OpenVPN-Tunnelung nur im lokalen Netzwerk?

1

Ich habe zwei IP-Adressen: 10.200.0.5 und 10.200.0.6 und möchte die beiden über einen OpenVPN-Tunnel verbinden (eine gehört zu einem Windows 7-PC, die andere zu einem Fedora-Laptop). Gibt es eine Möglichkeit, dies nur über das interne Netzwerk, die Adressen, die Gateway-Adresse und das Subnetz zu tun? dh : mit überhaupt keine Anforderung für eine Internetadresse oder eine Remote-Verbindung (wie bei einer Remote-Verbindung außerhalb meines lokalen Netzwerks)?

05.03.2018: weiter Grawity 's Kommentar Ich muss erklären, dass das Problem, das ich hatte, mit dem ist Fernbedienung Direktive: auch im Static Key Mini-HOWTO ( https://openvpn.net/index.php/open-source/documentation/miscellaneous/78-static-key-mini-howto.html ) Diese Anforderung ist vorhanden, und das ist die Ursache des Problems, denn wenn ich keine lokale Domäne auf meiner Linux-Box oder meinem Windows-PC erstellen kann, in die sie aufgelöst werden soll, schlägt sie fehl.

Da es mir völlig unmöglich war, eine Domain zu erstellen und sie als lokale Domain aufzulösen (auch mit einer funktionierenden BIND genannt Service auf der Linux-Box), logischerweise besteht die Lösung darin, sich an lokale (Netzwerk-) IP-Adressen zu halten; nur der Fernbedienung Richtlinie wird das und damit meine Frage nicht akzeptieren.

05.03.2018: Hätte ich ein Update gepostet und die endgültige, gelöste Antwort erhalten, wäre das Forum nicht so konfiguriert worden, dass meine Updates blockiert werden "atme durch" Unsinn. - Es sind drei Codezeilen erforderlich, eine Person kommentiert mit nicht allzu hilfreichen Kommentaren, und das Forum blockiert meine Versuche, mehr Material zum Beitrag hinzuzufügen, um anderen Leuten eine klarere Vorstellung von dem Problem zu ermöglichen ist, und was ist das selbe Forum ermutigt und empfiehlt an erster Stelle!! ... alles, weil sich niemand sonst die Mühe machen kann, bei den absolut grundlegenden Anfängerproblemen zu helfen, die ich mit diesem und dem BIND hatte.

... und was ist mit Leuten wie mir (von denen es eindeutig viele Tausende gibt), die etwas auf die eine oder andere Weise lösen müssen und genauso bereit sind, ihre Anstrengungen zu verstärken, wenn jemand nur bei den absoluten Grundlagen des Wie helfen würde um das Problem zu lösen, wenn sie bereits versucht haben, andere Ressourcen zu verwenden, und keinerlei Fortschritte mit diesem Material erzielt haben (wie bei mir, wo OpenVPNs völliges Versagen, einige seiner Konfigurationsoptionen vollständig zu beschreiben, zu einem Fehler führen kann) fast unüberwindliches Problem, selbst die grundlegendsten Konfigurationen zum Laufen zu bringen).

Egal, wie auch immer, diese ist die endgültige (funktionierende) Lösung für alle, die zwei Computer nur über Netzwerkadressen verbinden müssen (keine Domänenkonfigurationen und absolut Nein Remote-Netzwerk oder example.com Verbindungen), wobei sich beide Maschinen im selben Subnetz befinden. Hier geht es auch um die einfachste Verbindung für alle, die OpenVPN nutzen möchten.

Konfiguration:

1x Windows-PC (mit Windows 7 Pro x64)

1x Fedora 27 Server Edition Laptop

Beide Maschinen sind über einen Router im selben LAN verbunden und können miteinander kommunizieren (Port 1194 - sofern nicht anders konfiguriert). Mein Setup verwendet die VLAN-Trennung mit statischem IPv4 aus Sicherheitsgründen und um mir eine zusätzliche IP-Adresse zu geben. Die zusätzliche IP-Adresse kann jedoch auch über eine eigenständige statische IPv4-Adresse erstellt werden, die dem Ethernet-Adapter ohne VLAN hinzugefügt wird.

  • OpenVPN auf beiden Rechnern installiert, mit der Repository-Version ( dh : Nicht von der Quelle auf dem Computer erstellt, sondern über heruntergeladen Lecker ) auf der Linux-Box installiert

  • static.key Datei erstellt auf der Linux-Box mit: openvpn --genkey --secret static.key

  • die obige datei auf meiner linux box befindet sich in: / etc / openvpn / server oder die OpenVPN \ config Unterverzeichnis auf dem Windows-Computer.

  • sample.ovpn [ v.i. ] wird in einer ASCII-Textdatei gespeichert (Notepad / Notepad ++ als Editor, nicht Microsoft Word!) Als .ovpn Datei innerhalb des OpenVPN \ config Unterverzeichnis auf dem Windows-Computer und als .conf Datei in / etc / openvpn / server auf der linux box.

  • Die OpenVPN-GUI (Start-Schaltfläche - rundes Objekt mit Windows-Logo unten links auf dem Bildschirm - Alle Programme - OpenVPN) wird dann auf dem Windows-Computer gestartet, was zu einem kleinen Symbol in der Taskleiste unten rechts auf dem Bildschirm (Bildschirm) führt wie vom Benutzer gesehen). Das .ovpn Die Konfigurationsdatei sollte dann zugänglich und bearbeitbar sein, indem Sie mit der rechten Maustaste auf das Symbol klicken, um es ebenfalls mit der Protokolldatei auszuwählen.

  • vpntest.conf wird auf der linux box mit instanziiert openvpn vpntest.confund wie oben auf dem Windows-Computer beschrieben.

Wenn alles in Ordnung ist, wird nun ein Tunnel zwischen den beiden Computern eingerichtet, und es ist möglich, eine Instanz von CMD (Befehlszeile) auf dem Windows-Computer zu öffnen, um Klingeln die linux box. Die Linux-Box muss weiter konfiguriert werden, damit OpenVPN im Hintergrund ausgeführt wird, bevor dies möglich ist Klingeln der Auftraggeber, da er sonst im Vordergrund bleibt; Dadurch wird der Computer für alle anderen Dienste, die bereits im Hintergrund ausgeführt werden, unbrauchbar.

Beobachtungen:

OpenVPN auf der Windows-Seite verwendet einen TAP-Adapter. Dies spielt keine Rolle, ob Ihre Konfiguration TAP oder TUN verwendet oder nicht, und sollte nicht verhindern, dass diese einfache Konfiguration funktioniert.

Die Zwei ifconfig IP-Adressen sind auf meinem Router nicht konfiguriert, und ich muss meinen Router überhaupt nicht neu konfigurieren, um sie verwenden zu können. - Sie sind Teil desselben 255.255.255.0-Subnetzes wie die beiden anderen 10.200.0-Adressen (10.200.0.5 und 10.200.0.6), sodass OpenVPN sie über den OpenVPN-Adapter und DHCP verwenden kann.

Die Namen der Konfigurationsdateien folgen keinen verpflichtenden Namenskonventionen, die über den gesunden Menschenverstand hinausgehen. .ovpn Dateierweiterung auf dem Windows-Computer und a .conf Dateierweiterung auf der Linux-Box.

OpenVPN ist äußerst pissy über welche Subnetze es funktionieren wird, und wird es sogar ablehnen, an Subnetzen zu arbeiten, die unter erlaubt sind show-valid-subnets . Die Verwendung nicht sequenzieller Adressen innerhalb eines Subnetzes führt mit hoher Wahrscheinlichkeit auch zu fehlgeschlagenen Verbindungsversuchen.

Hüte dich vor Firewalld und SELinux. SELinux kann bis zum Neustart mit gezähmt werden satanforce , Es tut uns leid, setenforce freizügig und in seiner / etc / selinux .conf Datei. Ich habe eine Firewall und einen Anti-Spoof-Schutz, die beide problemlos auf dem Router ausgeführt werden, sowie eine Software-Firewall auf dem Windows-Computer, eine VPN-Remoteverbindung und gelegentliche SSh-Verbindungen zum Linux-Computer. alle von denen koexistieren sehr glücklich zusammen.

Die VLAN-Konfiguration kann nach der Erstkonfiguration auf dem Router über den Standard-Netzwerkadapter unter Windows erfolgen. Windows 7 mag kein getaggtes VLAN, daher ist möglicherweise ein nicht getaggtes VLAN0 erforderlich. Es ist auch wahrscheinlich, dass es nur möglich ist, ein VLAN0 ohne Tag auf der Netzwerkadapterseite hinzuzufügen, nachdem ein VLAN1 mit Tag erstellt wurde. Dies gilt für Intel-Adapter, und Windows muss nach der VLAN-Konfiguration des Routers mit dem nicht gekennzeichneten Port des Routers verbunden werden.

Auf einer Fedora-Box die Fedora-Administratorhandbuch deckt die VLAN-Erstellung ab. Es ist in einem Teil etwas mehrdeutig, aber das Endergebnis funktioniert, wenn es sorgfältig befolgt wird, auch für getaggte VLANs.

sample.ovpn:

dev tun
remote 10.200.0.6
ifconfig 10.200.0.1 10.200.0.2
secret static.key
cipher AES-256-CBC
persist-tun
persist-key

vpntest.conf

dev tun
remote 10.200.0.5
ifconfig 10.200.0.2 10.200.0.1
user nobody
group nobody
secret static.key
cipher AES-256-CBC
persist-tun
persist-key

sample.log

Tue Mar 06 00:34:27 2018 disabling NCP mode (--ncp-disable) because not in P2MP client or server mode
Tue Mar 06 00:34:27 2018 OpenVPN 2.4.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Sep 26 2017
Tue Mar 06 00:34:27 2018 Windows version 6.1 (Windows 7) 64bit
Tue Mar 06 00:34:27 2018 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Enter Management Password:
Tue Mar 06 00:34:27 2018 open_tun
Tue Mar 06 00:34:27 2018 TAP-WIN32 device [Local Area Connection 6] opened: \\.\Global\{B1A13B50-22A1-48D4-980B-7105480DBA9B}.tap
Tue Mar 06 00:34:27 2018 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.200.0.1/255.255.255.252 on interface {B1A13B50-22A1-48D4-980B-7105480DBA9B} [DHCP-serv: 10.200.0.2, lease-time: 31536000]
Tue Mar 06 00:34:27 2018 Successful ARP Flush on interface [15] {B1A13B50-22A1-48D4-980B-7105480DBA9B}
Tue Mar 06 00:34:27 2018 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Tue Mar 06 00:34:27 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]10.200.0.6:1194
Tue Mar 06 00:34:27 2018 UDP link local (bound): [AF_INET][undef]:1194
Tue Mar 06 00:34:27 2018 UDP link remote: [AF_INET]10.200.0.6:1194
Tue Mar 06 00:34:36 2018 Peer Connection Initiated with [AF_INET]10.200.0.6:1194
Tue Mar 06 00:34:41 2018 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue Mar 06 00:34:41 2018 Initialization Sequence Completed
Y Treehugger Cymru
quelle

Antworten:

0

Ja. In OpenVPN gibt es das nicht würde einen Internetzugang benötigen; Es ist kein "Cloud-Service" oder ähnliches.

grawity
quelle
Danke, aber mir ist das bewusst. - Ich weiß, dass theoretisch eine öffentliche Internetadresse nur erforderlich sein sollte, wenn ich eine Verbindung zwischen zwei entfernten Netzwerken herstellen möchte. also warum dann die Notwendigkeit für a Fernbedienung richtlinie? - Wenn ich es weglasse, kann die Verbindung nicht hergestellt werden, wenn ich sie in eine lokale Netzwerk-IP-Adresse ändere, dann ebenfalls.
Y Treehugger Cymru
Dies beantwortet meine Frage, war aber überhaupt nicht hilfreich, um das Problem zu lösen. Allerdings habe ich es jetzt geschafft, mit einem Ping-fähigen Tunnel etwas zum Laufen zu bringen, muss aber weitere Probleme lösen, bevor ich meine funktionierende Lösung veröffentliche.
Y Treehugger Cymru
Das remote Richtlinie impliziert nichts über das Internet oder öffentliche Adressen. Es bedeutet "das andere Ende der Verbindung".
grawity
Ich habe das Gefühl, dass Sie entweder so wenig wie ich über die Konfiguration von OpenVPN wissen oder absichtlich vage sind und im Widerspruch zu den Richtlinien des Forums zur Unterstützung von Personen posten (drei Zeilen einfachen Codes - das OpenVPN-Minimum) Voraussetzung - als Beitrag wäre für jedermann mit Verständnis der OpenVPN-Konfiguration trivial).
Y Treehugger Cymru