Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Открыть новую тему     Написать ответ в эту тему

WarlockNT



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тема в Программах



OpenVPN - свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами находящимися за NAT-firewall без необходимости изменения его настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL.

Официальный сайт
Страница загрузки
OpenVPN GUI for Windows || The Windows installers are bundled with OpenVPN-GUI
Настройка OpenVPN сервера под Windows
Документация (на английском)
OpenVPN Windows HowTo (на английском)
OpenVPN HowTo (на русском)
Документация на русском
OpenVPN for PocketPC


FAQ
Генерация сертификатов и ключей - сертификаты и ключи нужны только при TLS-аутентификации (--tls-server или --tls-client)
Как прописать сертификаты прямо в конфиг клиента.
• Разрешить запуск и остановку службы openvpnservice обычным пользователям без прав администратора можно бесплатной утилитой svcadmin (см. "Демонстрационные программы", зеркало).

Всего записей: 210 | Зарегистр. 20-01-2003 | Отправлено: 07:48 01-08-2005 | Исправлено: shrmn, 11:53 29-05-2022
kaurych



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yuris
Да я и так и так делал.
у меня в  
client-config-dir /etc/openvpn/clients
было ранее направлено и заработало. Решил туда складывать созданные сертификаты и после новых сертификатов не хочет отрабатывать.
iroute 172.21.101.0 255.255.255.0 - если это сеть за сервером опенвпн  
ifconfig-push 172.18.1.1 172.18.1.2  
 
 
iroute 172.21.102.0 255.255.255.240 - эта сеть не за сервером OpenVPN а за клиентом на Mikrotik за которым сеть и она не видит другую которая уже за сервером!
Вот у меня прописано в файлике для клиента:
iroute 172.21.102.0 255.255.255.240
ifconfig-push 172.18.1.1 172.18.1.2  
 
клиент должен получать по иде 172.18.1.2  для openvpn канала а он получает судя по маршрутизайии 5й на конце ip
 
Добавлено:
Совершенно не понятно почему вот эта ошибка вылезла в логах:
MULTI: new connection by client 'dc' will cause previous active sessions by this client to be dropped. Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
У меня один клиент. Он одновременно второй раз пытается подключиться что ли? Бред какой то...

Всего записей: 463 | Зарегистр. 16-05-2006 | Отправлено: 09:41 13-09-2017 | Исправлено: kaurych, 09:46 13-09-2017
yuris

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В конфиге опенвпн передавайте клиенту маршрут до локальной сети за опенвпн - например
push "route 192.168.100.0 255.255.255.0"
И с чем связано, что вы ставите серверу маску 255.255.255.240?
И где у вас маршрут до подсети сервера route 172.18.1.0 255.255.255.240?
У вас сам сервер опенвпн пингуется с клента?

Всего записей: 382 | Зарегистр. 19-11-2001 | Отправлено: 10:38 13-09-2017
kaurych



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
С клиента да - и подсетка!
Маску выдали такую! 255.255.255.240!!
 
 
Добавлено:
В общем для чистоты эксперимента всем выдал маску 24
Сомнения закрадываются, что конфиг в ccd для клиента считывается! Как проверить?
 

Всего записей: 463 | Зарегистр. 16-05-2006 | Отправлено: 10:50 13-09-2017
kaurych



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Заработал.. .только сертификат уже с корневым с генерировал без добавления пути.
Вот пример как не надо делать ./build-key /etc/openvpn/client/client1
Сертификат действительно как надо упал в папку /etc/openvpn/client/  
НО!! Этот путь в CN внутрь самого сертификата попадает (ручками поменял имя, но нет толку, всё равно CN старый дёргает) и везде потом прописывается в качестве названия сертификата, в результате чего теряется соответствие реальному имени сертификата.
/etc/openvpn/ccd/client1; `ip ... короче лажа полная получается и никакой привязки к ИП не выходит для туннеля.

Всего записей: 463 | Зарегистр. 16-05-2006 | Отправлено: 14:25 13-09-2017 | Исправлено: kaurych, 14:32 13-09-2017
telef

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день.
Впервые настраиваю впервые openvpn
подскажите пожалуйста,  
сеть офиса  
стоит роутер (192.168.1.1)
в сети компьютеры с windows
есть один компьютер ubuntu 16  (192.168.1.80), на нем стоит openvpn  
клиенты на удаленке на windows android mint
 
1. какие порты надо прокинуть на роутере чтоб работал vpn
2. При настройке на windows 10, OpenVPN-GUI, при фоормировании сертификата требует библиотеку ssl
ее надо отдельно качать или есть полный путь?

Всего записей: 5 | Зарегистр. 17-08-2010 | Отправлено: 23:19 29-10-2017
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
telef
Цитата:
1. какие порты надо прокинуть на роутере чтоб работал vpn
Какой порт настраиваешь для сервера, тот и пробрасывай.
Цитата:
ее надо отдельно качать
Зависит от конкретного дистрибутива.
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 00:07 30-10-2017
telef

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
я так понимаю строчка в server.conf у клиента
remote 999.999.999.999 1194
означает порт 1194?
 
и еще клиент под mint
openvpn запускается без ошибок
запускаю ifconfig
там нет интерфейса tun

Всего записей: 5 | Зарегистр. 17-08-2010 | Отправлено: 00:55 30-10-2017
yuris

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
telef
Проверьте какой порт стоит в server.conf на сервере опенвпн, а не в конфиге клиента.
по умолчанию порт 1194 и протокол udp, достаточно пробросить только его.
Порты и протоколы в конфигах клиента и сервера должны совпадать.

Цитата:
там нет интерфейса tun

строчка dev tun есть в конфиге клиента?

Всего записей: 382 | Зарегистр. 19-11-2001 | Отправлено: 12:15 30-10-2017
telef

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
поменял везде порты 1195
пробросил 1195 udp на роутере
 
конфиг сервера

Код:
 
port 1195
proto udp
dev tun
user openvpn
group openvpn
cd /etc/openvpn
persist-key
persist-tun
tls-server
tls-timeout 120
dh /etc/openvpn/dh.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/vpn-server.crt
key /etc/openvpn/server.key
crl-verify /etc/openvpn/crl.pem
tls-auth /etc/openvpn/ta.key 0
server 10.15.0.0 255.255.255.0
client-config-dir /etc/openvpn/ccd
client-to-client
topology subnet
max-clients 5
push "dhcp-option DNS 10.15.0.1"
route 10.15.0.0 255.255.255.0
comp-lzo
keepalive 10 120
status /var/log/openvpn/openvpn-status.log 1
status-version 3
log-append /var/log/openvpn/openvpn-server.log
verb 3
mute 20
 

 
конфиг клиента

Код:
 
dev tun
proto udp
remote (белый ip роутера) 1195
client
resolv-retry infinite
ca "/etc/openvpn/ca.crt"
cert "/etc/openvpn/filial.crt"
key "/etc/openvpn/client.key"
tls-auth "/etc/openvpn/ta.key" 1
remote-cert-tls server
persist-key
persist-tun
comp-lzo
verb 3
status /var/log/openvpn/openvpn-status.log 1
status-version 3
log-append /var/log/openvpn/openvpn-client.log
 

 
и еще у меня локалка 192.168.5.0/24
в какой строчке надо поменять?

Всего записей: 5 | Зарегистр. 17-08-2010 | Отправлено: 12:26 30-10-2017
yuris

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
не вижу строчки cipher (шифр) в конфигах сервера и клиента, по умолчанию стоит блоуфиш BF-CBC
добавьте строчку tls-client в конфиг клиента, раз у вас включен tls-server на сервере,  
а также можно добавить в серверный конфиг push "route 192.168.5.0 255.255.255.0" - передавать клиенту маршрут до локалки
verb 5 - повысьте уровень детализации логов на время отладки.

Цитата:
в какой строчке надо поменять?

не понял, что на что поменять.

Всего записей: 382 | Зарегистр. 19-11-2001 | Отправлено: 14:50 30-10-2017
telef

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
все сделал как писали,
подключения нет  
вот что пишет в логах клиент

Код:
 
Tue Oct 31 18:22:17 2017 us=829768 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Oct 31 18:22:17 2017 us=829834 TLS Error: TLS handshake failed
Tue Oct 31 18:22:17 2017 us=830028 TCP/UDP: Closing socket
Tue Oct 31 18:22:17 2017 us=830111 SIGUSR1[soft,tls-error] received, process restarting
Tue Oct 31 18:22:17 2017 us=830165 Restart pause, 2 second(s)
Tue Oct 31 18:22:19 2017 us=830388 Re-using SSL/TLS context
Tue Oct 31 18:22:19 2017 us=830563 LZO compression initialized
Tue Oct 31 18:22:19 2017 us=830710 Control Channel MTU parms [ L:1542 D:1184 EF:66 EB:0 ET:0 EL:3 ]
Tue Oct 31 18:22:19 2017 us=830805 Socket Buffers: R=[212992->212992] S=[212992->212992]
Tue Oct 31 18:22:19 2017 us=830875 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:143 ET:0 EL:3 AF:3/1 ]
Tue Oct 31 18:22:19 2017 us=830943 Local Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher DES-EDE3-CBC,auth SHA1,keysize 192,tls-auth,key-method 2,tls-client'
Tue Oct 31 18:22:19 2017 us=831013 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher DES-EDE3-CBC,auth SHA1,keysize 192,tls-auth,key-method 2,tls-server'
Tue Oct 31 18:22:19 2017 us=831072 Local Options hash (VER=V4): '53f7fc82'
Tue Oct 31 18:22:19 2017 us=831128 Expected Remote Options hash (VER=V4): 'b5edb94e'
Tue Oct 31 18:22:19 2017 us=831173 UDPv4 link local (bound): [undef]
Tue Oct 31 18:22:19 2017 us=831216 UDPv4 link remote: [AF_INET]93.185.190.90:1195
WWRTue Oct 31 18:22:21 2017 us=186612 TLS: Initial packet from [AF_INET]93.185.190.90:1195, sid=de25353e 1feeb9e0
 

Всего записей: 5 | Зарегистр. 17-08-2010 | Отправлено: 18:28 31-10-2017
yuris

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
у клиента есть ta.key?

Всего записей: 382 | Зарегистр. 19-11-2001 | Отправлено: 20:41 31-10-2017
OldVold

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте! Возник следующий вопрос. Есть OpenVPN сервер, работающий на Винде (WS2012R2), решил обновить. Удалил OpenVPN, предварительно скопировав файлы, установил новый. После установки все работает, но, не генерируются ключи. Выдает следующую ошибку:
 
C:\OpenVPN\easy-rsa>build-key test1
"openssl" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом
"openssl" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом
Не удается найти C:\OpenVPN\ssl\*.old
 
Подскажите, пожалуйста, что нужно сделать, что бы вернулась возможность генерировать ключи
 
Нашел ответ на 94 странице данного форума, так что помощь уже не нужна

Всего записей: 3 | Зарегистр. 22-03-2015 | Отправлено: 12:21 13-11-2017 | Исправлено: OldVold, 12:39 13-11-2017
alexeybard1980

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте. Помогите пожалуйста с настройкой OpenVPN. Проблема в том, что при подключении клиент не видит сеть за сервером. Все уже перепробовал. Скидываю конфиг сервера и клиента
Сервер

Код:
dev tap
 
dev-node "VPN-server"
proto tcp-server
#proto udp
port 7777
tls-server
server 10.8.0.0 255.255.255.0  
comp-lzo
push "route 10.8.0.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"
client-to-client
# каталог с описаниями конфигураций каждого из клиентов
client-config-dir C:\\OpenVPN\\config\\ccd
# файл с описанием сетей между клиентом и сервером
ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt
# пути для ключей и сертификатов сервера
dh C:\\OpenVPN\\ssl\\dh1024.pem
ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\Server.crt
key C:\\OpenVPN\\ssl\\Server.key
#persist-key
tls-auth C:\\OpenVPN\\ssl\\ta.key 0
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
keepalive 10 120
status C:\\OpenVPN\\log\\openvpn-status.log
log C:\\OpenVPN\\log\\openvpn.log
verb 3
 

Клиент
 

Код:
dev tap
# dev-node "OpenVPN"  
proto tcp  
remote IP адрес 7777
route-delay 3  
client  
tls-client  
ns-cert-type server  
ca C:\\OpenVPN\\ssl\\ca.crt  
cert C:\\OpenVPN\\ssl\\client.crt  
key C:\\OpenVPN\\ssl\\client.key  
tls-auth C:\\OpenVPN\\ssl\\ta.key 1  
comp-lzo  
tun-mtu 1500  
tun-mtu-extra 32  
mssfix 1450  
ping-restart 60  
ping 10  
status C:\\OpenVPN\\log\\openvpn-status.log  
log C:\\OpenVPN\\log\\openvpn.log  
verb 3

Всего записей: 2 | Зарегистр. 04-06-2010 | Отправлено: 17:57 22-11-2017 | Исправлено: alexeybard1980, 17:57 22-11-2017
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alexeybard1980
1. А у клиента дома сеть часом не так же 192.168.0.0?
2. Те хосты, которых он хочет увидеть в сети, знают, что ответы ему нужно  
слать через OpenVPN сервер, а не дефолт шлюз?
3. Коль скоро используешь dev tap, почему бы не выдавать клиенту адрес из той же сети
192.168.0.0 (типа бридж)? Это сняло бы необходимость маршрутизации.

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 20:42 22-11-2017
itceh

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день,  
 
 
При подключении к OpenVPN сети на Windows 10 выдает ошибку, лог:  
 
disabling NCP mode (--ncp-disable) because not in P2MP client or server mode  
Options error: You must define TUN/TAP device (--dev)  
Use --help for more information.  
 
TAP драйвер переустанивал, антивирусы и брендмауер отключал. Другие компьютеры подключаться без проблем.  
 
Буду благодарен идеям как решить.

Всего записей: 3 | Зарегистр. 22-11-2017 | Отправлено: 11:55 23-11-2017
karavan



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
itceh

Цитата:
TAP драйвер переустанивал, антивирусы и брендмауер отключал.

Ты забыл прочитать вот эту строчку:

Цитата:
Use --help for more information

После прочтения иметь ввиду, что это руководство к действию.
 
Добавлено:
P.S.: Это тоже руководство к действию:

Цитата:
You must define TUN/TAP device


Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 21:11 23-11-2017
itceh

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Решение нашел - перегенерировал ключи еще раз и запустилось без проблем

Всего записей: 3 | Зарегистр. 22-11-2017 | Отправлено: 11:25 25-11-2017
andrey299

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте! Помогите пожалуйста с проблемой: при установке openvpn на windows 7 32 устройство TAP-Windows Adapter V9 устанавливается с ошибкой Это устройство работает неправильно, т.к. Windows не удается загрузить для него нужные драйверы. (Код 31). с такой же ошибкой устанавливается Адаптер Microsoft ISATAP. в setapapi.log для TAP-Windows Adapter V9  Device not started: Device has problem: 0x1f: CM_PROB_FAILED_ADD.  
пробовал отдельно устанавливать tap-windows-9.21.2 и tap-windows-9.9.2_3, все запускалось с правами админа, пробовал отдельно ставить само устройство из утилит ("C:\Program Files\TAP-Windows\bin\addtap.bat") - не работает адаптер. подскажите, куда копать?

Всего записей: 3 | Зарегистр. 25-10-2006 | Отправлено: 17:10 27-11-2017
OldVold

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте! После последнего обновления Windows 10 у клиентов OpenVPN регулярно происходят обрывы связи. Когда пингую сервер примерно 20% пакетов теряется. Примерно каждые 2 минуты обрыв секунд на 20. Кто сталкивался и как решил? Отключение Брэндмауэра и прочих защитных служб не спасает. На хосте (сервер OVPN поднят под WS2012R2) стоит последняя версия приложения - недавно обновил - 2.18.

Всего записей: 3 | Зарегистр. 22-03-2015 | Отправлено: 10:49 29-11-2017 | Исправлено: OldVold, 10:52 29-11-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru