WarlockNT Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Тема в Программах OpenVPN OpenVPN - свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами находящимися за NAT-firewall без необходимости изменения его настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL. Официальный сайт Страница загрузки OpenVPN GUI for Windows || The Windows installers are bundled with OpenVPN-GUI Настройка OpenVPN сервера под Windows Документация (на английском) OpenVPN Windows HowTo (на английском) OpenVPN HowTo (на русском) Документация на русском OpenVPN for PocketPC FAQ • Генерация сертификатов и ключей - сертификаты и ключи нужны только при TLS-аутентификации (--tls-server или --tls-client) • Как прописать сертификаты прямо в конфиг клиента. • Разрешить запуск и остановку службы openvpnservice обычным пользователям без прав администратора можно бесплатной утилитой svcadmin (см. "Демонстрационные программы", зеркало). Всего записей: 210 | Зарегистр. 20-01-2003 | Отправлено: 07:48 01-08-2005 | Исправлено: shrmn, 11:53 29-05-2022

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Small_green_yojik Цитата: Но по openvpn, все-таки, вопрос прошу считать открытым. Почему OpenVPN тормозит? ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 20:56 22-11-2016

Small_green_yojik Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary Смотрел конечно. Специально комментарии из конфигов не убирал... Не помогло.  + Вероятно это уже не актуально (поэтому и закомментил), т.к. где-то видел обсуждение патчей.   Помимо SoftEther завтра попробую еще на клиенте последнюю версию собрать.   Результаты SoftEther обнадеживают. Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 21:56 22-11-2016

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Small_green_yojik Цитата: Результаты SoftEther обнадеживают. И это действительно так. Сейчас попробовал вместо  L2TP/IPSec подключиться  к   SoftEther по протоколу OpenVPN, обычным клиентом. Результат практически тот же: Код: C:\>ping 10.1.1.12   Обмен пакетами с 10.1.1.122 по 32 байт:   Ответ от 10.1.1.12: число байт=32 время=8мс TTL=128 Ответ от 10.1.1.12: число байт=32 время=9мс TTL=128 Ответ от 10.1.1.12: число байт=32 время=7мс TTL=128 Ответ от 10.1.1.12: число байт=32 время=7мс TTL=128   Статистика Ping для 10.1.1.12:     Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь), Приблизительное время приема-передачи в мс:     Минимальное = 7мсек, Максимальное = 9 мсек, Среднее = 7 мсек ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 03:03 23-11-2016

Small_green_yojik Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary Поставил. Осталось разобраться в настройках этого самолета.   Добавлено: vlary Странное дело. После установки и настройки SoftEther пинги заходили и по openvpn нормально (чуть медленнее, но не значительно).   Но, все же, решил остаться на SoftEther.   ping my_vps_host 64 bytes from my_vps_host (my_vps_host_ip): icmp_seq=1 ttl=50 time=104 ms 64 bytes from my_vps_host (my_vps_host_ip): icmp_seq=2 ttl=50 time=107 ms 64 bytes from my_vps_host (my_vps_host_ip): icmp_seq=3 ttl=50 time=97.7 ms 64 bytes from my_vps_host (my_vps_host_ip): icmp_seq=4 ttl=50 time=96.5 ms 64 bytes from my_vps_host (my_vps_host_ip): icmp_seq=5 ttl=50 time=95.5 ms 64 bytes from my_vps_host (my_vps_host_ip): icmp_seq=6 ttl=50 time=108 ms 64 bytes from my_vps_host (my_vps_host_ip): icmp_seq=7 ttl=50 time=96.5 ms 64 bytes from my_vps_host (my_vps_host_ip): icmp_seq=8 ttl=50 time=102 ms 64 bytes from my_vps_host (my_vps_host_ip): icmp_seq=9 ttl=50 time=89.6 ms   ping 10.9.8.1 64 bytes from 10.9.8.1: icmp_seq=1 ttl=64 time=110 ms 64 bytes from 10.9.8.1: icmp_seq=2 ttl=64 time=94.5 ms 64 bytes from 10.9.8.1: icmp_seq=3 ttl=64 time=92.8 ms 64 bytes from 10.9.8.1: icmp_seq=4 ttl=64 time=107 ms 64 bytes from 10.9.8.1: icmp_seq=5 ttl=64 time=99.1 ms 64 bytes from 10.9.8.1: icmp_seq=6 ttl=64 time=97.8 ms 64 bytes from 10.9.8.1: icmp_seq=7 ttl=64 time=96.8 ms 64 bytes from 10.9.8.1: icmp_seq=8 ttl=64 time=98.8 ms 64 bytes from 10.9.8.1: icmp_seq=9 ttl=64 time=95.0 ms   Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 14:26 23-11-2016

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Small_green_yojik Цитата: После установки и настройки SoftEther пинги заходили и по openvpn нормально Ну прямо лечебная приблуда! Совсем другое дело, пинги длиннее на пару процентов, а не в разы. Цитата: Но, все же, решил остаться на SoftEther. И это правильно. Четыре протокола в одном стакане лучше, чем один.   ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 18:02 23-11-2016

karavan Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vlary Вам не приходилось использовать openvpn без сертификации пользователей, только по логину/паролю? Стоит задача развернуть именно openvpn, но с упрощением пользовательских подключений до использования пары логин:пароль. У меня не получается через опцию --auth-user-pass-verify via-env передать пароль проверочному скрипту. Через via-file все работает, но хочется использовать переменные окружения. В доках openvpn указано, что имена переменных username и password. Переменную логина отлавливаю, а переменная пароля почему-то даже не объявлена. Проверку делал размещением следующих строк в начале скрипта проверяющего пару. Код: echo "$username" > /tmp/parameters echo "$password" >> /tmp/parameters   А так-же делал такую проверку, где не вижу даже объявления переменной password: Код: echo `env` > /tmp/parameters   P.S.: В сэмплах у openvpn валяется перловский файл аутентификации, но я в перле полный ноль, чтобы что-то на нем использовать. Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 05:43 24-11-2016

admin931 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ммм, а чем плоха верификация по паролю с единым для всех сертификатом? это не то, чтобы самый правильный способ - просто один из самых простых в исполнении... один сертификат, ставится вместе с программой, а уже пользователей пускает по связке логин:пароль, логин и пароль в этом случае можно хранить где угодно, хоть в ldap, хоть SQL, хоть в системе   в частном случае в конфиг будет добавлено:   Цитата: plugin /usr/local/lib/openvpn-auth-pam.so "login login USERNAME password PASSWORD"   # включаем авторизацию по логину и паролю! auth-user-pass-verify "/usr/local/etc/openvpn/auth-pam.pl /usr/local/etc/openvpn/users.pw" via-file # выше указываем откуда брать логин и пароль, скрипт auth-pam.pl мне пришлось качать с сайта...   # так что ищи его на просторах инета client-cert-not-required # отключаем сертификаты как средство авторизации клиента auth MD5 # передача пароля в зашиврованном виде? режим ваш на усмотрение, может зависеть от вашего скрипта   Всего записей: 214 | Зарегистр. 07-12-2005 | Отправлено: 22:20 24-11-2016 | Исправлено: admin931, 22:24 24-11-2016

karavan Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: скрипт auth-pam.pl мне пришлось качать с сайта   admin931, откуда цитата? Расскажите человеку про /usr/share/doc Возможно, это натолкнет его на сэмплы.   admin931 Цитата: а чем плоха верификация по паролю с единым для всех сертификатом?   Ни чем не плоха, даже можно вообще без сертификата на клиентской стороне, достаточно (это мое ИМХО) tls-auth и диффи-хэлмана.   В цитате используется значение "via-file", у меня с ним проблем нет, есть проблема передачи пароля через окружение со значением "via-env". Неожиданно, чтение man-page очень помогло, оказывается хитрый параметр --script-security запрещал передачу пароля через переменные окружения. Задача решена и сервер передан заказчику. Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 22:53 24-11-2016 | Исправлено: karavan, 02:55 27-11-2016

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Мда... Как говорится, проблема запоминания сложного пароля легко решается приклейкой стикера на системный блок или монитор. В стремлении потрафить ленивым юзерам все как-то забывают, что основное назначение VPN - безопасность ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 10:04 25-11-2016

karavan Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: что основное назначение VPN - безопасность У меня другая задача. VPN нужен для обхода блокировок провайдеров в некоторой стране. Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 10:36 25-11-2016

admin931 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: VPN нужен для обхода блокировок провайдеров в некоторой стране.   ну если уж на то пошло вообще тунель поднять без шифрования...   только смысл? Всего записей: 214 | Зарегистр. 07-12-2005 | Отправлено: 21:21 25-11-2016 | Исправлено: admin931, 00:49 26-11-2016

karavan Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору admin931 Блочат все, тем более открытое нешифрованное. Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 23:44 25-11-2016

JMLabs Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Сервер windows+openvpn за сервером сеть Подскажите, пожалуйста, как сделать так чтобы пользователи могли иметь доступ только к определенным IP в сети сервера? В официальном мануале https://openvpn.net/index.php/open-source/documentation/howto.html#policy написано что нужно назначить пользователям фиксированные IP и далее правилами файрвола ограничить. У меня не получается настроить такие правила на виндоус файрволе. Кто-то имел опыт? Всего записей: 15 | Зарегистр. 21-12-2016 | Отправлено: 01:57 21-12-2016

serg53 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору JMLabs Цитата: Сервер windows+openvpn за сервером сеть  Подскажите, пожалуйста, как сделать так чтобы пользователи могли иметь доступ только к определенным IP в сети сервера? В официальном мануале https://openvpn.net/index.php/open-source/documentation/howto.html#policy написано что нужно назначить пользователям фиксированные IP и далее правилами файрвола ограничить. У меня не получается настроить такие правила на виндоус файрволе. Кто-то имел опыт?   Примерно так: http://blog.vpsville.ru/blog/pro/54.html (или поставить шлюз на Linux) Всего записей: 984 | Зарегистр. 11-12-2006 | Отправлено: 07:18 21-12-2016 | Исправлено: serg53, 07:19 21-12-2016

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору JMLabs Цитата: Сервер windows+openvpn за сервером сеть   Поставь SoftEther VPN. Он тоже поддерживает OpenVPN протокол. И там намного более гибкие настройки различных списков доступа. ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 11:15 21-12-2016

JMLabs Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Примерно так Спасибо, но вопрос глубже. Предполагаю что нужно сначала сделать правило "запретить все", а потом уже делать отдельные правила для конкретных IP. Но тут возникает вот еще какая штука. Согласно мануалу, отдавать фиксированный IP можно только сегментами из подсети 255.255.255.252 (/30), т.е. только 1 IP на пользователя, но как быть если человек использует свой комплект сертификатов на рабочем компе и на ноутбуке и на телефоне? Т.е. три устройства, а директива - отдавать только 1 IP. Получается надо делать 3 комплекта сертификатов на каждое устройство? Очень бы хотелось найти решение создания правил именно для пользователя а не для IP.   Цитата: Поставь SoftEther VPN Спасибо! Не знал про такую чудо вещь, буду пробовать Всего записей: 15 | Зарегистр. 21-12-2016 | Отправлено: 17:22 21-12-2016

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору JMLabs Ну во-первых, Вы может использовать не /30 а /29, например, что-то я не припомню что бы это что-то ломало. А вообще мне кажется этот вариант неудобным.   Для гибкости и собранности всего и вся в одном месте, я бы написал скрипт, который бы вызывал в директиве client-connect. В скрипте всё просто: в зависимости от переменной окружения common_name, прописываете в firewall нужные вам правила для ip клиента (ifconfig_remote, вроде как). Правила удалять скриптом при client-disconnect. Т.о. не надо думать кому какие адреса и из каких подсетей выделять. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 16:58 22-12-2016

JMLabs Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Я пробовал /29 - не работает. Вот цитата первоисточника: "They must be taken from successive /30 subnets" Идея со скриптом мне очень нравится, но не представляю как его написать. Напоминаю, у меня Windows. Натолкните на верный путь, пожалуйста Всего записей: 15 | Зарегистр. 21-12-2016 | Отправлено: 23:21 22-12-2016

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору JMLabs Цитата: Натолкните на верный путь Так я вроде уже дал все вводные, сказал какой директивой вызывать из конфига сервера и сказал какие переменные проверять. У меня нету ни где Windows и тем более нету Windows Server'а что бы проверить хоть что-то или накидать примерный скрипт на cmd/powershell/vbs.   Ещё, как вариант, если не знаете как сделать скрипт, хотя он весьма простым должен получиться, то можно смотреть в сторону ковыряние схемы с  topology subnet. А вообще Вы попробовали SoftEther VPN? ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 00:55 23-12-2016

nick7inc Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Думаю, что в шапке надо дополнить в Цитата: Как прописать сертификаты прямо в конфиг клиента. Ссылка. Подробнее ---------- Джин, не лезь в бутылку. Всего записей: 1138 | Зарегистр. 04-05-2007 | Отправлено: 15:54 06-01-2017 | Исправлено: nick7inc, 16:09 06-01-2017

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование