Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Открыть новую тему     Написать ответ в эту тему

WarlockNT



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тема в Программах



OpenVPN - свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами находящимися за NAT-firewall без необходимости изменения его настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL.

Официальный сайт
Страница загрузки
OpenVPN GUI for Windows || The Windows installers are bundled with OpenVPN-GUI
Настройка OpenVPN сервера под Windows
Документация (на английском)
OpenVPN Windows HowTo (на английском)
OpenVPN HowTo (на русском)
Документация на русском
OpenVPN for PocketPC

FAQ
Генерация сертификатов и ключей - сертификаты и ключи нужны только при TLS-аутентификации (--tls-server или --tls-client)
Как прописать сертификаты прямо в конфиг клиента.
• Разрешить запуск и остановку службы openvpnservice обычным пользователям без прав администратора можно бесплатной утилитой svcadmin (см. "Демонстрационные программы", зеркало).
Всего записей: 210 | Зарегистр. 20-01-2003 | Отправлено: 07:48 01-08-2005 | Исправлено: shrmn, 11:53 29-05-2022
Shad0wl0rd



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
phaoost
Каким образом можно задействовать NAT в OpenVPN?
 
Добавлено:
phaoost - как в OpenVPN поднять NAT,(в винд ене получится,т.к. это 2008 web edition)
Всего записей: 253 | Зарегистр. 02-01-2006 | Отправлено: 09:10 22-08-2010
phaoost

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Shad0wl0rd
nat делается средствами вашей ос, openvpn для этого не предазначен
Всего записей: 162 | Зарегистр. 26-08-2005 | Отправлено: 11:15 22-08-2010
ALEKCEN



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Как сделать авторизацию по имени паролю в OpenVPN ?
 
 
Мануалов по настройке OpenVPN - давольно много (хотелось-бы - больше,ну да ладно),но вот по настройке авторизации (аутентификации) по "имя"\"пасс" - нету,как такую авторизацию организовать,не подскажите ? Чтобы при подключении к опенвнп - требовал лишь ввести имя\пасс без всяких там сертификатов и т.д. и т.п.

----------
...
Всего записей: 687 | Зарегистр. 08-04-2008 | Отправлено: 11:44 24-08-2010
Orion_76



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ALEKCEN
http://ksimute.trancom.ru/openvpn.shtml
Вот сдесь подробно написано как сделать сеть со стандартными ключами (одни на всех)
 
Про авторизацию по паролю...
 
Выдержка из описания ключей конфигов:
взято отсюда -  http://tuxnotes.ru/articles.php?a_id=26

Цитата:
 
Методы аутентификации
 
 
auth-user-pass-verify < script > < method > - указывается только на серверной стороне.
< script > - путь к скрипту, который будет производить авторизацию. Скрипт должен возвращать 0 если авторизация успешна, и соответственно, 1 если авторизация не успешна.
< method > - метод авторизации, может быть двух типов: via-env и via-file
 
auth-user-pass < file >- указывается на клиентской стороне. Параметр не обязателен, если он отсутствует то будет предложено ввести пару логин/пароль.
должен содержать имя пользователя и пароль в двух строчках:
username
password
 
client-cert-not-required - отключает авторизацию по сертификатам.
 
 

 Вот кстати поподробнее с примерами скриптов авторизации:
http://www.lissyara.su/articles/freebsd/security/openvpn+auth/
 
PS найдено при помощи гугля по запросу "openvpn авторизация логин пароль" на первой странице результата запроса.
Всего записей: 386 | Зарегистр. 02-11-2007 | Отправлено: 12:41 24-08-2010 | Исправлено: Orion_76, 12:49 24-08-2010
nick7inc



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Shad0wl0rd

Цитата:
задействовать NAT в OpenVPN

В OpenVPN есть маршрутизация пакетов, но только в пределах VPN сети. Если у вас VPN сеть уже настроена в режиме маршрутизации, то самое простое сделать вам прокси на OpenVpn сервере. А если вам нужно, чтобы входящие соединения проходили, то надо делать другими средствами.  
 
P.S. Может Вам проще роутер купить?

----------
Джин, не лезь в бутылку.
Всего записей: 1138 | Зарегистр. 04-05-2007 | Отправлено: 14:57 24-08-2010
rain87



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ALEKCEN
http://forum.ru-board.com/topic.cgi?forum=8&topic=11656&start=480#18 вот тут задавали вопрос этот, вроде всё расписано

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat
Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 15:34 24-08-2010
ALEKCEN



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
client-cert-not-required - отключает авторизацию по сертификатам.

 
Тоже указывается на клиентской машине ?
 

Цитата:
вот тут задавали вопрос этот, вроде всё расписано

Расписано-то расписано,но нефига не понятно,да и тот чувак делал - по сертификату и бла бла бла,а мне надо - чем проще,тем лучше.
 
Т.е. кофиг сервера - будет состоять - из одной строки,а клиентской - из двух ? или есть ещё какие-то обязательные строчки ?
Если кому-нибудь не сложно - вывесите готовый конфиг с такой авторизацией,а то проксики\носки и прочую лабуду - в лёгкую настраивал,а вот с опенвпном - всё никак не могу подружится...слишком в нём - всё скрыто и большая часть мануалов - или на инглише или на линукс и прочую дрянь.

----------
...
Всего записей: 687 | Зарегистр. 08-04-2008 | Отправлено: 10:02 25-08-2010
dim918

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день. Немного почитав про OPENVPN, решил создать сеть ОФИС(192.168.1.x) - ДОМ(192.168.1.11) в офисе и дома стоят AdSL модемы настроенные роутером  
 
получилось состряпать такой файл сервера
 
port 1194
proto udp
dev tun
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"  
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.key"
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"
;dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
 
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
 
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
 
и такой файл клиента
 
client
dev tun
proto udp
remote dim918.no-ip.org 1194
;remote my-server-2 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\client1.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\client1.key"
ns-cert-type server
comp-lzo
verb 3
 
из дома (сервер) пингуется 10.8.0.6  
из офиса (клиент)  10.8.0.1
но расшаренных папок не вижу  
 
 
на обоих модемах проброс портов сделал
 
лог клиента
Thu Sep 16 23:10:26 2010 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Thu Sep 16 23:10:26 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Sep 16 23:10:27 2010 LZO compression initialized
Thu Sep 16 23:10:27 2010 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Sep 16 23:10:27 2010 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Sep 16 23:10:27 2010 Local Options hash (VER=V4): '41690919'
Thu Sep 16 23:10:27 2010 Expected Remote Options hash (VER=V4): '530fdded'
Thu Sep 16 23:10:27 2010 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Sep 16 23:10:27 2010 UDPv4 link local: [undef]
Thu Sep 16 23:10:27 2010 UDPv4 link remote: 95.84.18.225:1194
Thu Sep 16 23:10:27 2010 TLS: Initial packet from 95.84.18.225:1194, sid=86f5a888 10e55c9d
Thu Sep 16 23:10:28 2010 VERIFY OK: depth=1, /C=RU/ST=VT/L=Saratov/O=HOMe/OU=Home1/CN=dim918.no-ip.org/emailAddress=dim918@yandex.ru
Thu Sep 16 23:10:28 2010 VERIFY OK: nsCertType=SERVER
Thu Sep 16 23:10:28 2010 VERIFY OK: depth=0, /C=RU/ST=VT/O=HOMe/CN=server/emailAddress=dim918@yandex.ru
Thu Sep 16 23:10:30 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Sep 16 23:10:30 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Sep 16 23:10:30 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Sep 16 23:10:30 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Sep 16 23:10:30 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Sep 16 23:10:30 2010 [server] Peer Connection Initiated with 95.84.18.225:1194
Thu Sep 16 23:10:32 2010 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Thu Sep 16 23:10:32 2010 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Thu Sep 16 23:10:32 2010 OPTIONS IMPORT: timers and/or timeouts modified
Thu Sep 16 23:10:32 2010 OPTIONS IMPORT: --ifconfig/up options modified
Thu Sep 16 23:10:32 2010 OPTIONS IMPORT: route options modified
Thu Sep 16 23:10:32 2010 ROUTE default_gateway=192.168.1.1
Thu Sep 16 23:10:32 2010 TAP-WIN32 device [Подключение по локальной сети 4] opened: \\.\Global\{BF044FC1-C256-406E-92B4-5AC1B77422F6}.tap
Thu Sep 16 23:10:32 2010 TAP-Win32 Driver Version 9.6  
Thu Sep 16 23:10:32 2010 TAP-Win32 MTU=1500
Thu Sep 16 23:10:32 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {BF044FC1-C256-406E-92B4-5AC1B77422F6} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Thu Sep 16 23:10:32 2010 Successful ARP Flush on interface [3] {BF044FC1-C256-406E-92B4-5AC1B77422F6}
Thu Sep 16 23:10:38 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Sep 16 23:10:38 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Sep 16 23:10:42 2010 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Thu Sep 16 23:10:42 2010 WARNING: potential route subnet conflict between local LAN [192.168.1.0/255.255.255.0] and remote VPN [192.168.1.0/255.255.255.0]
Thu Sep 16 23:10:42 2010 C:\WINDOWS\system32\route.exe ADD 192.168.1.0 MASK 255.255.255.0 10.8.0.5
Thu Sep 16 23:10:42 2010 Route addition via IPAPI succeeded [adaptive]
Thu Sep 16 23:10:42 2010 C:\WINDOWS\system32\route.exe ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
Thu Sep 16 23:10:42 2010 Route addition via IPAPI succeeded [adaptive]
Thu Sep 16 23:10:42 2010 Initialization Sequence Completed
 
 
Подскажите где ошибка!
Всего записей: 137 | Зарегистр. 20-10-2006 | Отправлено: 12:08 17-09-2010
rain87



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
dim918
для работы виндового smb требуется, чтоб интерфейс пропускал broadcast пакеты. т.е. для вас это выражается в том, что в обоих конфигах надо dev tun поменять на dev tap
 
Добавлено:

Цитата:
Thu Sep 16 23:10:42 2010 WARNING: potential route subnet conflict between local LAN [192.168.1.0/255.255.255.0] and remote VPN [192.168.1.0/255.255.255.0]
Thu Sep 16 23:10:42 2010 C:\WINDOWS\system32\route.exe ADD 192.168.1.0 MASK 255.255.255.0 10.8.0.5  
на это тоже стоит обратить внимание. в конфиге не заметил, где роуты устанавливаются эти

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat
Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 12:35 17-09-2010
dim918

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
спасибо попробую отпишусь
Всего записей: 137 | Зарегистр. 20-10-2006 | Отправлено: 12:59 17-09-2010
dim918

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо заработало!!!!!!!!!!!!!
Всего записей: 137 | Зарегистр. 20-10-2006 | Отправлено: 20:15 17-09-2010
dim918

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Один раз только соединился и все!?
 
Лог клиента  
 
Sat Sep 18 12:00:15 2010 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Sat Sep 18 12:00:15 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Sep 18 12:00:16 2010 LZO compression initialized
Sat Sep 18 12:00:16 2010 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sat Sep 18 12:00:16 2010 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Sat Sep 18 12:00:16 2010 Local Options hash (VER=V4): 'd79ca330'
Sat Sep 18 12:00:16 2010 Expected Remote Options hash (VER=V4): 'f7df56b8'
Sat Sep 18 12:00:16 2010 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Sep 18 12:00:16 2010 UDPv4 link local: [undef]
Sat Sep 18 12:00:16 2010 UDPv4 link remote: 79.126.83.223:1194
Sat Sep 18 12:01:16 2010 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sat Sep 18 12:01:16 2010 TLS Error: TLS handshake failed
Sat Sep 18 12:01:16 2010 TCP/UDP: Closing socket
Sat Sep 18 12:01:16 2010 SIGUSR1[soft,tls-error] received, process restarting
Sat Sep 18 12:01:16 2010 Restart pause, 2 second(s)
 
 
Ничего не менял, в чем причина непойму.
Всего записей: 137 | Зарегистр. 20-10-2006 | Отправлено: 09:32 20-09-2010
tankistua

Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
не знаю что у тебя там заработало, но в конфиге сервера не хватает банально tls-ключа на сервере
 

Код:
# For extra security beyond that provided
# by SSL/TLS, create an "HMAC firewall"
# to help block DoS attacks and UDP port flooding.
#
# Generate with:
#   openvpn --genkey --secret ta.key
#
# The server and each client must have
# a copy of this key.
# The second parameter should be '0'
# on the server and '1' on the clients.
tls-auth keys/ta.key 0

 
при том, что на клиенте указано использовать ключ

Цитата:
ns-cert-type server

 
И сам ключ опять не прописан

Код:
# If a tls-auth key is used on the server
# then every client must also have the key.
tls-auth ta.key 1

 
Добавлено:
P.S. через роутинг лучше объединять сети, отдельных клиентов лучше подключать в сеть через бриджинг - так просто удобней.
Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 10:50 20-09-2010
dim918

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо!
Всего записей: 137 | Зарегистр. 20-10-2006 | Отправлено: 17:43 20-09-2010
tankistua

Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
пожалуйста, будь внимательней.
Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 18:35 20-09-2010
rosalin



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
вышла версия 2.1.3
http://openvpn.net/release/openvpn-2.1.3-install.exe
Всего записей: 2625 | Зарегистр. 15-04-2003 | Отправлено: 21:37 20-09-2010
ALEKCEN



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кто-нибудь ответит на мои вопросы выше ?
Всего записей: 687 | Зарегистр. 08-04-2008 | Отправлено: 19:17 22-09-2010
phaoost

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ALEKCEN
вы бы хоть ман открыли, увидели бы что эта опция в режиме сервера а не клиента задаётся.
Всего записей: 162 | Зарегистр. 26-08-2005 | Отправлено: 21:00 22-09-2010
magiogre



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Прописал роутинг на каталисте - клиенты стали видеть сеть за сервером. Всё работает. Спасибо за ответы.
Всего записей: 104 | Зарегистр. 26-01-2009 | Отправлено: 09:59 23-09-2010
rain87



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
phaoost
так в том то и прикол, что человеку неохота, а хочется на блюдечке
Цитата:
слишком в нём - всё скрыто и большая часть мануалов - или на инглише или на линукс и прочую дрянь.
неохота после такой фразы как то отвечать - всё равно виноватый останешься

----------
матрица - это система. она и есть наш враг
everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat
Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 10:32 23-09-2010
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru