Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Открыть новую тему     Написать ответ в эту тему

WarlockNT



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тема в Программах



OpenVPN - свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами находящимися за NAT-firewall без необходимости изменения его настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL.

Официальный сайт
Страница загрузки
OpenVPN GUI for Windows || The Windows installers are bundled with OpenVPN-GUI
Настройка OpenVPN сервера под Windows
Документация (на английском)
OpenVPN Windows HowTo (на английском)
OpenVPN HowTo (на русском)
Документация на русском
OpenVPN for PocketPC


FAQ
Генерация сертификатов и ключей - сертификаты и ключи нужны только при TLS-аутентификации (--tls-server или --tls-client)
Как прописать сертификаты прямо в конфиг клиента.
• Разрешить запуск и остановку службы openvpnservice обычным пользователям без прав администратора можно бесплатной утилитой svcadmin (см. "Демонстрационные программы", зеркало).

Всего записей: 210 | Зарегистр. 20-01-2003 | Отправлено: 07:48 01-08-2005 | Исправлено: shrmn, 11:53 29-05-2022
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ZorkiyA
Цитата:
мне интересно сделать tun
Тогда тебе нужно, чтобы либо у всех хостов сети 192.168.0.0 дефолт шлюзом стоял OpenVPN сервер, либо у всех прописать путь к сети  
10.10.10.0 через него.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 17:49 16-03-2011
Fanat Andrew



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
vlary
 
 
дай свои конфиги, ось и настройки сети.

Всего записей: 80 | Зарегистр. 14-03-2006 | Отправлено: 20:22 16-03-2011
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Fanat Andrew
Цитата:
дай свои конфиги, ось и настройки сети.

Ось - Debian Lenny на SUN Ultra 5. Внутренняя сетка - 10.10.0.0/16, клиенты получают адрес из пула 10.10.12.2-0.10.12.2-254. Конфиг делал полностью на основе этой доки:
Ethernet Bridging
Клиенты подключаются по сертификам (коммон нейм соответствует клиенту), для каждого выдается фиксированный айпи, прописаный в одноименных файлах в client-config-dir
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 22:06 16-03-2011
singul



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть потребность выхода в интернет (из дома) под другим ip - тем, что на работе (с рабочего ip открыт полный доступ к некоторым полезным ресурсам). Дело в том, что нет возможности оставлять включенным рабочий компьютер (иначе бы задача решалась сравнительно просто через удаленный доступ). Зато коммутатор, к которому он подключен, функционирует в круглосуточном режиме
 
В связи с вышесказанным возник такой вопрос: может ли (в принципе) справится с поставленной задачей какой-н маршрутизатор, поставленный на место указанного свитча (ясно, что от последнего подобного ожидать не приходится), т.е., возможна ли реализация следующего соединения:
 
Мой домашний комп -> (дом. роутер ->) интернет -> рабочий роутер -> интернет (с рабочим ip) -> желаемый ресурс
 
Читал, что бывают такие маршрутизаторы, которые сами могут в качестве серверов/клиентов выступать. И даже, что на них openvpn устанавливается (поэтому и решил сюда написать). Если openvpn не имеет отношения к данной проблеме и/или существуют другие решение, направьте меня, пожалуйста, по соответствующему адресу

Всего записей: 57 | Зарегистр. 24-05-2009 | Отправлено: 10:18 19-03-2011 | Исправлено: singul, 10:21 19-03-2011
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
singul Недавно настраивал достаточно древний сетевой экран D-Link DFL-700. Так вот, там можно поднять сервер L2TP, назначить ему внешний и внутренний адрес и заходить во внутреннюю сетку через него.
Наверняка есть еще масса других вариантов. Но как ты совершенно правильно заметил, к данной теме это никакого отношения не имеет. Советую обратиться для решения данной проблемы к своему системному администратору.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 10:43 19-03-2011
ZorkiyA

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я уже писал выше: и спрашивал ответа, но ни кто так и не ответил, я настроил тунель по tun, а точнее настроил правила NAT.
На Ubuntu 10.04 поднял OpenVPN сервер.
Настройку сервера OpenVPN описывать не буду, этого добра полно в иннете
Два сетевых интерфейса:
eth0 192.168.1.100  смотрит на интернет-роутер (в иннет) (192.168.1.1)
eth1 192.168.0.10 смотрит в локальную сеть (192.168.0.0)
tun0 10.10.10.1  OpenVPN интерфейс (10.10.10.0)
 
Конф. файла на OpenVPN (сервер, клиент - WinXP) настроены, push на 192.168.0.0 в конфиге сервера прописан, на клиента передается через /ccd.
 
OpenVPN соединение подымается, клиент пингует локальный интерфейс сервера (192.168.0.100), но дальше, в локалку не идет. С сервера локалка видна.
Вот как я это победил:
На сервере нужно настраивать правила NAT.
 
Сперва сконфигурировал сетевые интерфейсы:
Разрешил форвартинг,  в /etc/sysctl.conf строчки (раскоментировал):
   
Код:
    net.ipv4.ip_forward=1    

и добавил в файл /etc/rc.local который отвечает за настройку правил iptables следующие правила:

Код:
 iptables -A INPUT -p udp -s 1.2.3.4 --dport 1194 -j ACCEPT  

Разрешаем принимать пакетов по протоколу UDP на порт 1194 от внешнего IP 1.2.3.4 у меня это 192.168.1.100, хотя тут через -i наверное можно указать внешний интерфейс.

Код:
iptables -A INPUT -p udp --dport 1194 -j ACCEPT  

Упрощенный вариант, разрешаем все входящие UDP пакеты на порт 1194

Код:
iptables -A INPUT -i tun0 -j ACCEPT  

Разрешаем входящий трафик на TUN устройство, в моем случае tun0

Код:
iptables -A FORWARD -i tun0 -j ACCEPT

Разрешаем перенаправлять пакеты с TUN устройства, вроде так.

Код:
iptables -v -t nat -A POSTROUTING -o eth1 -s 10.10.10.0/24 -j SNAT --to-source 192.168.0.10  

Разрешаем пользователям OpenVPN ходить в локальку :
eth1 – интерфейс в локальную сеть с IP 192.168.0.10
OpenVPN – 10.10.10.0
 
После этих манипуляций я увидел сеть за сервером OpenVPN, в идеале сюда еще нужно дописать правила файервола, запрещающий прохождения остального и пропустить только нужное.
Главное будьте внимательны при написании, у меня все проблемы были из-за синтаксических ошибок, то буквой ошибешься, то доп тире не поставишь.
для начала прочитайте мануал по iptables, будите иметь представление что делаете.
Всем удачи.  

Всего записей: 56 | Зарегистр. 07-10-2005 | Отправлено: 08:47 23-03-2011 | Исправлено: ZorkiyA, 09:01 23-03-2011
rain87



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
да, iptables вещь хорошая, никто не спорит

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat

Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 11:14 23-03-2011
Fanat Andrew



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Ось - Debian Lenny на SUN Ultra 5. Внутренняя сетка - 10.10.0.0/16, клиенты получают адрес из пула 10.10.12.2-0.10.12.2-254. Конфиг делал полностью на основе этой доки:  
Ethernet Bridging  
Клиенты подключаются по сертификам (коммон нейм соответствует клиенту), для каждого выдается фиксированный айпи, прописаный в одноименных файлах в client-config-dir

 
сделал точно также, правда на win2003.
заработало только принтера были доступный через минуты три после подключения. и каждые 8-10 часов падало соединение. влоть до перезагрузки сервера. что-то рагалось на TLS - говорило о некоректых данных в сертификате. клиенты достучатся могли, но в доступе отказывало. поменял udp на tcp - работает уже 2 дня. даже с принтерами проблем не было, правда говорили с удаленного офиса, что очень долго стартовала печать: приходилось ждать до минуты пока начнется печать после отправки.

Всего записей: 80 | Зарегистр. 14-03-2006 | Отправлено: 22:06 23-03-2011
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Fanat Andrew
Цитата:
сделал точно также, правда на win2003.
Замена не очень равноценная, но работает - и ладно

Цитата:
поменял udp на tcp - работает уже 2 дня.
Тоже вариант. У меня и с udp все шоколадно.
Но в любом случае цель достигнута, поздравляю!
 
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 22:22 23-03-2011
samec2011



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Привет. Подскажите, как клиента ovpn заставить автоматически коннектиться к серверу?
 
Ситуация вот какая - объединил две сети бриджем(через ovpn), получилась одна большая локальная сеть. Но есть проблема: на том конце туннеля, где стоит клиент opvn периодически перезагружают сервер. Приходится руками запускать ovpngui и делать connect.  
 
Автоматом этот коннект, при старте ОС серверной машины, где установлен клиент - подскажите как сделать?

Всего записей: 72 | Зарегистр. 14-03-2007 | Отправлено: 10:14 30-03-2011
rain87



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
samec2011
сделай его сервисом

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat

Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 11:33 30-03-2011
HVusal

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Люди добрые помогите пожалуйста разобраться с OpenVPN!?
 
Все вроде бы настроил по инструкции, но все равно вылетает ошибка типо "Thu Mar 31 16:35:25 2011 us=546000 GET INST BY VIRT: 10.10.0.Х [failed]"  
 
Могу выложить все что угодно логи, конфиги.

Всего записей: 8 | Зарегистр. 31-03-2011 | Отправлено: 15:36 31-03-2011 | Исправлено: HVusal, 15:39 31-03-2011
rain87



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
HVusal

Цитата:
How to fix the errors "MULTI: bad source address from client [192.168.100.249], packet dropped" or "GET INST BY VIRT: 192.168.100.249 [failed]"?
 
These errors occur because OpenVPN doesn't have an internal route for 192.168.100.249. Consequently, it doesn't know how to route the packet to this machine, so it drops the packet.
 
Use client-config-dir and create a ccd file for your client containing the iroute option to tell OpenVPN that the 192.168.100.0/24 network is available behind this client.
давай конфиги, короче

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat

Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 17:22 31-03-2011
HVusal

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
По идее я должен пинговать адрес сервера 10.10.х.х с клиента и обратно без статичесских рутов,
 я правильно понимаю?
 
dev tun
local my address
tls-server
proto udp
port 1195
persist-tun
persist-key
client-to-client
#link-mtu 1545
#
tun-mtu 1500
#tun-mtu-extra 32
mssfix 1450
#
server 10.10.x.x 255.255.0.0
client-config-dir c:\\OpenVPN\\config\\ccd\\Client1
push "redirect-gateway"
ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt
#
route method exe
route 172.16.x.x 255.255.255.0
route 10.10.x.x 255.255.0.0
#
ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\OpenVPN.crt
key C:\\OpenVPN\\ssl\\OpenVPN.key
dh C:\\OpenVPN\\ssl\\dh1024.pem
#
verb 7
#
push "route 172.16.x.x 255.255.255.0"
push "route 172.16.x.x 255.255.255.0"
keepalive 10 120
#
ping-timer-rem
 
В место клиента у меня GPRS модем.
вот ссылка на кофиг GPRS modem-a
http://s40.radikal.ru/i087/1103/0d/ef87a22eb992.jpg
 
ccd файл Client1
 
iroute 172.16.60.0 255.255.255.0
iroute 10.10.0.0 255.255.255.0
push "route 172.16.10.0 255.255.255.0"

Всего записей: 8 | Зарегистр. 31-03-2011 | Отправлено: 18:40 31-03-2011 | Исправлено: HVusal, 18:52 31-03-2011
rain87



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
HVusal

Цитата:
По идее я должен пинговать адрес сервера 10.10.х.х с клиента и обратно без статичесских рутов,
 я правильно понимаю?  
нет, в режиме тун концы туннеля не пингуются
Цитата:
 mssfix 1450  
возможно, для жпрс стоит ещё уменьшить
Цитата:
route method exe  
route-method
 
убери все х.х из серых адресов, только путаницу вносят. и опиши ситуацию - кто сервер, кто клиент, где какие подсети, и чего надо добиться

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat

Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 10:23 01-04-2011
HVusal

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
нет, в режиме тун концы туннеля не пингуются

а как можно пропинговать концы туннеля?
 

Цитата:
возможно, для жпрс стоит ещё уменьшить

Вроде жпрс не ругается на 1450 ?
 
Ситуация такая на сервер 2003 установлена Openvpn-2.1.4
На сервере два сетевых интерфейсов и один Tap Adapter
1. Tap Adapter 10.10.0.1 255.255.255.252
2. 172.16.10.70 255.255.255.0
3. My Address
 
Исправленный конфиг сервера
 
dev tun
local My Address
tls-server
proto udp
port 1195
persist-tun
persist-key
client-to-client
#
tun-mtu 1500
#tun-mtu-extra 32
mssfix 1450
#
server 10.10.0.0 255.255.0.0
client-config-dir c:\\OpenVPN\\config\\ccd\\Client1
#push "redirect-gateway"
ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt
#
route method
route 172.16.60.0 255.255.255.0
route 10.10.0.0 255.255.0.0
#route 192.168.1.101 255.255.255.0
#
ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\OpenVPN.crt
key C:\\OpenVPN\\ssl\\OpenVPN.key
dh C:\\OpenVPN\\ssl\\dh1024.pem
#
verb 7
#
push "route 172.16.60.1 255.255.255.0"
push "route 172.16.10.0 255.255.255.0"
#push "route 192.168.1.101 255.255.255.0"
keepalive 10 120
#
ping-timer-rem
 
На другой стороне жпрс а за ним машина с Windows XP адресс которого 172.16.60.200
Конфиг жпрс-а
http://s57.radikal.ru/i155/1104/68/13f592d60ab8.jpg
 
Ни один адресс ни с одной стороны не пингуется,  в логах вроде ошибок нет, при пинге с клиента сервер дропит пакеты.
 
Из лога сервера
Fri Apr 01 12:22:13 2011 us=390000 GET INST BY REAL: 217.168.ххх.х:54525 [succeeded]
Fri Apr 01 12:22:13 2011 us=390000 OpenVPN/217.168.ххх.х:54525 UDPv4 READ [101] from 217.168.ххх.х:54525: P_DATA_V1 kid=0 DATA len=100
Fri Apr 01 12:22:13 2011 us=390000 OpenVPN/217.168.ххх.х:54525 TLS: tls_pre_decrypt, key_id=0, IP=217.168.ххх.х:54525
Fri Apr 01 12:22:13 2011 us=390000 OpenVPN/217.168.ххх.х:54525 GET INST BY VIRT: 172.16.60.200 [failed]
Fri Apr 01 12:22:13 2011 us=390000 OpenVPN/217.168.ххх.х:54525 MULTI: bad source address from client [172.16.60.200], packet dropped
 

Всего записей: 8 | Зарегистр. 31-03-2011 | Отправлено: 11:31 01-04-2011 | Исправлено: HVusal, 13:02 01-04-2011
samec2011



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rain87
спасибо, помогло.

Всего записей: 72 | Зарегистр. 14-03-2007 | Отправлено: 12:08 01-04-2011
rain87



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
HVusal

Цитата:
 а как можно пропинговать концы туннеля?  
в режиме tap
Цитата:
 Вроде жпрс не ругается на 1450 ?  
да нет, не ругается, просто работать может хреново. тут уже от жпрс зависит
Цитата:
 client-config-dir c:\\OpenVPN\\config\\ccd\\Client1  
эта директива должна указывать на папку, а не на файл. а уже в папке должен быть файл с таким именем, как CN сертификата. точно на жпрс роутере серификат с CN=Client1? покажи, кстати, этот Client1
Цитата:
 route method
route 172.16.60.0 255.255.255.0
route 10.10.0.0 255.255.0.0  
исправь на
route 172.16.60.0 255.255.255.0 10.10.0.4
Цитата:
 push "route 172.16.60.1 255.255.255.0"  
удали
 
по поводу жпрс модема - надо бы уточнить, в каком режиме он вообще работает - tun, tap, клиент или п2п. судя по тому, что OpenVpn Tunnel - в п2п. тогда весь конфиг сервера надо переделать тоже на п2п ) уточни этот момент

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat

Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 14:58 01-04-2011
phaoost

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rain87

Цитата:
нет, в режиме тун концы туннеля не пингуются

странно, у меня пингуется. я что-то делаю не так?

Всего записей: 162 | Зарегистр. 26-08-2005 | Отправлено: 15:18 01-04-2011
HVusal

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
rain87  

 

Цитата:
да нет, не ругается, просто работать может хреново. тут уже от жпрс зависит

поигрался немного, эффект тот же.
 

Цитата:
эта директива должна указывать на папку, а не на файл. а уже в папке должен быть файл с таким именем, как CN сертификата. точно на жпрс роутере серификат с CN=Client1? покажи, кстати, этот Client1

 
1. Исправил как ты сказал.
2. Сертификат вроде тот, так как в логах на жпрс роутере не ругается.
3. Client1
iroute 172.16.60.0 255.255.255.0 10.10.0.4
iroute 10.10.0.0 255.255.255.0
push "route 172.16.10.0 255.255.255.0"
 
Исправил все как ты сказал результат нулевой.
Про жпрс роутер он в другой компании работает с OpenVPN, настройки смотрел аналогичные.

Всего записей: 8 | Зарегистр. 31-03-2011 | Отправлено: 16:04 01-04-2011 | Исправлено: HVusal, 16:34 01-04-2011
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru