» OpenVPN

tankistua спасибо, помучаю бридж тогда, там вроде попроще.
я правильно понимаю, поменять конфиг на тот, который вы выложили выше, сбриджить интерфейсы и удаленные по VPN клиенты будут в одной сети с сервером с поддержкой сетевых ресурсов, принтеров и прочих прелестей?
вот только не вижу я запуск службы от админа ни к Openvpn ни к Маршрутизации
или типа сами Службы запускать от админа?

у клиента тоже надо запускать от администратора. Просто берете на ярлычке правой кнопкой мышки и запустить от администратора

с бриджом это не нужно - при бриджинге роутинг прописывать не надо.

конфиг работающий, но с freebsd. Подогнал под твои айпишники

tankistua
ifconfig 192.168.100.90 255.255.255.0
server-bridge 192.168.100.10 255.255.255.0 192.168.100.91 192.168.11.99
можно уточнить чем является 192.168.100.90 и 192.168.100.10? почему 192.168.100.10 не на 192.168.100.1 как обычно

Народ у шо-то меня вопрос возник тут.
Пускай OpenVPN настроен как в большинстве случаев через udp, но ведь udp не гарантирует доставку пакета, понятно что внутри тоннеля tcp пакеты инкапсулируются и идут с их точки зрения как обычно. Непоняток выглядит так: пусчай потерялись пару OpenVPN пакетов ну и соответственно часть данных, которую они тащили, работа при этом шла с какой-нить бд которая живет на tcp сессии, получается эта tcp сессия заново запросит пакет и по сути ни чего страшного не произойдет?
Выходит что мы просто добавляем возможность потери udp пакетов OpenVPN, к обычным косякам типа коллизии, хреновой изоляции проводов и пр??? Ну стало теряться чутка больше пакетов, при этом ничего критичного нового не произойдет?...

Alukardd
разумеется. фактически, овпн - аналог обычного линка, в котором могут теряться пакеты (и потеря, собственно, обусловлена в 99% самим физическим линком, в котором ходит овпн). и каждый транспортный протокол, который ходит внутри этого линка, сам решает эту проблему - или гарантирует доставку своей реализацией, как ТСП, или не гарантирует, как УДП

Осилил вобщем бридж, коннект к серверу идет, по IP с клиента сервак открывается, пинги идут с сервера и с клиента, но вот беда - клиент может зайти на виртуальный адрес сервака, а вот сервак, хотя и пингует - не может=(
server
[more]
port 1194

proto tcp-server

dev tap

ca c:\\OpenVPN\\ssl\\ca.crt
cert c:\\OpenVPN\\ssl\\server.crt
key c:\\OpenVPN\\ssl\\server.key # This file should be kept secret

dh c:\\OpenVPN\\ssl\\dh1024.pem

#ifconfig 192.168.0.75 255.255.255.0
server-bridge 192.168.0.75 255.255.255.0 192.168.0.200 192.168.0.254

#client-config-dir c:\\OpenVPN\\config\\ccd

client-to-client

keepalive 10 120

tls-auth c:\\OpenVPN\\ssl\\ta.key 0

comp-lzo

persist-key
persist-tun

status c:\\OpenVPN\\log\\openvpn_bridging-status.log

log c:\\OpenVPN\\log\\openvpn_bridging.log

verb 3
[/more]
client
[more]
client
pull
tls-client
dev tap
proto tcp
remote 192.168.100.100 1194
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
ns-cert-type server
ca "c:\\OpenVPNPortable\\ssl\\ca.crt"
cert "c:\\OpenVPNPortable\\ssl\\makkon.crt"
key "c:\\OpenVPNPortable\\ssl\\makkon.key"
tls-auth c:\\OpenVPNPortable\\ssl\\ta.key 1

verb 9
mute 20
[/more]
В чем дело может быть? В реестре правил обмен пакетами между интерфейсами на 1

makkonen
Цитата:

зайти на виртуальный адрес

что понимается под "заходом" ?

rain87

Цитата:

что понимается под "заходом" ?

зайти, значит написать что-то типа \\192.168.0.х или \\name и получить доступ к расшаренным сетевым ресурсам машины.

openvpn gui коннектится, ему выдается IP из диапазона 192.168.0.200-254
если более подробно, то на серваке 192.168.0.75 адрес, фиксированный. делаю бридж отключенного TAPa и локалки (роутер), прописываю также вручную 192.168.0.75 мосту, инет работает. если вручную не задавать мосту, то он получает другой адрес...запускаю сервак, выдает мол удачно все, телнетом чекаю 1194 порт и внешний адрес - коннектит.

на клиенте делаю тоже бридж аналогичным образом, там адреса из диапазона до 192.168.0.200. Нет коннекта с сервака... Пинги идут

Там какие-то премудрости есть что-ли? Может делать бридж без статики? или это уже неправильно?

makkonen
ну я не знаю. если клиент получает ИП, и этот ип пингуется, шара по любому должна работать. проверь файрволы, и попробуй без моста для начала сделать

rain87
фаерволы вырублены в сервисах. без моста имеете в виду теже конфиги? или делать tun?

makkonen
конфиги те же, просто не делать мост средствами ОС

Привет. Подскажите, возможно ли объединить две локальные сети средствами OpenVPN имея следующее:
ЛВС1: 192.168.1.0/24
для выхода в интернет провайдером выдан статический IP.
стоит маршрутизатор d-link dir120. На всех машинах в качестве шлюза для выхода в интернет указан IP этого маршрутизатора. Есть машина с Win2003 Server.

ЛВС2 (все аналогично): 192.168.1.0/24
для выхода в интернет провайдером выдан статический IP (отличный от IP в ЛВС1).
стоит маршрутизатор d-link dir120. На всех машинах в качестве шлюза для выхода в интернет указан IP этого маршрутизатора. Есть машина с Win2003 Server.

ip адреса в сетях не пересекаются (в первой: 192.168.1.120 - 192.168.1.180, во второй: 192.168.1.20 - 192.168.1.80).

Можно ли, ничего не меняя в структуре сетей поднять openVPN ? Хотелось бы, чтобы клиент и сервер openvpn были подняты на машинах с Win2003 Server. Но они (машины с Win2003Server) ведь "смотрят" в интенет через маршрутизаторы d-link dir120. Поэтому нужно как то, наверное, настроить port mapping на этих маршрутизаторах? Или как?
Или же придётся убирать маршрутизаторы d-link dir120 из сетей, добавлять сетевые адаптеры в машины с Win2003Server, настраивать на них прокси-сервер (чтобы все остальные через него в интернет ходили) и только потом поднимать между этими машинами (c Win2003Server) OpenVPN ?
Принимаются любые советы.

samec2011
Как мне кажется нужно настроить маршрутизатор на одной стороне, там где будет OpenVPN сервер,
мапить порт openvpn на машину с Win2003 Server, с установленным OpenVPN сервер.

Ну а дальше дело техники , указать в настройках openvpn маршруты , и должно заработать

samec2011
как и сказал rosalin, надо настроить портмаппинг на одном маршрутизаторе (в той сети, в которой будет сервер овпн)

а дальше - поскольку адреса подсетей одинаковые, да ещё и ИП адреса не пересекаются - проще всего соединить сети мостом. если не хочется мост - можно выделить адреса каждой сети в отдельные подсети, и разрулить их маршрутизацией. дело вкуса, в общем. и потребностей

samec2011 Вот ссылка вроде почти под твой вариант, только под линукс. И почитай там последний комментарий.

Добавлено:
Похоже нашёл причину не возврата пакетов на vpn-клиента
На сервере вот такое

Код: root@ovpn:~# arp -a
? (192.168.1.210) at <incomplete> on br0

Hkey_Current_User
судя по тому, что сервер не смог найти мак клиента (а мак узнаётся бродкастом), можно предположить, что с мостом что то не так

Hkey_Current_User
Несколько не то, что нужно - у меня dir 120-е маршрутизаторы стоят и в той и в другой сетях - они не поддерживают OpenWRT. Поэтому так же настроить не получится (или я не прав??).

rain87, rosalin
для первой сети (там где овпн сервер):

ip адрес маршрутизатора (локальный) 192.168.1.6
ip адрес машины с WinServer2003: 192.168.1.5

1. Настроил портмаппинг на маршрутизаторе (все что идёт на 1194 порт маршрутизатора - уходит на 1194 порт машины с WinServer2003).
2. Сделал мост между Сетевым адаптером и Виртуальным адаптером (который ovpn при установке создаёт) на машине с WinServer2003.
3. В этом мосте настроил протокол интернете TCP/IP:
IP адрес 192.168.1.5, маска 255.255.255.0, шлюз 192.168.1.6, dns 192.168.1.6.
4. конфиг сервера:

Код: mode server
port 1194
proto udp
dev tap
ca ca.crt
cert serverp.crt
key serverp.txt
dh dh1024.pem
client-to-client
;duplicate-cn
keepalive 10 120
tls-server
tls-auth ta.txt 0
cipher BF-CBC
comp-lzo
;max-clients 100
;user nobody
;group nobody
persist-key
persist-tun
status openvpn-status.log
;log openvpn.log
;log-append openvpn.log
verb 3
mute 20

а чего у тебя айпишники одинаковые в сетях?

Добавлено:
а, ты их забриджевать хочешь.
я не знаю насколько это реально - я через роутинг сети всегда объединяю, но для бриджинга не хвататет

# Configure server mode for ethernet bridging.
# You must first use your OS's bridging capability
# to bridge the TAP interface with the ethernet
# NIC interface. Then you must manually set the
# IP/netmask on the bridge interface, here we
# assume 10.8.0.4/255.255.255.0. Finally we
# must set aside an IP range in this subnet
# (start=10.8.0.50 end=10.8.0.100) to allocate
# to connecting clients. Leave this line commented
# out unless you are ethernet bridging.

ifconfig 192.168.11.10 255.255.255.0
server-bridge 192.168.11.10 255.255.255.0 192.168.11.11 192.168.11.19

добавил в овнп-сервер конфиг:

Код:
mode server
port 1194
proto udp
dev tap
ca ca.crt
cert serverp.crt
key serverp.txt
dh dh1024.pem
ifconfig 192.168.1.5 255.255.255.0
server-bridge 192.168.1.5 255.255.255.0 192.168.1.7 192.168.1.10
client-to-client
;duplicate-cn
keepalive 10 120
tls-server
tls-auth ta.txt 0
cipher BF-CBC
comp-lzo
;max-clients 100
;user nobody
;group nobody
persist-key
persist-tun
status openvpn-status.log
;log openvpn.log
;log-append openvpn.log
verb 3
mute 20

samec2011

Цитата:

а на клиенте надо мост средствами винды делать, между виртуальным и смотрящим в локалку сетевыми адаптерами? Или нет?

конечно надо. именно это и надо делать, чтоб был мост

непойму зачем эти строчки:

ifconfig 192.168.1.5 255.255.255.0
server-bridge 192.168.1.5 255.255.255.0 192.168.1.7 192.168.1.10

если я прописываю все IP руками???? Мне не нужно, чтобы на клиенте IP автоматом выдавался - хочется чтобы он был статический.
Без этих строк никак???

Добавлено:
И ещё вопрос: Как автоматически из виндов стартовать сервер и клиента, если вдруг они "упали" или произошла перезагрузка машины?

Есть Openvpn клиент установленный на WinXP. На ключ сертификата Openvpn стоит пароль. Подскажите, есть ли возможность, чтобы пароль автоматом вводился при подключении?
Во FreeBSD помогал параметр --askpass [file]. В винде выдает такое:
Thu Dec 16 09:29:26 2010 us=823000 Cannot load private key file l:\Tools\Openvp\new\Home.key: error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt: error:0906A065:PEM routines:PEM_do_header:bad decrypt: error:140B0009: SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib
Thu Dec 16 09:29:26 2010 us=823000 Error: private key password verification faied
Насколько я понимаю он хочет пароль в зашифрованном виде, как это можно сделать?
Конечно самый простой выход сбросить пароль, но тоже возникает вопрос как?

Hrusha321
h t t p://www.ru.kurlix.de/index.php?option=com_content&task=view&id=95&Itemid=27

вот тут написано как.

samec2011
если хочется самому назначать адреса клиентам взгляни в сторону
Цитата:

--client-config-dir dir
Specify a directory dir for custom client config files. After a connecting client has been authenticated, OpenVPN will look in this directory for a file having the same name as the client's X509 common name. If a matching file exists, it will be opened and parsed for client-specific configuration options. If no matching file is found, OpenVPN will instead try to open and parse a default file called "DEFAULT", which may be provided but is not required.

This file can specify a fixed IP address for a given client using --ifconfig-push, as well as fixed subnets owned by the client using --iroute.

One of the useful properties of this option is that it allows client configuration files to be conveniently created, edited, or removed while the server is live, without needing to restart the server.

The following options are legal in a client-specific context: --push, --push-reset, --iroute, --ifconfig-push, and --config.

т.е. на сервере делаешь папку, указываешь к ней путь, и в этой папке складываешь файлики, имена которым равны common name из клиентского сертификата. и из этого файла будут подхватываться специфические настройки для каждого клиента, в том числе и ИП адреса

samec2011

Цитата:

Hrusha321
h t t p://www.ru.kurlix.de/index.php?option=com_content&task=view&id=95&Itemid=27

вот тут написано как.

Я эту статью уже читал, это не то.
Там написано как делать если у Вас логин и пароль на подключение к ВПН. А у меня пароль на сертификат - это две разные вещи.

Цитата:

И ещё вопрос: Как автоматически из виндов стартовать сервер и клиента, если вдруг они "упали" или произошла перезагрузка машины?

ты когда ставишь openvpn у тебя сервис появляется, он задизейблен по-умолчанию.

фиг его знает что тебе посоветовать - не бриджую я сети

tankistua
с сервисом разобрался, спасибо.
rain87
Зачем мне вообще менять IP из овпн - если они заданы руками изначально?
Поэтому думаю, что
Цитата:

--client-config-dir dir

лишнее для меня.

После того, как донастроил мост на клиенте - пинги пошли, сетки друг друга стали видеть .

Вопрос остался, последний по этой теме:
Когда сервер соединяется - соединения: реальный сетевой адаптер, виртуальный сетевой адаптер, мост между ними - все становятся в состояние "Подключено".

Когда клиент соединяется - соединения: реальный сетевой адаптер - "Подключено", виртуальный сетевой адаптер - "Сетевой кабель не подключен", мост между ними - "Подключено".

Так вот, собственно: то что на клиенте виртуальный адаптер (tap) постоянно (и до и после соединения) находится в состоянии "сетевой кабель не подлключен" - это нормально? Или так быть не должно?

Добавлено:
Hrusha321

Цитата:

Конечно самый простой выход сбросить пароль, но тоже возникает вопрос как?

OpenVPN Gui->Change Password ??

Hrusha321
Цитата:

--askpass [file]
Get certificate password from console or file before we daemonize.

For the extremely security conscious, it is possible to protect your private key with a password. Of course this means that every time the OpenVPN daemon is started you must be there to type the password. The --askpass option allows you to start OpenVPN from the command line. It will query you for a password before it daemonizes. To protect a private key with a password you should omit the -nodes option when you use the openssl command line tool to manage certificates and private keys.

If file is specified, read the password from the first line of file. Keep in mind that storing your password in a file to a certain extent invalidates the extra security provided by using an encrypted key (Note: OpenVPN will only read passwords from a file if it has been built with the --enable-password-save configure option, or on Windows by defining ENABLE_PASSWORD_SAVE in config-win32.h).

очевидно, придётся пересобирать овпн с этой опцией, насколько помню, по дефолту она выключена

Добавлено:
samec2011
Цитата:

Так вот, собственно: то что на клиенте виртуальный адаптер (tap) постоянно (и до и после соединения) находится в состоянии "сетевой кабель не подлключен" - это нормально? Или так быть не должно?

раз всё работает, какая разница какую иконку винда выводит?

samec2011

Цитата:

OpenVPN Gui->Change Password ??

Так не позволяет сбрасывать на пустой пароль, пишет что надо как минимум 8 символов

rain87

Цитата:

очевидно, придётся пересобирать овпн с этой опцией, насколько помню, по дефолту она выключена

У меня собрано с этой опцией, потому что если эта опция не включена, то он пишет, что пароль из файла брать нельзя, а не такую ошибку как у меня.

Кстати по пути вопрос, как собирать из исходников в винде?

Hrusha321
по поводу сброса вот нашёл
Цитата:

It should be possible to remove the passphrase with a simple `openssl (rsa|dsa) -in private.key -out privatekey-without-passphrase.key' with RSA or DSA depending on the type of the private key used.

а по поводу ошибки даже хз. судя по всему, просто пароль неправильный. проверь, чтоб там не было пробелов, лишних переносов строк и тп

Добавлено:

Цитата:

Кстати по пути вопрос, как собирать из исходников в винде?

ну я не уверен, но думаю аналогично тому как и под линуксом - mingw32-make ) единственное но - для сборки ТАП драйвера потребуется виндоус ДДК. и наверное ТАП соберётся только вижуал студией