Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Открыть новую тему     Написать ответ в эту тему

WarlockNT



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тема в Программах



OpenVPN - свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами находящимися за NAT-firewall без необходимости изменения его настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL.

Официальный сайт
Страница загрузки
OpenVPN GUI for Windows || The Windows installers are bundled with OpenVPN-GUI
Настройка OpenVPN сервера под Windows
Документация (на английском)
OpenVPN Windows HowTo (на английском)
OpenVPN HowTo (на русском)
Документация на русском
OpenVPN for PocketPC

FAQ
Генерация сертификатов и ключей - сертификаты и ключи нужны только при TLS-аутентификации (--tls-server или --tls-client)
Как прописать сертификаты прямо в конфиг клиента.
• Разрешить запуск и остановку службы openvpnservice обычным пользователям без прав администратора можно бесплатной утилитой svcadmin (см. "Демонстрационные программы", зеркало).
Всего записей: 210 | Зарегистр. 20-01-2003 | Отправлено: 07:48 01-08-2005 | Исправлено: shrmn, 11:53 29-05-2022
rain87



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
видно будет только при tap устройстве, при tun видно не будет

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat
Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 10:53 18-01-2011
ZahAlex

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А в чём разница TUN и TAP что то не въеду. TUN работает просто, а что для TAP надо. Как изменить конфиг чтоб так же просто, желательно без шифрования, только TAP. Пробовал просто поменять - не работает вообще
Всего записей: 12 | Зарегистр. 09-01-2011 | Отправлено: 11:29 18-01-2011
newhk



BANNED		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
вопрос снят
Всего записей: 400 | Зарегистр. 02-02-2009 | Отправлено: 13:08 19-01-2011 | Исправлено: newhk, 14:10 19-01-2011
andrejvb

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
newhkА где строка remote xxx.xxx.xxx.xxx на клиенте? Где строка server-bridge  на сервере? ifconfig на сервере не нужна. в обоих конфигах не хватает строки cipher none  
И крайне желательно явно указать:
Код:
port 1194
proto udp
dev tap
на сервере и
Код:
dev tap
proto udp
nobind
resolv-retry infinite
на клиенте.
Я надеюсь, на сервере OVPN интерфейс в бридж с локальным включили?

Цитата:
что делать?
Читать до полного просветления. Второе сообщение темы.
Всего записей: 1838 | Зарегистр. 16-12-2005 | Отправлено: 14:31 19-01-2011
newhk



BANNED		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
в общем вот:
 
Server:
 
lport 5000
dev tap
tls-server
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
mode server
ifconfig 192.168.82.82.148 255.255.255.0 # как я понимаю, это локальный адрес хоста на котором сервер
ifconfig-noexec
ifconfig-pool 192.168.0.110 192.168.0.119 # это диапозон адресов из которого возьмет клиент  
local 192.168.0.10                        # это адрес vpn сервера (в впн-сети)
push "route 192.168.1.0 255.255.255.0 192.168.82.148"
duplicate-cn #use this for testing only
client-to-client
ping 10
ping-restart 120
push "ping 10"
push "ping-restart 60"
verb 4
 
 
 
Client:
 
remote 80.x.x.x
port 5000
dev tap
nobind
tls-client
ca ca.crt
cert client1.crt
key client1.key
pull
verb 4
 
 
на сервере сделан мост
 
Дальше то что?
службу запустил... ничего не изменилось, VPN интерфейс как был отключен так и остается.
 
P.S. для чего нужен OpenVPN GUI, если там только настройка прокси?
 
Добавлено:
Взял пример из FAQа (простейший), мост убрал на сервере, все равно не контачит...
службы перезапустил
Всего записей: 400 | Зарегистр. 02-02-2009 | Отправлено: 16:17 19-01-2011 | Исправлено: newhk, 16:23 19-01-2011
andrejvb

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
newhk
Вот тебе полностью рабочие конфиги, разбирайся:
Сервер

Код:
port 1194
proto udp
dev tap
 
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh1024.pem
 
# В этом файлеге соответствие клиентов (ключей) присваимым IP,
# если в файле клиента нет - присваивается из свободного пула
ifconfig-pool-persist ipp.txt
 
# IP OpenVPN сервера, маска, начало_пула_клиентских_IP, конец пула
server-bridge 192.168.1.6 255.255.255.0 192.168.1.150 192.168.1.165
 
# Маршрутв, добавляемые на клиенте
# на сети, видимые с OVPN сервера
push "route 192.168.0.0 255.255.255.0"
 
client-to-client
 
keepalive 10 60
 
# Select a cryptographic cipher.
;cipher BF-CBC        # Blowfish (default)
;cipher AES-128-CBC   # AES
;cipher DES-EDE3-CBC  # Triple-DES
cipher none
 
# Enable compression on the VPN link.
;comp-lzo
 
max-clients 10
 
verb 1
mute 10

ipp.txt

Код:
 
diler,192.168.1.160
office,192.168.1.161
admin,192.168.1.162

 
Клиент:

Код:
 
client
dev tap
proto udp
nobind
resolv-retry infinite
 
# Указать адрес и порт OpenVPN сервера
remote aaa.bbb.ccc.ddd 1194
 
ping-restart 60
ping 10
 
# Указать имя ключевого файла
pkcs12 admin.p12
 
# Выбор метода шифрования. Сильно снижает скорость и грузит проц.
# Должно быть одинаково с сервером!!!
;cipher BF-CBC        # Blowfish (default)
cipher none
 
# Если компрессия не нужна - закоментировать. Должно быть одинаково с сервером!!!
;comp-lzo
 
# Set log file verbosity.
verb 1
mute 10
 

IP из директивы server-bridge (192.168.1.6) должен быть присвоен мосту на сервере. Остальные IP не должны пересекаться с существующими, имена в ipp.txt соответствуют именам Commno Name, введенным при генерации ключа, ключи лучше генерить сразу в pkcs12 формате. Естественно, файр на сервере должен быть отключен полностью для интерфейса OVPN.  
Директивы port и nobind на клиенте - взаимоисключающие.  
Если что-то не работает, посмотри логи OVPN в каталоге \log. на сервере служба OpenVPNService должна стоять в автостарте, а не запускаться через ГУЙ.
Директивы persist-key и persist-tun на время отладки закомментируй, только мешают.
Копай. и не забывай об мануалах (из предыдущего моего поста.
Всего записей: 1838 | Зарегистр. 16-12-2005 | Отправлено: 14:04 20-01-2011
newhk



BANNED		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
andrejvb
 
Спасибо
Всего записей: 400 | Зарегистр. 02-02-2009 | Отправлено: 09:26 21-01-2011 | Исправлено: newhk, 09:27 21-01-2011
omihaz



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Никто не знает как помочь с моей проблемой? Вроде казалось не хватает самого малого, но не знаю чего.
Вроде все необходимые данные представил.
Всего записей: 205 | Зарегистр. 21-09-2006 | Отправлено: 00:54 22-01-2011
rain87



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
omihaz
лень расписывать, как я понял ситуацию, но если я правильно понял, то несколько замечаний:
ты говоришь, прописал на серваке правило
Цитата:
iptables -t nat -A PREROUTING -s 7.7.7.7 -p tcp --dport 808 -j DNAT --to-destination 172.17.0.100  
в чём его смысл? по идее ж надо -d 7.7.7.7
и второе. скорей всего, надо добавить правило снат -
iptables -t nat -A POSTROUTING -d 7.7.7.7 -p tcp --dport 808 -j SNAT --to-source 172.17.0.1
172.17.0.1 - овпн адрес сервера

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat
Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 13:09 22-01-2011 | Исправлено: rain87, 14:04 22-01-2011
omihaz



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сделал так, изменил -s на -d. Добавил правило SNAT как у вас. Все осталось так же - timeout. К сожалению, наверное зря я такое затеял. Но спасибо за помощь. Хоть попробовали.
Всего записей: 205 | Зарегистр. 21-09-2006 | Отправлено: 03:29 26-01-2011
bubuadmin

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день. Помогите разобраться.  
Прокси сервер, на 20 компов, раздает инет, на одном запущен openvpn.  
Как сделать общий доступ с других машин к сети openvpn? Еще момент что подключенная через openvpn машина основню сеть уже не видит. Основная сеть, 192.168.0.1 Сеть openvpn 172.16.0.5  
Пробовал прописывать статические маршруты, но результат..
Всего записей: 3 | Зарегистр. 29-01-2011 | Отправлено: 12:21 30-01-2011
andrejvb

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bubuadmin
Тип подключения tun или tap? Конфиги - в студию!
Всего записей: 1838 | Зарегистр. 16-12-2005 | Отправлено: 13:53 30-01-2011
bubuadmin

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
client
dev tun
proto udp
remote 89.105.245.28
port 5500
resolv-retry infinite
ca ca.crt
cert client.crt
key client.key
tls-client
tls-auth ta.key 1
auth MD5
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
verb 3
 
Добавлено:
Настройки основн сети 192.168.0.2-100 255.255.255.0 шлюз и dns 192.168.0.1
Настройки сети openvpn когда подкюч. 172.16.0.10 255.255.255.252  
dhcp 172.16.0.5
dns 192.168.0.2
wins 192.168.0.2
Всего записей: 3 | Зарегистр. 29-01-2011 | Отправлено: 10:16 31-01-2011
altpas



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
подскажите, пожалуйста, возможно ли с помощью OpenVPN открыть только один Ip-адрес из внешней подсети для внутренней?
Всего записей: 35 | Зарегистр. 29-06-2008 | Отправлено: 06:21 02-02-2011
alexsniper

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
опенвпн поднят серв на убунте клиенты виндов тип тюн тап клиенты присоединяются пинги между клиентами идут до сервера тоже все гуд но мне надо пустить брут каст в тунел впн при том чтобы клиенты не использовали впн как основной шлюз а то весь трафик клиента мне ненадо.  
плз кто знает подскажи а то уже голову сломал себе.
Всего записей: 3 | Зарегистр. 02-02-2011 | Отправлено: 20:55 02-02-2011
alexsniper

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
10.255.255.255 - 255.255.255.255 - 10.8.0.6 - 10.8.0.6 - 30
это строка маршрутизации на клиенте при подключенном впне она означает если я не ошибаюсь что бруткасты идут на виртуальный интерфейс впна - ответов на бруты я не получаю - логично предположить что интерфейс тюн0 на сервере их не пропускает.
вопрос как разрешить пропускание широковещания на интерфейсе тюн0.
Всего записей: 3 | Зарегистр. 02-02-2011 | Отправлено: 11:32 03-02-2011
LuceferAB

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, как реализовать такое извращение:
 
Исходные данные:
Есть офис с компом, у которого платный выход в интернет, но бесплатный доступ к определенным внутренним IP. На этом компе две сетевухи - одна смотрит в интернет, с внешним динамическим IP, вторая во внтуреннюю сеть 192.168.0.0/24 на этой сетевухе поднят NAT (+установлен траффик инстпектор, но это не важно). У компов сейчас указываются IP 192.168.0.X, шлюз (192.168.0.1) и соответственно DNS.
 
Есть домашний комп с безлимитным интернетом, и статическим белым IP который входит в диапазон бесплатных для компьютера из офиса. Есть желание пустить траффик из офиса через тунель внуть домашнего компа, а там уже завернуть его в интернет. Таким образом экономя деньги для офиса.  
 
Домашняя сеть организована таким образом. Выход через роутер (на котором также есть WiFi доступ) на роутере поднимается PPTP соединение с провайдером для доступа интренет. Внутренний IP роутера 10.254.254.1, Внутренняя сеть из пары компов и ноутов - 10.254.254.0\24 В настройках роутера выставлено перенаправление входящих портов TCP/UDP скажем 11111-11222 на внтуренний комп 10.254.254.2. Т.е. комп 10.254.254.2 становится доступным из вне, и на нем можно установить OpenVPN.
Но тут возникает вопрос - как правильно и на каких компах указать маршруты, чтобы из офиса, с компьютеров 192.168.0.X получить доступ через VPN внутрь домашнего компа и выходить в интернет уже через него.  
 
Или это можно сделать как-то проще. Думал на счет виндового VPN, но не уверен что он сможет пройти сквозь маршрутизатор.
 
Добавлено:
Т.е. достаточно ли будет просто взять, на домашнем компе установить OpenVPN, разрешить ICS на интерфейсе который смотрит в роутер (с интернетом)
 
а на машине серера в офисе на интерфейсе OVPN также разрешить доступ через ICS
Тогда все машины внутренней подсети будут ходить в интернет через тунель OVPN.
А как на самом этом компе пустить весь трафик через OVPN?
Всего записей: 4 | Зарегистр. 10-07-2008 | Отправлено: 16:39 16-02-2011
rain87



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
LuceferAB
да, по идее всё как ты описал - пробрасываешь какой то порт с роутера в домашний компьютер, на домаешнем компе на этом порту поднимаешь овпн и открываешь общий доступ в инет для овпна
а на рабочем настраиваешь клиент овпн, который коннектится к домашнему, и открываешь общий доступ в овпн для всей сети. всё должно работать

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat
Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 20:11 16-02-2011
Elected1111



Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Уважаемые знатаки подскажите пожалуйста стоял openvpn-2.0.9 на Windows XP поставил Windows 7 служба не запускается пишет "Ошибка 1075:Дочерняя служба не существует или была отмечена для удаления."
Можно както запустить эту службу?
Всего записей: 321 | Зарегистр. 27-09-2009 | Отправлено: 20:16 16-02-2011
d0r0fey



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LuceferAB
Когда-то два роутера wrt54gl были соединены по openvpn. Весь интернет трафик с рабочего роутера уходил по vpn через внутреннюю сеть провайдера на домашний роутер, а через домашний в интернет. Отказались от этого, потому что домашний интернет по надежности совсем плох, да ещё и пинги возросли в два раза.
Решили проблему экономии денег на интернет просто - дали денег телефонистам и они нам соединили свободную пару на работе с домашним номером.
Всего записей: 1364 | Зарегистр. 13-03-2009 | Отправлено: 21:37 17-02-2011
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru