[ Introducció ] [
Cas-Estudi
] [ Instal·lació ] [ Configuració base ] [
Àlies ] [ NAT
] [ Regles ] [ DNS ] [ DHCP
] [ Cabal ] [ OpenVPN ] [ Portal
]
[ OpenVPN sense DHCP ] [ spamd ]
Per poder comprendre bé el que s'explica en aquesta plana heu d'estar al corrent de que s'ha explicat a [ OpenVPN ] ...
Quan les comunicacions són una mica difícil convé treure-li feina al servidor OpenVPN que porta pfSense. Es tracta doncs de que el client es connecti emprant una adreça estàtica i, millor encara, establint ell mateix les rutes, el servidor DNS, el servidor WINS (si cal), etc.
Canvis a la configuració del client Windows XP
Canvis a la configuració del servidor OpenVPN
I com li diem els DNS? I els WINS?
Modifiquem el nostre arxiu domini.exemple.ovpn de la carpeta C:\Archivos de programa\OpenVPN\config deixant-lo de la següent forma:
dev tun dev-node TAP proto tcp-client nobind ifconfig 192.168.VVV.2 192.168.VVV.1 route 192.168.XXX.0 255.255.255.0 route 192.168.YYY.0 255.255.255.0 route 192.168.ZZZ.0 255.255.255.0 remote RRR.RRR.RRR.RRR 1194 keepalive 10 60 tls-client ca ca.crt cert client.crt key client.key ns-cert-type server comp-lzo verb 4 |
Essent 192.168.VVV.0/30 la VPN que només contindrà la IP del servidor (VVV.1) i la del client (VVV.2) que serveix per a l'administrador de les xarxes.
L'ús de tls-client en lloc de client (que implica pull i tls-client) fa que el servidor no doni cap ordre de com configurar-se al client (no pull). Per tant, el servidor no enviarà ni la ruta a la xarxa 192.168.XXX.0/24 i cal posar-la a la configuració. Per a més detalls visiteu http://openvpn.net/man.html.
Pel que fa al cantó del servidor caldrà ...
Observeu que:
Hem deshabilitat la casella [Dynamic IP].
Que el calaixó [Address pool] conté la IP del servidor OpenVPN que definim, la qual és la porta d'enllaç de la interfície TAP del nostre client Windows.
Que activem la casella [Use static IPs].
Que el calaixó [Local network] no deu servir per a res. No l'hem tocat, però.
Que el calaixó [Custom options] no conté res.
Malauradament sembla que hi ha un error a la versió 1.0.1 de pfSense i el servidor OpenVPN no es reinicia de forma neta, pel que caldrà reiniciar tot el nostre tallafocs un cop canviada la configuració.
Resulta que el client Windows de OpenVPN no té forma de configurar servidors DNS i/o WINS si no s'utilitza DHCP des del servidor OpenVPN.
Per tant li haurem de dir a la nostra interfície de xarxa virtual (que hem anomenat TAP) aquestes dades. Anirem doncs a les propietats de xarxa i les omplirem totes al nostre gust. Fins i tot hi haurem de posar la IP 192.168.VVV.2 sinó Windows no ens deixarà guardar les dades.
Si en el nostre client executem ipconfig /all haurem de veure alguna cosa com (tot i no haver-nos connectat):
Servidores DNS . . . . . . . . . .:
192.168.XXX.1 192.168.XXX.2 DDD.DDD.DDD.DDD DDD.DDD.DDD.DDD Adaptador Ethernet TAP : Sufijo de conexión específica DNS : domini.exemple Descripción. . . . . . . . . . . : TAP-Win32 Adapter V8 Dirección física. . . . . . . . . : 00-FF-D5-A4-3F-FC DHCP habilitado. . . . . . . . . : No Dirección IP. . . . . . . . . . . : 192.168.VVV.2 Máscara de subred . . . . . . . . : 255.255.255.252 Puerta de enlace predeterminada . : 192.168.VVV.1 Servidores DNS . . . . . . . . . .: 192.168.XXX.1 192.168.XXX.2 Servidor WINS principal . . . . . : 192.168.XXX.2 |
Observeu que hem configurat, tant a la tarja física (la primera, anomenada LAN) com a la virtual (la segona, anomenada TAP) els servidors DNS que tenim a la xarxa 192.168.XXX.0/24. D'aquesta manera acabarem d'una vegada per totes amb els problemes de resolució de noms cara a l'administració de la xarxa.
Un altre aspecte important és que com que estem treballant amb subxarxes és aconsellable disposar d'un servidor WINS per als clients Windows, el qual també hem indicat (192.168.XXX.2) i que en el nostre cas és la mateixa màquina que el segon DNS.
Amb tot això podrem accedir a les nostres màquines per IP, nom en el domini i nom NetBIOS. Per exemple 192.168.XXX.70, Pc70.domini.exemple o Pc70.
Autor: Josep Pujadas i Jubany
© 2007. Tots els drets reservats