În continuare se prezintă realizarea unui tunel site-to-site folosind openVPN si PSK
Pentru a instala OpenVPN se execută comanda:
apt-get install openvpn openssl liblzo2-2
Configurarea tunelelului VPN se poate face folosind atât comenzi cât şi fişierul de configurare.
Întăi se generează cheia pre-partajată pe un server, urmând ca aceasta să fie copiată şi pe celălat, folosind un canal sigur:
EAST:~# openvpn --genkey --secret key
Tunelul VPN se ridică folosind următoarele comezi:
EAST:~# openvpn --remote 10.6.17.254 --dev tun0 --ifconfig 192.168.0.1 192.168.0.2 --proto tcp-server --port 443 --route 172.30.4.0 255.255.254.0 192.168.0.2 --secret key --user nobody
WEST:~# openvpn --remote 10.0.8.10 --dev tun0 --ifconfig 192.168.0.2 192.168.0.1 --proto tcp-client --port 443 --route 172.16.40.24 255.255.255.248 192.168.0.1 --secret key --user nobody
Mon Jun 16 17:55:24 2010 OpenVPN 2.1_rc11 i486-pc-linux-gnu [SSL]
Mon Jun 16 17:55:24 2010 /usr/sbin/openvpn-vulnkey -q key
Mon Jun 16 17:55:24 2010 TUN/TAP device tun0 opened
Mon Jun 16 17:55:24 2010 /sbin/ifconfig tun0 192.168.0.2 pointopoint 192.168.0.1 mtu 1500
Mon Jun 16 17:55:24 2010 UID set to nobody
Mon Jun 16 17:55:24 2010 Attempting to establish TCP connection with 10.0.8.10:443 [nonblock]
Mon Jun 16 17:55:24 2010 TCP connection established with 10.0.8.10:443
Mon Jun 16 17:55:24 TCPv4_CLIENT link local: [undef]
Mon Jun 16 17:55:24 2010 TCPv4_CLIENT link remote: 10.0.8.10:443
Mon Jun 16 17:55:24 2010 Peer Connection Initiated with 10.0.8.10:443
Mon Jun 16 17:55:24 2010 Initialization Sequence Completed
Prin specificarea parametrului --route s-au stabilit rutele către cele două reţele, realizând-use astefel tunelul site-to-site. OpenVPN porneşte cu privilegii de root, dar odată ce un tunelul configurat cu opţiunea --user nobody este pornit, OpenVPN va trece în mediul acestui user. Prin specificarea portului 443, traficul în tunel se va desfăşura pe acest port. Cu această configurare, staţiile din cele două reţele pot comunica atât între ele cât şi în Internet. Pentru a interzice ieşirea în Internet, se poate folosi parametrul --redirect gateway. Astfel ruta implicită, pe fiecare nod este schimbată, făcând acum referire la adresa IP a corespondentului:
EAST:~# route
default 192.168.0.2 0.0.0.0 UG 0 0 0 tun0
Ce trebuie precizat pt cei care vor citi tutorialul (care e f. bun si la obiect) este faptul ca in modul web comenzile nu sunt corecte, si ma refer la faptul ca, comanda
EAST#openvpn –remote 10.6.17.254 –dev tun0 –ifconfig 192.168.0.1 192.168.0.2 –proto tcp-server –port 443 –route 172.30.4.0 255.255.254.0 192.168.0.2 –secret key –user nobody
ar trebui sa fie asa:
EAST#openvpn –remote 10.6.17.254 –dev tun0 –ifconfig 192.168.0.1 192.168.0.2 –proto tcp-server –port 443 –route 172.30.4.0 255.255.254.0 192.168.0.2 –secret key –user nobody
mai precis “–” trebuie scris “–”
Feliciari pt site si tutoriale si la mai multe.
este o problema de formatare
incerc sa o rezolv
Am rezolvat
vad ca s-a rezolvat problema cu cratima. foarte bine pentru ca prima data mi-a dat eroare si nu stiam din ce motiv. acum vad ca e bine. ms
Mie nu imi merge. Imi apare ceva err. Incerc sa o trimit sa vad care e prob. Ar putea fi din parametrii? Am pus liniuta de 2 ori. (- -). Trebuie cu spatiu intre ele?
fara spatiu
Ce cod de err iti da? Pune-l aici sa-l vedem si noi.
Daca se foloseste –user si se doreste ca tunelul sa ramana in picioare in cazul diferitelor probleme, mai trebuie adaugat si –persist-tun –persist-key.
Daca nu le adaug, versiunea 2.1.1 imi zice asa:
WARNING: you are using user/group/chroot/setcon without persist-tun — this may cause restarts to fail
WARNING: you are using user/group/chroot/setcon without persist-key — this may cause restarts to fail
… si bine zice, caci in testele facute de mine, dupa ce omor serverul, la prima incercare de reconectare moare si clientul, deoarece userul pe care se face drop la privilegii nu mai poate citi fisierul cu cheia partajate si nu mai poate accesa tun0.
In alta ordine de idei, lipseste un spatiu intre –genkey si –secret in comanda de generare a cheii.
In post aveam spatiul, dar dupa ce am schimbat tema a disparut
O sa las tema asta. Sunt ceva probleme cu formatarea textului si nu prea am timp sa le rezolv.