Linux за българи: Форуми

Linux секция за начинаещи => Настройка на хардуер => Темата е започната от: HQ в Nov 16, 2018, 09:34



Титла: openvpn сървър в къщи как?
Публикувано от: HQ в Nov 16, 2018, 09:34
Здравейте, отдавна спрях редовните си посещения в този форум но нещата се променят . [_]3
Искам съдействие за един проект да си направя VPN сървър в къщи към който да конектвам телефона и компютъра когато съм например в чужбина за по-голяма сигурност,да имам достъп до домашния сървър и за някой торент от време навреме.
Имам рутер с DD-WRT специално флашнах фирмуера с openvpn поддръжка, домашния сървър е с freebsd 12 stable. Инструкциите за инстал и настройка на впн-и са яко стари и объркващи. Опитвах с инстал на впн на сървъра, но за жалост компилирането на openvpn спира посредата заради омазаната 10 годишна инсталация, която смятам да преинсталирам начисто ако се налага но всичките други неща работят owncloud,samba,transmission-web,virtualbox-headless ... доста време ще ми е необходимо. После реших рутера да е впн сървър но туториалите които намирам са объркани, правени за стари версии на DD-WRT.
Доколкото разбирам основното е да се генерират сертификатите и ключовете. Другото което искам е след като се конектна с машина отвън, всичкия трафик от машината да се прехвърля през впн-а, машината да има достъп до вътрешната мрежа и да получава айпи от DHCP-то за да виждам машините във вътрешната мрежа.
DHCP-то раздава айпита от 192.168.100.100 до 192.168.100.150, сървъра е 192.168.100.110 и например за машини конектнати през впн-а да се заделят от 130-150то айпи.
ето един скрийншот на openvpn от рутера (https://thumb.ibb.co/kswZqL/vpn.jpg) ($2)
кое е по-удачно TAP или TUN?
всяка помощ ще е полезна!
Благодаря!


Титла: Re: openvpn сървър в къщи как?
Публикувано от: Yasen6275 в Nov 16, 2018, 09:41
Не се занимавай с глупости.

Вземи сложи OpenWRT на рутера и си пусни wireguard. По-лесно за настройки и по-производително от OpenVPN. Ако лаптопа ти не е с Linux, ще трябва да си вземеш нещо някакво такова ($2).


Титла: Re: openvpn сървър в къщи как?
Публикувано от: HQ в Nov 16, 2018, 09:42
мъчих се да генерирам сертификати по този туториал, стана мазало : https://forums.freebsd.org/threads/openvpn-server.60117/
явно не всичките полета са нужни но не е ясно кое къде да се слага  >:(
(https://thumb.ibb.co/j6dsc0/vpn2.jpg) ($2)


Титла: Re: openvpn сървър в къщи как?
Публикувано от: HQ в Nov 16, 2018, 09:47
Yasen6275, това предполагам може да се прикачи на dd-wrt.
Мисля че операционната система на клиентската машина не е от значение, стане ли впн-а ще трябва да може да се конектне всяка ос.
Едната е с уин7 другата е мак и телефон с андридиот. >:D


Титла: Re: openvpn сървър в къщи как?
Публикувано от: laskov в Nov 16, 2018, 11:39
мъчих се да генерирам сертификати по този туториал, стана мазало : https://forums.freebsd.org/threads/openvpn-server.60117/
В OpenVPN имаше EasyRSA, но май го отделиха като отделен проект. С него става лесно.

Още по-лесно е със споделен ключ, а не със сертификати. Според мен сертификатите са най-полезни, когато ги раздаваш на разни хора за вход във VPN-а, но в даден момент решиш да спреш достъпа на някого.


Титла: Re: openvpn сървър в къщи как?
Публикувано от: HQ в Nov 16, 2018, 13:15
добре, как да го генерирам и къде да го пейстна?
уиндоуса ми иска юзърнейм и парола, къде да му сложа ключа?


Титла: Re: openvpn сървър в къщи как?
Публикувано от: Yasen6275 в Nov 16, 2018, 13:26
Yasen6275, това предполагам може да се прикачи на dd-wrt.
Мисля че операционната система на клиентската машина не е от значение, стане ли впн-а ще трябва да може да се конектне всяка ос.
Едната е с уин7 другата е мак и телефон с андридиот. >:D
Не знам. С dd-wrt отдавна съм отказал да се занимавам. За wireguard има значение клиентската машина. За сега със сигурност няма клиенти за windows, и съм почти сигурен че няма и за мак. За андроид мисля че имаше, ма то си е вид Линукс.


Титла: Re: openvpn сървър в къщи как?
Публикувано от: HQ в Nov 16, 2018, 13:33
ако ще е така не върши работа, много бърз и т.н. ама не мога да го ползвам ...

openvpn-а мисля че не би трябвало да е толкова сложен пък и не очаквам чудеса относно скорост и сигурност. Ще се ползва на лични машини за елементарни нужди.


Титла: Re: openvpn сървър в къщи как?
Публикувано от: nslave в Nov 16, 2018, 14:10
На dd-wrt не съм се опитвал да го подкарам и не мога да дам точни съвети. Ако искаш да те вкара в същата мрежа като останалите машини, трябва да се използва Tap. По този начин ще те вкара в bridge все едно си в локалната мрежа с другите. Поне преди беше необходимо да е root-нат Android-a за да може да се случи това, не знам какво е състоянието в момента. Tun не съм пробвал да правя, но от това което разбирам, няма да те вкара в локалният сегмент, а ще използваш рутиране за да стигнеш до мрежовите сегментите, които искаш да ползваш.

И в двата варианта би трябвало да можеш да си прекараш интернета през тунела. Вече зависи сървъра и клиента дали ще поддържат да може сървъра да прати route-овете до мрежите, които са достъпни през vpn-a. С mikrotik и windows клиенти има известни проблеми в това отношение. Ако не поддържат такива неща, ще трябва да си играеш най-вероятно ръчно да му казваш интернет-a да минава през vpn-a и ще е хубаво да не си взимаш dns от мрежата към която си закачен, защото така dns заявките няма да минават през тунела. Бе в общи линии си е малко филм :)

Преди поне с EasyRSA и Mikrotik имах проблем като задам passphrase на сертификата. Без такъв всичко заспиваше :)

Edit: Сега прегледах едни стари записки и съм си написал - "Ако при създаването на ключа възникне грешка, че липсва някакъв файл, трябва повторно да се направи опит да се създаде ключа, като полето Organizational unit name, трябва да е с различна стойност от тази на CA ключа."


Титла: Re: openvpn сървър в къщи как?
Публикувано от: laskov в Nov 16, 2018, 16:00

Преди поне с EasyRSA и Mikrotik имах проблем като задам passphrase на сертификата. Без такъв всичко заспиваше :)

Парола не се задава, понеже при всяко свързване ще я иска, а на необслужваемо устройство няма как и кой да я въведе в конзолата.


Титла: Re: openvpn сървър в къщи как?
Публикувано от: HQ в Nov 16, 2018, 16:59
открих подходящо упътване - https://www.sparklabs.com/support/kb/article/setting-up-an-openvpn-server-with-dd-wrt-and-viscosity/

всичко точно, изпълнявам 1:1, не ми е ясно с този примерен DNS 10.8.0.1 дали не забозвам или трябва да въведа друг но не работи . В рутера на статус седи така :
Код:
State
Server: Local Address:
Remote Address:
няма индикация че работи, сякаш порт 1194 не е отворен ?! изтеглих го тоя Viscosity, изглежда читав софтуер, вкарвам конекцията както трябва и седи на connecting ... с часове  >:(


Титла: Re: openvpn сървър в къщи как?
Публикувано от: nslave в Nov 16, 2018, 17:45
A пакети удрят ли се в това правило?
iptables -I INPUT -p udp --dport=1194 -j ACCEPT

За този адрес 10.8.0.1 и мен малко ме обърква, защото не виждам никъде да е оказан в конфигурацията на сървъра. Дали не трябва да се зададе на този tun интерфейс?


Титла: Re: openvpn сървър в къщи как?
Публикувано от: HQ в Nov 16, 2018, 18:31
как да разбера какво се удря NMAP:
nmap -sU 46.10.$$$.%%% 2>&1
Starting Nmap 7.70 ( https://nmap.org ) at 2018-11-16 17:53 EET
Nmap scan report for 46-10-@@@-€€€.btc-net.bg (46.10.
Host is up (0.0049s latency).
Not shown: 998 closed ports
PORT   STATE         SERVICE
53/udp open          domain
67/udp open|filtered dhcps



Титла: Re: openvpn сървър в къщи как?
Публикувано от: nslave в Nov 16, 2018, 19:20
Принципно на самият рутер може да видиш в изхода на:
iptables -L -v -n

Има поле pkts и bytes преди правилата. Ако броячите там са 0, значи не стигаш до там.

От nmap-a ти започвам да си мисля, че рутера ти е зад виваком-ско нещо и има NAT. Ако публичният адрес на виваком не е на рутера на който е vpn сървъра, ще трябва от mycontact или както беше портала на виваком, да си пренаочиш порт 1194 към адреса на рутера.


Титла: Re: openvpn сървър в къщи как?
Публикувано от: HQ в Nov 16, 2018, 19:45
ето това е от рутера:
root@HQc:~# iptables -L -v -n |grep 1194
  136  5712 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:1194


Титла: Re: openvpn сървър в къщи как?
Публикувано от: HQ в Nov 16, 2018, 19:54
или освен нарочно да са заключили този порт по някаква причина, пускал съм какви ли не сървиси навън, всичко си работи, реално айпи на рутера и форуард на портовете които ми трябват.
всичко без това, но все пак си мисля че другаде е проблема

в mу.contact.bg няма пренасочване на портове, задавам мак адреса на WAN на рутера и рутера на DHCP на WAN (ех че страхотно го казах)


Титла: Re: openvpn сървър в къщи как?
Публикувано от: nslave в Nov 16, 2018, 20:21
Странното ми е, че iptables отчита нещо на това правило, а nmap не го показва като отворен порт. Хм, всъщност то ще отчита ако се мъчиш и от вътре нещо да се свържеш на тоя порт, тъй че може да не е много меродавен този вариант.

Сега попаднах на това:
Код
GeSHi (Bash):
  1. echo -e "\x38\x01\x00\x00\x00\x00\x00\x00\x00" | timeout 10 nc -u openvpnserver.com 1194 | cat -v
което трябвало да ти върне
Код
GeSHi (Bash):
  1. @$M-^HM--LdM-t|M-^X^@^@^@^@^@@$M-^HM--LdM-t|M-^X^@^@^@^@^@@$M-^HM--LdM-t|M-^X...

Нямам идея какво е това, но в serverfault твърдят, че ако се случи, значи нещо слуша и отговаря. Това важало обаче само когато не е активирана опцията tls-auth на сървъра, но така като гледам от инструкцията, която следваш.. не е. Та, трябва да ти върне това ако сървъра слуша там.

Относно съмнението да не би да блокират конкретно този порт нещо, винаги можеш да го смениш и да го използваш на друг.


Титла: Re: openvpn сървър в къщи как?
Публикувано от: laskov в Nov 16, 2018, 21:18
verb 5 в конфиг файла или като параметър в командния ред на клиента и на сървъра ще ти помогне да разбереш какво се случва.

Досега не ми се е случвало някой доставчик да филтрира udp на 1194


Титла: Re: openvpn сървър в къщи как?
Публикувано от: HQ в Nov 17, 2018, 14:11
не, TLS Auth Key не съм въвел, не го намирам из туториала да го споменават.
ако е това, как да го генерирам?


Титла: Re: openvpn сървър в къщи как?
Публикувано от: n00b в Nov 18, 2018, 12:10
WireGuard ИМА клиент за Мак! В момента има и бета и на iOS:
https://www.wireguard.com/install/


Титла: Re: openvpn сървър в къщи как?
Публикувано от: HQ в Nov 19, 2018, 14:42
добре, изглежда клиенти на wireguard има за всички ос, опитвам се да го подкарам на сървъра но никъде хауту ...
трябват ми командите за FreeBSD, нямам команди ip и iptables


Титла: Re: openvpn сървър в къщи как?
Публикувано от: HQ в Nov 20, 2018, 08:45
някой? никой? ::)


Титла: Re: openvpn сървър в къщи как?
Публикувано от: laskov в Nov 20, 2018, 09:18
Никой, никой ... не знае какво точно правиш и докъде си стигнал.


Титла: Re: openvpn сървър в къщи как?
Публикувано от: makeme в Nov 20, 2018, 10:45
Никой, никой ... не знае какво точно правиш и докъде си стигнал.
Аз май знам   ;D

Колега , @HQ, преди години се опитвах да направя същото с DD-WRT и не успях. Изчел съм всички туториали и въпреки това не се получи. Следя темата за да видя дали ти ще успееш, но явно не работи като хората това.

Лично аз се отказах и като решение си инсталирах това:
https://www.blaize.net/2017/04/a-simple-openvpn-server-with-a-web-interface/

Вдигаш си една мизерна виртуалка с чиста система и инсталираш. Пренасочваш си порта и си готов. От уеб интерфейса (във вътрешната мрежа) си генерираш файлчетата и си ги слагаш на уиндоус, мак, линукс и на каквото си пожелаеш.
По този начин не си товариш и рутера (моите са не професионални).

Ако все пак успееш да подкараш DD-WRT-то, моля пиши.


Титла: Re: openvpn сървър в къщи как?
Публикувано от: 4096bits в Nov 20, 2018, 11:04
Ами един приятел си го е направил на Pi-то. OpenVPN.

Доста си блъска главата по едно време. Дори съм задавал въпроси тук, от негово име. Освен да му кажа да опише, какво е направил.


Титла: Re: openvpn сървър в къщи как?
Публикувано от: makeme в Nov 20, 2018, 11:15
Ами един приятел си го е направил на Pi-то. OpenVPN.

Доста си блъска главата по едно време. Дори съм задавал въпроси тук, от негово име. Освен да му кажа да опише, какво е направил.
На отделна машина, без уеб интерфейс е по-лесно. Всеки туториал от рода:
https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-ubuntu-16-04
Ти върши работа и работи с леко пипване и разбиране.

ПП: Дори сега като го погледнах си спомних, че за линукс това беше нужно винаги да го направиш (имаше разлика за уин и линукс при генерирането):

Цитат
Uncomment the three lines we placed in to adjust the DNS settings if you were able to find an update-resolv-conf file:
client1.ovpn

script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

If you are using CentOS, change the group from nogroup to nobody to match the distribution's available groups:
client1.ovpn

group nobody


Титла: Re: openvpn сървър в къщи как?
Публикувано от: Stancho_25 в Nov 20, 2018, 21:19
Ами един приятел си го е направил на Pi-то. OpenVPN.

Доста си блъска главата по едно време. Дори съм задавал въпроси тук, от негово име. Освен да му кажа да опише, какво е направил.

Сега на Pi-то става по следния начин

Код:
curl -L https://install.pivpn.io | bash

и следваш инструкциите в терминала.

За повече инфо: http://www.pivpn.io/


Титла: Re: openvpn сървър в къщи как?
Публикувано от: HQ в Nov 26, 2018, 18:22
Интересно!
За пробата хванах един стар семпрон с 2гб рам, инсталирах дебиан без гуи и по указанията
Код:
https://www.blaize.net/2017/04/a-simple-openvpn-server-with-a-web-interface/
след 15 мин имах работещ впн със всички екстри а сигурно се мъча от месец...
Имам няколко въпроса:
Изглежда надежден, дори по-бърз от очакванията ми. Все пак скоростта ще е от значение така че какъв ще е ботълнека ако го пусна на виртуална машина на домашния сървър
(Xeon L5420 4GB ddr2 2x1TB RAIDZ mirror)? Смятам да прекомпилирам доста оглозгано ядро и минимални пакети и да му дам 2 ядра и 2гб рам и 32bit дебиан?
Мога ли да засиля енкрипшъна все пак след време ако реша и сигурен ли е дефолтния?
Благодаря !


Титла: Re: openvpn сървър в къщи как?
Публикувано от: HQ в Nov 30, 2018, 14:12
Абе хора, инсталирах го на виртуалка, работи! Обаче уеб интерфейса работи само един ден и вече не тръгва, lighttpd е стартиран, порт 445 е отворен но интерфейса го няма. Така ли трябва?