» OpenVPN

Win 2008 с OpenVPN

в конфиге на сервере
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

Когда один клиент все работает.
Всем клиентам всегда выдается один адрес
10.8.0.6
при этом при входе следующего предыдущего не отключает, но пинг пропадает.
Не могу найти где грабли

cat /etc/openvpn/routing_ccd/192-168-32-0
# office
iroute 192.168.32.0 255.255.255.0
ifconfig-push 10.10.10.2 10.10.10.1

cat /etc/openvpn/routing_ccd/192-168-22-0
# office2
iroute 192.168.22.0 255.255.255.0
ifconfig-push 10.10.10.6 10.10.10.5

Добавлено:
ccd/contractor1

ifconfig-push 10.8.2.1 10.8.2.2
ccd/contractor2

ifconfig-push 10.8.2.5 10.8.2.6
Each pair of ifconfig-push addresses represent the virtual client and server IP endpoints. They must be taken from successive /30 subnets in order to be compatible with Windows clients and the TAP-Windows driver. Specifically, the last octet in the IP address of each endpoint pair must be taken from this set:

[ 1, 2] [ 5, 6] [ 9, 10] [ 13, 14] [ 17, 18]
[ 21, 22] [ 25, 26] [ 29, 30] [ 33, 34] [ 37, 38]
[ 41, 42] [ 45, 46] [ 49, 50] [ 53, 54] [ 57, 58]
[ 61, 62] [ 65, 66] [ 69, 70] [ 73, 74] [ 77, 78]
[ 81, 82] [ 85, 86] [ 89, 90] [ 93, 94] [ 97, 98]
[101,102] [105,106] [109,110] [113,114] [117,118]
[121,122] [125,126] [129,130] [133,134] [137,138]
[141,142] [145,146] [149,150] [153,154] [157,158]
[161,162] [165,166] [169,170] [173,174] [177,178]
[181,182] [185,186] [189,190] [193,194] [197,198]
[201,202] [205,206] [209,210] [213,214] [217,218]
[221,222] [225,226] [229,230] [233,234] [237,238]
[241,242] [245,246] [249,250] [253,254]

GAlexis
Цитата:

Не могу найти где грабли

Небось всем клиентам один и тот же сертификат выдал?

Цитата:

Небось всем клиентам один и тот же сертификат выдал?

Генерировал каждому свой. Как мне кажется два одинаковых сертификата сформировать невозможно даже для одного пользователя.

port 1194
proto udp
dev tun
ca ca.crt
cert serv.crt
key serv.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
tls-auth ta.key 0 # This file is secret
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

Включил
duplicate-cn
Кажись заработало. Значит я не правильно генерирую сертификаты?

для отдельных клиентов лучше использовать бридж - нет проблем с прописыванием роутинга у них.

конфиг с freebsd

кстати - лучше использовать протокол tcp и порт 443-ий - тогда через через проксю без проблем работает


Код:
# Which TCP/UDP port should OpenVPN listen on?
# If you want to run multiple OpenVPN instances
# on the same machine, use a different port
# number for each one. You will need to
# open up this port on your firewall.
port 443

# TCP or UDP server?
proto tcp

# "dev tun" will create a routed IP tunnel,
# "dev tap" will create an ethernet tunnel.
# Use "dev tap0" if you are ethernet bridging
# and have precreated a tap0 virtual interface
# and bridged it with your ethernet interface.
# If you want to control access policies
# over the VPN, you must create firewall
# rules for the the TUN/TAP interface.
# On non-Windows systems, you can give
# an explicit unit number, such as tun0.
# On Windows, use "dev-node" for this.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
dev tap

# SSL/TLS root certificate (ca), certificate
# (cert), and private key (key). Each client
# and the server must have their own cert and
# key file. The server and all clients will
# use the same ca file.
#
# See the "easy-rsa" directory for a series
# of scripts for generating RSA certificates
# and private keys. Remember to use
# a unique Common Name for the server
# and each of the client certificates.
#
# Any X509 key management system can be used.
# OpenVPN can also use a PKCS #12 formatted key file
# (see "pkcs12" directive in man page).
ca keys/ca.crt
cert keys/server.crt
key keys/server.key # This file should be kept secret

# Diffie hellman parameters.
# Generate your own with:
# openssl dhparam -out dh1024.pem 1024
# Substitute 2048 for 1024 if you are using
# 2048 bit keys.
dh keys/dh1024.pem

# revoke
#crl-verify keys/crl.pem

# Configure server mode for ethernet bridging.
# You must first use your OS's bridging capability
# to bridge the TAP interface with the ethernet
# NIC interface. Then you must manually set the
# IP/netmask on the bridge interface, here we
# assume 10.8.0.4/255.255.255.0. Finally we
# must set aside an IP range in this subnet
# (start=10.8.0.50 end=10.8.0.100) to allocate
# to connecting clients. Leave this line commented
# out unless you are ethernet bridging.

ifconfig 192.168.4.50 255.255.255.0
server-bridge 192.168.4.50 255.255.255.0 192.168.4.51 192.168.4.63

push "dhcp-option DOMAIN lgr"
push "dhcp-option DNS 192.168.4.20"

# Maintain a record of client virtual IP address
# associations in this file. If OpenVPN goes down or
# is restarted, reconnecting clients can be assigned
# the same virtual IP address from the pool that was
# previously assigned.
#ifconfig-pool-persist ipp.txt

# To assign specific IP addresses to specific
# clients or if a connecting client has a private
# subnet behind it that should also have VPN access,
# use the subdirectory "ccd" for client-specific
# configuration files (see man page for more info).
client-config-dir ccd

# Uncomment this directive to allow different
# clients to be able to "see" each other.
# By default, clients will only see the server.
# To force clients to only see the server, you
# will also need to appropriately firewall the
# server's TUN/TAP interface.
client-to-client

# The keepalive directive causes ping-like
# messages to be sent back and forth over
# the link so that each side knows when
# the other side has gone down.
# Ping every 10 seconds, assume that remote
# peer is down if no ping received during
# a 120 second time period.
keepalive 10 120

# For extra security beyond that provided
# by SSL/TLS, create an "HMAC firewall"
# to help block DoS attacks and UDP port flooding.
#
# Generate with:
# openvpn --genkey --secret ta.key
#
# The server and each client must have
# a copy of this key.
# The second parameter should be '0'
# on the server and '1' on the clients.
tls-auth keys/ta.key 0

# Enable compression on the VPN link.
# If you enable it here, you must also
# enable it in the client config file.
comp-lzo

# It's a good idea to reduce the OpenVPN
# daemon's privileges after initialization.
#
# You can uncomment this out on
# non-Windows systems.
user nobody
group nobody

# The persist options will try to avoid
# accessing certain resources on restart
# that may no longer be accessible because
# of the privilege downgrade.
persist-key
persist-tun

# Set the appropriate level of log
# file verbosity.
#
# 0 is silent, except for fatal errors
# 4 is reasonable for general usage
# 5 and 6 can help to debug connection problems
# 9 is extremely verbose
verb 3

MegaSES
Цитата:

а вот OpenVPNService запускает только одного клиента. Как добиться одновременной работы нескольких клиентов одновременно в автоматическом режиме?

Цитата:

When started, the OpenVPN Service Wrapper will scan the \Program Files\OpenVPN\config folder for .ovpn configuration files, starting a separate OpenVPN process on each file.

Приветствую всех.

Я новичёк в OpenVPN но по причине большой надобности пришлось изучать по ходу процесса,

поставил я сервак, настроил клиента по ссылке из шапки, генерация ключей не получилась как описанно в шапке, сгенерировал их по своей инструкции завалявшейся после внедрения шифрованной эл почты в филиалах нескольких контор.. типа 6в1,

подсунул всё вроде клиент конектиться к серверу проходит проверку подлинности сервера (проверка сервера проходит вроде как нормально),
далее идёт идентификация TLS как я понял клиента и всё тупняк, ребут соединения клиента с сервером через 5 сек,

при этом client-config-dir "C:\\Program Files (x86)\\OpenVPN\\config\\ccd" закомментированна #

снимаю коммент (убираю его сервант не работает и пишет в логах
Options error: --client-config-dir fails with 'C:\Program Files (x86)\OpenVPN\config\ccd': No such file or directory
Options error: Please correct these errors.
Use --help for more information.

в папке лежат тока ipp.txt пустой
и файл без расширения
client1
с содержимым
ifconfig-push 10.10.10.2 255.255.255.0
push "route 192.168.8.0 255.255.255.0 10.10.10.2"


чесно говоря незнаю чё делать и в полном тупняке.
сертификаты генерил отдельные для клиента под RSA AES256 и SHA254 хэширование.

файл ta.txt единственное генерил на сервере не там где генерились сами сертификаты, но на сервере и клиенте они одинаковые скопировал.

Подскажите если не затруднит.

sergeyxr
Система какая? Я ставил под Win32, проблем не было. Если под никсы, то не ко мне.
Зачем вам CCD? Нужны какие-то специфические опции клиенту передавать? CCD используется только если у клиентов настройки отличаются от тех, что вы прописываете для всех по-умолчанию. В простейшем случае не надо. Ну и задачу хотелось бы услышать. Версия OpenVPN какая?

P.S. Опыт у меня небольшой: 1) делал удалённый доступ на работу, т.к. там частная сеть, невидимая извне, 2) делал маршрутизацию пакетов из одной подсети в другую посредством OPENVPN. Всё делал в режиме routing.

sergeyxr
Цитата:

генерация ключей не получилась как описанно в шапке, сгенерировал их по своей инструкции завалявшейся после внедрения шифрованной эл почты

И ты после этого хочешь, чтобы у тебя все работало? А ты сам пробовал свою дверь ключами от почтового ящика открывать?
Читай мануал и делай, как там написано. Процедура несложная.

похоже вся беда именно с генерированием сертификатов своими скриптами, при том что скрипты, которые раздает разработчик очень даже рабочие.

З.Ы. кстати - ccd сделан неправильно

nick7inc

задачи у меня 2
1. спрятать весь свой трафик чтоб в рабочей сети связанной через сети провайдера, мой трафик нельзя было поймать и просмотреть через трафик инспектор к примеру (защита от утечки, инфы третьих контор)

2. разделить филиалы более 70 в разных уголках страны, каждый на свою подсеть *.*.1.* (*.*.2.*) и т.д.

и дать доступ только нужным ходить из одной в другую,

Замена встроенной помойки RRAS и VPN от винды, и решение частично проблеммы с широковещательным штормом забивающим каналы..
-------------------

версия openvpn-install-2.3.2-I001-x86_64 на клиентах (вин 8 х64 проф)

openvpn-install-2.3.2-I001-i686 на серванте вин 2008R2 со всеми обновлениями.
------------------
сначала было вот что на клиенте:
Thu Jul 18 20:51:29 2013 OpenVPN 2.3.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Jun 3 2013
Thu Jul 18 20:51:30 2013 Control Channel Authentication: using 'C:\Program Files\OpenVPN\ssl\ta.key' as a OpenVPN static key file
Thu Jul 18 20:51:30 2013 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jul 18 20:51:30 2013 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jul 18 20:51:30 2013 Socket Buffers: R=[65536->65536] S=[64512->64512]
Thu Jul 18 20:51:30 2013 Attempting to establish TCP connection with [AF_INET]*.74.119.*:7770
Thu Jul 18 20:51:30 2013 TCP: connect to [AF_INET]*.74.119.*:7770 failed, will try again in 5 seconds: No Route to Host (WSAEHOSTUNREACH)
Thu Jul 18 20:51:35 2013 TCP: connect to [AF_INET]*.74.119.*:7770 failed, will try again in 5 seconds: No Route to Host (WSAEHOSTUNREACH)
Thu Jul 18 20:51:40 2013 TCP: connect to [AF_INET]*.74.119.*:7770 failed, will try again in 5

Sat Jul 20 11:26:28 2013 MANAGEMENT: >STATE:1374305188,TCP_CONNECT,,,
Sat Jul 20 11:26:49 2013 TCP: connect to [AF_INET]*.74.119.*:7770 failed, will try again in 5 seconds: Permission denied (WSAEACCES)
Sat Jul 20 11:26:53 2013 SIGTERM[hard,init_instance] received, process exiting
Sat Jul 20 11:26:53 2013 MANAGEMENT: >STATE:1374305213,EXITING,init_instance,,


выше это с раскоментированной строкой индивидуальных настроек клиента
с выключением директории настрок клиентов
пишет вот что

estart pause, 5 second(s)
Sat Jul 20 11:30:27 2013 Control Channel Authentication: using 'C:\Program Files\OpenVPN\ssl\ta.key' as a OpenVPN static key file
Sat Jul 20 11:30:27 2013 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jul 20 11:30:27 2013 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jul 20 11:30:28 2013 Socket Buffers: R=[65536->65536] S=[64512->64512]
Sat Jul 20 11:30:28 2013 Attempting to establish TCP connection with [AF_INET]109.74.119.146:7770
Sat Jul 20 11:30:28 2013 MANAGEMENT: >STATE:1374305428,TCP_CONNECT,,,
Sat Jul 20 11:30:28 2013 TCP connection established with [AF_INET]*.74.119.*:7770
Sat Jul 20 11:30:28 2013 TCPv4_CLIENT link local: [undef]
Sat Jul 20 11:30:28 2013 TCPv4_CLIENT link remote: [AF_INET]*.74.119.*:7770
Sat Jul 20 11:30:28 2013 MANAGEMENT: >STATE:1374305428,WAIT,,,
Sat Jul 20 11:30:28 2013 MANAGEMENT: >STATE:1374305428,AUTH,,,
Sat Jul 20 11:30:28 2013 TLS: Initial packet from [AF_INET]*.74.119.*:7770, sid=db4372a8 7a51ea76
Sat Jul 20 11:30:28 2013 VERIFY ERROR: depth=0, error=unhandled critical extension: C=RU, ST=Murmansk Oblast, O=server1, OU=IT, CN=server, name=server1, SN=server1, GN=server1, title=server
Sat Jul 20 11:30:28 2013 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Sat Jul 20 11:30:28 2013 TLS Error: TLS object -> incoming plaintext read error
Sat Jul 20 11:30:28 2013 TLS Error: TLS handshake failed
Sat Jul 20 11:30:28 2013 Fatal TLS error (check_tls_errors_co), restarting
Sat Jul 20 11:30:28 2013 SIGUSR1[soft,tls-error] received, process restarting
Sat Jul 20 11:30:28 2013 MANAGEMENT: >STATE:1374305428,RECONNECTING,tls-error,,
Sat Jul 20 11:30:28 2013 Restart pause, 5 second(s)


лог с серванта
Sat Jul 20 11:35:45 2013 *.235.*.10:52630 TLS: Initial packet from [AF_INET]*.235.*.10:52630, sid=fd656bd8 816e47a9
Sat Jul 20 11:35:47 2013 *.235.*.10:52630 Connection reset, restarting [0]
Sat Jul 20 11:35:47 2013 *.235.*.10:52630 SIGUSR1[soft,connection-reset] received, client-instance restarting

сертификат сервера
sha512 алгоритм хэширования на основе AES стандарта
удостоверяющий центр самоподписанный сертификат SHA1

просто как я понимаю на клиенте должно лежать тока
сертификат удостовкеряющего центра
ключ и сертификат клиента
и ta.key

а на серваке в папке ccd файл ipp.txt пустой и файл с параметрами клиента
только вот какой формат этого файла я найти к сожалению не смог...
с английским туговато..


Цитата:

похоже вся беда именно с генерированием сертификатов своими скриптами, при том что скрипты, которые раздает разработчик очень даже рабочие.

З.Ы. кстати - ccd сделан неправильно

а как надо слелать ccd чтоб было правильно??? не подскажите...

у меня как раз с этими скриптами и получился косяк я не мог сгенерить сертификаты т.к. папка и файл ключа ЦС не подхватывалась а вместо этого мне выдавался результат папки в виде пути: "c:\program files\openvpn\ssl"\ca.key

в командной строке поэтому скрипты и неработали далее.., я 3 часа поковырялся и сгенерил используя стандартные команды openssl + собранные параметры конфиг файла дополнительные....вшитые в openssl

sergeyxr
Цитата:

разделить филиалы более 70 в разных уголках страны

Если у вас такая крутая контора, не пора ли подумать об использовании серьезного оборудования? Например, мощная циска в центре, простенькие циски в филиалах, и все связать в одну сеть с помощью DMVPN?
Цитата:

папка и файл ключа ЦС не подхватывалась

На сервере должны быть ca.crt, dh1024.pem, server.crt, server.key.
На клиенте в папке C:\Program Files\OpenVPN\config должен быть конфиг клиента client.ovpn.
И должны быть тот же ca.crt, client.crt и client.key. Но их можно туда и не класть, а "зашить" прямо в конфиг:

Код: <ca>
-----BEGIN CERTIFICATE-----
MIICnDCCAgWgAwIBAgIQRl05XmAMz4hBqEkceM8JXDANBgkqhkiG9w0BAQUFADAX
......................
z5yoJaW14+r27GbHzDexlj731NZ7vbWGJfw59+BEYNdCEmAHGdU8IAHLUtg2788U
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
MIIDgTCCAuqgAwIBAgIKHsfLLAABAAAAdzANBgkqhkiG9w0BAQUFADAXMRUwEwYD
..........................
bcUXPQ1m4q37n+fjSi+cG9dJn+LQdkc3fkNBva9jVu2KotWYTw==
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN RSA PRIVATE KEY-----
MIICXgIBAAKBgQD0elrCdQr+kd6wd9jYVASXHqaBf925xiFsHKMRw+ppS08S1CFJ
.....................
ZwRhJ4KTxtsOb+qWIZ0CGKt6vgrniCJmQ/XkEUxf3/bvjw==
-----END RSA PRIVATE KEY-----
</key>

Цитата:

Если у вас такая крутая контора, не пора ли подумать об использовании серьезного оборудования? Например, мощная циска в центре, простенькие циски в филиалах, и все связать в одну сеть с помощью DMVPN?

в этом вся и фишка что руководство не хочет тратить денег но ставит задачи, чтоб работало...

ну у меня впринципе так и есть тока dh1024.pem у меня 3072 и ещё
файл ta.key

для подписывания как я понимаю самих пакетов, тока как я понял он генериться сервером и самим процессом опенвпн а не библиотекой через openssl.exe идущей в месте с комплектом openssl или я ошибаюсь..
--------------

и у меня почему то соответственно ошибка при запуске серверной части если я ставлю параметр без #
client-config-dir "C:\\Program Files (x86)\\OpenVPN\\config\\ccd"

если
#client-config-dir "C:\\Program Files (x86)\\OpenVPN\\config\\ccd"

то выше представленные логи...

и понять синтаксис содержимого папки ccd я тоже пока к сожалению так и не смог...
------------
сижу читаю статьи но не догоняю..
поидее должно работать...

Добавлено:

Цитата:

Тогда никаких проблем с путями не будет.
Естественно, сертификаты и сервера, и клиента должны быть подписаны тем ca,
чей сертификат ca.crt

ну у меня так и есть, только одно, нужно его добавлять в доверенные корневые центры сертификации???

sergeyxr
1 — ставьте OpenVPN разрядности соответствующей вашей ОС.
2 — скрипты easy-rsa — это самый простой и удобный способ манипуляции с сертификатами без особого вникания в суть процесса.

Добавлено:
Ни чего в доверенные ЦС добавлять не надо. Клиент и сервер сами используют тот сертифиикат ЦС который вы ему подсовываете опцией CA.

sergeyxr

R2 - это 64-ех битная винда. Ставьте другую версию.

Про dh когда-то читал, что он должен помещаться в mtu, иначе могут быть проблемы.

З.Ы. могу предложить вариант - я у себя делаю сертификаты, проверяем работает или нет. И тогда будет ясно где проблемы.

sergeyxr

Цитата:

для подписывания как я понимаю самих пакетов, тока как я понял он генериться сервером и самим процессом опенвпн

Совсем не обязательно. Если в конторе имеется центр сертификации, можно использовать его сертификат.
Цитата:

нужно его добавлять в доверенные корневые центры сертификации?

Совсем не обязательно. Ни серверу, ни клиенту системное хранилище сертификатов не указ.

sergeyxr

Цитата:

спрятать весь свой трафик

включить шифрование, трафик между клиентами и сервером будет шифроваться.
Потом надо понимать, что при передаче трафика от одного клиента другому, трафик пойдёт фактически через сервер (неявным образом). Учитывайте это, когда будете планировать, где у вас будет сервер, а где - клиент. Это опять же про режим Routing.

Я OPENVPN сервер на WinXP Pro 32бит гоняю, система может быть не серверная, connection limit может иметь значение.


Цитата:

разделить филиалы более 70 в разных уголках страны, каждый на свою подсеть
и дать доступ только нужным ходить из одной в другую

Я сам не делал несколько подсетей, советовать не решусь. Тут нужен CCD для того, чтобы прописывать маршруты конкретным пользователям + маршруты на самом сервере должны быть прописаны. Могу дать парочку своих примеров. Ну и смотрите в сторону
Код: learn-address ./script

я понимаю, что никто не читает всю ветку с самого начала, так что извините, если этот вопрос задавался ранее, и наверняка не раз.

Есть проблема. клиент на винде конектится к серверу и ему выдаеться ип. логи говорят что все ок. но на деле ничего не ок. так как в нужную сеть клиент не попадает.

маршруты с клиента:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.3.1 192.168.3.133 25
10.8.0.1 255.255.255.255 10.8.0.57 10.8.0.58 31
10.8.0.56 255.255.255.252 On-link 10.8.0.58 286
10.8.0.58 255.255.255.255 On-link 10.8.0.58 286
10.8.0.59 255.255.255.255 On-link 10.8.0.58 286
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306

конфиг с клиента

dev tun
;dev-node tap
proto tcp
remote //тут был адрес подключения, но я параноидально его убрал.
port 8080
client
resolv-retry infinite
ca ca.crt
cert uname.crt
key uname.key
tls-client
tls-auth ta.key 1
push "route 192.168.0.0 255.255.255.0"
cipher DES-EDE3-CBC
ns-cert-type server
route-delay 2
route-method exe
persist-key
persist-tun
verb 5

Есть предложения, что делать? кроме как паниковать и выпрямлять руки?

imert 1. push "route 192.168.0.0 255.255.255.0" - это директива сервера, а не клиента.
2.
Цитата:

так как в нужную сеть клиент не попадает.

Еще бы мы знали, какая сеть ему нужна?

vlary
1. я догадываюсь об этом. но впихнул, вдруг заработает.
2. это трудный вопрос, потому что при заходе на 2ip мне ип показывает совсем не тот который должен быть при подключенном опенвпнклиенте. а тот который имеет к примеру та точка доступа через которую я подключен. и соответветсвенно я никуда попасть не могу.
3. когда я говорю что клиент выдает ип. то он вида 10.0.8.58.
4. пинг при включенном клиенте. к серверу от клиента и от сервера к кклиенту положителен.
5. и главное. другие пользователи с выданными им ранее сертификатами работают отлично.
сам брал у одного сертификаты и добавлял их. и все работало как положено.

imert
Цитата:

при заходе на 2ip мне ип показывает совсем не тот который должен быть при подключенном опенвпнклиенте

Это с какого такого перепугу должен? На 2ip ты идешь через свой домашний шлюз (и НАТ провайдера, возможно). Трафик по VPN соединению будет идти только в сеть VPN и сети, которые ты прописал на сервере с помощью push "route Х.Х.Х.Х 255.255.255.0".
Чтобы через VPN шел весь трафик, тебе нужна на сервере директива
push "redirect-gateway def1"
И еще должна быть директива 'pull' в клиентской конфигурации)
Ну и озаботиться на сервере, чтобы НАТить клиента наружу.

Помогите увеличить скорость передачи файлов между клиентом и сервером.
Сервер:
Openvpn 2.3.2 Windows XP


Код: dev tun
proto tcp
port 1194
topology subnet
socket-flags TCP_NODELAY
server 10.8.0.0 255.255.255.0
tun-mtu 1400
fragment 0
mssfix 0
keepalive 10 120
cipher none
auth none
ca ca.crt
cert sys.crt
key sys.key
dh dh1024.pem
client-config-dir ccd
route 192.168.1.0 255.255.255.0 10.8.0.2
push "route 195.38.58.0 255.255.255.0"
status openvpn-status.log
verb 3

ashum

Цитата:

Помогите увеличить скорость передачи файлов между клиентом и сервером. Сервер: Windows XP

Поставить на сервер серверную ось, лучше - линукс.

Привет всем!
Помогите решить задачу по настройке openVPN, а именно нужны конфиги к openVPN серверу и клиенту. Задача такая, есть локальная сеть 192.168.1.1-192.168.1.254 в которой раздаётся Интернет через роутер. Имеется белый IP 90.x.x.x. , настроен проброс порта 7745 на IP 192.168.1.17 машины с установленным openVPN внутренней VPN сетью 10.10.1.0 255.255.255.0. Как сделать так, чтобы клиенты подключающиеся к openVPN видели всю внутреннюю сеть 192.168.1.1-192.168.1.254. Винда стоит 7. Буду вам очень признателен за конкретные конфигурации сервера и клиентов, мож ещё в самой винде маршруты какие нужно делать.

zuiden
Например так: [more=сервер]port 7745
proto udp
dev tun0

ca /etc/openvpn/ca.crt
cert /etc/openvpn/net.company.ru.crt
key /etc/openvpn/net.company.ru.key
dh /etc/openvpn/dh1024.pem

tls-server
tls-auth /etc/openvpn/ta.key 0
tls-timeout 240
auth MD5 #
cipher BF-CBC
persist-key
persist-tun

crl-verify /etc/openvpn/crl.pem

server 10.10.1.0 255.255.255.0
topology subnet

client-to-client

push "route 192.168.1.0 255.255.255.0"
# раскомментировать и прописать свой внутренний DNS сервер, если есть необходимость
#push "dhcp-option DNS 192.168.1.66"

keepalive 20 240
comp-lzo[/more] и [more=клиент]remote 90.xx.xx.xx
port 7745
proto udp
dev tun
client

cert user.crt # Public certificate
key user.key # Please specify full path if you want to relocate this file to token or USB-flash disk
ca ca.crt
tls-auth ta.key 1
tls-client
auth MD5
cipher BF-CBC

ns-cert-type server
resolv-retry infinite
comp-lzo
persist-key
persist-tun[/more]
Пути до сертификатов в обоих конфигах поменять на свои, видимо виндовые...
Надеюсь что проброшен всё же udp порт.

Что там у вас с транзитным трафиком на "сервере" я хз, его просто надо разрешить.

p.s. VPN сетка за DSL модемом У него же трындец uplink скорость.

Alukardd
Спасибо большое за конфиги, порт можно установить и udp, только не пойму что изменится если оставить tcp.
А вот про транзитный трафик поподробнее можно. Это имеется ввиду через route add на каждой машине делать?
А можно как нибудь без этого, может на DSL модеме (D-Link DSL 2640NRU) который является роутером маршрутизацию прописать, только вот не знаю от куда и в какую сеть что маршрутизировать.
В винде win 7 и XP службу маршрутизации включать или нет? на всех компах в сети, или которые выступают в роли сервер-клиент openVPN?

zuiden
Можно на DSL модеме прописать маршрут до подсети 10.10.1.0/24 через машину 192.168.1.17, должно работать.

А маршрутизацию на desktop'ной ОС скорее всего только через [more=правку реестра]
Запустите редактор системного реестра (Regedt32.exe) и откройте следующий раздел:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Внесите следующие изменения:
Параметр: IPEnableRouter
Тип данных: REG_DWORD
Значение: 1

Примечание : Значение "1" включает маршрутизацию пакетов TCP/IP для всех сетевых подключений, установленных на данном компьютере.[/more]

Alukardd
Спасибо, буду экспериментировать

Alukardd
Всё получилось, поднялся VPN , законектиля клиент, маршрут на DSL роутере прокинул 10.8.0.0 255.255.255.0 через шлюз 192.168.1.17. Со стороны клиента идут пинги в сеть 192.168.1.0. Но почему то дуступ к компам в сети 192.168.1.0 только по IP адресу, как можно сделать чтобы доступ был ещё и по имени?

zuiden
net-bios работать при таких настройках не будет (надо использовать bridge mode на сервере), про использование внутреннего dns-сервера есть закомментированная строка в конфиге сервера.