» OpenVPN

destroyer861
а почему весь конфиг закомментирован? или это такой прикол?
UAC в винде включен?

Уважаемые коллеги, подозреваю, что в задаваемом вопросе нет функционала для OpenVPN, но все-таки надеюсь на любую помощь. Ситуация:
Сервер win2003r2.
2 карты. 3-й интерфейс - OpenVPN.
Одна из карт смотрит в инет и обьединена в мост с интерфейсом OpeVPN'a. Клиенты коннектятся и конфигурятся через персональные настройки, все работает, все устраивает.
Одному из VPN-клиентов требуется ограничить доступ только к одному из компьютеров в сети. VPN-адрес клиента постоянен.
Понимаю, что информации сообщил минимум, но, не зная какая потребуется конкретно, пока не вижу смысла постить конфиги и мои домыслы
Если есть возможность решить данную задачу - сообщу дополнительные сведения по соединениям.

beda65
ну это, по всей видимости, задача для фаервола. как с этим в виндоус, я плохо знаю, лучше спросить админов виндоус

rain87
задумка пока в голове такая - вкорячить туда портированый IPFW, и запретить с клиентского IP все коннекты ну хотя бы по netbios, и отдельной строкой разрешить это же на требуемую машину. Других простецких костылей пока не вижу.

beda65
ну если нативных средств никаких нет в винде (хотя странно это), то можно и так сделать

beda65
а может попробовать использовать Фильтры входа Фильтры выхода в фильтры статических пакетов http://technet.microsoft.com/ru-ru/library/cc732746%28WS.10%29.aspx

fire667
Спасибо, но RRAS поднимать нет желания на работающей системе
Тем более, что указанная статья по 2008 серверу.

Цитата:

Да,кстати,забыл попробывать выключить встроенный фаер и каспера,как только выдастся возможность - попробую

Пробовал вырубить то и другое,как я и думал - дело не в этом,увы...

ALEKCEN
попробуйте tracert на любой внешний адрес(интернет)
будет видно где "пробка"

Цитата:

попробуйте tracert на любой внешний адрес(интернет)
будет видно где "пробка"

Это мне навряд-ли поможет,т.к. я знаю,что проблема именно в том ПК на котором установлен VPN.

Я на 99% уверен,что дело в ICS и зависимых служб и на 1%,что дело в других службах,т.к. инэт не раздаётся даже через обычный VPN-сервер встроенный в винду XP.
Вот только загвоздка в том,что я всех служб (включая зависимых и других (возможно других)) нужных для раздачи инэта таким способом - не знаю.

Вы бы тогда хотя бы схемку сети обрисовали...а то ничего непонятно.
У Вас несколько удаленных локальных сетей, объедененных в VPN, в одной из локалок имеется шлюз в интернет и все остальные локалки должны ходить в инет через него?
Если да, то какова схема vpn?
В одной локалке стоит сервер-VPN, а в других по одному клиенту, через который остальные машины сети должны ходить в интернет?

Поподробнее пожалуйста...

Здравствуйте,
подскажите плиз
Имеется удалённый компьютер, который подключается посредством OpenVPN к сети организации. У компьютера IP 172.16.8.2, у организации адресация 192.168.20.* Возникла необходимость, что бы данный компьютер посредством VPN-соединения через нашу сеть попадал в другую сеть с адресацией 192.168.0.* для работы по RDP. По идее, нужно прописать статический маршрут, но есть одно НО: адресация сети, через которую удалённый компьютер выходит в инет так же имеет адресацию 192.168.0.* Я правильно понимаю, что прописывание статического маршрута для доступа к сети 192.168.0.* посредством VPN в итоге отрубит компьютеру и инет, и VPN, который работает через этот инет, т.к. трафик локальной сети будет заворачиваться на VPN? Есть ли иное решение?

Подсеть может иметь менее 255 адресов..
http://ip-calculator.ru/

Romanvrsk
надо перед прописыванием маршрута 192.168.0.* через впн явно прописать, через какой сетевой интерфейс доступен интернет шлюз

Orion_76
подсеть может иметь от 2 до 2^31 адресов, зависит от маски подсети

Цитата:

в одной из локалок имеется шлюз в интернет и все остальные локалки должны ходить в инет через него?

Ну да,типо того.Инэт раздаётся через ICS или,если быть проще - через расшаренное соединение...не знаю,как ещё подробнее описать.Дак вот из-за того,что связь с провайдером - не хочу терять,приходится строить виртуальную сеть.Т.е. еслиб на сеть провайдера было-бы паралельно - прописал-бы вместо шлюза\днса ип компа с расшаренным инэтом и всего-то делов (правда не пробовал так и не знаю,что потеряю,но всё-таки - лучше для меня "виртуалка")


Цитата:

Если да, то какова схема vpn?

эээммм...да хрен его знает.По-подробнее давайте.


Цитата:

В одной локалке стоит сервер-VPN, а в других по одному клиенту, через который остальные машины сети должны ходить в интернет?

Да,локальная сеть - одна и доступ достаточный для раздачи инэта - есть (уже не раз проверено,но возникла запарка с службами или чем-то ещё и по такому-же точно способу - ничего не получается)

Цитата:

Вы бы тогда хотя бы схемку сети обрисовали.

Не хотите вы себе помогать


Цитата:

Ну да,типо того

ОООччччень содержательно.

Вы можете картинку-схемку нарисовать что как к чему подключается?
Какие IP адреса, на каких компах Openvpn и т.д.

Наверное, частая проблема. Прошу совета.
OpenVPN клиент один день поработал на Win7, а на следующий день не работает.
Фаервол отключать пробовал.
Пишет
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
TLS Error: TLS handshake failed

На клиенте-линуксе (дуалбут) подключение как работало, так и работает.

solved: reason Avast

ChiPnGo
Проверьте сетевое соединение ,настройки сети, файервол.

Цитата:

Не хотите вы себе помогать

Дак вы скажите какого вы описания (картинки) вы хотите от меня увидеть.Что представляет наша сеть по которой планируется "провести" VPN ?

Набрасал,как мог:

i4.imageban.ru/out/2010/11/13/8aa6d54d7c616b80466930a726a3984b.jpg

Вроде понятно всё.

ALEKCEN
странная схема


Добавлено:
ChiPnGo
проверь что бы служба OpenVPN была в автомате , а то семерка любит отложенный запуск !!

Цитата:

Набрасал,как мог:

Укажите:
1.диапазон айпи-адресов в локальной сети.
2.диапазон айпи-адресов в VPN сети.
3.Тип связи с провайдером интернета.

4.Какой комп - vpn-сервер
5.Какой комп - vpn-клиент


И вообще..Для чего все это? Может, то что вы хотите можно реализовать по проще?

всем доброго, помогите разобраться с ошибкой:
у себя ставлю клиента на W2003 S EE
у прова (спутниковый инте) подключение oVPN
прислали 4 файлика: ca.crt, client.crt, client.csr, client.key и client.conf
последний переименовал в *.ovpn, в нем же поменял пути в каталог config (не понял что за файл client.csr... но оставил там же)
в итоге имею при коннекте сообщение:
"There is a problem in your selection of --ifconfig endpoints [local=здесь_назначенный_мне_статический_IP, remote=172.16.0.1]. The local and remote VPN endpoints must exist within the same 255.255.255.252 subnet. This is a limitation of --dev tun when used with the TAP-WIN32 driver. Try 'openvpn --show-valid-subnets' option for more info."
где и что не так?
...
в остальном логе ошибок не вижу....
....
конф файл
client
dev tun
proto udp
remote 80.81.208.6 1194
resolv-retry infinite
nobind
user nobody
group nobody
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
cipher DES-EDE3-CBC
comp-lzo
verb 3

Цитата:

Укажите:
1.диапазон айпи-адресов в локальной сети.
2.диапазон айпи-адресов в VPN сети.
3.Тип связи с провайдером интернета.

4.Какой комп - vpn-сервер
5.Какой комп - vpn-клиент


И вообще..Для чего все это? Может, то что вы хотите можно реализовать по проще?

1.У нашего провайдера - не одна сеть,да и вообще - зачем тебе оно ? ладно,ради примера укажу один из своих сегментов: 94.31.172.x
2.В опенвпн - он один,в простом впне - другой.Опенвпн - 10.8.0.0 255.255.255.0 хотя...это не диапазон,а ип+маска...а ип начисляется от нуля и выше...хз до скольки.В обыном впне - 1.0.0.0 -- 1.0.0.1
3.Тип связи ? хмм...ну есть - через впн (необычный,очень похожый на опенвпн) и авторизатор (в нём прописывается номер пасс от договора (если можно так выразиться) он пускает в инэт,без смены ип и бла бла бла))
4.В данном случае - комп1 или комп2 (если первый - сервер,то второй - клиент и наоборот)
5.В данном случае - комп1 или комп2 (если первый - сервер,то второй - клиент и наоборот)

При чём тут эти лишние вопросы - я не понимаю.Мне надо-то - узнать,что с DHCP (вроде через него в моём случае даётся ип-адрес) и что с ICS с помощью которой хочу "взять" инэт.А может дело и в зависимых службах...

Цитата:

зачем тебе оно

Для тебя, ессно, все это очевидно, а для меня "ХЗ что в мешке")
Если я правильно понял.
1.У провайдера есть ЛОКАЛЬНАЯ сеть.
2.Все компы (комп1, комп2 и т.д.) входят в эту сеть.
3.При авторизации компу открывается шлюз "наружу"(в интернет).
4.Ты хочешь подключать к интернету ,например, комп1, а комп2 подключался бы к интернету через него.
Я правильно понял?
Даже если неправильно, что-то мне подсказывает, что все дело в маршрутизации.


Цитата:

3.Тип связи ? хмм...ну есть -

Я имел ввиду adsl ethernet 3G или что-то еще...


Цитата:

5.В данном случае - комп1 или комп2 (если первый - сервер,то второй - клиент и наоборот)

При стандартных настройках OpenVPN, обычно роли компов статичны, для чего это?

Цитата:

Я правильно понял?
Даже если неправильно, что-то мне подсказывает, что все дело в маршрутизации.

Да,ты правильно понял.


Цитата:

Я имел ввиду adsl ethernet 3G или что-то еще...

аа,ethernet


Цитата:

При стандартных настройках OpenVPN, обычно роли компов статичны, для чего это?

Не понял эту фразу.

Помогите пожалуйста настроить OpenVPN как шлюз. Задача в следующем, хочу для себя сделать VPN сервер на удаленной машине, как дополнительную защиту. Т.е. при подключении к VPN хочу чтобы весь мой трафик шел через VPN сервер.

Есть удаленный сервер на Windows 2003 WE, там стандартный VPN поддерживает только 1 соединение, поэтому решил использовать OpenVPN. Установил последний OpenVPN GUI с сайта разработчика. Доступ к локальной сети не нужен. Создал все нужные сертификаты/ключи, настроил конфиг следующим образом:

Код: port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 172.17.100.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "dhcp-option WINS 172.17.100.1"
push "dhcp-option DNS 172.17.100.1"
push "dhcp-option DOMAIN vpn.local"
push "redirect-gateway"
keepalive 10 120
comp-lzo
max-clients 3
persist-key
persist-tun
status openvpn-status.log
verb 3

Цитата:

Да,ты правильно понял.

Странно, если все компы во внутренней сети провайдера доступны друг-другу.....эээ... чет здесь не так, но если даже так, то vpn не нужен, достаточно расшарить подключение(ICS) на компе с интернетом, а на другом компе указать этот комп в качесте шлюза...

Но как-то это все очень просто.

Baloven1
Цитата:

не понял что за файл client.csr... но оставил там же

этот файл не нужен, смело можно удалять
по поводу конфига. раз уж он под виндоус, строки
Цитата:

user nobody
group nobody

удалить или закомментить
по поводу
Цитата:

"There is a problem in your selection of --ifconfig endpoints [local=здесь_назначенный_мне_статический_IP, remote=172.16.0.1]. The local and remote VPN endpoints must exist within the same 255.255.255.252 subnet. This is a limitation of --dev tun when used with the TAP-WIN32 driver. Try 'openvpn --show-valid-subnets' option for more info."

похоже на ограничение винды. лучше обратись в суппорт, который предоставляет тебе овпн и спроси как быть

Добавлено:
а, ещё. можешь попробовать добавить в конфиг строку
topology subnet

Добавлено:
omihaz
не вникал особо, но очень похоже, что овпн ставит свой дефолтный гейт, в результате чего теряется связь с овпн сервером. чтобы избежать этого, надо перед подключением овпн прописать отдельный роут для сервера овпн

т.е. на своей, клиентской, машине ДО подключения овпн делаешь в консоли
route print
получаешь нечто вроде
Код: IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.0.3.2 10.0.3.15 10
10.0.3.0 255.255.255.0 On-link 10.0.3.15 266
10.0.3.15 255.255.255.255 On-link 10.0.3.15 266
10.0.3.255 255.255.255.255 On-link 10.0.3.15 266
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.0.3.15 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.0.3.15 266
===========================================================================
Постоянные маршруты:
Отсутствует

Цитата:

Но как-то это все очень просто.

Ну как-бэ я и без тебя это знал,но это не вариант.Надо именно ICS+VPN.

rain87
Спасибо а ответ, похоже на то, но предложенные варианты ошибки не исправили, саппорт говорит - читайте документацию
Эти убрал:

Цитата:

user nobody
group nobody

Добавление этой строки:

Цитата:

topology subnet

Ошибки не исправляет


Цитата:

[local=80.81.215.ххх, remote=172.16.0.1]. The local and remote VPN endpoints must exist within the same 255.255.255.252 subnet.

я так понимаю что все же ошибка на стороне прова, адрес назначаемый мне и адрес сервера отличаются и не входят в одну подсеть??? или я не прав???