摩托學園討論區

[alex140000]

這是我的情況：
在安裝完 OpenVPN 2.0後作以下設定：
1：openvpn --genkey --secret static.key
2： 將 static.key 放於 /etc/openvpn/
3：設定/etc/openvpn/server.conf 如下：
dev tun
ifconfig 10.8.0.1 10.8.0.2
secret static.key

設定完成後執行 ：/etc/init.d/openvpn start
出現Starting virtual private network daemon: FAILED-> server.
查看 /var/log/syslog，相關訊息習如下：

OpenVPN 2.0 i386-pc-linux [SSL] [LZO] [EPOLL] built on May 28 2005
IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
WARNING: file '/etc/openvpn/static.key' is group or others accessible
Note: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Note: Attempting fallback to kernel 2.2 TUN/TAP interface
Cannot allocate TUN/TAP dev dynamically
Exiting。

註：DEBIAN (sarge) kernel 2.4.27-2-386
我參考的資料：
http://moto.debian.org.tw/viewtopic.php?t=6366&highlight=vpn

http://wiki.debian.org.tw/index.php/OpenVPN

[BV1AL]

它不是給你 WARNING 說 static.key 是大家可以讀的！
把它 chmod 600 吧！

然後它又告訴你 /dev/net/tun: No such file
就是缺這個東東啊！

所以你要
mkdir /dev/net
mknod -m0600 /dev/net/tun c 10 200
這樣才有 device 給它用啊！

我是比較推薦使用 gvpe. 不過 openvpn 有 for windows 就是了.

[alex140000]

It's OK
謝謝指導！！！
現在可以從 clint(10.8.0.2)可以ping 到 10.8.0.1，但是ping 不到我的local net

我的server.config 如下：

dev tun
ifconfig 10.8.0.1 10.8.0.2
port 1194
proto udp
secret static.key
comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
route 192.168.0.0 255.255.255.0

client.conf 如下：

remote a.b.c.d 1194
dev tun
proto udp
comp-lzo
ifconfig 10.8.0.2 10.8.0.1
secret static.key

iptables 如下：

iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j MASQUERADE

而且openvpn 一開起來，內部網路全當

[alex140000]

弄了兩個星期，終於搞定了
原因是因為route table 被弄亂了。

作法：
1 改把openvpn 的預設route功能去除，也就是把 server.conf 中route 192.168.0.0 255.255.255.0這行的設定拿掉 ，並更改 nat 的內容，原為：

iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j MASQUERADE

改為：

iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -d ! 10.8.0.0/24 -j MASQUERADE

這樣 vpn開啟後，內部對外的網路就不會當掉。
2. 防火牆中加入：

iptables -A FORWARD -i tun0 -s 192.168.0.0/24 -d 10.8.0.0/24 -j ACCEPT

(說明：接受內部網路的經過 tun0 這個通道外送)
3.於windows 中，設定route table：

route ADD 192.168.0.0 mask 255.255.255.0 10.8.0.1

(說明：要到 192.168.0.0 mask 為 255.255.255.0的封包，由10.8.0.1 送出)
這樣就搞定了

[BV1AL]

你的方式看似拿防火牆上的電腦來跑 server, 因此要再做一
些 rules 的更改. 這種方式, 在安全上會不會比拿一台獨立
的電腦來跑 server 不安全呢？因為等於是在防火牆上留了
一道私人的樓梯, 而且這個樓梯是一直開著的（只要你的程
式是執行中）（雖然它有加密防護）。

如果放置方式是把 server 放在 Internet 上有真實 IP 的
獨立電腦. 然後 client 可以在任何地方（防火牆之內或者
一樣在 Internet 上有真實 IP 的電腦）.

這樣任何兩台連上 server 的 client 就能走 private IP
的方式來通連. 一般的防火牆（如社區網路）條件不是十分
嚴苛的, 這樣就能穿牆而過, 不必去改防火牆的 rules.

上面提到的放在 Internet 上的獨立電腦如果只是用來做為
server, 假設工作負荷不大, 可以拿一台沒有硬碟的電腦,
把 RAM 加到「夠用」, 然後用 LiveCD 跑 vpn service, 這
樣在防火牆內的電腦沒有通連這台 server 的狀況下, 對防
火牆內的環境是不會有安全威脅的.

