タグ付けされた質問 「openvpn」

インターネット経由で企業のOpenVPNサーバーへのOpenVPNクライアント接続を確立すると、いくつかの静的ルートがプッシュされます。残念ながら、これらのルートは自分のルートと衝突するため、ローカルネットワーク環境内の一部の接続を切断します。これらのルートを拒否するにはどうすればよいですか？

27 networking  routing  openvpn 

わかりましたので、私はこの問題の解決策をウェブで検索してきましたが、答えは私にはうまくいかないようです。うまくいけば誰かが私を助けることができます。OpenVPN Clientのみを構成しようとしています。 私は走っていますがCrunchBang Linux 3.2.0-4-amd64 Debian 3.2.60-1+deb7u1 x86_64 GNU/Linux、使用するように切り替えましたsystemd。切り替えは十分スムーズに進みましたが、systemdを使用してOpenVPNクライアントを起動できません。これらの構成チュートリアルに従ってみましたが、何も機能しません。 http://fedoraproject.org/wiki/Openvpn http://d.stavrovski.net/blog/how-to-install-and-set-up-openvpn-in-debian-7-wheezy そして、他のたくさんのガイドを見てください。 でコマンドラインからトンネルを立ち上げることができopenvpn /etc/openvpn/vpn.confます。だから、設定ファイルが良いことを知っています、sysvinitでうまく動作していたので、私は驚かないです。それから、ステータスを実行して、systemctl status openvpn@vpn.service結果を次のようにします。 $ sudo systemctl status openvpn@vpn.service openvpn@vpn.service Loaded: error (Reason: No such file or directory) Active: inactive (dead) サービスのセットアップを行う必要があることに気付きました。パスワードの入力を求められるので、このガイドに従ってを作成openvpn@.serviceし/etc/systemd/system/ます。ただし、OpenVPNサービスを再起動しても、パスワードの入力は求められません。 $ sudo service openvpn restart [ ok ] Restarting openvpn (via systemctl): openvpn.service. Fedoraチュートリアルでは、シンボリックリンクを作成する手順を実行しますが、ウォークスルーで.serviceファイルを作成しないでください。 何が欠けていますか？openvpn@vpn.serviceを作成する必要がありますか？もしそうなら、私はそれを正確にどこに置きますか？それほど難しいことではないように感じますが、私に合った解決策を見つけることはできません。必要な情報があればお知らせください。 溶液 …

24 debian  configuration  systemd  openvpn 

OpenVPNサーバーに、異なるデフォルトゲートウェイを持つクライアントへのルートをプッシュしてもらいたい。 具体的には、OpenVPNサーバーの内部IPアドレスは10.0.0.1であり、10.10.10.1/24gateway を使用するルートをプッシュしたいと考えています10.0.0.2。 サーバー設定ファイルでプッシュルートを指定することでこれを行うことは可能ですか？

22 routing  openvpn 

仮想プライベートサーバーがあり、サーバーがVPNサービスに接続されている間にWebサーバーを実行したい プロバイダーへのVPN接続が確立されていない場合、このサーバー、ssh、scp、httpなどで何でもできます。 openvpnが実行され、プロバイダーのVPNサービスに接続されると、サーバーはいかなる手段によってもアクセスできなくなります。もちろん正当な理由によります。 写真は次のようなものです。 My VPS ------------ +----------------+ / \ | | / Internet / 101.11.12.13 | 50.1.2.3|-----------------\ cloud /----<--- me@myhome | | / \ | 10.80.70.60| / \ +----------------+ \ \ : \_____________/ : : : : : : : : +------------------+ : | 10.80.70.61 | : | \ …

22 ssh  openvpn  ssh-tunneling  tunneling 

私はちょっとしたパズルに遭遇しましたが、解決策を見つけることができませんでした。現在、私はVerizon 3Gを介して（悲しいことに）ネットに接続しています。すべての着信トラフィックをフィルタリングするため、ポートを開いて接続を受け入れることはできません。 現在、linode.comにLinux仮想マシンがあり、ポートフォワーディングをインストールpptpdして実行しようと考えましたiptables。私はpptpdインストールしました、そして、私のマシンは幸せに接続します。とはいえ、ここにいくつかの一般的な情報があります： サーバー（Debian）WAN IP：eth0のxxxx-pptpd IP：ppp0のyyy1-クライアントVPN IP：yyy100 気が狂っていないことを確認するために、サーバーからクライアントの開いているポートへの接続を試みましたが、クライアントはVPN IP経由で接続を受け入れます。 私が達成したいのはこれです： インターネット-> WAN IP：ポート->クライアントVPN IP：ポートに転送 たとえば、クライアントでポート6000を開いている場合、人がxxxx：6000にtelnetで接続でき、サーバーはそれをキャッチして192.168.3.100:6000に転送します。 少なくとも20種類のGoogledのiptables設定を試しましたが、まだ機能していません。誰もアイデアを持っていますか、おそらく私が知らないかもしれないまったく異なるアプローチもありますか？ここでの目標は、恐ろしくファイアウォールで保護された接続、できればTCPトラフィックとUDPトラフィックの両方をリッスンすることです。

21 iptables  vpn  openvpn  port-forwarding 

静的キーを使用してopenvpnサーバーをセットアップします（国家ゲートウェイでのDPIにより証明書モードは使用できません）が、接続後にDNSを自動的に正常に変更できません。インターネットとSEで検索しましたが、誰もが使用を提案していますdhcp-option。 この行を追加しようとしました client.ovpn dhcp-option DNS 8.8.8.8 効果はありません。サーバーconfにこの行を追加しようとしました push "dhcp-option DNS 8.8.8.8" どちらも効果がありません。 実際、マニュアルによると、 --dhcp-option type [parm] 拡張TAP-Win32 TCP / IPプロパティを設定します。--ip-win32 dynamicまたは--ip-win32 Adaptiveとともに使用する必要があります。 しかし、私のクライアントはMacマシン、サーバーLinuxです。問題の解決策はありますか？

17 dns  openvpn 

特定のプロセスとの間のすべてのトラフィックとトラフィックのみがVPNを通過するように、VPNを設定しようとしています（OpenVPNを使用）。他のプロセスは引き続き物​​理デバイスを直接使用する必要があります。Linuxでこれを行う方法は、ネットワーク名前空間を使用することだと理解しています。 OpenVPNを通常どおりに使用する（つまり、クライアントからのすべてのトラフィックをVPNに送り込む）場合、正常に機能します。具体的には、次のようにOpenVPNを起動します。 # openvpn --config destination.ovpn --auth-user-pass credentials.txt （destination.ovpnの編集バージョンは、この質問の最後にあります。） トンネルデバイスを名前空間に制限するスクリプトを作成する次のステップに固執しています。私が試してみました： トンネルデバイスを名前空間に直接配置する # ip netns add tns0 # ip link set dev tun0 netns tns0 # ip netns exec tns0 ( ... commands to bring up tun0 as usual ... ) これらのコマンドは正常に実行されますが、ネームスペース内で生成されたトラフィック（たとえば、ip netns exec tns0 traceroute -n 8.8.8.8）はブラックホールに陥ります。 「仮想イーサネット（veth）インターフェースのみをネットワーク名前空間に割り当てることができる（まだ）ことを前提に（これは、真に不当に不必要なAPI制限に対して今年の賞を受賞）、vethペアとブリッジを作成し、名前空間にvethペアの一方の端を配置します。これは、床にトラフィックを落とすことさえしません：それは、私が橋にトンネルを入れることを許しません！[編集：これは、タップデバイスのみをブリッジに配置できるためです。ネットワーク名前空間に任意のデバイスを配置できないこととは異なり、実際には理にかなっています。ブリッジとはイーサネット層の概念です。残念ながら、私のVPNプロバイダーはタップモードでOpenVPNをサポートしていないため、回避策が必要です。] # ip …

16 linux  vpn  openvpn  network-namespaces 

Centos 7でOpenVPNを設定する必要がありますfirewalld。 Centos 6.5でiptablesを使用し、次の行を追加するだけでした/etc/sysconfig/iptables： -A POSTROUTING -s "10.0.0.0/24" -o "wlan0" -j MASQUERADE -A FORWARD -p tcp -s 10.0.0.0/24 -d 0.0.0.0/0 -j ACCEPT run the command: echo 1 > /proc/sys/net/ipv4/ip_forward open port 443.

14 centos  iptables  openvpn  firewalld 

.ovpnGUIツールを使用してファイルをNetworkManagerにインポートできますnm-connection-editor（右クリックしてnm-appletをクリックEdit connections）：Add-> Import a saved VPN configuration...。 私の目標は同じことをすることですが、コマンドラインを介してのようなツールを使用しますnm-cli。何とか可能ですか？

14 command-line  vpn  networkmanager  openvpn  nmcli 

しようとするとき service openvpn start Oct 12 14:02:01 ccushing1 openvpn[9091]: Options error: In [CMD-LINE]:1: Error opening configuration file: devnet-client-vm.conf 実行openvpn devnet-client-vm.confは問題なく動作します。openvpnが起動しないのはなぜですか？どうすれば修正できますか？

14 centos  selinux  openvpn 

私がやろうとしているのは、vpnトンネルを介してIPv6トラフィックをルーティングすることです。そうすれば、IPv6をサポートしていないネットワークでIPv6を使用できるはずです。 IPv6ブロックが割り当てられたVPSがあります。このブロックの一部は、openvpnクライアントに使用します。2001:db8::111:800:0/112openvpnはサブネットとして/ 64と/ 112のみをサポートするため、私が念頭に置いていた範囲は（プレフィックスは匿名化されています）でした。 トンネルを介したIPv6はすでに動作しています。クライアントから、サーバー（2001:db8::111:800:1）をpingでき、サーバー上のインターフェイス（2001:db8::111:100:100および2001:db8:216:3dfa:f1d4:81c0）もできます。 ただし、クライアントからgoogle.comをpingしようとすると、応答がありません（pingタイムアウト）。この問題をデバッグするために、tcpdumpを使用してサーバー上のトラフィックをキャプチャしました。pingパケットが送信されるのを確認できますが、返信が返ってきません。ip6tablesにログルールを追加すると、同じパケットが送信されますが、何も送信されません。 サーバーからタイムアウトを取得するオンラインtracerouteツールを使用しました。また、インターフェイスに直接IPを設定しようとしましたが、IP（2001:db8::111:800:1001）が到達可能になるため、これはルーティングの問題だと思います。 からipv6の転送を有効にしました/proc/sys/net/ipv6/conf/all/forwarding。ip6tablesには、すべてのチェーンを許可するポリシーがあります。 私の質問は、インターフェイスに割り当てられていないIPのパケットをLinuxが受け入れてさらにルーティングするために、Linuxに必要なものは何ですか？存在するルートだけでは十分ではないようです。 クライアントとサーバーのセットアップは次のとおりです。さらに情報が必要な場合はお知らせください。 クライアント # ip -6 addresses 10: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qlen 100 inet6 2001:db8::111:800:1001/112 scope global valid_lft forever preferred_lft forever # ip -6 routes 2001:db8::111:800:0/112 dev tun0 proto kernel metric 256 2000::/3 dev tun0 metric 1024 サーバ # ip -6 …

13 routing  openvpn  ipv6 

ネットワーク名前空間を設定し、openvpnでトンネルを確立し、名前空間内でこのトンネルを使用するアプリケーションを起動することができました。これまでのところは良いですが、このアプリケーションはWebインターフェースを介してアクセスでき、LAN内のWebインターフェースにリクエストをルーティングする方法がわかりません。 @schnoukiのガイドに従って、ネットワーク名前空間を設定し、その中でOpenVPNを実行する方法を説明しました ip netns add myvpn ip netns exec myvpn ip addr add 127.0.0.1/8 dev lo ip netns exec myvpn ip link set lo up ip link add vpn0 type veth peer name vpn1 ip link set vpn0 up ip link set vpn1 netns myvpn up ip addr add 10.200.200.1/24 …

13 iptables  openvpn  port-forwarding  network-namespaces 

同じサーバー上で複数のVPNサーバーソフトウェアを実行していますが、そのうち2つ（tincとopenvpn）が同じ/dev/net/tunデバイスを使用し、tunX ifaceを生成しています。 後で開始されたものは、ゼロからのtunデバイスを使用するため、互いのデバイスを再利用し、多くの問題とサービスの中断を引き起こします。 私の質問は、OpenVPNがtun-Xやotun-Yなどの他の名前で独自のtunを生成できるようにすることです。

13 openvpn 

離れた建物にある複数のLANを接続したい。 「中央」サイトには、OpenVPNを実行しているLinuxコンピューターがあります。各リモートサイトでもOpenVPNを実行しています。 中央サイトには、192.168.0.0 / 24という番号のLANがあります。 いくつかのリモートサイトにも192.168.0.0/24と番号が付けられています LAN番号を変更できない/しない/変更したくない ほとんどのリモートOpenVPNを制御できません 次に、次のことを行う必要があり ます。1.仮想LANを定義する 2.各サイトに1：1 NATを構成する 3. 1：1 NATを中央ルーターに構成する必要がある 。 そのため、各サイトには10​​.10.x.0 / 24 LANがあるように見えます。 たとえば、サイト12で192.168.0.44に到達したい場合は、パケを10.10.12.44に送信するだけです。 VPNの操作は、私にとって問題ではありません。現在60以上のサイトを接続しています。しかし、これを1対1のNATで行う簡単な方法はありません。 セントラルサイトからリモートサイトに送信されるパケットとその応答パケットの例を次に示します。 iptables NETMAPでいくつかのテストを行いましたが、ルーティングの決定後にsource + destinationを変更する方法が見つからないため、うまく機能させることができません。 新しい--client-natOpenVPNの機能は避けたい。 たぶん私はルーティングを強制する必要がありip routeますか？または、ネットワークスタックに2回ループしvethますか？ 注：マスカレードは使いたくありません。1/1 NATのみ。 編集： 通常のopenVPNセットアップでは不可能です。リモートサイトからのパケットは別のサイトからのパケットと区別がつかないためです。どちらも送信元アドレスと宛先アドレスが類似しており、どちらも同じtun（またはタップ）インターフェイスから送信されます。したがって、それをソースNATすることはできません。 解決策1：リモートサイトでNATを実行します。私の場合は不可能です。中央サイトでのみ行う必要があります。 解決策2：リモートサイトごとに1つのVPNをセットアップします。そのため、それぞれに1つのtunを用意します。これは大丈夫だと思います。メモリ効率はそれほど高くありませんが、問題ありません。 解決策3：各サイトのVPN内に（暗号化されていない）トンネルをセットアップします。これにより、それぞれに1つのインターフェースが提供されます。単純なトンネルはクロスプラットフォームではありません（私の知る限り）。たとえば、GREやipip、sitはLinuxでは問題ありませんが、一部の遠くのサイトでは1台のWindowsコンピューターしか実行していないため、openVPNがインストールされています。単純なトンネルを設定することは不可能です。その他のオプションは、より複雑なトンネル（wich？）を使用することですが、システムおよびシステム管理者のオーバーヘッドは、複数のVPNを持つよりも大きくなる可能性があります 解決策4：最新のopenVPNをコンパイルします。1：1のNAT機能が含まれているためです。今週テストします。

13 linux  routing  openvpn 

私は周りを検索しましたが、見つかったのは「はい、OpenVPNはTCP経由の接続をサポートしている」ということだけですが、openvpnサーバーに両方のプロトコルの同じポートを同時にリッスンするよう強制する方法は見つかりませんでした。 。タップインターフェイスの作成、または同じ構成で同時に実行されるサーバーの別のインスタンスを推奨することについて、非常に古いガイドをいくつか見つけました。前者は単純なものには複雑すぎるように見え、後者は時代遅れのようです。

13 openvpn