Questions tagged «openvpn»

我有个人VPN，可以连接多个设备，以便它们可以在始终可访问的网络上具有固定的IP地址（只要它们已连接到Internet）。这对我来说是必要的，因为我的设备可以在不同的不可预测的网络（4G网络手机，大学的笔记本电脑，家庭的家庭服务器）上移动，并且我有一个备用服务器需要连接到它们（有时，我也必须）。 我也在考虑安装诸如同步之类的东西，它也可能受益于较低的延迟和更近的节点。 另外，我很懒，我喜欢从智能手机播放/暂停在家庭服务器上播放的音乐，这可能不在同一网络上（应该，但是并非总是如此）。 这意味着我有一台OpenVPN服务器，并且openvpn客户端在每台设备上运行。它们都连接到服务器，并且来自任何两个节点的任何流量都必须通过服务器，该服务器相对较远，并且吞吐量非常有限。这意味着延迟和缓慢。当我按下“暂停”按钮时，可能需要10秒钟才能真正暂停音乐。即使两个节点实际上都在同一局域网中（因为它们通过VPN进行通信）。嗯 理想情况下，应该存在某种创建VPN的方法，该方法能够找到节点之间的最短路径，并尝试直接连接它们。像Skype与超级节点一起工作的方式？ 当服务器远离此处时，其中一个节点具有公共IP地址，其他节点可以访问该地址。它可以充当它们的服务器-即使不是服务器本身，尽管对于某些节点来说这是一个更好的选择。 我想我可以做一些事情来同时运行客户端和服务器，并将它们桥接在该节点上，但这看起来并不优雅。这有点骇人听闻，它使PKI复杂化，分割了VPN。我不喜欢 尽管我可以使用像PPTP这样的简单VPN确实不能确保通信的安全性，但我还是决定不想麻烦配置Bacula来加密节点之间的连接，这意味着流量在VPN内是普通的。VPN封装是唯一的安全性，因此它不应弱。但是，无需保密即可解决类似“网状” VPN的任何事物都将是一个好的开始-我将确保流量开始通过SSL / TLS。 看来这是别人可能已经遇到的问题，并且现在已经解决了。像这样吗 我也有可能以错误的方式看待这个问题，但到目前为止，这似乎是确保无论何时何地无论我身在何处，始终可以远程连接到我的任何设备的最佳方法。

12 vpn  p2p  openvpn  distributed-computing 

我想知道是否可以编写一个脚本来监视文件中的更改并在检测到更改时执行一些操作。 详细说明： OpenVPN每1分钟将其状态写入一个文件。 我需要解析此状态文件并采取措施。 OpenVPN在写入之前会截断状态文件。 我尝试写入命名管道，但是当应用程序无法截断管道时，我在应用程序中遇到了不想要的（但不是致命的）错误。

12 linux  bash  openvpn  shell-scripting 

我已经配置了VPN服务器 local 192.168.0.250 dev tun proto udp port 1194 ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/server-vpn.crt key /etc/openvpn/easy-rsa/keys/server-vpn.key dh /etc/openvpn/easy-rsa/keys/dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig 10.8.0.1 10.8.0.2 push "route 10.8.0.1 255.255.255.255" push "route 10.8.0.0 255.255.255.0" push "route 192.168.0.250 255.255.255.0" push "dhcp-option DNS 8.8.8.8" push "redirect-gateway def1" client-to-client duplicate-cn keepalive 10 120 tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0 …

12 vpn  openvpn 

我的服务器LAN IP为192.168.1.1，并且在192.168.1.2上有一个Intranet Web服务器。OpenVPN守护程序配置为提供客户端192.168.2。*地址。 push "route 192.168.1.0 255.255.255.0"我希望配置中有一行代码，我希望它能使VPN客户端访问整个192.168.1.0网络，但它们只能访问192.168.1.1-VPN服务器本身。 我已经尝试启用net.ipv4.ip_forward = 1，/etc/sysctl.conf但这无济于事。 有任何想法吗？ PS：服务器运行Ubuntu 12.04。 PPS：OpenVPN在tunUDP模式下运行。

12 vpn  openvpn 

我有以下设置： 运行docker服务的CentOS主机 用户定义的Docker桥接网络 2个Docker容器连接到该用户定义的桥接网络 OpenVPN安装（当前在主机上运行。也可以在docker容器中运行） 一些客户端连接到OpenVPN 如何允许docker bridge网络上的docker容器与tun0网络上的openvpn客户端通信？ 我希望能够以透明方式在docker1（10.10.0.3）与连接到vpn（172.19.0.x范围）的客户端之间进行基于tcp的通信。 我需要在docker（网络/ iptables / ...）端和主机（iptables？）端设置什么

12 openvpn  docker 

在服务器和客户端配置中，我都设置了： cipher none auth none 遵循此建议，我还使用UDP端口1195。 启动服务器和客户端时，出现以下警告： Tue Dec 4 12:58:25 2018 ******* WARNING *******: '--cipher none' was specified. This means NO encryption will be performed and tunnelled data WILL be transmitted in clear text over the network! PLEASE DO RECONSIDER THIS SETTING! Tue Dec 4 12:58:25 2018 ******* WARNING …

11 openvpn 

我们正在通过BGAN卫星链路运行OpenVPN VPN，其中ping时间约为3秒。我们在tun配置中使用它，并且我们在Linux（CentOS）上运行。主要是通过链接发送的电子邮件，但是一旦邮件包含大附件，VPN就会停滞。 该“我可以通过隧道ping通，但任何实际工作导致其锁定。这是一个MTU的问题？” OpenVPN常见问题解答中的问题似乎准确地描述了我的问题，但使用mssfix并且fragment似乎并没有太多改善情况。 我的主要测试是使用scp通过VPN复制2MB的文件。它将复制大约192 KB，然后报告-停止-状态。如果我等了几秒钟，它将再次开始复制，然后又过几KB后再次停顿。 无论我是否在OpenVPN配置中设置了fragment或mssfix选项，都会发生这种停顿（尽管设置fragment 1000似乎确实可以减少停顿，但并不能消除停顿）。OpenVPN mtu-test报告的MTU大小为1542。 我在互联网上搜索了有关如何以及何时使用mssfixand的更多建议fragment，但是我只找到与FAQ相同的页面，而没有提供有关如何以及何时使用哪些参数的详细信息。 我的问题是： 什么时候使用mssfix和fragment？ 我用mssfix和fragment组合？ 如果mssfix和fragment是解决方案，是什么tun-mtu，link-mtu以及mtu-disc参数？ 此外，我一直在使用iperf工具来测量带宽。如果没有VPN，它将不断以210Kbits / sec的速度进行测量。 在VPN（）上使用iperf时$ iperf -c remoteserver -t60 -i5，它将以10Kbits / sec的速度开始，然后稳定上升直到报告为1.2Mbits / sec，然后似乎停滞不前，在此过程中它以0kbits / sec的速度进行多次迭代（I认为1.2Mbits / sec可能是由于某些OpenVPN缓冲等造成的） 是的iperf测量带宽的最佳方式？ 在这种情况下的任何帮助将不胜感激。

11 openvpn 

我有一个openVPN设置，其中用户在运行openVPN的Debian VM上没有外壳帐户。我在Googling上找到的所有文章都包含为经典* nix用户设置Google Authenticator的说明（例如，需要在用户的主目录中执行Authenticator二进制文件）。 是否有文档说明如何为仅基于.ovpn客户端使用的文件进行身份验证的openvpn服务器集成Google Authenticator ？ 我看了https://github.com/evgeny-gridasov/openvpn-otp，但是它仍然需要配置Google Authenticator。

11 openvpn  google-authenticator 

我有一个处理各种客户端的VPN服务器；有些仅支持ipv4，有些支持ipv4和ipv6，有些仅支持ipv6。这些客户端中有一些正在漫游，因此理想情况下，它们应连接到ipv6（如果可用），而回退到ipv4（如果不可用）。 在我当前的设置中，OpenVPN侦听ipv4和ipv6： proto udp proto udp6 dev tun 我的第一个问题是：虽然这似乎可行，但将两个协议都放在一个配置文件中是否安全正确？ 我的客户端在配置中有两个远程实例： remote vpn.domain.tld port udp6 remote vpn.domain.tld port udp 我的问题也在这里，因为这似乎可行（首先尝试udp6，如果失败将回退到udp），这是否是一个好方法？

11 openvpn  ipv6  ipv4 

有没有办法通过shell命令行断开由free-radius建立的openvpn连接？ 我具有有关openvpn连接的所有信息： 用户名 客户IP AccountSeassionID ...

11 linux  openvpn  freeradius2 

我正在尝试通过VPN连接使用桥接适配器配置虚拟机（运行Backtrack 4的VirtualBox来宾）。VPN由我所在大学的网络安全俱乐部托管，并连接到专为对该俱乐部构建的各种服务器进行渗透测试而设计的沙盒局域网。 我的主机（Windows 7 Ultimate）可以正常连接到VPN，并通过DHCP分配了IP，但是由于某种原因，VM无法做同样的事情，我不确定为什么。就像OpenVPN正在从无法识别的MAC地址中过滤出数据包。 我希望虚拟机桥接VPN连接，因为我们的IT部门对网络上可以做什么和不能做什么有非常严格的政策。我希望能够在沙盒环境中进行主动攻击（ARP欺骗，nmap，Nessus扫描），而不必冒意外流过大学网络并吊销我的Internet访问的风险。桥接VPN连接并从VM内部运行所有攻击都可以解决该问题。 知道主机为什么可以使用此接口，但VM无法使用该接口吗？

11 virtualization  vpn  virtualbox  openvpn  bridge 

我有一个加入Windows Server 2012 R2的域，该域上安装了OpenVPN 2.3.13客户端软件。当VPN连接处于活动状态时，NLA将“以太网2”（TAP接口）连接与主LAN NIC一起放在“域网络”类别中。理想情况下，我希望能够将VPN接口分配给“公共”类别。我已经通过PowerShell尝试过，但是不断出现此错误： 由于下列可能的原因之一，无法设置NetworkCategory。NetworkCategory不能从“ DomainAuthenticated”更改；由于组策略设置“网络列表管理器策略”，阻止了用户对NetworkCategory发起的更改。在第1行：char：1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + + CategoryInfo：PermissionDenied：（MSFT_NetConnect ... 72AADA665483}“）： root / StandardCi ... nnectionProfile）[Set-NetConnectionProfile]，CimException + FullyQualifiedErrorId：MI RESULT 2，Set-NetConnectionProfile 15是“以太网2”的接口号 值得注意的是，我在提升的PowerShell会话中运行此命令，并尝试了所有可用的GPO策略，但始终抛出该错误。关于NLA的大多数信息都建议在“私有”和“公共”之间切换应该可以，但是DomainAuthenicated似乎有些不同。 该注册表方法没有用于以太网2的实际配置文件，因此也不能以这种方式进行更改。 反正有强制TAP适配器公开的吗？OpenVPN连接本身不会覆盖主NIC的默认网关，而是使用10.0.0.0/8子网。我使用route-nopull和覆盖路由的事实可能是NLA检测网络问题的一部分。 Ethernet adapter Ethernet 2: Connection-specific DNS Suffix . : Link-local IPv6 Address . . . …

10 windows  windows-server-2012-r2  group-policy  openvpn 

这个问题类似于openvpn的lxc guest虚拟机中的No tun设备。LXC不断发展，最近引入了无特权的LXC容器，它提供了另一层防止越狱的安全性。 我需要在一个没有特权的容器中创建一个OpenVPN服务器。我不知道如何让容器创建专用的Tun网络设备。 我确实附加lxc.cgroup.devices.allow = c 10:200 rwm到~/.local/share/lxc/mylxc/config。 启动容器后，mknod /dev/net/tun c 10 200返回mknod: '/dev/net/tun': Operation not permitted容器内部。 我使用香草Ubuntu 14.04 64bit作为主机，并使用 lxc-create -t download -n mylxc -- -d ubuntu -r trusty -a amd64 是否有人设法使/dev/tun设备在非特权LXC下运行？

10 openvpn  lxc  tun 

我重新启动了服务器，一个奇怪的问题出来了。我在ArchLinux上运行，客户端是Ubuntu，Android和Mac。 问题在于，通过客户端访问Internet的速度很慢，大约为2ko / s，然后逐渐停止。 但是，从服务器直接下载某些内容到客户端是全速的。而且，很明显，来自服务器的Internet处于全速状态（40mo / s）。 我不知道重新启动后发生了什么，但是此问题在所有客户端上都存在，并且仅与将openvpn转发到Internet的流量有关。 编辑：尝试与tcp，没有解决。编辑：测试了各种片段/ mtu设置，没有更改。 这是我的所有conf： ╭─<root@Alduin>-</etc/openvpn>-<1:45:07>-◇ ╰─➤ cat Alduin.conf ccd/Thunderaan local 212.83.129.104 port 1194 proto udp dev tun ca keys/ca.crt cert keys/Alduin.crt key keys/Alduin.key dh keys/dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "dhcp-option DNS 10.8.0.1" client-to-client keepalive 5 60 ping-timer-rem comp-lzo persist-key persist-tun status …

10 linux  iptables  routing  ip  openvpn 

我有一组办公室，它们通过远端的DSL链路都连接到总公司，以节省成本。（我们是非营利组织，请不要问） 从历史上看，处理远程站点的ISP和处理OpenVPN所运行的T1线路的ISP之间的链接存在明显的问题，因此这些链接经常断开。 我们的邮件服务器的公共接口位于第一提供商的网络上，因此工作正常，但是速度较慢，因为它也是DSL。 为了解决上游网络的不可靠性问题，我编写了一个脚本，该脚本简单地修改了远程站点上的DNS记录，以在隧道打开时指向内部IP，而在到主站点的VPN隧道关闭时则指向公共IP。 如何以一种更加优雅的方式做到这一点，这种方式将是瞬时的（而不是由cron驱动的脚本）并且对用户透明？ 编辑：远程办公室：运行各种供应商提供的Actiontecs和Motorola以及一些带有Netgears和Linksys防火墙的Ubuntu 9.10 LTSP服务器。主办公室：几乎100％的Linux（在本例中为CentOS），带有多个Netgear FVS318 / 338系列防火墙，并为/ 27上的每个IP提供了单独的防火墙。（另一个不要问，那是在我到达这里之前）

10 vpn  routing  openvpn