然後, 那台獨立的 server 只開啟 ssh service 供連線（或者
干脆開沒有加密防護的 telnet service 也沒關係）, 然後用
iptables 把所有對它真實 IP 做 port 22 （telnet 的話就是 23
）的 access全部 drop 掉, 也就是任何 client 若沒有加密的
key, 是完全無法對那台獨立的 server 進行連線, 這樣的佈
置看起來似乎是比較「好」一點吧？

[alex140000]

謝謝學長的提醒。
我架vpn 的原因是因為我的mail server 躲在防火牆內，但是mail server 要長時間連上vpn 給在外面的人員使用，所以才會用這種架構去架vpn。
看完學長的建議我，我想將架構作以下改變

1.將mail server 以vpn client方式連上，給外面的人用。
2.將非mail server 到vpn 的封包 drop 掉

不知這樣的架設，是否會更好。
致於學長所說的另架一部server，對我而言，有部分的難處：

1.沒有多餘的固定ip
2.沒有多餘的電腦，如果要額外增加經費，我可能選擇買有vpn的ip分享器。

[訪客]

不一定要用防火墙作VPN Server的,可以用内网的某台机子(比如:mailserver)做VPN Server,只要开启该机子的路由就行.

[THQ]

我的情形如下
client為192.168.0.1windows
server為192.168.0.3
當client透過vpn連上server時,網路就會斷,但可以ping到serv也可以
透過samba連上serv,有什麼辦法可以讓網路不會斷,
區網是透過serv nat連出去的

[teed7334]

我也有架VPN Server，只是我是用PPTP Server，用Webmin直接就能做管理了，超簡單的，OpenVPN我灌過，可能是沒有緣吧，反正沒搞成功就是了

如果你的OpenVPN也不太好搞的話，能考慮用PPTP Server

記得要透過Iptables的NAT讓PPTP Server指定給Client電腦的IP能上網哦

例：我的DHCP分配給User的是192.168.0.0/24的，而PPTP Server指定給User的是192.168.1.0/24的，所以192.168.1.0/24我有另外設NAT

[THQ]

我經由修改iptables的設定,現在可以client連上openvpn server而連外
網路不斷了,但是如果我是從公司連到家裡的openvpn server,雖然連上了,但卻不能上網也ping不到10.0.1.1(openvpn server)
這又是怎麼回事呢?

[teed7334]

試一下這行
iptables -t nat -A POSTROUTING -s 10.0.1.0/255.255.255.255 -o eth0 -j MASQUERADE

其中eth0是對外網卡

[THQ]

加這行
iptables -t nat -A POSTROUTING -s 10.0.1.0/255.255.255.255 -o eth0 -j MASQUERADE
好像也一樣
;之前我是加了/sbin/iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o ppp0 -j MASQUERADE
解決區網連上openvpn斷線問題

[alex140000]

我的情形如下
client為192.168.0.1windows
server為192.168.0.3
當client透過vpn連上server時,網路就會斷,但可以ping到serv也可以
透過samba連上serv,有什麼辦法可以讓網路不會斷,
區網是透過serv nat連出去的

查一下你的ROUTE TABLE 看default 是那一個ip (我之前碰到的是 VPN 啟動後 default就改成 VPN SERVER 的IP了)

[THQ]

我的情形如下
client為192.168.0.1windows
server為192.168.0.3
當client透過vpn連上server時,網路就會斷,但可以ping到serv也可以
透過samba連上serv,有什麼辦法可以讓網路不會斷,
區網是透過serv nat連出去的

查一下你的ROUTE TABLE 看default 是那一個ip (我之前碰到的是 VPN 啟動後 default就改成 VPN SERVER 的IP了)

原因真的是這樣,我在winxp下把openvpn client所產生的網卡的ip
default gatway改成自動取得,便可以了,之前在try時有把它的default gatway改成10.0.1.1

[THQ]

又發現了一個問題,當client連上openvpn server時,client可以ping到server
但是server ping不到client,server也連不進client的網芳