Strona 1 z 3 123 OstatniOstatni
Pokaż wyniki 1 do 10 z 21

Temat: OpenVPN - Windows 2003 Serwer + klienci Win 7 = komputery się nie widzą ;/

  1. #1
    Zarejestrowany
    May 2007
    Postów
    51

    Domyślnie OpenVPN - Windows 2003 Serwer + klienci Win 7 = komputery się nie widzą ;/

    Witam,

    męczę się cały dzień ze skonfigurowaniem openvpn'a ... jednak poza tym, że udało mi się połączyć z serwerem nic innego nie zdziałałem ... Chcę uzyskać efekt w którym komputery będą się na wzajem widziały i będą mogli korzystać z udostępnionych zasobów na serwerze ... Mógłby ktoś pokazać swój konfig serwera i klienta ?

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Hmmm...

    Zastanawiam sie dlaczego robisz to na OpenVPN jesli serwer jest win2k3 a klienci win7... IPSec oraz SSL VPN sa wbudowane w winde i jesli win7 sa czlonkami AD na 2k3 to mozna im nawet okreslic ktorzy userzy (wg grup) maja dostep do ktorych portow, itp. Jesli win7 sa jako standalone, to tez nic nie szkodzi, uzywasz PSK do ustawienia tunelu. Na prawde windows ma to fajnie zrobione!

    Wracajac do pytania o konfiguracje... oto moja z linuxowego serwera:
    Kod:
    local <ip serwera>
    port <port>
    # akurat ten serwer jest na TCP
    proto tcp
    dev tun
    ca ca.crt
    cert server.crt
    dh dh2048.pem
    server <adres sieci dla klientow> <maska>
    # tu zapisujemy przypisane IP - klient ma zawsze ten sam
    ifconfig-pool-persist ipp.txt
    # ddajemy domyslne trasy i parametry
    push "route <podsiec> <maska>"
    push "dhcp-option DNS <serwer dns> <serwer dns>"
    # zezwalamy na polaczenia miedzy klientami
    client-to-client
    keepalive 10 120
    # kompresja - dodaje opoznienie (widoczne w ssh, itp) 
    # ale przyspiesza wieksze, ciagle transfery
    comp-lzo
    user nobody
    group nogroup
    persist-key
    persist-tun
    status openvpn-status.log
    verb 3
    # konsola do podgladu stanu systemu
    management localhost <port>
    # lista anulowanych certyfikatow (zablokowani klienci)
    crl-verify crl.pem
    Klient
    Kod:
    remote <ip> <port>
    proto tcp
    dev tun
    ca ca.crt
    cert user.crt
    key user.key  # This file should be kept secret
    ns-cert-type server
    tls-auth ta.key 1
    comp-lzo
    verb 3
    mute 20
    resolv-retry infinite
    nobind
    client
    persist-key
    persist-tun
    link-mtu 1544
    # pod windows nie zawsze dziala zmiana tras przez API
    # wiec mozemy uzyc windowsowego polecenia route
    # odpalone na linux/mac ta linia bedzie zignorowana :-P
    route-method exe
    # spowalniamy dodawanie tras, niektore OSy wola nieco wolniej
    route-delay 2
    # dodatkowe trasy via vpn
    route <net> <maska>
    route <net> <maska>
    W tej konfiguracji mam dostep do VPN'a, klienci maja statyczne IP - za kazdym razem to samo oraz moga gadac miedzy soba bezposrednio ale kazdy klient/certyfikat moze miec jedno polaczenie w danej chwili, wiec kazda maszyna musi miec unikatowy cert.
    Co do wyjscia dalej - upewnij sie ze firewall zezwala na ruch z puli adresowej OpenVPNa do zasobow serwera i ze uslugi sluchaja na tym adresie na ktory sie laczysz.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Zarejestrowany
    Jul 2008
    Skąd
    /dev/random
    Postów
    556

    Domyślnie

    Dokladnie tak jak napisal TQM - nie wiem po co sie meczyc z OpenVPN, jak wszystko masz Win 2003 Server, zerknij sobie w "Routing and Remote Access". Wszystko sie ladnie integruje z AD itd - to jest wlasnie zaleta. Choc jak masz klientow na Win 7 to lepiej zainwestowac w Win 2008 R2, na 2003 nie wykorzysta sie wszystkich mozliwosci.
    --
    ToM's Super Fix IT "No Fucking Problem"

  4. #4
    Zarejestrowany
    May 2007
    Postów
    51

    Domyślnie

    Zaraz zabiorę się za lekturę na temat Routing and Remote Access w 2k3. Komputery nie są połączone z serwerem. Są to osobne maszyny, które korzystają tylko z dysku sieciowego na serwerze.

  5. #5
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Moga byc osobne... wtedy nie uzywasz Kerneros'a do autoryzacji RRAS tylko robisz vpn (ipsec albo ssl) uzywajac psk do zabezpieczenia tunelu. Do tego calosc mozna skonfigurowac tak ze jest zawsze on-line, wiec jak kompa wlaczysz to jeszcze zanim user sie zaloguje VPN moze juz dzialac
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  6. #6
    Zarejestrowany
    May 2007
    Postów
    51

    Domyślnie

    Jedyne co do tej pory zrobiłem to wyłączyłem usługę zapory windows, wszedłem w Routing i zdalny dostęp, dałem konfiguruj i włącz ... następnie wybrałem Konfiguracja niestandardowa i zaznaczyłem tylko dostęp przez sieć VPN i dalej, potem zakończ... co teraz muszę zrobić
    IP serwera to 10.0.0.1 (Serwer ma tylko jedną kartę sieciową)
    IP routera 10.0.0.138
    Maska: 255.0.0.0
    Chciałbym aby komputer który podłączy się do sieci otrzymał adres IP z serwera dhcp (z routera). Jak mam to w SBS 2003 ustawić ?

  7. #7
    Zarejestrowany
    May 2007
    Postów
    51

    Domyślnie

    Próbuję dalej tego OpenVPN'a męczyć ... co robię źle ? Tutaj config serwera:
    Kod:
    port 1750
    
    proto udp
    
    dev tun
    
    ca ca.crt
    cert server.crt
    key server.key
    dh dh1024.pem
    
    server 10.8.0.0 255.255.0.0
    
    ifconfig-pool-persist ipp.txt
    
    keepalive 10 120
    comp-lzo
    persist-key
    persist-tun
    status openvpn-status.log
    verb 3
    a tutaj klient:
    Kod:
    client
    
    dev tun
    
    proto udp
    
    remote IP 1750
    
    resolv-retry infinite
    
    nobind
    
    persist-key
    
    persist-tun
    
    ca ca.crt
    
    cert client.crt
    
    key client.key
    
    ns-cert-type server
    
    cipher BF-CBC
    
    route-method exe
    route-delay 2
    
    comp-lzo
    
    verb 3
    Po uruchomieniu openvpn na serwerze i po połączeniu serwer nie pinguje nawet swojego IP które zostało mu przydzielone czyli 10.8.0.1

  8. #8
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Nie wiem po co grzebac z zapora sieciowa windows - kazdy komp bioracy udzial w wymianie danych ma dostep do innego po adresach rozdawanych przez openvpn i nie trzeba nic zmieniac ani w zaporze ani w dhcp... poza tym adresy rozdaje zawsze openvpn a nie dhcp, chyba ze uzywasz interfejsu TAP (nie wiem czy to dziala pod windows w ogole - nigdy nie uzywalem) zamiast TUN.

    Jesli chcesz aby win7 pojawily sie w tej samej sieci LAN co 2k3 (i mowie o ethernet) to musisz uzyc TAP i zrobic bridge z ethernetem z tego co sie orientuje. TAP robi tunel na warstwie drugiej (powiedzmy ethernet) a TUN na trzeciej (IP).
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  9. #9
    Zarejestrowany
    May 2007
    Postów
    51

    Domyślnie

    Teraz mój konfig serwera wygląda tak:

    Kod:
    port 1750
    
    proto tcp
    dev tap
    
    dh dh1024.pem
    ca ca.crt
    cert server.crt
    key server.key
    
    server 10.8.0.0 255.255.255.0
    
    push "route 10.0.0.1 255.0.0.0" 
    
    ifconfig-pool-persist ipp.txt
    
    route-method exe
    route-delay 2
    
    keepalive 10 120
    
    tun-mtu 1500
    
    status openvpn-status.log
    verb 3
    A klienta tak:

    Kod:
    client
    dev tap
    proto tcp
    remote IP 1750
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    mute-replay-warnings
    tun-mtu 1500
    
    ca ca.crt
    cert client.crt
    key client.key
    ns-cert-type server
    
    route-method exe
    route-delay 2
    
    verb 3
    Openvpn się łączy, niby w logach jest że połączenie jest OK, ale kompy ani się nie widzą, ani serwer nie pinguje na swój adres openvpn czyli 10.8.0.1 co może być nie tak ?

  10. #10
    Zarejestrowany
    May 2007
    Postów
    51

    Domyślnie

    Viktoria zobaczyłem sobie w ten interfejs z OpenVPN i tam miło że w configu miałem 10.8.0.1 to tam było 10.1.0.1 xD zmieniłem w congifu na 10.1.0.1 i działa xD nie wiem czemu tak jest ale działa xD Jak teraz zabezpieczyć te połączenie ?

Strona 1 z 3 123 OstatniOstatni

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52