Ich habe vor Kurzem OpenVPN auf einem entfernten CentOS 7-Webserver installiert. Ich kann mich von einer lokalen CentOS 7-Devbox aus damit verbinden, indem ich eingebe openvpn --config /path/to/client.ovpn. Sobald die Verbindung hergestellt ist, kann ich mich sshüber das VPN mit dem Server verbinden, indem ich eingebe. Und ich kann mir über das VPN von Apache auf dem entfernten Server gehostete Webanwendungen ansehen, indem ich in einen Webbrowser eingebe. ssh [email protected]https : / / 10.8.0.1Wie können meine nicht-technischen Endbenutzer dieselben https-Verbindungen von Windows aus herstellen?
Ich habe das heruntergeladen und installiertSecurePoint OpenVPN-Client für Windows. Ich konnte dann eine Konfiguration für den Server erstellen, einschließlich Links zu den .crt- und .key-Dateien und Definitionen anderer Parameter, die in der client.ovpnDatei in Linux definiert wurden. Der SecurePoint-Client zwang mich dann, einen Benutzernamen und ein Passwort für ein Betriebssystemkonto auf dem Remote-Server zu verwenden (vielleicht zum Besseren), erlaubte mir jedoch keine Verbindung zu Web-Apps, die auf dem Server laufen. Insbesondere führt die Eingabe https : / / 10.8.0.1in einen Webbrowser zu „Diese Seite kann nicht angezeigt werden“, obwohl meine Linux-Devbox die Bereitstellung von Inhalten vom Server über das VPN an den Client zulässt, wie im vorhergehenden Absatz beschrieben. Was mache ich falsch? Und wie bekomme ich das zum Laufen?
BEARBEITEN
Gemäß dem Rat von @garethTheRed habe ich Folgendes eingegeben sudo firewall-cmd --list-all --zone=internalund die folgenden Ergebnisse erhalten:
internal (active)
interfaces: tun0
sources:
services: dhcpv6-client https ipp-client mdns samba-client ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
rule family="ipv4" source NOT address="10.8.1.1" service name="ssh" reject
Ich habe dann in der SecurePoint-Benutzeroberfläche auf „Verbinden“ geklickt und nachdem die Meldung angezeigt wurde, dass die Verbindung zum Server hergestellt wurde, habe ich cmd.exe geöffnet und Folgendes eingegeben ping 10.8.0.1und die folgenden Ergebnisse erhalten:
Pinging 10.8.0.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 10.8.0.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
Durch Deaktivieren der Benutzer-/Authentifizierungsoption wird die Benutzername/Passwort-Anmeldeanforderung entfernt.
Beachten Sie, dass bei einer Verbindung mit SecurePoint alle anderen Internetzugriffe über den Browser blockiert zu sein scheinen, da alle Seitenanfragen abgelehnt werden. Außerdem wird das VPN in der Windows-Liste der WLAN-Netzwerke als „Unbekanntes Netzwerk“ mit „kein Internetzugang“ angezeigt. Wenn ich die Verbindung zum VPN über SecurePoint trenne, verschwindet das „Unbekannte Netzwerk“. Sie können sehen, wie es aussieht, wenn die VPN-Verbindung aktiv istindem Sie auf diesen Link klicken
Was kann ich sonst noch versuchen?
Antwort1
Vergewissern Sie sich, dass Ihre Firewall auf dem CentOS-Server ( internalZone, in der tun0sich das Gerät befindet) httpsals Dienst verfügbar ist.
Sie sollten in der Lage sein, den Server vom Windows-Rechner aus anzupingen 10.8.0.1. Wenn das funktioniert, ist Ihr VPN aktiv und es liegt wahrscheinlich an der Firewall des CentOS-Servers, die Sie blockiert.
Wenn der Ping nicht funktioniert, müssen Sie tiefer liegende Probleme lösen, bevor Sie sich Ihre httpsSeiten ansehen.
Im letzteren Fall posten Sie die Ausgabe von „running“ ìpconfig /allauf route printdem Windows-Rechner.
Offizieller OpenVPN-Client
Als Experiment könnten Sie es auch openvpnauf dem Windows-Rechner installieren und es auf ähnliche Weise ausführen wie auf dem CentOS-Client, wobei Sie ähnliche Konfigurationsdateien verwenden. Dies könnte einen Hinweis darauf geben, was passiert:
Laden Sie den OpenVPN-Client für Windows herunter vonHier, und installieren Sie es. Gegen Ende der Installation sollten Sie ein Kontrollkästchen sehen, das Ihnen anbietet, den Client zu starten. Stellen Sie sicher, dass der Client NICHT gestartet ist.
Kopieren Sie Ihre *.ovpnDatei von der CentOS-Maschine (die zuvor funktionierte) auf die Windows-Maschine. Beim Übertragen der Datei kann es zu Problemen mit Unix/DOS-Zeilenabschlusszeichen kommen. Das dos2unixPaket enthält einen Konverter namens unix2dos, der die Dateien für Sie ins DOS-Format konvertiert.
Öffnen Sie die Datei notepadals Administrator (rechtsklicken und „Als Administrator ausführen“ wählen) und bearbeiten Sie sie. *.ovpnÄndern Sie dabei die Pfade zum Schlüssel und zu den beiden Zertifikaten. Denken Sie daran, in den Pfaden zwei Backslashs zu verwenden (z. B. C:\\Users\\Bloggs\\key.pem). Speichern Sie diese Datei unter C:\Program Files\OpenVPN\config.
Starten Sie den OpenVPN-Client über das Startmenü, indem Sie mit der rechten Maustaste darauf klicken und „Als Administrator ausführen“ wählen (dies ist nur beim ersten Ausführen erforderlich). Wenn das oben genannte funktioniert hat, sollten Sie mit der rechten Maustaste auf das Symbol in der Taskleiste klicken und eine Verbindung herstellen können. Wenn keine Verbindungsoption vorhanden ist, überprüfen Sie das oben genannte.
Nach ein bis drei Sekunden wird ein Popup-Fenster mit der Meldung angezeigt, dass die Verbindung hergestellt wurde. Probieren Sie Ihre httpsWebseite aus.
Grundlegende Windows-kompatible Konfiguration
Sichern Sie testweise Ihre aktuelle Serverkonfiguration und versuchen Sie Folgendes:
port 1194
proto udp
dev tun
ca /etc/pki/openvpn/cacerts/CA.crt
cert /etc/pki/openvpn/public/OpenVPN_Server.crt
key /etc/pki/openvpn/private/OpenVPN_Server.pem # This file should be kept secret
dh /etc/pki/openvpn/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3
Es funktioniert auf meinem Server sowohl mit Linux- als auch mit Windows-Clients (sowohl mit OpenVPN als auch mit SecurePoint). Es bietet zwar nicht die Funktionalität, die Sie für Ihren Server benötigen, aber es kann Ihnen helfen, das Problem zu finden. Möglicherweise müssen Sie natürlich die Pfade zu den Dateien anpassen.
Als Referenz ist hier die *.ovpnDatei, die ich verwendet habe:
client
dev tun
proto udp
remote <IP or FQDN of server> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
verb 3
ca C:\\Users\\gareth\\ca.crt
cert C:\\Users\\gareth\\client.pem
key C:\\Users\\gareth\\key.crt
Für den SecurePoint-Client habe ich alles in der Standardeinstellung belassen, außer dem Auth user/passKontrollkästchen, das ich deaktiviert habe, und (natürlich) dem Schlüssel und den Zertifikaten.