Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Открыть новую тему     Написать ответ в эту тему

WarlockNT



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тема в Программах



OpenVPN - свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами находящимися за NAT-firewall без необходимости изменения его настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL.

Официальный сайт
Страница загрузки
OpenVPN GUI for Windows || The Windows installers are bundled with OpenVPN-GUI
Настройка OpenVPN сервера под Windows
Документация (на английском)
OpenVPN Windows HowTo (на английском)
OpenVPN HowTo (на русском)
Документация на русском
OpenVPN for PocketPC


FAQ
Генерация сертификатов и ключей - сертификаты и ключи нужны только при TLS-аутентификации (--tls-server или --tls-client)
Как прописать сертификаты прямо в конфиг клиента.
• Разрешить запуск и остановку службы openvpnservice обычным пользователям без прав администратора можно бесплатной утилитой svcadmin (см. "Демонстрационные программы", зеркало).

Всего записей: 210 | Зарегистр. 20-01-2003 | Отправлено: 07:48 01-08-2005 | Исправлено: shrmn, 11:53 29-05-2022
kermit

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Smile1988
1с файл-серверная или SQL?
 
Добавлено:
хм, я ссылку на S.Q.L не ставил, форум сам добавляет
однако

Всего записей: 463 | Зарегистр. 01-10-2003 | Отправлено: 23:19 15-04-2010
jobba

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Прошу прощения, возникла следующая проблема - отвратительная скорость соединения  
между клиентом (XP sp3) и сервером (Мандрива) соединенным по ОпенВПН. Возможно проблема именно в канале, на доказать это не могу.
 
Клиент и сервер подключены к разным фрагментам одной общегородской локальной сети. Обещанная провайдером скорость соединения - 10 мегабит. По факту получаю 60-90 кб/сек. Что для больших баз, кои приходится ворочать - просто абзац.
 
Настройки:
 
#---SERV---
mode server
tls-server
daemon
ifconfig 192.168.10.1 255.255.255.0
port 1194
proto tcp-server
dev tap
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/gate.ru.crt
key /etc/openvpn/keys/gate.ru.key
dh /etc/openvpn/keys/dh1024.pem
client-config-dir /etc/openvpn/ccd
#push "route 192.168.10.0 255.255.255.0 192.168.10.101"
keepalive 10 120
client-to-client
comp-lzo
persist-key
persist-tun
verb 3
log-append /var/log/openvpn.log
 
 
#---Client---
remote 10.*.*.* 1194
client  
tls-client  
dev tap
#proto udp
ca ca.crt  
cert orion.crt  
key orion.key  
proto tcp-client  
comp-lzo  
ping 1
verb 3
 
к Мандриве подключен еще один клиент - с ним проблем нет. А вот с ХР - печальнее. Клиент последней версии (пробовал и 2.0 - то же самое) Отрубил все фаеры. Скорость не изменилась.  
Использую шары на сервере и инет через него же...
 
Не подскажете, в чем может быть подвох?

Всего записей: 21 | Зарегистр. 02-11-2005 | Отправлено: 18:18 20-04-2010 | Исправлено: jobba, 18:22 20-04-2010
rain87



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
jobba
вариант 1 - перейти на удп
если вариант 1 не устраивает - можно на сервере попробовать
socket-flags TCP_NODELAY
push "socket-flags TCP_NODELAY"  
правда это больше относится к толстым пингам, но может и на скорости скажется

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat

Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 18:38 20-04-2010
attaattaatta



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
jobba

Цитата:
Обещанная провайдером скорость соединения - 10 мегабит

Сначала необходимо проверить деражит ли договорную скорость провайдер, покачайте что-либо без ВПН, сходите на 2ip.ru, speedtest.net и т.п. ресурсы.  
Далее, если скорость на обоих концах соответствует заявленной, то киньте сюда лог (verb4) от начала соединения, плюс минут 15 "ворочания" всего этого дела.
Тэг more не забудьте.

----------
Фрилансю

Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 19:07 20-04-2010 | Исправлено: attaattaatta, 19:08 20-04-2010
jobba

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо большое, Господа. Попробую добавить строки - погоняю.  
 
 
А проверить инет сложно - клиент не имеет инета. Шар в сети тоже нет. Даже нормально файло не покидать...  
 
Дурацкий вопрос... Если попробывать с оказией притащить физически "клиента" в офис и поставить их рядом, прописать клиенту железно левый ip в той же подсети что и серв и попробывать подключится. Ессно со стороны городской локальной сети. Это будет "полная" эмуляция? Или все хитрее?

Всего записей: 21 | Зарегистр. 02-11-2005 | Отправлено: 19:51 20-04-2010 | Исправлено: jobba, 19:51 20-04-2010
rain87



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
jobba
ну эмуляция то будет, за исключением физического линка, который существует между сервером и клиентом. вообще конечно стОит проверить скорость линка, чтоб не копать в ненужном направлении. шару не так долго и поднять для теста

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat

Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 20:55 20-04-2010
jobba

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Окей, подниму самбу, просто еще не очень хорошо знаком с никсами, слабо представляю что том надо будет в фаерволе править ... Вот и вопросы. Но, в любом случае, большое спасибо за ответ. Бум учить "на ходу".

Всего записей: 21 | Зарегистр. 02-11-2005 | Отправлено: 21:30 20-04-2010
NIKEBORZOV



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Проблема..
 
Настроил OpenVPN на FreeBSD 8 (настроил без ccd) - все работает отлично, виндусовые клиенты подключаются, сертификаты с паролями.
 
Теперь хочу каждому клиенту раздавать свои настройки, раскаментил
client-config-dir usr/local/etc/openvpn/ccd
ccd-exclusive
 
создал в ccd файл с именем CN сертификата клиента - admin
 
 
и ОШИБКА подключения..
 
Tue May 11 02:55:29 2010 us=255982 XX.XXX.XXX.XXX:1192 SIGTERM[soft,delayed-exit] received, client-instance exiting
Tue May 11 22:49:49 2010 us=540373 MULTI: multi_create_instance called
Tue May 11 22:49:49 2010 us=540917 XX.XXX.XXX.XXX:1192 Re-using SSL/TLS context
Tue May 11 22:49:49 2010 us=541078 XX.XXX.XXX.XXX:1192 LZO compression initialized
Tue May 11 22:49:49 2010 us=541832 XX.XXX.XXX.XXX:1192 Control Channel MTU parms [ L:1538 D:162 EF:62 EB:0 ET:0 EL:0 ]
Tue May 11 22:49:49 2010 us=542069 XX.XXX.XXX.XXX:1192 Data Channel MTU parms [ L:1538 D:1450 EF:38 EB:135 ET:0 EL:0 AF:3/1 ]
Tue May 11 22:49:49 2010 us=542327 XX.XXX.XXX.XXX:1192 Local Options String: 'V4,dev-type tun,link-mtu 1538,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher
Tue May 11 22:49:49 2010 us=542416 XX.XXX.XXX.XXX:1192 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1538,tun-mtu 1500,proto UDPv4,comp-lzo,keydi
Tue May 11 22:49:49 2010 us=542546 XX.XXX.XXX.XXX:1192 Local Options hash (VER=V4): 'b9235e13'
Tue May 11 22:49:49 2010 us=542642 XX.XXX.XXX.XXX:1192 Expected Remote Options hash (VER=V4): '3ba3cf0b'
Tue May 11 22:49:49 2010 us=542980 XX.XXX.XXX.XXX:1192 TLS: Initial packet from XX.XXX.XXX.XXX:1192, sid=cd8baf02 1b194d22
Tue May 11 22:49:50 2010 us=90373 XX.XXX.XXX.XXX:1192 VERIFY OK: depth=1, /C=RU/ST=NA/L=Moscow/O=COMMERCE/CN=COMMERCE_CA/emailAddress=info@my_email.ru
Tue May 11 22:49:50 2010 us=92029 XX.XXX.XXX.XXX:1192 VERIFY OK: depth=0, /C=RU/ST=NA/L=Moscow/O=COMMERCE/CN=admin/emailAddress=info@my_email.ru
Tue May 11 22:49:50 2010 us=176696 XX.XXX.XXX.XXX:1192 TLS Auth Error: --client-config-dir authentication failed for common name 'admin' file='usr/local/etc/openvpn.ccd/admin'
Tue May 11 22:49:50 2010 us=208088 XX.XXX.XXX.XXX:1192 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue May 11 22:49:50 2010 us=208423 XX.XXX.XXX.XXX:1192 [admin] Peer Connection Initiated with XX.XXX.XXX.XXX:1192
Tue May 11 22:49:51 2010 us=217796 XX.XXX.XXX.XXX:1192 PUSH: Received control message: 'PUSH_REQUEST'
Tue May 11 22:49:51 2010 us=218108 XX.XXX.XXX.XXX:1192 Delayed exit in 5 seconds
Tue May 11 22:49:51 2010 us=218368 XX.XXX.XXX.XXX:1192 SENT CONTROL [admin]: 'AUTH_FAILED' (status=1)
Tue May 11 22:49:56 2010 us=281777 XX.XXX.XXX.XXX:1192 SIGTERM[soft,delayed-exit] received, client-instance exiting
 
 
игрался с правами ccd/admin - не помогло..
менял содержимое ccd/admin - не помогло
вообще удалял admin из ccd - картина та же, то есть как будто этот файл не читается совсем
 
не понимаю в чем может быть дело, повторюсь, без ccd все замечательно работает

Всего записей: 35 | Зарегистр. 12-03-2010 | Отправлено: 02:31 12-05-2010
attaattaatta



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
client-config-dir usr/local/etc/openvpn/ccd  
 

 

Цитата:
file='usr/local/etc/openvpn.ccd/admin'

 
найдите одно отличие

----------
Фрилансю

Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 06:36 12-05-2010
NIKEBORZOV



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Это ошибка переноса куска лог-файла, в лог файле все правильно - слэш, эх еслиб так было просто )

Всего записей: 35 | Зарегистр. 12-03-2010 | Отправлено: 00:28 13-05-2010
rain87



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
NIKEBORZOV
Цитата:
client-config-dir usr/local/etc/openvpn/ccd  
может client-config-dir /usr/local/etc/openvpn/ccd ?
проблема явно в том, что он не находит ccd файла для admin, а ccd-exclusive требует это как часть аутентификации

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat

Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 11:39 13-05-2010
NIKEBORZOV



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а я специально ccd-exclusive и поставил, без этой директивы клиенту выдаются стандартные общие параметры, так и удалось проблему "локализовать", теперь ясно что по каким-то причинам не читается файл admin из папки ccd, весь вопрос - почему не читается, что не так
 
вот он, может с ним что-то не так??? я закаментил в нем почти все
 
 /usr/local/etc/openvpn/ccd/admin
 
# Назначим клиенту статический IP адрес,
ifconfig-push 10.7.2.13 10.7.2.14
 
# Добавим клиенту маршрут к локальной сети центрального офиса
#push "route 192.168.210.0 255.255.255.0 192.168.7.1"
 
# Адрес подсети ЗА клиентом
#iroute 192.168.100.0 255.255.255.0
#iroute 192.168.1.0 255.255.255.0

Всего записей: 35 | Зарегистр. 12-03-2010 | Отправлено: 22:41 13-05-2010
rain87



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
NIKEBORZOV
я ж написал, что не так
Цитата:
может client-config-dir /usr/local/etc/openvpn/ccd ?  
в логе овпн пишет usr/local/etc/openvpn/ccd  

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat

Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 23:18 13-05-2010
NIKEBORZOV



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
простите, не понял сначала.. я пробовал по всякому,
client-config-dir /usr/local/etc/openvpn/ccd
client-config-dir usr/local/etc/openvpn/ccd
client-config-dir ccd
 
с одним и тем же результатом. создал новый ключ, тоже самое
 
Thu May 13 23:59:51 2010 MULTI: multi_create_instance called
Thu May 13 23:59:51 2010 XX.XXX.XXX.XXX:1192 Re-using SSL/TLS context
Thu May 13 23:59:51 2010 XX.XXX.XXX.XXX:1192 LZO compression initialized
Thu May 13 23:59:51 2010 XX.XXX.XXX.XXX:1192 Control Channel MTU parms [ L:1538 D:162 EF:62 EB:0 ET:0 EL:0 ]
Thu May 13 23:59:51 2010 XX.XXX.XXX.XXX:1192 Data Channel MTU parms [ L:1538 D:1450 EF:38 EB:135 ET:0 EL:0 AF:3/1 ]
Thu May 13 23:59:51 2010 XX.XXX.XXX.XXX:1192 Local Options hash (VER=V4): 'b9235e13'
Thu May 13 23:59:51 2010 XX.XXX.XXX.XXX:1192 Expected Remote Options hash (VER=V4): '3ba3cf0b'
Thu May 13 23:59:51 2010 XX.XXX.XXX.XXX:1192 TLS: Initial packet from XX.XXX.XXX.XXX:1192, sid=4e1af246 b0d663da
Thu May 13 23:59:51 2010 XX.XXX.XXX.XXX:1192 VERIFY OK: depth=1, /C=RU/ST=NA/L=Moscow/O=COMMERCE/CN=COMMERCE_CA/emailAddress=info@my_email.ru
Thu May 13 23:59:51 2010 XX.XXX.XXX.XXX:1192 VERIFY OK: depth=0, /C=RU/ST=NA/L=Moscow/O=COMMERCE/CN=prokof/emailAddress=info@my_email.ru
Thu May 13 23:59:51 2010 XX.XXX.XXX.XXX:1192 TLS Auth Error: --client-config-dir authentication failed for common name 'prokof' file='/usr/local/etc/openvpn/ccd/prokof'
Thu May 13 23:59:51 2010 XX.XXX.XXX.XXX:1192 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu May 13 23:59:51 2010 XX.XXX.XXX.XXX:1192 [prokof] Peer Connection Initiated with XX.XXX.XXX.XXX:1192
Thu May 13 23:59:53 2010 XX.XXX.XXX.XXX:1192 PUSH: Received control message: 'PUSH_REQUEST'
Thu May 13 23:59:53 2010 XX.XXX.XXX.XXX:1192 Delayed exit in 5 seconds
Thu May 13 23:59:53 2010 XX.XXX.XXX.XXX:1192 SENT CONTROL [prokof]: 'AUTH_FAILED' (status=1)
Thu May 13 23:59:58 2010 XX.XXX.XXX.XXX:1192 SIGTERM[soft,delayed-exit] received, client-instance exiting

Всего записей: 35 | Зарегистр. 12-03-2010 | Отправлено: 00:10 14-05-2010
attaattaatta



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
NIKEBORZOV
Выведите сюда CN сертификата prokof
 
плюс кусок лога после добавления в конфиг опции verb 5, обязательно используйте тэг more

----------
Фрилансю

Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 05:02 14-05-2010
NIKEBORZOV



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
attaattaatta
 
CN сертификата prokof - есть prokof,
 
сертификаты генерил с помощью pkitool, с паролями - и для CA и для клиентов.
 
лог с verb5 я только завтра смогу выложить

Всего записей: 35 | Зарегистр. 12-03-2010 | Отправлено: 01:31 17-05-2010
OtsHELLnik

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2 ALL
Стоит задача: настороить 2 маршрута (основной + резерв) в одну сеть через разных провайдеров, чтоб при возникновении сбоя впн прокидывался через резерв, а в случае устранения сбоя впн переподключался через основной канал.
На данный момент: на серваке Win 2003 r2 serv настроен опенвпн в режиме сервера объединяет 3 сети (резерва нет) все работает, все пингуется.
Настроил еще один конфиг в режиме р2р, по отдельности оба конфига замечательно работают, но не работают одновременно, в систему добавляется только маршрут одного из них, а не оба. Приходится включать резерв руками, что не всегда возможно, ну и возвращаться на основной канал приходится тож ручкаме.
Вопрос:  
Реально ли вообще решить вышеуказанную задачу одним конфигом?
Как корректно прописать резервные маршруты?
Как правильно в конфиге прописывается метрика?
 
Заранее всем спасибо за советы!

Всего записей: 30 | Зарегистр. 28-09-2007 | Отправлено: 12:01 24-05-2010
avangardist



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день!
Подскажите пожалста, как пустить клиента в локалку так, чтобы у него был статический айпи в этой сети, и клиент виделся остальным машинам в сети. Требуется полноценная работа в домене. Насколько я понял из описаний tun/tap, для этого используется второй. Сервер openvpn (linux) не является ни контроллером АД, ни ДНС, ни шлюзом в своей сети.
 
Получилось пока только настроить tap c ifconfig-ом, не совпадающим с диапазоном локалки.

Всего записей: 147 | Зарегистр. 04-07-2006 | Отправлено: 13:28 24-05-2010
Orion_76



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
avangardist
А он точно должен быть в этой подсети? Может необязательно?
Я чет плохо представляю, как маршрут в эту же подсеть прописывать через шлюз?
Подумайте...оно вам надо?
Может как то проще?
Опишите задачи, которые эта рабочая станция будет выполнять....

Всего записей: 386 | Зарегистр. 02-11-2007 | Отправлено: 17:21 24-05-2010
slay1212

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вопросы: Надо получить rdp  через openvpn. Сервак w2k3 клиент w7 x64.
 Оба компа выходят в инет через железки - длинк.  
1. Что нужно прописать на железках сервака и клиента? Достаточно ли форвардинга 1194 порта на сервак впн? Форвардинг потров на обоих железках нужен или только на серверной стороне?  
 2. Последняя версия оренвпн нормально работает в w7 x64?

Всего записей: 336 | Зарегистр. 28-05-2008 | Отправлено: 15:54 26-05-2010
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru