Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Открыть новую тему     Написать ответ в эту тему

WarlockNT



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тема в Программах



OpenVPN - свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами находящимися за NAT-firewall без необходимости изменения его настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL.

Официальный сайт
Страница загрузки
OpenVPN GUI for Windows || The Windows installers are bundled with OpenVPN-GUI
Настройка OpenVPN сервера под Windows
Документация (на английском)
OpenVPN Windows HowTo (на английском)
OpenVPN HowTo (на русском)
Документация на русском
OpenVPN for PocketPC

FAQ
Генерация сертификатов и ключей - сертификаты и ключи нужны только при TLS-аутентификации (--tls-server или --tls-client)
Как прописать сертификаты прямо в конфиг клиента.
• Разрешить запуск и остановку службы openvpnservice обычным пользователям без прав администратора можно бесплатной утилитой svcadmin (см. "Демонстрационные программы", зеркало).
Всего записей: 210 | Зарегистр. 20-01-2003 | Отправлено: 07:48 01-08-2005 | Исправлено: shrmn, 11:53 29-05-2022
iamgeniy2

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Установил OpenVPN на Centos шлюзе для доступа во внутреннюю корпоративную сеть (Windows Domain).  
В общем всё работает, днс и суффикс домена прокинул через конфиг сервера
 
push "route 192.168.0.0 255.255.255.0"
push "dhcp-option DNS 192.168.0.151"
push "dhcp-option DOMAIN firma.hld"
 
Ресурсы с клиентов соответственно пингуются и заходят. Всё бы хорошо но вопрос в автоматизации доступа к общем сетевым ресурсам с ограниченным доступом (по учёткам в домене Windows).  
Пробовал прикрутить к OpenVPN авторизацию через ldap (плагин openvpn-auth-ldap)
Она работает. Но работает именно как авторизация VPN. И не сохраняет авторизацию именно доменной учётки  к ресурсам сразу после входа. Может есть какой то скрипт (post login) позволяющий получить доступ к Внутренним ресурсам домена без повтороной авторизации ещё и в Windows)?
Всего записей: 49 | Зарегистр. 31-03-2005 | Отправлено: 00:02 02-02-2016
admin931



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
я сами компы в домене?
если да то OpenVPN тут не причем,  
если нет то через OpenVPN сделать это в чистом виде нельзя, но можно применить ХАК:
например монтировать шары при подключении впн-сети, правда только если пользователь заранее известен.
Всего записей: 214 | Зарегистр. 07-12-2005 | Отправлено: 00:59 02-02-2016
iamgeniy2

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
да именно компы не в домене, пользователи известны....
Как можно монтировать шары автоматом на клиенте с авторизацией конкретного юзера сразу после коннекта опен-впн?
Всего записей: 49 | Зарегистр. 31-03-2005 | Отправлено: 02:14 02-02-2016
admin931



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
да именно компы не в домене, пользователи известны....
Как можно монтировать шары автоматом на клиенте с авторизацией конкретного юзера сразу после коннекта опен-впн?
 

по моему за это отвечают следующие ключи конфигурации:
    --route-up cmd
    --up cmd
    --down cmd
    --up-restart
    --route-up cmd
     

ну и ряд других
читайте хороший перевод мануала по ключам тут  
 
Всего записей: 214 | Зарегистр. 07-12-2005 | Отправлено: 23:34 02-02-2016
astin2007

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А кто знает как прочекать openvpn-конфиги, например c http://vpngate.net на рабочие, с меньшими задержками?
Всего записей: 43 | Зарегистр. 27-07-2007 | Отправлено: 09:54 09-02-2016
Victor_VM

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Прошу помощи в решении проблемы.
Сервер Windows Server 2012R2 на нем настроен OpenVPN
Клиент Windows 7 на нем OpenVPN клиент
Клиент успешно соединяется с сервером. Пингует сервер, пингует внутреннюю сеть офиса за туннелем.
Подключается к ресурсам сети. например. к фаил серверу.
НО, после двух минут работы, ресурсы за туннелем. для клиента становятся недоступны.  
Если запустить пинг на внутренний ip сервера OpenVPN он успешно проходит. Но ресурсы за туннелем, все так же недоступны.
Если запустить пинг на фаил сервер. который за туннелем, он так же успешно проходит и файлы становятся вновь доступны для редактирования, однако это все на 2 минуты и так по кругу.
Я же не могу держать постоянными пинги на все ресурсы в головном офисе со стороны клиента.
keepalive и ping в конфиге не помогают, потому что пингуют сам сервер. ане сеть за ним
 
В чем может быть проблема?
Всего записей: 19 | Зарегистр. 28-04-2014 | Отправлено: 15:12 12-02-2016
1karavan1

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Victor_VM
вывод ipconfig /all c 2012r2, и покажите конфиг сервера openvpn
Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 15:16 12-02-2016
Victor_VM

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Конфиг сервера:
dev tun
proto tcp-server
port 45555
mode server
tls-server
server 192.168.12.0 255.255.255.0
comp-lzo
client-to-client
dh c:\\OpenVPN\\ssl\\dh1024.pem
ca c:\\OpenVPN\\ssl\\ca.crt
cert c:\\OpenVPN\\ssl\\ServerVPN.crt
key c:\\OpenVPN\\ssl\\ServerVPN.key
tls-auth c:\\OpenVPN\\ssl\\secret.key 0
#Маршруты добавляются через .exe если без него, то не у всех прописываются маршруты
route-method exe
#Задержка перед добавлением маршрута
route-delay 5
#Команда которая сообщает клиентам что за сервером локальная сеть с адресами 192.168.67.0 255.255.255.0
push "route 192.168.67.0 255.255.255.0"
#Прописывает маршрут на сервере чтобы видеть сеть за клиентом
route 192.168.7.0 255.255.255.0 192.168.12.2
keepalive 10 120
#Шлюз
route-gateway 192.168.12.1
persist-tun
persist-key
tun-mtu 1500
# каждому клиенту выдается по 1 адресу, без виртуальных портов маршрутизатора
topology subnet
tun-mtu-extra 32
mssfix 1450
 
ipconfig сервера:
 
ipconfig /all
 
Настройка протокола IP для Windows
   Имя компьютера  . . . . . . . . . : ServerVPN
   Основной DNS-суффикс  . . . . . . :
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Да
   WINS-прокси включен . . . . . . . : Нет
 
Ethernet adapter VPN:
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : TAP-Windows Adapter V9
   Физический адрес. . . . . . . . . : 00-FF-50-99-07-C7
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::7d14:b4ba:4c85:e836%16(Основной)
   IPv4-адрес. . . . . . . . . . . . : 192.168.12.1(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Аренда получена. . . . . . . . . . : 12 февраля 2016 г. 17:25:11
   Срок аренды истекает. . . . . . . . . . : 11 февраля 2017 г. 17:25:12
   Основной шлюз. . . . . . . . . :
   DHCP-сервер. . . . . . . . . . . : 192.168.12.254
   IAID DHCPv6 . . . . . . . . . . . : 419495760
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1E-4C-87-98-00-50-56-91-17-61
   DNS-серверы. . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBios через TCP/IP. . . . . . . . : Включен
 
Ethernet adapter Ethernet:
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigab
it
   Физический адрес. . . . . . . . . : 00-50-56-91-17-61
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.67.108(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.67.10
   DNS-серверы. . . . . . . . . . . : 192.168.67.24
                                       192.168.67.4
   NetBios через TCP/IP. . . . . . . . : Включен
 
Туннельный адаптер isatap.{2DF4A985-CF78-4064-8125-23AEC7863D87}:
   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
 
Туннельный адаптер Teredo Tunneling Pseudo-Interface:
   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
 
Туннельный адаптер isatap.{509907C7-DA08-40CD-9B5D-2F2CC521D41E}:
   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
Всего записей: 19 | Зарегистр. 28-04-2014 | Отправлено: 06:04 15-02-2016 | Исправлено: Victor_VM, 06:04 15-02-2016
1karavan1

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Victor_VM

Цитата:
#Прописывает маршрут на сервере чтобы видеть сеть за клиентом  
route 192.168.7.0 255.255.255.0 192.168.12.2

Все клиенты в одной подсети? Серверу важно знать что творится за клиентом?

Цитата:
#Шлюз  
route-gateway 192.168.12.1  

Клиентам важно подменять дефолтный шлюз?
 
Сравните таблицы маршрутов до глюка и во время глюка на сервере, а так-же на клиентах.
Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 07:07 15-02-2016
Victor_VM

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Настраиваю в первый раз.
Делал по инструкции из интернета.
Серверу не важно знать, что за клиентом.
Но клиентам нужно знать что за сервером, для этого и поднимается VPN.
Это один из офисов, а их 17 нужно по разным регионам.  
Подменять шлюз по умолчанию.... не знаю. Наверное не нужно.
Таблицы маршрутов сравнить не могу, ибо это первая настройка.  
Проблема в том. что через две минуты, если не запущен пинг на сетку ЗА сервером, эта сетка пропадает. и Появляется сразу же как только пускаешь пинг.
Всего записей: 19 | Зарегистр. 28-04-2014 | Отправлено: 11:39 15-02-2016
1karavan1

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Серверу не важно знать, что за клиентом.

А это я выдумал?

Цитата:
#Прописывает маршрут на сервере чтобы видеть сеть за клиентом  
route 192.168.7.0 255.255.255.0 192.168.12.2

 
Найдите в интернете минимально-рабочий конфиг без маршрутов, без политик безопасности, и его уже допиливайте под себя.
У Вас сейчас много лишнего.
 
Добавлено:

Цитата:
Таблицы маршрутов сравнить не могу

Вы меня не поняли.
Необходимо "заглянуть" в таблицы роутинга в момент "все работает" и в момент "все пропало", далее между собой их сравнить. А перед сравнением избавьтесь от излишков в конфиге.
Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 11:52 15-02-2016
Victor_VM

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Нет. это вы не выдумали. я просто сделал конфиг, по образу и подобию.
На нем хотя бы что-то заработало.
До этого пинги доходили только до вин сервера по впн сети.
Но сегодня уже и это не работает.
Всего записей: 19 | Зарегистр. 28-04-2014 | Отправлено: 12:14 15-02-2016
1karavan1

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Victor_VM
Послушайте совета, воспользуйтесь минимальным конфигом, можно даже без сертификатов, лишь бы канал поднять. А потом прикручивайте все, что желаете, каждый раз перепроверяя.
Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 12:32 15-02-2016
Victor_VM

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Послушал.
Сделал по инструкции в шапке этой темы. Теперь вобще канал не поднимается. ))
Как без сертификатов?
Нигде нет инструкций как поднять без сертификатов.
 
Да теперь вобще никаких двиджений нет. Даже в журнали клиента ((
Всего записей: 19 | Зарегистр. 28-04-2014 | Отправлено: 12:58 15-02-2016 | Исправлено: Victor_VM, 13:11 15-02-2016
1karavan1

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Теперь вобще канал не поднимается

на этот вопрос лог-файл содержит ответы

Цитата:
Как без сертификатов?

Видимо, я давненько его в руках не держал и запамятовал.
 
Посмотрите вот этот конфиг.
Эту инструкцию
Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 13:32 15-02-2016
Victor_VM

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сделал все по минимуму:
Клиент
dev tun
remote 11.11.11.11
port 37777
client
proto tcp-client
tls-client
remote-cert-tls server
dh c:\\OpenVPN\\ssl\\dh1024.pem
ca c:\\OpenVPN\\ssl\\ca.crt
cert c:\\OpenVPN\\ssl\\user1.crt
key c:\\OpenVPN\\ssl\\user1.key
tls-auth c:\\OpenVPN\\ssl\\secret.key 1
ping 10
comp-lzo
tun-mtu 1500
tun-mtu-extra 32
 
 
Сервер:
dev tun
proto tcp-server
port 37777
mode server
tls-server
server 192.168.12.0 255.255.255.0
push "route 192.168.67.0 255.255.255.0"
comp-lzo
client-to-client
dh c:\\OpenVPN\\ssl\\dh1024.pem
ca c:\\OpenVPN\\ssl\\ca.crt
cert c:\\OpenVPN\\ssl\\ServerVPN.crt
key c:\\OpenVPN\\ssl\\ServerVPN.key
tls-auth c:\\OpenVPN\\ssl\\secret.key 0
persist-tun
persist-key
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
ping 10
 
 
Все конектится и пингуется. Но, теперь например доступ к папкам на фаил сервере не отваливается на совсем, а через две минуты если перейти из папки в папку он 3 минуты переходит.
А программа которая работает с базой данных. так и отваливается. Но не отваливается если до неё висит постоянный пинг.
 
Всего записей: 19 | Зарегистр. 28-04-2014 | Отправлено: 14:18 15-02-2016
1karavan1

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
client-to-client  

клиентам нужна видимость между собой?

Цитата:
А программа которая работает с базой данных. так и отваливается. Но не отваливается если до неё висит постоянный пинг.

Сравните маршруты при различных симптомах.
 
Добавлено:

Цитата:
tun-mtu 1500  
tun-mtu-extra 32  
mssfix 1450  

а что у Вас с MTU в канале провайдера?
Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 14:46 15-02-2016
Victor_VM

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Можно и без клиент ту- клиент, я же писал, что все делал по инструкции. ))
маршруты не отличаются.
MTU менял ничего не помогло.
Но сегодня обнаружил дополнительную информацию.
Как оказалось, даже при постоянном пинге с клиента, все равно через 2 минуты отваливается база данных и подвисает открытый файл на фаил сервере. Однако можно быстро подключиться. снова. но работаь в базе при этом вылетать каждые 2 минуты невозможно.
Запустил пинг до клиента со стороны сервера базы и все работает стабильно.
Но опять же, у меня их будет под 100 человек и на каждого держать окно с постоянным пингом?
Я уже подумываю писать служебку о покупке железок.
 
P.S.  
Как оказалось. пинг со стороны сервера баз данных, не помогает. клиент все так же отваливается, только интервал сократился до 1 минуты
 
 
Итого.
Ситуация на сегодняшний день.
Все решилось с помощью ISLProxy, которую я установил на сервер и в нем прописал
[Ports]
RemotePort=ХХХХХХ
RemoteHost=IP адрес сервера баз данных.
LocalPort=ХХХХХ
Timeout=70000
Только таким образом на сегодняшний день удалось добиться стабильной работы клиента.
Как у людей которые пишут гайды все четко работает, так наверное и останется загадкой.
Всего записей: 19 | Зарегистр. 28-04-2014 | Отправлено: 06:42 16-02-2016 | Исправлено: Victor_VM, 13:45 17-02-2016
mazafakaz



Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
подскажите, как ограничить доступ к машинам за сервером для впн-клиентов?
сервер работает, клиенты подключаются, но видят всю сеть.
как разграничить доступ по ip и портам для каждого впн-клиента?
##
 
Всего записей: 567 | Зарегистр. 15-02-2007 | Отправлено: 11:12 25-02-2016 | Исправлено: mazafakaz, 11:13 25-02-2016
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mazafakaz
Цитата:
как разграничить доступ по ip и портам для каждого впн-клиента?  
На линуксовом сервере настройкой iptables
На виндузовом можно попробовать встроенный фаервол.
И уж точно поможет запрет на фаерволе там, куда клиенту низзя.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 11:34 25-02-2016
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru