OpenVPN v Jailu

Miroslav Lachman 000.fbsd at quip.cz
Sun May 13 03:40:12 CEST 2007


Mam takovy dost specificky problem - v jailu je zprovoznena urcita 
aplikace, zalozena na Apache + PHP + MySQL, data v databazi je vsak 
potreba predavat a ziskavat do / z MS SQL na jinem stroji kdesi v 
internetu. V PHP to ma tedy jit pres unixODBC (php5-odbc extension). A 
jeste tohle spojeni na MS SQL server je protunelovano skrz OpenVPN.

A ted prave prichazi ten problem - OpenVPN tedy patrne vubec nemohu 
provozovat v tomto Jailu, protoze do neho nedostanu TUN / TAP device.
Resenim by tedy mohlo byt, ze OpenVPN zprovoznim (jako client) v 
hostitelskem systemu a pres rdr/nat nejakym zpusobem prelozim na urcity 
port do Jailu. Skrz tu OpenVPN ma prochazet prave jen na vzdaleny MS SQL 
server a z druhe strany z toho serveru povolit komunikaci do MySQL v 
Jailu a nic jineho.

OpenVPN konfigurak mi byl zaslan druhou stranou, kde je zprovoznen 
OpenVPN server (na Windows):
--------------
client
dev tap
dev-node "OpenVPN XYZ"
proto udp
remote xyz.example.com
resolv-retry infinite
nobind
persist-key
persist-tun

ca "c:\\Program Files\\openvpn\\config\\keys\\XYZ\\ca.crt"
cert "c:\\Program Files\\openvpn\\config\\keys\\XYZ\\client.crt"
key "c:\\Program Files\\openvpn\\config\\keys\\XYZ\\client.key"
tls-auth "c:\\Program Files\\openvpn\\config\\keys\\XYZ\\ta.key" 1

ns-cert-type server
comp-lzo
verb 3
--------------

dev-node na FreeBSD musim zakomentovat a zmenit cesty k certifikatum / 
klicum. Dalsi veci ovsem je, ze dev-node na Windows zajistuje 
"identifikaci" konkretniho tap zarizeni, jak to ale provest na FreeBSD, 
abych vzdy vedel, na kterem tap zarizeni (pokud by jich v systemu bylo 
vic) bude tato VPN? (hlavne kvuli konfiguraci firewallu)

Pokud mate nekdo s OpenVPN + PF + Jail nejake zkusenosti, rad bych 
slysel vase nazory a rady, jakym zpusobem z toho TAP v hostitelskem 
systemu dostat data do Jailu a opacnym smerem z Jailu na vzdaleny server 
na druhem konci VPN. Ostatni provoz zablokovat, aby se z druhe strany 
nikdo nedostal jinam, nez na MySQL port 3306 v Jailu.

Uz je trosku pozde a moc mi to nemysli, do ted jsem zapasil s nastavenim 
unixODBC, abych se vubec z hostitelskeho systemu dostal na ten vzdaleny 
MS SQL server... pres tsql uz to jde (FreeTDS), ale pres isql (unixODBC) 
stale ne :( S tim si jeste pohraju.

Mirek



More information about the Users-l mailing list