» OpenVPN

Уважаемые, подскажите пожалуйста.
Нужно что бы часть адресов была зарезервирована за определёнными клиентами. Для них я создал ccd файл. Но как запретить серверу выдавать эти адреса другим людям? Как исключить то что описано в ccd файлах из ifconfig-pool?
У меня куча клиентов, а статика мне нужна только для парочки, не описывать же из-за них конфиги для всех клиентов?

Alukardd
Цитата:

Как исключить то что описано в ccd файлах из ifconfig-pool?

А что, если определить
fconfig-pool 192.168.10.128 192.168.10.254
а статику раздавать из диапазона
192.168.10.2 192.168.10.127
то не работает?
Ну или использовать dev tap, и раздавать айпи через общий DHCP сервер.

vlary
Точно, заменил опцию --server, спасибо.
Изменил всё соответствующим образом, работает)

Всем привет!
Решил первый раз настроить openvpn.
Столкнулся с проблемой.
Есть 2 компьютера в локальной сети 192.168.1.20(тестовый сервер) и 192.168.1.21(тестовый клиент).
На сервере поднимаю openvpn(экран загорается зеленым, выделяется адрес сервера, который указал в конфиге: 192.168.0.1, который начинает пинговаться). Если пытаюсь с сервера подключиться локально на себя(через OpenVPN Client используя клиентский файл client.ovpn), то подключение проходит успешно.
Но с клиентского компьютера назначенный IP не пингуется, соответственно и коннекта не происходит...
Подскажите, пожалуйста в чем мой косяк?
Заранее спасибо.

Bormoda
Цитата:

Но с клиентского компьютера назначенный IP не пингуется, соответственно и коннекта не происходит...
Подскажите, пожалуйста в чем мой косяк?

На сервере опция client-to-client стоит?

[more] Блин, я совсем криворукий, не могу под спойлер убрать код... Мои конфиги:
server.ovpn:

port 1194
proto udp
dev tun
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\myserver.crt"
key "C:\\Program Files\\OpenVPN\\config\\myserver.key" # This file should be kept secret
dh dh1024.pem
server 192.168.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3


client.ovpn:

client
dev tun
proto udp
remote 192.168.0.1 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\client1.crt"
key "C:\\Program Files\\OpenVPN\\config\\client1.key"
ns-cert-type server
comp-lzo
verb 3 [/more]

Добавлено:
[more]
Цитата:

На сервере опция client-to-client стоит?

Нет, была выключена, включил. Прописал маршрут на клиенте-стал пинговаться сервер.
Но при попытке коннекта клиента в логах сервера:

Wed Apr 16 19:54:30 2014 192.168.1.41:63044 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Apr 16 19:54:30 2014 192.168.1.41:63044 TLS Error: TLS handshake failed
Wed Apr 16 19:54:30 2014 192.168.1.41:63044 SIGUSR1[soft,tls-error] received, client-instance restarting
Wed Apr 16 19:54:31 2014 192.168.1.41:62274 TLS: Initial packet from [AF_INET]192.168.1.41:62274, sid=fc002a5f 74e95cc3
Wed Apr 16 19:55:31 2014 192.168.1.41:62274 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Apr 16 19:55:31 2014 192.168.1.41:62274 TLS Error: TLS handshake failed
Wed Apr 16 19:55:31 2014 192.168.1.41:62274 SIGUSR1[soft,tls-error] received, client-instance restarting
Wed Apr 16 19:55:33 2014 192.168.1.41:60042 TLS: Initial packet from [AF_INET]192.168.1.41:60042, sid=98c0fd78 c81cf353
Wed Apr 16 19:56:33 2014 192.168.1.41:60042 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Apr 16 19:56:33 2014 192.168.1.41:60042 TLS Error: TLS handshake failed
Wed Apr 16 19:56:33 2014 192.168.1.41:60042 SIGUSR1[soft,tls-error] received, client-instance restarting
Wed Apr 16 19:56:35 2014 192.168.1.41:60086 TLS: Initial packet from [AF_INET]192.168.1.41:60086, sid=323fb97d 52cd0318
Wed Apr 16 19:57:35 2014 192.168.1.41:60086 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Apr 16 19:57:35 2014 192.168.1.41:60086 TLS Error: TLS handshake failed
Wed Apr 16 19:57:35 2014 192.168.1.41:60086 SIGUSR1[soft,tls-error] received, client-instance restarting
Wed Apr 16 19:57:38 2014 192.168.1.41:65301 TLS: Initial packet from [AF_INET]192.168.1.41:65301, sid=41682309 07911c65


[/more]

Bormoda Что за чушь?
remote 192.168.0.1
Здесь должен быть белый внешний айпишник твоего сервера.

Цитата:

Что за чушь?

"Я не волшебник я только учусь".
Обязательно использовать комп с белым адресом?
Просто пока первый раз настраиваю, решил потренироваться хотя бы на 2 локальных компах...

Bormoda
Цитата:

решил потренироваться хотя бы на 2 локальных компах...

Это каким образом? Сервер должен иметь минимум два интерфейса, внешний и внутренний.
Так что если хочешь потренироваться, ставь вторую сетевую и тренируйся.
Белый адрес не обязательно, можешь второй сетевой назначить что-нибудь
172.16.0.1, второму компу - 172.16.0.2, и смотри, как он коннектится и
получает доступ к сети 192.168.0.0

vlary

Цитата:

Сервер должен иметь минимум два интерфейса, внешний и внутренний.

Безответственное заявление, не имеющее ничего общего с действительностью!
Не вводите людей в заблуждение, вполне достаточно одного сетевого интерфейса, причем не только для серверов, но и для маршрутизаторов.

PlastUn77
Цитата:

вполне достаточно одного сетевого интерфейса, причем не только для серверов, но и для маршрутизаторов.

Класс! Если у него единственный интерфейс, то между чем и чем прикажешь ему маршрутизировать?

vlary
Имеется в виду один физический сетевой интерфейс (сетевая карта), виртуальные можно добавлять по мере необходимости.

PlastUn77
Цитата:

виртуальные можно добавлять по мере необходимости.

Виртуальный интерфейс - это тоже интерфейс.
Также на физический интерфейс можно посадить массу 802.1q интерфейсов.
Поэтому говорить о роутере с одним интерфейсом несерьезно.

Люди помогите пожалуйста, поставил по инструкциям Openvpn все работает все хорошо, но вот решил создать еще одного клиента но не понимаю какая процедура создания сертификатов отдельно для каждого клиента если уже есть один клиент который настроен и работает?

HELP!!!!

petyp
Цитата:

не понимаю какая процедура создания сертификатов отдельно для каждого клиента если уже есть один клиент который настроен и работает?  

Создаешь сертификат с другим логин нэйм.
В /etc/openvpn/ccd создаешь файл с этим нейм, и пишешь в нем\
route Х.Х.Х.0 255.255.255.0
ifconfig push Х.Х.Х.У сервер_айпи

т.е. я захожу и выполняю только одну команду по созданию сертификатов ./build-key client2
и после я пихаю на комп клиента уже созданные сертификаты.
И еще момент в server.conf нужно будет какие нибудь вводить изменения?

Добавлено:
сейчас ситуация такая, первый клиент подключается и работает нормально с внутренними ресурсами, а вот второй подключается но не пингуется внутренние ресурсы. Как правильно нужно для него создать роутинг и где?

И вот еще момент

# ifconfig tun0
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
options=80000<LINKSTATE>
inet 10.10.10.1 --> 10.10.10.2 netmask 0xffffffff
Opened by PID 50729


10.10.10.2 - этот ip от первого клиента и он работает на ура, а вот второго в этом tun0 нету, может в этом проблема?

и еще вопрос этот tun0 он один для всех или для каждого соединения-клиента нужен свой tunN

petyp

Цитата:

а вот второго в этом tun0 нету, может в этом проблема?

Может. Я же написал:
В /etc/openvpn/ccd создаешь файл client2 и пишешь в нем
route Х.Х.Х.0 255.255.255.0 / Х.Х.Х.0 - локальная сеть
ifconfig push 10.10.10.6 10.10.10.5
Для каждого соединения при подключении tun
создается линк с маской /30
Если есть необходимость в доступе к сети клиента,
можно еще добавить строчку
iroute 192.168.3.0 255.255.255.0 / сетка за клиентом

vlary

что то не фига не получается подключение идет,а пинг на внутреннюю подсеть все равно не идет

root@freebsd:/usr/local/etc/openvpn/ccd # cat client1
ifconfig-push 10.10.10.6 10.10.10.5
route 10.10.10.0 255.255.255.0 ( тут локальная сеть должна же быть та которая создается при подключении vpn? )

petyp
Цитата:

тут локальная сеть  должна же быть та которая создается при подключении vpn?

Зависит от типа подключения.
Если у тебя подключение tun, тогда сеть OpenVPN должно отличаться от сети локалки,
и на всех хостах локалки, если OpenVPN сервер не является дефолт шлюзом,
должен быть прописан маршрут к сети OpenVPN.
Если подключения типа tap, то виртуальный адаптер tap0 бриджуется с соответствующим
эзернет адаптером, бриджу присваивается адрес локалки, и клиентам выдаются
адреса из локалки. Маршруты писать не надо.
http://openvpn.net/index.php/open-source/documentation/miscellaneous/76-ethernet-bridging.html

Цитата:

vlary

Да у меня подключение TUN
OpenVPN у меня стоит на шлюзе

Вы тут писали:
В /etc/openvpn/ccd создаешь файл client2 и пишешь в нем
route Х.Х.Х.0 255.255.255.0 / Х.Х.Х.0 - локальная сеть
ifconfig push 10.10.10.6 10.10.10.5

но я не очень хорошо понял Х.Х.Х.0 - локальная сеть тут локальная сеть должна быть за моим шлюзом(на котором стоит OpenVPN)


и вот ни как не могу понять тут

root@freebsd9:/usr/local/etc/openvpn/ccd # ifconfig tun0
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
options=80000<LINKSTATE>
inet 10.90.91.1 --> 10.90.91.2 netmask 0xffffffff
Opened by PID 51705
You have new mail.
root@freebsd9:/usr/local/etc/openvpn/ccd #


это Client1
inet 10.90.91.1 --> 10.90.91.2 netmask 0xffffffff

а вот у Client2 не создается

хотя вроде уже все варианты перебрал не фига ((((

vlary, только на Вас надежда что бы вы направили меня на истиный путь где я туплю(((((

petyp
Цитата:

а вот у Client2 не создается

Пиши сюда конфиги, сервера и клиента.

Конфиг сервера

port 5000
proto udp
dev tun0
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
server 10.90.91.0 255.255.255.0
push "route 192.168.100.0 255.255.255.0"
client-config-dir ccd
route 10.90.91.0 255.255.255.0
tls-server
tls-auth /usr/local/etc/openvpn/keys/ta.key 0
tls-timeout 120
auth SHA1
cipher AES-256-CBC
keepalive 10 120
comp-lzo
max-clients 5
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3


Конфиг клиента

client 1
dev tun
proto udp
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
tls-auth ta.key 1
cipher AES-256-CBC
comp-lzo
verb 3

petyp Добавь в серверный конфиг строчку
ifconfig-pool-persist ipp.txt
У клиента не увидел строки
remote Х.Х.Х.Х /айпи сервера
Строчка client должна быть просто client
ns-cert-type server пока убери

Добавлено:

Цитата:

vlary

У клиента не увидел строки
remote Х.Х.Х.Х /айпи сервера
наверное я нечаянно ее удалил когда вставлял ее на форум, она есть в конфиге(без нее она бы не подключалась к серверу бы)

Строчка client должна быть просто client
так это второй клиент и разве я тут не должен указать что это client1 что бы он понял что его настройки нужно брать из ссd ??

petyp
Цитата:

разве я тут не должен указать что это client1 что бы он понял что его настройки нужно брать из ссd

настройки из ссd берет сервер, а не клиент.
Клиент настройки берет из конфига. А сервер узнает клиента либо из логина, либо из сертификата.

чет теперь ваще пипец полный не работает даже первый клиент (((

petyp
Цитата:

чет теперь ваще пипец полный

Да не мучайся ты! Поставь это,
и будешь через полчаса иметь рабочую VPN. А в процессе будешь ковыряться,
если все-таки захочешь победить именно OpenVPN.
Клиенты, кстати, могут оставаться те же.

petyp

а строишь то чего? Схемку бы нарисовал что-ли. Если тебе просто нужно запустить клиентов в офисную сетку, чтобы они могли работать с локальными ресурсами, то лучше всего использовать tap. С tap-ом вообще выложу готовые конфиги - сервер под фрей, клиенты под виндой.

vlary
нет я хочу именно OpenVPN Во первых это сложно а значит интересно!

tankistua
задача простая, пускать в сеть по vpn меня, программистов 1с и самое важное в дальнейшем объединить два офиса в одну сеть потому как у нас тут 1с и разные гаранты и сетевые папки.


Добавлено:
ну вот один клиент заработал а второй ну никак..... все таки может нужно где то еще роутинг прописывать?
кстати когда я вчера писал что теперь ни чего не работает я сегодня таблицу маршрутизации перезапустил и все пошло на ура (я вчера менял ip в конфиге сервера OpenVPN и поэтому может и не работало все)

Сейчас client подключается и все ок, а вот client1 не фига ( хотя IP выдает ему правильный т.е. 6 на конце

И САМЫЙ ГЛАВНЫЙ ВОПРОС

root@freebsd:/usr/local/etc/openvpn/ccd # ifconfig tun0
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
options=80000<LINKSTATE>
inet 10.90.91.1 --> 10.90.91.2 netmask 0xffffffff
Opened by PID 90803

эта строчка идет для первого клиента
inet 10.90.91.1 --> 10.90.91.2 netmask 0xffffffff

т.е. если я создаю второго клиента тут должна появится строчка
inet 10.90.91.6 --> 10.90.91.5 netmask 0xffffffff

просто я уверен на все 100% что пинги не проходят из-за маршрутизации, но что делаю ни так не понимаю (((
Можно выложить конфиг что бы Вы посмотрели?