|
|
Dostęp z zewnątrz do sieci lan za klientem VPN
nieznany - 28-04-2010 14:34
Cześć.
Mam problem z konfiguracją VPN w firmie.
Siec wygląda następująco:l3 komputery z Windows7 [pc1 (192.168.1.100), pc2 (dhcp), pc3 (dhcp)],l
lkomputery z Windows 7 są za routerem Linksys [192.168.1.1],l
lserwer z Debian Lenny dostępny przez Internet (srv01) - serwer nie znajduje się w sieci lan.l
Na srv01 zainstalowałem serwer OpenVPN.
Na komputerze pc1 zainstalowałem klienta OpenVPN.
Wszystko poszło dobrze i mogę wykonać
ping pc1 -> srv01
Chcę, aby pozostałe komputery miały dostęp do VPN przez komputer pc1.
W tym celu zastosowałem konfigurację jak poniżej:
Dodałem następującą trasę do rutera Linksys:
Destination LAN - 10.8.0.0
IP Subnet Mask - 255.255.255.0
Gateway - 192.168.1.100
Interface - LAN & Wireless
Plik konfiguracyjny klienta:
dev tun
client
remote 94.124.5.34
proto udp
port 17003
nobind
ca cacert.pem
cert usercert.pem
key userkey.pem
comp-lzo
verb 3
Plik konfiguracyjny serwera:
local 94.124.5.34
port 17003
proto udp
dev tun
ca cacert.pem
cert openvpncert.pem
key openvpnkey.pem # This file should be kept secret
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir ccd
route 192.168.1.0 255.255.255.0
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
client-to-client
keepalive 10 120
comp-lzo
max-clients 20
persist-key
persist-tun
status openvpn-status.log
verb 3
Dla klienta pc1 zdefiniowałem też plik ccd/pc1 o następującej zawartości:
iroute 192.168.1.0 255.255.255.0
Mimo to komputery w sieci lan nie widzą serwera VPN.
Docelowo chciałbym, aby osoby pracujące poza biurem miały dostęp do sieci lan (www, samba), czy konfiguracja, którą próbuję uruchomić jest odpowiednia?
Każda pomoc będzie mile widziana.
Pozdrawiam serdecznie,
Piotr Repetowski
adasiek_j - 28-04-2010 20:39
A na tym PC z Windows (który jest p2p do serwera srv), to zrobiłeś NAT i odpowiednie regułki, aby Windows był w stanie tunelować pakiety?
Ja takie rozwiązania robiłem, ale zamiast Windows był Linux, ewentualnie zamiast linkssysa zrób sobie www.ipcop.org i wtedy będziesz mógł zrobić sobie na nim serwer ipsec dla klientów road-warrior i będziesz miał co chcesz.
Adam
nieznany - 30-04-2010 12:23
Dodałem taki wpis za pośrednictwem OpenVPN
iroute 192.168.1.0 255.255.255.0
Pomysł z ipsec jest dobry, ale wymaga aby komputer, który go uruchamia był dostępny z zewnątrz.
Mam jeszcze pytanie do osób, które z VPNem mają styczność na co dzień. Czy to co próbuję zrobić jest dobrym pomysłem? Bo mam wrażenie, że najlepiej byłoby aby serwer VPN był w biurze i udostępniał sieć zewnętrznym kompom. Natomiast w moim przypadku sieć biurowa jest niedostępna z zewnątrz, jedynie osobny serwer w Internecie może stanowić pośrednika w dostępie do sieci i przez to wszystko się komplikuje.
Czy spotykacie się z takimi rozwiązaniami? Jak one się sprawdzają w przypadku uruchamianiu na nich różnych usług sieciowych np. samby, www, ftp?
Pozdrawiam,
Piotr Repetowski
adasiek_j - 30-04-2010 23:51
Nie sprawdzają się. Jeśli twój LAN jako domyślna brama ma maszynę, która NIE ma publicznego ip, to jedyne, co możesz zrobić, to to, co zrobiłeś, ale zamiast windowsowej maszyny powinieneś użyć Linuksa. I jeszcze w openVPN dać taki konfig, aby każdy klient "widział się" wzajemnie.
Wtedy masz szansę, że maszyna X podłączona do internetu jako klient serwera vpn będzie "widziała" dzięki tej konfiguracji komputery w sieci lan za tym komputerem (nazwijmy go Z), który z Linuksem będzie "quasi" bramą.
Zagmatwane - powinno być jednak wykonalne.
Adam
zanotowane.pldoc.pisz.plpdf.pisz.plminister.pev.pl
|
