作者 主題: [心得分享] OpenVPN 建置方案  (閱讀 79929 次)

0 會員 與 1 訪客 正在閱讀本文。

chenrui

  • 懷疑的國中生
  • **
  • 文章數: 78
    • 檢視個人資料
[心得分享] OpenVPN 建置方案
« 回覆 #30 於: 2005-11-27 15:37 »
我按 Netman 學長的方法. 當我輸入 service openvpn start 時出現錯誤.在事件中顯示:

Nov 26 15:25:47 cnwm openvpn[2242]: OpenVPN 2.0.2 i386-redhat-linux [SSL] [LZO] [EPOLL] built on Sep  8 2005
Nov 26 15:25:47 cnwm openvpn[2242]: Diffie-Hellman initialized with 1024 bit key
Nov 26 15:25:47 cnwm openvpn[2242]: TLS-Auth MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Nov 26 15:25:47 cnwm modprobe: modprobe: Can't locate module char-major-10-200
Nov 26 15:25:47 cnwm openvpn[2242]: Note: Cannot open TUN/TAP dev /dev/net/tun: No such device (errno=19)
Nov 26 15:25:47 cnwm openvpn[2242]: Note: Attempting fallback to kernel 2.2 TUN/TAP interface
Nov 26 15:25:47 cnwm openvpn[2242]: Cannot allocate TUN/TAP dev dynamically
Nov 26 15:25:47 cnwm openvpn[2242]: Exiting
Nov 26 15:25:47 cnwm openvpn:  failed

請問是什麼原因造成.謝謝.

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17300
    • 檢視個人資料
    • http://www.study-area.org
[心得分享] OpenVPN 建置方案
« 回覆 #31 於: 2005-11-27 20:05 »
恩? 這個 error 我沒碰到過呢?
不知道您用甚麼 os 版本的?

jou

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 4989
  • 性別: 男
    • 檢視個人資料
[心得分享] OpenVPN 建置方案
« 回覆 #32 於: 2005-11-28 07:57 »
Can't locate module char-major-10-200
kernel 2.2
可能是核心模組沒有支援 tap/tun 這個設備
所以沒有辦法啟動 /dev/net/tun 設備。

chenrui

  • 懷疑的國中生
  • **
  • 文章數: 78
    • 檢視個人資料
[心得分享] OpenVPN 建置方案
« 回覆 #33 於: 2005-11-28 09:51 »
Kernel 2.4.21-4.EL

EL 3.0

請問是否能重灌核心,還是有模塊可以更新?

謝謝

mismis

  • 可愛的小學生
  • *
  • 文章數: 16
    • 檢視個人資料
[心得分享] OpenVPN 建置方案
« 回覆 #34 於: 2005-12-06 14:53 »
請問我已經安裝好了....而且可以連線
我要怎麼知道我的連線有經過ssl加密

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17300
    • 檢視個人資料
    • http://www.study-area.org
[心得分享] OpenVPN 建置方案
« 回覆 #35 於: 2005-12-06 15:23 »
你將 ssl 的 library 的路徑改掉, 若不能 work , 那就是了.

jou

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 4989
  • 性別: 男
    • 檢視個人資料
[心得分享] OpenVPN 建置方案
« 回覆 #36 於: 2005-12-07 07:55 »
用 tcpdump 捉幾個封包來看看,能不能看得懂它的內容?

jou

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 4989
  • 性別: 男
    • 檢視個人資料
[心得分享] OpenVPN 建置方案
« 回覆 #37 於: 2005-12-07 13:50 »
終於可以從外面的 public IP 透過 OpenVPN 連上公司內部的 AS/400 主機了! :D (現在的爽度百分百)

其中遇到最大的問題,不外乎防火牆和路由。
真的! 能架起 OpenVPN 其實沒有什麼,最大問題應該都在防火牆上的設定。

把遇到的問題列一下吧!
記得把 tcpdump -i tun0 啟動起來,放在內部的地道口監聽哦
這樣除錯會容易些,當您遇到問題,也別忘了到 FAQ 找答案哦!
先前把 AS/400 上的主機路給定出來( CFGTCP )
這時候是可以 ping 得到的,可是 ibm5250 的模擬程式就是起不來。
封包看起來都是單向的,得不到三方交握的回應封包。
果不其然,真的是防火牆擋到了! @_@
大約加上這些,就這樣通起來了。
代碼: [選擇]
# 以下兩行就是關鍵
-A FORWARD -i tun+ -j ACCEPT
-A INPUT -i tun+ -j ACCEPT
# 以下兩行是打
-A INPUT -s 61.218.xxx.xxx -p tcp -m tcp --dport 1194 -j ACCEPT
-A INPUT -s 61.218.xxx.xxx -p udp -m udp --dport 1194 -j ACCEPT


如果您沒有遇到以上的問題,那您可能幸運些吧?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17300
    • 檢視個人資料
    • http://www.study-area.org
[心得分享] OpenVPN 建置方案
« 回覆 #38 於: 2007-01-12 15:29 »
聽三子說我這個版本要更新了呢!
不過我還沒時間去試。
有誰去凹一下三子?

cwlin0416

  • 懷疑的國中生
  • **
  • 文章數: 30
    • 檢視個人資料
[心得分享] OpenVPN 建置方案
« 回覆 #39 於: 2007-04-18 17:44 »
引述: "duncanlo"
用起來真是讚...(我NB上的GUI Status字超小的,都要另外看Log)

不過明天上班後,才能從外面作實機測試...

openvpn x86 gui想要中文化,
只要修改source內的.rc檔,
有人有現成的嗎?!


Status 的部份沒辦法透過 RC 改
他是已經在程式裡指定的

這是小弟做的中文化, 也把 status 的字改大了
不是道你要的是不是這個?

http://fs.mis.kuas.edu.tw/~s1092137101/utilities/openvpn-gui-1.0.3-cht.exe

canglong

  • 可愛的小學生
  • *
  • 文章數: 1
    • 檢視個人資料
[心得分享] OpenVPN 建置方案
« 回覆 #40 於: 2007-08-14 17:26 »
请问,象openvpn-gui-1.0.3-cht.exe这样中文的client端是怎样编译出来的呢 ?那位老大可以指点下么? 多谢了 !

wen114999

  • 可愛的小學生
  • *
  • 文章數: 20
  • 性別: 男
    • 檢視個人資料
回覆: [心得分享] OpenVPN 建置方案
« 回覆 #41 於: 2008-11-24 15:43 »
# 建置 client key 與 crs
build-key ovpnclt1

时我出现  could not find c:\*.old

请问大大们教导
一步一步往上爬

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17300
    • 檢視個人資料
    • http://www.study-area.org
回覆: [心得分享] OpenVPN 建置方案
« 回覆 #42 於: 2008-11-24 16:55 »
啊,我用的版本很老舊了哦~~~
不知道現在的步驟是不是還一樣呢?
最好是到官網上看看文件啦...


wen114999

  • 可愛的小學生
  • *
  • 文章數: 20
  • 性別: 男
    • 檢視個人資料
回覆: [心得分享] OpenVPN 建置方案
« 回覆 #43 於: 2008-11-26 15:39 »
请问大大们:我在win客户端建立用户 和 在 linux _sever端那里建用户是一样的吧?
一步一步往上爬

wen114999

  • 可愛的小學生
  • *
  • 文章數: 20
  • 性別: 男
    • 檢視個人資料
回覆: [心得分享] OpenVPN 建置方案
« 回覆 #44 於: 2008-11-26 17:08 »
Wed Nov 26 17:03:44 2008 OpenVPN 2.1_rc15 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 19 2008
Wed Nov 26 17:03:44 2008 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Nov 26 17:03:44 2008 Cannot load certificate file ovpnclt1.crt: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140AD009:SSL routines:SSL_CTX_use_certificate_file:PEM lib
Wed Nov 26 17:03:44 2008 Exiting


上面的错误大概是由于什么引起的啊~~!???
一步一步往上爬

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5365
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
回覆: [心得分享] OpenVPN 建置方案
« 回覆 #45 於: 2008-11-26 17:42 »
那個 .crt 的格式有問題吧.

wen114999

  • 可愛的小學生
  • *
  • 文章數: 20
  • 性別: 男
    • 檢視個人資料
回覆: [心得分享] OpenVPN 建置方案
« 回覆 #46 於: 2008-11-27 09:53 »
 :D :D ;D

5555555555~~!经过2天的努力我成功拉~~! :'(谢谢大家对我的帮助~!更要谢谢netman.
一步一步往上爬

edwardleung

  • 俺是博士!
  • *****
  • 文章數: 1135
    • 檢視個人資料
回覆: [心得分享] OpenVPN 建置方案
« 回覆 #47 於: 2008-12-09 00:28 »
您們好,

小弟的環境 FC9, real IP : 192.168.1.xxx, vpn IP : 192.168.2.xxx, 連線用 tap...

請問以下問題可以怎樣解決呢 ?
Tue Dec 09 00:20:21 2008 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Tue Dec 09 00:20:21 2008 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Tue Dec 09 00:20:21 2008 LZO compression initialized
Tue Dec 09 00:20:21 2008 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:10 ]
Tue Dec 09 00:20:21 2008 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:10 AF:3/1 ]
Tue Dec 09 00:20:21 2008 Local Options hash (VER=V4): '41690919'
Tue Dec 09 00:20:21 2008 Expected Remote Options hash (VER=V4): '530fdded'
Tue Dec 09 00:20:21 2008 Attempting to establish TCP connection with 192.168.1.254:1194
Tue Dec 09 00:20:42 2008 TCP: connect to 192.168.1.254:1194 failed, will try again in 5 seconds

謝謝協助 !


edwardleung

  • 俺是博士!
  • *****
  • 文章數: 1135
    • 檢視個人資料
回覆: [心得分享] OpenVPN 建置方案
« 回覆 #48 於: 2008-12-26 21:45 »
您們好,

小弟有以下問題希望大大們可以協助一下呢:

引用
vi server.conf
   dev tap
   ;dev tun
   ca ca.crt
   cert ovpnsrv1.crt
   key ovpnsrv1.key  # This file should be kept secret

請問 ca, cert 及 key 是否需要用絕對路徑嗎?
如:
   ca /etc/ca.crt
   cert /etc/ovpnsrv1.crt
   key /etc/ovpnsrv1.key

引用
# 建置 client key 與 csr
build-key ovpnclt1
   ....
   Common Name (eg, your name or your server's hostname) []:ovpnclt1
   ....

請問建立 client key 及 csr 前, 是否要先把Server 的ca.key copy 過來才可進行呢?

引用
# 配置 client 端設定檔
右下角(OpenVPN GUI)
右鍵--> Edit Config (沒提及的, 請保持原貌)
   dev tap
   ;dev tun
   dev-node OpenVPN_Tap
   remote 192.168.100.151 1194
   ca ca.crt
   cert ovpnclt1.crt
   key ovpnclt1.key
   ns-cert-type server

請問 ca, cert 及 key 是否需要用絕對路徑嗎?
如:
   ca c:\ca.crt
   cert c:\ovpnclt1.crt
   key c:\ovpnclt1.key

引用
;client-to-client #如果让Client之间可以相互看见,去掉本行的注释掉,否则Client之间无法相互访问
;duplicate-cn #是否允许一个User同时登录多次,去掉本行注释后可以使用同一个用户名登录多次
plugin ./openvpn-auth-pam.so openvpn #说明使用的插件,openvpn为插件的参数,使用pam的servicesname
client-cert-not-required #不请求客户的CA证书,使用User/Pass验证
username-as-common-name #使用客户提供的UserName作为Common Name

請問以上設定需要嗎?

另外, 又請問firewall 部份要如何開放才可作測試之實作呢?

謝謝協助!

Edward.

wen114999

  • 可愛的小學生
  • *
  • 文章數: 20
  • 性別: 男
    • 檢視個人資料
回覆: [心得分享] OpenVPN 建置方案
« 回覆 #49 於: 2009-01-07 15:33 »
局域网1{client------filewll1}-----[广域网]------{filewall2-------openvpn}局域网2

    要实现客户端从“局域网1”通过广域网访问“局域网2”的openvpn服务端我们的防火墙1和2应该做如何的设置呢?

由于设备和环境的欠缺,一直都只可以用VM来做实验,加上本人能力不足,希望“有空”的大大们指教一下防火墙1和2的

简单设置方法!
一步一步往上爬

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17300
    • 檢視個人資料
    • http://www.study-area.org
回覆: [心得分享] OpenVPN 建置方案
« 回覆 #50 於: 2009-01-07 16:12 »
既然是 VPN 了,那就當 PN 來設,將 V 略過...

wen114999

  • 可愛的小學生
  • *
  • 文章數: 20
  • 性別: 男
    • 檢視個人資料
回覆: [心得分享] OpenVPN 建置方案
« 回覆 #51 於: 2009-01-07 17:02 »
 ;D  大大就是大大。说话也精辟。 :P

谢谢了~!
一步一步往上爬