Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Открыть новую тему     Написать ответ в эту тему

WarlockNT



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тема в Программах



OpenVPN - свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами находящимися за NAT-firewall без необходимости изменения его настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL.

Официальный сайт
Страница загрузки
OpenVPN GUI for Windows || The Windows installers are bundled with OpenVPN-GUI
Настройка OpenVPN сервера под Windows
Документация (на английском)
OpenVPN Windows HowTo (на английском)
OpenVPN HowTo (на русском)
Документация на русском
OpenVPN for PocketPC


FAQ
Генерация сертификатов и ключей - сертификаты и ключи нужны только при TLS-аутентификации (--tls-server или --tls-client)
Как прописать сертификаты прямо в конфиг клиента.
• Разрешить запуск и остановку службы openvpnservice обычным пользователям без прав администратора можно бесплатной утилитой svcadmin (см. "Демонстрационные программы", зеркало).

Всего записей: 210 | Зарегистр. 20-01-2003 | Отправлено: 07:48 01-08-2005 | Исправлено: shrmn, 11:53 29-05-2022
Vertuhay

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Добрый день! такая вот ситуация:  Две сети связаны OpenVPN. Рабочая сеть 192.168.0.0, домашняя 192.168.1.0. В домашней сети 192.168.1.1 - adsl роутер, на котором 666 порт проброшен на 192.168.1.7:666 где висит OpenVPN
сервер. На работе 192.168.0.1:3128 - squid. 192.168.0.242 - моя машина, с которой все и начинается.
 
Конфигурация сервера на 192.168.1.7(дом):
dev tap
proto tcp-server
port 666
ifconfig 172.16.0.1 255.255.255.0
secret key.txt
comp-lzo
Конфигурация клиента на 192.168.0.242(работа):
remote XXXX.no-ip.org 666
proto tcp-client
dev tap
ifconfig 172.16.0.2 255.255.255.0
secret key.txt
comp-lzo
 
В домашней сети на 192.168.1.7 работает no-ip-клиент, чтобы добраться до всего этого можно было.
Итак VPN-клиент с работы через squid соединяется проходит роутер и устанавливается соединение. Все ОК.
из 192.168.0.242(на работе)(172.16.0.2) пингуется домашний vpn-интерфейс 172.16.0.1. Обратно тоже пинг ходит.
Далее ставлю сниффер дома на VPN-интерфейс и на работе. Делаю с машины на работе 192.168.0.242 пинг 192.168.1.7 - сниффер на домашнем VPN ничего не показывает, прописываю на работе (192.168.0.242)  
route add 192.168.1.0 mask 255.255.255.0 172.16.0.1
опять делаю с работы(192.168.0.242) ping 192.168.1.7 - сниффер на домашнем VPN показывает что пакеты приходят для
192.168.1.7, ответов нет. Попробовал прописать на дромашнем 192.168.1.7
route add 192.168.1.0 mask 255.255.255.0 192.168.1.7 - говорит что такое правило уже есть, что логично.. route print  
подтвердил. в обратном направлении тоже самое..  На домашнем прописал обратный маршрут
route add 192.168.0.0 mask 255.255.255.0 172.16.0.2 - не помогло.
Собсно вопрос, что я недоделал или поломал и где грабли.. Windows FireWall отключен в обоих местах. Спасибо.
После установки VPN соединения на 192.168.0.242: IPv4 таблица маршрута
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0               5.0.0.1     5.83.211.234   9256
          0.0.0.0          0.0.0.0               192.168.0.1    192.168.0.242    276
          5.0.0.0        255.0.0.0             On-link           5.83.211.234   9256
     5.83.211.234  255.255.255.255     On-link           5.83.211.234   9256
    5.255.255.255  255.255.255.255    On-link           5.83.211.234   9256
        127.0.0.0        255.0.0.0            On-link           127.0.0.1    306
        127.0.0.1  255.255.255.255       On-link           127.0.0.1    306
  127.255.255.255  255.255.255.255  On-link           127.0.0.1    306
       172.16.0.0    255.255.255.0       On-link            172.16.0.2    286
       172.16.0.2  255.255.255.255      On-link           172.16.0.2    286
     172.16.0.255  255.255.255.255    On-link            172.16.0.2    286
      192.168.0.0    255.255.255.0       Оn-link           192.168.0.242    276
    192.168.0.242  255.255.255.255    On-link           192.168.0.242    276
    192.168.0.255  255.255.255.255    On-link           192.168.0.242    276
      192.168.1.0    255.255.255.0       172.16.0.1      172.16.0.2     31
     192.168.83.0    255.255.255.0       On-link          192.168.83.1    276
     192.168.83.1  255.255.255.255     On-link           192.168.83.1    276
   192.168.83.255  255.255.255.255    On-link          192.168.83.1    276
    192.168.189.0    255.255.255.0      On-link          192.168.189.1    276
    192.168.189.1  255.255.255.255     On-link          192.168.189.1    276
  192.168.189.255  255.255.255.255    On-link          192.168.189.1    276
        224.0.0.0        240.0.0.0            On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0            On-link         5.83.211.234   9256
        224.0.0.0        240.0.0.0            On-link         192.168.83.1    276
        224.0.0.0        240.0.0.0            On-link         192.168.189.1    276
        224.0.0.0        240.0.0.0            On-link         172.16.0.2    286
        224.0.0.0        240.0.0.0            On-link         192.168.0.242    276
  255.255.255.255  255.255.255.255     On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255     On-link      5.83.211.234   9256
  255.255.255.255  255.255.255.255     On-link      192.168.83.1    276
  255.255.255.255  255.255.255.255     On-link     192.168.189.1    276
  255.255.255.255  255.255.255.255     On-link        172.16.0.2    286
  255.255.255.255  255.255.255.255     On-link     192.168.0.242    276
 
После установки VPN соединения на 192.168.1.7: IPv4 таблица маршрута
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0                192.168.1.1      192.168.1.7     20
        127.0.0.0        255.0.0.0             On-link             127.0.0.1    306
        127.0.0.1  255.255.255.255        On-link              127.0.0.1    306
  127.255.255.255  255.255.255.255   On-link              127.0.0.1    306
       172.16.0.0    255.255.255.0        On-link              172.16.0.1    286
       172.16.0.1  255.255.255.255       On-link              172.16.0.1    286
     172.16.0.255  255.255.255.255     On-link              172.16.0.1    286
      192.168.0.0    255.255.255.0       172.16.0.2          172.16.0.1     31
      192.168.1.0    255.255.255.0        On-link              192.168.1.7    276
      192.168.1.7  255.255.255.255      On-link              192.168.1.7    276
    192.168.1.255  255.255.255.255     On-link             192.168.1.7    276
     192.168.56.0    255.255.255.0       On-link              192.168.56.1    276
     192.168.56.1  255.255.255.255      On-link             192.168.56.1    276
   192.168.56.255  255.255.255.255    On-link              192.168.56.1    276
        224.0.0.0        240.0.0.0            On-link              127.0.0.1    306
        224.0.0.0        240.0.0.0            On-link              192.168.56.1    276
        224.0.0.0        240.0.0.0            On-link              192.168.1.7    276
        224.0.0.0        240.0.0.0            On-link              172.16.0.1    286
  255.255.255.255  255.255.255.255     On-link            127.0.0.1    306
  255.255.255.255  255.255.255.255     On-link            192.168.56.1    276
  255.255.255.255  255.255.255.255     On-link            192.168.1.7    276
  255.255.255.255  255.255.255.255     On-link            172.16.0.1    286
===========================================================================

Всего записей: 88 | Зарегистр. 26-05-2005 | Отправлено: 17:57 14-08-2012 | Исправлено: Vertuhay, 18:15 14-08-2012
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Vertuhay
Цитата:
через squid соединяется
ну это вряд ли, он скорее просто натится мимо кальмара.
 
Что касается Вашей проблему то надо на сервере описать client-config-dir /full/path/to/ccd и создать там соответсвующий файл для клиента с описанием iroute. Должно хватить только этого. Если будет мало то надо будет на в серверном конфиге route прописать.
 
Всё дело в том, что маршрутизация в системе и той которой оперирует OpenVPN отличается и вынуждено дублируется настройками.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 21:16 14-08-2012
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alukardd
openvpn отлично работает через сквид - я его поэтому и пользую, что он работает везде, где работает https . Для прокси это обычный https трафик

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 21:24 14-08-2012
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tankistua
Спасибо) Я знаю как работает CONNECT в squid и что из себя представляет OpenVPN трафик, но я не заметил упоминания о том, что трафик идущий на dport 666 должен редиректится на кальмара, посему его упоминание в схеме излишне.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 23:08 14-08-2012
Vertuhay

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Alukardd
tankistua
Да, я не написал что OpenVPN работает через проксю на работе, но это так.. При соединении я ввожу учетные данные для прокси.  
AlukarddЕсли можно немного подробней о маршрутизации для OpenVPN, так как мне всеже неясно почему не работает системная маршрутизация. Для ясности на обоих машинах Win 7. Спасибо.

Всего записей: 88 | Зарегистр. 26-05-2005 | Отправлено: 10:02 15-08-2012
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Vertuhay
Что там винда, я и так уже понял.
Ну собственно всё просто. OpenVPN использует свою внутреннюю маршрутизацию. Помимо этого ему нужна и общесистемная что бы пакеты попадали в его виртуальную сеть.
Подробности как всегда на официальном сайте.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 10:34 15-08-2012
FiftySixty

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Как объединить две open vpn сети?

Всего записей: 3 | Зарегистр. 15-05-2010 | Отправлено: 21:14 15-08-2012
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
руками

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 21:17 15-08-2012
FiftySixty

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А чуть подробнее? Гугл показывает как объединить лок сети через нет или неск компов через нет. А именно две сети open vpn? Куда копать? Серваки обеих сетей на дебиане.

Всего записей: 3 | Зарегистр. 15-05-2010 | Отправлено: 21:19 15-08-2012 | Исправлено: FiftySixty, 21:21 15-08-2012
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
FiftySixty
temporary hidden

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 21:27 15-08-2012 | Исправлено: Alukardd, 14:05 16-08-2012
admin931



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
вот читаю я все это и понимаю, что народ вообще мало что понимает из названия VPN... а жаль.
Ну а если сравнить с чем-нибудь, то может станет понятнее...
Вот к примеру сравним наш VPN со "шлангом", подключенным к бочке с пивом. И все сразу станет понятнее.
Тогда бочка - это сервер VPN, Пиво - ресурс к которому мы хотим получить доступ.
Краник на бочке - это наши фаерволы, правила маршрутизации, которые нужно правильно настроить.
 
для объединения сетей (бочек с пивом) - нужно чтобы на каждой бочке был открыт краник (т.е. настроена маршрутизация, прописаны нужные разрешения фаерволов).
В нашем случае не важно кто будет Большой бочкой (сервером).
Также Большая бочка может открывать чужой краник (передавать настройки маршрутизации клиенту), но только при условии, что пользователь (от имени которого работает клиент) имеет права настраивать маршрутизацию (для виндов - это, или права администратора, или права менеджера настройки сети.)  
 
у windows 7 по-умолчанию, даже имея права локального администратора, требуется подтвердить свои желания дополнительно. (этакий сторож у нашего краника не позволяет нам его повернуть не предъявив свой пропуск)
По-этому и GUI нужно запускать изначально с повышенными привилегиями.  
 
Ну незнаю как вам, а мне не нравится, когда у пользователя, есть какие либо права в системе(вдруг он к чужой бочке подключится и будет пиво чужое отливать или наоборот мое пиво в домашнюю бочку сливать), поэтому я для запуска приложений требующих повышения повышения использую модифицированный ярлык созданный программой adminlink (была бесплатной, автор писал, что подумает над GNU лицензией)

Всего записей: 214 | Зарегистр. 07-12-2005 | Отправлено: 14:02 16-08-2012
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
admin931
Вся речь была ради последней ссылки? Ну тогда вброшу свои 5 копеек к ней, я использовал для таких целей batch+cpau+bat to exe converter.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 14:10 16-08-2012
korn3r



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
admin931
а не проще запускать овпн как сервис и просто выдать юзеру права на старт\стоп?
 
небольшая инструкция (для тех, кто не умеет)

Всего записей: 496 | Зарегистр. 19-10-2005 | Отправлено: 12:11 17-08-2012 | Исправлено: korn3r, 15:26 17-08-2012
admin931



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
вариант тоже интересный, но админлинк универсальное и более быстрое средство.

Всего записей: 214 | Зарегистр. 07-12-2005 | Отправлено: 16:45 17-08-2012
korn3r



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
1 минута чтобы сделать сервисом, куда уж быстрее? при этом не надо ставить левый софт, который судя по ченжлогу еще и баги имеет различные
+ это все таки сервис. а значит работает независимо от того залогинился юзер, или нет

Всего записей: 496 | Зарегистр. 19-10-2005 | Отправлено: 17:35 17-08-2012
admin931



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я не писал, что ваш вариант плохой, просто мой вариант универсальный, так как можно использовать для любых программ. (не только тех, что могут быть сервисными, не нужно лезть в реестр и т.п.)
Ну лично мое мнение. Я предложил как один из вариантов.  Если вы не согласны, мы можем продолжить переписку в личном общении или новой теме, так как дальнейшее обсуждение,  выходит за рамки этой темы.

Всего записей: 214 | Зарегистр. 07-12-2005 | Отправлено: 00:36 18-08-2012
AndreyKaRu



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем привет!
 
ПРИ ПЕРЕДАЧИ ПОЧТОВОГО ТРАФИКА ПО VPN-тунелю ПИСЬМА ОТПРАВЛЕННЫЕ ОТ OpenVPN-КЛИЕНТА ДОХОДЯТ ПОВРЕЖДЕННЫМИ! Получение почты работает нормально.
 
Виртуальный Сервер OpenVPN (последняя версия) установлен на физическом Сервере с ОС win2008.
На win2008 крутится почтовый сервер MDemon. Из локалки почтовик работает давно и успешно.
 
Папки на шарах клиента и сервера открываются нормально. Пинг соответственно...
 
Похоже при прохождении через тунель кто-то "съедает" заголовок письма.
 
OpenVPN сервер настроен на тунель по протоколу UDP.
 
Текст полученного письма
 
Причем, иногда письма доходят целыми((
 
ВОПРОС: КУДА КОПАТЬ?

Всего записей: 2 | Зарегистр. 21-01-2010 | Отправлено: 19:38 30-08-2012 | Исправлено: AndreyKaRu, 19:40 30-08-2012
webstghost

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сервер centos, клиент win, tun, udp, сжатие есть comp-lzo. Потери скорости более чем в 5 раз. Канал широкий, сервер не загружен. Пробовал менять алгоритм на AES-256-CBC, престает работать вообще - траф не проходит во внешнюю сеть. Тупо в конфигах на сервере и клиенте выставил cipher AES-256-CBC и рестартнул сервис, больше ничего не менял. В openvpn --show-digests вариант AES-256-CBC присутствует.

Всего записей: 43 | Зарегистр. 30-01-2010 | Отправлено: 23:08 09-09-2012
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
webstghost
Эм... а скорость--то в итоге какая? 1 — у VPN как ни крути есть накладные расходы, хотя в 5 раз это перебор. 2 — обычно дело упирается в скорость шифрования и зависит от проца. Обращаю внимание, что смотреть надо не общую загрузку, а загрузку по ядрам, т.к. OpenVPN работает на одном ядре.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 00:31 10-09-2012
Raz0rnsk

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Добрый день.
Есть рабочий пк, находящийся на натом, доступа к шлюзу нет.
Сейчас для доступа к этому пк удаленно использую тимвьювер, но хотелось бы исключить "левые" сервера и отзывчивость работы. Имеется ли возможность построить vpn-туннель, при невозможности проброса порта 1194?

Всего записей: 338 | Зарегистр. 26-10-2007 | Отправлено: 09:23 10-09-2012
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru