AskOverflow.Dev

AskOverflow.Dev Logo AskOverflow.Dev Logo

AskOverflow.Dev Navigation

  • 主页
  • 系统&网络
  • Ubuntu
  • Unix
  • DBA
  • Computer
  • Coding
  • LangChain

Mobile menu

Close
  • 主页
  • 系统&网络
    • 最新
    • 热门
    • 标签
  • Ubuntu
    • 最新
    • 热门
    • 标签
  • Unix
    • 最新
    • 标签
  • DBA
    • 最新
    • 标签
  • Computer
    • 最新
    • 标签
  • Coding
    • 最新
    • 标签
主页 / computer / 问题

问题[openvpn](computer)

Martin Hope
schoel
Asked: 2025-03-11 19:06:11 +0800 CST

如何为不同的群组设置 OpenVPN 子网?

  • 5

我已尝试根据此处的先前问题设置 OpenVPN: 有没有办法使用 OpenVPN 设置多个独立的 VPN?

但是,我不明白是什么阻止特定子网中的用户更改他们所连接的端口,以便他们可以访问另一个子网?

客户端密钥和证书应如何生成,以便它们只能连接到具有其特定子网的守护进程/服务器?我正在使用 easy-rsa。

openvpn
  • 1 个回答
  • 21 Views
Martin Hope
Nikolai Vorobiev
Asked: 2024-10-08 12:32:29 +0800 CST

我需要在 OpenVPN 中为路由器创建配置文件吗?

  • 5

在文档中不清楚我是否需​​要创建一个配置文件或者我只需要检查它?

这不是重复的,因为在这里我询问的是是否需要创建我的,而不是查找。

OpenVPN 的配置仅包括使用此命令 bash <(curl -fsS https://as-repository.openvpn.net/as/install.sh

openvpn
  • 1 个回答
  • 26 Views
Martin Hope
Kevin Rahe
Asked: 2024-10-04 21:56:17 +0800 CST

VPN 服务器/Open VPN 证书未警告就已更新

  • 6

我有一台 Synology Diskstation DS220+。几个月前,我安装了 VPN Server 软件包并启用了 OpenVPN,这样我就可以从远程计算机访问文件。大约 4 个月以来,一切运行正常。几天前,当我尝试使用 OpenVPN 客户端连接到 VPN 时,我开始收到 TLS 错误,无法连接。我凭直觉使用 Synology VPN Server 的导出配置功能重新导出了配置。我开始将 VPNConfig.ovpn 文件的内容与我在客户端上使用的内容进行比较,当我找到该auth-user-pass部分时,我注意到证书代码 () 存在差异<ca> ---BEGIN CERTIFICATE--- ... ---END CERTIFICATE--- </ca>。我将新证书数据复制到客户端的配置文件中,覆盖现有数据,然后我就可以再次连接到 VPN。

我的问题是,是什么促使 VPN 服务器更新其证书,以及我如何知道这种情况是否/何时再次发生,以便我不会因无法访问 VPN 而陷入困境?

openvpn
  • 1 个回答
  • 20 Views
Martin Hope
Álvaro García
Asked: 2024-05-09 15:32:58 +0800 CST

在OpenVPN中,EC和ED有什么区别?使用椭圆曲线时需要DH文件吗?

  • 5

在 OpenVpn 连接中,我想使用椭圆曲线,但我不知道 EC 和 ED 之间有什么区别。哪个更好?

另外,在一些文档中我读到存在 ECDH,如果我没记错的话,它是椭圆曲线与 Diffie-Hellman 的组合。但我不确定 ECDH 是否与 EC 相同。如果不一样的话EC是不是就不需要DH文件了?如果不一样,ECDH 比 EC 更好吗?

如果EC与ED不同,ED是否需要DH文件?

综上所述,我想知道不同算法之间的区别以及哪种算法更好。

谢谢。

openvpn
  • 1 个回答
  • 20 Views
Martin Hope
Vindicar
Asked: 2023-11-30 01:05:47 +0800 CST

如果在 OpenVZ 下运行,如何配置 iptables 以允许 OpenVPN 客户端通过服务器访问互联网?

  • 5

所以我现在拥有的是:

  • 客户端可以连接到在 ubuntu 22.04 下运行的工作 VPN 服务器
  • ip_forward在服务器上启用

我没有的是客户端能够使用 VPN 服务器上的 NAT 访问互联网。换句话说,如果我使用redirect-gateway选项,客户端可以访问专用网络内的资源,但无法访问互联网。

这是网络配置(替换了前两个八位字节):

root:~# ifconfig
lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 10.42.0.1  netmask 255.255.255.0  destination 10.42.0.1
        inet6 fe80::dd0b:2f12:6907:258d  prefixlen 64  scopeid 0x20<link>
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 500  (UNSPEC)

venet0: flags=211<UP,BROADCAST,POINTOPOINT,RUNNING,NOARP>  mtu 1500
        inet 127.0.0.1  netmask 255.255.255.255  broadcast 0.0.0.0  destination 127.0.0.1
        inet6 ::2  prefixlen 128  scopeid 0x80<compat,global>
        inet6 2a02:7b40:6deb:474e::1  prefixlen 128  scopeid 0x0<global>
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 0  (UNSPEC)

venet0:0: flags=211<UP,BROADCAST,POINTOPOINT,RUNNING,NOARP>  mtu 1500
        inet 555.777.71.78  netmask 255.255.255.255  broadcast 555.777.71.78  destination 555.777.71.78
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 0  (UNSPEC)

venet0:1: flags=211<UP,BROADCAST,POINTOPOINT,RUNNING,NOARP>  mtu 1500
        inet 666.777.71.78  netmask 255.0.0.0  broadcast 666.255.255.255  destination 666.777.71.78
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 0  (UNSPEC)

现在,我正在尝试根据我在 Web 上找到的内容设置 NAT 的 iptables 规则。我当前的 iptables 设置与我获得 VPS 时的设置相同:

root:~# iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT

root:~# iptables -t nat -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT

我试过了: -A POSTROUTING -s 10.42.0.0/24 -o venet0 -j SNAT --to-source 555.777.71.78

我也尝试过这个规则集

-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -i tun0 -o venet0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i venet0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-t nat -A POSTROUTING -s 10.42.0.0/24 -o venet0 -j MASQUERADE

两者似乎都没有效果。如果我理解正确的话,规则应该在添加后立即生效,但在重新启动后不会持续存在,除非明确保存。那么是否有涵盖这一特殊情况的最新教程,或者如果没有,我应该从哪里开始阅读来解决这个问题?

openvpn
  • 1 个回答
  • 16 Views
Martin Hope
Álvaro García
Asked: 2023-10-24 16:33:36 +0800 CST

OpenVPN 中 TLS_AES_256_GCM_SHA384 比 TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384 更安全吗?

  • 5

我正在阅读有关 OpenVPN 2.6.6 配置的文档,我对 TLS 密码有疑问。

我运行这个命令:

openvpn --show-tls

我看到以下信息:

Available TLS Ciphers, listed in order of preference:

For TLS 1.3 and newer (--tls-ciphersuites):

TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256

For TLS 1.2 and older (--tls-cipher):

TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384

列出了 TLS 版本。我想使用 TLS 1.3,因此推荐的选项似乎是 TLS_AES_256_GCM_SHA384,因为它是按优先顺序列出的。

如果我没记错的话,椭圆密码比非椭圆密码更安全,但 TLS 1.3 不推荐任何椭圆密码,只推荐 AES。

所以我的问题是,我可以在 TLS 1.3 中使用椭圆密码吗?为什么它不推荐 TLS 1.3 使用椭圆密码?

我问这个是因为后来,对于其他选项,如 tls cert 配置文件,使用配置文件 suiteb,它似乎是最安全的,它仅与 SHA256/SHA384、ECDSA 与 P-256 或 P-384 兼容。

那么总的来说,使用椭圆密码是否比不使用它更好?为什么 OpenVPN 不推荐使用 TLS 1.3?

openvpn
  • 1 个回答
  • 23 Views
Martin Hope
Álvaro García
Asked: 2023-10-24 02:43:39 +0800 CST

如何使用 EasyRsa3 创建 HMAC 文件?

  • 5

使用旧版本的 Easy-RSA,我使用这种方式创建 HMAC 文件:

Openvpn—genkey—secret ta.key

但是,我没有看到使用 EasyRSA3 创建此文件的方法。我正在关注此文档:EasyRsa3 文档

也许新版本的 OpenVpn 不需要使用 HMAC?

openvpn
  • 1 个回答
  • 18 Views
Martin Hope
Cheetaiean
Asked: 2022-07-28 11:40:30 +0800 CST

OpenVPN:无法从与服务器位于同一本地网络的设备访问远程客户端

  • 5

这基本上是这里的问题,但反过来。我有一个远程 OpenVPN 客户端,它连接到我的服务器并使用地址 10.1.0.29 进行注册。无论是通过 ping、ssh 还是 apache Web 服务器,都可以从服务器轻松访问此地址。但是,服务器本地网络上的其他机器无法以任何方式访问这个 10.1.0.29 地址。

可能是什么问题?OpenVPN 服务器确实打开了 ip_forwarding,当 OpenVPN 客户端与 OpenVPN 服务器位于同一局域网时,系统工作正常。但是一旦 OpenVPN 客户端处于远程连接上,ovpn 服务器局域网上的任何机器都无法访问它,只能访问服务器本身。

见下图:数据包到达服务器,然后甚至被重新传输: 在此处输入图像描述

更新:客户端也在接收数据包,它只是拒绝确认或对它做任何事情。

客户端上的路由选项: 在此处输入图像描述

networking openvpn
  • 1 个回答
  • 147 Views
Martin Hope
jackyyy
Asked: 2022-04-23 02:11:15 +0800 CST

如何在不修改全局路由表的情况下将 openvpn/wireguard 转发到另一个 wirdguard 接口?

  • 5

我有一个wireguard接口wg_vpn,但我不希望它是全局的,所以我在wg_vpn.conf中添加了“Table = off”这一行,以防止wg-quick修改路由表。

我还有一个openvpn/wireguard接口tun0/wg0,客户端可以通过它访问我的服务器。我创建了这些 iptables 规则:

    iptables -t nat -A POSTROUTING -o wg_vpn  -j MASQUERADE
    iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    iptables -A FORWARD -i wg0 -o wg_vpn -j ACCEPT
    
    ip6tables -t nat -A POSTROUTING -o wg_vpn  -j MASQUERADE
    ip6tables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    ip6tables -A FORWARD -i wg0 -o wg_vpn -j ACCEPT

但是它们不起作用,除非我通过以下方式使 wg_vpn 全局化:

    ip route add default dev wg_vpn
    ip -6 route add default dev wg_vpn

然后他们工作。

但是我只想将tun0/wg0转发到wg_vpn而不修改全局路由表,请问我知道如何实现吗?

提前致谢!

openvpn routing
  • 1 个回答
  • 631 Views
Martin Hope
draca
Asked: 2022-04-11 10:05:58 +0800 CST

OpenVPN 连接但 IP 不变

  • 7

我在个人 AWS EC2 实例上设置了 OpenVPN 服务器,并尝试从 Ubuntu 14.04 客户端连接到它。(我必须更新服务器以获得 TLS 1.0 的最低版本才能使握手工作)

现在,当我键入sudo openvpn --config client.ovpn它似乎连接时,通过以“初始化序列完成”结束日志消息

但是,在我的网络浏览器中,我的 IP 地址与我的家庭 IP 地址相同。

完成 vpn 连接需要什么?

编辑:我包括“ip route”和openvpn命令的日志输出

连接到 openvpn 之前的“ip route”输出

default via 192.168.1.1 dev eth0  proto static 
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.12  metric 1 

注意:在下面的所有输出中,我已将我的 openvpn 服务器的公共 ip 替换为 111.222.333.444 以保持匿名

openvpn 命令的输出

sudo openvpn --config client.ovpn  --redirect-gateway def1  --auth-user-pass pass.txt 
Tue Apr 12 07:04:20 2022 OpenVPN 2.3.2 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [IPv6] built on Jun 22 2017
Tue Apr 12 07:04:20 2022 WARNING: file 'pass.txt' is group or others accessible
Tue Apr 12 07:04:20 2022 Control Channel Authentication: tls-auth using INLINE static key file
Tue Apr 12 07:04:20 2022 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr 12 07:04:20 2022 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr 12 07:04:20 2022 Socket Buffers: R=[212992->212992] S=[212992->212992]
Tue Apr 12 07:04:20 2022 UDPv4 link local: [undef]
Tue Apr 12 07:04:20 2022 UDPv4 link remote: [AF_INET]111.222.333.444:1194
Tue Apr 12 07:04:20 2022 TLS: Initial packet from [AF_INET]111.222.333.444:1194, sid=2847d960 bd54dabd
Tue Apr 12 07:04:20 2022 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue Apr 12 07:04:20 2022 VERIFY OK: depth=1, CN=OpenVPN CA
Tue Apr 12 07:04:20 2022 VERIFY OK: nsCertType=SERVER
Tue Apr 12 07:04:20 2022 VERIFY OK: depth=0, CN=OpenVPN Server
Tue Apr 12 07:04:21 2022 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Apr 12 07:04:21 2022 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr 12 07:04:21 2022 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Apr 12 07:04:21 2022 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr 12 07:04:21 2022 Control Channel: TLSv1, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-SHA, 2048 bit RSA
Tue Apr 12 07:04:21 2022 [OpenVPN Server] Peer Connection Initiated with [AF_INET]111.222.333.444:1194
Tue Apr 12 07:04:23 2022 SENT CONTROL [OpenVPN Server]: 'PUSH_REQUEST' (status=1)
Tue Apr 12 07:04:23 2022 PUSH: Received control message: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,comp-lzo no,redirect-private def1,redirect-private bypass-dhcp,redirect-private autolocal,redirect-private bypass-dns,route-gateway 172.27.232.1,route 172.27.224.0 255.255.240.0,route 172.31.0.0 255.255.0.0,block-ipv6,ifconfig 172.27.232.15 255.255.248.0,auth-token SESS_ID'
Tue Apr 12 07:04:23 2022 Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:4: dhcp-pre-release (2.3.2)
Tue Apr 12 07:04:23 2022 Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:5: dhcp-renew (2.3.2)
Tue Apr 12 07:04:23 2022 Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:6: dhcp-release (2.3.2)
Tue Apr 12 07:04:23 2022 Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:18: block-ipv6 (2.3.2)
Tue Apr 12 07:04:23 2022 OPTIONS IMPORT: timers and/or timeouts modified
Tue Apr 12 07:04:23 2022 OPTIONS IMPORT: explicit notify parm(s) modified
Tue Apr 12 07:04:23 2022 OPTIONS IMPORT: LZO parms modified
Tue Apr 12 07:04:23 2022 OPTIONS IMPORT: --ifconfig/up options modified
Tue Apr 12 07:04:23 2022 OPTIONS IMPORT: route options modified
Tue Apr 12 07:04:23 2022 OPTIONS IMPORT: route-related options modified
Tue Apr 12 07:04:23 2022 ROUTE_GATEWAY 192.168.1.1/255.255.255.0 IFACE=eth0 HWADDR=ec:f4:bb:57:57:1a
Tue Apr 12 07:04:23 2022 TUN/TAP device tun0 opened
Tue Apr 12 07:04:23 2022 TUN/TAP TX queue length set to 100
Tue Apr 12 07:04:23 2022 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Tue Apr 12 07:04:23 2022 /sbin/ip link set dev tun0 up mtu 1500
Tue Apr 12 07:04:23 2022 /sbin/ip addr add dev tun0 172.27.232.15/21 broadcast 172.27.239.255
Tue Apr 12 07:04:28 2022 ROUTE remote_host is NOT LOCAL
Tue Apr 12 07:04:28 2022 /sbin/ip route add 111.222.333.444/32 via 192.168.1.1
Tue Apr 12 07:04:28 2022 /sbin/ip route add 0.0.0.0/1 via 172.27.232.1
Tue Apr 12 07:04:28 2022 /sbin/ip route add 128.0.0.0/1 via 172.27.232.1
Tue Apr 12 07:04:28 2022 /sbin/ip route add 172.27.224.0/20 via 172.27.232.1 metric 101
Tue Apr 12 07:04:28 2022 /sbin/ip route add 172.31.0.0/16 via 172.27.232.1 metric 101
Tue Apr 12 07:04:28 2022 Initialization Sequence Completed

连接到 openvpn 后的“ip route”输出

0.0.0.0/1 via 172.27.232.1 dev tun0
default via 192.168.1.1 dev eth0  proto static
111.222.333.444 via 192.168.1.1 dev eth0            
128.0.0.0/1 via 172.27.232.1 dev tun0
172.27.224.0/20 via 172.27.232.1 dev tun0  metric 101
172.27.232.0/21 dev tun0  proto kernel  scope link  src 172.27.232.15
172.31.0.0/16 via 172.27.232.1 dev tun0  metric 101
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.12  metric 1
openvpn
  • 1 个回答
  • 1717 Views

Sidebar

Stats

  • 问题 205573
  • 回答 270741
  • 最佳答案 135370
  • 用户 68524
  • 热门
  • 回答
  • Marko Smith

    如何减少“vmmem”进程的消耗?

    • 11 个回答
  • Marko Smith

    从 Microsoft Stream 下载视频

    • 4 个回答
  • Marko Smith

    Google Chrome DevTools 无法解析 SourceMap:chrome-extension

    • 6 个回答
  • Marko Smith

    Windows 照片查看器因为内存不足而无法运行?

    • 5 个回答
  • Marko Smith

    支持结束后如何激活 WindowsXP?

    • 6 个回答
  • Marko Smith

    远程桌面间歇性冻结

    • 7 个回答
  • Marko Smith

    子网掩码 /32 是什么意思?

    • 6 个回答
  • Marko Smith

    鼠标指针在 Windows 中按下的箭头键上移动?

    • 1 个回答
  • Marko Smith

    VirtualBox 无法以 VERR_NEM_VM_CREATE_FAILED 启动

    • 8 个回答
  • Marko Smith

    应用程序不会出现在 MacBook 的摄像头和麦克风隐私设置中

    • 5 个回答
  • Martin Hope
    Vickel Firefox 不再允许粘贴到 WhatsApp 网页中? 2023-08-18 05:04:35 +0800 CST
  • Martin Hope
    Saaru Lindestøkke 为什么使用 Python 的 tar 库时 tar.xz 文件比 macOS tar 小 15 倍? 2021-03-14 09:37:48 +0800 CST
  • Martin Hope
    CiaranWelsh 如何减少“vmmem”进程的消耗? 2020-06-10 02:06:58 +0800 CST
  • Martin Hope
    Jim Windows 10 搜索未加载,显示空白窗口 2020-02-06 03:28:26 +0800 CST
  • Martin Hope
    andre_ss6 远程桌面间歇性冻结 2019-09-11 12:56:40 +0800 CST
  • Martin Hope
    Riley Carney 为什么在 URL 后面加一个点会删除登录信息? 2019-08-06 10:59:24 +0800 CST
  • Martin Hope
    zdimension 鼠标指针在 Windows 中按下的箭头键上移动? 2019-08-04 06:39:57 +0800 CST
  • Martin Hope
    jonsca 我所有的 Firefox 附加组件突然被禁用了,我该如何重新启用它们? 2019-05-04 17:58:52 +0800 CST
  • Martin Hope
    MCK 是否可以使用文本创建二维码? 2019-04-02 06:32:14 +0800 CST
  • Martin Hope
    SoniEx2 更改 git init 默认分支名称 2019-04-01 06:16:56 +0800 CST

热门标签

windows-10 linux windows microsoft-excel networking ubuntu worksheet-function bash command-line hard-drive

Explore

  • 主页
  • 问题
    • 最新
    • 热门
  • 标签
  • 帮助

Footer

AskOverflow.Dev

关于我们

  • 关于我们
  • 联系我们

Legal Stuff

  • Privacy Policy

Language

  • Pt
  • Server
  • Unix

© 2023 AskOverflow.DEV All Rights Reserve