» OpenVPN

Shad0wl0rd
push "redirect-gateway def1"

Всё сделал как надо, соеденил адаптеры ТАР и подкл. по лок. сети в мост, прописал в конфиге бридж, перезапускаю службу, адаптер ТАР не запускается, нет соединения, клиент тоже не сможет поключится, всю инфу в нете облазил ничего не нашел, сделел такую конфу, и теперь я вижу сеть за сервером и клиентом, только если допустим комп сервера Alex, то я в проводнике пишу \\Alex и вижу все открытые папки

Конфа сервера:
port 1194
proto udp
dev tap0
#tap-node VPN
#tap-bridge
#указываем файл CA
ca c:\\OpenVPN\\ssl\\ca.crt
#указываем файл с сертификатом сервера
cert c:\\OpenVPN\\ssl\\OpenVPN.crt
#указываем файл с ключем сервера
key c:\\OpenVPN\\ssl\\OpenVPN.key
#указываем файл Диффи Хельман
dh c:\\OpenVPN\\ssl\\dh1024.pem
server 10.10.200.0 255.255.255.0
route 10.10.200.0 255.255.255.0
client-to-client
push "route 192.168.1.0 255.255.255.0 10.10.200.1"
route 192.168.1.0 255.255.255.0 10.10.200.2
#server-bridge 192.168.1.2 255.255.255.0 192.168.1.241 192.168.1.251
tls-server
tls-timeout 120
keepalive 10 120
comp-lzo
persist-key
persist-tun
tun-mtu 1500
mssfix 1450
status c:\\OpenVPN\\log\\openvpn-status.log
log c:\\OpenVPN\\log\\openvpn.log
verb 3

Добавлено:
Да ещё, сеть работает, но вырубает клиентов за сервером и падает интернет.

protos201 Не любишь ты читать внимательно, как я посмотрю...
Туннельный адаптер ты должен был переименовать во что-нибудь, типа MyTAP.
В конфиге указать:
dev tap (а не dev tap0, это для линукса)
dev-node MyTAP
server-bridge 192.168.1.2 255.255.255.0 192.168.1.241 192.168.1.251
И на клиенте, кстати, тоже нужно сначала TAP адаптер установить,
автоматически он не устанавливается. Также переименовать во что-нибудь, типа MyTAP.
И в клиентском конфиге тоже прописать
dev tap
dev-node MyTAP

Я так понял что тунельный адаптер это сам TAP-адаптер, а не мост? Так я так и сделал, я его назвал VPN, вот только не понял на клиенте при установке программы OpenVPN так же как и на сервере ТАР-адаптер сам устанавливается, зачем его ещё раз устанавливать?

Добавлено:
У меня всё получилось, вижу сеть за сервером, сеть за клиентом, папки, принтеры
файл конфигурации сервера такой:
port 1194
proto udp
dev tap
ca c:\\OpenVPN\\ssl\\ca.crt
cert c:\\OpenVPN\\ssl\\OpenVPN.crt
key c:\\OpenVPN\\ssl\\OpenVPN.key
dh c:\\OpenVPN\\ssl\\dh1024.pem
server 10.10.200.0 255.255.255.0
tls-auth C:\\OpenVPN\\ssl\\ta.key 1
route 10.10.200.0 255.255.255.0
ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt
client-to-client
push "route 192.168.1.0 255.255.255.0 10.10.200.1"
route 192.168.1.7 255.255.255.0 10.10.200.2
tls-server
tls-timeout 120
keepalive 10 120
comp-lzo
persist-key
persist-tun
tun-mtu 1500
mssfix 1450
status c:\\OpenVPN\\log\\openvpn-status.log
log c:\\OpenVPN\\log\\openvpn.log
verb 3

Добавил ipp.txt что бы клиенту назначался один и тот же ип-адрес

добавил ta.key на всякий случай

но с бриджем всё равно буду разбиратся, интерестно

xlino
Цитата:

Наткнулся на такую странную штуку - сертификат есть, он рабочий, по нему можно подключиться, а в базе и физически этого ключа на сервере нет! В ревокнутых ключах его тоже нет.

Если имеется в виду клиентский сертификат, то наличие его на сервере вовсе не обязательно. После генерации клиентской пары ключей, подписания публичного его ключа ключом СА и отправки на клиентскую машину ca.crt, client.crt и client.key, два последних файла на сервере можно спокойно удалять.

Цитата:

Если имеется в виду клиентский сертификат, то наличие его на сервере вовсе не обязательно.

С этим все понятно. Не понятно почему его нет в базе сертификатов.

Добавлено:
Попутно еще вопрос.
Подскажите пожалуйста что-нибудь open source-ное для анализа логов OpenVpn. Чтобы можно было собирать и анализировать статистику по подключениям. Кто? Откуда? Когда?

xlino
Цитата:

Не понятно почему его нет в базе сертификатов.

Что за база? Если имеется в виду виндузовая база, то ОпенВПН ею не пользуется.

Цитата:

Подскажите пожалуйста что-нибудь open source-ное для анализа логов OpenVpn.

Ну, например Lire Настраивается под любые логи, отображает их в виде HTML или PDF.

Может кто знает как производить вoccтанoвлениe oтoзваннoгo сртификата в ОпенВПН
сервер на linux'е. через ./revoke-full hmmboy заблокировал, вот хочется восстановить...
статей много в интернете пару попробовал не получилось...может кто на практике это уже делал
и знает что как...

желеательно по подробнее...

спасибо.

vlary

Цитата:

Что за база? Если имеется в виду виндузовая база, то ОпенВПН ею не пользуется.

Нет не виндовую.
У меня OpenVpn на CentOS (кстати поэтому я и не стал постить в эту ветку, подумал, что не в тот огород .
При создании ключа OpenVpn регистрирует его в свое базе ключей - файлик index.txt (default).
Там же он отмечает ревокнутые ключи. Вот в этой базе и нету этого ключа.



Цитата:

Ну, например Lire Настраивается под любые логи, отображает их в виде HTML или PDF.

Спасибо! Обязательно посмотрю.

Добавлено:
kirillkaru

Если задачей стоит временный бан сертификата, то я решил пойти путем привязки IP к сертификату и бану на уровне iptables.

всем привет!

есть опенvpn 2.2.0 который крутиться на linux
вот конфиг:
Код: Выделить всё
port 1194
proto tcp
dev tun
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh1024.pem
server 192.168.20.128 255.255.255.128
ifconfig-pool-persist ipp.txt
push "route 192.168.44.10 255.255.255.255"
client-config-dir ccd
route 192.168.0.0 255.255.255.0
push "dhcp-option DNS 192.168.44.10"
keepalive 20 240
max-clients 250
persist-key
persist-tun
status /var/log/openvpn-status.log
log /var/log/openvpn.log
verb 2


корпоративные клиенты отжали практически весь диапазон server 192.168.20.128 255.255.255.128
можно ли както добавить ещё одну сеть например 192.168.10.0 255.255.255.0 что бы не поднимать второй опенvpn?
понятное дело что 192.168.20.128 надо сохранить.

спасибо

Здравствуйте, уважаемые форумчане.
Подскажите пожалуйста, как настроить связку OpenVPN - клиент и OpenVPN - сервер.
Имеется организация с машинами Windows XP Professional SP3. У организации есть статический IP-адрес: 85.175.226.45 и внутренний адрес 192.168.2.x Хотелось получить доступ к сети из вне (с домашнего компьютера с Windows XP Professional SP3 c динамическим внешним IP -адресом.
Что и как необходимо прописать в файле конфигурации сервера и в файле конфигурации клиента чтобы установить связь ?

Vitaly_Sigov
Цитата:

Что и как необходимо прописать в файле конфигурации сервера и в файле конфигурации клиента чтобы установить связь ?

Все твои настройки абсолютно стандартные. Примеры конфигураций в данной теме не раз приводились (для вариантов подключения TAP или TUN), почитай посты хотя бы на нескольких страничках.

Здравствуйте ребят.
Ситуация следующая нам надо подключиться по vpn к офису другой компании, они нам прислали всё что для этого надо и клиент Openvpn и конфиг.
Проблема в том что я не знаю какие порты открывать для этого openvpn. Сидим через ISA server 2006
если хосту открыть на ISA всё то впн подключается замечательно.
Подскажите что кокрентно я должен открыть на проксе чтобы не открывать полный доступ.

Neverlinger Порт по умолчанию для OpenVPN - 1194.
Поскольку они вам конфиг прислали, то адрес, порт и протокол там есть, смотри соответствующие строчки:
remote 198.19.34.56 1194 udp
либо
remote 198.19.34.56 443 tcp
либо так:
proto udp
remote 198.19.34.56 1194

proto udp
remote 77.75.168.69
port 2000

Значит я должен в обе стороны для своего хоста открыть эти порты?
______________________________

спасибо за ответ. необходимо было обратить мне внимания на конфиги там прописан udp порт2000 вот его и надо было открыть

Есть сервер с openvpn. Нужно iptv мультикастом раздавать абонентам из других сетей.
все настроил и работает. Вот только проблема одна. Если 1-й клиент подписался на мультикаст то и 2-му клиенту придет этот мультикаст. Это перегружает линки и т.д. Можно ли избавиться от этого, сделать действительно изолированных клиентов.

Посмотрите пожалуйста опытным взглядом конфиги, где у меня затык, с сервером все конектится без проблем, а вот в локальную сеть попасть не удается. вин 2003 сервер, rras не запущен, сервер с одним сетевым интерфейсом, порт проброшен через роутер.
Сервер:
*****************
port 1199

# на сайте разработчиков рекомендуется использовать udp в том числе
# по соображениям безопасности
proto udp
dev tun

ca ca.crt
cert server.crt
key server.key

dh dh1024.pem


# включаем TLS аутификацию
;tls-server
# указываем tls-ключ, и указываем 0 для сервера, а 1 для клиента
;tls-auth "/etc/openvpn/keys/ta.key" 0
# таймаут до реконекта tls-timeout 120
;auth MD5

# задаем IP-адрес сервера и маску подсети
server 10.8.0.0 255.255.255.0

# задаем МАРШРУТ который передаём клиенту
# и маску подсети для того чтобы он "видел"
# сеть за OpenVPN сервером (сеть 192.168.1.0/24)
push "route 192.168.1.0 255.255.255.0"

ifconfig-pool-persist ipp.txt

# удерживать соединение (полезно при работе через nat, proxy и т.п.)
keepalive 10 120

# включаем шифрацию пакетов
cipher BF-CBC

# включить сжатие
comp-lzo

# максимум клиентов
max-clients 10

;user nobody
;group nobody

# Не перечитывать ключи после получения
# SIGUSR1 или ping-restart
persist-key
# Не закрывать и переоткрывать TUNTAP
# устройство, после получения
# SIGUSR1 или ping-restart
persist-tun

# клиенты могут "видеть" друг друга
client-to-client

status logopenvpn-status.log

log logopenvpn.log
log-append logopenvpn.log

# уровень детализации отчетов
verb 3
************
Клиент

client

dev tun

proto udp

# IP-адрес и порт сервера OpenVPN)

remote *.*.*.* 1199

resolv-retry infinite

nobind

persist-key
persist-tun

ca ca001.crt
cert client001.crt
key client001.key

#tls-client
#tls-auth "C:\Program Files\OpenVPN\config\ta.key" 1
#auth MD5

#Это еще одна защита, на этот раз от "man in the middle" атаки
ns-cert-type server

comp-lzo

verb 3

slon48
Цитата:

с сервером все конектится без проблем, а вот в локальную сеть попасть не удается

А хосты в сети 192.168.1.0/24 знают, что в сеть 10.8.0.0 255.255.255.0 им нужно идти через OpenVPN сервер 192.168.1.Х?

Цитата:

А хосты в сети 192.168.1.0/24 знают, что в сеть 10.8.0.0 255.255.255.0 им нужно идти через OpenVPN сервер 192.168.1.Х?

Так им туда и не нужно. мне нужно с клиента их видеть. А виден только сервер.

slon48
Цитата:

Так им туда и не нужно. мне нужно с клиента их видеть. А виден только сервер.

Чтобы клиент мог видеть хосты, нужно, чтобы и хосты могли видеть клиента. А смогут они его увидеть только тогда, когда будут знать путь к сетке клиента.

Цитата:

Чтобы клиент мог видеть хосты, нужно, чтобы и хосты могли видеть клиента. А смогут они его увидеть только тогда, когда будут знать путь к сетке клиента.

Хотите сказать, что без прописывания на хостах сервера OpenVPN в качестве шлюза и соответствующих маршрутов не обойтись? Но дело в том, что в интернет хосты выходят через роутер, в котором проброшен порт для OpenVPN на сервер.

slon48
Цитата:

Хотите сказать, что без прописывания на хостах сервера OpenVPN в качестве шлюза и соответствующих маршрутов не обойтись?

Именно это я и сказал. Второй вариант - это сменить тип адаптера с TUN на TAP, и выдавать клиентам OpenVPN адреса из сетки 192.168.1.0/24. Тогда хосты будут видеть клиентов просто через ARP таблицу.

Цитата:

в интернет хосты выходят через роутер, в котором проброшен порт для OpenVPN на сервер

Да какая разница, кто через что куда проброшен? Если сервер OpenVPN не является для хостов дефолт шлюзом, то маршруты необходимо прописывать.

Помогите пожалуйста, проблема в следующем: ситема Windows Server 2008, хочу поднять сервер OpenVPN для связи с региональными филиалами. Сервер установлен успешно, региональные клиенты коннектяться, но не видят сети головного офиса. Связь с регионами идёт через маршрутизатор W2k3, с использованием RRAS.

route print сервера
===========================================================================
Список интерфейсов
12 ...00 ff 85 85 e6 24 ...... TAP-Win32 Adapter V9

11 ...00 10 4b 2e 98 e4 ...... 3Com EtherLink 10/100 PCI NIC (3C905-TX)

10 ...00 16 ec 05 2c 14 ...... VIA Rhine II Fast Ethernet Adapter

1 ........................... Software Loopback Interface 1

13 ...00 00 00 00 00 00 00 e0 isatap.{1C342EF3-9D63-4625-8B79-04903A7E3A55}

19 ...00 00 00 00 00 00 00 e0
21 ...00 00 00 00 00 00 00 e0
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 xx.xxx.xxx.x xx.xxx.xxx.xxx 276
10.10.0.0 255.255.255.0 10.10.0.2 10.10.0.1 30
10.10.0.0 255.255.255.252 On-link 10.10.0.1 286
10.10.0.1 255.255.255.255 On-link 10.10.0.1 286
10.10.0.3 255.255.255.255 On-link 10.10.0.1 286
xx.xxx.xxx.x 255.255.255.0 On-link xx.xxx.xxx.xxx 276
xx.xxx.xxx.xxx 255.255.255.255 On-link xx.xxx.xxx.xxx 276
xx.xxx.xxx.xxx 255.255.255.255 On-link xx.xxx.xxx.xxx 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.200.0 255.255.255.0 On-link 192.168.200.228 276
192.168.200.228 255.255.255.255 On-link 192.168.200.228 276
192.168.200.255 255.255.255.255 On-link 192.168.200.228 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.200.228 276
224.0.0.0 240.0.0.0 On-link xx.xxx.xxx.xxx 276
224.0.0.0 240.0.0.0 On-link 10.10.0.1 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.200.228 276
255.255.255.255 255.255.255.255 On-link xx.xxx.xxx.xxx 276
255.255.255.255 255.255.255.255 On-link 10.10.0.1 286
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 xx.xxx.xxx.xxx По умолчанию
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 306 ::1/128 On-link
10 276 fe80::/64 On-link
12 286 fe80::/64 On-link
10 276 fe80::a053:229f:8ef:2006/128
On-link
12 286 fe80::b994:da5b:8bf6:f36c/128
On-link
1 306 ff00::/8 On-link
10 276 ff00::/8 On-link
12 286 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует

boffin2 Сколько уже страниц исписано, а вопросы все те же. Чукча не читатель, чукча писатель...
Откуда сеть головного офиса, 192.168.200.0 как понимаю, знает куда ей слать пакеты для адресов 10.10.0.0 VPN клиентов?
Короче, читай хотя бы несколько последних страниц этой темы.

vlary спасибо, разобрался

всем привет, такой вот вопрос я вот написал конфиги на сервер и клиентов все ок, все в порядке соединяет как положено с сeти впн пингую всю внутреннюю сеть даже могу зайти на веб морды роутеров и ип телефонов в локальной сети но вот вопрос: На машину в локальной сети где поднят впн могу зайти на шару \\10.8.1.0\share , а вот тот же машина но ип локальной сети \\192.168.100.5\share уже попасть не могу (пингуется на ура)
Что мне еще прописать нужно? Я хочу ходить с сети впн в локальную сеть и при этом на каждой машине не подымать впн

Подскажите, плиз, возможно ли как-то привязать ключи и сертификаты к конкретной машине ?
А то, получается, скопировал их кто-нибудь себе - и пользуйся на здровье.

hazer79
Цитата:

А то, получается, скопировал их кто-нибудь себе - и пользуйся на здровье.

Да кто же его у тебя с домашнего компа скопирует? А с ноута - так тут ключ могут вместе с ноутом попятить...
Для серьезных контор рекомендуется использвать серьезные решения. Вот у циски, например, можно сделать доступ по сертификатам, запрятанным в Аладдиновский токен и защищенным пин-кодом.
Для большей секурности можешь в сервер OpenVPN вместе с сертификатами добавить защиту по логину-паролю: Ссылка

Подскажите, могу ли я использовать ключи и сертификаты, которые были созданы на виртуальных машинах потом в реальных условиях? В целях экономии времени на создавание ключей и т.д.

И еще если я создам файлы клиента на самом клиенте, он будет нормально работать или с ним надо будет как-то колдовать чтобы впн-клиент подключался к серверу?

SanchezX
Цитата:

могу ли я использовать ключи и сертификаты, которые были созданы на виртуальных машинах потом в реальных условиях?

Вполне. Главное, чтобы они были подписаны тем центром сертификации, чей сертификат CA.crt лежит на сервере.

Цитата:

И еще если я создам файлы клиента на самом клиенте, он будет нормально работать

А чем отличаются файлы, созданные на сервере и перемещенные на диск клиента, от файлов, созданных на на самом клиенте?