Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

WarlockNT



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору



OpenVPN — свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами находящимися за NAT-firewall без необходимости изменения его настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL.

Официальный сайт
Страница загрузки
OpenVPN GUI for Windows || The Windows installers are bundled with OpenVPN-GUI
Настройка OpenVPN сервера под Windows
Документация (на английском)
OpenVPN Windows HowTo (на английском)
OpenVPN HowTo (на русском)
Документация на русском
OpenVPN for PocketPC

    FAQ
  1. Генерация сертификатов и ключей - сертификаты и ключи нужны только при TLS-аутентификации (--tls-server или --tls-client)
  2. Как прописать сертификаты прямо в конфиг клиента.
  3. Разрешить запуск и остановку службы openvpnservice обычным пользователям без прав администратора можно бесплатной утилитой svcadmin (см. "Демонстрационные программы", зеркало).


было

Тема в Программах

Всего записей: 207 | Зарегистр. 20-01-2003 | Отправлено: 07:48 01-08-2005 | Исправлено: nick7inc, 14:20 10-05-2018
fasttomas

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
Гасил файер полностью, не работает. Но всё равно спасибо за помощь.

Всего записей: 23 | Зарегистр. 16-10-2012 | Отправлено: 16:03 26-07-2017
BlackLabel



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Продублировал тут поскольку непонятно мне задача связанна  с openvpn или openwrt


 
Приветствую друзья , задался вот задачей довести ipv6 до домашней сети .. Но не получается , в ipv6 почти не разбираюсь и соответственно нужна ваша помощь ..  
 
Схема как на картинке ниже ..  
 

 
По данной схеме роутер получает ipv6  адрес посредством openvpn , пинги в мир  и к роутеру по этому адресу нормально идут ...  
НО .. как сделать чтобы ipv6  адреса были и в сети 10.180.x.x. Вот тут уже затык и полное непонимание ... Возможно ли вообще такое  ???  
 
Если будут нужны конфиги Openvpn сервера и клиента , то добавлю в этот пост ...  

Всего записей: 792 | Зарегистр. 14-04-2004 | Отправлено: 12:11 01-08-2017 | Исправлено: BlackLabel, 12:11 01-08-2017
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BlackLabel Твой случай? Ссылка


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 16717 | Зарегистр. 13-06-2007 | Отправлено: 10:49 02-08-2017
BlackLabel



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
vlary
 
да хотелки у нас одинаковые с Jacqueline Loriault , но решения там к сожалению нет  ...

Всего записей: 792 | Зарегистр. 14-04-2004 | Отправлено: 11:52 02-08-2017
Olymp



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго времени суток!
При пинге компа за клиентом, если этот комп выключен, в логе сервера:
Thu Aug 24 14:13:01 2017 us=464717 ClientVPN19/91.124.47.123:1165 MULTI: bad source address from client [192.168.1.14], packet dropped
Thu Aug 24 14:13:02 2017 us=463775 ClientVPN19/91.124.47.123:1165 MULTI: bad source address from client [192.168.1.14], packet dropped
Thu Aug 24 14:13:03 2017 us=478834 ClientVPN19/91.124.47.123:1165 MULTI: bad source address from client [192.168.1.14], packet dropped
Thu Aug 24 14:13:04 2017 us=480893 ClientVPN19/91.124.47.123:1165 MULTI: bad source address from client [192.168.1.14], packet dropped
При включении компьютера все хорошо. Так происходит только с одним клиентом, у остальных такого не наблюдается.
Сравнил 2 клиента, проблемный - windows 10, redirect-gateway def1, не проблемный windows xp, redirect-gateway local, больше отличий нет.
Подскажите пожалуйста, как можно побороть это?

Всего записей: 15 | Зарегистр. 17-08-2006 | Отправлено: 09:57 24-08-2017
yuris

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Olymp
Я думаю это проблема не клиента, а сервера. На сервере нет маршрута до клиента 192.168.1.14

Всего записей: 268 | Зарегистр. 19-11-2001 | Отправлено: 10:16 25-08-2017
Olymp



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Я думаю это проблема не клиента, а сервера. На сервере нет маршрута до клиента 192.168.1.14

192.168.1.0/24 это локалка за сервером OVPN, 192.168.1.14, это комп с которого делается пинг.
сервер винда 2012r2 с RRAS, маршруты все есть. Клиентов OVPN - 30 штук. Для всех одинаковые условия. Заметил по логам, очень редко, проскакивает еще один клиент с таким же напрягом, он тоже вин10 и так же, за ним если комп включен, то пинг ОК, если выключен, то bad source address from client [192.168.1.14], packet dropped. Может вин10 неадекватно маршрутизирует?

Всего записей: 15 | Зарегистр. 17-08-2006 | Отправлено: 04:20 28-08-2017
HelioSS



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У Open VPN есть шансы не попасть под осенний запрет VPN в РФ?

Всего записей: 4706 | Зарегистр. 26-11-2007 | Отправлено: 13:11 31-08-2017
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
HelioSS
Цитата:
У Open VPN есть шансы не попасть под осенний запрет VPN в РФ?
Запретят непременно. А также в рамках борьбы с терроризмом запретят кухонные ножи.
Будем пилить хлеб и колбасу суровой ниткой
Ты понимаешь разницу между продуктами и сервисами?
Запретить планируют анонимайзеры, Tor и VPN-сервисы, предоставляющие доступ  
к заблокированным в России ресурсам.  


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 16717 | Зарегистр. 13-06-2007 | Отправлено: 15:16 31-08-2017
HelioSS



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
разницу между продуктами и сервисами

Т.е. сабж - это просто оболочка для любого сервиса?

Всего записей: 4706 | Зарегистр. 26-11-2007 | Отправлено: 15:36 31-08-2017
StanislawK

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
HelioSS

Цитата:
У Open VPN есть шансы не попасть под осенний запрет VPN в РФ?

 
Это зависит только от соображалки провайдеров, конкретных исполнителей и их начальников.
 
На железке, которая фильтрует трафик (DPI  https://en.wikipedia.org/wiki/Deep_packet_inspection  ) трафик OpenVPN легко определяется по сигнатуре пакетов, не важно, настроил ты сервер на стандартном порту или 80 или 443 или любом другом.  
Весь вопрос: будет эта железка резать любой трафик openvpn или только к известным серверам анонимайзеров.
 
Легко может оказаться что один провайдер режет весь трафик openvpn, другой только к запрещенным серверам, а третий разрешает трафик по белому списку. Например некоторые банки, используют openvpn для служебных нужд, и уж точно тихо подсуетятся по поводу белого списка для себя.

Всего записей: 192 | Зарегистр. 23-11-2009 | Отправлено: 16:01 31-08-2017
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
HelioSS
Цитата:
Т.е. сабж - это просто оболочка для любого сервиса?
Это средство, которое может быть использовано для определенных сервисов.
Как и прокси сервер, например.  Если используется на госпредприятии,  
должно быть сертифицировано соответствующими инстанциями.  
Дома, в частной конторе можешь употреблять на здоровье.
Если в процессе употребление не нарушаешь закон.

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 16717 | Зарегистр. 13-06-2007 | Отправлено: 16:03 31-08-2017
HelioSS



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
StanislawK

Цитата:
На железке, которая фильтрует трафик (DPI

Вроде, на DPI у них денег не хватает. Пока.
Цитата:
некоторые банки, используют openvpn для служебных нужд, и уж точно тихо подсуетятся по поводу белого списка для себя.

Они, вроде как, имеют право (как и все, собственно) подать заявку (типа надо для служебных нужд) и конкретно для них дырочку откроют.

Всего записей: 4706 | Зарегистр. 26-11-2007 | Отправлено: 16:04 31-08-2017
StanislawK

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
HelioSS

Цитата:
Вроде, на DPI у них денег не хватает. Пока.

Доброе утро!  
 
У них денег нехватает на то, чтобы писать весь трафик и хранить три года (а на 6 месяцев хватает).  
Железки DPI стоят недорого, продаются в рассрочку, и почти у всех провадеров именно они давным давно работают для блокировки сайтов по спискам роскомнадзора.
А до этого стояли для ограничения скоростей абонентам (traffic shaping), для блокировки спама, сетевых атак и многого другого. Очень универсальные железки.
 

Цитата:
Они, вроде как, имеют право (как и все, собственно) подать заявку (типа надо для служебных нужд) и конкретно для них дырочку откроют.

Круто. Теперь осталось понять, куда подавать заявку на дырочку.  /сарказм/
 
Думаю, ты путаешь со средствами и ключами шифрования. К запретам и разрешениям VPN это не относится. И там не "имеют право", но обязанность.

Всего записей: 192 | Зарегистр. 23-11-2009 | Отправлено: 16:44 31-08-2017
Olymp



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго времени суток!
Имеется сервер и 30 клиентов. На клиентах в логе предупреждения:
WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
На сервере:
WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
клиенты удаленные. Возможно ли не разом, а постепенно вылечить данные предупреждения? Как правильней организовать все это?
(чем можно мониторить в реальном времени лог на виндовом сервере?)
Спасибо!

Всего записей: 15 | Зарегистр. 17-08-2006 | Отправлено: 10:36 04-09-2017 | Исправлено: Olymp, 10:42 04-09-2017
yuris

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Olymp
Первый варнинг, что ns-cert-type устарел, я думаю можно игнорировать пока.
По второму варнингу.
Меняете шифр (cipher) на сервере и раздаете клиентам конфиги с таким же шифром, либо клиенты сами у себя меняют.  
Постепенно вылечить не выйдет т.к. тип шифрования задается на сервере, то клиенты не смогут подключиться с другими настройками шифрования.
А у вас сервак выдержит нагрузку, когда 30 клиентов подключится с 256-битным шифрованием?
Я бы для начала сменил шифр хотя бы на 128 битный AES-128-CBC

Всего записей: 268 | Зарегистр. 19-11-2001 | Отправлено: 08:49 05-09-2017
kaurych



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Привет!
Поставил на Debian OpenVPN 2.4
Debian 9 (Server OpenVPN)  <------------> Mikrotik
С Микротика подсоединяюсь к дебиану и вижу сетку за ним. Норм
Как сделать что бы подсети видели друг друга, не могу найти нормальный мануал!!!
На какой-то момент заработало т.к. в конфиг server.conf добавил маршрут  
route 192.168.200.0 255.255.255.0
Сейчас переделал сертификаты (единственное CN у сертификата другой стал) ничего изменится не должно было но не работает снова. Вот схемка.

  Кривовато немного получилось, но извините торопят!
В  
client-config dir ccd  
прописал в "такое же как название сертификата клиента"
iroute 192.168.200.0 255.255.255.0 10.8.0.1
ifconfig-push 10.8.0.2 10.8.0.1
Что интересно маршрут всегда прописан через шлюз 10.8.0.2 в подсетку за микротиком но в тунеле выдаётся другой ИП
Что делать?
На данный момент выдаёт постоянно 10.8.0.5  

Всего записей: 443 | Зарегистр. 16-05-2006 | Отправлено: 15:30 12-09-2017 | Исправлено: kaurych, 16:03 12-09-2017
yuris

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kaurych
Честно говоря, ничего не понял.
Вместо рисования картинок привели бы конфиг сервера опенвпн и вывод ip ro sho
Самая лучшая статья

Всего записей: 268 | Зарегистр. 19-11-2001 | Отправлено: 16:09 12-09-2017
kaurych



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yuris
В общем канал поднимается. Микротик видит внутреннюю сетку за OpenVPN сервером, а вот из сети микротика уже не видно!
Могуть быть проблемы из за того, что я
./build-key client1  
давал как  
./build-key /etc/openvpn/ccd/client1
имя в логах подставляется CN с этим путём..
 
Добавлено:
Вот весь конфиг
port 1194
proto tcp
dev tun
 
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpn_server.crt
key /etc/openvpn/server/vpn_server.key  
dh /etc/openvpn/server/dh2048.pem
 
server 172.18.1.0 255.255.255.240
 
ifconfig-pool-persist ipp.txt
 
push "route 172.21.101.0 255.255.255.0"
 
route 172.21.102.0 255.255.255.240
 
keepalive 10 120
 
cipher AES-256-CBC
auth SHA1
 
max-clients 10
client-to-client
client-config-dir ccd #Config for client
 
user nobody
group nogroup
 
persist-key
persist-tun
 
status openvpn-status.log
 
log        /var/log/openvpn.log
;log-append  openvpn.log
 
verb 3
 
Добавлено:
и в папке ccd для клиента  
iroute 172.21.102.0 255.255.255.240  
 Всё!
С таким раскладом вчера пинги из сети микротика шли в сеть за сервером. Я в конфиге сгенерировал новый (предыдущий для теста был) и поменял пути к сертификатам в конфиге сервера и всё заглохло!

 
Добавлено:
Если определять в файлике для клиента фиксированный адрес,
ifconfig-push 172.18.1.1 172.18.1.2
То толку никакого - он в маршрутах у себя прописывает  
172.18.1.5
Пингуется  
172.18.1.6  
и определяется он как PREF-SRC

Всего записей: 443 | Зарегистр. 16-05-2006 | Отправлено: 16:25 12-09-2017
yuris

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если хотите сменить путь к ccd укажите его явно в конфиге
client-config-dir /etc/openvpn/clients
чтобы сделать постоянный адрес имя файла в ccd должно совпадать с именем клиента
Сделайте revoke сертификата client1 и сгенерируйте снова build-key client1
в файле client1
iroute 172.21.101.0 255.255.255.0 - если это сеть за сервером опенвпн
ifconfig-push 172.18.1.1 172.18.1.2
Cмотрите более подробный лог verb 4 или 5.

Всего записей: 268 | Зарегистр. 19-11-2001 | Отправлено: 09:09 13-09-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru