Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Открыть новую тему     Написать ответ в эту тему

WarlockNT



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тема в Программах



OpenVPN - свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами находящимися за NAT-firewall без необходимости изменения его настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL.

Официальный сайт
Страница загрузки
OpenVPN GUI for Windows || The Windows installers are bundled with OpenVPN-GUI
Настройка OpenVPN сервера под Windows
Документация (на английском)
OpenVPN Windows HowTo (на английском)
OpenVPN HowTo (на русском)
Документация на русском
OpenVPN for PocketPC


FAQ
Генерация сертификатов и ключей - сертификаты и ключи нужны только при TLS-аутентификации (--tls-server или --tls-client)
Как прописать сертификаты прямо в конфиг клиента.
• Разрешить запуск и остановку службы openvpnservice обычным пользователям без прав администратора можно бесплатной утилитой svcadmin (см. "Демонстрационные программы", зеркало).

Всего записей: 210 | Зарегистр. 20-01-2003 | Отправлено: 07:48 01-08-2005 | Исправлено: shrmn, 11:53 29-05-2022
phaoost

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rain87
на сервере:
vpn.conf

Код:
dev tap
ifconfig 1.2.3.0 255.255.255.248
ifconfig-pool-persist ippool 0
push "route-gateway 1.2.3.1"
learn-script script

 
ippool

Код:
vpn1,1.2.3.2

 
script

Код:
#!/bin/bash
case "$1" in
  add)
        /sbin/ip route add to 1.2.3.3/32 via 1.2.3.2 dev tap0
  ;;
esac

 
когда клиент связывается, ему всегда выдаётся 1.2.3.2, у сервера 1.2.3.1
 
клиент находится в локалке 192.168.0.0/24, выходит в нет через модем например. сервер - в интернете. в локалку в свитч включаем комп, который должен получить адрес 1.2.3.3. как это сделать можно?
 

Всего записей: 162 | Зарегистр. 26-08-2005 | Отправлено: 00:45 01-08-2008
rain87



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
learn-script
learn-address?
Цитата:
script
я не совсем понял назначение скрипта. ты добавляешь в роуты адрес 1.2.3.3 (который принадлежит сети 1.2.3.0/255.255.255.248), и говоришь что он доступен через tap0 (хотя при поднятии tap0 в роуты пропишется строка что 1.2.3.0/255.255.255.248 через tap0 и так доступна). смысл скрипта от меня ускользает
Цитата:
клиент находится в локалке 192.168.0.0/24, выходит в нет через модем например. сервер - в интернете. в локалку в свитч включаем комп, который должен получить адрес 1.2.3.3. как это сделать можно?
а в чём проблема? пусть комп подключается к серверу, сервер ему и выдаст чёто. если тебе надо чтоб клиент получил конкретный адрес - напиши у клиента
ifconfig 10.4.1.2 255.255.255.0
при старте он ругнётся что
WARNING: using --pull/--client and --ifconfig together is probably not what you want
но нормально всё подымется

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat

Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 14:58 01-08-2008 | Исправлено: rain87, 14:59 01-08-2008
phaoost

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rain87
мне нужно чтобы на стороне одного клиента были несколлько ипов из одной подсети. конкретный адрес выдаётся нормально. вопрос в том как организовать рутинг на его стороне, чтобы другие компы подключенные просто через сеть могли сесть на эти ипы.

Всего записей: 162 | Зарегистр. 26-08-2005 | Отправлено: 23:28 01-08-2008
rain87



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
phaoost
имхо никак. сам подумай - что будет делать овпн сервер когда к нему придёт пакет для адреса (1.2.3.3) из его подсети (1.2.3.0), но при этом он про этот адрес ничего не знает и этот адрес к нему не подключался (к нему подключился только 1.2.3.2 и он сам знает что он 1.2.3.1)? он его дропнет и будет прав. и никакой маршрутизацией ОСи ты это не исправишь, т.к. свою подсеть (1.2.3.0) роутит в конце концов сервер овпн и никто другой
 
зы. повторяю, имхо. может я ошибаюсь
 
Добавлено:
можешь посмотреть на
Цитата:
--iroute network [netmask]  
Generate an internal route to a specific client. The netmask parameter, if omitted, defaults to 255.255.255.255.  
 
This directive can be used to route a fixed subnet from the server to a particular client, regardless of where the client is connecting from. Remember that you must also add the route to the system routing table as well (such as by using the --route directive). The reason why two routes are needed is that the --route directive routes the packet from the kernel to OpenVPN. Once in OpenVPN, the --iroute directive routes to the specific client.  
 
This option must be specified either in a client instance config file using --client-config-dir or dynamically generated using a --client-connect script.  
 
The --iroute directive also has an important interaction with --push "route ...". --iroute essentially defines a subnet which is owned by a particular client (we will call this client A). If you would like other clients to be able to reach A's subnet, you can use --push "route ..." together with --client-to-client to effect this. In order for all clients to see A's subnet, OpenVPN must push this route to all clients EXCEPT for A, since the subnet is already owned by A. OpenVPN accomplishes this by not not pushing a route to a client if it matches one of the client's iroutes.
но я слабо понимаю как его тебе применить. как то типа такого: когда коннектится 1.2.3.2 в скрипте client-connect сказать iroute 1.2.3.3, а на компе 1.2.3.2 сказать что 1.2.3.3 дотупен где то в локалке
 
 
Добавлено:
жуть какая

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat

Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 00:05 02-08-2008
phaoost

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rain87
в принципе на линухе всё решилось бриджем по хауту (только на клиентской части). единственное исключение - ип для бриджа я поставил такой же что и для tap0, т.е. 1.2.3.2/29 а 1.2.3.3/29 назначил девайсу. после этого я смог зайти на девайс по ssh с удалённого сервера на 1.2.3.3.

Всего записей: 162 | Зарегистр. 26-08-2005 | Отправлено: 11:17 04-08-2008
uasash

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
есть проблема может кто советом поможет.
цернтральный офис  
server 2003 +isa 2004 прозрачный прокси сервер еще контролер домена на отдельном серваке, vpn стоит на отдельной машине под xp которая входит в домен (права администратора домена), конфиг сервера vpn
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 10.8.0.0 255.255.255.0"
push "route 192.168.20.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"
client-config-dir c:\\OpenVPN\\ccd
route 192.168.0.0 255.255.255.0
push "dhcp-option DNS 192.168.0.201"
push "dhcp-option WINS 10.8.0.1"
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
еще листинг ссd клиента
iroute 192.168.20.0 255.255.255.0
 
проблема в том что соединение устанавливается клиент видит только сервер сеть за сервером не видна, а сервер видит только виртуальный ip 10.8.0.6 а не 192.168.20.1,
что то с маршрутами но в каком месте не могу опредилить, и не конфликтует ли openvpn с isa и доменом  
настройка сети на сервере openvpn  
ip 192.168.0.250
mask 255.255.255.0
gw 192.168.0.250
dns 192.168.0.201
 

Всего записей: 48 | Зарегистр. 19-12-2005 | Отправлено: 09:59 07-08-2008
rain87



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
uasash
нну. виндоус это конечно да
Цитата:
клиент видит только сервер сеть за сервером не видна
по логике это должно решаться простой маршрутизацией. на клиенте ты это обеспечиваешь с помощью push "route 192.168.0.0 255.255.255.0". под виндой хп по дефолту афаик выключена маршрутизация, т.е. пакет во стороны клиента по адресу 192.168.0.0/24 проходит через овпн туннель и дропается сервером. включить маршрутизацию в винде - http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/33571.mspx?mfr=true и перегрузится. но если честно, у меня это не работало, поэтому когда я на хп мне понадобилось сделать такое, я это сделал жутко кошмарно - натом (по виндовому - разрешить другим пользователям сети использовать подключение данного компьютера к интернету, в свойствах сетевого адаптера на вкладке дополнительно)
Цитата:
а сервер видит только виртуальный ip 10.8.0.6 а не 192.168.20.1
192.168.20.1 это адаптер на клиенте? тогда на нём тоже надо включить роутер, а на сервере сказать где доступна эта сеть - в конфиг сервера добавить
route 192.168.20.0 255.255.255.0 10.8.0.1
 
строки
push "route 10.8.0.0 255.255.255.0"  
push "route 192.168.20.0 255.255.255.0"  
не нужны

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat

Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 19:52 07-08-2008 | Исправлено: rain87, 19:53 07-08-2008
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
---openvpn.conf-------------------------------------------------------------------
port 1194
proto tcp
dev tun
ca      keys/ca.crt
cert    keys/server.crt
key     keys/server.key  # This file should be kept secret
dh      keys/dh1024.pem
 
# Внутренняя сеть для нужд ОпенВПН - трафик внутри виртульано сети. Нужен только между серверами.
server 192.168.168.0 255.255.255.240
ifconfig-pool-persist ipp.txt
 
#Локальная сеть центрального офиса или по-другом сказать - сеть за сервером
push "route 192.168.0.0 255.255.255.0"
 
#Директория с файлами-конфигами удаленных клиентов. Имена файлов должны точно соответствовать названиям ключей
client-config-dir ccd
#Сети в удаленных офисах. Надеюсь никому не надо объяснять , что сети должны быть уникальны, иначе не будет трафик работать.
route 192.168.2.0 255.255.255.0
route 192.168.3.0 255.255.255.0
route 192.168.4.0 255.255.255.0
route 192.168.5.0 255.255.255.0
route 192.168.6.0 255.255.255.0
route 192.168.7.0 255.255.255.0
route 192.168.8.0 255.255.255.0
route 192.168.9.0 255.255.255.0
 
client-to-client
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status          /var/log/openvpn-status.log
log             /var/log/openvpn.log
verb 3
---openvpn.conf-------------------------------------------------------------------
 
 
 
 
в директории ccd есть файлик 192-168-2-0
в нем:
---192-168-2-0--------------------------------------------------------------------
iroute 192.168.2.0 255.255.255.0
ifconfig-push 192.168.168.2 192.168.168.1
---192-168-2-0--------------------------------------------------------------------
 
 
Конфиг для клиента с сетью 192.168.2.0. Я назвал  сертификаты-ключи по именам удаленных сетей.  
-rw-rw-r--  1 basil  wheel  3813 21 мар 15:11 192-168-2-0.crt
-rw-rw-r--  1 basil  wheel   684 21 мар 15:11 192-168-2-0.csr
-rw-------  1 basil  wheel   887 21 мар 15:11 192-168-2-0.key
 
запуск клиента из командной строки
---client-192-168-2-0.conf-------------------------------------------------------------------
openvpn --proto  tcp --port 1194 --remote sentral-office.server.com --nobind  --dev tun --client --ca /etc/openvpn/ca.crt --cert /etc/openvpn/client.crt --key /etc/openvpn/192-168-2-0.key --comp-lzo --daemon --status /tmp/openvpn-status.log --verb 3
---client-192-168-2-0.conf-------------------------------------------------------------------

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 23:32 07-08-2008
uasash

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Все заработало, почти все.
Теперь клиент видит сеть за сервером, сервер видит сеть за клиентом, а вот компы за зервером не видят сеть openvpn.
конфигурация сети такая
шлюз 192.168.0.250 isa добавлено route add 192.168.20.0 mask 255.255.255.0 192.168.0.75
server openvpn 192.168.0.75
Может кто сталкивался?
 

Всего записей: 48 | Зарегистр. 19-12-2005 | Отправлено: 09:27 11-08-2008
rain87



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
uasash
ну а tracert что говорит?
 
Добавлено:
uasash
кстати после чего заработало всё? после включения маршрутизации, как я писал?

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat

Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 14:53 11-08-2008
uasash

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rain87
да я разрешил общий доступ в интернет на физических интерфейсах с обеих сторон.
Но проблемма в том что теперь со стороны клиента я могу заходить в сеть за сервером, а со стороны сервера только с саиого сервера.
у нас в сети основной шлюз 192.168.0.250 там я добавил route add 192.168.20.0 255.255.255.0 192.168.0.75
где 192.168.0.75 это машина где стоит сервер openvpn раньше вроде работало может на шлюзе в isa какое правило надо?

Всего записей: 48 | Зарегистр. 19-12-2005 | Отправлено: 11:06 13-08-2008
rain87



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
uasash
Цитата:
да я разрешил общий доступ в интернет на физических интерфейсах с обеих сторон.
смотри какая теперь нехорошая муйня получилась. на сервере опенвпн ты разрешил общий доступ на адаптере который смотрит в сеть, для сети опенвпн. т.е. пакеты которые приходят от клиента по туннелю спокойно натятся в сеть и клиент видит сеть за сервером
 
а вот пакеты которые приходят от компов в сети по адресу 192.168.20.0/24 сервер овпн дропает. ибо маршрутизацию, как я понял, ты не включил. а нат в винде можно поднять только 1 (превед микрософту)
 
попробуй поднять маршрутизацию. это должно спасти отца русской демократии

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat

Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 18:22 13-08-2008
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
попробуй поднять маршрутизацию. это должно спасти отца русской демократии

Я бы даже по другому сказал. Отца без маршрутизации вообще не спасти в этом случае! Да и нат тут как пятое колесо.


----------
Fools rush in where angels fear to tread.

Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 22:32 13-08-2008
rain87



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Ruza
ну почему, если сделать 2 ната то вполне спасти. но 1) под виндой это никак (по крайней мере встроенными средствами)
2)
Цитата:
нат тут как пятое колесо


----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat

Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 22:54 13-08-2008
AlexVrag



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Немогу разобратся с openVPN.
Это клиент:
сеть 192.168.0.1/12 с  выходом в инет (адсл) через комп 192.168.0.1
Сервер:
статический адрес у машины с выходом интернет и сеть 192.168.0.1/14
На всех машинах стоит ХР СП3.
нужно что бы был доступ к друг другу с обоих сторон.
немогу никак написать конфиги для них. прочитал кучу мануалов и нифига.
походу нужно объединять TAP32 с сетевой  в бридж.
помогите.

Всего записей: 386 | Зарегистр. 02-04-2007 | Отправлено: 11:14 16-08-2008 | Исправлено: AlexVrag, 14:48 16-08-2008
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
AlexVrag
ну тут для объединения сетей даже ХЗ что и  делать то...

Цитата:
Сеть:     192.160.0.0/12     11000000.10100000.00000000.00000000
Минимальный IP:     192.160.0.1     11000000.10100000.00000000.00000001
Максимальный IP:     192.175.255.254     11000000.10101111.11111111.11111110
Broadcast:     192.175.255.255     11000000.10101111.11111111.11111111
Число хостов:    1048574


Цитата:
Сеть:     192.168.0.0/14     11000000.10101000.00000000.00000000
Минимальный IP:     192.168.0.1     11000000.10101000.00000000.00000001
Максимальный IP:     192.171.255.254     11000000.10101011.11111111.11111110
Broadcast:     192.171.255.255     11000000.10101011.11111111.11111111
Число хостов:    262142

Походу маршрутизацией не вырулишь, натом нечего передавать, разве что wins'ы поднимать с 2-х сторон и по нетбиос общаться но тогда совпадения ИП возможны.
 
Добавлено:
rain87

Цитата:
ну почему, если сделать 2 ната то вполне спасти.  

Не ну я понимаю - реанимация (искуственное сердце почки) нужное дело, но это уже клиника...
Т.е. без дополнительного софта, нагрузки на сервер отец загнётся либо будет долго мучиться и всё одно загнётся.

----------
Fools rush in where angels fear to tread.

Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 12:32 16-08-2008
phaoost

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AlexVrag
я бы посоветовал сменить ОС на сервере
 
Добавлено:
и на клиенте кстати тоже
 
Добавлено:
кстати, вы в курсе наверное что ваши сети /12 и /14 конфликтуют с rfc3330 и используют адреса доступные в интернет пространстве

Всего записей: 162 | Зарегистр. 26-08-2005 | Отправлено: 12:31 29-08-2008
FoxHunter



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Господа, нужна помощь,
 
На базе OpenBSD сделан файервол и OpenVPN сервер в режиме бриджа. Стоит в офисе.
Через него к компьютеру в офисе (OpenVPN-клиент) подключается удаленный компьютер (OpenVPN-клиент). Все нормально пингуется и шары показываются.
Пинг в районе 70-80 ms.
 
Но, как только удаленный компьютер подключается к базам Oracle на офисном компьютере, секунд через 5 пропадают пинги в обе стороны, на удаленном компьютере пропадает OpenVPN линк. Где-то через минуту, две линк восстанавливается.
Иногда базы открываются, иногда нет (в большинстве случаев), и все равно потом отваливаются.  
 
При повторной попытке открытия баз все повторяется снова.
 
Может кто-нибудь сталкивался?

Всего записей: 306 | Зарегистр. 06-01-2003 | Отправлено: 13:55 07-09-2008
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
FoxHunter
Ну на вскидку уменьшить значения MTU для OpenVPN канала.


----------
Fools rush in where angels fear to tread.

Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 20:00 07-09-2008
mouser

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
как подключится к VPN через ПРОКСИ

Всего записей: 800 | Зарегистр. 10-11-2006 | Отправлено: 14:14 11-09-2008
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru