Orion_76
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 1. Описание команд и основных опций (и их применимость на сервере и клиенте) * Внешние файлы ключей, сертификатов и т.п. Примечание: Параметры указывающие на файлы можно (или даже желательно) указывать с полными путями. Для Windows символ "\" указывается как "\\", пути с пробелами брать в кавычки, например: "C:\\Program Files\\OpenVPN\\config\\ca.crt". Если путь не указан, то используется каталог ...\config o secret file_name - указание имени файла ключа для режима static-key. Допустим также параметр [direction], позволяющий асимметрично использовать ключи, например, "secret static.key 0" с одной стороны и "secret static.key 1" с другой, однако для этого ключи должны быть 2048-битовые, в версиях 2.* по умолчанию они именно такие. o Для расширенных режимов TLS надо указать или имена раздельных файлов ключей и сертификатов: + ca file_name (сервер, клиент) - сертификат СА (центра сертификации) + cert file_name (сервер, клиент) - сертификат данного узла, подписанный СА + key file_name (сервер, клиент) - ключ шифрования данного узла Или имя единого комбинированного файла: o pksc12 file_name - имя файла в формате PKCS #12, содержащего сертификат CA, ключ и сертификат клиента. Такой файл и команда заменяют сразу 3 соответствующих файла и команды - ca, cert, key. o dh file_name (сервер) - указание имени файла с Diffie-Hellman-параметрами, нужен только на сервере в режиме tls-server (заметим, что макрокомандой server включается именно этот режим) o tls-auth file_name (сервер, клиент) - ключ для аутентификации пакетов. В этом режиме ко всем отправляемым пакетам добавляется HMAC, который проверяется при приёме пакета - если не совпало, то пакет молча отбрасывается. И команда и сам файл-ключ должны быть одинаковыми и у клиента и у сервера. Ключ (в примере команды это ta.key) может быть или сгенерирован командой: openvpn --genkey --secret ta.key (в этом варианте допустим также параметр [direction], позволяющий асимметрично использовать ключи, например, на сервере "tls-auth ta.key 0" и на клиентах "tls-auth ta.key 1") или может быть файлом произвольного формата, тогда openvpn сам сделает из него ключ методом свёртки. o crl-verify file_name (сервер, клиент) - проверяет предъявленный сертификат по списку отозванных сертификатов, если он там обнаружен - соединение не устанавливается. Основное назначение - проверка на сервере отозванных сертификатов клиентов, хотя и клиент может проверять по этому списку сертификат сервера. См. http://openvpn.net/howto.html#revoke o auth-user-pass (клиент), auth-user-pass-verify script_name method (сервер) - дополнительная авторизация пользователя по логину и паролю. Детально см. http://openvpn.net/howto.html#auth. Пример и vbs-скрипт для Windows см. здесь - FAQ: OpenVPN (было - Помогите настроить OpenVPN) !, #302 * Режимы работы OpenVPN o dev [tun | tap] (сервер, клиент) - указание типа интерфейса и режима работы: tun = L3-туннель, tap = L2-туннель o dev-node TAP-interface-Name (сервер, клиент) - указание использование конкретного интерфейса, актуально если их в ситеме несколько и они по разному настроены в ОС (например, один tap и включён в мост, а второй - tun) o proto [tcp-server | tcp-client | udp] (сервер, клиент) - протокол, по умолчанию UDP o port 1194 (сервер, клиент) - номер порта, default=1194 (на клиенте для tcp-client игнорируется и используется динамический порт). См.также lport (указание локального порта) и rport (указание удалённого порта). o mode - задаёт режим работы сервера. По умолчанию OpenVPN работает в p2p-режиме, при указании mode server он работает в режиме сервера с многими клиентами. o tls-server, tls-client - использование режима TLS o ifconfig Local-IP Remote-IP/NetMask (сервер, клиент) - задаёт конфигурацию интерфейса. Для dev tun: ifconfig Local-IP Remote-IP - указывает IP-адрес локального интерфейса и адрес второй стороны туннеля. Важно, что в режиме клиент-сервер в отличие от режима static-key второй стороной туннеля является не адрес сервер и не адрес клиента, а адрес виртуального интерфейса виртуального OpenVPN-роутера, см. описание в п.3. Для dev tap: ifconfig Local-IP NetMask - указывает IP-адрес и маску локального интерфейса * Команды настройки сервера o server network netmask (сервер) - макрокоманда конфигурации сервера. Задаёт сеть и маску для всей OpenVPN-сети. Первый адрес из этой сети назначается интерфейсу сервера, остальные выделяются клиентам. Не используйте эту макрокоманду для режима L2-моста, для этого есть server-bridge. Реально команда, например, server 10.8.0.0 255.255.255.0 раскрывается так (в скобках комментарии) Для режима dev tun: mode server tls-server ifconfig 10.8.0.1 10.8.0.2 (серверу назначается первый адрес из первой подсети /30) ifconfig-pool 10.8.0.4 10.8.0.251 (остальной блок адресов выделяется клиентам) route 10.8.0.0 255.255.255.0 (системе объявляется маршрут на всю OpenVPN-сеть) if client-to-client: push "route 10.8.0.0 255.255.255.0" (если включен режим client-to-client, то клиентам также передаётся маршрут на всю OpenVPN-сеть) else push "route 10.8.0.1" (иначе, если не включен режим client-to-client, клиентам передаётся только маршрут на сервер) Для режима dev tap: ifconfig 10.8.0.1 255.255.255.0 (серверу назначается первый адрес) ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 (остальной блок адресов выделяется клиентам) push "route-gateway 10.8.0.1" (клиентам объявляется адрес шлюза, через который, при необходимости, они могут назначать маршруты) o server-bridge gateway netmask pool-start-IP pool-end-IP (сервер) - макрокоманда конфигурации сервера для режима L2-моста. Важно то, что в этом режиме IP-параметры мостового интерфейса настраиваются в системе! Здесь же параметр gateway может указывать или на этот же IP-адрес мостового интерфейса или на следующий шлюз в этой сети. Реально команда, например, server-bridge 10.8.0.4 255.255.255.0 10.8.0.128 10.8.0.254 раскрывается так (в скобках комментарии) mode server tls-server ifconfig-pool 10.8.0.128 10.8.0.254 255.255.255.0 (клиентам выделяется диапазон, указанный в макрокоманде) push "route-gateway 10.8.0.4" (параметр gateway передаётся клиентам как шлюз) o remote host (сервер) - в режиме tcp-server этот параметр на сервере работает как фильтр и принимает соединения ТОЛЬКО от указанного host. o client-to-client (сервер) - разрешает обмен трафиком между клиентами для режима dev tun o ifconfig-pool-persist File_Name [Time_in_seconds] (сервер) - задаёт файл, в котором на указанное время (по умолчанию 600 сек) кэшируются выданные адреса клиентам, что позволяет при переподключении выдать клиенту тот же адрес. o ifconfig-pool-linear (сервер) - задаёт для dev tun режим распределения адресов клиентам не подсетями /30, а "поштучно", то есть /32. Несовместим с Windows! o management localhost 8329 (сервер, клиент) - открыть порт 8329 на интерфейсе 127.0.0.1 для управления (см. http://openvpn.net/management.html) * Команды настройки маршрутизации o route network/IP [netmask] [gateway] [metric] (сервер, клиент) - добавляет указанный маршрут в ОС после установления соединения. Значения параметров по умолчанию: netmask по умолчанию равно 255.255.255.255. gateway по умолчанию равно параметру, указанному в команде route-gateway или второму параметру команды ifconfig в режиме dev tun. То есть, по умолчанию исользуется шлюз в "OpenVPN-сеть". Если же нужно параметр указать (например, если нужно задать метрику), то это же значение можно указать ключевым словом vpn_gateway. Кроме того есть ещё ключевое слово net_gateway - это основной шлюз, который был в ОС до установления OpenVPN-соединения. o iroute network [netmask] - применяется в client-connect script или в client-config-dir файле, указывает OpenVPN-серверу, что данная сеть находится за соответствующим клиентом. Важно, что это только указание OpenVPN-серверу, для задания этого маршрута самой ОС надо указывать route или в конфиге сервера или вообще в самой ОС. o route-method exe (сервер, клиент) - указывает OpenVPN-у, что добавление маршрута надо делать не через API, а через route.exe. См. также в секции "Некоторые распростанённые проблемы и методы решения" o route-delay 10 (сервер, клиент) - см. в секции "Некоторые распростанённые проблемы и методы решения" * Команды конфигурирования клиентов на стороне сервера o client-config-dir Dir_Name (сервер) - использовать из указанного каталога дополнительные индивидуальные файлы для конфигугации каждого клиента, файлы должны называться так же как и CN клиента (Common Name, то есть то что укзывается при конфигурации ключа клиента командой build-key, см.далее). Расширения у файла быть не должно, то есть, например, для клиента client1 файл так и должен называться - client1 o push "команда" - указывает серверу передать "команду" клиенту. Например, команда в конфиге сервера push "ping 10" - это не команда ping 10 самому серверу, а указание серверу передать команду ping 10 клиенту. Описание самих команд для push даны отдельно. Это могут быть route, route-gateway, route-delay, redirect-gateway, ip-win32, dhcp-option, inactive, ping, ping-exit, ping-restart, setenv, persist-key, persist-tun, echo o push-reset (сервер, но в client-config-dir-файле) - указывает, что для данного клиента надо проигнорировать все глобальные команды push. Однако все push-команды из самого client-config-dir-файла будут исполнены. o ifconfig-push Local-IP Remote-IP/NetMask (сервер) - применяется в client-connect script или в client-config-dir файле, задаёт конфигурацию интерфейса соответствующего клиента. Для dev tun: ifconfig Local-IP Remote-IP - указывает IP-адрес локального интерфейса клиента и адрес второй стороны туннеля. Важно, что в режиме клиент-сервер второй стороной туннеля является не адрес сервер и не адрес клиента, а адрес виртуального интерфейса виртуального OpenVPN-роутера, см. описание в п.3. Для dev tap: ifconfig Local-IP NetMask - указывает IP-адрес и маску локального интерфейса * Команды конфигурирования клиентов на стороне клиента o client - макрокоманда режима клиента, исполняется так: pull (указывает клиенту принимать от сервера команды, которые на сервере заданы как push) tls-client o nobind (клиент) - указание использовать динамический порт на клиенте, актуально только для udp, т.к. для tcp на клиенте всегда используется динамический порт. o remote host [port] (клиент) - указание второй стороны, host может быть как DNS-именем, так и IP-адресом. Клиент обязан иметь эту строку, причём она может быть не одна - это обеспечивает возможность подключения к разным интерфейсам сервера (отказоустойчивость) или распределение нагрузки. o remote-random (клиент) - использовать в случайном порядке одну из нескольких строк remote o resolv-retry infinite (клиент) - пытаться бесконечно определить адрес сервера (при указании его по имени), чтобы "обойти" проблему с завершением попытки установления соединения при отказе DNS или сбое внешних соединений o redirect-gateway [local] [def1] (клиент) - переключение шлюза на удалённый, есть 2 доп.параметра - local (см.manual) и def1 - изменяет маршрут не методом удаления старого маршрута 0.0.0.0/0 и назначением нового, а методом назначения двух более узких маршрутов 0.0.0.0/1 и 128.0.0.0/1 o dhcp-option DNS 192.168.1.254 (клиент) - использование удалённого DNS o dhcp-option WINS 192.168.1.254 (клиент) - использование удалённого WINS * Другие команды o comp-lzo (сервер, клиент) - сжатие трафика o status openvpn-status.log (сервер, клиент) - периодически сохранять информ. о текущем состоянии в указанный файл, это текстовый файл. o log openvpn.log или log-append openvpn.log (сервер, клиент) - сохранять или добавлять лог в указанный файл o keepalive 10 60 (сервер) - макрокоманда "пинговать" противоположную сторону туннеля с указанным периодом 10 сек, при отсутствии встречных пингов в течение 60 сек считать туннель упавшим и запускать пересоединение. Полезно также для поддержания статуса работающего udp-потока в транзитных NAT-шлюзах. Реально исполняется так (в скобках комментарии): Для mode server: ping 10 (сервер посылает OpenVPN-ping каждые 10 секунд. Не путать с ping в IP - здесь на OpenVPN-ping удалённая сторона не отвечает, поэтому эти пакеты надо отправлять с обеих сторон) ping-restart 120 (при отсутствии встречных пакетов, то есть от клиента, в течении 120 сек сервер перезапускает клиентскую сессию. Не путать, перезапускается НЕ ВЕСЬ OpenVPN-СЕРВЕР!) push "ping 10" (сообщить клиентам пинговать сервер каждые 10 секунд) push "ping-restart 60" (сообщить клиентам, что при отсутствии пингов от сервера в течение 60 секунд, клиент должен перезапустить свою сессию). Для mode p2p: ping 10 ping-restart 60 2. Простейшая конфигурация static-key - 1 сервер + 1 клиент одновременно: 2.1. Генерация статического ключа - ярлык в меню или "openvpn --genkey --secret static.key" Этот общий ключ должен быть на обеих сторонах - и на сервере и на клиенте 2.2. Server.ovpn код dev tun ifconfig 10.8.0.1 10.8.0.2 secret static.key .3. Client.ovpn код remote server.ru dev tun ifconfig 10.8.0.2 10.8.0.1 secret static.key 3. Расширенная конфигурация туннеля L3 (IP-туннель, aka "routed") В данном режиме OpenVPN-сервер эмулирует работу некоего многопортового виртуального маршрутизатора, к каждому порту которого подключен каждый клиент и сам серверный хост. При этом каждому виртуальному tun-интерфейсу хоста (и сервера в том числе) присваивается IP-адрес, также присваиваивается IP-адрес соответствующему порту этого виртуального маршрутизатора и выделяется подсеть, включающая эти 2 адреса + неожходимые 2 служебных, в итоге для каждого подключения выделяется подсеть /30 (255.255.255.252) из 4 адресов, назначение которых, например, для первой подсети 10.1.1.0/30 из OpenVPN-сети 10.1.1.0/24 таково: 10.1.1.0 - адрес подсети 10.1.1.0/30 10.1.1.1 - адрес tun-интерфейса сервера 10.1.1.2 - адрес интерфейса виртуального маршрутизатора 10.1.1.3 - адрес широковещания (broadcast) Далее каждому подключающемуся клиенту выделяются подсеть и адрес именно блоками /30, то есть по 4 адреса. В меру художественных способностей изобразил это на рисунке - http://forum.ixbt.com/post.cgi?id=attach:14:40906:38:1 Замечу, что к самим IP-адресам виртуального маршрутизатора непосредственно обратиться никак нельзя, оне НЕ ПИНГУЮТСЯ, и в tracert не отображаются. Указанный выше вариант распределения IP-адресов сделан для совместимости с Windows. Однако, есть возможность использовать и выделение адресов/32, то есть без подсетей, см. команду ifconfig-pool-linear. Кроме того, в версии 2.1 (на момент июня 2007 это пока 2.1.rc4) в этом вопросе тоже есть нововведения. 3.1. Ключи Все действия производятся в папке C:\Program Files\OpenVPN\easy-rsa Действия выполнять так, чтобы сохранялся контекст переменных, например, в командной строке без выхода из неё. Первой командой при каждой операции работы с ключами (кроме начальной инициализации) должна быть vars.bat. Начальная инициализация, выполняется 1 раз * init-config.bat - начальная инициализация, создаст файлы vars.bat и openssl.cnf В файле vars.bat надо установить ВСЕ параметры set HOME=%ProgramFiles%\OpenVPN\easy-rsa set KEY_CONFIG=openssl.cnf set KEY_DIR=keys # путь к папке ключей относительно текущей (..\easy-rsa) set KEY_SIZE=1024 set KEY_COUNTRY=ZZ set KEY_PROVINCE=ZZ set KEY_CITY=ZZZ set KEY_ORG=ZZZ set KEY_EMAIL=zz@zzz.zz * vars.bat * clean-all.bat # очистка и инициализация папки ключей Создание master Certificate Authority (CA) certificate & key, выполняется 1 раз * vars.bat * build-ca.bat # генерация сертификата и ключа - ca.crt, ca.key Генерация сертификата и ключа для сервера, выполняется 1 раз * vars.bat * build-key-server ServerName # ServerName - имя сервера. На некоторые доп вопросы можно ответить 2 раза "пусто", на 2 последних - "y": Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y В результате будет создан ключ ServerName.key, сертификат ServerName.crt, запрос Certificate Signing Request (CSR) ServerName.csr, ?непонятный файл? 01.pem (копия ServerName.csr) Генерация Diffie Hellman parameters, выполняется 1 раз, нужно только для tls-server * vars.bat * build-dh # работает около минуты, грузит CPU под 100% , генерит файл dh1024.pem Генерация сертификатов и ключей клиентов, выполняется по необходимости * vars.bat * build-key client1 * build-key client2 * build-key client3 ВАЖНО!!! В вопросе "Common Name (eg, your name or your server's hostname) []:" нужно для каждого ключа указывать УНИКАЛЬНОЕ имя, например, client1, и т.д. В результате будет создан ключ client1.key, сертификат client1.crt, запрос Certificate Signing Request (CSR) client1.csr, ?непонятный файл? 02.pem (копия client1.csr) В итоге имеем: ключи *.key # секретная информация, должны распространяться ТОЛЬКО ПО СЕКРЕТНЫМ КАНАЛАМ. Нужны только на соотв. хостах. сертификаты *.crt # несекретная информация. запросы серт. *.csr # Certificate Signing Request, нужны для распределённой генерации и сертификации ключей. dh1024.pem # Diffie Hellman parameters Вместо использования на клиентах 3-ёх раздельных файлов (ca, cert, key) можно использовать единый файл формата PKCS12. Для этого надо генерировать ключ клиента командой: build-key-pkcs12 client1 Будет создан и обычный комплект файлов, и новый файл .p12 - это и есть этот комбинированный файл. Его можно использовать в конфиге клиента одной командой pkcs12 вместо трёх команд ca, cert, key. Также при генерации этому файлу можно задать пароль для защиты секретного ключа, в таком случае каждый раз при установке соединения будет запрашиваться пароль для доступа к секретному ключу (Внимание! Так нельзя делать при запуске сервиса, т.к. он не сможет запросить пароль и не сможет установить соединение.). Следует также иметь ввиду, что пользователь имеет право самостоятельно изменить/удалить/установить пароль защиты секретного ключа.[/ list] Отзыв сертификатов клиентов, выполняется по необходимости, например, при утере ключа или пароля, утечке или компрометации ключа клиента. * vars.bat * revoke-full client1 Будет сгенерирован файл crl.pem в каталоге keys, этот файл и должен быть параметром инструкции "crl-verify crl.pem". Этот файл несекретный, но от несанкционированных изменений должен быть защищён. После отзыва можно сгенерировать новый ключ с тем же CN-именем (Common Name). 3.2.Конфигурация сервера - Server.ovpn Здесь и далее, параметры указывающие на файлы можно (или даже желательно) указывать с полными путями. Для Windows символ "\" указывается как "\\", пути с пробелами брать в кавычки, например: "C:\\Program Files\\OpenVPN\\config\\ca.crt". В примере это не указано чтобы не загромождать. код ca ca.crt # ca "C:\\Program Files\\OpenVPN\\config\\ca.crt" cert server.crt key server.key # секретный файл dh dh1024.pem dev tun server 10.8.0.0 255.255.255.0 Необязательные параметры (кроме общеупотребимых): код push "route 192.168.10.0 255.255.255.0" 3.3.Конфигурация клиента - Client.ovpn код ca ca.crt # ca "C:\\Program Files\\OpenVPN\\config\\ca.crt" cert client.crt key client.key # секретный файл dev tun client remote 1.1.1.1 1194 Необязательные параметры (кроме общеупотребимых): код remote server.com 1194 remote-random resolv-retry infinite 4. Расширенная конфигурация туннеля L2 (Ethernet-туннель, aka "bridged") В данном режиме тунелируются не IP-пакеты, а пакеты Ethernet, что позволяет использовать поверх такого OpenVPN-соединения: * не только IP-протокол, но и, например, IPX (лично не проверено) * приложения работающие только в пределах своей подсети * приложения, работающие через broadcast (например, NetBIOS) * иметь доступ к внутренним ресурсам, которые в силу разных причин не имеют настроенного шлюза * без дополнительных настроек (например, настройка NAT на шлюзе для дополнительной OpenVPN-подсети) использовать перенаправление трафика командой redirect-gateway В этой схеме на клиенте доступ к удалённой сети производится напрямую, то есть реально через ARP и т.п. Например, 192.168.1.191 - VPN-клиент, а 192.168.1.101 - хост в удалённой сети: код >arp -a Интерфейс: 192.168.1.191 --- 0x2 Адрес IP Физический адрес Тип 192.168.1.101 02-ff-a2-cd-2c-07 динамический 4.1.Подготовительные операции Если необходим доступ к локальной сети "за сервером" (в 95% случаев это необходимо), то надо объединить сетевой адаптер LAN сервера в мост с OpenVPN-tap-адаптером, при этом создаётся новый адаптер и уже ему назначаете IP, скорее всего тот который был до этого у LAN. В Win это можно сделать под XP или 2003 (2000 это не умеет). Если на сервере есть ПО, привязанное к интерфейсам, то, вероятно, потребуются соответствующие изменения настроек и этого ПО. Генерация ключей не отличается от туннеля L3, поэтому см. п.3.1 4.2.Конфигурация сервера - Server.ovpn код ca ca.crt # ca "C:\\Program Files\\OpenVPN\\config\\ca.crt" cert server.crt key server.key # секретный файл dh dh1024.pem dev tap server-bridge 192.168.1.254 255.255.255.0 192.168.1.190 192.168.1.199 # в предыд.команде 192.168.1.254 255.255.255.0 это шлюз из лок.сети во внеш.сети и маска, # 192.168.1.190 192.168.1.199 - диапазон для VPN-хостов Необязательные параметры (кроме общеупотребимых): код # команды ниже могут назначить шлюзование всего трафика клиента через VPN push "route-gateway 192.168.1.254" push "dhcp-option DNS 192.168.1.254" push "dhcp-option WINS 192.168.1.254" push "redirect-gateway" 4.3.Конфигурация клиента - Client.ovpn код ca ca.crt # ca "C:\\Program Files\\OpenVPN\\config\\ca.crt" cert client.crt key client.key # секретный файл dev tap client remote server.com 1194 remote 1.1.1.1 1194 Необязательные параметры (кроме общеупотребимых): код ifconfig 192.168.1.190 255.255.255.0 # явное указание IP-адреса, назначаемого интерфейсу dhcp-option DNS 192.168.1.254 # использование удалённого DNS dhcp-option WINS 192.168.1.254 # использование удалённого WINS redirect-gateway 5. Некоторые распростанённые проблемы и методы решения 1. После установки в ОС создаётся новый сетевой интерфейс с "адаптером" TAP-Win32 Adapter V8, отображаемый ОС как сетевой адаптер с неподключенным кабелем, он же может отбражаться в области значков. Это виртуальный адаптер OpenVPN. Его можно переименовать по желанию и это имя можно будет использовать в конфиг-файлах в команде dev-node TAP-interface-name 1. Этот адаптер НЕ НУЖНО отключать (распространённое явление - не устанавливается OpenVPN-соединение т.к. отключен этот интерфейс) 2. На этом адаптере в общем случае НЕ НУЖНО настраивать никакие параметры IP-протокола (кроме NetBIOS, см.ниже), включение и конфигурация этого интерфейса производятся автоматически при установке OpenVPN-соединения. 3. Если не нужен NetBIOS, то во избежание проблем с NetBIOS-ом, свойственных multihomed-хостам РЕКОМЕНДУЕТСЯ отключить NetBIOS для данного интерфейса: сетевые подключения - свойства данного сетевого интерфейса – свойства протокола TCP/IP – дополнительно – WINS – Параметры NetBIOS = Отключить NetBIOS через TCP/IP. 4. На этом адаптере во избежание непонятных проблем желательно НЕ ВКЛЮЧАТЬ фаервол (брандмауэр), по крайней мере на начальном этапе установки, изучения и запуска. 2. Не происходит добавление маршрута в таблицу маршрутизации, вероятно при включенной службе RRAS (чаще всего возникает на серверных ОС, например, Windows Server 2003, но встречал и на XP) - ошибка: "NOTE: FlushIpNetTable failed on interface [2] {427E6BDF-F41F-4E7A-B8C4-4F12B25A6C11} (status=1413) : Invalid index." Похоже дело в Win-довом глюке, по API-команде windows должна добавить маршрут, при этом если в конфиг OpenVPN вставить show-net-up, то OpenVPN запросит windows через API всю таблицу маршрутизации и выведет её в лог, там нужный маршрут будет. А если сделать "route print", то маршрута не будет... Решение: "route-method exe" в конфиг.файле - это указывает OpenVPN-у, что добавление маршрута надо делать не через API, а через route.exe. Кроме того, может потребоваться небольшая задержка перед добавлением маршрута через route.exe (встречалось, что без задержки route.exe ещё не видит только что появившийся интерфейс и не добавляет маршрут), это делается route-delay 10 (на серверах лично меня "не напрягает" задержка 10 секунд, на клиентах можно уменьшить до экспериментально вычисленного предела) 3. При запуске OpenVPN-соединения из учётной записи пользователя (без прав Администратора) возникает ошибка, связанная с недостатком прав для установки интерфейса. Варианты решения: 1. Запускать OpenVPN как постоянный сервис (включить автозапуск сервиса OpenVPNservice). Кроме того, сервисом можно управлять и из OpenVPN-GUI, для этого надо в реестре устновить: [HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN-GUI] "allow_service"="1" 2. Использовать «механизм» RunAs: runas /user:admin openvpn.exe ..... runas /user:admin /savecred openvpn.exe ..... 3. Можно также использовать альтернативный продукт, например, http://www.robotronic.de/runasspcEn.html RunAsSpc.exe /program:"openvpn.exe" /domain:"localhost" /user:"admin" /password:"pass" /param:<programmoptions> /executein:<path to execute> Или более безопасно через создание Crypt-файла, см. приложенный к сообщению скриншот 4. Более подробно см. также статью на английском - http://openvpn.se/files/howto/openvpn-howto_run_open…_as_nonadmin.html 5. Использовать версию 2.1, в ней есть возможность 1 раз за сеанс (или до выгрузки драйвера) выполнить под администратором команду openvpn.exe --allow-nonadmin [TAP-adapter] После этого интерфейс будет "подниматься" и с правами пользователя. | Всего записей: 386 | Зарегистр. 02-11-2007 | Отправлено: 12:15 24-11-2010 | Исправлено: Orion_76, 12:16 24-11-2010 |
|