VPN na Debianie

[Merlin 0]

Witam,

jestem w trakcie konfigurowania połączenia VPN pomiędzy klientami mobilnymi a bramą VPN (Debian). Chciałbym rozwiązać kilka wariantów połączeń w możliwie jednej bezpiecznej konfiguracji.

Klienci VPN powinni mieć możliwość połączenia się z różnych systemów (OSX, iOS, Android, Windows)

To już mniej więcej ogarnąłem.

Natomiast różne są też struktury sieci z których łączą się poszczególne urządzenia. Generalnie nie powinno to być problemem ale...
Nie ma problemu gdy np. tablet łączy się przez operatora komórkowego z bramą.

Problem zaczyna się, gdy w sieci lokalnej jest np. 5 komputerów i każdy z nich chce się połączyć z zdalną bramą VPN.
Gdy tylko jeden komputer się łączy LAN => VPN jest OK.

Gdy kilka próbuje niestety wyskakuje błąd w postaci braku zmiany IP widzianego z internetu.
Dla ułatwienia na początek stosuję dla wszystkich stacji klienckich tę samą konfigurację.
Pytanie ... co w konfiguracji jest nie tak, albo czego brakuje?

Bazuję tu na oprogramowaniu OpenVPN zarówno na bramie VPN jak i wszystkich urządzeniach klienckich.

 

Konfig bramy VPN

dev tun2
tls-server
dh easy-rsa/keys/dh2048.pem
ca easy-rsa/keys/ca.crt
cert easy-rsa/keys/server.crt
key easy-rsa/keys/server.key
server 10.0.0.0 255.255.255.0
comp-lzo
script-security 2
route-up "/sbin/ifconfig tun2 up"
port 443
proto tcp-server
keepalive 30 120
push "redirect-gateway def1 bypas-dhcp"
push "dhcp-option DNS 8.8.8.8"

Konfig klienta:

remote <ADRES BRAMY> 443 tcp-client
persist-key
tls-client
ns-cert-type server
pull
ca ca.crt
redirect-gateway def1
dev tun
persist-tun
cert MacOS.crt
comp-lzo adaptive
key  MacOS.key
dhcp-option DNS 8.8.8.8
resolv-retry infinite
client
proto tcp
nobind
ns-cert-type server
verb 3

Co ciekawe problem występuje (najprawdopodobniej) tylko gdy łączą się komputery z systemem Windows.
Macie jakieś sugestie?

 

 

[spindritf 240]

Problem zaczyna się, gdy w sieci lokalnej jest np. 5 komputerów i każdy z nich chce się połączyć z zdalną bramą VPN.

Gdy tylko jeden komputer się łączy LAN => VPN jest OK.

Gdy kilka próbuje niestety wyskakuje błąd w postaci braku zmiany IP widzianego z internetu.

Co mówią logi serwera? Czy klienci używają tego samego certyfikatu klienckiego?

 

Nie powinni, ale... dodaj

duplicate-cn

do configu serwera i zobacz, czy będzie działało. Jeśli pomoże, to wystaw każdemu urządzeniu oddzielny certyfikat i skasuj duplicate-cn z configu serwera.

[Merlin 0]

Uruchomiłem w konfigu logowanie więc przetestuję co serwer gada...

Dzięki za sugestię co do certyfikatów. Sprawdzę to

Tak się zastanawiam czy da się szczegółowiej monitorować, kto się połączył z bramą i kiedy. Tzn. przydzielić każdemu klientowi prywatne IP identyfikowane mac-adresem i potem monitorować działania i jakoś w sposób atrakcyjny wizualnie je przedstawić.

[spindritf 240]

Dzięki za sugestię co do certyfikatów. Sprawdzę to

Dodaj duplicate-cn napierw i zobacz. Działa?

 

Tak się zastanawiam czy da się szczegółowiej monitorować, kto się połączył z bramą i kiedy.

Tak. Możesz wykonać dowolny skrypt przy połączeniu

 

client-connect /sciezka/do/skryptu/client-connect.sh

a w nim np. wysłać sobie maila. Możesz też przydzielić klientom stałe IPki. Weź manuala przeczytaj, bo to wszystko tam jest. Edytowano Wrzesień 4, 2014 przez spindritf (zobacz historię edycji)

[Merlin 0]

No faktycznie... przeoczyłem to że przed połączeniem i po połączeniu z automatu może być wykonany jakiś skrypt.
Ok póki co dzięki za sugestie. Czas na modyfikacje i testowanie sugestii

[Merlin 0]

No i zadziałało
Póki co sprawdziłem na 3 komputerach z jednego LANu i było OK więc pewnie dla większej ilości będzie również.
Zatem zostaje tylko wygenerować pozostałe klienckie certyfikaty i będzie OK

 

dzięki.