Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Открыть новую тему     Написать ответ в эту тему

WarlockNT



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тема в Программах



OpenVPN - свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами находящимися за NAT-firewall без необходимости изменения его настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL.

Официальный сайт
Страница загрузки
OpenVPN GUI for Windows || The Windows installers are bundled with OpenVPN-GUI
Настройка OpenVPN сервера под Windows
Документация (на английском)
OpenVPN Windows HowTo (на английском)
OpenVPN HowTo (на русском)
Документация на русском
OpenVPN for PocketPC


FAQ
Генерация сертификатов и ключей - сертификаты и ключи нужны только при TLS-аутентификации (--tls-server или --tls-client)
Как прописать сертификаты прямо в конфиг клиента.
• Разрешить запуск и остановку службы openvpnservice обычным пользователям без прав администратора можно бесплатной утилитой svcadmin (см. "Демонстрационные программы", зеркало).

Всего записей: 210 | Зарегистр. 20-01-2003 | Отправлено: 07:48 01-08-2005 | Исправлено: shrmn, 11:53 29-05-2022
slon48



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
 А хосты в сети 192.168.1.0/24 знают, что в сеть 10.8.0.0 255.255.255.0  им нужно идти через OpenVPN сервер 192.168.1.Х?  
 
Так им туда и не нужно. мне нужно с клиента их видеть. А виден только сервер.

Всего записей: 37 | Зарегистр. 05-10-2007 | Отправлено: 14:07 12-01-2012
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slon48
Цитата:
Так им туда и не нужно. мне нужно с клиента их видеть. А виден только сервер.
Чтобы клиент мог видеть хосты, нужно, чтобы и хосты могли видеть клиента. А смогут они его увидеть только тогда, когда будут знать путь к сетке клиента.
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 16:15 20-01-2012
slon48



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Чтобы клиент мог видеть хосты, нужно, чтобы и хосты могли видеть клиента. А смогут они его увидеть только тогда, когда будут знать путь к сетке клиента.

Хотите сказать, что без прописывания на хостах сервера OpenVPN в качестве шлюза и соответствующих маршрутов не обойтись? Но дело в том, что в интернет хосты выходят через роутер, в котором проброшен порт для OpenVPN на сервер.

Всего записей: 37 | Зарегистр. 05-10-2007 | Отправлено: 08:44 24-01-2012
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slon48
Цитата:
Хотите сказать, что без прописывания на хостах сервера OpenVPN в качестве шлюза и соответствующих маршрутов не обойтись?
Именно это я и сказал. Второй вариант - это сменить тип адаптера с TUN на TAP, и выдавать клиентам OpenVPN адреса из сетки 192.168.1.0/24. Тогда хосты будут видеть клиентов просто через ARP таблицу.

Цитата:
в интернет хосты выходят через роутер, в котором проброшен порт для OpenVPN на сервер
Да какая разница, кто через что куда проброшен? Если сервер OpenVPN не является для хостов дефолт шлюзом, то маршруты необходимо прописывать.
 
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 11:09 24-01-2012
boffin2

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Помогите пожалуйста, проблема в следующем: ситема Windows Server 2008, хочу поднять сервер OpenVPN для связи с региональными филиалами. Сервер установлен успешно, региональные клиенты коннектяться, но не видят сети головного офиса. Связь с регионами идёт через маршрутизатор W2k3, с использованием RRAS.  
 
route print сервера
===========================================================================
Список интерфейсов
12 ...00 ff 85 85 e6 24 ...... TAP-Win32 Adapter V9
 
11 ...00 10 4b 2e 98 e4 ...... 3Com EtherLink 10/100 PCI NIC (3C905-TX)
 
10 ...00 16 ec 05 2c 14 ...... VIA Rhine II Fast Ethernet Adapter
 
1 ........................... Software Loopback Interface 1
 
13 ...00 00 00 00 00 00 00 e0  isatap.{1C342EF3-9D63-4625-8B79-04903A7E3A55}
 
19 ...00 00 00 00 00 00 00 e0  
21 ...00 00 00 00 00 00 00 e0  
===========================================================================
 
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     xx.xxx.xxx.x   xx.xxx.xxx.xxx    276
        10.10.0.0    255.255.255.0        10.10.0.2        10.10.0.1     30
        10.10.0.0  255.255.255.252         On-link         10.10.0.1    286
        10.10.0.1  255.255.255.255         On-link         10.10.0.1    286
        10.10.0.3  255.255.255.255         On-link         10.10.0.1    286
     xx.xxx.xxx.x    255.255.255.0         On-link    xx.xxx.xxx.xxx    276
   xx.xxx.xxx.xxx  255.255.255.255         On-link    xx.xxx.xxx.xxx    276
   xx.xxx.xxx.xxx  255.255.255.255         On-link    xx.xxx.xxx.xxx    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
    192.168.200.0    255.255.255.0         On-link   192.168.200.228    276
  192.168.200.228  255.255.255.255         On-link   192.168.200.228    276
  192.168.200.255  255.255.255.255         On-link   192.168.200.228    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link   192.168.200.228    276
        224.0.0.0        240.0.0.0         On-link    xx.xxx.xxx.xxx    276
        224.0.0.0        240.0.0.0         On-link         10.10.0.1    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link   192.168.200.228    276
  255.255.255.255  255.255.255.255         On-link    xx.xxx.xxx.xxx    276
  255.255.255.255  255.255.255.255         On-link         10.10.0.1    286
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0     xx.xxx.xxx.xxx  По умолчанию  
===========================================================================
 
IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
  1    306 ::1/128                  On-link
 10    276 fe80::/64                On-link
 12    286 fe80::/64                On-link
 10    276 fe80::a053:229f:8ef:2006/128
                                    On-link
 12    286 fe80::b994:da5b:8bf6:f36c/128
                                    On-link
  1    306 ff00::/8                 On-link
 10    276 ff00::/8                 On-link
 12    286 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует

Всего записей: 48 | Зарегистр. 29-01-2011 | Отправлено: 13:28 09-02-2012
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
boffin2 Сколько уже страниц исписано, а вопросы все те же. Чукча не читатель, чукча писатель...
Откуда сеть головного офиса, 192.168.200.0 как понимаю, знает куда ей слать пакеты для адресов  10.10.0.0 VPN клиентов?  
Короче, читай хотя бы несколько последних страниц этой темы.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 16:35 09-02-2012
boffin2

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary спасибо, разобрался

Всего записей: 48 | Зарегистр. 29-01-2011 | Отправлено: 17:33 09-02-2012
sirco1

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
всем привет, такой вот вопрос я вот написал конфиги на сервер и клиентов все ок, все в порядке соединяет как положено с сeти впн пингую всю внутреннюю сеть даже могу зайти на веб морды роутеров  и ип телефонов в локальной сети но вот вопрос: На машину в локальной сети где поднят впн могу зайти на шару \\10.8.1.0\share , а вот тот же машина но ип локальной сети \\192.168.100.5\share уже попасть не могу (пингуется на ура)
Что мне еще прописать нужно? Я хочу ходить с сети впн в локальную сеть и при этом на каждой машине не подымать впн
 

Всего записей: 1 | Зарегистр. 24-11-2010 | Отправлено: 17:05 13-02-2012 | Исправлено: sirco1, 12:32 16-02-2012
hazer79

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, плиз, возможно ли как-то привязать ключи и сертификаты к конкретной машине ?  
А то, получается, скопировал их кто-нибудь себе - и пользуйся на здровье.

Всего записей: 7 | Зарегистр. 13-03-2007 | Отправлено: 19:24 16-02-2012
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hazer79
Цитата:
А то, получается, скопировал их кто-нибудь себе - и пользуйся на здровье.
Да кто же его у тебя с домашнего компа скопирует? А с ноута - так тут ключ могут вместе с ноутом попятить...
Для серьезных контор рекомендуется использвать серьезные решения. Вот у циски, например, можно сделать доступ по сертификатам, запрятанным в Аладдиновский токен и защищенным пин-кодом.
Для большей секурности можешь в  сервер OpenVPN вместе с сертификатами добавить защиту по логину-паролю: Ссылка
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 23:15 16-02-2012
SanchezX



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, могу ли я использовать ключи и сертификаты, которые были созданы на виртуальных машинах потом в реальных условиях? В целях экономии времени на создавание ключей и т.д.
 
И еще если я создам файлы клиента на самом клиенте, он будет нормально работать или с ним надо будет как-то колдовать чтобы впн-клиент подключался к серверу?

Всего записей: 2 | Зарегистр. 04-07-2009 | Отправлено: 12:07 19-02-2012
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SanchezX
Цитата:
могу ли я использовать ключи и сертификаты, которые были созданы на виртуальных машинах потом в реальных условиях?
 Вполне. Главное, чтобы они были подписаны тем центром сертификации, чей сертификат CA.crt лежит на сервере.  

Цитата:
И еще если я создам файлы клиента на самом клиенте, он будет нормально работать

А чем отличаются файлы, созданные на сервере и перемещенные на диск клиента, от файлов, созданных на на самом клиенте?

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 13:23 19-02-2012
slon48



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary

Цитата:
Второй вариант - это сменить тип адаптера с TUN на TAP, и выдавать клиентам OpenVPN адреса из сетки 192.168.1.0/24. Тогда хосты будут видеть клиентов просто через ARP таблицу.

Спасибо, так и сделал. Сменил тип адаптера на ТАР, объединил его с сетевой картой в мост, прописал диапазон адресов для клиентов и всё работает.
 
hazer79

Цитата:
Подскажите, плиз, возможно ли как-то привязать ключи и сертификаты к конкретной машине ?  
А то, получается, скопировал их кто-нибудь себе - и пользуйся на здровье.
 
Можно их поместить на флэшку и/или в криптоконтейнер truecrypt, к примеру

Всего записей: 37 | Зарегистр. 05-10-2007 | Отправлено: 09:24 22-02-2012 | Исправлено: slon48, 09:32 22-02-2012
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Код:
# Uncomment this directive if multiple clients
# might connect with the same certificate/key
# files or common names.  This is recommended
# only for testing purposes.  For production use,
# each client should have its own certificate/key
# pair.
#
# IF YOU HAVE NOT GENERATED INDIVIDUAL
# CERTIFICATE/KEY PAIRS FOR EACH CLIENT,
# EACH HAVING ITS OWN UNIQUE "COMMON NAME",
# UNCOMMENT THIS LINE OUT.
;duplicate-cn

 
и дополнить вот этим
 

Код:
# To assign specific IP addresses to specific
# clients or if a connecting client has a private
# subnet behind it that should also have VPN access,
# use the subdirectory "ccd" for client-specific
# configuration files (see man page for more info).
 
# EXAMPLE: Suppose the client
# having the certificate common name "Thelonious"
# also has a small subnet behind his connecting
# machine, such as 192.168.40.128/255.255.255.248.
# First, uncomment out these lines:
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
# Then create a file ccd/Thelonious with this line:
#   iroute 192.168.40.128 255.255.255.248
# This will allow Thelonious' private subnet to
# access the VPN.  This example will only work
# if you are routing, not bridging, i.e. you are
# using "dev tun" and "server" directives.

 
Гарантирую возникновение проблем в случае использования сертификата в двух точках

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 10:28 22-02-2012
kapiton1

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте.
Вот такая задача. Есть локальная сеть с выходом в интернет через прокси, есть удалённая машина с виндой и "белым" IP. Необходимо настроить сервер (машина с белым IP) и клиент (машина в локальной сети за прокси), что бы из локалки ходить в интернет через удалённый сервер (внешний трафик шел через VPN соединение). Нужны примеры конфигов для сервера и клиента.
Заранее благодарю.  

Всего записей: 138 | Зарегистр. 20-07-2005 | Отправлено: 16:03 27-02-2012
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kapiton1
Цитата:
что бы из локалки ходить в интернет через удалённый сервер (внешний трафик шел через VPN соединение).
А от удаленного сервера в локалку он по голубиной почте ходить будет?
Если клиент просто за НАТом - ничего сложного. Ставишь на тот "белый" айпи OpenVPN сервер, подключаешься к нему из локалки, заворачиваешь весь трафик через VPN - и вперед.
Но если в локалке именно HTTP прокси - тут посложнее. Хотя можно попробовать это:
Connecting to an OpenVPN server via an HTTP proxy.
Естественно, порт сервера тогда нужно настраивать на разрешенные сквидом для коннекта порты (80, 443, 8080...)

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 16:48 27-02-2012 | Исправлено: vlary, 16:54 27-02-2012
rain87



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
овпн через прокси вполне успешно работает, в своё время благополучно эксплуатировал универский прокси а коннект на 443 порт как правило открыт, так что проблем быть не должно

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat

Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 18:24 27-02-2012
kapiton1

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
овпн через прокси вполне успешно работает, в своё время благополучно эксплуатировал универский прокси  а коннект на 443 порт как правило открыт, так что проблем быть не должно

всё верно, я так и думал, настроить сервер на 443 порт, нужны примеры конфигов для сервера и клиента, сам я в написании этих конфигов нибумбум(

Всего записей: 138 | Зарегистр. 20-07-2005 | Отправлено: 08:32 28-02-2012
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kapiton1
Цитата:
нужны примеры конфигов для сервера и клиента, сам я в написании этих конфигов нибумбум(
Читай тему с начала и до конца, примеров конфигов здесь было немеряно. Специально для тебя никто в сотый раз повторять не будет.  
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 11:02 28-02-2012
rain87



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
да и тему необязательно читать. готовый конфиг уже с овпн поставляется. просто добавь воды^W^W измени пару строк

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat

Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 12:47 28-02-2012
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru