Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Открыть новую тему     Написать ответ в эту тему

WarlockNT



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тема в Программах



OpenVPN - свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами находящимися за NAT-firewall без необходимости изменения его настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL.

Официальный сайт
Страница загрузки
OpenVPN GUI for Windows || The Windows installers are bundled with OpenVPN-GUI
Настройка OpenVPN сервера под Windows
Документация (на английском)
OpenVPN Windows HowTo (на английском)
OpenVPN HowTo (на русском)
Документация на русском
OpenVPN for PocketPC

FAQ
Генерация сертификатов и ключей - сертификаты и ключи нужны только при TLS-аутентификации (--tls-server или --tls-client)
Как прописать сертификаты прямо в конфиг клиента.
• Разрешить запуск и остановку службы openvpnservice обычным пользователям без прав администратора можно бесплатной утилитой svcadmin (см. "Демонстрационные программы", зеркало).
Всего записей: 210 | Зарегистр. 20-01-2003 | Отправлено: 07:48 01-08-2005 | Исправлено: shrmn, 11:53 29-05-2022
Shad0wl0rd



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, как пустить весь трафик через OpenVPN сервер? Настройки дефолтные, но клиент получает ip 10.*.*.* Сервер Win, tun, tap режимы пробовал менять, думаю с маршрутизацией что-то, как добавить это в конфиг?
сервер:
port 1194
proto udp
dev tap
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
ifconfig-pool-persist ipp.txt
server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
server-bridge
push "redirect-gateway 10.8.0.1"
push "dhcp-option DNS 8.26.56.26"
keepalive 10 12
Всего записей: 253 | Зарегистр. 02-01-2006 | Отправлено: 12:30 03-11-2011
rain87



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Shad0wl0rd
Цитата:
как пустить весь трафик через OpenVPN сервер
прописать на клиенте сервер овпн дефолтным маршрутом. redirect-gateway - это правильно, только насколько я помню юзается он не так
поменяй в серверном конфиге
push "redirect-gateway 10.8.0.1"  
на  
push "route-gateway 10.8.0.1"
push "redirect-gateway def1"  
 
ещё, скорей всего, надо поднять нат на сервере. в винде это называется "общий доступ к сетевому подключению" или как то так

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat
Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 14:01 03-11-2011
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Shad0wl0rd
push "redirect-gateway def1"

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 14:21 03-11-2011
protos201

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всё сделал как надо, соеденил адаптеры ТАР и подкл. по лок. сети в мост, прописал в конфиге бридж, перезапускаю службу, адаптер ТАР не запускается, нет соединения, клиент тоже не сможет поключится, всю инфу в нете облазил ничего не нашел, сделел такую конфу, и теперь я вижу сеть за сервером и клиентом, только если допустим комп сервера Alex, то я в проводнике пишу \\Alex и вижу все открытые папки
 
Конфа сервера:
port 1194
proto udp
dev tap0
#tap-node VPN
#tap-bridge
#указываем файл CA
ca c:\\OpenVPN\\ssl\\ca.crt
#указываем файл с сертификатом сервера
cert c:\\OpenVPN\\ssl\\OpenVPN.crt
#указываем файл с ключем сервера
key c:\\OpenVPN\\ssl\\OpenVPN.key
#указываем файл Диффи Хельман
dh c:\\OpenVPN\\ssl\\dh1024.pem
server 10.10.200.0 255.255.255.0
route 10.10.200.0 255.255.255.0  
client-to-client
push "route 192.168.1.0 255.255.255.0 10.10.200.1"
route 192.168.1.0 255.255.255.0 10.10.200.2
#server-bridge 192.168.1.2 255.255.255.0 192.168.1.241 192.168.1.251
tls-server
tls-timeout 120  
keepalive 10 120
comp-lzo
persist-key
persist-tun
tun-mtu 1500
mssfix 1450
status c:\\OpenVPN\\log\\openvpn-status.log
log c:\\OpenVPN\\log\\openvpn.log
verb 3
 
Добавлено:
Да ещё, сеть работает, но вырубает клиентов за сервером и падает интернет.
Всего записей: 10 | Зарегистр. 30-11-2010 | Отправлено: 15:29 06-11-2011
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
protos201 Не любишь ты читать внимательно, как я посмотрю...
 Туннельный адаптер ты должен был переименовать во что-нибудь, типа  MyTAP.
 В конфиге указать:
dev tap (а не dev tap0, это для линукса)
dev-node MyTAP
server-bridge 192.168.1.2 255.255.255.0 192.168.1.241 192.168.1.251  
И на клиенте, кстати, тоже нужно сначала TAP адаптер установить,
автоматически он не устанавливается. Также переименовать во что-нибудь, типа  MyTAP.
И в клиентском конфиге тоже прописать
dev tap
dev-node MyTAP


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 16:14 06-11-2011 | Исправлено: vlary, 16:47 06-11-2011
protos201

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я так понял что тунельный адаптер это сам TAP-адаптер, а не мост? Так я так и сделал, я его назвал VPN, вот только не понял на клиенте при установке программы OpenVPN так же как и на сервере ТАР-адаптер сам устанавливается, зачем его ещё раз устанавливать?
 
Добавлено:
У меня всё получилось, вижу сеть за сервером, сеть за клиентом, папки, принтеры
файл конфигурации сервера такой:
port 1194
proto udp
dev tap
ca c:\\OpenVPN\\ssl\\ca.crt
cert c:\\OpenVPN\\ssl\\OpenVPN.crt
key c:\\OpenVPN\\ssl\\OpenVPN.key
dh c:\\OpenVPN\\ssl\\dh1024.pem
server 10.10.200.0 255.255.255.0
tls-auth C:\\OpenVPN\\ssl\\ta.key 1
route 10.10.200.0 255.255.255.0  
ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt
client-to-client
push "route 192.168.1.0 255.255.255.0 10.10.200.1"
route 192.168.1.7 255.255.255.0 10.10.200.2
tls-server
tls-timeout 120  
keepalive 10 120
comp-lzo
persist-key
persist-tun
tun-mtu 1500
mssfix 1450
status c:\\OpenVPN\\log\\openvpn-status.log
log c:\\OpenVPN\\log\\openvpn.log
verb 3
 
Добавил ipp.txt что бы клиенту назначался один и тот же ип-адрес  
 
добавил ta.key на всякий случай
 
но с бриджем всё равно буду разбиратся, интерестно
Всего записей: 10 | Зарегистр. 30-11-2010 | Отправлено: 17:45 06-11-2011
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
xlino
Цитата:
Наткнулся на такую странную штуку - сертификат есть, он рабочий, по нему можно подключиться, а в базе и физически этого ключа на сервере нет! В ревокнутых ключах его тоже нет.  
 Если имеется в виду клиентский сертификат, то наличие его на сервере вовсе не обязательно. После генерации клиентской пары ключей, подписания публичного его ключа ключом СА и отправки на клиентскую машину ca.crt, client.crt и client.key, два последних файла на сервере можно спокойно удалять.

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 12:05 25-11-2011
xlino

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Если имеется в виду клиентский сертификат, то наличие его на сервере вовсе не обязательно.

С этим все понятно. Не понятно почему его нет в базе сертификатов.
 
Добавлено:
Попутно еще вопрос.
Подскажите пожалуйста что-нибудь open source-ное для анализа логов OpenVpn. Чтобы можно было собирать и анализировать статистику по подключениям. Кто? Откуда? Когда?
Всего записей: 5 | Зарегистр. 03-04-2006 | Отправлено: 12:50 25-11-2011
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
xlino
Цитата:
Не понятно почему его нет в базе сертификатов.  
Что за база? Если имеется в виду виндузовая база, то ОпенВПН ею не пользуется.

Цитата:
Подскажите пожалуйста что-нибудь open source-ное для анализа логов OpenVpn.
Ну, например Lire Настраивается под любые логи, отображает их в виде HTML или PDF.
 
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 14:52 25-11-2011
kirillkaru

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Может кто знает как производить вoccтанoвлениe oтoзваннoгo сртификата в ОпенВПН
сервер на linux'е. через ./revoke-full hmmboy заблокировал, вот хочется восстановить...
статей много в интернете пару попробовал не получилось...может кто на практике это уже делал
и знает что как...
 
желеательно по подробнее...
 
спасибо.
Всего записей: 201 | Зарегистр. 13-05-2009 | Отправлено: 15:03 25-11-2011
xlino

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary

Цитата:
Что за база? Если имеется в виду виндузовая база, то ОпенВПН ею не пользуется.

Нет не виндовую.  
У меня OpenVpn на CentOS (кстати поэтому я и не стал постить в эту ветку, подумал, что не в тот огород .  
При создании ключа OpenVpn регистрирует его в свое базе ключей - файлик index.txt (default).
Там же он отмечает ревокнутые ключи. Вот в этой базе и нету этого ключа.
 
 

Цитата:
Ну, например Lire Настраивается под любые логи, отображает их в виде HTML или PDF.  

Спасибо! Обязательно посмотрю.  
 
Добавлено:
kirillkaru
 
Если задачей стоит временный бан сертификата, то я решил пойти путем привязки IP к сертификату и бану на уровне iptables.  
Всего записей: 5 | Зарегистр. 03-04-2006 | Отправлено: 15:23 25-11-2011
kirillkaru

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
всем привет!
 
есть опенvpn 2.2.0 который крутиться на linux
вот конфиг:
Код: Выделить всё
port 1194
proto tcp
dev tun
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh1024.pem
server 192.168.20.128 255.255.255.128
ifconfig-pool-persist ipp.txt
push "route 192.168.44.10 255.255.255.255"
client-config-dir ccd
route 192.168.0.0 255.255.255.0
push "dhcp-option DNS 192.168.44.10"
keepalive 20 240
max-clients 250
persist-key
persist-tun
status /var/log/openvpn-status.log
log         /var/log/openvpn.log
verb 2
 
 
корпоративные клиенты отжали практически весь диапазон server 192.168.20.128 255.255.255.128
можно ли както добавить ещё одну сеть например 192.168.10.0 255.255.255.0 что бы не поднимать второй опенvpn?
понятное дело что 192.168.20.128 надо сохранить.
 
спасибо
Всего записей: 201 | Зарегистр. 13-05-2009 | Отправлено: 13:52 26-11-2011
Vitaly_Sigov

Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Здравствуйте, уважаемые форумчане.
Подскажите пожалуйста, как настроить связку OpenVPN - клиент и OpenVPN - сервер.
Имеется организация с машинами Windows XP Professional SP3. У организации есть статический IP-адрес: 85.175.226.45 и внутренний адрес 192.168.2.x Хотелось получить доступ к сети из вне (с домашнего компьютера с Windows XP Professional SP3 c динамическим внешним IP -адресом.
Что и как необходимо прописать в файле конфигурации сервера и в файле конфигурации клиента чтобы установить связь ?
Всего записей: 54 | Зарегистр. 23-01-2009 | Отправлено: 13:24 05-12-2011
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Vitaly_Sigov
Цитата:
Что и как необходимо прописать в файле конфигурации сервера и в файле конфигурации клиента чтобы установить связь ?
Все твои настройки абсолютно стандартные. Примеры конфигураций в данной теме не раз приводились (для вариантов подключения TAP или TUN), почитай посты хотя бы на нескольких страничках.  
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 14:44 05-12-2011
Neverlinger

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте ребят.
Ситуация следующая нам надо подключиться по vpn к офису другой компании, они нам прислали всё что для этого надо и клиент Openvpn и конфиг.
Проблема в том что я не знаю какие порты открывать для этого openvpn. Сидим через ISA server 2006
если хосту открыть на ISA всё то впн подключается замечательно.
Подскажите что кокрентно я должен открыть на проксе чтобы не открывать полный доступ.
Всего записей: 54 | Зарегистр. 14-04-2010 | Отправлено: 13:03 07-12-2011 | Исправлено: Neverlinger, 13:10 07-12-2011
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Neverlinger Порт по умолчанию для OpenVPN - 1194.  
Поскольку они вам конфиг прислали, то адрес, порт и протокол там есть, смотри соответствующие строчки:
remote 198.19.34.56 1194 udp
либо
remote 198.19.34.56 443 tcp
либо так:
proto udp
remote 198.19.34.56 1194
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 14:13 07-12-2011
Neverlinger

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
proto udp
remote 77.75.168.69
port 2000
 
Значит я должен в обе стороны для своего хоста открыть эти порты?
______________________________
 
спасибо за ответ. необходимо было обратить мне внимания на конфиги там прописан udp порт2000 вот его и надо было открыть
Всего записей: 54 | Зарегистр. 14-04-2010 | Отправлено: 15:22 07-12-2011 | Исправлено: Neverlinger, 15:38 07-12-2011
veranson

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть сервер с openvpn. Нужно iptv мультикастом раздавать абонентам из других сетей.
все настроил и работает. Вот только проблема одна. Если 1-й клиент подписался на мультикаст то и 2-му клиенту придет этот мультикаст. Это перегружает линки и т.д. Можно ли избавиться от этого, сделать действительно изолированных клиентов.
Всего записей: 9 | Зарегистр. 23-09-2006 | Отправлено: 16:41 07-12-2011
slon48



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Посмотрите пожалуйста опытным взглядом конфиги, где у меня затык, с сервером все конектится без проблем, а вот в локальную сеть попасть не удается. вин 2003 сервер, rras не запущен, сервер с одним сетевым интерфейсом, порт проброшен через роутер.
Сервер:
*****************
port 1199
 
# на сайте разработчиков рекомендуется использовать udp в том числе
# по соображениям безопасности
proto udp
dev tun
 
ca ca.crt
cert server.crt
key server.key
 
dh dh1024.pem
 
 
# включаем TLS аутификацию
;tls-server
# указываем tls-ключ, и указываем 0 для сервера, а 1 для клиента
;tls-auth "/etc/openvpn/keys/ta.key" 0
# таймаут до реконекта tls-timeout 120
;auth MD5
 
# задаем IP-адрес сервера и маску подсети
server 10.8.0.0 255.255.255.0
 
# задаем МАРШРУТ который передаём клиенту
# и маску подсети для того чтобы он "видел"
# сеть за OpenVPN сервером (сеть 192.168.1.0/24)
push "route 192.168.1.0 255.255.255.0"
 
ifconfig-pool-persist ipp.txt
 
# удерживать соединение (полезно при работе через nat, proxy и т.п.)
keepalive 10 120
 
# включаем шифрацию пакетов
cipher BF-CBC
 
# включить сжатие
comp-lzo
 
# максимум клиентов
max-clients 10
 
;user nobody
;group nobody
 
# Не перечитывать ключи после получения
# SIGUSR1 или ping-restart
persist-key
# Не закрывать и переоткрывать TUNTAP
# устройство, после получения
# SIGUSR1 или ping-restart
persist-tun
 
# клиенты могут "видеть" друг друга
client-to-client
 
status logopenvpn-status.log
 
log logopenvpn.log
log-append logopenvpn.log
 
# уровень детализации отчетов
verb 3
************
Клиент
 
client
 
dev tun
 
proto udp
 
# IP-адрес и порт сервера OpenVPN)
 
remote *.*.*.* 1199
 
resolv-retry infinite
 
nobind
 
persist-key
persist-tun
 
ca ca001.crt
cert client001.crt
key client001.key
 
#tls-client
#tls-auth "C:\Program Files\OpenVPN\config\ta.key" 1
#auth MD5
 
#Это еще одна защита, на этот раз от "man in the middle" атаки
ns-cert-type server
 
comp-lzo
 
verb 3
 
Всего записей: 37 | Зарегистр. 05-10-2007 | Отправлено: 10:27 12-01-2012
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slon48
Цитата:
с сервером все конектится без проблем, а вот в локальную сеть попасть не удается
А хосты в сети 192.168.1.0/24 знают, что в сеть 10.8.0.0 255.255.255.0  им нужно идти через OpenVPN сервер 192.168.1.Х?


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 11:13 12-01-2012
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru