WarlockNT Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Тема в Программах OpenVPN OpenVPN - свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами находящимися за NAT-firewall без необходимости изменения его настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL. Официальный сайт Страница загрузки OpenVPN GUI for Windows || The Windows installers are bundled with OpenVPN-GUI Настройка OpenVPN сервера под Windows Документация (на английском) OpenVPN Windows HowTo (на английском) OpenVPN HowTo (на русском) Документация на русском OpenVPN for PocketPC FAQ • Генерация сертификатов и ключей - сертификаты и ключи нужны только при TLS-аутентификации (--tls-server или --tls-client) • Как прописать сертификаты прямо в конфиг клиента. • Разрешить запуск и остановку службы openvpnservice обычным пользователям без прав администратора можно бесплатной утилитой svcadmin (см. "Демонстрационные программы", зеркало). Всего записей: 210 | Зарегистр. 20-01-2003 | Отправлено: 07:48 01-08-2005 | Исправлено: shrmn, 11:53 29-05-2022

SemV Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary Смысл... не хочу оставлять лишних следов. Portable при выходе позволяет удалить драйвер. Всего записей: 43 | Зарегистр. 05-07-2006 | Отправлено: 17:06 15-06-2015

MENN Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Помогите пожалуйста как средствами OpenVPN решить задачу   Как получить доступ к Device от client 1   Между собой client1 видит сервер и видит client2   Всего записей: 297 | Зарегистр. 12-02-2003 | Отправлено: 21:10 15-06-2015 | Исправлено: MENN, 10:12 17-06-2015

MENN Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Да извините, точно забыл указать адрес, поправил .   Device он такой девайс - оборудование которое подключено к client2 и сним ничего нельзя сделать, причем через маппер по портам я могу получить то что хочу но мне интересно попасть на него с client1 как бы видеть его, как будто я сижу на client 2.   client2 тоже специфический MAC (вроде нашел OpenVPM под MAC Os) Всего записей: 297 | Зарегистр. 12-02-2003 | Отправлено: 22:24 15-06-2015 | Исправлено: MENN, 22:30 15-06-2015

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору MENN Цитата: Как получить доступ к Device от client 1   1. На сервере должен быть указан маршрут к сети 192.168.0.0   через клиента 1 (директива iroute ) 2. Девайс должен быть в сети 192.168.0.0, иначе его не увидит даже клиент 1. Если он подключен к клиент 1 через второй адаптер, это дополнительный геморрой. 3. У клиента 2 сервер должен быть дефолт шлюзом, либо прописан маршрут в сеть 192.168.0.0 через сервер. 4. На девайсе должен быть прописан маршрут к сети 192.168.68.0 через клиент 1. 5. На клиент 1 через реестр должна  быть разрешена маршрутизация.   ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 22:29 15-06-2015

MENN Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору к сожалению на девайсе ничего нельзя сделать, это прибор он подключен физически к отдельному сетевому адаптеру, поправил картинку.   на клиенте 1 и клиенте 2 прописал redirect-gateway def1 - ходят в интернет через openvpn   Всего записей: 297 | Зарегистр. 12-02-2003 | Отправлено: 23:01 15-06-2015 | Исправлено: MENN, 10:11 17-06-2015

MENN Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору еще момент сижу и думаю tap или tun лучше использовать     может есть смысл OpenVPN сервер в подсети 169.254.0.0 сделать ?   Всего записей: 297 | Зарегистр. 12-02-2003 | Отправлено: 20:03 16-06-2015 | Исправлено: MENN, 20:06 16-06-2015

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору MENN Каким манером? Если девайс со своей сетевой картой? Не морочь себе голову, пусть клиент 1 ходит на клиент 2 по RDP. VNC, Radmin, TeamViewer, и оттуда любуется девайсом до посинения. ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 22:52 16-06-2015 | Исправлено: vlary, 22:54 16-06-2015

MENN Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору сервер 169.254 на удаленном компе где девайс, второй сетевой бриджуется с OpnVPN, все видится и работает. Всего записей: 297 | Зарегистр. 12-02-2003 | Отправлено: 10:10 17-06-2015

Gaiverxxi Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Думаю вопрос уже обсуждался , но он интересен .   Есть домен , в нем настроен сервер openvpn sert+key авторизация . В домене 2 подсети , нужен только доступ к ресурсу серверов обеих подсетей (отлично работает). Проблем 2 . 1. Пользователь на своих компах должен запускать от имени админа . Это не подходит . какие политики должны быть добавлены в домен , разрешающие вносить приложению опенвпн маршруты на локальном компе пользователя при помощи утилиты route.exe (формулировка не очень,общий с мысл понятен) 2. в сети домена , есть впн шлюз в большую корпоративную сеть. Для правильной маршрутизации трафика пакеты нужно сразу на шлюз в  большую сеть отправлять или сначало на впн сервер а он       уже на  отправляет пакеты на шлюз ??? Всего записей: 27 | Зарегистр. 23-07-2012 | Отправлено: 01:31 23-06-2015

admin931 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Думаю вопрос уже обсуждался , но он интересен .   Есть домен , в нем настроен сервер openvpn sert+key авторизация . В домене 2 подсети , нужен только доступ к ресурсу серверов обеих подсетей (отлично работает). Проблем 2 . 1. Пользователь на своих компах должен запускать от имени админа . Это не подходит . какие политики должны быть добавлены в домен , разрешающие вносить приложению опенвпн маршруты на локальном компе пользователя при помощи утилиты route.exe (формулировка не очень,общий с мысл понятен) 2. в сети домена , есть впн шлюз в большую корпоративную сеть. Для правильной маршрутизации трафика пакеты нужно сразу на шлюз в  большую сеть отправлять или сначало на впн сервер а он       уже на  отправляет пакеты на шлюз ???     по 1-му вопросу: а) - есть бесплатные тулзы типа adminlink которые позволяют запускать софт от имени другого пользователя не сообщая пользователю логин/пароль (дыра конечно, но пользователи не блещут умом - прокатывает) б) - есть вариант повесить VPN как службу - всегда включена, всегда на связи (минус - спам в логах о потери связи с сервером, наглядно не видно есть коннект или нет) в) - права админа не нужны - нужны права на добавление маршрутов - т.е. "менеджера сети"   + меньше прав чем у админа - пользователь может отключить сеть...     г) если известны сервера и их ресурсы - то возможно на шлюзе-vpn-server`e можно сделать проброс портов + очень безопасно,   + не требует от пользака вообще ничего - не все можно пробросить     для ответа на второй вопрос необходимо видеть схему подключения  внешнего клиента и офисов между собой   из практики скажу, что УДОБНЕЕ иметь один шлюз в офисе-филиале нежели шлюз и vpn сервер  по отдельности...   рулить правилами просто удобнее.         Добавлено: Цитата: Gaiverxxi вот такая мысль. почему бы не реализовать VPN подключение средствами windоws?   встроенный vpn - надежностью не хвастается...   а если ставить на винду тот-же OpenVPN - то особой разницы нет разве, что фаервол настраивать на сервере средствами винды придется.   по практике выставлять винду наружу - не рекомендуется. тут и проблема в безопасности последней, и в ресурсах винда сожрет значительно больше чем любые *никсы с задачей маршрутизатора-vpn   Всего записей: 214 | Зарегистр. 07-12-2005 | Отправлено: 18:18 25-06-2015 | Исправлено: admin931, 18:27 25-06-2015

admin931 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: встроенный vpn - надежностью не хвастается...   даже в качестве клиента? а какая разница? клиент не надежен или сервер?   M$ приближается к пути, по которому выпуск мега-баговонного софта  - это правильно, ибо позволяет  побольше продать потом своих обновлений... но это все лирика. Тема про OpenVPN, и обсуждать другое нужно в других темах. лично мое мнение: преимущество OpenVPN перед другими вариантами - Безопасность* и возможность глубокой настройки под свои нужды. На чем он будет стоять - особой разницы нет. настройка фаерволов и прочих фильтров - это задачи совсем не OpenVPN, хотя некоторые вещи он и умеет.   * - при правильной настройке.   Всего записей: 214 | Зарегистр. 07-12-2005 | Отправлено: 12:17 26-06-2015

Gaiverxxi Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: б) - есть вариант повесить VPN как службу - всегда включена, всегда на связи (минус - спам в логах о потери связи с сервером, наглядно не видно есть коннект или нет) Тут все упирается в наличие паролей для подключения(аутентификация на сервере ВПН по сертификату и пользователю паролю)  или в реализацию скриптов с правами администратора.   пробовал способ с локальными админами , но получил огромную дыру в безопасности. Если есть возможность , подробнее расскажите о   Цитата: в) - права админа не нужны - нужны права на добавление маршрутов - т.е. "менеджера сети"   + меньше прав чем у админа   - пользователь может отключить сеть... у пользователя появляется ограниченный доступ к серверу. можно ли реализовать это частичным добавлением политик     Цитата: г) если известны сервера и их ресурсы - то возможно на шлюзе-vpn-server`e можно сделать проброс портов   + очень безопасно,   + не требует от пользака вообще ничего   - не все можно пробросить   к сожалению к маршрутизации трафика на корпоративном впн доступа не имею(он настраивается корпоративными айти , они инфу эту не выдают ). Корпорация лишь дает  скромные рекомендации по айпипулам для филиала , все остальное забирает на себя .   З.Ы. Система досталась по наследству , общий поверхностный аудит выявил несколько дырок. 80% решилось с ужесточением сетевых политик и отключение служб , остальные связаны с серверами, тут помогли анализаторы трафика. Я не супер-мега-крутой администратор , возможно чтото не нашел .   З.З.Ы. В связи с наличее общих ресурсов с филиалами , администраторам которых я могу что-то лишь рекомендовать , думаю проблема безопасности не так остра как я это вижу , но хотелось бы сделать чтото лучшее чем просто както ))))))   Спасибо за ответ , посмотрю в сторону сервера на дебиане. Всего записей: 27 | Зарегистр. 23-07-2012 | Отправлено: 23:08 29-06-2015

admin931 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Для начала лирика о правах доступа: для самого OpenVPN, после его установки, права больше пользовательских не нужны. в таком состоянии он способен соединиться с сервером и прописать прямой маршрут к внутренней сети OpenVPN   но права могут понадобиться чтобы прописать дополнительные маршруты и правила локального брендмауэра - фаервола. в русской версии win7  такими правами обладают пользователи группы  "Операторы настройки сети"   цитата: Цитата: Члены этой группы могут иметь некоторые административные права для управления настройкой сетевых параметров софт такие пользователи ставить не смогут, но вот настройки сети поменять могут любые...   Цитата: Тут все упирается в наличие паролей для подключения(аутентификация на сервере ВПН по сертификату и пользователю паролю) по дефолту как-раз таки нет... поясняю: обычно для авторизации применяют ключ-сертификат,   который и обеспечивает связь и ее безопасность. но ключ теоретически можно скопировать и потерять, поэтому для его защиты его шифруют паролем пользователя.   если вы будете его ставить на сервер - за которым локально не будут работать другие пользователи. то ключ   можно расшифровать/установить пустой пароль или запустить сервис с ключами с указанием пароля. этот вопрос можно проверить - пароль можно сменить локально через GUI. (бекап ключей перед этим сделать настоятельно РЕКОМЕНДУЮ!) пустой пароль можно задать только через консоль =)     Цитата: у пользователя появляется ограниченный доступ к серверу. можно ли реализовать это частичным добавлением политик через политики можно все =) в данном случае на компьютере, где будет работать OpenVPN-клиент,  пользователя из под которого будет запущен сервис нужно добавить в указанную выше группу. Как вы это сделает не суть важно - можно и через политики.   лично я пользователям не особо доверяю, поэтому у меня есть еще прослойка в виде admilink (прочитать можно "тут" в итоге пользователь кликает отдельный ярлычек на рабочем столе, и соединяется. с помощью программы я "ограничиваю" их в пределах привилегированной программы - OpenVPN Gui которая имеет доступ только к ключам (ставиться отдельно) и управлению сетью...   что касается НУ ОЧЕНЬ ПЫТЛИВЫХ пользователей - в жизни таких пока еще не втречал. и предпринятых мер более чем достаточно   защиты от специалиста который, вдруг захочет что-то от вас получить, нет и быть не может.   Цитата: посмотрю в сторону сервера на дебиане рекомендую смотреть сразу в сторону виртуального... с обновлением железа будет значительно проще. да и поднимать, при сбоях, удобнее.   все это могу даже показать (если нужно письмо в личку)     Всего записей: 214 | Зарегистр. 07-12-2005 | Отправлено: 01:21 02-07-2015 | Исправлено: admin931, 01:22 02-07-2015

suvolod Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Подскажите, у меня есть две vpn сетки: 10.192.100.0 и 10.192.111.0.   Хочется настроить одновременное автоматическое подключение к этим сеткам, т.е. чтобы после перезагрузки ПК (ОС Windows XP) у меня автоматом поднимались 2 vpn-соединения.     Подскажите, как это можно реализовать? Всего записей: 526 | Зарегистр. 18-10-2004 | Отправлено: 00:13 05-07-2015

admin931 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору самый простой: отказаться от сервиса и сделать два ярлыка с параметрами в автозагрузку   Всего записей: 214 | Зарегистр. 07-12-2005 | Отправлено: 12:24 05-07-2015

VENIKcheg Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Помогите пожалуйста, устанавливаю OpenVPN 2.3.8 на windows server 2008 R2 вроде все норм устанавливается, однако tap-windows adapter V9 ни в какую не хочет запускаться. все время состояние отключено. Пробовал его переустанавливать, не помогает, на другом сервере все норм работает(( Всего записей: 21 | Зарегистр. 21-07-2006 | Отправлено: 03:51 07-09-2015 | Исправлено: VENIKcheg, 04:02 07-09-2015

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору VENIKcheg Поставь на свою винду SoftEther сервер и не мучайся. ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 15:07 07-09-2015

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование