タグ付けされた質問 「openvpn」

client-to-client無効にしたTUN（レイヤー3）OpenVPNサーバーを使用している場合、クライアントは引き続き相互に通信できます。 ドキュメントによると、クライアントからクライアントへの構成はこれを防ぐ必要があります。 接続しているクライアントがVPNを介して互いに到達できるようにする場合は、クライアント間ディレクティブのコメントを外します。デフォルトでは、クライアントはサーバーにのみアクセスできます。 このオプションが無効になっているときに、クライアントが相互に通信し続けることができるのはなぜですか？ これが私のサーバー設定です： port 443 proto tcp dev tun ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt key /etc/openvpn/keys/server.key dh /etc/openvpn/keys/dh4096.pem topology subnet server 10.10.201.0 255.255.255.128 ifconfig-pool-persist ipp.txt crl-verify /etc/openvpn/keys/crl.pem push "route [omitted]" push "dhcp-option DNS [omitted]" keepalive 10 120 comp-lzo user nobody group nogroup persist-key persist-tun plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so login cipher AES-256-CBC …

16 linux  vpn  openvpn 

現在、複数のクライアントに対してOpenVPNサーバーを実行しています。すべてのトラフィックは、VPN経由で転送されます（ゲートウェイとして設定されています。「redirect-gateway def1」を押します）。 これまでのところ、すべて正常に動作しています。ただし、これらのサーバーがOVPNデーモンをゲートウェイとして使用せずに、この仮想プライベートネットワークにいくつかのサーバーを接続したいと思います。 これらのサーバーは、WANとLAN IPアドレスの両方からアクセスできる必要があります。特定のサービスは、LAN側からのみアクセスできます。 クライアントがプッシュリダイレクトゲートウェイオプションを無視する方法はありますか？ よろしく、Tuislak

15 openvpn  gateway 

SSHで接続するCentOS 7を実行しているVPSがあります。インターネットトラフィックがVPNを経由するようにVPSでOpenVPNクライアントを実行したいのですが、SSHを介してサーバーに接続できるようにします。OpenVPNを起動すると、SSHセッションが切断され、VPSに接続できなくなります。着信SSH（ポート22）接続がVPSの実際のIP（104.167.102.77）で開かれているが、発信トラフィック（VPSのWebブラウザーからなど）をVPN経由でルーティングできるようにVPSを構成するにはどうすればよいですか？ 私が使用するOpenVPNサービスはPrivateInternetAccessであり、config.ovpnファイルの例は次のとおりです。 クライアント 開発者 プロトUDP リモートnl.privateinternetaccess.com 1194 無限の解決と再試行 ノバインド 永続キー 持続する ca ca.crt tls-client remote-cert-tlsサーバー auth-user-pass comp-lzo 動詞1 レネク秒0 crl-verify crl.pem VPSのIPアドレス： 1：lo：mtu 65536 qdisc noqueue state UNKNOWN リンク/ループバック00：00：00：00：00：00 brd 00：00：00：00：00：00 inet 127.0.0.1/8スコープホストlo valid_lft forever preferred_lft forever inet6 :: 1/128スコープホスト valid_lft forever preferred_lft forever 2：ens33：mtu 1500 qdisc pfifo_fast state …

15 ssh  openvpn 

お客様には数十台の組み込みデバイスがインストールされており、すべてOpenVPNサービスの本拠地となっています。これは一般的には正常に機能しますが、一部のお客様には深刻なパスMTU問題があります。お客様のネットワークを修正する影響は限られているため、それに対処するにはOpenVPNが必要です。一言で言えば、私の質問は次のとおりです。 クライアントごとにいくつかのクライアントの低パスMTUを緩和するにはどうすればよいですか？つまり、すべてのクライアントの最悪のケースに対応するグローバル設定を使用せずに 最悪の場合はかなり悪いことに注意してください。パスMTU 576は、すべてのフラグメントをドロップし、それ自体をフラグメント化せず、DFビットを尊重しません。この問題を世界的に解決したくない理由がわかります。 OpenVPNのマンページの最も顕著な申し出MTU関連オプションの数を、--link-mtu, --tun-mtu, --fragment and --mssfix。しかし、それはまた言う --link-mtu [...]何をしているのかわからない限り、このパラメーターを設定しないことが最善です。 --tun-mtu [...] MTUのサイズ設定の問題に対処するには、-fragmentおよび/または--mssfixオプションを使用するのが最善です。 私は実験を始めて--fragmentと--mssfixすぐが、少なくとも前者はクライアント側だけでなく、設定しなければならないことを認識しなければならなかったまた、サーバー側の。その後、サーバー側のクライアントごとの設定を調べました--client-config-dirが、 次のオプションは、クライアント固有のコンテキストで有効です：--push、-push-reset、-iroute、-ifconfig-push、および--config。 MTUオプションの言及はありません！ だからここに私のより具体的な質問があります： なぜ正確にあるlink-mtuとtun-mtu落胆？これらのオプションの潜在的な問題は何ですか？低レベルのIPヘッダー変更に非常に満足していることに注意してください。 link-mtu tun-mtu fragment mssfix動作させるには、サーバー側でミラーリングする必要があるオプションはどれですか？ どのオプションを使用link-mtu tun-mtu fragment mssfixできますclient-config-dirか？ 4つのオプションすべてをサーバー側でミラーリングする必要client-config-dirがあり、内部で使用できない場合：クライアントごとに低パスMTUと戦う代替手段はありますか？ ノート： 私の質問の一部は、5年前にここですでに質問されていますが、当時は本当に回答されていないため、それらを複製することを敢えてします。 OpenVPNサーバーは、現在Ubuntu 12.04で2.2.1です。Ubuntu 14.04で2.3.2へのアップグレードを準備しています OpenVPNクライアントはDebian 7.6で2.2.1です お客様のパス-MTUを自分で手動で決定できてうれしいです 現在、多くのサーバー側をテストすることはできません。しかし、我々は完全な独立したテストベッドを構築しています、すぐに準備ができているはずです。 役立つアドバイスをありがとう。

14 ip  openvpn  mtu  ip-fragmentation 

対処できない問題が発生しました。SSHを介してVPSにログオンし、そのVPSでVPN接続を確立しようとすると、VPSとマシン間のSSH接続が失われます。これは、VPN設定によってルーティングが変更されたためだと思います。それを防ぐ方法は？

14 ubuntu  ssh  vpn  routing  openvpn 

閉じた。この質問はより集中する必要があります。現在、回答を受け付けていません。 この質問を改善したいですか？この投稿を編集するだけで1つの問題に焦点を当てるように質問を更新します。 5年前に閉鎖されました。 私が見たDNSプロキシサービスがopenvpnとトンネルを利用していると気づきました。おそらくVPNを通るDNSトラフィックのみであり、VPNのジオロケーションのユーザーをマスクし、ユーザーシステムが他のすべてのトラフィックに初期接続を使用できるようにします。 これは、VPNを利用しているプロジェクトで非常に有用であり、トンネルを経由してルーティングするトラフィックは、特定のイントラネットサイト専用のDNSであることがわかります。 openvpnを介してセットアップがどのように機能するかを考えてみましたが、openvpnのソース/宛先フィルタリングに関する情報を見つけることができないようです。私が見つけたのは、openvpn管理者がクライアントアクセストラフィックをフィルタリングして、あるopenvpnクライアントが別のopenvpnクライアントと通信できるようにする例です。 私が考えることができることからこれを達成する唯一の方法は、openvpnに管理者が除外IPフィルターリストに入れることができる管理者のためのフィルタリングオプションがある場合です。たとえば、ユーザーがDNS経由でgoogle.caを照会すると、openvpn IP除外フィルターはgoogle.caのことを確認します（openvpnはlayer3のみであるため、入ってくるgoogleのリクエストはgoogleのIPになります除外リスト内のIP）は、トンネルを介したトラフィックの受け入れ可能なIPではありませんが、ユーザーがmyIntranetServer.comと通信したい場合、vpnはVPN経由のトラフィックを許可することを知っています。 googleのIPがVPNを介してトラフィックを許可されているIPのリストにないため、openvpnサーバーがgoogle.caのIPトラフィックを拒否すると、クライアントOSがDNSを作成するためにopenvpnクライアントに通知を送り返しますopenvpnのDNSルートではなくクエリ。 私はopenvpnが提供するすべてのオプションに精通しておらず、このタイプのセットアップに関する明示的な情報を見つけることができないようですので、あなたはそのサービスがこれをどのようにやっていると思いますか？ 私は件名に少し触れている例を見つけましたが、トラフィックを指定する方法に精通していません： OpenVPN-クライアントトラフィックはVPNを介して完全にルーティングされません

14 openvpn  traffic 

回線速度に達しないOpenVPNトンネルに問題があります。ゲートウェイは、OVHでホストされるDebian Jessy仮想サーバーです。クライアントは、freebsd 10.2ホームサーバー（Intel I3 Ivy Bridge）またはRaspberryPI2です。暗号化と認証を無効にしました。100mbit / sの対称FTTH接続がありますが、トンネルの速度は20〜40mbit / sにしか達しません。直接接続（トンネルなし）では、常に100mbit / sが期待されます。iperf3でパフォーマンスをテストしました。私は最初にfreebsdホームサーバーで試しました。mssfix、fragmentなどに関するすべての推奨設定を試しました。何も役に立ちませんでした。 それから多分それは私のfreebsdマシンだと思った。そこで、私はRPI2に新しいRaspbian Jessyをインストールし、さらに詳細なテストを行いました。 まず、OpenVPN構成からすべてのMTU設定を削除し、パスMTUで処理できるようにします（うまくいけば）。両方のマシンでファイアウォールがアクティブになっていないため、動作するはずです。これらは私のvpn設定です： server 10.8.0.0 255.255.255.0 port 1194 proto udp dev tun sndbuf 0 rcvbuf 0 user nobody group nogroup persist-key persist-tun ifconfig-pool-persist ipp.txt keepalive 10 120 push "redirect-gateway def1" status openvpn-status.log verb 3 ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/vpn.theissen.io.crt …

13 vpn  performance  openvpn  mtu 

または、おそらくoauthですか？ 私が見つけることができたのは、グーグルでの2要素認証です。ただし、OpenVPN認証にはGoogle Appsベースを使用したいと思います。 私はgitlabのようなものを作ることができると信じています。証明書を配置し、ログインとパスワードなしで使用できる場所。

13 openvpn  g-suite  oauth 

私はすべてのトラフィックのVPNサーバーとしてGoogle Compute Engineサーバーを使用しようとしています（ロシアに住んでいます。ここでは検閲に問題があります）。 GCE上のVPNに関するミニチュートリアルがありますが、OpenVPNではなく、GCE内の2つのサーバー間のネットワークに関するものです。 DebianでOpenVPNを使用してVPNを設定することについて、別のチュートリアルからすべての手順を実行しました。クライアントからVPNに接続できますが、接続を開くことができません（グーグルにpingすることさえできません）。サーバーでは、通常どおりすべてをpingしてダウンロードできます。 Linodeに同じセットアップのVPNがあり、正常に動作します。したがって、問題はGCEネットワークルーティングまたはファイアウォールルールにあります。 私は多くのバリエーションを試しましたが、何も機能しません。設定を見て、何を変更すべきか教えてください。 //問題が解決されたため、設定行が削除されました//

13 vpn  openvpn  google-compute-engine  google-cloud-platform 

発信および着信トラフィックを可能な限りSSLトラフィックにできるだけ合法的に見えるようにしています。OpenVPNトラフィックではなくSSLトラフィックのように見えるように、独自のトラフィックをDPIする方法はありますか？そして私の設定に基づいて、すべてのトラフィックはSSLポートであるポート443を使用しますか？ 私の構成は次のとおりです。 ラップトップ上のSTUNNEL： [openvpn] # Set sTunnel to be in client mode (defaults to server) client = yes # Port to locally connect to accept = 127.0.0.1:1194 # Remote server for sTunnel to connect to connect = REMOTE_SERVER_IP:443 ラップトップ上のOPENVPN CONFIG： client dev tun proto tcp remote 127.0.0.1 1194 resolv-retry infinite …

13 linux  vpn  openvpn  stunnel 

複数のクライアントをプライベートサブネットにサポートするopenvpnサーバーを立ち上げています。したがって、プライベートサブネットでは、接続しているクライアントは10.8.0.10、10.8.0.11などのIPアドレスを取得します。 私が必要とする機能の1つは、クライアントがお互いを見つけることができるようにすることです。クライアントがすべてのクライアントに割り当てられたIPアドレスのリストを表示する簡単で一般的に受け入れられている方法はありますか？ DNS名などは必要ありません。

13 openvpn 

共有キーを使用して2つのgentooボックス間でopenvpn（両端のバージョン2.1_rc15）接続をセットアップしています。ほとんどの部分で問題なく動作します。私は問題なくvpnでmysql、http、ftp、scpを使用します。しかし、VPNを介してクライアントからサーバーにSSH接続すると、奇妙なことが起こります。ログインでき、いくつかのコマンドを実行できます。しかし、topのようなncursesアプリケーションを実行しようとしたり、ファイルをcatしようとすると、接続が停止し、sshセッションを切断する必要があります。 たとえば、「echo blah; echo。; echo blah」を実行すると、sshセッションで3行のテキストが正常に出力されます。しかし、「cat / etc / motd」を実行すると、Enterキーを押した瞬間にセッションがフリーズします。 Macでopenvpn 2.1.1をコンパイルし、gentooクライアントからconfigディレクトリにコピーしました。Mac接続およびsshセッションはフリーズせずに正常に機能しました。 それから、古いgentooボックス（2.6.26カーネル）でそれをコンパイルしました。これは、ハードドライブが死んでいるために廃止し、その上でのsshも完全に動作します。 真新しいgentooボックスで失敗するのはなぜですか？私は3つの異なるカーネルをコンパイルしようとしましたが、それ以外は、私の考えることができる古いgentooボックスと新しいgentooボックスの間に違いはないはずです。 何が悪いのか提案はありますか？

13 ssh  openvpn 

Windows 2012サーバーでOpenVPN（バージョン2.3.10）サーバーを構成していますが、動作させることができません。 サーバーはルーターの背後にあり、1194ポートを開いて、このポートのトラフィックをサーバーに転送するルールを作成しました。 クライアントから接続しようとすると、サーバーに表示されるログは次のとおりです。 Mon Mar 21 11:11:47 2016 XX.XX.XX.XX:57804 TLS: Initial packet from [AF_INET]XX.XX.XX.XX:57804, sid=fdf7a7ac 0264c7f3 Mon Mar 21 11:12:38 2016 XX.XX.XX.XX:55938 TLS: Initial packet from [AF_INET]XX.XX.XX.XX:55938, sid=1f242a3f e454a525 Mon Mar 21 11:12:48 2016 XX.XX.XX.XX:57804 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network …

13 openvpn 

configは/etc/openvpn/server.confにあります ほとんどの時間はルーティングの更新です initスクリプトでは、reloadのケースはありません。「サービスopenvpn再起動」は単に停止してからプロセスを開始するだけです。

13 linux  ubuntu  openvpn 

私は個人的なVPNを持っており、複数のデバイスを接続して、常に到達可能なネットワーク上で固定IPアドレスを使用できるようにします（インターネットに接続している限り）。私のデバイスは移動可能で、異なる予測不可能なネットワーク（4Gネットワ​​ーク携帯電話、大学のラップトップ、自宅のホームサーバー）で移動でき、それらに接続する必要のあるバックアップサーバーがあります（そして時々 、私もする必要があります）。 また、syncthingのようなものをインストールすることも考えています。これは、より低いレイテンシとより近いノードからも恩恵を受ける可能性があります。 また、私は怠け者であり、スマートフォンからホームサーバーで音楽を再生/一時停止するのが好きです。それは同じネットワーク上にない可能性があります（そうである必要がありますが、常にそうではありません）。 つまり、OpenVPNサーバーが1つあり、openvpnすべてのデバイスでクライアントが実行されています。それらはすべてサーバーに接続し、任意の2つのノードからのトラフィックはサーバーを通過する必要があります。サーバーは比較的遠くにあり、スループットは非常に限られています。これは、待ち時間と遅延を意味します。「一時停止」ボタンを押すと、実際に音楽を一時停止するのに最大10秒かかることがあります。両方のノードが実際に同じLAN上にある場合でも（VPNを介して通信するため）。えー 理想的には、ノード間の最短パスを見つけて直接接続できるVPNを作成する何らかの方法が存在する必要があります。Skypeがスーパーノードで動作する方法のようなものですか？ サーバーはここから遠く離れていますが、ノードの1つはパブリックIPアドレスを持ち、他のノードから到達できます。サーバー自体ではない場合でも、それらからサーバーとして機能する可能性がありますが、一部のノードではより良い選択になります。 クライアントとサーバーの両方を実行し、それらをそのノードでブリッジするような何かをすることができると思いますが、それはエレガントに見えません。それはハックで、PKIを複雑にし、VPNを分割します。好きじゃない。 通信が安全であることを実際に保証しないPPTPのような単純なVPNを使用できますが、ノード間の接続を暗号化するようにBaculaを設定する必要はないことを決定しました。VPNカプセル化が唯一のセキュリティであるため、脆弱ではないはずです。ただし、機密性のない「メッシュ」のようなVPNを解決するものは、すべて良いスタートです-トラフィックがSSL / TLSを通過し始めたことを確認します。 これは、他の誰かが抱えていたかもしれない問題のように見え、今では解決しています。このようなものはありますか？ これを間違った方法で見ている可能性もありますが、これまでのところ、どこにいても、どこにいても、リモートでデバイスに常に接続できるようにするための最良のアプローチのようです。

12 vpn  p2p  openvpn  distributed-computing