私は 10.200.0.5 と 10.200.0.6 という 2 つの IP アドレスを持っており、この 2 つを OpenVPN トンネル経由で接続したいと考えています (1 つは Windows 7 PC に属し、もう 1 つは Fedora ラップトップに属しています)。内部、ネットワーク、アドレス、ゲートウェイ アドレス、サブネットのみを使用してこれを行う方法はありますか。つまり: と一切の要件なしインターネット アドレスまたはリモート接続 (ローカル ネットワークの外部のリモート接続など) 用ですか?
2018年3月5日:さらにへ重力のコメント私が抱えていた問題は、リモートディレクティブ: 静的キーミニHOWTO(https://openvpn.net/index.php/open-source/documentation/miscellaneous/78-static-key-mini-howto.html) その要件が存在し、それが問題の原因です。Linux ボックスまたは Windows PC のいずれかに解決先のローカル ドメインを作成できないと、失敗します。
ドメインを作成してローカルドメインとして解決することはまったくできませんでした(BINDが動作しているにもかかわらず)名前論理的には、解決策はローカル(ネットワーク)IPアドレスに固執することです。リモート指令ではそれが受け入れられないので、私は質問します。
2018年3月5日:フォーラムが私の更新をブロックするように設定されていなかったら、更新と最終的な解決済みの返信を投稿していただろう。「ちょっと一息」ナンセンスです。 - 3行のコードが必要で、1人の人があまり役に立たないコメントをし、フォーラムは、他の人が問題が何であるかをより明確に理解できるようにするために投稿にさらに資料を追加しようとする私の試みをブロックしました。これは、同じフォーラムで奨励し、推奨するまず第一に!! ...これはすべて、私がこれと BIND に関して抱えている、まったく基本的な初心者の問題を解決しようとしてくれる人が他に誰もいないからです。
...そして、私のような人々 (明らかに何千人もいる) は、何らかの方法で問題を解決する必要があり、誰かが問題を解決するための絶対的な基本を教えてくれれば、喜んで努力するだろうが、すでに他のあらゆるリソースを使ってみて、その資料ではまったく進展が見られなかった (私の場合もそうであるが、OpenVPN が構成オプションの一部を完全に詳細に説明していないため、最も基本的な構成でさえ機能させるのにほぼ克服できない問題が発生する可能性がある) 場合はどうだろうか。
とにかく、それはどうでもいい、これ2台のマシンをネットワークアドレスのみで接続する必要がある人のための最終的な(実用的な)ソリューションです(ドメイン構成は不要で、絶対にいいえリモートネットワークまたは例.com両方のマシンが同じサブネット上にある場合、接続は一切必要ありません。これは、OpenVPN の使用を開始しようとしている人にとって、最も簡単な接続でもあります。
設定:
1台のWindowsパソコン(Windows 7 Pro x64を実行)
Fedora 27 Server Edition ラップトップ 1 台
両方のマシンは、同じ LAN 上のルーターを介して接続されており、相互に通信できます (ポート 1194 - 別のポートに設定されていない場合)。私のセットアップでは、セキュリティを考慮し、追加の IP アドレスを提供するために、静的 IPv4 による VLAN 分離を使用していますが、追加の IP アドレスは、VLAN のないイーサネット アダプターに追加されたスタンドアロンの静的 IPv4 アドレスを通じて作成することもできます。
両方のマシンにOpenVPNがインストールされており、リポジトリバージョン(つまり: マシン上のソースからビルドされたものではなく、おいしい) を Linux ボックスにインストールする
静的キーLinux ボックスで次を使用して生成されたファイル:
openvpn --genkey --secret static.key
私の Linux ボックス上の上記のファイルは次の場所にあります:/etc/openvpn/サーバーまたはOpenVPN\configWindows マシン上のサブディレクトリ。
サンプル.ovpn[6 六]はASCIIテキストファイル(エディタとしてNotepad / Notepad++)に保存され、ないMicrosoft Word!として.ovpnOpenVPN内のファイル\configWindowsマシン上のサブディレクトリとして、.confファイル/etc/openvpn/サーバーLinux ボックス上で。
OpenVPN GUI(スタートボタン - 画面の左下にあるWindowsロゴの丸いオブジェクト - すべてのプログラム - OpenVPN)がWindowsマシンで起動され、画面の右下にあるシステムトレイに小さなアイコンが表示されます(ユーザーが見ている画面)。.ovpnログ ファイルの場合と同様に、アイコンを右クリックして選択することで、構成ファイルにアクセスして編集できるようになります。
設定ファイルは Linux ボックス上で でインスタンス化され
openvpn vpntest.conf
、Windows マシン上では上記のようにインスタンス化されます。
すべてがうまくいけば、2台のマシン間にトンネルが確立され、Windowsマシン上でCMD(コマンドライン)のインスタンスを開いて、ピンLinuxボックス。Linuxボックスでは、OpenVPNをバックグラウンドで実行できるようにするために、さらに設定を行う必要があります。ピンそうしないと、クライアントはフォアグラウンドのままになり、バックグラウンドで既に実行されているサービス以外の処理にはマシンが実質的に使用できなくなります。
観察:
Windows 側の OpenVPN は TAP アダプターを使用します。これは、構成で TAP または TUN を使用しているかどうかには影響せず、この単純な構成が機能することを妨げるものではありません。
二つifconfigIP アドレスはルーターに設定されていないため、使用を許可するためにルーターを再設定する必要はまったくありません。 - これらは、他の 2 つの 10.200.0 アドレス (10.200.0.5 と 10.200.0.6) と同じ 255.255.255.0 サブネットの一部であるため、OpenVPN は OpenVPN アダプターと DHCP を介してこれらを使用できます。
設定ファイルの名前は常識を超えた命名規則に従っていません。.ovpnWindowsマシン上のファイル拡張子と.confLinux ボックス上のファイル拡張子。
OpenVPNは非常にどのサブネットで動作するかについてうるさく、許可されているサブネットでも動作を拒否します。有効なサブネットを表示するサブネット内で連続していないアドレスを使用すると、接続試行が失敗する可能性が高くなります。
気づくファイアウォールそしてSELinux。SELinuxはsatanforceで再起動するまで制御できますが、setenforce 許可、そしてその/etc/selinux .confファイル。ルーター上ではファイアウォールとアンチスプーフィング保護が問題なく動作しており、Windows マシン上のソフトウェア ファイアウォール、リモート VPN 接続、Linux マシンへの時折の SSH 接続も問題なく動作しています。これらはすべて、問題なく共存しています。
VLAN 構成には、ルーターの初期構成に続いて、Windows のデフォルト ネットワーク アダプターによる構成が含まれる場合があります。Windows 7 はタグ付き VLAN に対応していないため、タグなしの VLAN0 が必要になる場合があります。また、タグ付き VLAN1 の初期作成に続いて、ネットワーク アダプター側にタグなしの VLAN0 を追加できる可能性も高くなります。これは Intel アダプターに当てはまり、ルーターの VLAN 構成に続いて、Windows をルーターのタグなしポートに接続する必要があります。
FedoraボックスではFedora 管理者ガイドVLAN の作成について説明します。一部はややあいまいですが、注意深く従えば最終結果は機能し、タグ付き VLAN でも機能します。
サンプル.ovpn:
dev tun
remote 10.200.0.6
ifconfig 10.200.0.1 10.200.0.2
secret static.key
cipher AES-256-CBC
persist-tun
persist-key
設定ファイル
dev tun
remote 10.200.0.5
ifconfig 10.200.0.2 10.200.0.1
user nobody
group nobody
secret static.key
cipher AES-256-CBC
persist-tun
persist-key
サンプル.log
Tue Mar 06 00:34:27 2018 disabling NCP mode (--ncp-disable) because not in P2MP client or server mode
Tue Mar 06 00:34:27 2018 OpenVPN 2.4.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Sep 26 2017
Tue Mar 06 00:34:27 2018 Windows version 6.1 (Windows 7) 64bit
Tue Mar 06 00:34:27 2018 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10
Enter Management Password:
Tue Mar 06 00:34:27 2018 open_tun
Tue Mar 06 00:34:27 2018 TAP-WIN32 device [Local Area Connection 6] opened: \\.\Global\{B1A13B50-22A1-48D4-980B-7105480DBA9B}.tap
Tue Mar 06 00:34:27 2018 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.200.0.1/255.255.255.252 on interface {B1A13B50-22A1-48D4-980B-7105480DBA9B} [DHCP-serv: 10.200.0.2, lease-time: 31536000]
Tue Mar 06 00:34:27 2018 Successful ARP Flush on interface [15] {B1A13B50-22A1-48D4-980B-7105480DBA9B}
Tue Mar 06 00:34:27 2018 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Tue Mar 06 00:34:27 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]10.200.0.6:1194
Tue Mar 06 00:34:27 2018 UDP link local (bound): [AF_INET][undef]:1194
Tue Mar 06 00:34:27 2018 UDP link remote: [AF_INET]10.200.0.6:1194
Tue Mar 06 00:34:36 2018 Peer Connection Initiated with [AF_INET]10.200.0.6:1194
Tue Mar 06 00:34:41 2018 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue Mar 06 00:34:41 2018 Initialization Sequence Completed
答え1
はい。OpenVPNにはだろう何らかのインターネット アクセスは必要ありません。これは「クラウド サービス」などではありません。