Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Открыть новую тему     Написать ответ в эту тему

WarlockNT



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тема в Программах



OpenVPN - свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами находящимися за NAT-firewall без необходимости изменения его настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL.

Официальный сайт
Страница загрузки
OpenVPN GUI for Windows || The Windows installers are bundled with OpenVPN-GUI
Настройка OpenVPN сервера под Windows
Документация (на английском)
OpenVPN Windows HowTo (на английском)
OpenVPN HowTo (на русском)
Документация на русском
OpenVPN for PocketPC


FAQ
Генерация сертификатов и ключей - сертификаты и ключи нужны только при TLS-аутентификации (--tls-server или --tls-client)
Как прописать сертификаты прямо в конфиг клиента.
• Разрешить запуск и остановку службы openvpnservice обычным пользователям без прав администратора можно бесплатной утилитой svcadmin (см. "Демонстрационные программы", зеркало).

Всего записей: 210 | Зарегистр. 20-01-2003 | Отправлено: 07:48 01-08-2005 | Исправлено: shrmn, 11:53 29-05-2022
TNR



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, есть проблема... при включении служба openvpn стартует, но соединение не устанавливается из за того что wifi ещё не успел соединиться... как поправить или настроить попытки соединения ?

Всего записей: 1758 | Зарегистр. 15-03-2004 | Отправлено: 13:15 06-01-2016
Muznark



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
всем доброго времени суток!
настроен сервак в режиме моста, могу- ли я клиенту присвоить фиксированный айпи адрес прям из конфига клиента ?
конфиг сервера:
port 443
proto tcp
;proto udp
dev tap
;dev tun
dev-node ovpn
ca ca.crt
cert lenovo.crt
key lenovo.key  # This file should be kept secret
dh dh1024.pem
tls-auth ta.key 0
server-bridge 192.168.2.1 255.255.255.0 192.168.2.42 192.168.2.52
comp-lzo
max-clients 10
persist-key
persist-tun
status openvpn-status.log
log         openvpn.log
;log-append  openvpn.log
verb 3
;mute 20
;ping-restart 10
 
конфиг клиента:
client
dev tap
;dev tun
;dev-node ovpn
proto tcp
;proto udp
remote mymachine 443
resolv-retry infinite
nobind
persist-key
persist-tun
;mute-replay-warnings
ca ca.crt
cert andrey.crt
key andrey.key
remote-cert-tls server
tls-auth ta.key 1
comp-lzo
verb 3
;mute 20
ping-restart 10

Всего записей: 518 | Зарегистр. 16-11-2004 | Отправлено: 14:01 06-01-2016
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
TNR
Цитата:
как поправить или настроить попытки соединения ?
А что, параметр connect-retry уже разве отменили?
 
Muznark
Цитата:
могу- ли я клиенту присвоить фиксированный айпи адрес прям из конфига клиента ?  
--ifconfig [l] [rn] в параметрах или конфиге.

Цитата:
Для TAP устройств, представляющего из себя виртуальный ethernet сегмент,  
--ifconfig используется для указания IP-адреса и маски, как на обычном ethernet устройстве.  
Если подключаетесь к удаленному сетевому мосту, то IP-адрес и маска должны быть  
указаны допустимыми на стороне моста.
 



----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 14:47 06-01-2016
TheBarmaley TMP



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
antnkretv
для справки:
0. не нужно считать, шо твой вопрос "уникален" и "ни разу не обсуждался", создавая очередной дубль..  
    ..попутно нарушая при этом п. 1. главы VIII Соглашения по использованию..  
1. для поиска подходящей темы используем поисковый фильтр по разделу:
     
2. про существующую тему уже сказали, дополню: тыц (на выбор из 3 страниц) или сразу сюда..  

----------
один из.. шоб было понятно.. =)

Всего записей: 4230 | Зарегистр. 10-11-2015 | Отправлено: 06:49 14-01-2016
Valdon



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Достался по наследству  OpenVPN сервер на Ubuntu. Клиенты подключаются к серверу без проблем, видят хосты за впн-сервером но не все. Подскажите, чего подкрутить чтоб разрешить доступ ко всем хостам за впн-сервером ?  
Вот server.conf
Код:
port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh2048.pem
mode server
tls server
cipher BF-CBC
comp-lzo
topology subnet
server 192.168.28.0 255.255.255.0
push "route 192.168.55.0 255.255.255.0 192.168.28.1"
client-config-dir ccd
status openvpn-status.log
log /var/log/openvpn.log
verb 5
persist-key
persist-tun
keepalive 5 15
 

OpenVPN клиенты могут зайти напр., на 192.168.55.50 но на 192.168.55.51 нельзя зайти, хотя хосты 192.168.55.ххх между собой общаются без проблем. Сам фаер убунты смотрел, вродь ничего блокирующего не нашел.

Всего записей: 428 | Зарегистр. 25-07-2005 | Отправлено: 14:42 22-01-2016
Ice1374



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Может на самом 192.168.55.50 прописан статический маршрут на сеть 192.168.28.0/24, а на 192.168.55.51 - нет? Или шлюз по умолчанию там другой. 192.168.55.51 должен видеть адреса сети VPN.

Всего записей: 177 | Зарегистр. 02-10-2007 | Отправлено: 17:57 22-01-2016 | Исправлено: Ice1374, 17:58 22-01-2016
Valdon



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ice1374, точно, прописал в 192.168.55.51 статический маршрут на 192.168.28.0/24 и все заработало!
 
Еще вопрос, что в первую очередь из соображений безопасности нужно сделать на OpenVPN сервере без его переустановки после передачи его в эксплуатацию от другого админа? Т.е. нельзя чтоб текущие vpn-клиенты отключались.
 
ЗЫ: c openVPN пока сильно незнаком, нахожусь в стадии освоения....

Всего записей: 428 | Зарегистр. 25-07-2005 | Отправлено: 19:12 22-01-2016
freeneutro



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Хочу объединить несколько удаленных windows (xp, 7) машин в одну локальную сеть для совместного доступа к базе 1с. Подскажите для данного случая, какие лучше выбрать параметры proto, dev, server/server-bridge/ifconfig?

Всего записей: 15 | Зарегистр. 17-10-2008 | Отправлено: 19:34 22-01-2016
Ice1374



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
valdon. Ну, тут придётся считать, что ключ ЦС (центра сертификации - ca.key) -  скомпрометирован. Поэтому есть возможность использования как ключей любого из клиентов (но их можно "поотзывать"), но так же есть возможность и генерации новых валидных сертификатов. Поэтому, в идеале, нужно перегенерировать все сертификаты и ключи...
Без отключений не обойтись.
 
freeneutro. По скорости предпочтительнее протокол UDP. Тип dev попробуй tun (с опцией topology subnet). Режим server.

Всего записей: 177 | Зарегистр. 02-10-2007 | Отправлено: 21:25 22-01-2016
admin931



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
 
Еще вопрос, что в первую очередь из соображений безопасности нужно сделать на OpenVPN сервере без его переустановки после передачи его в эксплуатацию от другого админа? Т.е. нельзя чтоб текущие vpn-клиенты отключались.
 

в первую очередь сгенерировать всем новые ключи (не удаляя старые!!!), лучше всего еще один сервис VPN и поднять.
средствами удаленного доступа заменить старые на новые, тем самым перевести пользователей на новый сервис.
отключить доступ из старого впн в локальную сеть, например фаерволом.
можно еще по логину настроить уведомлялки на почту... сразу будет видно кто ключи не сменил или чьи ключи были использованы
 
но все это актуально, если злой-злой дядька старый админ не оказался "прошаренным" и не сделал себе какой-то иной способ доступа...  

Всего записей: 214 | Зарегистр. 07-12-2005 | Отправлено: 22:40 22-01-2016 | Исправлено: admin931, 22:42 22-01-2016
freeneutro



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Скажите OpenVPN использует оптимизацию маршрутов, или все данные между клиентами идут исключительно через сервер?

Всего записей: 15 | Зарегистр. 17-10-2008 | Отправлено: 09:27 23-01-2016
GCRaistlin



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
На сервере стоит Kerio Control для Win. Туда же поставил OpenVPN-клиент, подключающийся к VPN. Хочу, чтобы на определенные сайты клиенты моей сети ходили через VPN. Проблема в том, что после подключения меняется default gateway и, если не перенаправлять все пакеты в VPN, Интернет на клиентах отваливается. В майкрософтовском VPN-соединении можно снять галку "Use default gateway on remote network", а в TAP'е такой галки нет. Указание в конфиге маршрутов с большей метрикой не помогает. Как побороть?
 
Таблицы маршрутизации: без подключения к VPN, с подключением к VPN, с подключением к VPN с указанием маршрутов с большими метриками

----------
Magically yours
Raistlin

Всего записей: 3962 | Зарегистр. 18-04-2005 | Отправлено: 13:15 23-01-2016 | Исправлено: GCRaistlin, 13:17 23-01-2016
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
freeneutro  
В случае OpenVPN общение между клиентами исключительно через сервер.  
Есть другие варианты  VPN, например Cisco DMVPN, там споки (периферийные узлы)
и сети за ними могут общаться между собой напрямую, минуя хаб (центральный узел)  
 
GCRaistlin
Цитата:
Проблема в том, что после подключения меняется default gateway
А его ведь не обязательно менять ( redirect gateway...).
Достаточно указать маршруты к нужным сетям, доступ к которым должен быть
через  VPN соединение ( push route). В остальные места клиенты будут ходить
через собственный шлюз.
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 14:30 23-01-2016
GCRaistlin



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
Закомментировал в конфиге

Код:
redirect-gateway def1

- заработало! Спасибо.
Нет ли возможности добавлять статические маршруты средствами OpenVPN (работает как служба) без переподключения к VPN? Через route add можно, это понятно, но OpenVPN-то умеет разрешать DNS-имена.
 
Добавлено:
В теме про Kerio Control задал тот же вопрос про default gateway - послали в https://community.openvpn.net/openvpn/wiki/IgnoreRedirectGateway. Т. к. все решилось закомментированием строки, это не актуально, но вот что интересно. Добавлял в конфиг:

Код:
 
route-noexec
script-security 2
route-up C:\\Temp\\1.cmd
 

C:\Temp\1.cmd:

Код:
 
@set route_ > C:\Temp\1.txt
 

C:\Temp\1.txt:

Код:
 
route_gateway_1=192.168.255.149
route_netmask_1=255.255.255.255
route_network_1=192.168.255.129
route_vpn_gateway=192.168.255.149
route_net_gateway=192.168.33.4
 

То есть переменные устанавливаются только для одного маршрута. А ведь на самом деле с конфигом по умолчанию маршрутов создается несколько.

----------
Magically yours
Raistlin

Всего записей: 3962 | Зарегистр. 18-04-2005 | Отправлено: 18:56 23-01-2016
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
GCRaistlin

Цитата:
Нет ли возможности добавлять статические маршруты средствами OpenVPN
OpenVPN здесь вообще не при делах.
После поднятия соединения и выполнения связанных с этим действий,
всем дальнейшим рулит сама система.  
Так что все манипуляции с маршрутами при установленном соединении  
нужно делать средствами локальной системы.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 21:03 23-01-2016
GCRaistlin



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
Я так и думал. А по экспортируемым переменным есть какие-нибудь идеи?
 
Программно разорвать соединение, установленное OpenVPN, можно только остановив службу?

----------
Magically yours
Raistlin

Всего записей: 3962 | Зарегистр. 18-04-2005 | Отправлено: 21:08 23-01-2016
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
GCRaistlin
Цитата:
Программно разорвать соединение, установленное OpenVPN, можно только остановив службу?
Собственно, служба - это сервисная обертка вокруг одного или
нескольких процессов OpenVPN. Соответственно, процесс должен быть остановлен,
следовательно, и сервис тоже.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 21:47 23-01-2016
GCRaistlin



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Иногда попытка установить соединение при старте службы оканчивается неудачей. Служба остается запущенной, а соединения нет. Нет возможности заставить OpenVPN повторять в таком случае попытку? Соединяемся через UDP.
Или, может, есть какое стороннее средство, позволяющее детектить статус соединения? К сожалению, nnCron умеет это делать только для VPN- и RAS-соединений.

----------
Magically yours
Raistlin

Всего записей: 3962 | Зарегистр. 18-04-2005 | Отправлено: 22:15 23-01-2016
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
GCRaistlin
Посмотри по ссылке, там есть пример батника
http://forums.untangle.com/openvpn/30687-configure-client-automatically-reconnect.html
Сам я сабж в виде сервиса не использую, потому некопенгаген.

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 23:37 23-01-2016
GCRaistlin



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
Тот батник проверяет живость соединения, а не его статус. Дело, конечно, тоже важное, но в моем случае бесполезное: адреса шлюза и интерфейса каждый раз разные, а сам шлюз не отвечает на пинг.
Несмотря на то что автор ipconfig явно поставил себе целью не допустить парсинга вывода, написал свой: check_connection.cmd
Можно использовать с nnCron'ом.

----------
Magically yours
Raistlin

Всего записей: 3962 | Зарегистр. 18-04-2005 | Отправлено: 03:13 24-01-2016 | Исправлено: GCRaistlin, 03:15 24-01-2016
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru