Перейти из форума на сайт.Реклама на Ru.Board


Система IP-видеонаблюдения "Линия". Скачать бесплатную демо-версию для 16 камер. НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119

Открыть новую тему     Написать ответ в эту тему

WarlockNT



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору



OpenVPN — свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами находящимися за NAT-firewall без необходимости изменения его настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL.

Официальный сайт
Страница загрузки
OpenVPN GUI for Windows || The Windows installers are bundled with OpenVPN-GUI
Настройка OpenVPN сервера под Windows
Документация (на английском)
OpenVPN Windows HowTo (на английском)
OpenVPN HowTo (на русском)
Документация на русском
OpenVPN for PocketPC

    FAQ
  1. Генерация сертификатов и ключей - сертификаты и ключи нужны только при TLS-аутентификации (--tls-server или --tls-client)
  2. Как прописать сертификаты прямо в конфиг клиента.


было

Тема в Программах

Всего записей: 206 | Зарегистр. 20-01-2003 | Отправлено: 07:48 01-08-2005 | Исправлено: Xant1k, 20:57 26-11-2017
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DJs3000
Цитата:
Могу ли я на 2008 подставить конфиг и сертификаты со старой конфигурации OpenVPN и как это сделать?  
 Почему нет? Установить там OpenVPN, создать TAP интерфейсы, скопировать со старого сервера ca.crt , server.crt , server.key, dh1024.pem и клиентские конфигурации.
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 16475 | Зарегистр. 13-06-2007 | Отправлено: 10:17 31-07-2011
DJs3000

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
создать TAP интерфейсы

значит ли это что для каждого соединения нужен отделный интерфейс? или достаточно одного соединений так на 15?

Всего записей: 180 | Зарегистр. 22-08-2010 | Отправлено: 11:34 31-07-2011
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DJs3000
Цитата:
значит ли это что для каждого соединения нужен отделный интерфейс?
Сам я не проверял, поскольку пользуюсь OpenVPN сервером один в качестве единственного найденного мною рабочего варианта VPN для подключения КПК. Но в той статье явно говорится, что число  TAP интерфейсов должно равняться значению max-clients, то бишь числу одновременных подключений.
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 16475 | Зарегистр. 13-06-2007 | Отправлено: 12:03 31-07-2011 | Исправлено: vlary, 12:04 31-07-2011
rain87



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
не знаю как для тун, но для режима тап на сервере точно нужен только один интерфейс

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat

Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 12:20 31-07-2011
ForeverRED66

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ребят как должен конфиг клиента и сервера выглядеть!
Что бы сервер 10.7.0.0 мог видеть сервер 10.6.0.0
и наоборот то же. Два ВПН сервера.
А конкретно как добавить маршруты этих сетей.
10.6.0.0 (UDP)
push "route 10.7.0.0 255.255.255.0"
10.7.0.0 (TCP)
push "route 10.6.0.0 255.255.255.0"
 
Что бы например клиенты из сети 10.7.0.0 видели сеть 10.6
Ну или хотя бы что бы 10.7.0.6 видел сеть 10.6.0.0 всю сеть!

Всего записей: 58 | Зарегистр. 04-03-2007 | Отправлено: 14:01 01-08-2011 | Исправлено: ForeverRED66, 12:01 04-08-2011
ForeverRED66

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У меня вот такие чудеса , хочу ключ создать
Ввожу
vars  
потом
build-key xxxx
и такая херь(

Всего записей: 58 | Зарегистр. 04-03-2007 | Отправлено: 12:17 09-08-2011 | Исправлено: ForeverRED66, 12:18 09-08-2011
DJs3000

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ForeverRED66
была похожая проблема! решил откатом версии до 2.1.4
и не забывай сначала инит делать потом вар а потом клеар если глюк не исправишь...
 
Добавлено:
vlary
работает много одновременных подключений при одном виртуальном интерфейсе openvpn. лично проверено)

Всего записей: 180 | Зарегистр. 22-08-2010 | Отправлено: 13:33 09-08-2011
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DJs3000
Цитата:
работает много одновременных подключений при одном виртуальном интерфейсе openvpn. лично проверено
Какой тип подключения клиентов? TAP или TUN?
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 16475 | Зарегистр. 13-06-2007 | Отправлено: 13:45 09-08-2011
DJs3000

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
строка из конфига dev tun
 
Добавлено:
имеется типичная сеть: инет->шлюз->свич->юзвери
                                                           ||
                                                           \/
                                                       Сервер
 
шлюз CentOS firewall(netfilter), gateway
на сервере который внутри офисной сети стоит 2008 и на ней OpenVPN server.
конфиг:
port 5600
proto tcp
tls-server
dev tun
 
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
 
server 10.0.5.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
comp-lzo
max-clients 15
persist-key
persist-tun
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
keepalive 10 120
verb 3
 
при подключении серверу присваивается ip 10.0.5.1 и больше ничего не видно в офисной сети.
Хочу перенести OpenVPN server на шлюз и хочу чтобы подключаемые видели всю офисную сеть 192.168.9.0/24 подскажите что нужно дописать в конфиге?

Всего записей: 180 | Зарегистр. 22-08-2010 | Отправлено: 14:10 09-08-2011 | Исправлено: DJs3000, 14:38 09-08-2011
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DJs3000
Цитата:
Хочу перенести OpenVPN server на шлюз
Тогда дописывать ничего будет не надо.  
А в общем случае как раз разница между TAP и TUN в том, что когда TAP, то адреса выдаются из сегмента локальной сети, включается прокси-арп, и локальные компы видят удаленные.
 
 

Всего записей: 16475 | Зарегистр. 13-06-2007 | Отправлено: 16:03 09-08-2011
DJs3000

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
т.е. мне нужно будет dev tun  сменить на dev tap?

Всего записей: 180 | Зарегистр. 22-08-2010 | Отправлено: 16:10 09-08-2011
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DJs3000
Цитата:
т.е. мне нужно будет dev tun  сменить на dev tap?

Я же написал. Проблема в том, что хосты в локалке понятия не имеют, где это сеть 10.0.5.0. Ответные пакеты они бросают на свой шлюз по умолчанию, который, видимо, тоже этого не знает, и они херятся. Потому всем нужным хостам необходимо прописать маршрут к 10.0.5.0 через 192.168.9.Х (адрес OpenVPN сервера в локалке).
Если OpenVPN будет стоять на общем шлюзе по умолчанию, тогда пакеты дойдут до клиентов, путей прописывать не надо. Только нужно будет везде на встроенных фаерволах, ежели они есть, прописать не рубить пакеты из чужой сети 10.0.5.0.  
В любом случае для клиентов на сервере надо добавить опцию push "route 192.168.9.0 255.255.255.0", чтобы пакеты для 192.168.9.0 они бросали в канал, а не провайдеру.  
А в случае tap можно просто назначать незанятые адреса из диапазона 192.168.9.0/24, и все будет отлично работать.
 

Всего записей: 16475 | Зарегистр. 13-06-2007 | Отправлено: 17:59 09-08-2011 | Исправлено: vlary, 18:03 09-08-2011
hda0



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
вылезла проблема овпн такого рода.
коннекчусь к овпн серверу, получаю статику, все работает, открывается, качается, интернеты летают.
и теперь самое интересное. стоит мне запустить в скайпе видео звонок, как через минуты три, происходит обломахтунг овпн клиента с таким вот содержанием в логах:

Код:
 
Sun Aug 21 22:41:30 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sun Aug 21 22:41:31 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sun Aug 21 22:41:33 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sun Aug 21 22:41:33 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sun Aug 21 22:41:34 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sun Aug 21 22:41:35 2011 admin/89.146.71.98:10002 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Aug 21 22:41:35 2011 admin/89.146.71.98:10002 TLS Error: TLS handshake failed
Sun Aug 21 22:41:37 2011 admin/89.146.71.98:10002 TLS: new session incoming connection from 89.146.71.98:10002
Sun Aug 21 22:41:37 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sun Aug 21 22:41:39 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sun Aug 21 22:41:41 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sun Aug 21 22:41:44 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
 

если овпн клиенту дать минут пять паузу не переподключаться, то в логах ещё какое то время наблюдается выше описанная свистопляска с рефьюзами. потом когда кончается засерание логов, достаточно снова запустить овпн клиента -он подключается и всё снова работает. сначала я думал это совпадение (линк с провайдером падает и тд), но потом убедился что это бывает только в режиме видео-звонка. в режиме войса - такого не происходит.
 
конфиг овпн клиента

Код:
 
port 5190
dev tun
 
remote ххх.238.104.1
 
tls-client  
 
ca ca.crt
cert admin.crt
key admin.key
 
tun-mtu 1500  
tun-mtu-extra 32  
mssfix 1450  
pull  
 
comp-lzo  
verb 3
 
ifconfig ххх.238.104.102 ххх.238.104.101
 
route 81.95.224.0 255.255.255.0 10.10.77.1
route 81.95.225.0 255.255.255.0 10.10.77.1
route 81.95.237.0 255.255.255.0 10.10.77.1
route 94.158.48.0 255.255.255.0 10.10.77.1
route-gateway ххх.238.104.101
 
redirect-gateway
 

 
конфиг овпн сервера:

Код:
 
port 5190  
dev tun
 
tls-server
dh keys/dh1024.pem
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
up ./openvpn.up
 
mode server
client-config-dir /etc/openvpn/ccd
server ххх.238.104.96 255.255.255.224
route ххх.238.104.96 255.255.255.224
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
ping 10
ping-restart 120
 
push "ping 10"
push "ping-restart 60"
 
push "redirect-gateway def1"
push "dhcp-option DOMAIN infonet.хх"             # push the DNS domain suffix
push "dhcp-option DNS 10.10.100.4"                   # push DNS entries to openvpn client
 
push "redirect-gateway"
 
client-to-client
 
comp-lzo
status-version 2
status openvpn-status.log
log openvpn.log
verb 3
 

 
что это может быть? почему происходит облом при видеозвонке в скайпе?
 

Всего записей: 156 | Зарегистр. 28-02-2005 | Отправлено: 22:13 21-08-2011
rain87



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
hda0
попробуй (хотя бы временно) овпн перевести с удп на тсп. такое ощущение что ты работаешь через роутер, и у него начинаются проблемы при большом удп трафике

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat

Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 11:46 22-08-2011
hda0



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rain87

Цитата:
ты работаешь через роутер

конечно же через роутер. а как иначе..
 
месяц назад я юзал режим тсп сервера, потом перешёл в режим юдп потому как у меня появился клиент которому надо было юзать юдп туннель.
так вот, когда я юзал режим тсп - таких обломов не происходило.
выходит  что у овпн сервера есть большой баг в этом плане. может девелоперу стоит написать и описать суть проблемы?
или покрутить какие нибудь значения mtu, mssfix и тд.. только вот в какую сторону, и поможет ли?

Всего записей: 156 | Зарегистр. 28-02-2005 | Отправлено: 11:56 22-08-2011
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hda0 Скайп тоже использует UDP, причем интенсивно. Вполне возможно, что засирается таблица НАТ. Отсюда эффект. Попробуй в роутере добавить размер таблицы и уменьшить тайм-аут, если есть в нем такие настройки.

Всего записей: 16475 | Зарегистр. 13-06-2007 | Отправлено: 12:54 22-08-2011
hda0



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
я от НАТа отказался. я юзаю белые сети.
овпн на реалках работает.
вряд ли тут НАТ виноват

Всего записей: 156 | Зарегистр. 28-02-2005 | Отправлено: 13:15 22-08-2011
rain87



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
hda0
да нет, баг не у овпн сервера. проблема именно в роутере, который захлёбывается на большом удп трафике. из за чего такое происходит я не в курсе, просто достаточно распространённая проблема для роутеров
 
Добавлено:

Цитата:
 я от НАТа отказался. я юзаю белые сети.
овпн на реалках работает.  
т.е. овпн у тебя работает внутри роутера?

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat

Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 13:35 22-08-2011
hda0



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
сервер с линуксами, настроен в качестве рутера+бгп+айпитаблес. на нём же овпн сервер установлен.
 
Добавлено:
может линуксу надо покрутить, что бы ЮДП побольше пропустить?
кто нибудь знает что крутить?

Всего записей: 156 | Зарегистр. 28-02-2005 | Отправлено: 15:35 22-08-2011
piples



Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Здравствуйте уважаемые форумчане. Существует одна проблема.
В общем:
Имеем сервер c ОС Windows Server 2003 на котором установлен OpenVPN сервер (версии 2.1.4).  
Сервер имеет внешний ip 178.124.137.117
Внутренний ip 192.168.1.47
 
Конфиг OpenVPN server следующий:
 
port 1194
proto tcp
dev tap
ca ca.crt
cert OpenVPN.crt
key OpenVPN.key
dh dh1024.pem
tls-server
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1"
client-to-client
keepalive 10 120
persist-tun
persist-key
comp-lzo
verb 3
 
Конфиг клиента:
 
client
remote 178.124.137.117 1194
dev tap
proto tcp
persist-tun
ca ca.crt
cert free.crt
key free.key
ns-cert-type server
resolv-retry infinite
verb 3
comp-lzo
 
Проблема в следующем:
У всех созданных мною ключей-клиентов один ip адрес 10.8.0.2 Притом, пинг между клиентом и сервером есть, пиринг тоже. Следовательно вопрос, как настроить конфиг, чтобы каждый клиент имел динамический ip адрес?
Помогите пожалуйста

Всего записей: 3 | Зарегистр. 12-09-2011 | Отправлено: 23:08 12-09-2011 | Исправлено: piples, 23:16 12-09-2011
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru