Ich habe zwei IP-Adressen: 10.200.0.5 und 10.200.0.6 und möchte die beiden über einen OpenVPN-Tunnel verbinden (eine gehört zu einem Windows 7-PC, die andere zu einem Fedora-Laptop). Gibt es eine Möglichkeit, dies nur mit den internen, Netzwerk-, Adressen, der Gateway-Adresse und dem Subnetz zu tun?dh: mitkeinerlei Anforderungfür eine Internetadresse oder Remoteverbindung (also eine Remoteverbindung außerhalb meines lokalen Netzwerks)?
05.03.2018:weiterSchwerkraft's Kommentar muss ich erklären, dass das Problem, das ich hatte, mit demFernbedienungDirektive: sogar im Static Key Mini-HOWTO (https://openvpn.net/index.php/open-source/documentation/miscellaneous/78-static-key-mini-howto.html) diese Voraussetzung besteht und genau das verursacht das Problem, denn wenn ich nicht auf meiner Linux-Box oder meinem Windows-PC eine lokale Domäne erstellen kann, auf die es aufgelöst werden kann, schlägt es fehl.
Da es mir absolut nicht gelungen ist, eine Domäne zu erstellen und sie als lokale Domäne aufzulösen (selbst mit einem funktionierenden BINDgenanntDienst auf der Linux-Box), dann ist die logische Lösung, bei lokalen (Netzwerk-)IP-Adressen zu bleiben; nur dieFernbedienungDie Richtlinie lässt dies nicht zu, daher meine Frage.
05.03.2018:hätte ein Update und eine endgültige, gelöste Antwort gepostet, wenn das Forum nicht so konfiguriert gewesen wäre, dass meine Updates mit einigen sehr herablassenden"atme durch"Unsinn. - Drei Zeilen Code erforderlich, eine Person kommentiert mit nicht allzu hilfreichen Kommentaren, und das Forum blockiert meine Versuche, mehr Material zum Beitrag hinzuzufügen, der mit der Absicht erstellt wurde, anderen Leuten eine klarere Vorstellung davon zu geben, was das Problem ist, und das ist etwas, was das gleiche Forumermutigt und empfiehltan erster Stelle!! ...und das alles, weil sich sonst niemand die Mühe macht, mir bei den absolut grundlegenden Anfängerproblemen zu helfen, die ich damit und mit BIND habe.
... und was ist mit Leuten wie mir (von denen es eindeutig viele Tausende gibt), die auf die eine oder andere Weise eine Lösung für ihr Problem benötigen und ebenso bereit sind, ihren Teil dazu beizutragen, wenn ihnen jemand nur mit den absoluten Grundlagen der Lösung ihres Problems hilft, wenn sie bereits alle möglichen anderen Ressourcen ausprobiert haben und damit überhaupt keine Fortschritte erzielt haben (wie bei mir, wo das völlige Versagen von OpenVPN, einige ihrer Konfigurationsoptionen detailliert zu beschreiben, ein nahezu unüberwindbares Problem darstellen kann, selbst die grundlegendsten Konfigurationen zum Laufen zu bringen).
Wie dem auch sei, egal, wie dem auch sei,Dasist die endgültige (funktionierende) Lösung für alle, die zwei Maschinen nur über Netzwerkadressen verbinden müssen (keine Domänenkonfigurationen und absolutNEINRemote-Netzwerk oderexample.comVerbindungen aller Art), wobei sich beide Maschinen im selben Subnetz befinden. Dies ist auch die einfachste mögliche Verbindung für alle, die mit OpenVPN beginnen möchten.
Aufstellen:
1x Windows-PC (mit Windows 7 Pro x64)
1x Fedora 27 Server Edition-Laptop
Beide Maschinen sind über einen Router im selben LAN verbunden und können miteinander kommunizieren (Port 1194 – sofern nicht anders konfiguriert). Mein Setup verwendet VLAN-Trennung mit statischem IPv4 aus Sicherheitsgründen und um mir eine zusätzliche IP-Adresse zu geben; die zusätzliche IP-Adresse könnte aber auch durch eine eigenständige statische IPv4-Adresse erstellt werden, die dem Ethernet-Adapter ohne VLAN hinzugefügt wird.
Auf beiden Rechnern ist OpenVPN mit der Repository-Version (dh: nicht aus dem Quellcode auf der Maschine erstellt, sondern heruntergeladen überLecker) auf der Linux-Box installiert
statischer SchlüsselAuf der Linux-Box generierte Datei mit:
openvpn --genkey --secret static.key
Die obige Datei befindet sich auf meiner Linux-Box in:/etc/openvpn/serveroder das OpenVPN\KonfigurationUnterverzeichnis auf dem Windows-Computer.
Beispiel.ovpn[vi] wird in einer ASCII-Textdatei gespeichert (Notepad / Notepad++ als Editor,nichtMicrosoft Word!) als.ovpnDatei innerhalb des OpenVPN\KonfigurationUnterverzeichnis auf dem Windows-Rechner und als.confDatei in/etc/openvpn/serverauf der Linux-Box.
Anschließend wird die OpenVPN-GUI (Start-Schaltfläche - rundes Objekt mit Windows-Logo unten links auf dem Bildschirm - Alle Programme - OpenVPN) auf dem Windows-Rechner gestartet, woraufhin ein kleines Symbol in der Taskleiste unten rechts auf dem Bildschirm (Bildschirm aus Sicht des Benutzers) angezeigt wird..ovpnDie Konfigurationsdatei sollte dann zugänglich und bearbeitbar sein, indem Sie mit der rechten Maustaste auf das Symbol klicken, um sie auszuwählen, ebenso wie die Protokolldatei.
vpntest.confwird auf der Linux-Box mit instanziiert
openvpn vpntest.conf
und wie oben beschrieben auf dem Windows-Rechner.
Wenn alles gut geht, wird nun ein Tunnel zwischen den beiden Maschinen aufgebaut und es wird möglich sein, eine Instanz von CMD (Befehlszeile) auf der Windows-Maschine zu öffnen, umKlingelndie Linux-Box. Die Linux-Box erfordert weitere Konfiguration, damit OpenVPN im Hintergrund läuft, bevor es möglich istKlingelnder Client, da er sonst im Vordergrund bleibt und die Maschine dadurch für alles außer den bereits im Hintergrund laufenden Diensten unbrauchbar wird.
Beobachtungen:
OpenVPN auf der Windows-Seite verwendet einen TAP-Adapter. Dies macht keinen Unterschied, ob Ihre Konfiguration TAP oder TUN verwendet, und sollte nicht verhindern, dass diese einfache Konfiguration funktioniert.
Die ZweiifconfigAuf meinem Router sind keine IP-Adressen konfiguriert und es besteht für mich absolut keine Notwendigkeit, meinen Router neu zu konfigurieren, um ihre Verwendung zu ermöglichen. – Sie sind Teil desselben 255.255.255.0-Subnetzes wie die anderen beiden 10.200.0-Adressen (10.200.0.5 und 10.200.0.6), sodass OpenVPN sie über den OpenVPN-Adapter und DHCP verwenden darf.
Die Namen der Konfigurationsdateien folgen keinen verbindlichen Namenskonventionen über den gesunden Menschenverstand hinaus..ovpnDateierweiterung auf dem Windows-Computer und eine.confDateierweiterung auf der Linux-Box.
OpenVPN istäußerstsauer, was die Subnetze angeht, in denen es funktioniert, und weigert sich sogar, in Subnetzen zu arbeiten, die unterGültige Subnetze anzeigen. Die Verwendung nicht aufeinanderfolgender Adressen innerhalb eines Subnetzes führt mit hoher Wahrscheinlichkeit auch zu fehlgeschlagenen Verbindungsversuchen.
Hüte dich vorFirewallund SELinux. SELinux kann bis zum Neustart mit satanforce gezähmt werden , tut mir leid,SetEnForce-Freizügigkeitund in seiner/etc/selinux .confDatei. Ich habe eine Firewall und einen Anti-Spoof-Schutz, die beide problemlos auf dem Router laufen, zusammen mit einer Software-Firewall auf dem Windows-Rechner, einer Remote-VPN-Verbindung und gelegentlichen SSH-Verbindungen zum Linux-Rechner; all das funktioniert ganz problemlos nebeneinander.
Die VLAN-Konfiguration kann eine Konfiguration über den Standardnetzwerkadapter unter Windows umfassen, nachdem die Erstkonfiguration auf dem Router erfolgt ist. Windows 7 mag kein getaggtes VLAN, daher kann ein ungetaggtes VLAN0 erforderlich sein. Es ist auch wahrscheinlich, dass es nur möglich sein wird, ein ungetaggtes VLAN0 auf der Netzwerkadapterseite hinzuzufügen, nachdem zunächst ein getaggtes VLAN1 erstellt wurde. Dies gilt für Intel-Adapter, und Windows muss nach der VLAN-Konfiguration des Routers mit dem ungetaggten Port des Routers verbunden werden.
Auf einer Fedora-BoxFedora Administratorhandbuchbehandelt die VLAN-Erstellung. Es ist in einem Teil etwas mehrdeutig, aber das Endergebnis funktioniert, wenn es sorgfältig befolgt wird, und zwar auch für getaggte VLANs.
Beispiel.ovpn:
dev tun
remote 10.200.0.6
ifconfig 10.200.0.1 10.200.0.2
secret static.key
cipher AES-256-CBC
persist-tun
persist-key
vpntest.conf
dev tun
remote 10.200.0.5
ifconfig 10.200.0.2 10.200.0.1
user nobody
group nobody
secret static.key
cipher AES-256-CBC
persist-tun
persist-key
Beispiel.log
Tue Mar 06 00:34:27 2018 disabling NCP mode (--ncp-disable) because not in P2MP client or server mode
Tue Mar 06 00:34:27 2018 OpenVPN 2.4.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Sep 26 2017
Tue Mar 06 00:34:27 2018 Windows version 6.1 (Windows 7) 64bit
Tue Mar 06 00:34:27 2018 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10
Enter Management Password:
Tue Mar 06 00:34:27 2018 open_tun
Tue Mar 06 00:34:27 2018 TAP-WIN32 device [Local Area Connection 6] opened: \\.\Global\{B1A13B50-22A1-48D4-980B-7105480DBA9B}.tap
Tue Mar 06 00:34:27 2018 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.200.0.1/255.255.255.252 on interface {B1A13B50-22A1-48D4-980B-7105480DBA9B} [DHCP-serv: 10.200.0.2, lease-time: 31536000]
Tue Mar 06 00:34:27 2018 Successful ARP Flush on interface [15] {B1A13B50-22A1-48D4-980B-7105480DBA9B}
Tue Mar 06 00:34:27 2018 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Tue Mar 06 00:34:27 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]10.200.0.6:1194
Tue Mar 06 00:34:27 2018 UDP link local (bound): [AF_INET][undef]:1194
Tue Mar 06 00:34:27 2018 UDP link remote: [AF_INET]10.200.0.6:1194
Tue Mar 06 00:34:36 2018 Peer Connection Initiated with [AF_INET]10.200.0.6:1194
Tue Mar 06 00:34:41 2018 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue Mar 06 00:34:41 2018 Initialization Sequence Completed
Antwort1
Ja. Es gibt nichts in OpenVPN, daswürdeerfordert keinerlei Internetzugang; es handelt sich nicht um einen „Cloud-Dienst“ oder etwas in der Art.