» OpenVPN

admin931
а не проще запускать овпн как сервис и просто выдать юзеру права на старт\стоп?

[more=небольшая инструкция (для тех, кто не умеет)]
находим в сервисах OpenVPN Service и ставим запуск "Автоматически" (если, конечно, надо чтобы само при включении компа подключалось, иначе юзер сам должен будет тыкать Connect)

качаем Subinacl с майкрософта
subinacl /SERVICE "OpenVPNService" /GRANT=ЮЗЕРНЕЙМ=TO

правим HKLM->Software->OpenVPN-GUI (для 32 бит)
HKLM->Software->Wow6432Node->OpenVPN-GUI (для 64 бит)
параметр service_only меняем на 1 (я еще меняю allow_service на 1, но не уверен что обязательно)

теперь гуи умеет только стартовать\стопать сервис. админские права не нужны. конфиг берется все тот же
можно разрешить юзеру править конфиг (allow_edit 1 и выдать разрешения юзеру на сам файл конфига)
[/more]

вариант тоже интересный, но админлинк универсальное и более быстрое средство.

1 минута чтобы сделать сервисом, куда уж быстрее? при этом не надо ставить левый софт, который судя по ченжлогу еще и баги имеет различные
+ это все таки сервис. а значит работает независимо от того залогинился юзер, или нет

Я не писал, что ваш вариант плохой, просто мой вариант универсальный, так как можно использовать для любых программ. (не только тех, что могут быть сервисными, не нужно лезть в реестр и т.п.)
Ну лично мое мнение. Я предложил как один из вариантов. Если вы не согласны, мы можем продолжить переписку в личном общении или новой теме, так как дальнейшее обсуждение, выходит за рамки этой темы.

Всем привет!

ПРИ ПЕРЕДАЧИ ПОЧТОВОГО ТРАФИКА ПО VPN-тунелю ПИСЬМА ОТПРАВЛЕННЫЕ ОТ OpenVPN-КЛИЕНТА ДОХОДЯТ ПОВРЕЖДЕННЫМИ! Получение почты работает нормально.

Виртуальный Сервер OpenVPN (последняя версия) установлен на физическом Сервере с ОС win2008.
На win2008 крутится почтовый сервер MDemon. Из локалки почтовик работает давно и успешно.

Папки на шарах клиента и сервера открываются нормально. Пинг соответственно...

Похоже при прохождении через тунель кто-то "съедает" заголовок письма.

OpenVPN сервер настроен на тунель по протоколу UDP.

[more=Текст полученного письма] ЧЪ А3─ ЪЪЪ Ъnt-size:9.0pt;font-family:"Arial","sans-serif";color:black;mso=
-fareast-language:RU'><br><a =
href=3D"https://e.mail.ru/cgi-bin/#18794"><span = style=3D'color:#0857A6'>Softline =CE=C1=DE=C9=CE=C1=C5=D4 =
X-MD-Bad-Header: =D0=D2=CF=C4=C1=D7=C1=D4=D8 =D7 =F2=CF=D3=D3=C9=C9 =D5=D3=CC=D5=C7=C9 =
X-MD-Bad-Header: =D7 =CF=C2=CC=C1=D3=D4=C9 =CF=C2=C5=D3=D0=C5=DE=C5=CE=C9=D1 =
X-MD-Bad-Header: =C2=C5=DA=CF=D0=C1=D3=CE=CF=D3=D4=C9 =C9=CE=C4=D5=D3=D4=D2=C9=C9 =
X-MD-Bad-Header: =D0=CC=C1=D4=C5=D6=CE=D9=C8 =CB=C1=D2=D4</span></a><br><a = href=3D"https://e.mail.ru/cgi-bin/#18801"><span = style=3D'color:#0857A6'>Softline =D0=CF=D3=D4=C1=D7=C9=CC=C1 =F0=EF =
X-MD-Bad-Header: &laquo;=EC=C1=C2=CF=D2=C1=D4=CF=D2=C9=C9 =
X-MD-Bad-Header: =EB=C1=D3=D0=C5=D2=D3=CB=CF=C7=CF&raquo; =D7 =EE=C1=D5=DE=CE=CF=C5 =
X-MD-Bad-Header: =C9=DA=C4=C1=D4=C5=CC=D8=D3=D4=D7=CF =
X-MD-Bad-Header: &laquo;=E2=C1=DB=CB=C9=D2=D3=CB=C1=D1 =
X-MD-Bad-Header: =DC=CE=C3=C9=CB=CC=CF=D0=C5=C4=C9=D1&raquo;</span></a><br><a = href=3D"https://e.mail.ru/cgi-bin/#18802"><span = style=3D'color:#0857A6'>Startobaza =C9 Softline Venture PaFrom: "ИМЯ_ОТПРАВИТЕЛЯ" <АДРЕС_ОТПРАВИТЕЛЯ>
To: <АДРЕС_ПОЛУЧАТЕЛЯ>
Subject: 3536567
Date: Wed, 29 Aug 2012 00:41:10 +0400
Message-ID: <001101cd855d$74f6da80$5ee48f80$@aerodromts.ru>
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="----=_NextPart_000_0012_01CD857E.FC08EFB0"
X-Mailer: Microsoft Outlook 14.0
Thread-Index: Ac2FXW/HMtxfGpYeRBK3x0AOkAo5nQ==
Content-Language: ru

This is a multipart message in MIME format.

------=_NextPart_000_0012_01CD857E.FC08EFB0
Content-Type: text/plain;
    charset="us-ascii"
Content-Transfer-Encoding: 7bit

698697890

jhkgkjlkjh


------=_NextPart_000_0012_01CD857E.FC08EFB0
Content-Type: text/html;
    charset="us-ascii"
Content-Transfer-Encoding: quoted-printable

<html xmlns:v=3D"urn:schemas-microsoft-com:vml" = xmlns:o=3D"urn:schemas-microsoft-com:office:office" = xmlns:w=3D"urn:schemas-microsoft-com:office:word" = xmlns:m=3D"http://schemas.microsoft.com/office/2004/12/omml" = xmlns=3D"http://www.w3.org/TR/REC-html40"><head><META = HTTP-EQUIV=3D"Content-Type" CONTENT=3D"text/html; = charset=3Dus-ascii"><meta name=3DGenerator content=3D"Microsoft Word 14 = (filtered medium)"><style><!--
/* Font Definitions */
@font-face
t_000_0030_01CD8580.313B7260--[/more]

Причем, иногда письма доходят целыми((

ВОПРОС: КУДА КОПАТЬ?

Сервер centos, клиент win, tun, udp, сжатие есть comp-lzo. Потери скорости более чем в 5 раз. Канал широкий, сервер не загружен. Пробовал менять алгоритм на AES-256-CBC, престает работать вообще - траф не проходит во внешнюю сеть. Тупо в конфигах на сервере и клиенте выставил cipher AES-256-CBC и рестартнул сервис, больше ничего не менял. В openvpn --show-digests вариант AES-256-CBC присутствует.

webstghost
Эм... а скорость--то в итоге какая? 1 — у VPN как ни крути есть накладные расходы, хотя в 5 раз это перебор. 2 — обычно дело упирается в скорость шифрования и зависит от проца. Обращаю внимание, что смотреть надо не общую загрузку, а загрузку по ядрам, т.к. OpenVPN работает на одном ядре.

Добрый день.
Есть рабочий пк, находящийся на натом, доступа к шлюзу нет.
Сейчас для доступа к этому пк удаленно использую тимвьювер, но хотелось бы исключить "левые" сервера и отзывчивость работы. Имеется ли возможность построить vpn-туннель, при невозможности проброса порта 1194?

Raz0rnsk
Разумеется. На том ПК что в рабочей сетки ставите клиента, а сервак поднимаете у себя в другом месте, где есть "белый" ip. Далее к клиенту и будете попадать через OVPN адресацию.

на то шлюз и ставят, чтоб зарезать все лишнее...

но есть варианты, например, если нужно подключиться с работы к серверу, как уже было сказано с белым IP , OpenVPN поддерживает работу через прокси-сервер, как-то же Teamviewer подключается (естественно это касается только TCP соединения)

скорее всего нужно будет настроить сервер OpenVPN для работы на 443 порту (обычно порт 1194 не разрешен), а клиента на работу через прокси-сервер.

в этом случае будет фиксироваться сам факт соединения, время и объём скаченного/переданного, но не будет известно содержимое.

Цитата:

Далее к клиенту и будете попадать через OVPN адресацию.

А можно поподробнее как это провернуть?
Т.е. задача - построить внп-туннель из дома на работу. Дома у меня роутер, могу порты пробросить какие надо.

Цитата:

как-то же Teamviewer подключается

ну так тивьюевер просто через 80 порт (который открыт) веба работает, через их сервера.

Цитата:

скорее всего нужно будет настроить сервер OpenVPN для работы на 443 порту (обычно порт 1194 не разрешен), а клиента на работу через прокси-сервер.

поподробнее можно о таком способе или где ман есть как это настроить?
Задача не с работы домой, а из дома на работу попадать, домашний пк днем выключен, т.к. меня дома нет, а рабочий всегда включен. если я подниму таким образом сервер на своем домашнем пк, смогу ли я из дома при включении пк подключюается к рабочему компу, где клиент?

не суть важно кто к кому подключен, канал может быть двухсторонний...

из дому ты подключиться к компу не сможешь, (если, конечно, добрый дядя админ не разрешит).
а вот с работы домой может и получится. (если клиента поставить сможешь и он выйдет в интернет)

от домашнего компьютера требуется белый IP адрес (желательно статический),
на нем нужно установить OpenVPN и настроить его как сервер.
в параметрах сервера и конфиге клиента указываешь, что он работает на 443 порту
прокси-сервер можно указать как в конфиге клиента, так и через графический интерфейс. (прокси-сервер нужен только клиенту!)

мануалы... их просто уйма, ищи то что тебе понятнее или ближе... (ну например этот )

на vps прокинь нужный порт днатом на клиента впна

Привет!
Глупый вопрос - можно ли с помощью openVpn подключатся к серверу на Windows 2008 r2, на котором настроен прием входящих соединений?
Почему спрашиваю - просто на одной из клиенских машин не поднимается впн соединение, 800 ошибку выдает...думаю , может есть альтернативы клиенту виндовому?

Smog
Цитата:

можно ли с помощью openVpn подключатся к серверу на Windows 2008 r2

Можно, если там установлен OpenVPN сервер.

Простая установка сервера OpenVPN на CentOS:
https://sites.google.com/site/smkuzmin/home/openvpn

Тихая установка OpenVPN-клиента:
https://sites.google.com/site/smkuzmin/home/silent_install

Подскажите плз. как настроить:

Есть на проксе OpenVPN сервак.
Один TAP интерфейс.
10.8.0.0 255.255.252.0 на порту 1194 (server1.ovpn)

Мне необходимо повесить еще один TAP интефейс (10.10.10.0 255.255.255.0 порт 1193) с другими настроечками (server2.ovpn).
Как прописать в ovpn файле привязку настроек к конкретному TAP интерфейсу?

И еще: в каждой настройке свои CA сертефикаты, будут ли они работать?

Цитата:

Как прописать в ovpn файле привязку настроек к конкретному TAP интерфейсу?

Цитата:

--dev-node node
Explicitly set the device node rather than using /dev/net/tun, /dev/tun, /dev/tap, etc. If OpenVPN cannot figure out whether node is a TUN or TAP device based on the name, you should also specify --dev-type tun or --dev-type tap.

On Windows systems, select the TAP-Win32 adapter which is named node in the Network Connections Control Panel or the raw GUID of the adapter enclosed by braces. The --show-adapters option under Windows can also be used to enumerate all available TAP-Win32 adapters and will show both the network connections control panel name and the GUID for each TAP-Win32 adapter.

Цитата:

И еще: в каждой настройке свои CA сертефикаты, будут ли они работать?

а чё им не работать? 2 абсолютно отдельных сервера, каждый работает независимо от другого

спасибо, то что нужно, плохо курил мануал.

Ребята, а есть иллюстрированный мануал как установить OpenVPN сервер под WINDOWS XP/2003/2008 ?

contrafack
Эм... А что там иллюстрировать? Обычный мастер — далее, далее, далее.
А после он настраивается путём правки конфига. Вся инфа на официальном сайт, ну и на форумах конечно.

Alukardd


Вот такой ман ищу , только по настройте сервера, а не клиента. А то везде настройка клиента.

contrafack
Исчо раз...
Пробегаешь по мастеру, а дальше идёшь в консольку и плюс правишь конфиг. И как я уже говорил почти вся инфа на официальном сайте:
1 — Easy Windows Guide
2 — Server config example
Так же как и обещалось есть различные HOWTO и на сторонних сайтах.

p.s. Без руководства со скриншотами "галочек" настройка видимо не возможна...

виндоус вей такой виндоус... нельзя просто взять и поправить конфиг

Существует конечно и какой-то GUI и даже web-интерфейс, но что-то я сомневаюсь что много кто им пользуется. Да и в случае ошибки с вопросами по галочкам тебе здесь вряд ли помогут.

Да мне не в падлу через командную строку что то делать, просто в иллюстрациях видно что и как.
http://community.openvpn.net/openvpn/wiki/Easy_Windows_Guide
в этом мане вроде все написано, как что делать. Надеюсь поможет.

А можете написать общую концепцию всего этого дела?
Мне надо поставить сервер в постороннем хостинге и свои 2 клиента (находятся в разных городах) подключить к серверу. канал будет использован только для переноса информации.

что то типа такого ожидаю увидеть:
- установка сервера
- поправка конфиг файла
- генерация ключа/сертификата
- и т.д....

Там еще интересно услышать по поводу IP адресаций, маршрутизации... логина и пароля для подключение к серверу(или не надо там логин/пароль, когда есть ключ и сертификат)?

contrafack
логин/пароль не нужен, всё на сертификатах. Что ещё написать к предоставленным ссылкам даже не знаю. Просто осмысленно их прочтите.

Набросал тут небольшую статью Настройка OpenVPN сервера, может кому пригодится. Статья представляет собой пошаговый мануал по поднятию OpenVPN сервера под Windows, рассматривается вариант настройки сервера, а также нескольких клиентов. Также рассказано, как раздать интернет посредством OpenVPN сервера, например, в локальной сети провайдера (часто бывают случаи, когда у провайдера есть внутренняя локальная сеть, а соединение с интернет поднимается через PPPoE или VPN, так вот рассматривается случай когда мы "расшариваем" это подключение для "друзей", находящихся в локальной сети провайдера).

Decker82
Это Вы под вопрос contrafack?)
Закину в шапку, пусть будет...

Alukardd Ну да ... и к нему тоже. Просто большинство мануалов в сети ориентировано на Linux пользователей, а среднестатистическому пользователю Windows такое решение "в диковинку". Вот я и решил восполнить этот пробел. Получилось или нет - судить тем, кто будет пытаться настроить по этому мануалу.