Loading ...Openvpn szerver telepítése Ubuntu 8.10 szerver kiadásra
A következő leírásban bemutatok egy alap openvpn szerver telepítést és beállítást.
Az eltérő igények miatt a konfiguráció mindenkinél más és más lehet.
A feltelepített ubuntu szerverre telepítsük fel az openvpn kiszolgálót
apt-get install openvpn
Másoljuk át a dokumentációval mellékelt példa beállításokat és scripteket
cp -rp /usr/share/doc/openvpn/examples/easy-rsa/ /etc/openvpn/easy-rsa cp -rp /usr/share/doc/openvpn/examples/sample-config-files/ /etc/openvpn/sample
Állítsuk be a titkosított kulcsokhoz tartozó információkat amiket legenerálunk
nano /etc/openvpn/easy-rsa/2.0/vars
Keressük meg az alábbi beállításokat, és változtassuk meg az igényeink szerint
export KEY_SIZE=2048 export KEY_COUNTRY="HU" export KEY_PROVINCE="PEST" export KEY_CITY="Budapest" export KEY_ORG="cvk vpn szerver" export KEY_EMAIL="cvk@cvk.hu"
Lépjünk be az aktuális katalógusba, és a kulcsok generálása előtt végezzünk el egy-két beállítást
cd /etc/openvpn/easy-rsa/2.0/ source ./vars ./clean-all
Generáljuk le a a gyökér tanúsítványt
Ha jól adtuk meg az előbb az adatokat, most a generálás alatt elég [Enter] -t nyomunk a kérdésekre. Amennyiben mégis változtatni szeretnénk valamin, azt a bekéréskor is megtehetjük.
./build-ca
Country Name (2 letter code) [HU]: enter State or Province Name (full name) [PEST]: enter Locality Name (eg, city) [Budapest]: enter Organization Name (eg, company) [cvk vpn]: enter Organizational Unit Name (eg, section) []: enter Common Name (eg, your name or your server's hostname) [cvk vpn CA]: enter Email Address [cvk@cvk.hu]: enter
Hozzuk létre a szerver oldali kulcsot
./build-key-server vpn-szerver
Country Name (2 letter code) [HU]: enter State or Province Name (full name) [PEST]: enter Locality Name (eg, city) [Budapest]: enter Organization Name (eg, company) [cvk vpn]: enter Organizational Unit Name (eg, section) []: enter Common Name (eg, your name or your server's hostname) [vpn-szerver]: enter Email Address [cvk@cvk.hu]: enter Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: enter hagyjuk üresen An optional company name []: enter hagyjuk üresen Using configuration from /etc/openvpn/easy-rsa/2.0/openssl.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryName :PRINTABLE:'HU' stateOrProvinceName :PRINTABLE:'PEST' localityName :PRINTABLE:'Budapest' organizationName :PRINTABLE:'cvk vpn' commonName :PRINTABLE:'vpn-szerver' emailAddress :IA5STRING:'cvk@cvk.hu' Certificate is to be certified until Jan 11 19:51:45 2019 GMT (3650 days) Sign the certificate? [y/n]: y 1 out of 1 certificate requests certified, commit? [y/n] y Write out database with 1 new entries Data Base Updated
Hozzuk létre a klienseknek kiadott kulcsokat
./build-key felhasznalo1
Country Name (2 letter code) [HU]: enter State or Province Name (full name) [PEST]: enter Locality Name (eg, city) [Budapest]: enter Organization Name (eg, company) [cvk vpn]: enter Organizational Unit Name (eg, section) []: enter Common Name (eg, your name or your server's hostname) [felhasznalo1]: enter Email Address [cvk@cvk.hu]: enter Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: enter hagyjuk üresen An optional company name []: enter hagyjuk üresen Using configuration from /etc/openvpn/easy-rsa/2.0/openssl.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryName :PRINTABLE:'HU' stateOrProvinceName :PRINTABLE:'PEST' localityName :PRINTABLE:'Budapest' organizationName :PRINTABLE:'cvk vpn' commonName :PRINTABLE:'felhasznalo1' emailAddress :IA5STRING:'cvk@cvk.hu' Certificate is to be certified until Jan 11 20:11:58 2019 GMT (3650 days) Sign the certificate? [y/n]: y 1 out of 1 certificate requests certified, commit? [y/n] y Write out database with 1 new entries Data Base Updated
Generáljuk le a dh paraméter állományt, ez géptől és a vars-ban beállított kulcs erősségétől függően sokáig eltarthat
./build-dh
Generáljuk le a ta.key -t
cd keys openvpn --genkey --secret ta.key
Másoljuk a következő fájlokat a helyükre
root@ubuntu-vpn:/etc/openvpn/easy-rsa/2.0/keys# ls 01.pem dh2048.pem index.txt serial vpn-szerver.crt 02.pem felhasznalo1.crt index.txt.attr serial.old vpn-szerver.csr ca.crt felhasznalo1.csr index.txt.attr.old szerver.key vpn-szerver.key ca.key felhasznalo1.key index.txt.old ta.key
| Gép | Fájl | Fájl | Fájl | Fájl | Fájl |
| OpenVPN szerver | ca.crt | vpn-szerver.key | vpn-szerver.crt | ta.key | dh2048.pem |
| OpenVPN kliens | ca.crt | felhasznalo1.key | felhasznalo1.crt | ta.key |
cp vpn-szerver.key /etc/openvpn/ cp vpn-szerver.crt /etc/openvpn/ cp ta.key /etc/openvpn/ cp ca.crt /etc/openvpn/ cp dh2048.pem /etc/openvpn/
Szerkesszük meg a példa fájlból a nekünk megfelelő szerver konfigurációs állományt
cd /etc/openvpn/sample/ gunzip server.conf.gz
nano server.conf
proto tcp cert vpn-szerver.crt key vpn-szerver.key dh dh2048.pem client-to-client
Hangoljuk össze a kliensekhez kiadott konfigurációs állományt a szerver beállításaihoz, hogy a kliensek csatlakozni tudjanak ahhoz
nano client.conf
proto tcp remote 192.168.1.100 (szerver IP címe) 1194 cert felhasznalo1.crt key felhasznalo1.key
Másoljuk át a sample katalógusból a szerver konfigot az /etc/openvpn alá, és lépjünk bele
cp server.conf .. cd ..
Nevezzük át a server configot egy számunkra beszédesebb állományba, és indítsuk el vele a vpn szerverünket
mv server.conf vpn-szerver.ovpn openvpn vpn-szerver.ovpn
Mostmár csatlakozhatunk a szerverhez a kliens gépekről, amennyiben a kliensnél megvannak a fentebb említett állományok.
OpenVPN szerver oldali NAT beállítások:
echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
OpenVPN kliens oldali ROUTE szabályok:
route add -host <vpnserver ip cime> gw <router ip cime> route del default gw <router ip> route add default gw <vpn ip -1>
19 hozzászólás
Szia!
Szeretném a segítségedet kérni telepítéssel kapcsolatban :)
Eljutottam egészen az importálásig:
Ezt a parncsot nem hajtja végre:
—
sudo cd /etc/openvpn/easy-rsa/2.0/
source ./vars
sudo ./clean-all
—
Ennél már vissza utal az elsőre:
sudo ./build-ca
—
/etc/openvpn/easy-rsa/2.0$ sudo ./build-ca
Please edit the vars script to reflect your configuration,
then source it with “source ./vars”.
Next, to start with a fresh PKI configuration and to delete any
previous certificates and keys, run “./clean-all”.
Finally, you can run this tool (pkitool) to build certificates/keys.
mi az oka? Hol rontottam el?
KALMI
Szia!
Mivel a leírás 8.10-hez készült, ezért frissült azóta pár dolog.
A vars fájlba próbáld meg az export PKCS11TOOL=”pkcs11-tool” -t megadni hogy azt használja, majd megint lefuttatni
source ./vars
./clean-all
./build-ca
parancsokat.
Idézet a pkitool binárisból:
Notes:
Please edit the vars script to reflect your configuration,
then source it with "source ./vars".
Next, to start with a fresh PKI configuration and to delete any
previous certificates and keys, run "./clean-all".
Finally, you can run this tool (pkitool) to build certificates/keys.
In order to use PKCS#11 interface you must have opensc-0.10.0 or higher.
Generated files and corresponding OpenVPN directives:
(Files will be placed in the $KEY_DIR directory, defined in ./vars)
Hello!
Lenne pár kérdésem hozzá teszem nem sokat értek a linuxhoz mit kell beirni az (szerver ip címe) nekem ezt dobja ki Options error: remote: port number associated with host 192.168.1.100 is out of range , és kell nekem hid kapcsolat ahhoz, hogy a saját netemről etho használva menjen a net, én nem akarom csak egy kliensre használni vagyis magamra, hogy ne törjenek be hozzám és ha ki megyek a netre akkor azt a címet lássák, és mind ezt egy gépen vagyis egy op rendszeren ubuntu alatt. Az ebay-es dolgokban tudok segíteni én 143 visszajelzésen vagyok túl. Válaszodat előre is köszönöm.
Szia!
A 192.168.1.100 az a példa kliens oldali konfigurációban az elérni kívánt távoli vpn szerver ipcíme, ide a saját szervered címét kell írnod amit el kívánsz érni.
Ha csak egy kliens tanúsítványt generálsz magadnak, és másnak nem adod ki, akkor csak te fogod tudni elérni a vpn szervert a kulccsal.
Üdv.
Ha tegyük fel a vpn szerver ip cime 88.151.101.123 és ehhez én konkrétan otthonról belső hálóról egy windows xp kliensről szeretnék csatlakozni. A belső hálózat a 192.168.1.0 tartományban van. Akkor mi a teendő? Milyen ip cím tartományt állítsak be a szerveren?
Szia!
A 192.168.2.1 ip cím mint vpn szerver belső hálózati elérés, jónak tűnik :-)
üdv
nagyon király a leírásod! Gratulálok!
abban kérném a segítséged, hogy a leírás alapján megcsináltam mindent, és müxik is. DE! ha elindítóm a VPN szervert (openvpn vpn-szerver.ovpn) akkor belső hálózatból elérhetetlen lesz a masina. nem mennek a samba -s megosztások, de még a pingre se válaszol, de amit felcsatlakozom én is vpn-el, máris minden okés. kérlek ha tudsz segíts nekem.
Előre is nagyon köszönöm
Sziasztok. Bocsánat,hogy ide írok de nem találtam olyan pontot ahol indíthatnék témát,”lehet nincs is”.Segítségedet szeretném kérni 1 linux telepítéshez. Adott 1 Sunfire V100 és az a gondom hogy ezen ugyebár nincsen vga és bővíteni se lehet és nyers a gép.Van benne 1 cd-rom 1 40 gb hdd 2×usb 4×lan ezek vannak feléjük írva 1- A Lom 2- B Serial 3- Net 0
4-Net 1
NTFS fájlrendszerrel lett formázva a merevlemez.
Gépen amiről telepíteni szeretném A szeszélyes win xp van.
Remélem tudtok segíteni.
Szia!
Ebben a leírásban találtam utalást a 45. oldaltól kezdve, hogyan lehet csatlakozni a géphez, esetleg érdemes lenne ezen az úton elindulni, hátha sikerül összehozni.
Oooo köszönöm,hogy ez eddig mért nem jutott eszembe/Manual/Na ennek nekiesek az éjszaka. Írok mi történt.
Köszönöm
Helló!
THX a leírást nekem jól megy 10.04 es ubuntun is, csak annyi, hogy akkor most létre van hozva minden fájl és be is raktam a klienbe indul is és bejelentkezés közben felh. jelsz. kér és amikror megadom a fő minden jogú linux felhasználómat (nem root) akkor kiadja, hogy a felhasznalo1 nemtud belépni ezzel a felh. jelsz. párossal. Szal az a kérdés, hogy hol adom meg a hozzáférhető felh.nevet és jelszot? és hogy hozhatok létre többet ?
Szia!
Amikor a ./build-key felhasznalo1 parancsot kiadod, akkor a felhasznalo1 nevű felhasználót hozod létre az akkor megadott jelszóval.
A ca.crt, felhasznalo1.key, felhasznalo1.crt és ta.key fájlokat kell a kliens oldalra is átmásolnod, és ezeket megadni a kliens konfigurációban amivel csatlakozol a szerverhez.
A szerveren nézd vagy kapcsold be a fájlba történő logolást (server.conf), hogy lásd milyen hibát jelez amikor kapcsolódnál hozzá.
log /ahova/a/logot/rakod/openvpn.logKöszönöm… még anyi, hogy lennie kell a vpn-ben létrehozott felhsználónak valódi linux felhasználónak is?
Nem kell, alap esetben a tanúsítvánnyal hitelesít, de megfelelő háttérrel autentikálhat akár sql, akár unix userrel pamból vagy ldap adatbázisból is.
Köszöm!
Minden müxik :)
+1 kérdés olyat szeretnék, hogy én az ubuntu serverrel csatlakozok egy már meglévő másik vpn szerverhez és a most megcsinált vpn-re csatlakozik egy másik gép akkor ahhoz a vpn-hez is csatolvalegyen, amire a server csatlakozott fel… szóval van egy kliensem aki csatlakozik az én vpn-emhet, miközben én csatlakozok egy másik vpn-hez és ő érje el azt is … kicsit kavarós tudom, de külföldi az ip-je és a megadott vpn-amihez én szeretnék csatlakozni… letiltja a nem magyar ip-ket :(ezért is csináltam ezt avpn-servert…
Helló!
Server. logban kaptam ilyet….:
Thu Jan 6 21:37:36 2011 OpenVPN 2.1.0 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Jul 20 2010
Thu Jan 6 21:37:36 2011 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Thu Jan 6 21:37:36 2011 NOTE: OpenVPN 2.1 requires ‘–script-security 2′ or higher to call user-defined scripts or executables
Thu Jan 6 21:37:36 2011 Diffie-Hellman initialized with 2048 bit key
Thu Jan 6 21:37:36 2011 /usr/bin/openssl-vulnkey -q -b 2048 -m
Thu Jan 6 21:37:37 2011 TLS-Auth MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Thu Jan 6 21:37:37 2011 TUN/TAP device tun0 opened
Thu Jan 6 21:37:37 2011 TUN/TAP TX queue length set to 100
Thu Jan 6 21:37:37 2011 /sbin/ifconfig tun0 10.8.0.1 netmask 255.255.255.0 mtu 1500 broadcast 10.8.0.255
Thu Jan 6 21:37:37 2011 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Jan 6 21:37:37 2011 Listening for incoming TCP connection on [undef]
Thu Jan 6 21:37:37 2011 Socket Buffers: R=[87380->131072] S=[16384->131072]
Thu Jan 6 21:37:37 2011 TCPv4_SERVER link local (bound): [undef]
Thu Jan 6 21:37:37 2011 TCPv4_SERVER link remote: [undef]
Thu Jan 6 21:37:37 2011 MULTI: multi_init called, r=256 v=256
Thu Jan 6 21:37:37 2011 IFCONFIG POOL: base=10.8.0.2 size=252
Thu Jan 6 21:37:37 2011 MULTI: TCP INIT maxclients=1024 maxevents=1028
Thu Jan 6 21:37:37 2011 Initialization Sequence Completed
Thu Jan 6 21:41:44 2011 MULTI: multi_create_instance called
Thu Jan 6 21:41:44 2011 Re-using SSL/TLS context
Thu Jan 6 21:41:44 2011 LZO compression initialized
Thu Jan 6 21:41:44 2011 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Thu Jan 6 21:41:44 2011 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Jan 6 21:41:44 2011 Local Options hash (VER=V4): ‘c0103fa8′
Thu Jan 6 21:41:44 2011 Expected Remote Options hash (VER=V4): ’69109d17′
Thu Jan 6 21:41:44 2011 TCP connection established with [AF_INET]91.137.131.45:41640
Thu Jan 6 21:41:44 2011 Socket Buffers: R=[131072->131072] S=[131072->131072]
Thu Jan 6 21:41:44 2011 TCPv4_SERVER link local: [undef]
Thu Jan 6 21:41:44 2011 TCPv4_SERVER link remote: [AF_INET]91.137.131.45:41640
Thu Jan 6 21:41:45 2011 91.137.131.45:41640 TLS: Initial packet from [AF_INET]91.137.131.45:41640, sid=6e98e84b 7285f9cc
Thu Jan 6 21:41:49 2011 91.137.131.45:41640 VERIFY OK: depth=1, /C=HU/ST=JNKSZ/L=Turkeve/O=WDS/CN=WDS_CA/emailAddress=ifj.kissistvan@gmail.com
Thu Jan 6 21:41:49 2011 91.137.131.45:41640 VERIFY OK: depth=0, /C=HU/ST=JNKSZ/L=Turkeve/O=WDS/OU=coding/CN=daniel/name=daniel/emailAddress=ifj.kissistvan@gmail.com
Thu Jan 6 21:41:50 2011 91.137.131.45:41640 WARNING: ‘link-mtu’ is used inconsistently, local=’link-mtu 1544′, remote=’link-mtu 1543′
Thu Jan 6 21:41:50 2011 91.137.131.45:41640 WARNING: ‘comp-lzo’ is present in local config but missing in remote config, local=’comp-lzo’
Thu Jan 6 21:41:50 2011 91.137.131.45:41640 Data Channel Encrypt: Cipher ‘BF-CBC’ initialized with 128 bit key
Thu Jan 6 21:41:50 2011 91.137.131.45:41640 Data Channel Encrypt: Using 160 bit message hash ‘SHA1′ for HMAC authentication
Thu Jan 6 21:41:50 2011 91.137.131.45:41640 Data Channel Decrypt: Cipher ‘BF-CBC’ initialized with 128 bit key
Thu Jan 6 21:41:50 2011 91.137.131.45:41640 Data Channel Decrypt: Using 160 bit message hash ‘SHA1′ for HMAC authentication
Thu Jan 6 21:41:50 2011 91.137.131.45:41640 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Thu Jan 6 21:41:50 2011 91.137.131.45:41640 [daniel] Peer Connection Initiated with [AF_INET]91.137.131.45:41640
Thu Jan 6 21:41:50 2011 daniel/91.137.131.45:41640 MULTI: Learn: 10.8.0.2 -> daniel/91.137.131.45:41640
Thu Jan 6 21:41:50 2011 daniel/91.137.131.45:41640 MULTI: primary virtual IP for daniel/91.137.131.45:41640: 10.8.0.2
Thu Jan 6 21:41:53 2011 daniel/91.137.131.45:41640 PUSH: Received control message: ‘PUSH_REQUEST’
Thu Jan 6 21:41:53 2011 daniel/91.137.131.45:41640 SENT CONTROL [daniel]: ‘PUSH_REPLY,route-gateway 10.8.0.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.8.0.2 255.255.255.0′ (status=1)
Thu Jan 6 21:41:59 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:42:04 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:42:09 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:42:19 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 42
Thu Jan 6 21:42:29 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 42
Thu Jan 6 21:42:40 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 42
Thu Jan 6 21:42:45 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:42:50 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:42:55 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:00 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:05 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:08 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:10 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:11 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:11 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:13 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:14 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:14 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:15 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:17 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:18 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:20 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:20 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:20 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:20 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:22 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:23 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:25 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:26 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:27 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:28 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:30 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:32 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:32 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:33 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:35 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:35 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:37 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:38 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:40 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:41 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:42 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:43 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:45 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:47 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:48 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:50 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:52 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:53 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:55 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:57 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:43:58 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:44:00 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:44:02 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:44:03 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:44:05 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:44:07 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:44:08 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:44:11 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:44:12 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:44:13 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:44:15 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:44:17 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:44:18 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:44:20 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:44:22 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:44:23 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:44:25 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:44:27 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:44:30 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:44:32 2011 daniel/91.137.131.45:41640 Bad LZO decompression header byte: 69
Thu Jan 6 21:44:33 2011 daniel/91.137.131.45:41640 Connection reset, restarting [0]
Thu Jan 6 21:44:33 2011 daniel/91.137.131.45:41640 SIGUSR1[soft,connection-reset] received, client-instance restarting
Thu Jan 6 21:44:33 2011 TCP/UDP: Closing socket
nekem kicsit fura… mi lehet a baj?
Továbbá olyan kérdésem lenne, hogy a server belsőhálós címe mindíg 192.168.0.254 mit hogy hol állítsak, hogy a vpn-re belépők ebbe a hálózatba kapjanak símet (akár egyszerre többet is), illetve a server vpn-en keresztül tagja egy 10.64.11.0 hálónak, amit szintén elkéne érnie a hozzám feljelentkezőnek ez megoldható? A legfontosabb, hogy ezt az A osztályú címet elérjem… akkor arra hogy lehet rootingolni?
Közben újabb error… ha felkapcsolódok a vpn-re akkor nemhajlandó címfordítani semelyik öngésző viszont ipalapján pingválasz van pl index.hu ról…
Helló!
Lassan csak kialakul a dolog… most tudok csatlakozni a vpn-serveremmel egy másikhoz… és tudok csatlakozni az én vpn-serveremhez most még mindíg az a baj, hogy amíg csatlakozok a vpn serverhez, addig nincs címfeloldás a kliensgépen… :( és nemtudom, hogy tehetném a két vpn-t ösze…
Külső(nem állítható)VPN conf(csak a kliensé van meg):
client
verb 5
dev tun
proto udp
remote vpn.valamicím.hu 1194
nobind
resolv-retry infinite
port 1194
persist-key
persist-tun
ping-restart 0
auth-user-pass
ca ca1.crt
cert taller.attila.crt
key taller.attila.key
tls-auth ta1.key 1
comp-lzo
push “route 10.72.65.0 255.255.255.0″
push “route 212.40.69.30 255.255.255.0″
(ehhez csatlakozik a server és a saját vpn-en keresztül ezt kéne elérni…)
Saját vpn-server conf:
port 1194
proto tcp
dev tun
ca ca.crt
cert vpn-szerver.crt
key vpn-szerver.key
dh dh2048.pem
server 10.0.1.0 255.255.255.0 #remélem ez a server vpn hálózata
route 10.0.1.0 255.255.255.0 #remélem ez a server vpn háózatának
#átirányítása a klienseknek
route 192.168.0.0 255.255.255.0 #remélem a belső hálózat láthatóságának
#átorányítésa a klienseknek
push “route 10.0.1.0 255.255.255.0″ kliensek átirányítása?
push “route 192.168.0.0 255.255.255.0″ kliensek átirányítása?
push “dhcp-option DNS 195.228.240.249″ #dns kiszolgáló1 a klienseknek?
push “dhcp-option DNS 195.228.242.180″ #dns kiszolgáló2 a klienseknek?
client-to-client
keepalive 10 120
max-clients 4
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
topology subnet
log /etc/openvpn/server.log
és még 1 nagy kérdés… hogy lehet rávenni a servert, hogy automatikusan indítsa a vpn server és kliens részt is(kliensnél passwd-kellene megadni…)
Nah kb enyi üdv!
Nah… üdv!
Szóval a végkifejlett a serverem kapcsolódik a másik vpn-hez én meg tudok kapcsolódni a saját vpn-emhez. Nos van dns routing, csak épp a külső server routingját nem veszi át az én serveremhez kapcsolódó kliens :(
configok:
SERVEREM:
port 1194
proto tcp
dev tun
ca ca.crt
cert vpn-szerver.crt
key vpn-szerver.key
dh dh2048.pem
server 10.0.1.0 255.255.255.0
route 10.0.1.0 255.255.255.0
route 192.168.111.0 255.255.255.0
route 10.72.65.0 255.255.255.0
route 212.40.69.30 255.255.255.0
push “route 10.0.1.0 255.255.255.0″
push “route 192.168.111.0 255.255.255.0″
push “route 10.72.65.0 255.255.255.0″
push “route 212.40.69.30 255.255.255.0″
push “dhcp-option DNS 195.228.240.249″
push “dhcp-option DNS 195.228.242.180″
client-to-client
keepalive 10 120
max-clients 4
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
topology subnet
log /etc/openvpn/server.log
KLIENS:
client
dev tun
proto tcp
remote wdsserver.dyndns.org 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert daniel.crt
key daniel.key
ns-cert-type server
comp-lzo
verb 3
dh dh2048.pem
push “route 10.0.1.0 255.255.255.0″
push “route 192.168.111.0 255.255.255.0″
push “route 10.72.65.0 255.255.255.0″
push “route 212.40.69.30 255.255.255.0″
push “dhcp-option DNS 195.228.240.249″
push “dhcp-option DNS 195.228.242.180″
KLIENSKAPCSOLAT A KÜLSŐ VPN-hez(EZT KAPTAM A MÁSIK RENDSZERGAZDÁTÓL):
client
verb 5
dev tun
proto udp
remote vpn.dravanet.net 1194
nobind
resolv-retry infinite
port 1194
persist-key
persist-tun
ping-restart 0
auth-user-pass
ca ca1.crt
cert taller.attila.crt
key taller.attila.key
tls-auth ta1.key 1
comp-lzo
push “route 10.72.65.0 255.255.255.0″
push “route 212.40.69.30 255.255.255.0″ <—————-IDE KÉNE MENNIE A SAJÁT VPN_RE CSATLAKOZÓ KLIENSNEK IS!!!