OpenVPN Server, routing problem

Trädvy Permalänk
Medlem
Plats
Norrland
Registrerad
Aug 2004

OpenVPN Server, routing problem

Möjligt att detta ska vara i Linux/Mjukvaro-sektionen men det gäller min stackars server i vilket fall.

Har en Ubuntu server med 12.04 tror jag för tillfället, möjligen om det finns någon senare så har jag det, på denna är OpenVPN server installerat. Har konfigurerat den enligt konstens alla regler, hoppas jag, men lyckas inte få routingen att fungera.

Klienten (Windows 7 PC vid testtillfället) lyckas ansluta via OpenVPN GUI klienten och får IP men den får ingen default gateway och använder sig endast av standard gateway som jag får från min interna DHCP. (Linux servern sitter på en egen publik adress)
Har även dykt upp ett problem med att starta servern, den verkar oförmögen att sätta en IP-adress till tap0 interfacet, detta gick bra tidigare men nu har det slutat fungera. Om jag kommenterar bort local 192.168.x.x adressen i konfigen för servern så startar den iaf.

Om jag inte kommenterar bort den raden så blir det så här:

Thu Sep 13 15:02:04 2012 TCP/UDP: Socket bind failed on local address [AF_INET]192.168.33.34:1194: Cannot assign requested address
Thu Sep 13 15:02:04 2012 Exiting

Jag har väl lyckats klura ut att man får "pusha" ut inställningarna från OpenVPN servern och tvinga den virtuella adaptern på klienten att köra på den istället.

Har även, vad jag tror iaf, lyckats brygga tap0 och eth3 för att kunna komma vidare ut på internet.

Skulle väldigt gärna vilja ha lite assistans med att få liv i liket. Har googlat runt i timmar men inte lyckats lösa det fullt ut, någon som har något att komma med?
Om så önskas så skickar jag in konfig filerna också så ni kan dubbelkolla.

[Desk] 4670K (@ 4.2) : MSI 780 OC : VENGEANCE 16GB RAM : Samsung 840 Evo 250GB+2x4TB HDD
[Server] Prodigy - Xeon E3-1260L - Asus P8H67-I B3 : 8GB RAM : Win 2012 Server
[Gallerier]: M-ITX HTPC - M-ITX Server(Bitfenix Prodigy) - M-ITX Desktop - Old: Server / HTPC

Trädvy Permalänk
Medlem
Plats
Växjö
Registrerad
Sep 2002

Ska du köra routat openvpn måste du köra med TUN interfaces.

Såhär ser min konfig ut ifall det hjälper:

port 1194 # change this to whatever you need it to be proto udp # tcp or udp, never use both in the same config dev tun #routed VPN # Certificates ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key # This file should be kept secret dh /etc/openvpn/easy-rsa/keys/dh1024.pem tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0 # Server settings server 192.168.14.0 255.255.255.0 # Default VPN ip range. push "route 192.168.13.0 255.255.255.0" push "route 192.168.12.0 255.255.255.0" push "dhcp-option DNS 192.168.14.1" # Allow clients to see eachother client-to-client # Reduce the OpenVPN daemon's privileges user nobody group nogroup persist-key persist-tun keepalive 10 120

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2006

Hej!

På serversidan kör jag med "Custom options" för att få detta att fungera.

Läser från telefonen så syntaxen kan blir lite fel....

push "route 192.168.1.0 255.255.255.0"; chipper AES-256-CBC

Den första biten tvingar klienten till rätt gateway och det sista bestämmer vilken kryptering som ska användas för anslutning.

mvh
zonar

C2D E6300 @ 3.2HGz 1.2V | Thermalright 120 Extr. | Gainward 8800 GT Golden Sample |Samsung 2x500Gb | Corsair VX 550V | Antec P182 [img]http://valid.x86-secret.com/cache/banner/421648.png[/img]

Trädvy Permalänk
Medlem
Plats
Norrland
Registrerad
Aug 2004
Skrivet av =JoNaZ=:

Ska du köra routat openvpn måste du köra med TUN interfaces.

Såhär ser min konfig ut ifall det hjälper:

port 1194 # change this to whatever you need it to be proto udp # tcp or udp, never use both in the same config dev tun #routed VPN # Certificates ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key # This file should be kept secret dh /etc/openvpn/easy-rsa/keys/dh1024.pem tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0 # Server settings server 192.168.14.0 255.255.255.0 # Default VPN ip range. push "route 192.168.13.0 255.255.255.0" push "route 192.168.12.0 255.255.255.0" push "dhcp-option DNS 192.168.14.1" # Allow clients to see eachother client-to-client # Reduce the OpenVPN daemon's privileges user nobody group nogroup persist-key persist-tun keepalive 10 120

Uppskattar att du visar konfen!
Men då måste jag ha läst fel, för guiden jag följde föreslog tap om jag skulle köra all trafik osv genom VPN servern. Är det bara brygga mellan ethX och tunX istället då eller hur gör man då? (Byta i bridge-konfigen?) Eller måste jag brygga på ett helt annat sätt?

Nedan är min nuvarande server.conf som är, likt klienten, tagen från en guide jag hittade på Unbutu forumet. Som ni kan se så är just nu local bortkommenterad, för den vill inte starta längre när jag har den raden med.

#local 192.168.33.34 port 1194 proto udp dev tap0 ca /etc/openvpn/ca.crt cert /etc/openvpn/server.crt key /etc/openvpn/server.key dh /etc/openvpn/dh2048.pem tls-auth ta.key0 ifconfig-pool-persist ipp.txt push "route 192.168.66.0 255.255.255.0" # client-to-client server-bridge 192.168.33.34 255.255.255.0 192.168.33.50 192.168.33.60 keepalive 10 60 ping-timer-rem persist-tun persist-key cipher BF-CBC push "redirect-gateway def1" comp-lzo status openvpn-status.log log openvpn.log verb 3

Skrivet av zonar:

Hej!

På serversidan kör jag med "Custom options" för att få detta att fungera.

Läser från telefonen så syntaxen kan blir lite fel....

push "route 192.168.1.0 255.255.255.0"; chipper AES-256-CBC

Den första biten tvingar klienten till rätt gateway och det sista bestämmer vilken kryptering som ska användas för anslutning.

mvh
zonar

Ok, det jag pushar ut bör då vara IP´t för serverns tunnel interface? E.g. tun0/tap0?
Skulle vara jätteintressant att se fler av andras konfigurationer för att se hur en fungerande sådan skall se ut då min uppenbarligen inte fungera.

[Desk] 4670K (@ 4.2) : MSI 780 OC : VENGEANCE 16GB RAM : Samsung 840 Evo 250GB+2x4TB HDD
[Server] Prodigy - Xeon E3-1260L - Asus P8H67-I B3 : 8GB RAM : Win 2012 Server
[Gallerier]: M-ITX HTPC - M-ITX Server(Bitfenix Prodigy) - M-ITX Desktop - Old: Server / HTPC

Trädvy Permalänk
Medlem
Plats
Växjö
Registrerad
Sep 2002

tap interface är lager2. Dvs INGEN routing. Det hjälper inte om du pushar ut rötter då

Jag rekomenderar att du använder tun för då behöver du inte brygga saker utan bara se ett att routa mellan näten.

Min konfig förutsätter att eventuella iptables regler tillåter access mellan näten på din server samt att du har satt på ip forwarding.

Trädvy Permalänk
Medlem
Plats
Norrland
Registrerad
Aug 2004
Skrivet av =JoNaZ=:

tap interface är lager2. Dvs INGEN routing. Det hjälper inte om du pushar ut rötter då

Jag rekomenderar att du använder tun för då behöver du inte brygga saker utan bara se ett att routa mellan näten.

Min konfig förutsätter att eventuella iptables regler tillåter access mellan näten på din server samt att du har satt på ip forwarding.

Just nu har jag nedan regler för bryggningen:

iptables -A INPUT -i tap0 -j ACCEPT
iptables -A FORWARD -i tap0 -j ACCEPT
iptables -A INPUT -i br0 -j ACCEPT
iptables -A FORWARD -i br0 -j ACCEPT

Men om jag ska köra tun så får jag väl ändra på den biten. Tror jag ska riva hela härligheten och börja om och köra med tun samt hoppas att iptables inte ställer till det för mig. :/

[Desk] 4670K (@ 4.2) : MSI 780 OC : VENGEANCE 16GB RAM : Samsung 840 Evo 250GB+2x4TB HDD
[Server] Prodigy - Xeon E3-1260L - Asus P8H67-I B3 : 8GB RAM : Win 2012 Server
[Gallerier]: M-ITX HTPC - M-ITX Server(Bitfenix Prodigy) - M-ITX Desktop - Old: Server / HTPC

Trädvy Permalänk
Medlem
Plats
Växjö
Registrerad
Sep 2002

Med tun hade detta räckt:
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT

Trädvy Permalänk
Medlem
Plats
Norrland
Registrerad
Aug 2004

Lyckats veva ihop detta nu, kan ansluta och göra det jag vill så att säga via tunneln, men jag är lite osäker på prestandan. Är det att förvänta sig att man endast får en 10-20 Mbit som bäst över VPN med 128-bitars AES kryptering på en Intel Atom 330 plattform?

[Desk] 4670K (@ 4.2) : MSI 780 OC : VENGEANCE 16GB RAM : Samsung 840 Evo 250GB+2x4TB HDD
[Server] Prodigy - Xeon E3-1260L - Asus P8H67-I B3 : 8GB RAM : Win 2012 Server
[Gallerier]: M-ITX HTPC - M-ITX Server(Bitfenix Prodigy) - M-ITX Desktop - Old: Server / HTPC

Trädvy Permalänk
Medlem
Registrerad
Nov 2009
Skrivet av devour:

Lyckats veva ihop detta nu, kan ansluta och göra det jag vill så att säga via tunneln, men jag är lite osäker på prestandan. Är det att förvänta sig att man endast får en 10-20 Mbit som bäst över VPN med 128-bitars AES kryptering på en Intel Atom 330 plattform?

Gamla Intel atom har väl bara 100mbit nätverkschip av rätt dålig kvalité. I övrigt är det en rätt sketen plattform generellt. Seg CPU och max 4gb minne. Svårt att säga vad som är rimlig hastighet, och om det beror på mjukvaran eller hårdvaran.

Jag har en atom D510 hemma och den är inte så snabb heller. Jag kör inget av det som du kör på din dock så det är svårt att jämföra.

Trädvy Permalänk
Medlem
Plats
Norrland
Registrerad
Aug 2004

Funkade bra med min Xeon, gav den ett par-fyra kärnor i den virtuella maskinen så klarar den av en 50-60 Mbit ungefär. Tror inte det gör någon skillnad om jag ger den 4 eller 16 kärnor dock, tror den fick 2GB i RAM också, vilket lär räcka.

[Desk] 4670K (@ 4.2) : MSI 780 OC : VENGEANCE 16GB RAM : Samsung 840 Evo 250GB+2x4TB HDD
[Server] Prodigy - Xeon E3-1260L - Asus P8H67-I B3 : 8GB RAM : Win 2012 Server
[Gallerier]: M-ITX HTPC - M-ITX Server(Bitfenix Prodigy) - M-ITX Desktop - Old: Server / HTPC

Trädvy Permalänk
Medlem
Plats
Norrland
Registrerad
Aug 2004

Servern fungerade bra en 3-4 veckor men nu får klienterna time out efter 60 sekunder, då tappar de accessen helt och hållet, och efter 60 sekunder är det uppe igen.

Någon som har en aning om vad sådant kan bero på? Kan inte dra mig till minne något jag ändrat alls sedan det fungerade bra senast.

[Desk] 4670K (@ 4.2) : MSI 780 OC : VENGEANCE 16GB RAM : Samsung 840 Evo 250GB+2x4TB HDD
[Server] Prodigy - Xeon E3-1260L - Asus P8H67-I B3 : 8GB RAM : Win 2012 Server
[Gallerier]: M-ITX HTPC - M-ITX Server(Bitfenix Prodigy) - M-ITX Desktop - Old: Server / HTPC