VPN: вся информация в этой теме - [32] :: В помощь системному администратору

Вот мой опыт по настройке впн сервака по pptp и openvpn на FC4 для виндовых клиентов

1.Для pptp конфиги сильно отличаются в зависимости от версий pptpd демона!
2.Ядро пришлось обновить для включения шифрования.

это мой options.pptpd для pptpd v1.3.0

name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 217.20.116.1
proxyarp
lock
nobsdcomp
novj
novjccomp
nologfd

Первый раз полезно запускать []#pptpd -D , тогда будет видно косяки при подключении.
Ошибки в логах типа "GRE error" как я понял после месячной возни на более старых системах ИМХО из-за несовместимости ядра и pptp c ppp. Решение только в обновлении всего подряд.Ж-)

Это pptp.conf

option /etc/ppp/options.pptpd
logwtmp
localip 192.168.1.2-20
remoteip 192.168.1.200-250

Не забудьте про настройки iptables и про файлик chap-secrets

Теперь про OPENVPN.

Генерим ключики и сертификаты для наших клиентов и сервера, смотри на openvpn.net там это подробно описано. Есть даже ссылочки на скрипты для упрощения создания онных.
Сам пакет прог для винды и линюха я закачал с openvpn.net

server.conf:

dev tap
proto udp
port 5000
mode server
float
ifconfig-pool 192.168.1.204 192.168.1.218 255.255.255.0
push "dhcp-option DOMAIN key.net"
push "dhcp-option DNS 217.20.115.1"
push "redirect-gateway def1"
ifconfig-pool-persist /etc/openvpn/ip_pool 0
status openvpn-status.log
keepalive 10 300
persist-key
client-to-client
up /etc/openvpn/up.sh
link-mtu 1500
tls-server
dh /etc/openvpn/rsa/keys/dh1024.pem
ca /etc/openvpn/rsa/keys/ca.crt
cert /etc/openvpn/rsa/keys/key.net.crt
key /etc/openvpn/rsa/keys/key.net.key
tls-auth ta.key 0
comp-lzo
comp-noadapt
verb 3
writepid /var/run/openvpn.pid

скриптик поднытия интерфейса

файл up.sh:

ifconfig tap0 192.168.1.1/24

раздадим айпишники статические для клиентов

файл ip_pool:

client1,192.168.1.204
client2,192.168.1.205
client3,192.168.1.206

Пришлось поставить атрибут только чтение даже для рута, чтоб каша не появлялась в айпи-пуле по непонятной мне причине.

Можно запущать:
openvpn --cd /etc/openvpn/rsa/keys --config /etc/openvpn/server.conf --daemon

Теперь клиент:
файл клиент.конф:

client
proto udp
port 5000
remote key.net #это наш сервак
ca ca.crt
cert client1.crt
key client1.key
tls-auth ta.key 1
pull
tap-sleep 1
dev tap
ifconfig-nowarn
ping 10
comp-lzo
comp-noadapt
verb 2
redirect-gateway def1
route-gateway 192.168.1.1

Ключи у клиента и сервера разумеется должны совпадать!
После подключения клиент должен пинговаться сервером, т.е. настройки фаервола у клиента должны разрешать входящий пинг, иначе глюки!

Вот и всё. В итоге при подключении клиент получает айпишник типа 192.168.1.204, шлюз будет 192.168.1.1 и днс 217.20.115.1
Если наш сервак стоит шлюзом где-нибудь, то можно дать доступ при помощи настройки iptables к интернету и внутренней сетке в офисе например, но это отдельная тема.

Ругайте, спрашивайте, хвалите.

ЗЫ Все пути к файлам случайны, смотрите вашу систему

колдовство с link-mtu не работает

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160