[Risolto] Configurare OpenVpn su VPS

[condor_uk]

Un saluto a tutti gli amici del forum,
mi sono imbattuto in un laboratorio strano, secondo me impossibile.

Ho una VPS che fa da server OpenVpn e da Server Proxy, la parte proxy funziona egregiamente, il problema è la connessione Vpn o meglio:

Ho configurato un pc linux per il collegamento verso la Vpn,
questa la configurazione lato client:

Codice: Seleziona tutto

client
dev tun
proto udp
remote server.remoto.it 1194

resolv-retry infinite
nobind
persist-key
persist-tun
mute-replay-warnings


#Percorso certificati

ca /etc/openvpn/cartella/ca.crt
cert /etc/openvpn/cartella/cert.crt
key /etc/openvpn/cartella/cert.key

verb 5

Questa la configurazione la Server :

Codice: Seleziona tutto

server 10.1.1.0 255.255.255.0

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
user nobody
group users
persist-key
persist-tun
status openvpn-status.log
verb 3
client-to-client

Ecco i problemi sui quali chiedo lumi:

• La connessione si instaura tra client/server correttamente solo che i due non si pingano

• Vorrei che il client si collegasse al server e utilizzasse la connessione di quest'ultimo per uscire su internet

In sostanza vorrei che l'ip pubblico delle macchine che si collegano in vpn sia quello del VPS e non il proprio.

Thanks

[thece]

Ciao

La connessione si instaura tra client/server correttamente solo che i due non si pingano

sul client, dopo che hai stabilito la connessione VPN, apri il terminale e postami l'output di questi comandi

Codice: Seleziona tutto

ifconfig -a

Codice: Seleziona tutto

route -n

Codice: Seleziona tutto

comando di ping che non funziona

(di quest'ultimo postami anche il comando che dai)

Vorrei che il client si collegasse al server e utilizzasse la connessione di quest'ultimo per uscire su internet

Forse basta mettere queste direttive nel file di configurazione del client

Codice: Seleziona tutto

redirect-gateway def1
dhcp-option DNS INDIRIZZO_IP_DNS_SERVER_1
dhcp-option DNS INDIRIZZO_IP_DNS_SERVER_2

oppure mettere mano alla tabella di routing dopo che è stata stabilita la connessione VPN.

Bisognerebbe fare qualche prova

[thece]

Vorrei che il client si collegasse al server e utilizzasse la connessione di quest'ultimo per uscire su internet

Forse basta mettere queste direttive nel file di configurazione del client

Codice: Seleziona tutto

redirect-gateway def1
dhcp-option DNS INDIRIZZO_IP_DNS_SERVER_1
dhcp-option DNS INDIRIZZO_IP_DNS_SERVER_2

Ho fatto un piccolo test di quanto hai richiesto sopra e ha funzionato. Più o meno ho seguito i seguenti passi

1) Da un notebook (Ubuntu 14.10) mi sono connesso a Internet tramite chiavetta 3G

2) Ho verificato la mia configurazione di rete (ifconfig e route) e che il mio indirizzo IP WAN fosse appartenente al mio gestore 3G

3) Ho attivato la connessione OpenVPN ad un mio server esposto su Internet, da terminale con il comando

Codice: Seleziona tutto

sudo openvpn --config configurazione_client.ovpn

includendo nella configurazione del client le righe di cui sopra

4) Ho (ri)verificato la mia configurazione di rete modificata da OpenVPN (ifconfig e route)

5) Ho dato una martellata al file /etc/resolv.conf ... boh i DNS non sembravano funzionare a dovere

6) Ho verificato che il mio indirizzo IP WAN fosse appartenente al provider che gestisce la connessione a Internet del mio server, quindi diverso dal precedente

7) Ho provato un traceroute verso l'IP 8.8.8.8 e la connessione è passata per la VPN

[condor_uk]

Ciao,
nel ringraziarti infinitamente per l'aiuto che mi stai dando colgo l'occasione per chiederti come configurare il client affinche anche a vpn attivata risponda dalla rete domestica all'ip 192.168.1.45.


In sostanza appena avvio la vpn sul client, all'interno della lan perdo la connessione con esso, se pingo 192.168.1.45 mi da richiesta scaduta, mentre a vpn disattivata risponde correttamente.

Grazie

[condor_uk]

Ciao,
nel ringraziarti infinitamente per l'aiuto che mi stai dando colgo l'occasione per chiederti come configurare il client affinche anche a vpn attivata risponda dalla rete domestica all'ip 192.168.1.45.


In sostanza appena avvio la vpn sul client, all'interno della lan perdo la connessione con esso, se pingo 192.168.1.45 mi da richiesta scaduta, mentre a vpn disattivata risponde correttamente.

Grazie

Risolto commentando la direttiva client to client

Codice: Seleziona tutto

server 10.1.1.0 255.255.255.0

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
user nobody
group users
persist-key
persist-tun
status openvpn-status.log
verb 3
#client-to-client

[condor_uk]

Eccomi con le risposte:

questo l'output del comando ifconfig -a dato al client dopo aver instaurato la connessione VPN..

Codice: Seleziona tutto

eth0      Link encap:Ethernet  HWaddr B4:9D:B4:05:04:27
          inet addr:192.168.1.45  Bcast:0.0.0.0  Mask:255.255.255.0
          inet6 addr: fe80::b69d:b4ff:fe05:427/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:10668 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7988 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1067038 (1.0 MiB)  TX bytes:974724 (951.8 KiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.1.1.6  P-t-P:10.1.1.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:37 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

tun1      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.1.1.6  P-t-P:10.1.1.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:135 overruns:0 frame:0
          TX packets:856 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:62992 (61.5 KiB)

questo l'output del comando route -n dato al client dopo aver instaurato la connessione VPN..

Codice: Seleziona tutto

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.1.1.5        128.0.0.0       UG    0      0        0 tun1
0.0.0.0         192.168.1.254   0.0.0.0         UG    0      0        0 eth0
10.1.1.1        10.1.1.5        255.255.255.255 UGH   0      0        0 tun1
10.1.1.5        0.0.0.0         255.255.255.255 UH    0      0        0 tun1
10.1.1.5        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
2XX.2X8.1X4.249 192.168.1.254   255.255.255.255 UGH   0      0        0 eth0
128.0.0.0       10.1.1.5        128.0.0.0       UG    0      0        0 tun1
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

Questo è il file aggiornato del client:

Codice: Seleziona tutto

client
dev tun
proto udp
remote idirizzo_server_proxy_+_vpn 1194

resolv-retry infinite
nobind
persist-key
persist-tun
mute-replay-warnings


redirect-gateway def1
dhcp-option DNS 8.8.8.8
dhcp-option DNS 8.8.4.4

#Percorso certificati

ca /etc/openvpn/room69/ca.crt
cert /etc/openvpn/room69/room69.crt
key /etc/openvpn/room69/room69.key

verb 5

Con questa configurazione, se la vpn è attiva dal client non riesco a navigare in internet e qualsiasi comando provo a dare, esempio ping google.it non ottengo risposta

Questo invece è l'output del comando route -n lato server dopo aver instaurato la connessione VPN..

Codice: Seleziona tutto

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.1.1.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.1.1.0        10.1.1.2        255.255.255.0   UG    0      0        0 tun0
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 venet0

[thece]

Ciao,
mi sembra che tu abbia pasticciato: hai tirato su due collegamenti VPN?

Su due piedi non so aiutarti esattamente sulla configurazione di OpenVPN perchè è un pò che non guardo la documentazione. Me la sono studiata per realizzare il mio collegamento e poi l'ho "dimenticata". Magari qualcun altro più preparato di me può aiutarti in modo più puntuale

Nell'immediato ti posto la mia configurazione (funzionante), spero possa esserti di aiuto

Server

Codice: Seleziona tutto

port 1194
proto tcp
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/SERVER.crt
key /etc/openvpn/easy-rsa/keys/SERVER.key
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
server 10.0.0.0 255.255.255.0
client-to-client
duplicate-cn
keepalive 10 120
cipher AES-128-CBC
comp-lzo
; max-clients 100
user nobody
group nogroup
persist-key
persist-tun
status /etc/openvpn/openvpn-status.log
log /etc/openvpn/openvpn.log
verb 3

Client

Codice: Seleziona tutto

client
dev tun
proto tcp

remote INDIRIZZO_SERVER
port 1194

resolv-retry infinite
nobind
persist-key
persist-tun

ca ca.crt
cert CLIENT.crt
key CLIENT.key
cipher AES-128-CBC
comp-lzo
verb 3

; Per redirigere il gateway verso il server OpenVPN
redirect-gateway def1
dhcp-option DNS 8.8.8.8
dhcp-option DNS 8.8.4.4

; Per raggiungere tutta la rete "interna"
route 192.168.0.0 255.255.255.0

questa è la configurazione che ho usato per fare il test di cui sopra. Normalmente io non ho necessità ne di redirigere il gateway, ne di modificare i server DNS

[EDIT]

Aggiungo un pezzo che magari a te non serve ... per raggiungere tutta la rete "interna" (192.168.0.0/24), LAN su cui risiede il mio server, sul server ho abilitato il port forwarding

Codice: Seleziona tutto

sudo echo 1 /proc/sys/net/ipv4/ip_forward

e ho nattato la rete VPN

Codice: Seleziona tutto

sudo iptables -t nat -A POSTROUTING -s 10.0.0.0/24 ! -d 10.0.0.0/24 -j MASQUERADE

[/EDIT]

[condor_uk]

Grazie alla configurazione da te postata sono riuscito ad eliminare il doppio tun, adesso vede correttamente solo tun0,
se faccio un ping dalla macchina client verso l'indirizzo pubblico della vps il ping ha esito positivo, ma sembra che il traffico arrivi alla VPS e la si ferma.


Se di fatto pingo dal client google.it non ottengo risposta...

questo l'output del comando route -n

Codice: Seleziona tutto

1Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.0.0.5        128.0.0.0       UG    0      0        0 tun0
0.0.0.0         192.168.1.254   0.0.0.0         UG    0      0        0 eth0
10.0.0.0        10.0.0.5        255.255.255.0   UG    0      0        0 tun0
10.0.0.5        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
X2X.22X.134.249  192.168.1.254   255.255.255.255 UGH   0      0        0 eth0
128.0.0.0       10.0.0.5        128.0.0.0       UG    0      0        0 tun0
192.168.0.0     10.0.0.5        255.255.255.0   UG    0      0        0 tun0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

Thanks

[condor_uk]

Risolto grazieeeeeeeee


Senza di te non ce l'avrei fatta maiiiiiiii