Merlin 0 Zgłoś post Napisano Wrzesień 4, 2014 Witam, jestem w trakcie konfigurowania połączenia VPN pomiędzy klientami mobilnymi a bramą VPN (Debian). Chciałbym rozwiązać kilka wariantów połączeń w możliwie jednej bezpiecznej konfiguracji. Klienci VPN powinni mieć możliwość połączenia się z różnych systemów (OSX, iOS, Android, Windows) To już mniej więcej ogarnąłem. Natomiast różne są też struktury sieci z których łączą się poszczególne urządzenia. Generalnie nie powinno to być problemem ale...Nie ma problemu gdy np. tablet łączy się przez operatora komórkowego z bramą. Problem zaczyna się, gdy w sieci lokalnej jest np. 5 komputerów i każdy z nich chce się połączyć z zdalną bramą VPN. Gdy tylko jeden komputer się łączy LAN => VPN jest OK. Gdy kilka próbuje niestety wyskakuje błąd w postaci braku zmiany IP widzianego z internetu.Dla ułatwienia na początek stosuję dla wszystkich stacji klienckich tę samą konfigurację.Pytanie ... co w konfiguracji jest nie tak, albo czego brakuje? Bazuję tu na oprogramowaniu OpenVPN zarówno na bramie VPN jak i wszystkich urządzeniach klienckich. Konfig bramy VPN dev tun2 tls-server dh easy-rsa/keys/dh2048.pem ca easy-rsa/keys/ca.crt cert easy-rsa/keys/server.crt key easy-rsa/keys/server.key server 10.0.0.0 255.255.255.0 comp-lzo script-security 2 route-up "/sbin/ifconfig tun2 up" port 443 proto tcp-server keepalive 30 120 push "redirect-gateway def1 bypas-dhcp" push "dhcp-option DNS 8.8.8.8" Konfig klienta: remote <ADRES BRAMY> 443 tcp-client persist-key tls-client ns-cert-type server pull ca ca.crt redirect-gateway def1 dev tun persist-tun cert MacOS.crt comp-lzo adaptive key MacOS.key dhcp-option DNS 8.8.8.8 resolv-retry infinite client proto tcp nobind ns-cert-type server verb 3 Co ciekawe problem występuje (najprawdopodobniej) tylko gdy łączą się komputery z systemem Windows.Macie jakieś sugestie? Udostępnij ten post Link to postu Udostępnij na innych stronach
spindritf 240 Zgłoś post Napisano Wrzesień 4, 2014 Problem zaczyna się, gdy w sieci lokalnej jest np. 5 komputerów i każdy z nich chce się połączyć z zdalną bramą VPN. Gdy tylko jeden komputer się łączy LAN => VPN jest OK. Gdy kilka próbuje niestety wyskakuje błąd w postaci braku zmiany IP widzianego z internetu. Co mówią logi serwera? Czy klienci używają tego samego certyfikatu klienckiego? Nie powinni, ale... dodaj duplicate-cn do configu serwera i zobacz, czy będzie działało. Jeśli pomoże, to wystaw każdemu urządzeniu oddzielny certyfikat i skasuj duplicate-cn z configu serwera. Udostępnij ten post Link to postu Udostępnij na innych stronach
Merlin 0 Zgłoś post Napisano Wrzesień 4, 2014 Uruchomiłem w konfigu logowanie więc przetestuję co serwer gada... Dzięki za sugestię co do certyfikatów. Sprawdzę to Tak się zastanawiam czy da się szczegółowiej monitorować, kto się połączył z bramą i kiedy. Tzn. przydzielić każdemu klientowi prywatne IP identyfikowane mac-adresem i potem monitorować działania i jakoś w sposób atrakcyjny wizualnie je przedstawić. Udostępnij ten post Link to postu Udostępnij na innych stronach
spindritf 240 Zgłoś post Napisano Wrzesień 4, 2014 (edytowany) Dzięki za sugestię co do certyfikatów. Sprawdzę to Dodaj duplicate-cn napierw i zobacz. Działa? Tak się zastanawiam czy da się szczegółowiej monitorować, kto się połączył z bramą i kiedy. Tak. Możesz wykonać dowolny skrypt przy połączeniu client-connect /sciezka/do/skryptu/client-connect.sh a w nim np. wysłać sobie maila. Możesz też przydzielić klientom stałe IPki. Weź manuala przeczytaj, bo to wszystko tam jest. Edytowano Wrzesień 4, 2014 przez spindritf (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Merlin 0 Zgłoś post Napisano Wrzesień 4, 2014 No faktycznie... przeoczyłem to że przed połączeniem i po połączeniu z automatu może być wykonany jakiś skrypt.Ok póki co dzięki za sugestie. Czas na modyfikacje i testowanie sugestii Udostępnij ten post Link to postu Udostępnij na innych stronach
Merlin 0 Zgłoś post Napisano Wrzesień 4, 2014 No i zadziałało Póki co sprawdziłem na 3 komputerach z jednego LANu i było OK więc pewnie dla większej ilości będzie również.Zatem zostaje tylko wygenerować pozostałe klienckie certyfikaty i będzie OK dzięki. Udostępnij ten post Link to postu Udostępnij na innych stronach