Instalei recentemente o OpenVPN no meu servidor Windows 2003. Depois que alguém estiver conectado ao servidor, ele não terá acesso à Internet.
- Minha rede está em 192.168.1.1
- meu servidor está em 192.168.1.110
- Estou usando o firmware dd-wrt
- Habilitei a porta 1194 para 192.168.1.110 no roteador
- Roteamento e acesso remoto estão desativados
- Eu tenho 2 adaptadores Tap-Win32 V8(s) no meu servidor Windows 2003
- Eu tentei definir esta linha para 192.168.1.1 e também os servidores DNS do meu ISP empurram "dhcp-option DNS 192.168.1.1" # Substitua os Xs pelo endereço IP do DNS da sua rede doméstica (geralmente o DNS do seu ISP)
Eu criei um gateway de roteamento avançado em dd-wrt
Destination LAN NET: 192.168.10.0 Subnet Mask: 255.255.255.252 Gateway: 192.168.1.110 Interface: Lan & WLAN
Eu segui exatamente este site: http://www.itsatechworld.com/2006/01/29/how-to-configure-openvpn/
EDIT: Tentei me conectar por meio do prompt do cmd e recebi o seguinte erro de sub-rede - possível conflito de sub-rede de rota entre LAN local [192.168.1.0/255.255.255.0] e VPN remota [192.168.1.0/255.255.255.0]
Meu arquivo do servidor é o seguinte:
local 192.168.1.110 # This is the IP address of the real network interface on the server connected to the router
port 1194 # This is the port OpenVPN is running on - make sure the router is port forwarding this port to the above IP
proto udp # UDP tends to perform better than TCP for VPN
mssfix 1400 # This setting fixed problems I was having with apps like Remote Desktop
push "dhcp-option DNS 192.168.1.1" # Replace the Xs with the IP address of the DNS for your home network (usually your ISP's DNS)
#push "dhcp-option DNS X.X.X.X" # A second DNS server if you have one
dev tap
#dev-node MyTAP #If you renamed your TAP interface or have more than one TAP interface then remove the # at the beginning and change "MyTAP" to its name
ca "ca.crt"
cert "server.crt"
key "server.key" # This file should be kept secret
dh "dh1024.pem"
server 192.168.10.0 255.255.255.128 # This assigns the virtual IP address and subent to the server's OpenVPN connection. Make sure the Routing Table entry matches this.
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1" # This will force the clients to use the home network's internet connection
keepalive 10 120
cipher BF-CBC # Blowfish (default) encryption
comp-lzo
max-clients 100 # Assign the maximum number of clients here
persist-key
persist-tun
status openvpn-status.log
verb 1 # This sets how detailed the log file will be. 0 causes problems and higher numbers can give you more detail for troubleshooting
Meu arquivo client1 é o seguinte:
client
dev tap
#dev-node MyTAP #If you renamed your TAP interface or have more than one TAP interface then remove the # at the beginning and change "MyTAP" to its name
proto udp
remote my-dyna-dns.com 1194 #You will need to enter you dyndns account or static IP address here. The number following it is the port you set in the server's config
route 192.168.1.0 255.255.255.0 vpn_gateway 3 #This it the IP address scheme and subnet of your normal network your server is on. Your router would usually be 192.168.1.1
resolv-retry infinite
nobind
persist-key
persist-tun
ca "ca.crt"
cert "client1.crt" # Change the next two lines to match the files in the keys directory. This should be be different for each client.
key "client1.key" # This file should be kept secret
ns-cert-type server
cipher BF-CBC # Blowfish (default) encrytion
comp-lzo
verb 1
Desde já, obrigado!
Responder1
Parece-me que o servidor está enviando a opção "redirect-gateway" para o cliente. Isso faz com que o cliente use a VPN como gateway padrão. Comente a linha na configuração do servidor 'push "redirect-gateway def1"'.
Uau, acabei de ver sua edição. Seu cliente não pode usar os mesmos endereços IP da LAN à qual está se conectando. Isso não vai funcionar. Uma extremidade ou outra precisa usar endereços IP diferentes.
Editar:
Supondo que o roteamento esteja configurado corretamente em sua máquina Windows Server 2003 (de acordo com a página www.itsatechworld.com que você mencionou), você poderá fazer PING na máquina Windows Server 2003 e na máquina Windows Vista por seus IPs de LAN por meio da VPN. Se puder, você terá o roteamento correto nas máquinas Windows Server 2003 e DD-WRT e poderá prosseguir. Caso contrário, você precisa começar a rastrear por que (1) o tráfego PING que sai do túnel OpenVPN não está chegando ao destino ou (b) por que as respostas PING do host de destino não estão voltando. Você pode acabar colocando algo como o Wireshark em sua máquina com Windows Vista para ver se as solicitações PING estão chegando lá (já que o PING não pode dizer se sua solicitação está sendo recebida e a resposta está sendo perdida).
Assim que a conectividade IP da VPN estiver funcionando bem. Eu recomendo instalar os serviços DNS e WINS em seu computador servidor VPN do Windows Server 2003 e configurar o computador servidor e o computador doméstico com Windows Vista para usar essa máquina para WINS e DNS. Você pode adicionar o DNS do seu ISP como "encaminhado" na máquina Windows Server 2003 ou deixar as "dicas de raiz" padrão configuradas para permitir a resolução de nomes da Internet. Na configuração do seu servidor OpenVPN, adicione a seguinte linha logo após a linha 'push "dhcp-option DNS 192.168.1.1":
push "dhcp-option WINS 192.168.1.1"
Isso fará com que os clientes remotos acessem os servidores WINS e DNS em sua máquina Windows Server 2003 e deverá fornecer resolução de nomes DNS e NetBIOS.
Se você não estiver usando um domínio do Active Directory em casa, provavelmente desejará configurar uma zona de pesquisa direta padrão no servidor DNS do Windows Server 2003 para que suas máquinas Windows Server 2003 e Windows Vista possam se registrar. Você desejará conceder permissão aos clientes para atualizar registros dinamicamente (embora de forma insegura) ao criar esta zona. Você deve adicionar a opção "Nome de domínio DNS" (opção 15) ao seu escopo DHCP em casa para que seus computadores clientes escolham o sufixo de nome de domínio DNS correto. (Se você estiver usando DD-WRT para DNS, não posso lhe dizer como fazer isso. Sou um cara do OpenWRT e gerencio meu WRT54G na linha de comando. Recomendo executar o DHCP no Windows Server Máquina de 2003 de qualquer maneira, mas eu gosto mais daquele servidor DHCP.)
Se estiver usando um domínio do Active Directory, você já terá uma zona de pesquisa direta criada no DNS. Porém, como seus clientes VPN remotos não são membros do seu domínio, eles não poderão se registrar no DNS sob as configurações de segurança padrão que o Windows Server define na zona DNS (pelo menos, se você permitir que ele crie a zona durante DCPROMO). É inseguro, mas se você quiser permitir que eles se registrem, você pode (a - menos seguro) alterar a permissão na zona para permitir registros inseguros ou (b - mais seguro, mas ainda inseguro) criar registros A e PTR para eles e modificar a permissão em cada um desses registros para permitir que qualquer pessoa os atualize.
Parece que isso é uma coisa de rede doméstica e é realmente uma boa oportunidade de aprendizado para muitas coisas - roteamento IP, VPNs, resolução de nomes. Talvez você esteja procurando que isso "simplesmente funcione" e não como uma oportunidade de aprendizado. Nesse caso, só posso pedir desculpas e dizer que essas coisas ainda não estão "prontas para uso".
Responder2
O comentário de Evan está correto, exceto que eu recomendo que você considere ativar o "gateway de redirecionamento" e configurar o servidor para aceitar todo o tráfego vinculado à Internet, pelo menos se você fizer alguma filtragem de conteúdo. Caso contrário, seus laptops se tornarão (ainda mais) uma vulnerabilidade para sua rede.
VPN de túnel dividido é geralmente consideradainsegurouma vez que essencialmente oferece aos invasores que comprometem o laptop um curto-circuito no centro da sua rede.
Responder3
Você vai querer ter certeza de que seu servidor Windows OpenVPN possui serviços de roteamento instalados.
Isso foi mencionado antes, mas é altamente recomendável alterar o endereço da rede LAN para algo diferente de 192.168.1.X. A maioria dos Linksys, etc... sai da caixa com essa rede para que os hosts remotos não consigam acessar os hosts dentro da sua rede. Vejo que sua rede VPN está configurada para 192.168.10.X, o que é bom. Agora configure sua LAN para algo como 192.168.5.X. Funcionará melhor, confie em mim.
Você poderia ativar o gateway de redirecionamento, mas eu não sugeriria isso, pois consumiria sua largura de banda. Se você tiver dispositivos IDS/IPS ou algo parecido em sua rede, isso pode ser benéfico.
Eu colocaria o verbo acima de 1... Mantenho em 4 para ver o que está acontecendo.
Espero que ajude!
Responder4
Desculpe por cavar isso, mas depois de duas horas lutando para restaurar o acesso à Internet da máquina Windows que está conectada ao servidor Ubuntu OpenVPN, acabei de encontrar o que está funcionando para mim (espero que para outros também):
[Windows 8.1 x64 e Ubuntu Server 20.04]
- Na máquina Windows, primeiro vá para
Network and Sharing Center, clique com o botão direito em sua NIC principal (no meu caso, um USB WiFi) e depoisProperties->Internet Protocol Version 4->Properties->Advanced-> DesmarqueAutomatic metric-> definaInterface metricpara um número pequeno como 10 ->OK->OK->OK - Agora beba um pouco de água e pule na caixa do Linux -> escreva no terminal
nano /etc/openvpn/server/server.conf-> adicione esta linhapush "route-metric 1000"(1000 ou número semelhante) -> salve o arquivo comCtrl+XY -> dispare para reiniciar o servidor OpenVPN e provavelmente você terá acesso à Internet novamente na máquina Windowssystemctl restart [email protected]
Agora tenho duas configurações diferentes totalmente funcionais:
Máquina Windows com acesso à Internet e conectada à máquina Linux através do OpenVPN Máquina Windows com acesso à Internet e conectada à máquina Linux Vbox através do OpenVPN