Туннелирование OpenVPN только в локальной сети?
У меня есть два IP-адреса: 10.200.0.5 и 10.200.0.6, и я хотел бы соединить их через туннель OpenVPN (один относится к ПК с Windows 7, другой - к ноутбуку Fedora). Есть ли способ сделать это, используя только внутренние, сеть, адреса, адрес шлюза и подсеть, то есть: без каких-либо требований к интернет-адресу или удаленному соединению (как за пределами удаленного соединения моей локальной сети)?
05.03.2018: в дополнение к комментарию grawity, мне нужно объяснить, что проблема, с которой я столкнулся, связана с удаленной директивой: даже в Static Key Mini-HOWTO ( https://openvpn.net/index.php/open-source/documentation/miscellaneous/78-static-key-mini-howto.html) это требование существует, и именно оно вызывает проблему, поскольку, если я не могу создать локальный домен на моем компьютере с Linux или на компьютере с Windows для это разрешить, то это не удастся.
Поскольку я был полностью неспособен создать домен и разрешить его как локальный домен (даже с работающей именованной службой BIND на коробке linux), то логически решение состоит в том, чтобы придерживаться локальных (сетевых) IP-адресов; только удаленная директива не примет это и, следовательно, мой вопрос.
05.03.2018: выложил бы обновление и окончательный, решенный, ответ, если бы форум не был настроен на блокировку моих обновлений с какой-то весьма покровительственной ерундой "возьми передышку". - Требуются три строки кода, один человек комментирует не слишком полезными комментариями, и форум блокирует мои попытки добавить больше материала к сообщению, что было сделано с целью дать другим людям более четкое представление о том, в чем проблема есть, и который является чем-то, что тот же самый форум поощряет и рекомендует в первую очередь!! ... все потому, что никто не может помочь справиться с абсолютно основными, начинающими, проблемами, которые у меня были с этим и BIND.
... и что касается таких людей, как я (которых, очевидно, много тысяч), которым необходимо решить что-то так или иначе и столь же готовы приложить свои усилия, если кто-то только поможет с абсолютными основами того, как чтобы решить их проблему, когда они уже попытались использовать любые другие ресурсы, которые могут быть, и были совершенно безуспешны в достижении какого-либо прогресса с этим материалом (как и со мной, когда полная неспособность OpenVPN полностью детализировать некоторые из их параметров конфигурации может создать почти непреодолимая проблема в получении даже самых базовых конфигураций для работы).
В любом случае, как бы то ни было, это окончательное (работающее) решение для тех, кому нужно соединить две машины только по сетевым адресам (без конфигураций домена и абсолютно без удаленной сети или соединений example.com) с обеими машинами. в той же подсети. Это также самое простое соединение для всех, кто хочет начать использовать OpenVPN.
Настроить:
1x персональный компьютер Windows (под управлением Windows 7 Pro x64)
1x ноутбук Fedora 27 Server Edition
Обе машины подключены через маршрутизатор в одной локальной сети и могут обмениваться данными друг с другом (порт 1194 - если не настроено что-то другое). Моя установка использует разделение VLAN со статическим IPv4 в целях безопасности и для предоставления мне дополнительного IP-адреса; но дополнительный IP-адрес также может быть создан с помощью автономного статического IPv4-адреса, добавленного к адаптеру Ethernet без VLAN.
OpenVPN установлен на обеих машинах, а версия репозитория (то есть: не собрана из исходного кода на машине, но загружена через Yum) установлена на linux box
Файл static.key, сгенерированный на коробке linux с использованием:
openvpn --genkey --secret static.key
вышеуказанный файл на моем компьютере с Linux находится в: /etc/openvpn/server или в подкаталоге OpenVPN \ config на компьютере с Windows.
sample.ovpn [ vi ] хранится в текстовом файле ASCII (Notepad / Notepad++ в качестве редактора, а не в Microsoft Word!) как файл .ovpn в подкаталоге OpenVPN \ config на компьютере Windows и в виде файла .conf в /etc/openvpn/server в окне linux.
Затем на компьютере под управлением Windows запускается графический интерфейс OpenVPN (кнопка "Пуск" - круглый объект с логотипом Windows в левом нижнем углу экрана - Все программы - OpenVPN), в результате чего в системной области в правом нижнем углу экрана появляется небольшой значок. по мнению пользователя). Файл конфигурации .ovpn должен быть доступен и доступен для редактирования, щелкнув правой кнопкой мыши значок, чтобы выбрать его, также как и файл журнала.
vpntest.conf создается на коробке Linux с
openvpn vpntest.conf
и как описано выше на машине Windows.
Все хорошо, теперь туннель будет установлен между двумя машинами, и можно будет открыть экземпляр CMD (командной строки) на машине Windows, чтобы пропинговать окно linux. Окно linux потребует дальнейшей настройки, чтобы OpenVPN работал в фоновом режиме, прежде чем станет возможным пинговать клиента, так как в противном случае он останется на переднем плане; эффективно сделать машину непригодной для чего-либо, кроме тех служб, которые уже работают в фоновом режиме.
Замечания:
OpenVPN на стороне Windows использует адаптер TAP. Это не имеет значения, использует ли ваша конфигурация TAP или TUN, и не должно препятствовать работе этой простой конфигурации.
Два IP-адреса ifconfig не настроены на моем маршрутизаторе, и мне совершенно не нужно переконфигурировать мой маршрутизатор, чтобы разрешить их использование. - Они являются частью той же подсети 255.255.255.0, что и два других адреса 10.200.0 (10.200.0.5 и 10.200.0.6), поэтому OpenVPN разрешено использовать их через адаптер OpenVPN и DHCP.
Имена файлов конфигурации не следуют обязательным соглашениям об именах, выходящим за рамки здравого смысла, расширению файла .ovpn на компьютере Windows и расширению файла .conf на коробке linux.
OpenVPN крайне недоволен тем, в каких подсетях он будет работать, и даже откажется работать в подсетях, которые разрешены в show-valid-subnets. Использование непоследовательных адресов в подсети также может привести к неудачным попыткам подключения.
Остерегайтесь Firewalld и SELinux. SELinux можно приручить до перезагрузки с помощью satanforce, извините, setenforce permissive и в файле / etc / selinux .conf. У меня есть брандмауэр и защита от спуфинга, работающие на маршрутизаторе без проблем, наряду с программным брандмауэром на компьютере Windows, удаленным VPN-подключением и случайными SSh-подключениями к компьютеру linux; все из которых сосуществуют довольно счастливо вместе.
Конфигурация VLAN может включать настройку через сетевой адаптер по умолчанию в Windows, после начальной настройки на маршрутизаторе. Windows 7 не любит тегированную VLAN, поэтому может потребоваться нетегированная VLAN0. Также вероятно, что будет возможно добавить непомеченную VLAN0 на стороне сетевого адаптера после первоначального создания маркированной VLAN1. Это верно для адаптеров Intel, и Windows необходимо будет подключить к порту без тегов на маршрутизаторе после настройки VLAN маршрутизатора.
На коробке Fedora Руководство администратора Fedora описывает создание VLAN. Это немного двусмысленно в одной части, но конечный результат, если тщательно следовать, работает и работает для тегов VLANS.
sample.ovpn:
dev tun
remote 10.200.0.6
ifconfig 10.200.0.1 10.200.0.2
secret static.key
cipher AES-256-CBC
persist-tun
persist-key
vpntest.conf
dev tun
remote 10.200.0.5
ifconfig 10.200.0.2 10.200.0.1
user nobody
group nobody
secret static.key
cipher AES-256-CBC
persist-tun
persist-key
sample.log
Tue Mar 06 00:34:27 2018 disabling NCP mode (--ncp-disable) because not in P2MP client or server mode
Tue Mar 06 00:34:27 2018 OpenVPN 2.4.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Sep 26 2017
Tue Mar 06 00:34:27 2018 Windows version 6.1 (Windows 7) 64bit
Tue Mar 06 00:34:27 2018 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10
Enter Management Password:
Tue Mar 06 00:34:27 2018 open_tun
Tue Mar 06 00:34:27 2018 TAP-WIN32 device [Local Area Connection 6] opened: \\.\Global\{B1A13B50-22A1-48D4-980B-7105480DBA9B}.tap
Tue Mar 06 00:34:27 2018 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.200.0.1/255.255.255.252 on interface {B1A13B50-22A1-48D4-980B-7105480DBA9B} [DHCP-serv: 10.200.0.2, lease-time: 31536000]
Tue Mar 06 00:34:27 2018 Successful ARP Flush on interface [15] {B1A13B50-22A1-48D4-980B-7105480DBA9B}
Tue Mar 06 00:34:27 2018 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Tue Mar 06 00:34:27 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]10.200.0.6:1194
Tue Mar 06 00:34:27 2018 UDP link local (bound): [AF_INET][undef]:1194
Tue Mar 06 00:34:27 2018 UDP link remote: [AF_INET]10.200.0.6:1194
Tue Mar 06 00:34:36 2018 Peer Connection Initiated with [AF_INET]10.200.0.6:1194
Tue Mar 06 00:34:41 2018 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue Mar 06 00:34:41 2018 Initialization Sequence Completed
1 ответ
Да. В OpenVPN нет ничего, что требовало бы какого-либо доступа к Интернету; это не "облачный сервис" или что-то подобное.