Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Открыть новую тему     Написать ответ в эту тему

WarlockNT



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тема в Программах



OpenVPN - свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами находящимися за NAT-firewall без необходимости изменения его настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL.

Официальный сайт
Страница загрузки
OpenVPN GUI for Windows || The Windows installers are bundled with OpenVPN-GUI
Настройка OpenVPN сервера под Windows
Документация (на английском)
OpenVPN Windows HowTo (на английском)
OpenVPN HowTo (на русском)
Документация на русском
OpenVPN for PocketPC


FAQ
Генерация сертификатов и ключей - сертификаты и ключи нужны только при TLS-аутентификации (--tls-server или --tls-client)
Как прописать сертификаты прямо в конфиг клиента.
• Разрешить запуск и остановку службы openvpnservice обычным пользователям без прав администратора можно бесплатной утилитой svcadmin (см. "Демонстрационные программы", зеркало).

Всего записей: 210 | Зарегистр. 20-01-2003 | Отправлено: 07:48 01-08-2005 | Исправлено: shrmn, 11:53 29-05-2022
dimaxmaster

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Никогда не пользовался, но описание программы очень сильно заинтересовало.
 
Подскажите пожалуйста:  
 
1. Возможна ли установка OpenVPN на Windows Server 2008 R2?
2. Нужны ли какие-то специальные настройки на маршрутизаторе?
3. Надежен ли OpenVPN с точки зрения безопасности?

Всего записей: 333 | Зарегистр. 05-06-2008 | Отправлено: 00:09 10-10-2013
Barlok88

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
melkiy999
не слушай всяких ламеров) будут еще полгода мурыжить сделай то сделай это в итоге интерес к программе пропадет, а зря. смотри разберем твой конфиг, а в конце объясню почему инета нет
port 7777  
proto tcp вот тут будя лучше удп в твоем случае
dev tun  
ca "C:/OpenVPN/ssl/ca.crt" #тут делай проще: сертификаты в папку config положи и убери путь оставь тока ca.crt
cert "C:/OpenVPN/ssl/server.crt" #также
key "C:/OpenVPN/ssl/server.key" #также
dh "C:/OpenVPN/ssl/dh1024.pem" #также
tls-server #не нужная опция. tls аунтификация идет так и так, по видимому в старой версии было иначе
tls-auth "C:/OpenVPN/ssl/ta.key" 0 #равно как и эта, ддосить с локалки тебя не будут )
auth MD5 #убрать
comp-lzo  
route-method exe #никчему. есть мнение, что виста тупила
route-delay 2 #та же песня про висту
server 10.8.0.0 255.255.255.0
keepalive 10 120 #эта строка для udp соединения т.к. там нет понятия установлена связь или нет
;user nobody #линуксовые фичи
;group nobody  
persist-tun
verb 3  
а вот что пригодилось бы
topology subnet #грубо говоря сэкономим адресы
push "redirect-gateway" #указывает юзать шлюз сервера. без этого инет не пойдеть
push "dhcp-option DNS первичныйднс"
push "dhcp-option DNS вторичный"
без пушов днс и шлюза на винде не пойдет инет, особенность такая.
client-to-client #дабы клиенты видели друг друга
cipher AES-128-CBC #метод шифрования
persist-tun
mssfix #тестил, с этой опцией пинг на 2мс меньше )
клиент:  
client  
dev tun  
dev-node TAP #убрать
proto udp  #заметил фишку? в сервере tcp стоит
remote 192.168.1.10 7777  
resolv-retry infinite  
nobind  
persist-key  
persist-tun  
ca C:\\OpenVPN\\config\\ca.crt  
cert C:\\OpenVPN\\config\\client.crt  
key C:\\OpenVPN\\config\\client.key  
ns-cert-type server  #убрать
tls-client  #тоже
tls-auth C:\\OpenVPN\\config\\ta.key 1  #туда же
cipher AES-128-CBC  
comp-lzo  
verb 3  
dh dh1024.pem
mssfix
сертификаты можно прям в конфиг вписать. а не работает еще потому, что винда не кидает пакеты между интерфейсом опенвпн и физическим. открой общий доступ инета с интерфейса где инет на впн
dimaxmaster
1. да
2. нет
3. да

Всего записей: 134 | Зарегистр. 26-04-2011 | Отправлено: 23:33 15-10-2013 | Исправлено: Barlok88, 23:35 15-10-2013
YikxX



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Barlok88 Мальчик, хамить не надо. <вырезано цензурой> - ты даже и не слышал, что это такое, а уж как настраивается - и в помине не знаешь.
Молодец, что заметил разность протоколов в конфигах клиена и сервара - премию "Зоркий шоколадный глаз" тебе за это.

Всего записей: 1206 | Зарегистр. 29-07-2008 | Отправлено: 23:56 15-10-2013 | Исправлено: YikxX, 11:00 16-10-2013
Barlok88

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
YikxX
видимо, "дядя" они у тебя также через "шоколадный глаз" настроены, раз путного совета дать не можешь

Всего записей: 134 | Зарегистр. 26-04-2011 | Отправлено: 00:11 16-10-2013
YikxX



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Barlok88
Цитата:
путного совета дать не можешь
А типа ты можешь? Написал то же самое, что я уже выше сказал, только другими словами, и пальцы веером сразу растопырил. Ну топырь дальше, "хакер". Фиг ли с тобой вату катать - толку все равно ноль, иди пиписьками меряться в другое место.
Совсем школота оборзела перед мониторами сидя.

Всего записей: 1206 | Зарегистр. 29-07-2008 | Отправлено: 01:13 16-10-2013 | Исправлено: YikxX, 01:18 16-10-2013
Barlok88

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
YikxX
Ты ничо не попутал, братан? Пальцы тут ты растопырил, я лишь пошутил про ламером, а ты видать близко к сердцу принял. Я тебе не хамил. Иди перед дружками выпендривайся какой ты "крутой" сисадмин. А по теме, я лишь более подробно расписал что да как чтоб потом не спрашивал что за опции. И для справки: мне 25, так что с школотой ты явно промахнулся

Всего записей: 134 | Зарегистр. 26-04-2011 | Отправлено: 01:36 16-10-2013
YikxX



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Barlok88 Ну и не шути так больше, чтобы никто неправильно не воспринимал. А про школоту - то все просто: я ламер, ты школота. Намек понятен?
Перед друзьями мне свои знания показывать не надо, чего ты, видимо, лишен, т.к. выпендриваешься даже перед совершенно незнакомым человеком, в публичном месте.
Расписал - и молодец. Только вот зачем порекомендовал все опции безопасности убрать - непонятно.
Да и не проще ли просто в конфиг сервера добавить строку route-up "route add -p 10.8.0.0 mask 255.255.255.0 X.X.X.X"
где X.X.X.X - шлюз по умолчанию у соединения, смотрящего в инет.
Тогда никакие галки нигде ставить не придется.
И если уж разговор про новые версии пошел, то это:
ca C:\\OpenVPN\\config\\ca.crt  
cert C:\\OpenVPN\\config\\client.crt  
key C:\\OpenVPN\\config\\client.key
вообще можно убрать, заменив на такую
pkcs12 client.p12
 
И в чем преимущество протокола UDP над TCP в локалке, интересно? Можно пруф?

Всего записей: 1206 | Зарегистр. 29-07-2008 | Отправлено: 01:55 16-10-2013
Barlok88

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
YikxX
я перед тобой не выпендривался это раз, насчет tls-auth - у него не паблик впн и даже вряд ли внешний ип есть, на кой ему защита от ддос? а вот на винде у меня она подтупливает это факт. удп предпочтительней для его канала тем более в мане предпочтение ему отдается и только в случае потери пакетор тср. а вот на кой ему маршрут с физ интерфейса до впн вкорне неясно когда ему нужно просто push default-gateway и маршрутизацию между интерфейсами, что проще сделать с помощью ics, чем крутить маршруты на серве. просто, не нужно в сторону парня уводить мол покажи то, покажи это, когда и так очевидно в чем трабл

Всего записей: 134 | Зарегистр. 26-04-2011 | Отправлено: 02:11 16-10-2013 | Исправлено: Barlok88, 02:18 16-10-2013
YikxX



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Barlok88
Цитата:
ему нужно просто push default-gateway и маршрутизацию между интерфейсами
А я что написал? Сразу же про пуш ему отписал. Так ICS делает то же самое. Просто там галка и выбор интерфейса, а тут команда в конфиге. И маршрут, кстати, наоборот - с впн до физ. интерфейса.

Всего записей: 1206 | Зарегистр. 29-07-2008 | Отправлено: 02:20 16-10-2013
Barlok88

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
YikxX
я те честно скажу, в душе не чаю как пойдет инет без ната. ics делает не то же самое. ics - это почти что нат, то есть, приняв пакет от 10.8.0.3 скажем, он не перенаправит его на дефолтный шлюз как это сделает обычная маршрутизация (а в семерке она включается в службах, а не как в xp через реестр), а подменит адрес отправителя на свой. Разницу чуешь? Шлюз на который пойдет пакет вернет его обратно, а вот без ната пакет к нему придет от некой сети 10.8.0.0 о которой он ни бум бу

Всего записей: 134 | Зарегистр. 26-04-2011 | Отправлено: 03:17 16-10-2013 | Исправлено: Barlok88, 03:26 16-10-2013
YikxX



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Barlok88 Типа вот так. Хотя галочку действительно проще поставить. Не понял, чего там в ХР через реестр включается? ICS? Да с какого хоть перепугу? То же самое все - служба по умолчанию запущенная + галка.
 
В общем резюмируем, чтобы совсем читающих-новичков не запутать. Чтобы под виндой нормально работал сервак VPN нужно:
1. Прописать в конфиге сервака
push "redirect-gateway def1"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220" (адреса днс-серверов могут быть другие)
2. Включить NAT, путем захода в свойства подключения к интернету и установки галки "Разрешить другим пользователям...", на вкладке "Доступ".
 
Все верно?

Всего записей: 1206 | Зарегистр. 29-07-2008 | Отправлено: 03:27 16-10-2013 | Исправлено: YikxX, 03:54 16-10-2013
Barlok88

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
YikxX
В хр в реестре включается маршрутизация в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters, а в семерке такой номер не прокатывает, поменяли стек. Служба запускает прослушку портов впн, модема и прочую байду что кстати убивает значок в семерке. Тока через нее идет маршрутизация, а в хр в реестре достаточно прописать. Галочка не проще, а единственный вариант. Другой вариант будет поднять tap. Над просто ман накатать как на винде опенвпн поднимать и все. Верно, тока днс гугловские поставь на всякий

Всего записей: 134 | Зарегистр. 26-04-2011 | Отправлено: 03:59 16-10-2013 | Исправлено: Barlok88, 04:04 16-10-2013
YikxX



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Barlok88 Ну про это я в курсе - маршрутизируешь неугодную подсеть на локалхост и все - хомячок без любимого вконтакта. Удобно было, вносилось обычным reg-файлом. Хотя вирусописатели тоже пользовались - вот это было уже грустно.
Ладно, пойду спать... Удачи!

Всего записей: 1206 | Зарегистр. 29-07-2008 | Отправлено: 04:10 16-10-2013
Barlok88

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
не поленился, написал статью http://habrahabr.ru/post/197744/

Всего записей: 134 | Зарегистр. 26-04-2011 | Отправлено: 16:48 16-10-2013
korn3r



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Barlok88

Цитата:
Как и автор статьи об установке OpenVPN на Linux, я не нашел нормальной статьи, да еще и такой, чтоб описывалось все до мелочей.

В шапке есть ссылка на очень поверхностную статью, но и там более подробно расписано.
Мелочи тут, переведи, и тогда действительно будет "все до мелочей".
Молодец, конечно, что написал, но твоя статья отличается от тысяч других (в т.ч. и нескольких на том же хабре) только пунктом про прописывание сертификатов в конфиг.

Всего записей: 496 | Зарегистр. 19-10-2005 | Отправлено: 11:58 17-10-2013 | Исправлено: korn3r, 12:01 17-10-2013
Barlok88

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
korn3r
возьмем
Цитата:
Настройка OpenVPN сервера под Windows  
статью из шапки. тот кто писал явно не читал ман, либо читал, но сделал все с точностью до наоборот. нет возможности проверить будет ли работать без объединения в мост т.к. андроид не держит tap (одна из причин почему не стоит юзать), а вот все остальное можно разобрать. опустим то, что некоторые функции по дефолту идут и то, что защита от ддос простому юзеру не нужна (а статья не для сисадминов естессно), так еще и пути устарели. зря их вообще писал. вопреки совету от разраба юзать tun и udp делается все с точностью до наоборот. в итоге, бесполезный абсолютно конфиг.
Цитата:
Мелочи тут, переведи, и тогда действительно будет "все до мелочей".  

не было цели описывать все тонкости. была цель сделать доступно и главное рабочее

Всего записей: 134 | Зарегистр. 26-04-2011 | Отправлено: 13:58 17-10-2013
korn3r



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Barlok88
статья из шапки была для примера. в гугле этих статьей завались.
 

Цитата:
не было цели описывать все тонкости. была цель сделать доступно и главное рабочее

сам же на хабре статью начал со слов

Цитата:
я не нашел нормальной статьи, да еще и такой, чтоб описывалось все до мелочей

 
я например tcp юзаю, в чем проблема? юзал бы tap, была бы необходимость...
"простому юзеру" пофигу, tcp или udp у него (я бы даже сказал, что простому юзеру лучше tcp)
 
зы
что значит "пути устарели"?
 
и еще, твой каммент на хабре по поводу другой статьи

Цитата:
В той статье, как и в других, много лишнего. Например, tls-server — эта опция идет по дефолту, route-method exe они и так через route.exe прописываются

вот это уже совсем фейл, посмотрел бы сначала какой метод добавления маршрутов используется по-дефолту
ты, похоже, ни разу не сталкивался с проблемами при добавлении маршрутов под виндой, многие из которых исправляются добавлением route-method exe.

Всего записей: 496 | Зарегистр. 19-10-2005 | Отправлено: 14:29 17-10-2013 | Исправлено: korn3r, 14:43 17-10-2013
Barlok88

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
korn3r
http://www.cse.wustl.edu/~jain/cse567-08/ftp/ovpn/index.html разраб не зря советы дает. я простой юзер и моему другу не пофиг когда он в танки играет будет у него пинг 30мс или 300. сам потестить пока не могу.
Цитата:
статья из шапки была для примера. в гугле этих статьей завались.

как только покажешь хоть одну толковую статью я тут же извинюсь и удалю свою

Всего записей: 134 | Зарегистр. 26-04-2011 | Отправлено: 14:43 17-10-2013
korn3r



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Barlok88
сейчас в танки с работы не играю, но когда играл, латенси было ~50 (причем что по tcp, что по udp)
Вот что показывает спидтест (хз, правда, на сколько его пингу можно доверять.
 

Цитата:
как только покажешь хоть одну толковую статью я тут же извинюсь и удалю свою

тебе сложно набрать в гугле "настройка openvpn"?
лучше исправь свой каммент по поводу route-method exe
 

Цитата:
http://www.cse.wustl.edu/~jain/cse567-08/ftp/ovpn/index.html разраб не зря советы дает.

а где там конкретно говорится что tap не надо юзать? я так бегло просмотрел, увидел только общее сравнение TUN\TAP и графики, где тесты показывают, что при использовании TAP канал шире, а пинг ниже, чем при TUN`е

Всего записей: 496 | Зарегистр. 19-10-2005 | Отправлено: 14:54 17-10-2013 | Исправлено: korn3r, 15:23 17-10-2013
Barlok88

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
тебе сложно набрать в гугле "настройка openvpn"?

я же и прошу показать, может я слепой
Цитата:
лучше исправь свой каммент по поводу route-method exe

Fri Oct 18 14:09:29 2013 C:\Windows\system32\route.exe ADD 46.23.68.180 MASK 255.255.255.255 192.168.0.1 вырезка из лога клиента
Цитата:
http://www.cse.wustl.edu/~jain/cse567-08/ftp/ovpn/index.html разраб не зря советы дает.

я имел ввиду udp, а tap не юзать хотя бы из за того, что некоторые девайсы не держат.
Цитата:
сейчас в танки с работы не играю, но когда играл, латенси было ~50 (причем что по tcp, что по udp)  

при хорошем канале разница будет от силы 1мс, а вот при gprs разница наверняка будет существенней

Всего записей: 134 | Зарегистр. 26-04-2011 | Отправлено: 14:39 18-10-2013
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru