Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Открыть новую тему     Написать ответ в эту тему

WarlockNT



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тема в Программах



OpenVPN - свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами находящимися за NAT-firewall без необходимости изменения его настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL.

Официальный сайт
Страница загрузки
OpenVPN GUI for Windows || The Windows installers are bundled with OpenVPN-GUI
Настройка OpenVPN сервера под Windows
Документация (на английском)
OpenVPN Windows HowTo (на английском)
OpenVPN HowTo (на русском)
Документация на русском
OpenVPN for PocketPC


FAQ
Генерация сертификатов и ключей - сертификаты и ключи нужны только при TLS-аутентификации (--tls-server или --tls-client)
Как прописать сертификаты прямо в конфиг клиента.
• Разрешить запуск и остановку службы openvpnservice обычным пользователям без прав администратора можно бесплатной утилитой svcadmin (см. "Демонстрационные программы", зеркало).

Всего записей: 210 | Зарегистр. 20-01-2003 | Отправлено: 07:48 01-08-2005 | Исправлено: shrmn, 11:53 29-05-2022
Insanityx

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте, помогите разобраться подымаю 3 ovpn сервер правда этот на dd-wrt столкнулся с такой проблеммой:
Клиент конектится к серверу получает IP маску, но не получает шлюза по умолчанию, после конекта клиент и сервер друг друга не видят тоесть 10.10.14.1\24 не пингует 10.10.14.2\24 и на оборот.
Конфиг сервера:
mode server
proto tcp
port 1194
dev tap0
keepalive 15 60
server 10.10.14.0 255.255.255.0
push "route-gateway 10.10.14.1"
verb 3
comp-lzo
tls-server
daemon
persist-key
persist-tun
client-to-client
duplicate-cn
ca /jffs/ca.crt
dh /jffs/dh1024.pem
cert /jffs/*****.crt
key /jffs/*****.key
 
Конфиг клиента:
 
client
tls-client
dev tap0
proto tcp
remote ********* 1194
route-gateway 10.10.14.1
resolv-retry infinite
nobind
route-method exe  
route-delay 2
persist-key
persist-tun
comp-lzo
verb 3
ca ca.crt
cert buh.crt
key buh.key
 
Интерфейсы на сервере:
 
ath0      Link encap:Ethernet  HWaddr 54:E6:FC:AE:54:FA
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:34288 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:2403735 (2.2 MiB)
 
br0       Link encap:Ethernet  HWaddr 54:E6:FC:AE:54:FA
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:59722 errors:0 dropped:0 overruns:0 frame:0
          TX packets:39683 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:32918583 (31.3 MiB)  TX bytes:16478437 (15.7 MiB)
 
br0:0     Link encap:Ethernet  HWaddr 54:E6:FC:AE:54:FA
          inet addr:169.254.255.1  Bcast:169.254.255.255  Mask:255.255.0.0
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
 
eth0      Link encap:Ethernet  HWaddr 54:E6:FC:AE:54:FA
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:163287 errors:0 dropped:0 overruns:0 frame:0
          TX packets:98970 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:54942149 (52.3 MiB)  TX bytes:50949361 (48.5 MiB)
 
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING MULTICAST  MTU:16436  Metric:1
          RX packets:1 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:88 (88.0 B)  TX bytes:88 (88.0 B)
 
tap0      Link encap:Ethernet  HWaddr DA:1F:B7:33:FF:1F
          inet addr:10.10.14.1  Bcast:10.10.14.255  Mask:255.255.255.0
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:123 errors:0 dropped:0 overruns:0 frame:0
          TX packets:34115 errors:0 dropped:2 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:15483 (15.1 KiB)  TX bytes:2374687 (2.2 MiB)
 
vlan1     Link encap:Ethernet  HWaddr 54:E6:FC:AE:54:FA
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:59609 errors:0 dropped:0 overruns:0 frame:0
          TX packets:54283 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:33177948 (31.6 MiB)  TX bytes:17461655 (16.6 MiB)
 
vlan2     Link encap:Ethernet  HWaddr 54:E6:FC:AE:54:FB
          inet addr:79.122.131.180  Bcast:79.122.131.183  Mask:255.255.255.248
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:103678 errors:0 dropped:0 overruns:0 frame:0
          TX packets:44687 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:19478183 (18.5 MiB)  TX bytes:33487706 (31.9 MiB)
 
wifi0     Link encap:Ethernet  HWaddr 54:E6:FC:AE:54:FA
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:7 errors:0 dropped:0 overruns:0 frame:61807
          TX packets:34317 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:322 (322.0 B)  TX bytes:3710837 (3.5 MiB)
          Interrupt:2 Memory:b80c0000-b8100000
 
Логи клиента при подключении:
 
Sun Apr 03 16:49:06 2011 OpenVPN 2.1.4 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov  8 2010
Sun Apr 03 16:49:06 2011 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun Apr 03 16:49:06 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Apr 03 16:49:06 2011 LZO compression initialized
Sun Apr 03 16:49:06 2011 Control Channel MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Sun Apr 03 16:49:06 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Apr 03 16:49:06 2011 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Sun Apr 03 16:49:06 2011 Local Options hash (VER=V4): '31fdf004'
Sun Apr 03 16:49:06 2011 Expected Remote Options hash (VER=V4): '3e6d1056'
Sun Apr 03 16:49:06 2011 Attempting to establish TCP connection with 79.122.131.180:1194
Sun Apr 03 16:49:06 2011 TCP connection established with 79.122.131.180:1194
Sun Apr 03 16:49:06 2011 TCPv4_CLIENT link local: [undef]
Sun Apr 03 16:49:06 2011 TCPv4_CLIENT link remote: 79.122.131.180:1194
Sun Apr 03 16:49:06 2011 TLS: Initial packet from 79.122.131.180:1194, sid=da422583 83aec517
Sun Apr 03 16:49:07 2011 VERIFY OK: depth=1, /C=RU/ST=RU/L=Omsk/O=Nagaev/CN=Nagaev/emailAddress=admin@enima.ru
Sun Apr 03 16:49:07 2011 VERIFY OK: depth=0, /C=RU/ST=RU/L=Omsk/O=Nagaev/CN=Nagaev/emailAddress=admin@enima.ru
Sun Apr 03 16:50:04 2011 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Apr 03 16:50:04 2011 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Apr 03 16:50:04 2011 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Apr 03 16:50:04 2011 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Apr 03 16:50:04 2011 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sun Apr 03 16:50:04 2011 [Nagaev] Peer Connection Initiated with 79.122.131.180:1194
Sun Apr 03 16:50:06 2011 SENT CONTROL [Nagaev]: 'PUSH_REQUEST' (status=1)
Sun Apr 03 16:50:06 2011 PUSH: Received control message: 'PUSH_REPLY,route-gateway 10.10.14.1,route-gateway 10.10.14.1,ping 15,ping-restart 60,ifconfig 10.10.14.2 255.255.255.0'
Sun Apr 03 16:50:06 2011 OPTIONS IMPORT: timers and/or timeouts modified
Sun Apr 03 16:50:06 2011 OPTIONS IMPORT: --ifconfig/up options modified
Sun Apr 03 16:50:06 2011 OPTIONS IMPORT: route-related options modified
Sun Apr 03 16:50:06 2011 TAP-WIN32 device [raduga] opened: \\.\Global\{2704E367-EBC6-4E55-9494-E90AA908932F}.tap
Sun Apr 03 16:50:06 2011 TAP-Win32 Driver Version 9.7  
Sun Apr 03 16:50:06 2011 TAP-Win32 MTU=1500
Sun Apr 03 16:50:06 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.10.14.2/255.255.255.0 on interface {2704E367-EBC6-4E55-9494-E90AA908932F} [DHCP-serv: 10.10.14.0, lease-time: 31536000]
Sun Apr 03 16:50:06 2011 Successful ARP Flush on interface [2] {2704E367-EBC6-4E55-9494-E90AA908932F}
Sun Apr 03 16:50:08 2011 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Sun Apr 03 16:50:08 2011 Route: Waiting for TUN/TAP interface to come up...
Sun Apr 03 16:50:10 2011 TEST ROUTES: 0/0 succeeded len=-1 ret=1 a=0 u/d=up
Sun Apr 03 16:50:10 2011 Initialization Sequence Completed
 
 
С сервера лог пока дать не могу завис роутер = )) Через пару часов дам..
 

Всего записей: 2 | Зарегистр. 03-04-2011 | Отправлено: 13:51 03-04-2011
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
push "route-gateway 10.10.14.1"

# Push routes to the client to allow it
# to reach other private subnets behind
# the server.  Remember that these
# private subnets will also need
# to know to route the OpenVPN client
# address pool (10.8.0.0/255.255.255.0)
# back to the OpenVPN server.                    
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
 
 
здесь ты должен прописать удаленные сети, это конечно если ты роутинг настраиваешь. А у тебя прописано непонятно чего.
 
какая схема будет-то ?

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 15:35 03-04-2011
SomewaySomeday

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Задача. Обепсечить доступ через OpenVPN к ресусам локальной сети и к интернету локальной сети к VPN серверу через незащищенный Wi-Fi.  
 
На сервере стоит 2 сетевые:
- 192.168.0.1 - смотрит в домашнюю локальную сеть из 2 компьютеров
- ко второй подключен сетевой кабель от провайдера  
 
Интернет подключается через PPPoE соединение (белый IP), раздается в домашную локальную сеть через стандартное расшаривание общего доступа Windows.
 
На всех комьютерах Win XP. Поднят OpenVPN сервер, сетевая домашней сети соединена мостом с tap адаптером.
 
Конфиг сервера:
port 1194
dev tap
#dev-node OpenVPN Bridge
proto udp
 
ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\ServerVPN.crt
key C:\\OpenVPN\\ssl\\ServerVPN.key
dh C:\\OpenVPN\\ssl\\dh2048.pem
tls-auth C:\\OpenVPN\\ssl\\ta.key 0
 
server-bridge 192.168.0.1 255.255.255.0 192.168.0.101 192.168.0.254
ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt
tls-server
client-to-client
comp-lzo
persist-tun
persist-key
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
keepalive 10 120
status C:\\OpenVPN\\log\\openvpn-status.log
log C:\\OpenVPN\\log\\openvpn.log
verb 3
 
Конфиг клиента:
dev tap
# dev-node "OpenVPN Adapter"
proto udp
remote XXX.XXX.XXX.XXX 1194
route-method exe
route-delay 3
client
tls-client
ns-cert-type server
ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\ClientVPN1.crt
key C:\\OpenVPN\\ssl\\ClientVPN1.key
tls-auth C:\\OpenVPN\\ssl\\ta.key 1
redirect-gateway def1
comp-lzo
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
ping-restart 60
ping 10
status C:\\OpenVPN\\log\\openvpn-status.log
status C:\\OpenVPN\\log\\openvpn.log
verb 3
 
 
Все работает. Единственное прошу уточнить какие-либо тонкости, которые я возможно упустил, т.к. планирую подключаться к VPN серверу через незащищенный Wi-Fi.

Всего записей: 1 | Зарегистр. 25-06-2010 | Отправлено: 16:06 03-04-2011 | Исправлено: SomewaySomeday, 16:11 03-04-2011
Insanityx

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Суть какая я не могу пропинговать даже сервак ВПН остальное я смогу сам настроить, непонятно почему сервер не пингуется, а клиенты между собой подключенные пингуются
 
Добавлено:
Вообще задача такая клиент конектится и видит сеть за опен ВПН сервером но это 1 строкой делается. У меня уже есть удачные попытки но на линуксе, а тут dd-wrt прошивка и я не пойму что там с ней

Всего записей: 2 | Зарегистр. 03-04-2011 | Отправлено: 16:42 03-04-2011
HVusal

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ насчет моего поста ничего не слышно?
 
http://forum.ru-board.com/topic.cgi?forum=8&topic=11656&start=860

Всего записей: 8 | Зарегистр. 31-03-2011 | Отправлено: 13:27 04-04-2011
mila22

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
всем доброго времени. интересует вопрос. от чего ширина канала при поднятии vpn.  
 
server.conf
port 1194
proto udp
tls-server
dev tun    
ca ca.crt  
cert server.crt
key server.key
dh dh1024.pem
server 10.10.10.0 255.255.255.0  # собственно наша виртуальная сеть
ifconfig-pool-persist ipp.txt
keepalive 10 120 # пинг каждые 10 сек для поддержания канала связи
comp-lzo # сжатие трафика
max-clients 10 # указываем максимальное кол-во клиентов
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
verb 3 # уровень болтливости записей в логи
push "route 10.18.0.0 255.255.0.0"
client-to-client
client-config-dir /etc/openvpn/ccd
route 192.168.3.0 255.255.255.0
route 192.168.2.0 255.255.255.0
 
remote x.x.x.x 1194 # ip и порт нашего сервера
client
dev tun
ping 10
nobind
comp-lzo
proto udp  
#tls-client
pkcs12 admin.p12  
verb 3
pull
 
лог подключения  
 
Wed Apr 27 20:25:31 2011 OpenVPN 2.2-beta5 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 30 2010
Wed Apr 27 20:25:31 2011 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Wed Apr 27 20:25:31 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Apr 27 20:25:31 2011 LZO compression initialized
Wed Apr 27 20:25:31 2011 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Apr 27 20:25:31 2011 Socket Buffers: R=[8192->8192] S=[64512->64512]
Wed Apr 27 20:25:31 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Apr 27 20:25:31 2011 Local Options hash (VER=V4): '41690919'
Wed Apr 27 20:25:31 2011 Expected Remote Options hash (VER=V4): '530fdded'
Wed Apr 27 20:25:31 2011 UDPv4 link local: [undef]
Wed Apr 27 20:25:31 2011 UDPv4 link remote: х.х.х.х:1194
Wed Apr 27 20:25:31 2011 TLS: Initial packet from х.х.х.х:1194, sid=5c119b08 0b29735c
Wed Apr 27 20:25:31 2011 VERIFY OK: depth=1, /C=RU/ST=RU/L=Izhevsk/O=ITS/CN=ITS_CA/emailAddress=
Wed Apr 27 20:25:31 2011 VERIFY OK: depth=0, /C=RU/ST=RU/L=Izhevsk/O=ITS/CN=server/emailAddress=
Wed Apr 27 20:25:38 2011 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Apr 27 20:25:38 2011 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Apr 27 20:25:38 2011 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Apr 27 20:25:38 2011 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Apr 27 20:25:38 2011 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Apr 27 20:25:38 2011 [server] Peer Connection Initiated with х.х.х.х:1194
Wed Apr 27 20:25:40 2011 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Apr 27 20:25:40 2011 PUSH: Received control message: 'PUSH_REPLY,route 10.18.0.0 255.255.0.0,route 10.10.10.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.10.10.6 10.10.10.5'
Wed Apr 27 20:25:40 2011 OPTIONS IMPORT: timers and/or timeouts modified
Wed Apr 27 20:25:40 2011 OPTIONS IMPORT: --ifconfig/up options modified
Wed Apr 27 20:25:40 2011 OPTIONS IMPORT: route options modified
Wed Apr 27 20:25:40 2011 ROUTE default_gateway=94.181.66.238
Wed Apr 27 20:25:40 2011 TAP-WIN32 device [Подключение по локальной сети 4] opened: \\.\Global\{8324D8D5-E3D1-4FCF-8264-E363F3C66E33}.tap
Wed Apr 27 20:25:40 2011 TAP-Win32 Driver Version 9.7  
Wed Apr 27 20:25:40 2011 TAP-Win32 MTU=1500
Wed Apr 27 20:25:40 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.10.10.6/255.255.255.252 on interface {8324D8D5-E3D1-4FCF-8264-E363F3C66E33} [DHCP-serv: 10.10.10.5, lease-time: 31536000]
Wed Apr 27 20:25:40 2011 Successful ARP Flush on interface [3] {8324D8D5-E3D1-4FCF-8264-E363F3C66E33}
Wed Apr 27 20:25:45 2011 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Wed Apr 27 20:25:45 2011 Route: Waiting for TUN/TAP interface to come up...
Wed Apr 27 20:25:50 2011 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Wed Apr 27 20:25:50 2011 C:\WINDOWS\system32\route.exe ADD 10.18.0.0 MASK 255.255.0.0 10.10.10.5
Wed Apr 27 20:25:50 2011 Route addition via IPAPI succeeded [adaptive]
Wed Apr 27 20:25:50 2011 C:\WINDOWS\system32\route.exe ADD 10.10.10.0 MASK 255.255.255.0 10.10.10.5
Wed Apr 27 20:25:50 2011 Route addition via IPAPI succeeded [adaptive]
Wed Apr 27 20:25:50 2011 Initialization Sequence Completed
 
 
при подключении говорит что ширина канала 10 МБит
так как все настраивается для 1с8 . то  она говорит что сервер не найден.  
имхо то что ширина канала маловато будет.
подскажите где я неправ  

Всего записей: 487 | Зарегистр. 28-12-2006 | Отправлено: 20:50 27-04-2011
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mila22

Цитата:
так как все настраивается для 1с8 . то  она говорит что сервер не найден.  
имхо то что ширина канала маловато будет.  
 В огороде бузина, в Киеве дядька...
Какая связь между шириной канала и роутингом?
Мои рекомендации: смени dev tun на dev tар, выдавай клиентам адреса из диапазона локальной сети, и будет тебе щастье.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 22:30 27-04-2011
mila22

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
как ни странно. но  две сетки поднял без проблем. в каждой сетке по dhcp серверу.
это подключение из дома.  
сервер поднят на linux ,  во втором офисе клиент тоже на linux. дома стоит xp

Всего записей: 487 | Зарегистр. 28-12-2006 | Отправлено: 22:55 27-04-2011 | Исправлено: mila22, 22:57 27-04-2011
ForeverRED66

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не получается ключи создавать после того как все сделал.
build-key client2
не работает кучу всего пишет,не как первый раз.
Или надо по новой все команды писать  
vars
clean-all
build-ca

Всего записей: 58 | Зарегистр. 04-03-2007 | Отправлено: 01:20 14-05-2011 | Исправлено: ForeverRED66, 13:24 15-05-2011
webdev237

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте!!! очень нужна помощь знающих людей. Хочу установить соединение с моим компьютером на работе. сисадмин дал мне настройки клиента:
 
tls-client
client
dev tun
proto udp
tun-mtu 1400
remote 82.207.45.51 1194
pkcs12 TS.p12
cipher BF-CBC
verb 3
ns-cert-type server
 
Подключаюсь через OpenVPN. вот лог подключения:
 
Tue May 17 17:23:54 2011 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Tue May 17 17:23:54 2011 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Tue May 17 17:23:54 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue May 17 17:23:55 2011 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue May 17 17:23:55 2011 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Tue May 17 17:23:55 2011 Local Options hash (VER=V4): '3514370b'
Tue May 17 17:23:55 2011 Expected Remote Options hash (VER=V4): '239669a8'
Tue May 17 17:23:55 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue May 17 17:23:55 2011 UDPv4 link local (bound): [undef]:1194
Tue May 17 17:23:55 2011 UDPv4 link remote: 82.207.45.51:1194
Tue May 17 17:24:55 2011 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue May 17 17:24:55 2011 TLS Error: TLS handshake failed
Tue May 17 17:24:55 2011 TCP/UDP: Closing socket
Tue May 17 17:24:55 2011 SIGUSR1[soft,tls-error] received, process restarting
Tue May 17 17:24:55 2011 Restart pause, 2 second(s)
 
После последней строки - рестарт подключения и не дальше.  
 
Подскажите в чем проблема есть/может быть???

Всего записей: 3 | Зарегистр. 17-05-2011 | Отправлено: 19:32 17-05-2011
rain87



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ForeverRED66
vars надо всегда выполнять перед работой с овпновским easy-rsa
 
webdev237
судя по всему, клиент банально не может соединиться с сервером. у тебя пингуется сервак? как вариант, у тебя может быть заблокирован удп трафик

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat

Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 20:26 17-05-2011 | Исправлено: rain87, 23:24 17-05-2011
webdev237

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
да, адрес пингуется. Я не очень хорошо разбираюсь, поэтому спрошу, как проверить блокируется трафик или нет и что нужно сделать для разблокировки?

Всего записей: 3 | Зарегистр. 17-05-2011 | Отправлено: 23:01 17-05-2011
rain87



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
я, если честно, сам не знаю, как проверить, блокируется ли удп. лучше всего пообщаться с админом, чтоб он на стороне сервера глянул лог - есть ли от тебя подключения
 
пс. я вот попробовал твой конфиг - сервак благополучно отшил меня с левым сертификатом
Код:
Tue May 17 22:19:49 2011 OpenVPN 2.1.0 i686-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Jul 12 2010
Tue May 17 22:19:49 2011 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Tue May 17 22:19:49 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue May 17 22:19:49 2011 WARNING: file 'TS.p12' is group or others accessible
Tue May 17 22:19:49 2011 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Tue May 17 22:19:50 2011 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1400)
Tue May 17 22:19:50 2011 Control Channel MTU parms [ L:1441 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue May 17 22:19:50 2011 Data Channel MTU parms [ L:1441 D:1441 EF:41 EB:4 ET:0 EL:0 ]
Tue May 17 22:19:50 2011 Local Options hash (VER=V4): '57657c3f'
Tue May 17 22:19:50 2011 Expected Remote Options hash (VER=V4): '778eeec5'
Tue May 17 22:19:50 2011 Socket Buffers: R=[114688->131072] S=[114688->131072]
Tue May 17 22:19:50 2011 UDPv4 link local (bound): [undef]
Tue May 17 22:19:50 2011 UDPv4 link remote: [AF_INET] ***
Tue May 17 22:19:50 2011 TLS: Initial packet from [AF_INET] ***, sid=d32dbd64 7534ef1c
Tue May 17 22:19:51 2011 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: ***
Tue May 17 22:19:51 2011 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Tue May 17 22:19:51 2011 TLS Error: TLS object -> incoming plaintext read error
Tue May 17 22:19:51 2011 TLS Error: TLS handshake failed
Tue May 17 22:19:51 2011 TCP/UDP: Closing socket
 
так что на серваке всё в порядке, проблема определённо у тебя
 
ппс. лучше б ты потёр реальный ИП из поста

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat

Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 23:23 17-05-2011
webdev237

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ок, спасибо, буду тормошить админа

Всего записей: 3 | Зарегистр. 17-05-2011 | Отправлено: 23:48 17-05-2011
Break_Action



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Приветствую,
Хотел попросить помощи в решении одной ситуации.
 
Имеется сервер с установленным OpenVPN сервером. Но иногда бывают сложности на канале и он бывает недоступен (возможности съехать с данного провайдера нет). В связи с этим вопрос, можно ли реализовать возможный лоадинг на второй сервер, который будет находиться на втором провайдере (запасной). То есть чтобы Клиент OpenVPN сам определял, что если один не доступен, то коннектиться на второй.
Если так не возможно реализовать, может вы могли бы предложить иные методы реализации подобного механизма.
 
Заранее благодарен.

Всего записей: 296 | Зарегистр. 12-09-2001 | Отправлено: 17:46 20-05-2011 | Исправлено: Break_Action, 17:50 20-05-2011
rain87



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Break_Action

Цитата:
--remote host [port] [proto]
    Remote host name or IP address. On the client, multiple --remote options may be specified for redundancy, each referring to a different OpenVPN server. Specifying multiple --remote options for this purpose is a special case of the more general connection-profile feature. See the <connection> documentation below.
 
    The OpenVPN client will try to connect to a server at host:port in the order specified by the list of --remote options.



----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat

Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 17:54 20-05-2011
Break_Action



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rain87
Огромное спасибо, буду копать глубже!

Всего записей: 296 | Зарегистр. 12-09-2001 | Отправлено: 17:58 20-05-2011
rain87



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Break_Action
да копать особо и не надо - просто указыавешь несколько серваков в конфиге и всё, овпн будет по очереди к ним коннектится, пока не получится

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat

Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 00:52 21-05-2011
graydevil2

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ткните, помогите с роутингом..
 
192.168.0.1/24 <> 192.168.11.2 < --- > 192.168.11.1 <> 192.168.0.1/24    
 
Разделенная сетка - 192.168.0.1/24, что прописать чтоб по этому туннелю ходила -
 
 
# для сервера
dev tun
ip-win32 manual
ifconfig 192.168.11.1 192.168.11.2
secret static.key
 
#для клиента
 remote 217.xxx.xxx.xxx
 dev tun
 ifconfig 192.168.11.2 192.168.11.1
 secret static.key
 
Зеленым горит, 11.1 11.2 пингуеться с двух сторон.. или должно пахать по дефолту?

Всего записей: 3 | Зарегистр. 12-08-2010 | Отправлено: 15:28 24-05-2011 | Исправлено: graydevil2, 15:29 24-05-2011
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
graydevil2
Цитата:
что прописать чтоб по этому туннелю ходила
В таком варианте ничего не поможет. Либо на клиентах прописывать путь для отдельных адресов через шлюз (с обратной стороны - также), либо соединять обе сетки через Ethernet Bridging
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 15:41 24-05-2011
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru