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Wyślij email
butek
Użytkownik Forum


Dołączył: 28 Dec 2007
Posty: 191
Skąd: Sierpc

PostWysłany: Fri Nov 30, 2012 7:19 pm    Temat postu: Odpowiedz z cytatem

Ustawienie aliasu na kliencie nic nie dało - ten sam problem
_________________
Mirosław Butajło
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Wyślij email
apc
Użytkownik Forum


Dołączył: 19 Dec 2010
Posty: 35
Pomógł: 1
Skąd: Kłodawa

PostWysłany: Fri Nov 30, 2012 7:38 pm    Temat postu: Odpowiedz z cytatem

butek napisał:
Nie mogę zmienić adresacji karty w domu bo mam Netia_Spot a ten nie pozwala na grzebanie w ustawieniach Lan-u. Czy mozna to jakoś obejść ?


Nie wiem skąd masz informacje, że w Netia Spot nie można zmienić ustawień Lan. Przed chwilą zalogowałem się przez Zdalną Administrację do Spota gdzieś w Polsce i mogę zmienić ustawienia Lan i wszystkie inne które można zmieniać w modemach adsl czy routerach innych producentów.
Łącze na drutach Orange, ISP Netia, urządzenie Netia Spot, wersja oprogramowania: 5.4.8.2.45.1.8
Od nowości był pełny dostęp do ustawień Spota.
Od wersji 5.4.8.2.45 można Spota skonfigurować do VPN.
_________________
Skype login: apc_vp (tylko mikrofon)


Ostatnio zmieniony przez apc dnia Fri Nov 30, 2012 7:50 pm, w całości zmieniany 2 razy
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Maciek
Administrator


Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca

PostWysłany: Fri Nov 30, 2012 7:40 pm    Temat postu: Odpowiedz z cytatem

Cytat:
Fri Nov 30 18:57:48 2012 TCP: connect to 80.52.243.42:1194 failed, will try again in 5 seconds: Connection timed out

Na razie to masz problem braku połączenia. Możliwe przyczyny to:
1. Brak otwarcia w firewallu portu.
2. Zamknięty port na nadrzędnym routerze.
3. Router nie puści VPN bo jest dziadowski.
_________________
Belfer.one.PL

Autorski Przewodnik Kulturalny
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
butek
Użytkownik Forum


Dołączył: 28 Dec 2007
Posty: 191
Skąd: Sierpc

PostWysłany: Fri Nov 30, 2012 8:05 pm    Temat postu: Odpowiedz z cytatem

Kod:
Fri Nov 30 20:02:09 2012 Peer Connection Initiated with 80.52.243.42:1194
Fri Nov 30 20:02:09 2012 Initialization Sequence Completed

Zajarzył ale w terminalu nie przechodzi do prompta i nie mogę nic testować bo wisi w terminalu

_________________
Mirosław Butajło
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Wyślij email
butek
Użytkownik Forum


Dołączył: 28 Dec 2007
Posty: 191
Skąd: Sierpc

PostWysłany: Fri Nov 30, 2012 8:55 pm    Temat postu: Odpowiedz z cytatem

Dodam że jak ten vpn wisi w terminalu to w drugim oknie terminala moge pingować do serwera i klienta vpn-a. Próbowałem nawet wejść po ssh na IP serwera VPN i poszło .
_________________
Mirosław Butajło
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Wyślij email
Maciek
Administrator


Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca

PostWysłany: Fri Nov 30, 2012 9:44 pm    Temat postu: Odpowiedz z cytatem

Niestety dawno nie używałem Linuksa jako klienta VPN, więc nie bardzo pamiętam zachowanie, a nie mam obecnie żadnego VPN do spróbowania. Jeśli wywołujesz połączenie w terminalu to może na końcu trzeba dopisać &&, aby komunikaty przeszły do backgroundu.
W zasadzie zawsze konfigurowałem gdzieś VPN dla windowsowych klientów, bo w Linuksie dzięki możliwościom SSH nie było mi to potrzebne.
Ale wiszące okno terminalna w pracy nie przeszkadza. Smile
_________________
Belfer.one.PL

Autorski Przewodnik Kulturalny
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
thomas.night
Użytkownik Forum


Dołączył: 14 Oct 2011
Posty: 107
Pomógł: 2
Skąd: Polska

PostWysłany: Sun Dec 09, 2012 11:38 pm    Temat postu: Odpowiedz z cytatem

Uruchom sobie ten skrypt w screen'ie, dzięki temu po zamknięciu okna połączenie będzie się trzymać. Składnia jest taka, że screen skrypt.
Powrót do działającej w tle sesji screen'a to: screen -r
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Wyświetl posty z ostatnich:   
Napisz nowy temat   Odpowiedz do tematu    Forum KOPI Strona Główna -> Linux Wszystkie czasy w strefie CET (Europa)
Strona 1 z 1

 
Skocz do:  
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach


Powered by phpBB © 2001, 2005 phpBB Group