Username
Password

Video Tutorial

Vuoi diventare un mago del computer? segui le migliori Video Guide del Web
Rispondi Invia Nuova Discussione 
Wednesday, 2 April 2014, 21:49
ale82x
 VG Vip
 
 Località: bg
 Messaggi: 682

Re: [Win2000/XP/2003] Installare e Configurare una VPN con OpenVPN


buongiorno,
scusate se riapro un topic di cui sarete stanchi di sentirne parlare ma ho un problema di cui non capisco proprio il comportamento...

ho un server con windows small business server 2011 standard su cui ho installato openvpn e configurato come server.
ho configurato il client (win 7 pro) e si connettono ma non si vede nulla...
sul server non c'è antivirus e windows firewall e disattivato, quando clicco connetti i computerini diventano verdi, quindi dovrebbere essere tutto ok.

sul client quando mi connetto mi da i computerini verdi ma non pinga l'ip del server 192.168.15.4 (ip lan del client 10.1.1.23, oppure su un'altra rete 192.168.178.102).
e non pinga nemmeno l'ip 10.8.0.1 (il client prende 10.8.0.6 come ip openvpn).
e non va nemmeno la condivione delle cartelle, desktop remoto, ecc...

giusto per dovere di cronaca, il client con la stessa identica configurazione funziona perfettamente su un server winxp pro (cambia naturalmente il remote "ip" 1194)

cosa potrei guardare? (che magari è una stupidata!)
o volete che vi posto i log?

grazie
    Rispondi Citando Rispondi
Wednesday, 16 April 2014, 08:06
ale82x
 VG Vip
 
 Località: bg
 Messaggi: 682

sono riusvito a risolvere... purtroopo ero abituato con xp e non c'era il famoso esegui come amministratore!!!!!
ho risolto inserendo la compatibilità esegui come amministratore su tutti gli eseguibili all'interno della cartella bin (sia server che client) così da non sbagliare e funziona perfettamente....


ma non c'è più nessuno nel thread???
adesso sto impazzendo per cercare di configurare openvpn con un server pubblico di mezzo in modo da dover evitare l'ip statico (o operatori che non lasciano accesso al router per il port forwarding...) se riesco scrverò la procedura, ma mi sa che avrò bisogno di aiuto.... spero di trovare qualcuno
    Rispondi Citando Rispondi
Wednesday, 16 April 2014, 08:30
palin
 Giuseppe
 Militante
 
L'avatar di  palin
 
 Località: Albano Laziale
 Età: 45
 Messaggi: 4,250

Quote:
Originariamente inviato da ale82x
adesso sto impazzendo per cercare di configurare openvpn con un server pubblico di mezzo in modo da dover evitare l'ip statico (o operatori che non lasciano accesso al router per il port forwarding...) se riesco scrverò la procedura, ma mi sa che avrò bisogno di aiuto.... spero di trovare qualcuno

Concettualmente è identico, solo che invece di avere openvpn sull'end point, ce l'hai sul server di mezzo che fa da "router".

ps: in questo caso consiglio vivamente di generare i certificati con l'opzione server per il server e abilitare l'opzione --ns-cert-type sui client, in modo che i client non possano impersonare il server (ti servirà generare un certificato per il server con il campo nsCertType a "server".
__________________

Palin -- <palin AT email DOT it>

Democracy doesn't mean “my ignorance is just as good as your knowledge.” - Isaac Asimov
draco dormiens nunquam titillandus
    Rispondi Citando Rispondi
Wednesday, 16 April 2014, 12:48
ale82x
 VG Vip
 
 Località: bg
 Messaggi: 682

grazie per la risposta!

per quanto riguarda la direttiva --ns-cert-type vedo che sui client è già attiva
(ho seguito pari pari il tutorial di jarod!
copio il file config di un client
Codice:
############################################## # Sample client-side OpenVPN 2.0 config file # # for connecting to multi-client server. # # # # This configuration can be used by multiple # # clients, however each client should have # # its own cert and key files. # # # # On Windows, you might want to rename this # # file so it has a .ovpn extension # ############################################## # Specify that we are a client and that we # will be pulling certain config file directives # from the server. client # Use the same setting as you are using on # the server. # On most systems, the VPN will not function # unless you partially or fully disable # the firewall for the TUN/TAP interface. ;dev tap dev tun # Windows needs the TAP-Win32 adapter name # from the Network Connections panel # if you have more than one. On XP SP2, # you may need to disable the firewall # for the TAP adapter. dev-node "OpenVPN" # Are we connecting to a TCP or # UDP server? Use the same setting as # on the server. ;proto tcp proto udp # The hostname/IP and port of the server. # You can have multiple remote entries # to load balance between the servers. remote x.x.x.x 1194 ;remote my-server-2 1194 # Choose a random host from the remote # list for load-balancing. Otherwise # try hosts in the order specified. ;remote-random # Keep trying indefinitely to resolve the # host name of the OpenVPN server. Very useful # on machines which are not permanently connected # to the internet such as laptops. resolv-retry infinite # Most clients don't need to bind to # a specific local port number. nobind # Downgrade privileges after initialization (non-Windows only) ;user nobody ;group nobody # Try to preserve some state across restarts. persist-key persist-tun # If you are connecting through an # HTTP proxy to reach the actual OpenVPN # server, put the proxy server/IP and # port number here. See the man page # if your proxy server requires # authentication. ;http-proxy-retry # retry on connection failures ;http-proxy [proxy server] [proxy port #] # Wireless networks often produce a lot # of duplicate packets. Set this flag # to silence duplicate packet warnings. ;mute-replay-warnings # SSL/TLS parms. # See the server config file for more # description. It's best to use # a separate .crt/.key file pair # for each client. A single ca # file can be used for all clients. ca ca.crt cert client1.crt key client1.key # Verify server certificate by checking # that the certicate has the nsCertType # field set to "server". This is an # important precaution to protect against # a potential attack discussed here: # http://openvpn.net/howto.html#mitm # # To use this feature, you will need to generate # your server certificates with the nsCertType # field set to "server". The build-key-server # script in the easy-rsa folder will do this. ns-cert-type server # If a tls-auth key is used on the server # then every client must also have the key. tls-auth key.txt 1 # Select a cryptographic cipher. # If the cipher option is used on the server # then you must also specify it here. ;cipher AES-128-CBC # Enable compression on the VPN link. # Don't enable this unless it is also # enabled in the server config file. comp-lzo # Set log file verbosity. verb 3 # Silence repeating messages ;mute 20

mi sono letto gli howto sul sito openvpn e ho visto che bisogna abilitare sul server le route delle 2 subnet dei due client e aggiungere la direttiva
client-config-dir ccd
poi creare la cartella ccd e inserire un file di nome
es. client1 (se il "common name" del client è client1)
idem per il client 2

all'interno del file scrivere
Codice:
iroute 10.10.1.0 255.255.255.0
esempio se il client1 è su quella subnet

poi aggiungere le route statiche ai vari router...

fatto ma non funziona...

ma non ho capito se la cartella ccd devo crearla sui client? perchè ho trovato un sito dove dice così, ma sul sito di openvpn mi sembra di aver capito che va creata sul server...
grazie

vado avanti con le prova
    Rispondi Citando Rispondi
Wednesday, 16 April 2014, 14:20
ale82x
 VG Vip
 
 Località: bg
 Messaggi: 682

ok, riepilogo quello che ho fatto per capire dove sbaglio...
attualmente sono arrivato a pingare il client1 con il client2 e viceversa sui loro ip originali (non openvpn) ma non vedo le altre macchine sulle rispettive reti...

specchietto ip/subnet server-client
ip server 192.168.15.4
ip client1 10.1.1.101
ip client2 192.168.178.22

sul file server.ovpn (sul server) ho aggiunto
route 10.1.1.0 255.255.255.0 (rete client1)
route 192.168.178.0 255.255.255.0 (rete client2)
push "route 10.10.2.0 255.255.255.0" (rete server controllare dovrebbe essere già attiva)
push "route 10.1.1.0 255.255.255.0" (rete client1)
push "route 192.168.178.0 255.255.255.0" (rete client2)
client-to-client (ho controllato che sia attiva)
client-config-dir ccd

creato la cartella ccd nella cartella config
dentro la cartella ccd ho creato un file di nome client1
iroute 10.1.1.0 255.255.255.0
un altro file di nome client2
iroute 192.168.178.0 255.255.255.0

riavviato openvpn

creato la rotta sul router del server
Indirizzo IP di destinazione: 10.1.1.0 (rete client1)
Subnet Mask..................: 255.255.255.0
Indirizzo IP del Gateway...: 192.168.15.4 (ip del server openvpn)
Metrica.........................: 1 (o lasciare vuoto)

Indirizzo IP di destinazione: 192.168.178.0 (rete client2)
Subnet Mask..................: 255.255.255.0
Indirizzo IP del Gateway...: 192.168.15.4 (ip del server openvpn)
Metrica.........................: 1 (o lasciare vuoto)

sul router del client1
Indirizzo IP di destinazione: 192.168.15.0 (rete server)
Subnet Mask..................: 255.255.255.0
Indirizzo IP del Gateway...: 10.1.1.101 (ip del client openvpn)
Metrica.........................: 1 (o lasciare vuoto)

Indirizzo IP di destinazione: 192.168.178.0 (rete client2)
Subnet Mask..................: 255.255.255.0
Indirizzo IP del Gateway...: 10.1.1.101 (ip del client openvpn)
Metrica.........................: 1 (o lasciare vuoto)

sul router client2
Indirizzo IP di destinazione: 192.168.15.0 (rete server)
Subnet Mask..................: 255.255.255.0
Indirizzo IP del Gateway...: 192.168.178.22 (ip del client openvpn)
Metrica.........................: 1 (o lasciare vuoto)

Indirizzo IP di destinazione: 10.1.1.0 (rete client1)
Subnet Mask..................: 255.255.255.0
Indirizzo IP del Gateway...: 192.168.178.22 (ip del client openvpn)
Metrica.........................: 1 (o lasciare vuoto)

ora da client1
ping 192.168.178.22 risponde
ping 192.168.178.1 (router) non risponde (richiesta scaduta)

idem al contrario dal client2

fonte:
https://openvpn.net/index.php/open-s...wto.html#scope

non capisco dove sbaglio...
grazie in anticipo

naturalmente la sottorete del server i die client vedono correttamente tutte le macchine...
    Rispondi Citando Rispondi
Thursday, 17 April 2014, 16:11
palin
 Giuseppe
 Militante
 
L'avatar di  palin
 
 Località: Albano Laziale
 Età: 45
 Messaggi: 4,250

Quote:
Originariamente inviato da ale82x
ok, riepilogo quello che ho fatto per capire dove sbaglio...
attualmente sono arrivato a pingare il client1 con il client2 e viceversa sui loro ip originali (non openvpn) ma non vedo le altre macchine sulle rispettive reti...


Non ho capito, vuoi che dal client1 vedere una macchina che sta sulla rete di client2 ma non è client2? Si può fare ma questo non lo fa direttamente la configurazione di openvpn, occorre che client1 e client2 abbiano l'inoltro dei pacchetti abilitato.
Ora se sei su windows, io mi fermo perché non ho la più pallida idea di come si faccia.
Su linux è più semplice, basta mettere a 1 in sysctl.conf la variabile net.ipv4.ip_forward (o scriverla se non c'è).
__________________

Palin -- <palin AT email DOT it>

Democracy doesn't mean “my ignorance is just as good as your knowledge.” - Isaac Asimov
draco dormiens nunquam titillandus
    Rispondi Citando Rispondi
Thursday, 17 April 2014, 18:35
ale82x
 VG Vip
 
 Località: bg
 Messaggi: 682

Quote:
Non ho capito, vuoi che dal client1 vedere una macchina che sta sulla rete di client2 ma non è client2?

esatto. provo con uno schemino

CLIENT1/1 (OPENVPN CLIENT) - CLIENT1/2 - CLIENT 1/3 ECC....
|
ROUTER LAN
|
ROUTER WAN
|
INTERNET
|
OPENVPN SERVER (anche dietro un router con una terza rete)
|
INTERNET
|
ROUTER WAN
|
ROUTER LAN
|
CLIENT2/1 (OPENVPN CLIENT) - CLIENT2/2 - CLIENT2/3 ECC.

la mia idea sarebbe di che le due reti separate (eventualmente tre con la rete del server) si vedano a vicenda. ogni client vede tutti i client dell'altra rete...

si ora sto facendo le prove con windows, ma il server openvpn potrebbe essere un vps centos...

per il discorso dell'inoltro dei pacchetti non è questa la modifica in windows?
quoto il primo post di Jarod
Quote:
A questo punto è necessario impostare a 1 la chiave di registro IPEnableRouter sia sul Client che sul Server VPN e riavviare i computer affinché la modifica abbia effetto:
Codice:

Percorso.: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters Nome Voce: IPEnableRouter Valore...: 1 Tipo.....: DWORD



grazie ancora
    Rispondi Citando Rispondi
Rispondi Invia Nuova Discussione


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 visitatori)
 

Thread già visto da:
SkyDiver, C0m4nch3, BigC, microzott, Andrea72, elba, taunus, SataNik, lazio74, JeanBabalan, Galloper, Pocket, SilBerg, ggigi99, DDAAXX, Duke Nukem, glaio, pennabianca, SkidArh+, giskard, Moskitos384, OldSchool, Claude, Harley, MovX, brun, ElettroGigio, 3mendo, Breakbll, Carambola, ale105, pavel, indio, Jaco, zompafosso, athlon, Morpheus, applamosca, M3rcur10, lurker1, XoTho, TrentaCarrini, lutra, RomeoKnight, SanK, Bati®, Ampexv, foul64, revenge, paco, Clipboard, verbatim, elcobra, Jarod, gattonero, Duilio, Carson, Tideglo, JoeBar, palin, Beppe, Valentino28, Th3Condor, Scarpetta, lupic, ERBA_CATTIVA, S71ng, paopao, seepo, Overhauser, Ssnake, Byte01, lentz, kaos, anita, BRAVO 2, usamakey, Sberla80, samdolgoff, bruno1, SatRider, cappadonnaa, cicciocant, Mr. 'T', Foxes, Blackwolf, Bramins, Svirgoli, ibby, Taglioecucito, GiNo, borgobuono, BRICO, alexone74, Skull, virtualdj, targetprice, peppiniello13, helpsearcher79, raulduke84, ale82x, SilverFox, titicaca, Garret, atletico, satanazzo, Neles, FelixModena, zisolord, tenzen, cicciored, blakko86, flavm, ValeriOoz, jeegset, tecnoware, totino, alex4988, enniorob, atrebil, s.coli, Attilio, ericilrosso, criscanz, vinello, CORTOilMALTESE, venezia79, Strangy, fsperandeo, gufo73, ivanmau, maranand, rachel, superjv, Diabolico, arllappa, egcfer, mcqueen, davide72, Fabry5005, Macintosh, webmuvi, Pepito Sbazzeguti, Luther71, shaba, Slepland, Mig, jtd, dect, tr4ding, bubbinho, darhom, wdevice, ildrk, Musakdege, laiuno, MimmoMic, LewMl, WepoKn
Strumenti Discussione Cerca in questa Discussione
Cerca in questa Discussione:

Ricerca Avanzata
Modalità Visualizzazione

top Regole di scrittura
Tu non puoi inserire messaggi
Tu non puoi rispondere ai messaggi
Tu non puoi inviare allegati
Tu non puoi modificare i tuoi messaggi

codice vB è Attivo
Smilies è Attivo
[IMG] il codice è Attivo
Il codice HTML è Attivo

Se hai problemi, contattaci


Visite Totali Posts: 97.168.834
Tutti gli Orari sono GMT +1. Attualmente sono le 05:33.

iGroup Black
Powered by vBulletin Versione 3.5.6
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.
Traduzione italiana a cura di: Enzo-Staff-VbulletinItalia.it
 
2000, 2012 © Visiva Group