VPN, pytania ogólne + pomoc w konfiguracji

Na początek może pytania, potem jak już będę wiedział dokładnie co chcę osiągnąć będę pytał o konfigurację.

Mam sobie sieć osiedlową, w tej sieci osiedlowej własnego IP zewnętrznego nie dostanę, nie udało się także wyżebrać przekierowania żadnego portu do mnie. Mam sobie także VPSa, na nim mam oczywiście IP tylko dla siebie, więc zastanawiam się, czy mogę zrobić coś takiego, że utworzę połączenie VPN i wtedy połączenia przychodzące na określonych portach na VPS będą kierowane do mnie? Ode mnie ruch chciałbym, żeby cały szedł po VPNie, przynajmniej ISP nic sobie logów nie pozbiera ;)

Przyznam się, że zacząłem już się tym bawić, zainstalowałem serwer VPN na VPSie, na routerze z Tomato uruchomiłem klienta - nawet (wg logów) się w końcu połączyło, natomiast ruch i tak idzie "normalnie", podejrzewam, że muszę coś pogrzebać przy konfiguracji VLANów --- ale to zostawmy na potem, na razie interesuje mnie pytanie akapit wyżej.

Mam sobie także VPSa, na nim mam oczywiście IP tylko dla siebie, więc zastanawiam się, czy mogę zrobić coś takiego, że utworzę połączenie VPN i wtedy połączenia przychodzące na określonych portach na VPS będą kierowane do mnie?

Możesz. Tylko twój VPS musi robić routing -> cokolwiek na porcie jakimśtam przeroutuj do drugiego komputera w tej samej "wirtualnej" sieci lokalnej. Dość podobnie jak robi to router domowy ;-)

Ode mnie ruch chciałbym, żeby cały szedł po VPNie, przynajmniej ISP nic sobie logów nie pozbiera ;)

Możesz. Tylko znów twój VPS musi robić routing, ew. NAT czy podobne inne rozwiązanie, jeśli masz więcej urządzeń w sieci swojej domowej. I oczywiście twój router domowy też musi wszystkie połączenia - poza połączeniem z serwerem VPN - routować przez serwer VPN.

Na swoim VPS masz już skonfigurowany forwarding? Jaki system? VPN realizujesz przez OpenVPN?

Żebyśmy mogli ci poradzić konkretnymi linijkami konfiguracji podaj wyniki iptables --list i route na VPS oraz routerze.

Generalnie troszeczkę prościej byłoby, gdybyś klient vpn zainstalował już na swoim docelowym komputerze.

Sądziłem, że prościej będzie jeżeli klient VPN będzie na routerze właśnie, z pewnością jest to lepsze rozwiązanie jeżeli chodzi o fakt, że do routera będą wpięte 4 osoby i konfigurowanie VPN (w celach 'ochrony prywatności', tylko jeden komputer będzie udostępniał usługi) na każdym z nich (albo jakimś "przychodnym") to więcej zabawy (chyba).

Ogólnie dziś w konfigurację tego się nie zabawimy, ponieważ na ten moment znajduję się poza domem. Póki co chciałem popytać, a tematem zająć się w sobotę wieczorem.

OpenVPN

13390:~# iptables --list
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

13390:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
default         *               0.0.0.0         U     0      0        0 venet0

Konfiguracja OpenVPN (z jakiegoś tutka, ja z Linuksa to umiem zainstalować parę serwerów z paczek na Debianie i to uruchomić, żeby działało ;p):

dev tun
ifconfig 10.8.0.1 10.8.0.2
secret /etc/openvpn/static.key
proto tcp-server
daemon
verb 4
log-append /var/log/openvpn.og
keepalive 10 900
inactive 3600
comp-lzo

Startowane przez:
openvpn --config /etc/openvpn/static.conf

Odgrzebuję i dorzucam konfigurację z routera (oprogramowanie Tomato): http://i.imgur.com/Ac63C.jpg || połączenie jest jak widać: http://i.imgur.com/98GjU.jpg (nie byłoby tej tabelki bez połączenia)

Jak wpiszę teraz w iptables przekierowanie powiedzmy połączeń na porcie 666 do 10.8.0.2 to to już będzie działać? (w sensie przychodzące połączenia na porcie 666 będą szły do mojego routera, stamtąd przekieruje je na mój komputer)

Ktoś kojarzy jak ogarnąć z kolei tunelowanie ruchu ode mnie przez VPN (najlepiej nie całego, tylko np. po portach 1-1023)?

dzek69 napisał(a):

Na początek może pytania, potem jak już będę wiedział dokładnie co chcę osiągnąć będę pytał o konfigurację.

Mam sobie sieć osiedlową, w tej sieci osiedlowej własnego IP zewnętrznego nie dostanę, nie udało się także wyżebrać przekierowania żadnego portu do mnie. Mam sobie także VPSa, na nim mam oczywiście IP tylko dla siebie, więc zastanawiam się, czy mogę zrobić coś takiego, że utworzę połączenie VPN i wtedy połączenia przychodzące na określonych portach na VPS będą kierowane do mnie? Ode mnie ruch chciałbym, żeby cały szedł po VPNie, przynajmniej ISP nic sobie logów nie pozbiera ;)

Przyznam się, że zacząłem już się tym bawić, zainstalowałem serwer VPN na VPSie, na routerze z Tomato uruchomiłem klienta - nawet (wg logów) się w końcu połączyło, natomiast ruch i tak idzie "normalnie", podejrzewam, że muszę coś pogrzebać przy konfiguracji VLANów --- ale to zostawmy na potem, na razie interesuje mnie pytanie akapit wyżej.

postaw sobie openvpn na vpsie, konfiguracja jest trywialna, siec domowa wtedy podpinasz endpointem do vpn i masz wjazd do swojej sieci z dowolnego miejsca na ziemi, ja tego uzywam na co dzien i sprawdza sie znakomicie :)

dzek69 napisał(a):

Ktoś kojarzy jak ogarnąć z kolei tunelowanie ruchu ode mnie przez VPN (najlepiej nie całego, tylko np. po portach 1-1023)?

na iptables da sie dodac regulke pre route z -t nat na interfejsie tun0 wtedy powinien ruch isc przez vpn, jedynie nie wiem czy mozna to zawiezic do grupy portow

jeżeli nie zawężę tego do grupy portów to chyba pozbędę się ssh?
poza tym prosiłbym o jaśniejszy przekaz niż "podpinasz endpointem do vpn"

openvpn jest postawiony, dalem nawet konfigurację. prosiłbym - jeżeli już decydujesz się odpisać (= pomóc) - o większą uwagę, dzięki ;)

dzek69 napisał(a):

jeżeli nie zawężę tego do grupy portów to chyba pozbędę się ssh?
poza tym prosiłbym o jaśniejszy przekaz niż "podpinasz endpointem do vpn"

ogolnie stawiasz serwer openvpn na vps, i klienta na gatewayu i dzieki temu cala siec za gatewayem jest widoczna bo routing vpn dziala na vpn, jedyne co trzeba zrobic to "zpushowac" statyczną trase do klientow za pomoca ccd i iroute:

10.0.0.0/24 - siec vpn
192.168.1.0/24 - siec lan

konfiguracja serwera:

local 1.2.3.4
port 1194

proto tcp
dev tun

ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem

server 10.0.0.0 255.255.255.0

route 192.168.1.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.1"

client-config-dir /etc/openvpn/ccd                                                                     
client-to-client                                                                                                 
 
persist-key
persist-tun

verb 1
log-append /var/log/openvpn.log

keepalive 10 900
inactive 3600
comp-lzo

dodatkowo w pliku /etc/openvpn/ccd/endpoint

iroute 192.168.1.0 255.255.255.0

konfiguracja klienta

client

dev tun
proto tcp
remote 1.2.3.4 1194

resolv-retry infinite
nobind

persist-key
persist-tun

ca /etc/openvpn/ca.crt
cert /etc/openvpn/klient.crt
key /etc/openvpn/klient.key

verb 1
log-append /var/log/openvpn.log

keepalive 10 900
inactive 3600
comp-lzo