Toon posts:

OpenVPN VPN Gateway maken

Pagina: 1
Acties:
  • 198 views sinds 30-01-2008
  • Reageer

maandag 4 september 2006 11:58

Acties:

Verwijderd

Topicstarter
Momenteel voeren wij (team van ongeveer 10 mensen) server beheer uit voor zowel Linux als Windows. Dit gebeurd voor als nog altijd via onze centrale SDSL lijn omdat we op veel beheer systemen op IP basis toegang hebben tot SSH / Remote Desktop etc.

Gezien veel beheerders ook vanaf huis werkzaamheden willen doen, hebben we vooralsnog gebruik gemaakt van Dante (Socks5) proxy om zo onze werknemers vanaf huis via het centrale IP te laten werken. Echter met meer dan 5 gebruikers wordt Dante / Socks5 niet erg stabiel.

Voor verdere groei, hebben wij een colocate server met een 100 mbit verbinding waar wij nu graag een centrale VPN server van willen maken zodat al het internet verkeer over deze colocate lijn gaat. Dit geeft voldoende snelheid voor > 10 werknemers, en een centraal IP. Tevens is dan in tegenstelling tot Socks5 de verbinding naar de centrale server encrypted.

Nu is onze keuze in eerste instantie gevallen op OpenVPN gezien de client voor Linux / Windows / MacOS beschikbaar is.

Graag willen wij dus ook dat wanneer een VPN Client (werknemer) is verbonden al het verkeer via de VPN Gateway wordt behandeld (zoals SSH/FTP/RDP, etc).

Nu hebben we op de centrale server een mooi extra IPtje toegekend aan eth0, met een reverse dns entry. Graag willen wij dus dat al het VPN (in/out) dus via dat extra toegekende IP gaat lopen. Ter voorbeeld is dit IP: 85.1.2.3

Zijn hier mensen die mij op weg kunnen helpen met de configuratie van client en server? Alle gevonden configuraties en artikelen gaan uit van een private netwerk waar de openvpn server draait, terwijl in mijn situatie de openvpn deamon juist al op een public ip draait.

PS; Ik ben bezig geweest met diverse configuraties, echter zijn deze allen niet werkend om openvpn succesvol te starten.

maandag 4 september 2006 13:47

Acties:
  • daft_dutch
  • Registratie: December 2003
  • Laatst online: 02-12-2025

daft_dutch

>.< >.< >.< >.<

http://www.poptop.org/

compatible met ms-chap2 wat de mac ook al was. dus je kan gewoon een linux/windows vpn servertje maken.

>.< >.< >.< >.<

maandag 4 september 2006 19:36

Acties:

Verwijderd

Topicstarter
daft_dutch schreef op maandag 04 september 2006 @ 13:47:
http://www.poptop.org/

compatible met ms-chap2 wat de mac ook al was. dus je kan gewoon een linux/windows vpn servertje maken.
OpenVPN sprak mij in eerste instantie aan omdat hiervoor geen kernel modules/opties (enkel dat er Tun ondersteund moet worden, wat al beschikbaar is in deze kernel) beschikbaar zijn. Ik heb in mijn kernel geen PPPT zaken enabled waardoor helaas poptop geen optie is voor mij.

Zijn hier gebruikers die mij met een OpenVPN oplossing verder kunnen helpen, of een ander VPN deamon pakket kunnen aanbevelen welke slechts beperkte kernel aanpassingen nodig heeft?

maandag 4 september 2006 19:47

Acties:
  • Andre_J
  • Registratie: September 2005
  • Laatst online: 23:08

Andre_J

IpCop heeft een Openvpn plugin.
Is een open source firewall werkt perfect.

Suc6

maandag 4 september 2006 22:19

Acties:

Verwijderd

Topicstarter
the_nowhereman schreef op maandag 04 september 2006 @ 19:47:
IpCop heeft een Openvpn plugin.
Is een open source firewall werkt perfect.

Suc6
CAUTION: When you install IPCop on a PC, the hard drive will be formatted and all data on it will be lost.

Niet echt de meest practische oplossing voor een colocate server waar web/mail draait om dat door het installeren van IPCop om te gooien.

dinsdag 5 september 2006 14:39

Acties:
  • Andre_J
  • Registratie: September 2005
  • Laatst online: 23:08

Andre_J

dat klopt !

Wat ik ook bedoel een simpele oude pc als ipcop bakkie gebruiken !

dinsdag 5 september 2006 20:59

Acties:
  • axis
  • Registratie: Juni 2000
  • Laatst online: 26-01-2023

axis

Ik zou niet beginnen aan pakketten die openvpn plugins hebben, nergens voor nodig.. Zelf heb ik een aantal openvpn servers en clients draaien, en dat draait geweldig. Ik ben erg tevreden over openvpn, en gebruik de client vanaf mijn mac en pc om remote management te doen, en ik gebruik openvpn ook om verschillende datacentra met elkaar te verbinden..

Een van de grote voordelen van openvpn is dat je één enkele udp of tcp poort nodig hebt, die je in principe door elke router of firewall heen krijgt. In tegenstelling tot de diverse ipsec protocollen en pptp, waar je meestal meerdere poorten en/of ip protocollen moet doormappen, met alle problemen van dien.

Een klein nadeeltje is dat je een beetje moet leren of door moet hebben hoe certificates werken, als je dat nog niet weet.. Je kunt zelf certificaten genereren op je windows machines, kopen, of via de handleiding met openssl op je openvpn doos genereren.. Wat jij wilt..

OpenVPN is op zich erg simpel. Ik zou zelf een dedicated machientje neerzetten, met een enkele netwerkkaart, en openvpn in bridged mode. Een simpele pentium zou al genoeg zijn.. Heb zelf debian machines draaien (virtuele machines in mijn geval), en met apt-get install openvpn ben je al een eind op weg ;)

Wat belangrijk is, is dat je goed de handleiding doorleest op de site, en het verschil probeert te begrijpen tussen bridged en routed mode.. De handleiding neigt naar routed mode, ik neig zelf naar bridged mode, wat ik ook gewend was met m'n microsoft pptp servertje.. Maar het verschil is zodanig dat je netwerkplaatje er heeel anders uitziet.

Als ik jou was, maak eens in visio een mooi netwerkdiagrammatje, met de verschillende lokaties, de subnetten, remote locaties, firewalls, waar je de openvpn server neer wilt zetten, etc..

[ Voor 8% gewijzigd door axis op 05-09-2006 21:01 ]

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

woensdag 6 september 2006 09:35

Acties:
  • Zwerver
  • Registratie: Februari 2001
  • Niet online

Zwerver

En om dan toch maar even een voorbeeld config te geven :P

proto udp
dev tap0
port 1195
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
server 10.1.0.0.1 255.255.255.0
keepalive 10 120
mtu-test
tun-mtu 1500
user nobody
group nogroup
comp-lzo
persist-key
persist-tun
verb 3
mute 20
log-append /var/log/openvpn.log
client-to-client
client-config-dir /etc/openvpn/ccd

Zoals je ziet heb ik de server op een afwijkend portnr gezet.


De client:

dev tap0
client
nobind
ca /etc/openvpn_certs/ca.crt
cert /etc/openvpn_certs/client.crt
key /etc/openvpn_certs/client.key
dh /etc/openvpn_certs/dh1024.pem
remote publicipadressvandeserver
mtu-test
log-append /var/log/openvpn.log
user nobody
group nogroup
mute 3
comp-lzo
persist-key


Dit zou zo, als je de keys en certs gemaakt heb, out off the box moeten werken :)

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

woensdag 6 september 2006 10:12

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 22-01 08:08

TrailBlazer

Karnemelk FTW

volgens mij moet je dan nog je tap device een ip adres toekennen.

woensdag 6 september 2006 11:54

Acties:
  • axis
  • Registratie: Juni 2000
  • Laatst online: 26-01-2023

axis

TrailBlazer schreef op woensdag 06 september 2006 @ 10:12:
volgens mij moet je dan nog je tap device een ip adres toekennen.
Kan, je kunt al dit soort settings (ook andere dhcp options) pushen naar je clients, ook op individuele basis per client, met een client-config-dir.. Werkt erg makkelijk!

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

woensdag 6 september 2006 12:49

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 22-01 08:08

TrailBlazer

Karnemelk FTW

ja dat weet ik alleen dat staat niet in het voorbeeld van zwerver

woensdag 6 september 2006 13:18

Acties:
  • Zwerver
  • Registratie: Februari 2001
  • Niet online

Zwerver

TrailBlazer schreef op woensdag 06 september 2006 @ 12:49:
ja dat weet ik alleen dat staat niet in het voorbeeld van zwerver
Ik zie toch echt een client-config-dir directive staan in mijn serverconfig ;) Overigens staat er wel een andere fout in, maar die is niet zo boeiend :P

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

woensdag 6 september 2006 17:46

Acties:
  • axis
  • Registratie: Juni 2000
  • Laatst online: 26-01-2023

axis

Ik wacht vooral op vragen of opmerkingen van de TS.. Denk je dat we je overtuigd hebben, of moeten we nog even doorgaan?

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

zaterdag 9 september 2006 11:30

Acties:

Verwijderd

Topicstarter
Sorry voor de late reactie , ben namelijk even offline geweest door een mislukte firmware update van mijn router die voor veel problemen zorgde met VPN.

Ben verder gegaan met het idee van daft_dutch voor PPTPD op Linux wat al een heel eind op weg is , maar nog enkel wat route issues mee zijn.

Gezien dit afwijkt van het geen waar dit topic in eerste instantie over gaat (OpenVPN) zal ik hiervoor een afzonderlijk topic starten.

Verder heb ik de config getest van Zwerver, en werkt hier lokaal prima, bedankt voor de suggestie!

zaterdag 9 september 2006 17:35

Acties:
  • axis
  • Registratie: Juni 2000
  • Laatst online: 26-01-2023

axis

Ben ook met PPTPD bezig geweest, ik zie het best gebeuren dat je toch nog een keer overstapt op OpenVPN, wegens bovengenoemde voordelen.. Dan zien we je hier wel terug >:)

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq