Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Открыть новую тему     Написать ответ в эту тему

WarlockNT



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тема в Программах



OpenVPN - свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами находящимися за NAT-firewall без необходимости изменения его настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL.

Официальный сайт
Страница загрузки
OpenVPN GUI for Windows || The Windows installers are bundled with OpenVPN-GUI
Настройка OpenVPN сервера под Windows
Документация (на английском)
OpenVPN Windows HowTo (на английском)
OpenVPN HowTo (на русском)
Документация на русском
OpenVPN for PocketPC


FAQ
Генерация сертификатов и ключей - сертификаты и ключи нужны только при TLS-аутентификации (--tls-server или --tls-client)
Как прописать сертификаты прямо в конфиг клиента.
• Разрешить запуск и остановку службы openvpnservice обычным пользователям без прав администратора можно бесплатной утилитой svcadmin (см. "Демонстрационные программы", зеркало).

Всего записей: 210 | Зарегистр. 20-01-2003 | Отправлено: 07:48 01-08-2005 | Исправлено: shrmn, 11:53 29-05-2022
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Small_green_yojik
Цитата:
Но по openvpn, все-таки, вопрос прошу считать открытым.
Почему OpenVPN тормозит?

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 20:56 22-11-2016
Small_green_yojik



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
Смотрел конечно.
Специально комментарии из конфигов не убирал...
Не помогло.
 + Вероятно это уже не актуально (поэтому и закомментил), т.к. где-то видел обсуждение патчей.
 
Помимо SoftEther завтра попробую еще на клиенте последнюю версию собрать.
 
Результаты SoftEther обнадеживают.

Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 21:56 22-11-2016
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Small_green_yojik
Цитата:
Результаты SoftEther обнадеживают.
И это действительно так.
Сейчас попробовал вместо  L2TP/IPSec подключиться  к  
SoftEther по протоколу OpenVPN, обычным клиентом.
Результат практически тот же:
Код:
C:\>ping 10.1.1.12
 
Обмен пакетами с 10.1.1.122 по 32 байт:
 
Ответ от 10.1.1.12: число байт=32 время=8мс TTL=128
Ответ от 10.1.1.12: число байт=32 время=9мс TTL=128
Ответ от 10.1.1.12: число байт=32 время=7мс TTL=128
Ответ от 10.1.1.12: число байт=32 время=7мс TTL=128
 
Статистика Ping для 10.1.1.12:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 7мсек, Максимальное = 9 мсек, Среднее = 7 мсек


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 03:03 23-11-2016
Small_green_yojik



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
Поставил. Осталось разобраться в настройках этого самолета.
 
Добавлено:
vlary
Странное дело.
После установки и настройки SoftEther пинги заходили и по openvpn нормально (чуть медленнее, но не значительно).
 
Но, все же, решил остаться на SoftEther.
 
ping my_vps_host
64 bytes from my_vps_host (my_vps_host_ip): icmp_seq=1 ttl=50 time=104 ms
64 bytes from my_vps_host (my_vps_host_ip): icmp_seq=2 ttl=50 time=107 ms
64 bytes from my_vps_host (my_vps_host_ip): icmp_seq=3 ttl=50 time=97.7 ms
64 bytes from my_vps_host (my_vps_host_ip): icmp_seq=4 ttl=50 time=96.5 ms
64 bytes from my_vps_host (my_vps_host_ip): icmp_seq=5 ttl=50 time=95.5 ms
64 bytes from my_vps_host (my_vps_host_ip): icmp_seq=6 ttl=50 time=108 ms
64 bytes from my_vps_host (my_vps_host_ip): icmp_seq=7 ttl=50 time=96.5 ms
64 bytes from my_vps_host (my_vps_host_ip): icmp_seq=8 ttl=50 time=102 ms
64 bytes from my_vps_host (my_vps_host_ip): icmp_seq=9 ttl=50 time=89.6 ms
 
ping 10.9.8.1
64 bytes from 10.9.8.1: icmp_seq=1 ttl=64 time=110 ms
64 bytes from 10.9.8.1: icmp_seq=2 ttl=64 time=94.5 ms
64 bytes from 10.9.8.1: icmp_seq=3 ttl=64 time=92.8 ms
64 bytes from 10.9.8.1: icmp_seq=4 ttl=64 time=107 ms
64 bytes from 10.9.8.1: icmp_seq=5 ttl=64 time=99.1 ms
64 bytes from 10.9.8.1: icmp_seq=6 ttl=64 time=97.8 ms
64 bytes from 10.9.8.1: icmp_seq=7 ttl=64 time=96.8 ms
64 bytes from 10.9.8.1: icmp_seq=8 ttl=64 time=98.8 ms
64 bytes from 10.9.8.1: icmp_seq=9 ttl=64 time=95.0 ms
 

Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 14:26 23-11-2016
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Small_green_yojik
Цитата:
После установки и настройки SoftEther пинги заходили и по openvpn нормально
Ну прямо лечебная приблуда!
Совсем другое дело, пинги длиннее на пару процентов, а не в разы.
Цитата:
Но, все же, решил остаться на SoftEther.
И это правильно. Четыре протокола в одном стакане лучше, чем один.
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 18:02 23-11-2016
karavan



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
vlary
Вам не приходилось использовать openvpn без сертификации пользователей, только по логину/паролю?
Стоит задача развернуть именно openvpn, но с упрощением пользовательских подключений до использования пары логин:пароль.
У меня не получается через опцию --auth-user-pass-verify via-env передать пароль проверочному скрипту.
Через via-file все работает, но хочется использовать переменные окружения.
В доках openvpn указано, что имена переменных username и password.
Переменную логина отлавливаю, а переменная пароля почему-то даже не объявлена.
Проверку делал размещением следующих строк в начале скрипта проверяющего пару.

Код:
echo "$username" > /tmp/parameters
echo "$password" >> /tmp/parameters
 

А так-же делал такую проверку, где не вижу даже объявления переменной password:

Код:
echo `env` > /tmp/parameters

 
P.S.: В сэмплах у openvpn валяется перловский файл аутентификации, но я в перле полный ноль, чтобы что-то на нем использовать.

Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 05:43 24-11-2016
admin931



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ммм, а чем плоха верификация по паролю с единым для всех сертификатом?
это не то, чтобы самый правильный способ - просто один из самых простых в исполнении...
один сертификат, ставится вместе с программой, а уже пользователей пускает по связке логин:пароль,
логин и пароль в этом случае можно хранить где угодно, хоть в ldap, хоть SQL, хоть в системе
 
в частном случае в конфиг будет добавлено:  

Цитата:
plugin /usr/local/lib/openvpn-auth-pam.so "login login USERNAME password PASSWORD"  
# включаем авторизацию по логину и паролю!
auth-user-pass-verify "/usr/local/etc/openvpn/auth-pam.pl /usr/local/etc/openvpn/users.pw" via-file
# выше указываем откуда брать логин и пароль, скрипт auth-pam.pl мне пришлось качать с сайта...  
# так что ищи его на просторах инета

client-cert-not-required # отключаем сертификаты как средство авторизации клиента
auth MD5 # передача пароля в зашиврованном виде? режим ваш на усмотрение, может зависеть от вашего скрипта
 


Всего записей: 214 | Зарегистр. 07-12-2005 | Отправлено: 22:20 24-11-2016 | Исправлено: admin931, 22:24 24-11-2016
karavan



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
скрипт auth-pam.pl мне пришлось качать с сайта

 
admin931, откуда цитата? Расскажите человеку про /usr/share/doc
Возможно, это натолкнет его на сэмплы.
 
admin931

Цитата:
а чем плоха верификация по паролю с единым для всех сертификатом?  

Ни чем не плоха, даже можно вообще без сертификата на клиентской стороне, достаточно (это мое ИМХО) tls-auth и диффи-хэлмана.
 
В цитате используется значение "via-file", у меня с ним проблем нет, есть проблема передачи пароля через окружение со значением "via-env".
Неожиданно, чтение man-page очень помогло, оказывается хитрый параметр --script-security запрещал передачу пароля через переменные окружения.
Задача решена и сервер передан заказчику.

Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 22:53 24-11-2016 | Исправлено: karavan, 02:55 27-11-2016
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Мда... Как говорится, проблема запоминания сложного пароля легко решается
приклейкой стикера на системный блок или монитор.
В стремлении потрафить ленивым юзерам все как-то забывают,
что основное назначение VPN - безопасность


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 10:04 25-11-2016
karavan



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
что основное назначение VPN - безопасность

У меня другая задача.
VPN нужен для обхода блокировок провайдеров в некоторой стране.

Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 10:36 25-11-2016
admin931



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
VPN нужен для обхода блокировок провайдеров в некоторой стране.  

ну если уж на то пошло вообще тунель поднять без шифрования...  
только смысл?

Всего записей: 214 | Зарегистр. 07-12-2005 | Отправлено: 21:21 25-11-2016 | Исправлено: admin931, 00:49 26-11-2016
karavan



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
admin931
Блочат все, тем более открытое нешифрованное.

Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 23:44 25-11-2016
JMLabs



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сервер windows+openvpn за сервером сеть
Подскажите, пожалуйста, как сделать так чтобы пользователи могли иметь доступ только к определенным IP в сети сервера? В официальном мануале https://openvpn.net/index.php/open-source/documentation/howto.html#policy написано что нужно назначить пользователям фиксированные IP и далее правилами файрвола ограничить. У меня не получается настроить такие правила на виндоус файрволе. Кто-то имел опыт?

Всего записей: 15 | Зарегистр. 21-12-2016 | Отправлено: 01:57 21-12-2016
serg53



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
JMLabs
Цитата:
Сервер windows+openvpn за сервером сеть  Подскажите, пожалуйста, как сделать так чтобы пользователи могли иметь доступ только к определенным IP в сети сервера? В официальном мануале https://openvpn.net/index.php/open-source/documentation/howto.html#policy написано что нужно назначить пользователям фиксированные IP и далее правилами файрвола ограничить. У меня не получается настроить такие правила на виндоус файрволе. Кто-то имел опыт?

 
Примерно так: http://blog.vpsville.ru/blog/pro/54.html (или поставить шлюз на Linux)

Всего записей: 967 | Зарегистр. 11-12-2006 | Отправлено: 07:18 21-12-2016 | Исправлено: serg53, 07:19 21-12-2016
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
JMLabs
Цитата:
Сервер windows+openvpn за сервером сеть  
Поставь SoftEther VPN. Он тоже поддерживает OpenVPN протокол.
И там намного более гибкие настройки различных списков доступа.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 11:15 21-12-2016
JMLabs



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Примерно так

Спасибо, но вопрос глубже. Предполагаю что нужно сначала сделать правило "запретить все", а потом уже делать отдельные правила для конкретных IP. Но тут возникает вот еще какая штука. Согласно мануалу, отдавать фиксированный IP можно только сегментами из подсети 255.255.255.252 (/30), т.е. только 1 IP на пользователя, но как быть если человек использует свой комплект сертификатов на рабочем компе и на ноутбуке и на телефоне? Т.е. три устройства, а директива - отдавать только 1 IP. Получается надо делать 3 комплекта сертификатов на каждое устройство? Очень бы хотелось найти решение создания правил именно для пользователя а не для IP.
 

Цитата:
Поставь SoftEther VPN

Спасибо! Не знал про такую чудо вещь, буду пробовать

Всего записей: 15 | Зарегистр. 21-12-2016 | Отправлено: 17:22 21-12-2016
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
JMLabs
Ну во-первых, Вы может использовать не /30 а /29, например, что-то я не припомню что бы это что-то ломало.
А вообще мне кажется этот вариант неудобным.
 
Для гибкости и собранности всего и вся в одном месте, я бы написал скрипт, который бы вызывал в директиве client-connect.
В скрипте всё просто: в зависимости от переменной окружения common_name, прописываете в firewall нужные вам правила для ip клиента (ifconfig_remote, вроде как). Правила удалять скриптом при client-disconnect.
Т.о. не надо думать кому какие адреса и из каких подсетей выделять.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 16:58 22-12-2016
JMLabs



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я пробовал /29 - не работает. Вот цитата первоисточника: "They must be taken from successive /30 subnets"
Идея со скриптом мне очень нравится, но не представляю как его написать. Напоминаю, у меня Windows. Натолкните на верный путь, пожалуйста

Всего записей: 15 | Зарегистр. 21-12-2016 | Отправлено: 23:21 22-12-2016
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
JMLabs
Цитата:
Натолкните на верный путь
Так я вроде уже дал все вводные, сказал какой директивой вызывать из конфига сервера и сказал какие переменные проверять. У меня нету ни где Windows и тем более нету Windows Server'а что бы проверить хоть что-то или накидать примерный скрипт на cmd/powershell/vbs.
 
Ещё, как вариант, если не знаете как сделать скрипт, хотя он весьма простым должен получиться, то можно смотреть в сторону ковыряние схемы с  topology subnet.
А вообще Вы попробовали SoftEther VPN?

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 00:55 23-12-2016
nick7inc



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Думаю, что в шапке надо дополнить в
Цитата:
Как прописать сертификаты прямо в конфиг клиента.

Ссылка.
Подробнее

----------
Джин, не лезь в бутылку.

Всего записей: 1138 | Зарегистр. 04-05-2007 | Отправлено: 15:54 06-01-2017 | Исправлено: nick7inc, 16:09 06-01-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru