https e ssh acesso ao OpenVPN do windows

Navegue suas respostas
1

Instalei recentemente o OpenVPN em um servidor web do CentOS 7 remoto. Eu posso me conectar a ele de um devbox local do CentOS 7 digitando openvpn --config /path/to/client.ovpn . Uma vez que a conexão é feita, eu sou capaz de ssh para o servidor através da VPN digitando ssh [email protected] , e eu sou capaz de ver aplicativos web hospedados pelo apache no servidor remoto através da VPN, digitando https : / / 10.8.0.1 em um navegador da web. Então, como posso fazer com que meus usuários finais não técnicos façam as mesmas conexões https do Windows?

Eu baixei e instalei o cliente SecurePoint OpenVPN para Windows . Fui então capaz de criar uma configuração para o servidor, incluindo links para os arquivos .crt e .key e definições de outros parâmetros que foram definidos no arquivo client.ovpn no Linux. O cliente SecurePoint, em seguida, me forçou a usar um nome de usuário e senha para uma conta do sistema operacional no servidor remoto (talvez para melhor), mas não me permite conectar-se a aplicativos da Web em execução no servidor. Especificamente, digitar https : / / 10.8.0.1 em um navegador da Web resulta em "Esta página não pode ser exibida", embora meu devbox do Linux permita que o conteúdo seja servido do servidor por meio da vpn para o cliente, conforme descrito no parágrafo anterior. O que estou fazendo de errado? E como posso fazer isso funcionar?

EDITAR

Conforme o conselho da @ garethTheRed, digitei sudo firewall-cmd --list-all --zone=internal e obtive os seguintes resultados: 

internal (active)
  interfaces: tun0
  sources:
  services: dhcpv6-client https ipp-client mdns samba-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:
        rule family="ipv4" source NOT address="10.8.1.1" service name="ssh" reject

Em seguida, cliquei em "connect" na GUI do SecurePoint e, depois que a conexão com o servidor foi estabelecida, abri o cmd.exe e digitei ping 10.8.0.1 e obtive os seguintes resultados: 

Pinging 10.8.0.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 10.8.0.1:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Desmarcar a opção user / auth removeu o requisito de login do nome de usuário / senha.

Observe que, quando o SecurePoint está conectado, todos os outros acessos à Internet pelo navegador parecem bloqueados porque todas as solicitações de páginas são rejeitadas. Além disso, a VPN aparece na lista de janelas de redes Wi-Fi como "Rede não identificada" com "sem acesso à Internet". Quando eu me desconecto da VPN usando o SecurePoint, a "Rede não identificada" desaparece. Você pode ver o que parece quando a conexão VPN está ativa clicando neste link

O que mais posso experimentar?

    
por CodeMed 21.02.2015 / 03:20

1 resposta

2

Confirme se o seu firewall no servidor CentOS ( internal zone, se aquele em que o dispositivo tun0 está localizado) tiver https disponível como um serviço.

Você deve conseguir executar o ping no servidor em 10.8.0.1 da máquina Windows. Se isso funcionar, então sua VPN está ativa e funcionando e provavelmente é o firewall do servidor do CentOS que está bloqueando você.

Se o ping não funcionar, você terá problemas subjacentes mais profundos para resolver antes de examinar suas https páginas.

No caso do último, poste a saída de execução ìpconfig /all e route print na máquina Windows.

Cliente oficial do OpenVPN

Como um experimento, você também pode instalar o openvpn na máquina Windows e executá-lo de maneira semelhante à que você fez no cliente CentOS usando arquivos de configuração semelhantes. Pode dar uma pista do que está acontecendo:

Faça o download do cliente OpenVPN para Windows em aqui e instale-o. No final da instalação, você verá uma caixa de seleção que oferece para iniciar o cliente. Certifique-se de que o cliente NÃO seja iniciado.

Copie o arquivo *.ovpn da máquina CentOS (aquela que funcionava anteriormente) para a máquina Windows. Se você está transferindo o arquivo, você pode se deparar com a questão dos terminadores de linha Unix / DOS. O pacote dos2unix tem um conversor chamado unix2dos que converte os arquivos para o formato DOS para você.

Abra notepad como administrador (clique com o botão direito e escolha "Executar como administrador") e edite o arquivo *.ovpn alterando os caminhos para a chave e dois certificados lembrando-se de usar duas barras invertidas nos caminhos (por exemplo, C:\Users\Bloggs\key.pem ). Salve este arquivo em C:\Program Files\OpenVPN\config .

Inicie o cliente OpenVPN no menu Iniciar clicando com o botão direito e escolhendo "Executar como administrador" (isso é necessário somente na primeira vez que você executá-lo). Se o acima funcionou, você deve ser capaz de clicar com o botão direito no ícone na barra de tarefas e conectar. Se não houver opção de conexão, verifique o item acima.

Depois de um segundo ou três, você verá um pop-up informando que se conectou. Experimente a sua página https .

Configuração básica compatível com o Windows

Como teste, faça backup de sua configuração atual do servidor e tente o seguinte: 

port 1194
proto udp
dev tun
ca /etc/pki/openvpn/cacerts/CA.crt
cert /etc/pki/openvpn/public/OpenVPN_Server.crt
key /etc/pki/openvpn/private/OpenVPN_Server.pem  # This file should be kept secret
dh /etc/pki/openvpn/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3

Funciona no meu servidor com clientes Linux e Windows (o OpenVPN e o SecurePoint). Ele não fornecerá a funcionalidade necessária para o seu servidor, mas pode ajudá-lo a descobrir onde está o problema. Você pode precisar ajustar os caminhos para os arquivos, é claro.

Para referência, aqui está o arquivo *.ovpn que usei: 

client
dev tun
proto udp
remote <IP or FQDN of server> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
verb 3
ca C:\Users\gareth\ca.crt
cert C:\Users\gareth\client.pem
key C:\Users\gareth\key.crt

Para o cliente SecurePoint, deixei tudo como padrão diferente da caixa Auth user/pass , que desmarcou e (é claro) a chave e os certificados.

    
por 21.02.2015 / 16:01

Tags

Como o SCSM relaciona usuários afetados a solicitações de serviço? Nagios: check_load dinâmico baseado no número de cpu / núcleos / threads, existe algo assim?