WarlockNT Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Тема в Программах OpenVPN OpenVPN - свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами находящимися за NAT-firewall без необходимости изменения его настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL. Официальный сайт Страница загрузки OpenVPN GUI for Windows || The Windows installers are bundled with OpenVPN-GUI Настройка OpenVPN сервера под Windows Документация (на английском) OpenVPN Windows HowTo (на английском) OpenVPN HowTo (на русском) Документация на русском OpenVPN for PocketPC FAQ • Генерация сертификатов и ключей - сертификаты и ключи нужны только при TLS-аутентификации (--tls-server или --tls-client) • Как прописать сертификаты прямо в конфиг клиента. • Разрешить запуск и остановку службы openvpnservice обычным пользователям без прав администратора можно бесплатной утилитой svcadmin (см. "Демонстрационные программы", зеркало). Всего записей: 210 | Зарегистр. 20-01-2003 | Отправлено: 07:48 01-08-2005 | Исправлено: shrmn, 11:53 29-05-2022

urodliv Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Memfivosfey А какова у вас цель использования VPN? ---------- Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением. Всего записей: 6714 | Зарегистр. 29-04-2009 | Отправлено: 19:41 29-05-2022

MACTEP Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Memfivosfey, пытаясь решить подобную задачу нужно понимать следующее. Во-первых, подключая смартфон к компу каким-либо способом, вам необходимо "объяснить" аппарату, что этот комп является для него сетевым шлюзом. Лично я не знаю, как это сделать. Смарт умеет ходить в сеть через вафлю или мобильного оператора, может сам быть шлюзом для устройств, но не наоборот. Во-вторых, даже если гипотетически предположить, что трафик со смарта полетит в комп, как в гейт, необходимо еще на этом гейте настроить прозрачное проксирование, что нельзя отнести к тривиальной задаче для неспециалиста. Отсюда вывод - если нет желания устанавливать на трубу дополнительный софт, то решить задачу возможно только подняв впн-туннель на роутере и направив в него трафик с трубы. Это умеют делать, например, микроты и зухели, но необходимо еще иметь сервис впн, к которому они будут подключаться.  Как-то так... Всего записей: 929 | Зарегистр. 11-04-2002 | Отправлено: 16:46 31-05-2022

Wenzel Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Есть 2 компа, "основной" и "старый", на обоих Windows 8.1. В старом 2 сетевые карты, к одной подключен основной, к другой - интернет от провайдера. Включен Internet Connection Sharing (ICS), все работает замечательно. Решил поставить OpenVPN на старый, чтобы подключаться к основному по RDP. Поставил, настроил, туннель работает. А вот дальше затык Пакеты с интерфейса сервера не форвардятся, хотя должны. Для проверки поставил на рабочем виртуалку и с нее поднимаю туннель (фаервол выключил, поэтому провайдерский кабель тоже отключил на это время). Выключил ICS - пакеты пошли.   Подскажите, как решить эту проблему?   Конфиг сервера: Подробнее...   Конфиг клиента: Подробнее...   Как видно, разницы в таблице маршрутизации и параметрах адаптеров нет.   route print, ifconfig и пинги с клиента при включенном ICS Подробнее...   route print, ifconfig и пинги с клиента при выключенном ICS Подробнее...   И трейс при выключенном ICS: C:\Windows\system32>tracert -d 192.168.137.2   Tracing route to 192.168.137.2 over a maximum of 30 hops     1     2 ms     3 ms     1 ms  192.168.10.1   2     1 ms     1 ms     1 ms  192.168.137.2 Всего записей: 587 | Зарегистр. 10-08-2004 | Отправлено: 22:05 02-07-2022 | Исправлено: Wenzel, 13:14 04-07-2022

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Wenzel Цитата: Подскажите, как решить эту проблему Ну, первое, такие простыни на форуме принято прятать под тег more А во-вторых, попробуй настроить сервер и клиента не через tun, а через tap (бридж) ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 10:41 03-07-2022 | Исправлено: vlary, 10:42 03-07-2022

MACTEP Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Wenzel, вот ни хрена не понял, честно. Как гласит народная мудрость - "без нормального ТЗ результат всегда ХЗ". Старый является роутером для основного, верно? Я не знаю, что такое ICS, но старый должен уметь форвардить пакеты между интерфейсами и уметь NAT. Единственно логичным для меня в этой конструкции использованием OpenVPN будет организация доступа снаружи, через сеть ISP, к основному компу. А откуда вы пытаетесь подключиться к нему по RDP я понять не могу...     Всего записей: 929 | Зарегистр. 11-04-2002 | Отправлено: 14:11 03-07-2022

Wenzel Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary согласен, more добавил. Цитата: А во-вторых, попробуй настроить сервер и клиента не через tun, а через tap (бридж) tap не подходит, нужно с андроида подключаться, а там только tun.   MACTEP подключаюсь к основному с андроида, для него есть клиент от MS (кстати работает очень хорошо, имхо). включение ICS (штатная фича винды) по сути и делает комп роутером для локальной сети. раньше порт RDP торчал наружу, что плохо.   В общем, решил проблему. Сделал просто - поставил OpenVPN клиентом на "основной", в конфиг сервера добавил "client-to-client". Все работает. Порт RDP наружу не торчит. Всего записей: 587 | Зарегистр. 10-08-2004 | Отправлено: 13:31 04-07-2022

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Wenzel Цитата: В общем, решил проблему. Ну вот и славно, хоть и кривым способом. Я про тап не зря ведь писал, с ним решаются многие проблемы маршрутизации. Кажется мне, что проблема здесь порылась. У клиента и сервера ОпенВПН своя сеть, и сервер РДП просто не знает, как туда ходить. Нужно прописать на нем маршрут к этой сетке через айпи ВПН сервера. ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 22:10 04-07-2022

MACTEP Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Wenzel, Цитата: tap не подходит, нужно с андроида подключаться, а там только tun. Этим можно и tap, но какой смысл строить L2 сеть и гонять бродкасты? И снова не понял, если основной воткнут в старый патчкордом во второй интерфейс, то на кой хрен нужен впн? vlary, если не строите full mesh сеть, то решать проблемы маршрутизации загоняя все в одноранговую, как минимум неспортивно...         Всего записей: 929 | Зарегистр. 11-04-2002 | Отправлено: 09:13 05-07-2022

Wenzel Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary Цитата: Кажется мне, что проблема здесь порылась. У клиента и сервера ОпенВПН своя сеть, и сервер РДП просто не знает, как туда ходить. Нужно прописать на нем маршрут к этой сетке через айпи ВПН сервера Так маршрут естественно прописан был. Другое дело, что при включенном ICS пакеты с интерфейса сервера (192.168.10.1) не форвардятся дальше (в подсеть .137.0). Адрес сервера пингуется, а дальше уже никак. Насколько я понял, ICS так влияет. Код: Pinging 192.168.137.1 with 32 bytes of data: Request timed out.   Pinging 192.168.137.2 with 32 bytes of data: Reply from 192.168.10.1: Destination net unreachable.   MACTEP Спасибо. Цитата: основной воткнут в старый патчкордом во второй интерфейс, то на кой хрен нужен впн? Именно так. И нужен безопасный доступ к нему через инет. Раньше РДП порт был проброшен, соответственно доступен для возможных атак. Теперь - нет Скан портов не показывает вообще ничего   В общем, то, как получилось настроить, меня вполне устраивает. Перенес конфиги в config-auto на обоих компах, соединение ВПН устанавливается при загрузке. Я доволен как слон Всего записей: 587 | Зарегистр. 10-08-2004 | Отправлено: 10:51 08-07-2022

MACTEP Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Wenzel, Цитата: И нужен безопасный доступ к нему через инет. Все правильно. В этом случае достаточно клиенту, подключающемуся снаружи, пушить роут на подсеть 192.168.137.0/24 (с маской не уверен, если по феншую, то 192.168.137.0/30). На старом, на втором интерфейсе 192.168.137.1, на основном - 192.168.137.2, а 192.168.137.1, как дефолт гейт. И вся любовь. =) Хотя я не знаю, что там за горбатого лепит ICS от M$...     Всего записей: 929 | Зарегистр. 11-04-2002 | Отправлено: 11:20 08-07-2022

dakke Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Добрый день. Наверняка уже 1000 раз задавлся этот вопрос, но все же - каждого по разному беда происходит -) Хочу сделать ВПН- сервер "для выхода за железный занавес". Арендовал VPS за пару евро в Нидерландах, установил Debian10, openvpn (2.5 или 2.4), сгенерировал ключи. На сервере брандмауэра нет, iptables пустой.   Клиенты - машина с Win10 и виртуалка с Debian10 для тестирования. Цель - чтобы при включении openvpn ВЕСЬ трафик с клиентов пошел через openvpn-сервер. И вот это что-то не получается. Клиенты к серверу подключаются, пинги с клиентов на сервер проходят, даже с клиентов друг на друга, а вот выхода в инет нет. Т.е. как только клиент соединяется с сервером openvpn, то в браузере открыть ничего нельзя, пинги до google.ru не проходят.   Конфигурации: ************************************ # Сервер (Линукс,Дебиан10) dev tun proto udp port 12404 topology subnet server 10.13.7.0 255.255.255.0 client-to-client   # Ключи: ca /etc/openvpn/server/keys/ca.crt cert /etc/openvpn/server/keys/opvpnserv3.crt key /etc/openvpn/server/keys/opvpnserv3.key dh /etc/openvpn/server/keys/dh.pem tls-auth /etc/openvpn/server/keys/ta.key 0   persist-key persist-tun keepalive 10 120   verb 1   push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4"   user nobody group nogroup   compress lz4 ************************************ # Клиент (Виндоуз10): client dev tun remote 5.44.45.170 12404 udp   ca client_vpn3_302/ca.crt cert client_vpn3_302/client302.crt key client_vpn3_302/client302.key tls-auth client_vpn3_302/ta.key 1   persist-key persist-tun verb 1 compress lz4 nobind ************************************ Не могу понять: 1) нужно ли как-то дополнительно делать форвардинг на сервере? или он автоматом сам делается, как только openvpn запускается ? 2) нужно как-то пушить клиентам шлюз для выхода в инет? или директива push "redirect-gateway def1 bypass-dhcp"  это все сама делает?  потому что, когда смотрю на клиенте-Виндоуз ipconfig, то вижу, что **** openVPN-адаптер Подключение по локальной сети:      DNS-суффикс подключения . . . . . :      Локальный IPv6-адрес канала . . . : fe80::747e:b659:9b52:88c0%3    IPv4-адрес. . . . . . . . . . . . : 10.13.7.2    Маска подсети . . . . . . . . . . : 255.255.255.0    Основной шлюз. . . . . . . . . : *** т.е. IPприсвоен, а шлюз - не присвоен. а пинг (с машина-клиента-Вин10) проходят так: **** >ping google.ru Обмен пакетами с google.ru [108.177.14.94] с 32 байтами данных: Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса.   Статистика Ping для 108.177.14.94:     Пакетов: отправлено = 4, получено = 0, потеряно = 4     (100% потерь) *** т.е. разрешение адреса в IP происходит, а до самого IP не может  достучаться. для других адресов (yandex.ru bbc.com  и пр - также). А вот таблица маршрутизации на машина-клиента-Вин10): > route print =========================================================================== Список интерфейсов   3...00 ff 1d 12 26 a1 ......TAP-Windows Adapter V9   5...e0 d5 5e c3 bc 51 ......Realtek Gaming GbE Family Controller   1...........................Software Loopback Interface 1 ===========================================================================   IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика           0.0.0.0          0.0.0.0     192.168.20.1     192.168.20.3    291           0.0.0.0        128.0.0.0        10.13.7.1        10.13.7.2    281       5.44.45.170  255.255.255.255     192.168.20.1     192.168.20.3    291         10.13.7.0    255.255.255.0         On-link         10.13.7.2    281         10.13.7.2  255.255.255.255         On-link         10.13.7.2    281       10.13.7.255  255.255.255.255         On-link         10.13.7.2    281         127.0.0.0        255.0.0.0         On-link         127.0.0.1    331         127.0.0.1  255.255.255.255         On-link         127.0.0.1    331   127.255.255.255  255.255.255.255         On-link         127.0.0.1    331         128.0.0.0        128.0.0.0        10.13.7.1        10.13.7.2    281      192.168.20.0    255.255.255.0         On-link      192.168.20.3    291      192.168.20.3  255.255.255.255         On-link      192.168.20.3    291    192.168.20.255  255.255.255.255         On-link      192.168.20.3    291         224.0.0.0        240.0.0.0         On-link         127.0.0.1    331         224.0.0.0        240.0.0.0         On-link         10.13.7.2    281         224.0.0.0        240.0.0.0         On-link      192.168.20.3    291   255.255.255.255  255.255.255.255         On-link         127.0.0.1    331   255.255.255.255  255.255.255.255         On-link         10.13.7.2    281   255.255.255.255  255.255.255.255         On-link      192.168.20.3    291 =========================================================================== Постоянные маршруты:   Сетевой адрес            Маска    Адрес шлюза      Метрика           0.0.0.0          0.0.0.0     192.168.20.1  По умолчанию   ========================================================================== Ну, вроде все данные больного предоставил -)   Заранее спасибо за советы -)   Всего записей: 160 | Зарегистр. 04-05-2014 | Отправлено: 14:03 09-08-2022 | Исправлено: dakke, 14:27 09-08-2022

MACTEP Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 2 dakke: 1) На VPS должен быть поднят NAT. Без него подсеть 10.13.7.0/24 в тырнет не пойдет. Как сделать NAT на лине я не знаю, но гугол наверняка в курсе. 2) push "route-gateway 10.13.7.1" лишним не будет. 3) Я бы не стал использовать компрессию. С нынешними каналами это явно лишнее, а ресурсы процессорные жрать будет. Всего записей: 929 | Зарегистр. 11-04-2002 | Отправлено: 14:53 09-08-2022 | Исправлено: MACTEP, 17:04 10-08-2022

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору dakke Цитата: Добрый день. Наверняка уже 1000 раз задавлся этот вопрос, но все же - каждого по разному беда происходит -)     /etc/sysctl.conf Цитата: net.ipv4.ip_forward = 1   iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source ТВОЙ.ВНЕШНИЙ.IP.АДРЕС   вместо eth0 указать свое имя интерфейса.   ---------- Fools rush in where angels fear to tread. Всего записей: 5475 | Зарегистр. 10-09-2003 | Отправлено: 06:06 10-08-2022 | Исправлено: Ruza, 06:08 10-08-2022

dakke Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 2Ruza, MACTEP   Сенькс.  Все-таки, значит, перенаправление трафика с одного интерфейса на другой, с NATом, нужно делать.  Я думал, это автоматом как-то сам опенвпн делает, а нет, значит.   А вот тогда такой вопрос (немного теоретический):  а как должна выглядеть таблица маршрутизации на клиенте, когда включен ВПН и весь инет-трафик как бы идет через ВПН?  Ведь ВПН-адаптер - это виртуальный адаптер, реально-то весь трафик идет на адаптер Ethernet (например), в т.ч. и трафик на впн-сервер (например, 5.44.45.170).  Если в таблице маршрутизации назначить низшую (т.е. приоритетную) метрику адаптеру ВПН, то, получатся, что трафик на 5.44.45.170 тоже пойдет через адаптер ВПН, что ли?  Или таблица должна выглядеть примерно так: Сетевой адрес   //        Маска сети   //   Адрес шлюза     //  Интерфейс  // Метрика // 0.0.0.0       //   0.0.0.0    // 10.13.7.1  //   10.13.7.2  //  291 //  (весь трафик по умолчанию идет через ВПН интерфейс) 5.11.45.170    //  255.255.255.255   //   192.168.20.1   //   192.168.20.3    //   281  //  (только трафик на ВПН-сервер (5.11.45.170) идет через  физический интерфейс 192.168.20.3 , при этом метрика меньше, чем у остального трафика)         Всего записей: 160 | Зарегистр. 04-05-2014 | Отправлено: 11:31 10-08-2022 | Исправлено: dakke, 11:32 10-08-2022

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору dakke Цитата: А вот тогда такой вопрос (немного теоретический) OpenVPN не меняет дефолт шлюз. Просто добавляются дополнительные маршруты типа таких: 0.0.0.0          128.0.0.0       10.13.7.1   128.0.0.0       128.0.0.0      10.13.7.1   5.11.45.170    255.255.255.255    192.168.20.1 Как известно, чем больше маска, тем выше приоритет маршрута. Маска 255.255.255.255 (/32) самая большая, трафик на сервер пойдет через шлюз. Маска 128.0.0.0 больше, чем 0.0.0.0, поэтому дефолт маршрут 0.0.0.0 0.0.0.0 просто проигнорируется, трафик пойдет через туннель. 128.0.0.0  128.0.0.0   - адреса, не попавшие в область 0.0.0.0    128.0.0.0   После закрытия соединения с сервером добавленные маршруты автоматически удаляются, и таблица становится как до подключения. ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 12:42 10-08-2022

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование