WarlockNT Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Тема в Программах OpenVPN OpenVPN - свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами находящимися за NAT-firewall без необходимости изменения его настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL. Официальный сайт Страница загрузки OpenVPN GUI for Windows || The Windows installers are bundled with OpenVPN-GUI Настройка OpenVPN сервера под Windows Документация (на английском) OpenVPN Windows HowTo (на английском) OpenVPN HowTo (на русском) Документация на русском OpenVPN for PocketPC FAQ • Генерация сертификатов и ключей - сертификаты и ключи нужны только при TLS-аутентификации (--tls-server или --tls-client) • Как прописать сертификаты прямо в конфиг клиента. • Разрешить запуск и остановку службы openvpnservice обычным пользователям без прав администратора можно бесплатной утилитой svcadmin (см. "Демонстрационные программы", зеркало). Всего записей: 210 | Зарегистр. 20-01-2003 | Отправлено: 07:48 01-08-2005 | Исправлено: shrmn, 11:53 29-05-2022

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору contrafack логин/пароль не нужен, всё на сертификатах. Что ещё написать к предоставленным ссылкам даже не знаю. Просто осмысленно их прочтите. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 16:12 26-10-2012

Decker82 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Набросал тут небольшую статью Настройка OpenVPN сервера, может кому пригодится. Статья представляет собой пошаговый мануал по поднятию OpenVPN сервера под Windows, рассматривается вариант настройки сервера, а также нескольких клиентов. Также рассказано, как раздать интернет посредством OpenVPN сервера, например, в локальной сети провайдера (часто бывают случаи, когда у провайдера есть внутренняя локальная сеть, а соединение с интернет поднимается через PPPoE или VPN, так вот рассматривается случай когда мы "расшариваем" это подключение для "друзей", находящихся в локальной сети провайдера). Всего записей: 496 | Зарегистр. 14-04-2007 | Отправлено: 15:44 01-11-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Decker82 Это Вы под вопрос contrafack?) Закину в шапку, пусть будет... ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 15:50 01-11-2012

Decker82 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd Ну да ... и к нему тоже. Просто большинство мануалов в сети ориентировано на Linux пользователей, а среднестатистическому пользователю Windows такое решение "в диковинку". Вот я и решил восполнить этот пробел. Получилось или нет - судить тем, кто будет пытаться настроить по этому мануалу. Всего записей: 496 | Зарегистр. 14-04-2007 | Отправлено: 16:06 01-11-2012

mookhin Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Alukardd   В общем-то вопрос даже более глобальный...   Случайно обнаружил (VPN крутится более 4-х лет), что VPN-сервер не проверяет валидность имени и IP рабочей станции с именем в сертификате клиента.   Ошибка обнаружилась после того, как случайно перепутал клиентские сертификаты... То бишь, клиент из izba2.small.net c сертификатом на имя CN=izba1.small.net, спокойно приконнектился к серверу. Та же картина произошла и с вторым клиентом. DNS-расписан, MAC'и в DHCP - зарезервированы...   Уже 2-е суток бьюсь с проблемой и никак не могу понять чЁ-к чему.   Сервер на базе W2K3 EE R2, в RRAS 1194/udp - открыт. Рабочие конфиги - последний раз правились более 2-х лет назад.     Имеющийся результат  не зависит от версии  OpenVPN. Сейчас крутится 2.3.Alpha.1   Надоумьте/подскажите где грабли: server.ovpn ################## dev     tap persist-tun persist-key local   192.168.xxx.xxx keepalive 15 90 server-bridge dhcp-option DOMAIN small.net dhcp-option DNS 172.16.xx.xx script-security 2 max-clients    32 tls-server dh         c:\\winnt\\vpn\\config\\server.pem crl-verify c:\\winnt\\vpn\\config\\rsa\\crl\\crl.pem pkcs12     c:\\winnt\\vpn\\config\\rsa\\pfx\\server.pfx status     c:\\winnt\\vpn\\status.log log        c:\\winnt\\vpn\\server.log verb 4 ##################   client.ovpn ################## dev tap ns-cert-type server remote 192.168.xxx.xxx pkcs12 client.pfx script-security 2 persist-tun persist-key client verb 4 ################## Всего записей: 36 | Зарегистр. 28-02-2007 | Отправлено: 00:02 17-11-2012

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору mookhin А как вы себе представляете сопоставление имени хоста с именем, прописанным в сертификате, например, для мобильных клиентов, чей адрес может меняться постоянно?  А если vpn-соединение устанавливается из-за nat? В данном случае сертификаты служат заменой паролю, а cn-имя внутри сертификата не обязано быть согласованным с именем хоста -- там может быть любая значимая для вас информация, например, имя пользователя компьютера. Т.е. у вас сложилось неверное представление о сертификатах в OpenVPN, не стоит их путать с сертификатами https-серверов. Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 00:21 17-11-2012

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору mookhin  Что-то я ничего не понял из сказанного. Есть сертификат, на определенное имя vasya, подписанный СА. Для этого имени забит постоянный айпи при подключении, скажем 192.168.0.27. Любой комп в интернете, предъявив этот сертификат, будет идентифицирован как vasya и получит айпи 192.168.0.27.   В чем суть проблемы? ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17279 | Зарегистр. 13-06-2007 | Отправлено: 00:30 17-11-2012

mookhin Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору ooptimum, vlary, tankistua   ок!   В таком случае немного внесу дополнительную ясность в проблемную картину:   VPN-сеть - внутренняя "закрытая" сеть. Доступ к ней - только тем, кому это необходимо из общей ЛВС. Адрес такого клиента (доступ к  VPN) может быть в статике или получен с DHCP-сервера общей ЛВС.   Проблема: VPN-серевер должен получить имя клиента(commonName/CN) из сертификата, проверить через DNS/DHCP ЛВС наличие "учетки" КОМПЬЮТЕРА в составе ЛВС(отресловить) и только потом, на основании сетевой проверки, выдать/подтвердить DNS/DHCP-адрес клиента из VPN-сети.   VPN-сервер: 2-а физических адаптера, установолен как Domain Controller с запущенной службой RRAS (NAT+рутер).   Доменная иерархия:   ЛВС - lan.small.net,   VPN - vpn.lan.small.net Всего записей: 36 | Зарегистр. 28-02-2007 | Отправлено: 13:12 19-11-2012

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору mookhin Тогда тебе нужно смотреть в сторону RADIUS  +  OpenVPN ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17279 | Зарегистр. 13-06-2007 | Отправлено: 14:03 19-11-2012

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору crackmax Цитата: Требуется соединить эти офисы с помощью OpenVPN Ну так соединяй, кто мешает? На одном виндузовом серваке ставишь OpenVPN сервер, на виндузовом серваке в другой сети - OpenVPN клиент, там и там прописываешь маршруты - и вперед. ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17279 | Зарегистр. 13-06-2007 | Отправлено: 19:02 20-11-2012

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору crackmax Цитата:  а я хотел бы объединить 2 офиса в общую сеть.   Так и я о том же. Допустим, первый сервер, на который  станет OpenVPN сервер, имеет внутренний айпи 192.168.1.200, а второй сервер, на который  станет OpenVPN клиент, имеет айпи 192.168.2.100. VPN линк будет иметь, допустим, адреса 192.168.100.1 со стороны сервера, и  192.168.100.2 со стороны клиента. На первом сервере прописываем путь во вторую сеть: route add 192.168.2.0 mask 255.255.255.0 192.168.100.2 На втором сервере прописываем путь в первую сеть: route add 192.168.1.0 mask 255.255.255.0 192.168.100.1 Если эти сервера - шлюзы по умолчанию в своих сетях, то на клиентах ничего прописывать не надо. Если нет, придется и там прописать маршруты: В первой сети прописываем путь во вторую сеть: route add 192.168.2.0 mask 255.255.255.0 192.168.1.200 Во второй сети прописываем путь в первую сеть: route add 192.168.1.0 mask 255.255.255.0 192.168.2.100 Ну и на обоих серверах через реестр включить маршрутизацию, если она не включена.     ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17279 | Зарегистр. 13-06-2007 | Отправлено: 12:22 21-11-2012

Decker82 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору crackmax В конфигах OpenVPN сервера (допустим он установлен в первом офисе) прописываем чтобы он видел сеть за клиентом (второй офис), также с помощью директивы push route для клиента, прописываем чтобы клиент видел сеть за сервером. В результате в таблицах маршрутизации сервера и клиента должны получиться маршруты для другой подсети, плюс как правильно сказал vlary должна быть включена маршрутизация пакетов.     В качестве примера. Есть два офиса, в одном подсеть 172.31.1.0/24, в другой 192.168.0.0/24. Основной шлюз в сети 1 - 172.31.1.1, основной шлюз в сети 2 - 192.168.0.1, обе машины на базе ОС Windows 2003 Server с включенной маршрутизацией пакетов. Сервер OpenVPN установлен на 172.31.1.1, соответственно 192.168.0.1 цепляется туда как клиент. OpenVPN подсеть - 10.111.111.0/24.     В конфиги сервера добавляем две строки: Код: route 192.168.0.0 255.255.255.0 10.111.111.2 # сеть за клиентом push "route 172.31.1.0 255.255.255.0"            # для каждого клиента, сеть за сервером У клиента в свойствах OpenVPN адаптера выставляем IP - 10.111.111.2 ... Собственно всё   p.s. Рад что моя статья по настройке вам пригодилась ...     Всего записей: 496 | Зарегистр. 14-04-2007 | Отправлено: 12:38 21-11-2012 | Исправлено: Decker82, 12:45 21-11-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору havoc77 Ну а сам сервер настроен для этого? Включён ли forwarding пакетов? Разрешает ли firewall такие транзиты? Правда при таких вопросах у меня под сомнением то, как он умудряется получить адрес от внутреннего DHCP, скорее он получает тот что прописан в openvpn пуле server-bridge? Для какого-то анализа происходящего надо видеть настройки: cat /etc/openvpn/server.conf # или как он там у Вас зовётся ip a ip r iptables -vnL FORWARD ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 14:09 05-12-2012 | Исправлено: Alukardd, 14:12 05-12-2012

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование