» OpenVPN

Цитата:

но как он остановится?

Остановить службу - "net stop openvpnservice"

SPV_Ed

не ну это я знаю. В идеале имеем такое:
клиент запусает openvpn службу, 1 мин пытается соединится и потом останавливает её на 10 мин.
т.е. мне в конце батника написать "net stop openvpnservice"?
или переход какой сделать?

Код: @echo off
set gwvpn=IP_шлюза_VPN
:start
sc query state= inactive |find /i "openvpnservice" >nul
if %errorlevel% EQU 0 (
net start openvpnservice
ping %gwvpn%
if %errorlevel% NEQ 0 (
net stop openvpnservice
sleep 600
)
)
goto :start

SPV_Ed
само то! Спасибо. Это тоже можно в планировщик, с указанием запускать каждую загрузку. НО машина рабочая, не будет висеть досовое окно?

mikas
Можно просто в автозагрузку добавить, можно и в планировщик задание при старте системы. Избавить от окна можно прикрутив в %windir%\system32\cmdow.exe, которую брать отсюда - http://www.commandline.co.uk
В батнике в самой первой строке указать ее вызов

Код: cmdow @ /HID
@echo off

Други! Памагите поднять впн... даж не знаю куда лучше ставить (nix-, 2k3).
Проблема немного описана здесь
Есть КД (2к3) с реальным ип внутреней сети (A.B.C.D), дхцп настроено на nix- на раздачу ип вида 10.0.0.1/24, как сконфигурять опенвпн, чтобы ходить в нашей A.B.C.1/24 как у себя дома? Модель "множество клиентов - к одному серверу", я полагаю...? Какие "первые шаги"? Вроде ставил "по-мануалу", интерфейс поднялся, а них*ра не работает...
Ключ генил командой "openvpn --genkey --secret static.key" и пихал его и "туда" и "сюда" в папку config, сам конфиг такой:

"там" -

dev tun
ifconfig 10.8.0.1 10.8.0.2
secret static.key

"тут" -

remote A.B.C.D
dev tun
ifconfig 10.8.0.2 10.8.0.1
secret static.key

В варианте "1 клиент к 1-му серверу" вроде правильно...?

Чего не так? Ключи, конфиги, желательно по-колхозному, для особо одаренных...

Заранее, огромное

Вот хочу так сделать чтоб людям инет раздать в конторе и удалённым.(Показано пунктиром)
Сплошными линиями то что сейчас есть(в настоящий момент уже не устраивает)

вот картинка -> http://ami.crystaltone.net/webserverdata/temp/openvpn.jpg

Возможно ли так сделать? И если да, то помогите пожалуйста с настройками openvpn.
А то уже запутался.

Обнаружил проблему привязки win32 OpenVPN-клиента к нужному локальному адресу по TCP. На клиенте интерфейс, у которого 2 адреса IP:

Цитата:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC
Физический адрес. . . . . . . . . : 00-E0-4C-65-12-0F
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.57.38
Маска подсети . . . . . . . . . . : 255.255.255.0
IP-адрес . . . . . . . . . . . . : 192.168.57.32
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.57.1
DNS-серверы . . . . . . . . . . . : 195.161.195.198
80.237.48.74
NetBIOS через TCP/IP. . . . . . . : отключен

.32 - основной адрес, .38 - IP-алиас, к которому нужно сделать привязку соединения.
В документации по OpenVPN cказано:

Цитата:

--local host
Local host name or IP address. If specified, OpenVPN will bind to this address only. If unspecified, OpenVPN will bind to all interfaces.

Т.е. в моем случае это будет выглядеть так:

Цитата:

local 192.168.57.38

Проблема: у меня привязка к указанному адресу работает только в том случае, если туннель организован по UDP-протоколу. В случае proto tcp-client OpenVPN ни в какую не привязывается к IP-алиасу, хотя в логе соединения пишется согласно конфигурации:

Цитата:

Wed Aug 01 18:39:35 2007 TCPv4_CLIENT link local: 192.168.57.38

Что делать? Почему в proto udp привязка работает, а в proto tcp-client нет? На UDP перейти не могу.
Версия OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Конфиг клиента таков:

Код: dev tun
proto tcp-client
remote xx.xxx.136.16 8888
local 192.168.57.38
route-method exe
client
ns-cert-type server
persist-key
persist-tun
resolv-retry infinite
ca ca.crt
cert Region_Service.crt
key Region_Service.key
tls-auth ta.key 1
comp-lzo
mssfix 1450
status ..\\log\\openvpn-status.log
status-version 2
verb 3

SPV_Ed
типа: А нафик биндить то клиента??? клиент лезет в инет и подключается к серверу... и лезть он будет через тот ифейс, который имеет реальный доступ в сеть... а не алиас...

fantome
Биндить нужно для того, чтобы деньги списывались с того лицевого счета, за которым закреплен данный IP у провайдера.
Уже разобрался - это баг версий 2.0.*, в версии 2.1rc4 по TCP призявывается как сказано в конфиге.

SPV_Ed
я 2.1 еще не юзал...
блин, доки бы на русском к опенвпн'у бы достать... мож у кого есть???

Прошу вашей помощи, господа. При установке соединения между сервером и клиентом пишет "TLS error: TLS key negotiation failed..." Проверьте грит соединение между компами. В порядке все с соединением, они ж друг до друга достучаться могут (сервер видит что к нему стучатся с такого-то ip). В чем засада?

SeriusDanil
похоже, что таймаута на установку соединения маленькый... не хватает... Попробуй увеличить...
по умолчанию он 60 секунд.
Возможно что сетка глючит...
Пинги нормально меж компами ходят???

SeriusDanil
Убери поддержку TLS-соединий и посмотри поднимется ли...

SeriusDanil

Цитата:

Прошу вашей помощи, господа. При установке соединения между сервером и клиентом пишет "TLS error: TLS key negotiation failed..." Проверьте грит соединение между компами. В порядке все с соединением, они ж друг до друга достучаться могут (сервер видит что к нему стучатся с такого-то ip). В чем засада?

Недавно перешел на нового провайдера и столкнулся с такой же проблемой. Помогла синхронизация mtu на роутерах и в конфиге openvpn.
Для начала попробуй сменить протокол на tcp.

valhalla
SPV_Ed
fantome
Спасибо за активное участие, но все банально оказалось. На сервере шлюз неправильно указан был.

Другой вопрос возник. А под КПК есть какие-то хитрости конфига, или просто его туда залить с рабочей станции и он работать должен?

SeriusDanil
на чем не пробовал - на том не пробовал...
Но если там аналогичная(типа выньда мобайл ось), то должно работать...

SeriusDanil
пробовал на hp hx2410 взял конфиг с клиента, работала так-же, только в конфиге переименовал название интерфейса, но работала как-то коряво - после каждого использования приходилось зверька перезагружать =(

SPV_Ed
Сделал вот так:

Код: cmdow @ /HID
@echo off
set gwvpn=10.10.253.1
:start
sc query state= inactive |find /i "openvpnservice" >nul
if %errorlevel% EQU 0 (
net start openvpnservice
sleep 10
ping %gwvpn%
if %errorlevel% NEQ 0 (
net stop openvpnservice
sleep 600
)
) ELSE (
sleep 600
)
goto :start

fire667
Получилось, на мобилке запустить. Там оказывается надо полный путь в конфиге для сертификатов указывать типа \\program files\\openvpn\\config\\cert.crt
Для десктопов такого нет. Работает стабильно. Сижу радуюсь

может у кого были такие траблы.

сервер опенвпн поднят под линухом, работает нормально
клиенты сети потихоньку переводятся на него
человек 20 уже перешли, у них работает нормально

но есть некоторые, у которых траблы

трабл 1. пытается подключиться к серверу, не может по DHCP получить адрес. служба DHCP работает, файрволы повыключены
попытался поменять --ip-win32 на netsh, ipapi - адрес стал получать, туннель подымается. казалось бы ура - но - не пингуется даже второй конец туннеля это под хп сп2

трабл 2. ставится, при попытке подключения говорит что нет свободных тап адаптеров. захожу в сетевые подключения - тап адаптер просто выключен. при попытке включения - винда выдаёт "ошибка включения". и ни слова более. это под хп сп1

есть хоть какие-то идеи, что можно было сделать с виндой чтоб довести её до такого состояния?

Добавлено:
согласно не помню какого закона, решение трабла 1 найдено через пару часов после поста правда помог местный админ (бедняга, по пользователям ходит, настраивает, я б не выдержал )

так вот, проблема заключается в касперском _5_. именно 5
причём отключение каспера не помогало, только деинсталляция
причём проблема проявлялась не всегда. т.е. среди подключенных юзеров была куча с 5 каспером, а проблема проявилась пока что только у 2х
решение тривиальное - обновление до 7. текущая стейбл 125 версия работает на ура

по поводу трабла 2 жду варианты

rain87

Цитата:

тап адаптер просто выключен

тоесть??? задизайблен чтоль???
попробуй добавить еще один тап адаптер... И проверь, не запускается ли у тебя служба опенвпн...

fantome
Цитата:

тоесть??? задизайблен чтоль???

именно
Цитата:

попробуй добавить еще один тап адаптер

пробовал то ж самое
Цитата:

И проверь, не запускается ли у тебя служба опенвпн...

проверял конечно. в логе так и пишет - не могу найти ни одного свободного тапа

Господа, разбираюсь с TLS на OpenVPN. Перерыл все, не пойму! Как сказать OpenVPN, что бы он принимал только определенные сертификаты, а не все подряд, подписанные заданным в его конфиге CA?

Ведь получается, что OpenVPN примет к авторизации любой сертификат клиента, подписанный заданным CA. Т.е. например: получив сертификат для авторизации на Apache SSL, клиент может использовать этот сертификат и для авторизации на OpenVPN. Что неправильно!

Выход из этой ситуации: либо использовать отдельный CA для подписи сертификатов OpenVPN, что тоже не совсем правильно и неудобно. Все-таки CA в организации должен быть один.

либо использовать параметры --client-config-dir и --ccd-exclusive, которые требуют, что бы на каждое подключение был назначен свой конфиг файл. В таком случае при создании сертификата мы задаем COMMON NAME, например ovpn_xxxxx, то OpenVPN даст подключится только тем клиентам, если в папке config-dir есть конфиг файл ovpn_xxxxx, т.е. соответствующий CN клиентского сертификата.


немного поразмыслил - в принципе можно использовать --client-connect script. Проверять в нем, что COMMON NAME начинается с префикса opnvpn_ и в этом случае разрешать подключение. Ну и соответственно - в сертификатах, предназначенных для подключения к OpenVPN, COMMON NAME должно начинаться с префикса openvpn_

Но такое ощущение, что изобретаю велосипед.

Begemotus

Цитата:

Но такое ощущение, что изобретаю велосипед.

почему же велосипед???
в основном так и поступают... других способов, кроме описанных тобой нет...
либо отдельный СА, либо скрипт на подключение...
притом же скрипт на подключение может например работать с базой данных и проверять доступен ли клиенту доступ к ВПН или нет... И не обязательно делать маску common name... Да и много чего можно навертеть...

Цитата:

базой данных и проверять доступен ли клиенту доступ к ВПН или нет... И не обязательно делать маску common name...

Это я к тому, что могу выдать клиенту 2 сертификата. Например для OpenVPN и для Apache. И по логике CN в них будет одинаковое. Вот, что бы без проблем их отличать я и думаю ввести префикс для CN. Удобство тут: для добавления клиента не нужен доступ к настройкам VPN сервера. Достаточно сгенерить сертификат.

Вот еще, скрипту доступны эти переменные:

Код: tls_id_{n}
A series of certificate fields from the remote peer, where n is the verification level. Only set for TLS connections. Set prior to execution of --tls-verify script.
tls_serial_{n}
The serial number of the certificate from the remote peer, where n is the verification level. Only set for TLS connections. Set prior to execution of --tls-verify script.

Вопрос в следующем:
Соединяю две локалки с помощю OpenVpn v2.0.9.
Оба сервера имеют по две сетевухи, одна смотрит в инет, другая в локалку.
Сервер 1:
INET: IP-X.X.X.2, MASK-255.255.255.248, GATEWAY-X.X.X.1
LAN: IP-192.168.1.1 MASK-255.255.255.0

Сервер 2:
INET: IP-Y.Y.Y.2, MASK-255.255.255.248, GATEWAY-Y.Y.Y.1
LAN: IP-192.168.2.1 MASK-255.255.255.0

Сеть VPN: 192.168.3.0 255.255.255.0

Конфиг сервера OpenVPN (сервер 1):
proto tcp-server
dev tun
route-method exe
route-delay 12
server 192.168.3.0 255.255.255.0
route 192.168.2.0 255.255.255.0
ca ca.crt
cert cert.crt
key key.key
dh dh1024.pem
tls-auth ta.key 0
crl-verify crl.pem
ifconfig-pool-persist ipp.txt
push "route 192.168.1.0 255.255.255.0"
push "persist-key"
push "persist-tun"
push "ping 10"
push "ping-restart 60"
keepalive 10 120
comp-lzo
max-clients 10
persist-key
persist-tun
status STATUS.log
verb 3
mute 10

Крнфиг клиента OpenVpn (сервер 2):
client
dev tun
proto tcp-client
remote X.X.X.2
pkcs12 DAN.p12
tls-auth ta.key 1
ns-cert-type server
comp-lzo
verb 3
mute 10

Таблица маршрутов сервера 1:
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 X.X.X.1 X.X.X.2 20
X.X.X.0 255.255.255.248 X.X.X.2 X.X.X.2 20
X.X.X.2 255.255.255.255 127.0.0.1 127.0.0.1 20
X.255.255.255 255.255.255.255 X.X.X.2 X.X.X.2 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.1 192.168.1.1 20
192.168.1.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.255 255.255.255.255 192.168.1.1 192.168.1.1 20
192.168.3.0 255.255.255.252 192.168.3.1 192.168.3.1 30
192.168.3.0 255.255.255.0 192.168.3.2 192.168.3.1 1
192.168.3.1 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.3.255 255.255.255.255 192.168.3.1 192.168.3.1 30
192.168.2.0 255.255.255.0 192.168.3.2 192.168.3.1 1
224.0.0.0 240.0.0.0 X.X.X.2 X.X.X.2 20
224.0.0.0 240.0.0.0 192.168.1.1 192.168.1.1 20
224.0.0.0 240.0.0.0 192.168.3.1 192.168.3.1 30
255.255.255.255 255.255.255.255 X.X.X.2 X.X.X.2 1
255.255.255.255 255.255.255.255 192.168.1.1 192.168.1.1 1
255.255.255.255 255.255.255.255 192.168.3.1 192.168.3.1 1
Основной шлюз: X.X.X.1
===========================================================================

Таблица маршрутов сервера 2:
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 Y.Y.Y.1 Y.Y.Y.2     1
Y.Y.Y.0 255.255.255.248 Y.Y.Y.2 Y.Y.Y.2     20
Y.Y.Y.2 255.255.255.255 127.0.0.1 127.0.0.1     20
Y.255.255.255 255.255.255.255 Y.Y.Y.2 Y.Y.Y.2     20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1     1
192.168.1.0 255.255.255.0 192.168.3.5 192.168.3.6     1
192.168.3.1 255.255.255.255 192.168.3.5 192.168.3.6     1
192.168.3.4 255.255.255.252 192.168.3.6 192.168.3.6     30
192.168.3.6 255.255.255.255 127.0.0.1 127.0.0.1     30
192.168.3.255 255.255.255.255 192.168.3.6 192.168.3.6     30
192.168.2.0 255.255.255.0 192.168.2.150 192.168.2.150     20
192.168.2.1 255.255.255.255 127.0.0.1 127.0.0.1     20
192.168.2.255 255.255.255.255 192.168.2.1 192.168.2.1     20
224.0.0.0 240.0.0.0 Y.Y.Y.2 Y.Y.Y.2     20
224.0.0.0 240.0.0.0 192.168.3.6 192.168.3.6     30
224.0.0.0 240.0.0.0 192.168.2.1 192.168.2.1     20
255.255.255.255 255.255.255.255 Y.Y.Y.2 Y.Y.Y.2     1
255.255.255.255 255.255.255.255 192.168.3.6 192.168.3.6     1
255.255.255.255 255.255.255.255 192.168.2.1 192.168.2.1     1
Основной шлюз: Y.Y.Y.1
===========================================================================


Дак вот проблема в чем: С сервера 2 пингуются и виртуальный (192.168.3.1) и физический интерфейс (192.168.1.1) сервера 1, а так же ПИНГУЮТСЯ все физические интерфейсы в локальной сети за сервером 1. А вот с сервера 1 пингуется только виртуальный интерфейс сервера 2 (192.168.3.6). С компов как в первой так и второй локалке пингуются максимум виртуальные интерфейсы принадлежащих этим локалкам серверов.

Мои предположения:
1. Просто OpenVpn в режиме tun вообще так не умеет - нужно использовать tap.
2. Чет не так делаю я.

BlackXSun
неясно, зачем тебе сервер и клиент, да ещё и тсп
в твоём случае определённо надо п2п по удп, нативному протоколу для опенвпн

по сабжу: какие ОСи на серверах? разрешена маршрутизация пакетов между интерфейсами?

да, насколько помню, в режиме тун второй конец туннеля не должен пинговаться

Цитата:

неясно, зачем тебе сервер и клиент, да ещё и тсп. В твоём случае определённо надо п2п по удп, нативному протоколу для опенвпн.

Сервер и клиен мне нужен для того, чтоб могли еще и со стороны подключаться по VPN к серверу. Хотя это не критично. Можно просто настроить две конфы для OpenVpn, одну сервер-клиент и вторую п2п. тсп, потому что провайдер "не дружит" с юдп. .


Цитата:

по сабжу: какие ОСи на серверах? разрешена маршрутизация пакетов между интерфейсами?

Оси на серверах win 2003.
Что значит "разрешена маршрутизация пакетов между интерфейсами?" Если речь идет о маршлутизации ЛВС, то включена. как бы я без нее пинговал бы с сервера 2 любую машину в сети 1 ???


Цитата:

да, насколько помню, в режиме тун второй конец туннеля не должен пинговаться

Судя по инфе, пинговаться не должен не второй конец тонеля, а интерфейсы виртуального шлюза-посредника, на рисунке http://forum.ixbt.com/post.cgi?id=attach:14:40906:38:1 это интерфейсы 10.1.1.2, 10.1.1.5, 10.1.1.9, 10.1.1.13. А с каждого из серверов у меня пингуеться второй конец тонеля.

а пробовал менять ролями сервера? может на сервере 2 недонастроена маршрутизация?

ну или хз, тап попробуй. что мешает?