openvpn nastaveni

2007-12-18 Tema obsahu Jaroslav Votruba 


mam pred sebou otevreno asi 10 ruznych howtos na rozbehani openvpn. 
nicmene vsechny maji jedno spolecne, jsou v nich chyby. Potrebuji to 
nastavit pro roadwariors. Postupoval jsem takto:


natahnul jsem tap modul
pomoci openssl jsem vytvoril certifikaty a hodil je do slozky k openvpn

config

#co je jaka sit

#external ip: 1.2.3.4(192.168.0.5)
#internal ip: 10.0.0.1
#internal network: 10.0.0.0/24
#VPN pool: 10.0.1.0/24
#DNS server: 10.0.0.2

###


local 192.168.0.5   #venkovni sit
port 1194   #port na kterem posloucha
proto udp   #protokol UPD (muzete zamenit za TCP)
dev tap0   #virtualni zarizeni-muze jich byt vice s 
ruznymi konfiguraky


#klice
ca /usr/local/etc/openvpn/vpn-ca.pem
cert /usr/local/etc/openvpn/servercert.pem
key /usr/local/etc/openvpn/serverkey.pem
dh /usr/local/etc/openvpn/dh1024.pem


server 10.0.1.0 255.255.255.0 #rozsah pridelovanych adres
ifconfig-pool-persist ipp.txt  # Zajisti aby VPN klienti 
dostavali porad stejnou VPN ip adresu

push "route 10.0.0.0 255.255.255.0"
push "dhcp-option DNS 10.0.0.2"
keepalive 10 120  # pingy pro udrzeni NAT 
spojeni(kazdych 10sec,po 120sec bez odezvy ukonci spojeni)
#duplicate-cn#soucasne prihlaseni vice klientu se 
stejnym certifikatem

#pokud je ifconfig-pool-persist ipp.txt musi toto bzt zakomentovane
cipher AES-256-CBC#sifrovaci metoda
auth SHA1 #autentifikacni metoda
comp-lzo#pouziti komprimace
user nobody #uzivatel pod kterym to pobezi
group nobody#skupina pod kterou to pobezi
persist-key
persist-tun

#logovani
verb 3  #nastaveni vypisu v logach rozsah 1-11
status /var/log/openvpn.status 10   #kam OpenVPN pravidelne uklada 
svuj stav

mute 20

QQQ

po spusteni
test63# openvpn --config /usr/local/etc/openvpn/openvpn.conf
Tue Dec 18 11:31:21 2007 OpenVPN 2.0.6 i386-portbld-freebsd6.3 [SSL] 
[LZO] built on Dec 11 2007

Tue Dec 18 11:31:21 2007 Diffie-Hellman initialized with 1024 bit key
Tue Dec 18 11:31:21 2007 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 
ET:0 EL:0 ]

Tue Dec 18 11:31:21 2007 TUN/TAP device /dev/tap0 opened
Tue Dec 18 11:31:21 2007 /sbin/ifconfig tap0 10.0.1.1 netmask 
255.255.255.0 mtu 1500 up
Tue Dec 18 11:31:21 2007 Data Channel MTU parms [ L:1590 D:1450 EF:58 
EB:135 ET:32 EL:0 AF:3/1 ]

Tue Dec 18 11:31:21 2007 GID set to nobody
Tue Dec 18 11:31:21 2007 UID set to nobody
Tue Dec 18 11:31:21 2007 UDPv4 link local (bound): 192.168.0.5:1194
Tue Dec 18 11:31:21 2007 UDPv4 link remote: [undef]
Tue Dec 18 11:31:21 2007 MULTI: multi_init called, r=256 v=256
Tue Dec 18 11:31:21 2007 IFCONFIG POOL: base=10.0.1.2 size=253
Tue Dec 18 11:31:21 2007 IFCONFIG POOL LIST
Tue Dec 18 11:31:21 2007 Initialization Sequence Completed

QQQ

tady se to zastavi a blokuje to commandlajnu
pokud to stopnu ctrl +C

^CTue Dec 18 11:38:56 2007 event_wait : Interrupted system call (code=4)
Tue Dec 18 11:38:56 2007 TCP/UDP: Closing socket
Tue Dec 18 11:38:56 2007 Closing TUN/TAP interface
Tue Dec 18 11:38:56 2007 SIGINT[hard,] received, process exiting
test63#




prosím o radu co dělám špatně,případně jak se dostat zase do 
coomandlajny bez toho,abych musel proces ukoncovat-Je to normalní? Pokud 
se podivam primo na konzoli,tak ifconfig tap0 vidí s IP 10.0.1.1


mohl by mi nekdo vysvetlit v configu co znamenaji ty volby,ktere nemam 
popsane(krome klicu),pripadne jsem neuvedl nejakou sikovnou volbu,ktera 
by tam mela byt .


dekuji






-- 
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l

Re: openvpn nastaveni

2007-12-18 Tema obsahu Obr Pavel 

> Tue Dec 18 11:31:21 2007 IFCONFIG POOL LIST
> Tue Dec 18 11:31:21 2007 Initialization Sequence Completed
>
> QQQ
>
> tady se to zastavi a blokuje to commandlajnu
> pokud to stopnu ctrl +C
To je zcela normalni, protoze openvp spoustite na popredi:
openvpn --config /usr/local/etc/openvpn/openvpn.conf
a ne jako daemona

Pavel Obr

-- 
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l

Re: OT: squid a nefunkcnost internetbankingu

2007-12-18 Tema obsahu Jozef Drahovsky 
Riesil som ten isty problem,
po dlhych perepatich a nevysvetlitelnych chybach som sa dozvedel,
ze bankovy software na servere v banke ma nastavene prisne timeouty.
Ak klient komunikoval na linke sam, tak vsetko bolo ok, ak 
linka/proxyserver
bol zatazeny v case rovnomerne (napr. vela ftp prenosov) tak vsetko
bolo vsetko tiez ok, ale ak zataz bola dynamicka a vyrazne sa menila 
doba odozvy,
tak to bankova strana zhodila.

V prvej faze sa zaviedlo pridelovenie pasma cez dummynet a poprosila banka
o spolupracu. V druhej faze sa navysila rychlost linky a bezi to bez 
problemov doteraz.

S pozdravom

Jozef Drahovsky


Petr Macek  wrote / napísal(a):
> Zdravim,
> omlouvam se za OT a rovnou priznavam, ze squid proste nemam rad a spatne
> konfiguruji :-) Zakaznik pozadoval proxy s autorizaci, to jede, ale mam
> problem s jednou bankou. Po restartu squidu se to prvnimu uzivateli pry
> obcas povede, potom uz ne. Porad to jen zobrazuje autorizacni dialog. V
> logu je tohle:
>
> 1195632938.606 62 10.10.110.59 TCP_DENIED/407 1851 GET
> http://www.volksbank.cz/vb/jnp/cz/home/index.html - NONE/- text/html
> 1195632938.751145 10.10.110.59 TCP_MISS/200 17043 GET
> http://www.volksbank.cz/vb/jnp/cz/home/index.html test
> DIRECT/195.39.69.100 text/html
> 1195632938.752  1 10.10.110.59 TCP_DENIED/407 1896 GET
> http://www.volksbank.cz/vb/public/75/17/80/e/25_9356_general.css -
> NONE/- text/html
> 1195632938.767  0 10.10.110.59 TCP_DENIED/407 1890 GET
> http://www.volksbank.cz/vb/public/5c/21/1/ea/23_9389_print.css - NONE/-
> text/html
> 1195632938.782 29 10.10.110.59 TCP_MISS/304 224 GET
> http://www.volksbank.cz/vb/public/75/17/80/e/25_9356_general.css test
> DIRECT/195.39.69.100 -
>
> Temer defaultni konfigurace vypada takhle:
> auth_param digest program /usr/local/libexec/squid/digest_pw_auth
> /usr/local/etc/squid/squid_pass
> acl all src 0.0.0.0/0.0.0.0
> acl manager proto cache_object
> acl localhost src 127.0.0.1/255.255.255.255
> acl to_localhost dst 127.0.0.0/8
> acl SSL_ports port 443
> acl Safe_ports port 80  # http
> acl Safe_ports port 21  # ftp
> acl Safe_ports port 443 # https
> acl Safe_ports port 70  # gopher
> acl Safe_ports port 210 # wais
> acl Safe_ports port 1025-65535  # unregistered ports
> acl Safe_ports port 280 # http-mgmt
> acl Safe_ports port 488 # gss-http
> acl Safe_ports port 591 # filemaker
> acl Safe_ports port 777 # multiling http
> acl CONNECT method CONNECT
> http_access allow manager localhost
> http_access deny manager
> http_access deny !Safe_ports
> http_access deny CONNECT !SSL_ports
> acl password proxy_auth REQUIRED
> http_access allow password
> icp_access allow all
> http_port 3128
> hierarchy_stoplist cgi-bin ?
> acl QUERY urlpath_regex cgi-bin \?
> cache deny QUERY
> cache_dir ufs /usr/local/squid/cache 5000 16 256
> access_log /usr/local/squid/logs/access.log squid
> refresh_pattern ^ftp:   144020% 10080
> refresh_pattern ^gopher:14400%  1440
> refresh_pattern .   0   20% 4320
> acl apache rep_header Server ^Apache
> broken_vary_encoding allow apache
> coredump_dir /usr/local/squid/cache
>
>
> Jsem vdecny za jakoukoli radu
>
> PM
>
>
>   

-- 
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l

Re: Stretnutie pouzivatelov FreeBSD v Bratislave, 1Q 2008

2007-12-18 Tema obsahu Toth Milan 

On 14.12.2007, at 18:20, Juraj Lutter wrote:

> Mili moji,
>
> ktori sledujeme vyvoj FreeBSD uvitame konecne legitimnu prilezitost k
> tomu, aby sme sa stretli, porozpravali sa o FreeBSD, aj o inych  
> beznych
> zivotnych situaciach.

tiez sa rad pridam :)

> otis

--
Toth Milan
[EMAIL PROTECTED]
http://toth-online.com
+421/905/144 269




-- 
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l

Re: problem s ukoncovanim rc scriptu v jailu pri rebootu

2007-12-18 Tema obsahu Dan Bilik 
On Sat, 15 Dec 2007 20:41:26 +0100
Miroslav Lachman <[EMAIL PROTECTED]> wrote:

>> nejaky hlasky navic ziskas pomoci rc_debug="YES" v rc.conf +
>> pouziti debug funkce.
> Zapisuji se ty hlasky nekam? Protoze pokud se jen vypisuji na konzoli, 
> tak v pripade jailu se mi jaksi nevypisuji nikam... nebo se pletu?

V threadu jsem nikde nedohledal verzi systemu, na kterem to provozujes,
nicmene v relativne cerstvem RELENG_7 by to melo byt ve
/var/log/jail_xxx_console.log.

Dan
-- 
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l

Re: OT: squid a nefunkcnost internetbankingu

2007-12-18 Tema obsahu Petr Macek 
Muj problem byl, ze squid byl s autorizaci. Z helpline mne odplakovali,
ze vetsina jejich klientu je za nejakou proxy s autorizaci a ze vsem to
funguje. Musel jsem udelat vyjimku:

acl banka dst 193.165.251.0/24
http_access allow banka

dale je v konfiguraci vyzadovana autorizace.

Od te chvile to bezi. Predtim se tma obcas nekdo dostal, ale jen
vyjimecne, zobrazovalo to prazdnou stranku a vzdy do minuty autorizacni
dialog od proxy.

Lepsi reseni je asi to ACL udelat pres dstdomain, ale ted jsem lenivy si
s tim hrat :-)

PM

Jozef Drahovsky napsal(a):
> Riesil som ten isty problem,
> po dlhych perepatich a nevysvetlitelnych chybach som sa dozvedel,
> ze bankovy software na servere v banke ma nastavene prisne timeouty.
> Ak klient komunikoval na linke sam, tak vsetko bolo ok, ak 
> linka/proxyserver
> bol zatazeny v case rovnomerne (napr. vela ftp prenosov) tak vsetko
> bolo vsetko tiez ok, ale ak zataz bola dynamicka a vyrazne sa menila 
> doba odozvy,
> tak to bankova strana zhodila.
> 
> V prvej faze sa zaviedlo pridelovenie pasma cez dummynet a poprosila banka
> o spolupracu. V druhej faze sa navysila rychlost linky a bezi to bez 
> problemov doteraz.
> 
> S pozdravom
> 
> Jozef Drahovsky
> 
> 
> Petr Macek  wrote / napísal(a):
>> Zdravim,
>> omlouvam se za OT a rovnou priznavam, ze squid proste nemam rad a spatne
>> konfiguruji :-) Zakaznik pozadoval proxy s autorizaci, to jede, ale mam
>> problem s jednou bankou. Po restartu squidu se to prvnimu uzivateli pry
>> obcas povede, potom uz ne. Porad to jen zobrazuje autorizacni dialog. V
>> logu je tohle:
>>
>> 1195632938.606 62 10.10.110.59 TCP_DENIED/407 1851 GET
>> http://www.volksbank.cz/vb/jnp/cz/home/index.html - NONE/- text/html
>> 1195632938.751145 10.10.110.59 TCP_MISS/200 17043 GET
>> http://www.volksbank.cz/vb/jnp/cz/home/index.html test
>> DIRECT/195.39.69.100 text/html
>> 1195632938.752  1 10.10.110.59 TCP_DENIED/407 1896 GET
>> http://www.volksbank.cz/vb/public/75/17/80/e/25_9356_general.css -
>> NONE/- text/html
>> 1195632938.767  0 10.10.110.59 TCP_DENIED/407 1890 GET
>> http://www.volksbank.cz/vb/public/5c/21/1/ea/23_9389_print.css - NONE/-
>> text/html
>> 1195632938.782 29 10.10.110.59 TCP_MISS/304 224 GET
>> http://www.volksbank.cz/vb/public/75/17/80/e/25_9356_general.css test
>> DIRECT/195.39.69.100 -
>>
>> Temer defaultni konfigurace vypada takhle:
>> auth_param digest program /usr/local/libexec/squid/digest_pw_auth
>> /usr/local/etc/squid/squid_pass
>> acl all src 0.0.0.0/0.0.0.0
>> acl manager proto cache_object
>> acl localhost src 127.0.0.1/255.255.255.255
>> acl to_localhost dst 127.0.0.0/8
>> acl SSL_ports port 443
>> acl Safe_ports port 80  # http
>> acl Safe_ports port 21  # ftp
>> acl Safe_ports port 443 # https
>> acl Safe_ports port 70  # gopher
>> acl Safe_ports port 210 # wais
>> acl Safe_ports port 1025-65535  # unregistered ports
>> acl Safe_ports port 280 # http-mgmt
>> acl Safe_ports port 488 # gss-http
>> acl Safe_ports port 591 # filemaker
>> acl Safe_ports port 777 # multiling http
>> acl CONNECT method CONNECT
>> http_access allow manager localhost
>> http_access deny manager
>> http_access deny !Safe_ports
>> http_access deny CONNECT !SSL_ports
>> acl password proxy_auth REQUIRED
>> http_access allow password
>> icp_access allow all
>> http_port 3128
>> hierarchy_stoplist cgi-bin ?
>> acl QUERY urlpath_regex cgi-bin \?
>> cache deny QUERY
>> cache_dir ufs /usr/local/squid/cache 5000 16 256
>> access_log /usr/local/squid/logs/access.log squid
>> refresh_pattern ^ftp:   144020% 10080
>> refresh_pattern ^gopher:14400%  1440
>> refresh_pattern .   0   20% 4320
>> acl apache rep_header Server ^Apache
>> broken_vary_encoding allow apache
>> coredump_dir /usr/local/squid/cache
>>
>>
>> Jsem vdecny za jakoukoli radu
>>
>> PM
>>
>>
>>   
> 


-- 
# ---
# Petr Macek
# [EMAIL PROTECTED]
# icq: 87323239
# www.kostax.cz

# MySQL www client (PHP) ... try it!
# http://the.cz/mywwwatcher

-- 
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l

Re: problem s ukoncovanim rc scriptu v jailu pri rebootu

2007-12-18 Tema obsahu Miroslav Lachman 
Dan Bilik wrote:
> On Sat, 15 Dec 2007 20:41:26 +0100
> Miroslav Lachman <[EMAIL PROTECTED]> wrote:
> 
>>>nejaky hlasky navic ziskas pomoci rc_debug="YES" v rc.conf +
>>>pouziti debug funkce.
>>
>>Zapisuji se ty hlasky nekam? Protoze pokud se jen vypisuji na konzoli, 
>>tak v pripade jailu se mi jaksi nevypisuji nikam... nebo se pletu?
> 
> 
> V threadu jsem nikde nedohledal verzi systemu, na kterem to provozujes,
> nicmene v relativne cerstvem RELENG_7 by to melo byt ve
> /var/log/jail_xxx_console.log.

Jedna se o 6.2, 7.0 mam zatim jen na jednom testovacim stroji a bez 
jailu. Ale diky za informaci, koukam, ze je to i v te 6.2, coz jsem ani 
nevedel!
Navic tedy pri rc_debug="YES" se to zapisuje i do /var/log/messages v jailu.

Clovek se uci kazdym okamzikem :o)

Mirek
-- 
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l