WarlockNT Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Тема в Программах OpenVPN OpenVPN - свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами находящимися за NAT-firewall без необходимости изменения его настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL. Официальный сайт Страница загрузки OpenVPN GUI for Windows || The Windows installers are bundled with OpenVPN-GUI Настройка OpenVPN сервера под Windows Документация (на английском) OpenVPN Windows HowTo (на английском) OpenVPN HowTo (на русском) Документация на русском OpenVPN for PocketPC FAQ • Генерация сертификатов и ключей - сертификаты и ключи нужны только при TLS-аутентификации (--tls-server или --tls-client) • Как прописать сертификаты прямо в конфиг клиента. • Разрешить запуск и остановку службы openvpnservice обычным пользователям без прав администратора можно бесплатной утилитой svcadmin (см. "Демонстрационные программы", зеркало). Всего записей: 210 | Зарегистр. 20-01-2003 | Отправлено: 07:48 01-08-2005 | Исправлено: shrmn, 11:53 29-05-2022

MACTEP Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 2 vlary: Цитата: ...что за фантазия? Думаю, что BDSM =) Но могу только догадываться...   2 PlastUn77: Цитата: ...сейчас прописал на паре микротиков твою схему, все работает, как и предполагалось Позволю себе поинтересоваться мобильной платформой и клиентом. Цитата: ... но для чувака который 17 лет на руборде мы же не будем писать пошаговую инструкцию, правда? Стесняюсь спросить, здесь вступают в силу какие-то морально-этические соображения или иные чувства? А может это просто эмоции? Всего записей: 929 | Зарегистр. 11-04-2002 | Отправлено: 12:36 26-06-2019

PlastUn77 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Не важно, какие будут VPN-ы , с iPhone подключился штатным l2tp а с внутреннего микротика по openvpn. Цитата: Топология сервера-посредника звезда, что же еще... Цитата: сетевой план  любой по RFC 1918 Цитата: и маршруты.     добавить еще один маршрут по умолчанию (в сторону домашнего микротика) в отдельную таблицу, а так же в эту таблицу оба VPN интерфейса , на прероуте промаркировать коннекшин с мобилы и потом этот конекшин  mark routing в эту же таблицу. Ну и нат на домашнем.   Добавлено: Цитата: какие-то морально-этические соображения Ну если не увлекает процесс познания, могу даже картинки выложить с микротов (пока не потёр) Всего записей: 510 | Зарегистр. 16-06-2008 | Отправлено: 13:24 26-06-2019 | Исправлено: PlastUn77, 13:38 26-06-2019

MACTEP Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 2 PlastUn77: Цитата: добавить еще один маршрут по умолчанию (в сторону домашнего микротика) в отдельную таблицу, а так же в эту таблицу оба VPN интерфейса , на прероуте промаркировать коннекшин с мобилы и потом этот конекшин  mark routing в эту же таблицу. Ну и нат на домашнем. Мдя... Беда в том, что у меня нет экспириенса с микротами, линем и мультироутингом. Вот такая в жизни жопа. Когда я интересовался топологией, то имел в виду варианты bridge, net30 и subnet. И еще вопрос, а умеет ли микрот форвардить трафик?   Всего записей: 929 | Зарегистр. 11-04-2002 | Отправлено: 13:53 26-06-2019

PlastUn77 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору MACTEP Цитата: нет экспириенса тады ОЙ!   Цитата: bridge, net30 и subnet я делал subnet, с бриджем еще проще, но не кошерно гонять бридж поверх L3 без особой на то нужды Цитата: а умеет ли микрот форвардить трафик?   что имеется в виду ...? задача ЛЮБОГО маршрутизатора -  форвардить трафик Всего записей: 510 | Зарегистр. 16-06-2008 | Отправлено: 14:23 26-06-2019

MACTEP Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 2 PlastUn77: Цитата: гонять бридж поверх L3 без особой на то нужды Согласен, L2 в L3 ни разу не по фэншую, хотя на лабе проверить было бы полезно. Другое дело, что огрызок это не сможет. Цитата: задача ЛЮБОГО маршрутизатора -  форвардить трафик Виноват, некорректная постановка вопроса. Формулирую иначе. В описываемой конфигурации, если не использовать мультироутинг, пакеты будут свистеть от мобильного в дефолт посредника и, если там будет запрещен NAT и прохождение пакетов от серых сетей (RFC 1918) через внешний интерфейс, то дропаться, как вариант. Можно ли на микроте описанные выше трафик перехватывать на уровне, скажем, файерволла и форвадить в дальний конец тоннеля (в Вашем варианте это будет второй микрот за мыльницей). Там, по логике, они уже должны попадать в NAT микрота, а от него в NAT мыльницы.         Добавлено: btw, L2 или лишний NAT, нужно ещё выбрать из двух зол... =) Всего записей: 929 | Зарегистр. 11-04-2002 | Отправлено: 14:46 26-06-2019

PlastUn77 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору MACTEP   Цитата: и форвадить в дальний конец тоннеля     Можно и так наверное, надо пробовать,  сегодня нет уже времени   Всего записей: 510 | Зарегистр. 16-06-2008 | Отправлено: 16:50 26-06-2019

MACTEP Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 2 PlastUn77: Цитата: ...надо пробовать, сегодня нет уже времени Буду признателен. Интересен результат.         Добавлено: Цитата: Ну если не увлекает процесс познания, могу даже картинки выложить с микротов (пока не потёр) Мы говорим о процессе познания микротов? =) И ой и ах, а они что гуёвые, а не консольные? Всего записей: 929 | Зарегистр. 11-04-2002 | Отправлено: 16:56 26-06-2019

MACTEP Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору В общем, столкнулся я с необъяснимым явлением из-за которого, собственно, затеял эту дискуссию. Надеялся, что кто-нибудь реализует это иначе или столкнувшись с проблемой найдет красивое решение. Вариант с бриджами и L2 сетью работает без вопросов, в конечном итоге смартфон получает адрес по dhcp от мыльницы и задача решена, но при этом не оправдано беганье бродкастов в туннеле и, если на ведроиде есть клиент, умеющий даже без рута поднимать tap интерфейс, то на огрызке это не реально. Так что нужен tun, а значит полноценная маршрутизация L3 и NAT на стороне шлюза, который я втыкаю в мыльницу. После того, как поднимаются все туннели и необходимые маршруты (транспорт везде UDP), проверяется маршрутизация, в оба конца туннелей icmp пакеты бегают до всех хостов и все хорошо и красиво на первый взгляд. Остается последний штрих перенаправить трафик от нужной сети, который рвется во внешний мир через дефолт гейт посредника, в туннель, терминируя его на дальнем конце туннеля, откуда он полетит в NAT шлюза, а затем в NAT мыльницы и уже через него наружу. И вот здесь наступает облом... tcpdump на интерфейсе посредника показывает пакеты, уходящие в туннель, а на другой стороне туннеля тишина. Такая выходит эпидерсия... =) В чем причина ума не приложу.       Всего записей: 929 | Зарегистр. 11-04-2002 | Отправлено: 21:27 02-07-2019

MACTEP Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 2 PlastUn77: Цитата: ...все работает, как и предполагалось А вот тут, чувак, ты слукавил... Если ты лабу эту собрал, то уж точно не до конца, а остальное домыслил. И зачем тебе понадобилось здесь художественным свистом заниматься, вот ума не приложу. Ну да ладно, нет худа без добра, благодаря этому нашел вот время разобраться с множественными таблицами маршрутизации, хотя результат от перехода на такое решение не изменился. Ну а по существу вопроса, получается, что это идеология разработчиков. Помог debug level 11 и сразу появились сообщения в логах вида  GET INST BY VIRT: IP_ADDR [failed], а гугол подкинул информации для правильных выводов тыц. Получается, что в сторону клиента могут ходить пакеты только до тех сетей, которые относятся к категории internal route и описываются директивой iroute, а остальные дропаются в туннеле, чем и объясняется их отсутствие на ифейсе tun дальнего конца туннеля.     Всего записей: 929 | Зарегистр. 11-04-2002 | Отправлено: 21:24 03-07-2019

PlastUn77 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору MACTEP   Получается у нас примерно такой разговор: - Доктор, а как гланды удалять? - Через рот. - Через рот нет экспириенса, а через жопу можно? - Можно и так наверное, надо пробовать... - Доктор, вы меня обманули, через жопу что-то не удаляется, я тут погуглил, оказывается нельзя... и далее по тексту   От меня то чего хочешь?   Написал же: Цитата: добавить еще один маршрут по умолчанию (в сторону домашнего микротика) в отдельную таблицу а ты хочешь   Цитата: перехватывать на уровне, скажем, файерволла и форвадить в дальний конец тоннеля . Вот и не полезло (как оказалось)       Всего записей: 510 | Зарегистр. 16-06-2008 | Отправлено: 13:53 04-07-2019 | Исправлено: PlastUn77, 14:24 04-07-2019

MACTEP Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 2 PlastUn77: Цитата: От меня то чего хочешь? Всего лишь сказать, что в твоем варианте это не работает, а не заливать тут про еще один маршрут по умолчанию и другую таблицу. Всего записей: 929 | Зарегистр. 11-04-2002 | Отправлено: 14:03 04-07-2019

PlastUn77 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору MACTEP   Если у тебя что-то не получается, это не означает, что это не возможно Поработай с мое админом на провайдерах, будешь такие задачки за 10 мин. решать. Схема еще на разобрана и отлично работает. Какие нужны доказательства?   Всего записей: 510 | Зарегистр. 16-06-2008 | Отправлено: 14:23 04-07-2019

MACTEP Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 2 PlastUn77: И касательно рта, жопы и прочих упомянутых частей тела. Для меня, например, намного легче создать одно единственное правило вида: Код: ipfw add fwd 192.168.0.1 ip4 from 176.16.0.0/24 to any out xmit em0 нежели использовать вторую таблицу маршрутизации с другим дефолтом, учитывая, что OpenVPN при старте всегда будет писать свои маршруты в fib 0, а значит необходимо дополнительно рисовать up/down скрипты, которые будут вносить необходимые изменения в таблицы роутинга, удаляя маршруты из fib 0 и добавляя в fib 1.       Добавлено: 2 PlastUn77: Цитата: Поработай с мое админом на провайдерах... Это, как говорится, кто на что учился... Хорошо хоть, что лабу на микротах, а не на джунах поднимаешь. =) Цитата: Какие нужны доказательства? Ну если готов идти до конца и доказать, что у тебя все работает, то давай начнем с логов? Выставляй verb 4 в конфигах каждого микрота, стартуй сервер, затем клиента, который за NAT, затем пинг на адрес за клиентом с -S, где сурсом адрес на интерфейсе l2tp сервера и логи в студию.     Всего записей: 929 | Зарегистр. 11-04-2002 | Отправлено: 14:32 04-07-2019 | Исправлено: MACTEP, 14:53 04-07-2019

PlastUn77 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору MACTEP Цитата: Для меня, например, намного легче создать одно единственное правило так не лезет - же!   Цитата: Выставляй verb 4 в конфигах каждого микрота Что имеется в виду, фиг его знает...,как-то опять через то самое место и некогда и влом     завтра тебе видео сниму с интерфейсами микротиков и айфоном в одном кадре, так пойдет? Всего записей: 510 | Зарегистр. 16-06-2008 | Отправлено: 16:10 04-07-2019

MACTEP Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 2 PlastUn77: Цитата: так не лезет - же! Так я уже выяснил причину. И исходя из этого у тебя тоже не может работать, так как это зависит не от платформы, на которой запускаешь OpenVPN, и не от рукожопости исполнителя, а от кода. Иными словами, получаем туннель peer-to-peer, но с определенными ограничениями, которые наложены реализующим этот функционал софтом. А что касается картиночек и видюшечек, так это оставь для девочек. Если, как ты утверждаешь, есть опыт работы админом на уровне провайдеров, то ты жить должен в монохромной консоли, а не мышой в гуях микротов возить. Еще раз повторю, если ты готов что-то доказывать по обсуждаемому вопросу, то это рассматривается только на уровне логов и консольных команд. З.Ы. Какие еще нафик айфончеги? =) Настоящий брутальный админ должен ходить только с рутованным гуглофоном с cyanogenmod/lineageos =).   Всего записей: 929 | Зарегистр. 11-04-2002 | Отправлено: 16:34 04-07-2019

j7 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Здравствуйте.   Проблема: RDP через UDP-OpenVPN работает только по TCP.   Сервер OpenVPN x64 2.3.18 на Windows 2012 R2. Клинет Windows 8.1 x64   Если подключаюсь по RDP напрямую к серверу, то RDP работает как по TCP, так и по UDP. Если же запускаю OpenVPN с UDP протоколом, и так же подключаюсь к тому же RDP серверу но уже через туннель OpenVPN, то RDP работает уже только по TCP.   Хочется, чтобы RDP работал по UDP и через OpenVPN.   Подскажите, пожалуйста, в какую сторону посмотреть.   Спасибо.     Всего записей: 750 | Зарегистр. 14-12-2001 | Отправлено: 14:49 20-07-2019

MACTEP Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 2 j7: Возможно, что проблема в фрагментации. Попробуйте на сервере и на клиенте добавить в конфиг: Код:   tun-mtu 1500 fragment 1300 mssfix   Всего записей: 929 | Зарегистр. 11-04-2002 | Отправлено: 15:02 20-07-2019

karavan Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору j7 Брандмауэр? Еще рекомендую посмотреть на поведение rdp если после поднятия туннеля сделать перезапуск службы удаленных раб.столов. Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 23:07 20-07-2019

j7 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору MACTEP Спасибо, но в моем случае дело было не в MTU. А как сказал karavan, в брендмауре. В моем случае - со стороны клиента. У меня там Outpost стоит, который почему-то не отображает UDP активность (ни разрешенную, ни блокированную) для TAP интерфейса, но при этом блокирует UDP. После обучения все заработало. Спасибо, что откликнулись.   Всего записей: 750 | Зарегистр. 14-12-2001 | Отправлено: 16:22 21-07-2019 | Исправлено: j7, 16:23 21-07-2019

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование