WarlockNT Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Тема в Программах OpenVPN OpenVPN - свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами находящимися за NAT-firewall без необходимости изменения его настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL. Официальный сайт Страница загрузки OpenVPN GUI for Windows || The Windows installers are bundled with OpenVPN-GUI Настройка OpenVPN сервера под Windows Документация (на английском) OpenVPN Windows HowTo (на английском) OpenVPN HowTo (на русском) Документация на русском OpenVPN for PocketPC FAQ • Генерация сертификатов и ключей - сертификаты и ключи нужны только при TLS-аутентификации (--tls-server или --tls-client) • Как прописать сертификаты прямо в конфиг клиента. • Разрешить запуск и остановку службы openvpnservice обычным пользователям без прав администратора можно бесплатной утилитой svcadmin (см. "Демонстрационные программы", зеркало). Всего записей: 210 | Зарегистр. 20-01-2003 | Отправлено: 07:48 01-08-2005 | Исправлено: shrmn, 11:53 29-05-2022

karavan Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору JMLabs https://backreference.org/2010/05/02/controlling-client-to-client-connections-in-openvpn/ + делаете уникального клиента уникальным с помощью уникального сертификата и именованного файла ccd с прописанным уникальным ip.   Добавлено: Либо другой способ - создание еще одного конфига на другом порту для уникального клиента. И так-же с помощью правил фаирвола разрешаете ему форвард в первую сеть. Из первой сети форвард для новых пакетов необходимо запретить. Не забыть добавить в обе сети нужные маршруты. Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 03:01 20-03-2019

MACTEP Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору JMLabs Цитата: У меня нет на сервере iptables...   karavan Цитата: Либо другой способ - создание еще одного конфига на другом порту для уникального клиента.   Согласен. Самое безболезненное решение, особенно если не имеешь доступа к CA, которым выдавались сертификаты для действующей инфраструктуры.   Цитата: И так-же с помощью правил фаирвола разрешаете ему форвард в первую сеть. Из первой сети форвард для новых пакетов необходимо запретить.   А вот это зачем, ума не приложу. Можно ведь обойтись совсем без фильтрации пакетов на уровне системы. Мне кажется, что опция client-to-client работает в рамках подсети, используемой конкретным сервером OpenVPN. Второй сервер будет биндиться к своему интерфейсу и использовать свою подсеть. Или речь идет именно о форвардинге пакетов между интерфейсами, то бишь роутинге (в лине это вроде как net.ipv4.ip_forward = 1)?   Цитата: Не забыть добавить в обе сети нужные маршруты.   Пушить маршрут до новой сети клиентам первого сервера и наоборот. Всего записей: 929 | Зарегистр. 11-04-2002 | Отправлено: 17:18 23-03-2019

karavan Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору MACTEP Цитата: Или речь идет именно о форвардинге пакетов между интерфейсами, то бишь роутинге (в лине это вроде как net.ipv4.ip_forward = 1)?   Именно об этом. Я придерживаюсь практики вешать политику DROP на стандартные цепочки, чтоб работало только то, что явно разрешено, отсюда и советы даю соответствующие. Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 17:45 23-03-2019

MACTEP Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 2 karavan: Цитата: Я придерживаюсь практики вешать политику DROP на стандартные цепочки, чтоб работало только то, что явно разрешено Очень правильная практика. Но трудоёмкая. Паранойя должна быть оправдана, иначе некогда будет есть, пить и спать. =) Раз уж тема с OpenVPN и такой серьезный подход, то есть ли положительный опыт по обфускации его трафика?   Всего записей: 929 | Зарегистр. 11-04-2002 | Отправлено: 18:28 23-03-2019

karavan Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору MACTEP Цитата: есть ли положительный опыт по обфускации его трафика?   За себя могу сказать, что есть отрицательный опыт в поисках провайдера, который бы запрещал вэпээны. Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 20:05 23-03-2019

MACTEP Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору karavan Цитата: что есть отрицательный опыт в поисках провайдера, который бы запрещал вэпээны Мне пока тоже такие не попадались, но обещание появления в скором времени аналога великого китайского файрволла оптимизма не добавляет...   Всего записей: 929 | Зарегистр. 11-04-2002 | Отправлено: 20:16 23-03-2019

MACTEP Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 2 rsilin: Цитата: Все настройки и сертификаты для подключения к серверу лежат в папке Config, причем логин и пароль в открытом виде. Во-первых, непонятно о каком логине идет речь. Есть пара - сертификат и закрытый ключ. Есть пароль закрытого ключа. Установив пароль на закрытый ключ по фэшую (длинный, бессмысленный, буквы-цифры-спецсимволы, разные регистры) можно спать спокойно. Во-вторых, если паранойя зашкаливает, то веракрипт, скрытый контейнер, туда серт и ключ, второй пароль по фэншую уже на контейнер. В-третьих, никто не отменял всеразличные токены и pkcs11. В общем, было бы желание...     Всего записей: 929 | Зарегистр. 11-04-2002 | Отправлено: 17:09 19-04-2019 | Исправлено: MACTEP, 17:10 19-04-2019

MACTEP Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 2 rsilin: Тфу, блин, ни разу не приходило в голову использовать опенвпн с авторизацией по логину/паролю через внешний скрипт... И не буду! =) В Вашем варианте - либо запомнить авторизационные данные, либо хранить их в каком-нибудь пасскипере, а файл auth.cfg прибить и в параметре auth-user-pass конфига клиента удалить путь к этому файлу. Как-то так... Всего записей: 929 | Зарегистр. 11-04-2002 | Отправлено: 18:14 19-04-2019

MACTEP Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 2 YuraseK: Для начала я бы посоветовал обновиться на всех машинах до последней версии 2.4.7. Затем включить максимально подробные логи и смотреть, что туда пишется в периоды, когда приходят глюки. Странно звучит вот эта фраза Цитата: при этом всё, что за машинами, работает бесперебойно С одной стороны, Вы используете бридж, собирая таким соединением все машины в одну бродкаст-сеть, с другой, исходя из цитируемой фразы, какая-то винда еще и роутит другие сети. Не очень понятная мне топология, так как для роутинга обычно за глаза хватает net30 или subnet. И последнее. Если на гипервизоре в виртуальной Ubuntu бридж-интерфейс есть эмулируемый  физический интерфейс (например vmx0), включенный в бридж и который воткнут в виртуальный свитч, то promiscuous mode должен быть accept (по умолчанию всегда reject). Как-то так... Всего записей: 929 | Зарегистр. 11-04-2002 | Отправлено: 18:01 06-05-2019 | Исправлено: MACTEP, 18:09 06-05-2019

karavan Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору MACTEP Цитата: то promiscuous mode должен быть accept   Справедливости ради, этот параметр не влияет на установившееся соединение, только на возможность установления оного. Цитата: Не очень понятная мне топология Присоединяюсь к вопросу о топологии, домыслы будут неуместны. Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 00:29 07-05-2019 | Исправлено: karavan, 02:34 07-05-2019

karavan Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору YuraseK Цитата: удалённые машины и центральный сервер выступают мостами в одну бродкаст-сеть Исходя из описания, мне почему-то представляется знатная петля в сети. Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 11:36 07-05-2019

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование