» OpenVPN

Цитата:

от куда взялись нижние три строки?

Такое бывает. ipp.txt обеспечивает persistence.
В этот файл могут писать и админ, и сам сервер.
Если такой вариант не устраивает, сделай файл рид-онли.

Настроил openvpn. Vpn подсеть: 10.253.53.0/24.
Подключаюсь клиентом успешно, клиенту присваивается адрес: 10.253.53.6.
Могу подключиться по RDP к компу, где установлен OpenVPN сервер, - 10.253.53.1.

Офисная подсесть компа с VPN сервером: 192.168.53.0/24.
Чтобы с клиента попадать в офисную сеть, прописал в конфиге сервера OpenVPN: push "route add 192.168.53.0".

Маршрут на клиенте добавляется, но ни один комп в сети 192.168.53.0 не пингуется из клиента,
tracert 192.168.53.х ничего не выдает - ни одного перехода.

Посмотрел таблицу маршрутизации на клиенте после подключения к серверу:
"192.168.53.0 255.255.255.0 10.253.53.5 10.253.53.6". Т.е. шлюз прописан 10.253.53.5. Этот шлюз не пингуется.

Почему не могу попасть в сетку 192.168.53.0? Дело в шлюзе? Откуда этот IP?

p.s. ipconfig /all выдает, что загадочный адрес шлюза 10.253.53.5 - DHCP сервер для виртуального адаптера на клиенте.

Клиент и сервер на Windows 7

Ничего не понял..

Цитата:

Почему не могу попасть в сетку 192.168.53.0? Дело в шлюзе?

Нет. Дело в том, что никто, кроме сервера,
в сети 192.168.53.0 понятия не имеет, как попасть к хосту 10.253.53.6.
Полистай тему. Вопрос столько раз обсасывался, что повторяться надоело.

Ребята, поделитесь пожалуйста своими мыслями по поводу защиты от подмены выданного клиенту адреса на локальном компьютере.
Сейчас опенвпн настроен в режиме сервера с пулом адресов. через ipp файл каждому имени закреплен определенный адрес. Но после установки соединения, меняем этот адрес на какой нибудь другой(естественно из этого же диапазона) и продолжаем работать дальше(под разные адреса могут буть разные разрешения на доступ к ресурсам сети)

Пока в голове только крутится вариант с запуском отдельного опенвпн под каждого клиента, с отдельным именем интерфейса и маской 30. но возьни много. Второй вариант запустить опенвпн-ки не на каждого клиента, а на группы клиентов "по интересам".

Есть действующие варианты предупредить изменения адреса клиентом на локальном компьютере?

Городить огород с файрволом + привязка к маку теоретически тоже можно, но тоже лес получается густой и не сильно красивый....

В общем за любые мысли спасибо.

Цитата:

Нет. Дело в том, что никто, кроме сервера,
в сети 192.168.53.0 понятия не имеет, как попасть к хосту 10.253.53.6.
Полистай тему. Вопрос столько раз обсасывался, что повторяться надоело.

Т.е. на компе с сервером OpenVPN надо IPRouting включить?

Доброго времени суток! Один из клиентских ключей возможно был скомпрометирован- потеряна флешка с ключём+конфигом. Можно ли заблокировать только этот ключ, не трогая остальные, или придётся заново создавать ключи для сервера и клиентов? Если можно, то как? (что прописать на стороне сервера)

--------------------------------------------------------------------------------------------------------
Конфиг сервера:
port xxxx
proto udp
dev tun
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\key\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\key\\server.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\key\\server.key"
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\key\\dh2048.pem"
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3
--------------------------------------------------------------------------------------------------------
Конфиг клиента:
client
dev tun
proto udp
remote host xxxx
resolv-retry infinite
nobind
persist-key
persist-tun
ca "C:\\Program Files\\OpenVPN\\Key\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\Key\\User.crt"
key "C:\\Program Files\\OpenVPN\\Key\\User.key"
ns-cert-type server
comp-lzo
verb 3
--------------------------------------------------------------------------------------------------------
Также, просьба посмотреть- всё ли правильно в конфигах, или что-то можно/нужно убрать или добавить?
Заранее благодарен.

конечно можно!
самый простой способ - перегенерировать конкретный ключ:
./build-key client
и перезапустить сервер (чтобы подключение отвалились)


но есть и второй способ - отозвать ключ
./revoke-full client

Скрипт revoke-full создает CRL (certificate revocation list) - crl.pem.
Этот файл (не является секретным) должен быть скопирован в каталог, видимый OpenVPN сервером, а путь к нему прописан в конфиге server.conf.

crl-verify /usr/local/etc/openvpn/crl.pem

admin931

Цитата:

но есть и второй способ - отозвать ключ

Мне не для Unix-системы, у меня Windows Server 2003.
Как это сделать на нём? Версия Open VPN- 2.2.1.

Добавлено:

Цитата:

Скрипт revoke-full

Есть такой bat-файл, находится в "C:\Program Files\OpenVPN\easy-rsa"вот его содержимое:

Код:
@echo off
cd %HOME%
rem revoke cert
openssl ca -revoke %KEY_DIR%\%1.crt -config %KEY_CONFIG%
rem generate new crl
openssl ca -gencrl -out %KEY_DIR%\crl.pem -config %KEY_CONFIG%
rem test revocation
rem first concatinate ca cert with newly generated crl
copy %KEY_DIR%\ca.crt+%KEY_DIR%\crl.pem %KEY_DIR%\revoke_test_file.pem
rem now verify the revocation
openssl verify -CAfile %KEY_DIR%\revoke_test_file.pem -crl_check %KEY_DIR%\%1.crt
rem delete temporary test file
del /q %KEY_DIR%\revoke_test_file.pem

Цитата:

И ещё вопрос: увеличится ли скорость, если использовать не UDP, a TCP?
Заранее благодарен за советы и помощь!

Нет, даже наоборот, и это не однократно обсуждалось. И этому есть объяснение т.к. TCP протокол по своей архитектуре overhead

Ещё вопрос- может ли файл crl.pem содержать сведения о нескольких отозванных сертефикатах или только об одном? При попытке внести в список отозванных другой сертификат, файл crl.pem перезаписывается. Можно ли в него вручную добавить новую запись? Если да, то как?
Сам файл имеет вид:

Код: -----BEGIN X509 CRL-----
xxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxx
-----END X509 CRL-----

Romline
Цитата:

Мне не для Unix-системы, у меня Windows Server 2003

Все делается одинаково с помощью openssl.
Цитата:

1. run openssl ca -revoke <certificate file> to revoke the certificate in the internal
OpenSSL CA database (basically adding the revocation information in the index.txt)
2. create a certificate revocation list using openssl ca -gencrl -out ca.crl
3. copy this revocation list to the OpenVPN revocation list file
(see the crl-verify directive in the OpenVPN config file)
4. see OpenVPN deny the connection on the next certificate check

Цитата:

Где можно подробнее прочитать (желательно по-русски)

А чего ты полез в эти вещи, не зная английского?
Ты можешь представить себе музыканта, не знающего нот?

vlary
Читать английский текст, в том числе и техническую литературу и понимать его я могу, но мне кажется (может только одному мне?), что на родном языке читать проще и быстрее... Тем более я написал:
Цитата:

желательно по-русски

Подскажите, пожалуйста, как задать таймаут по которому клиент считает, что соединение разорвано и не обходим реконнект? Необходимо ли будет делать аналогичные настройки на серверной стороне? Ключи создавались с запретом на мультиподключения с одним ключем. Что произойдет если таймауты на серевере и на клиенте будут выставлены разные: разорвет старое соединение и подключит новое или отвергнет новое из-за уже установленного?
Прописывал на стороне клиента:

Код: keepalive 1 15

DarkMasterW

keepalive < seconds > < seconds > - является совмещением сразу двух команд - ping и ping-restart. Использует сразу два параметра в секундах, перечисленных через пробел. Пример:
keepalive 10 180
Означает следующее: каждые 10 секунд посылать ping на удаленный хост, и, если за 180 секунд не было получено ни одного пакета - то перезапускать туннель.

Добавлено:
забыл на стороне сервера это прописывается

На стороне клиента тоже успешно прописывается. Фишка в том, что сервер пушил настройки. Закомментил параметр на сервере - клиент стал отрабатывать по собственным настройкам. Ставить всем такой агрессивный реконнект имхо не есть правильно - пусть лучше будет свобода у клиента. Почему-то думал, что если значение параметра разное, то берется значение клиента, если на сервере явным образом не указан пуш параметра. Спутал с чем-то...

Такая проблема. На рутере установленно openvpn. К роутеру на прямую подключен win8.1 Комп с win 7 подключен к другому провайдеру. Из под win 7 я подключаюсь к openvpn все работает.

Не вижу расшаренные ресурсы на win 8.1
Какое правило надо прописать в firewall win8.1 что бы работало. Потому что если на win8.1 отключить firewall то все работает.
Разобрался. Разрешил входящие правило на всю подсеть VPN

Безопасен ли VPN сервис, если используется общий Ключ и Сертификат? Общий для всех клиентов. Аутентификация происходит по tls-auth Wdc.key 1 и вводу логина и пароля.

В папке config есть только USA-Chicago-UDP.ovpn, ca.crt и Wdc.key.

И это для всех клиентов в публичном доступе.
Логин и пароль для всех разный.

хало

есть 2 опенвпн сервера, и есть клиент которому нужно по выбору подключатся то к одному, то ко втрому серверу. можно это как-то менюшкой реализовать на виндовом клиенте? чтобы не делать 2 батника?

Цитата:

есть 2 опенвпн сервера, и есть клиент которому нужно по выбору подключатся то к одному, то ко втрому серверу. можно это как-то менюшкой реализовать на виндовом клиенте? чтобы не делать 2 батника?

Штатный OpenVPN GUI на лету видит второй конфиг файл и предлагает его при щелчке правой кнопкой мышки на иконке в трее.

разобрался, спасибо!!!

Я не знаю, что такое SSH, VPN, тоннель и т.д.

Мне надо, чтобы сайт (whoer.net/extended) видел, что я захожу не через реальный свой IP, а через IP socks5 прокси (абсолютная анонимность , включая DNS).

socks5 прокси берется отсюда checkerproxy.net

Это надо сделать через виртуальный сетевой адаптер . Весь траффик ОС должен идти через этот адаптер.

Нужно полное объяснение (с картинками или лучше видео) как для ньюби.

Почти удалось реализовать с tun2socks, но как выяснилось прога не умеет передавать протокол UDP (что резко снижает ценность проги до нуля), соотв. реальные DNS светятся.

Здесь человек пишет, что используя OpenVPN и публичный socks5 прокси , можно добиться , чтобы сайт видел пользователя , как если бы он зашел с этого прокси. http://forum.ru-board.com/topic.cgi?forum=8&topic=44455&start=20#12

Так как это сделать?

Ilya_SpongeBob
Цитата:

Так как это сделать?

Это делается на самом сервере. Когда ты к нему подключаешься,
он впендюривает тебе таблицу маршрутов, при которой весь трафик идет
через сервер. И UDP тоже. Никакие socks5 нужны.
В соответствующем разделе можешь найти список ресурсов,
предоставляющих доступ к их VPN серверам ( OpenVPN тоже имеется).

Подскажите. На работе выхожу в интернет через прокси (https). При этом на прокси обрезаны все порты, кроме 80 и 443. Доступа к прокси не имею.
Есть еще прокси с белым ip в интернете. Проверял доступ к нему из другого места - рабочий (проверял только через 1194 порт). На самом сервере не могу что-то менять.
Есть настройки для openvpn и для pptp.
Можно как-то организовать доступ к серверу с рабочего места по OpenVPN?
Пытался просто настроить конфиг

Код:
proto tcp
http-proxy xxx.xxx.xxx.xxx 4040 password.txt basic
remote xxxxx.com 443

nomadfromx Собственно, тебе туда: Обход межсетевых экранов и фильтрующих прокси-серверов
Если ты не имеешь отношения ни к прокси. ни к OpenVPN серверу,
то ты также не имеешь никакого отношения к данному разделу.

Mon Apr 6 17:29:43 2015 OpenVPN 2.3.2 i486-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [IPv6] built on Dec 5 2014
Mon Apr 6 17:29:43 2015 NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to
Mon Apr 6 17:29:43 2015 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Mon Apr 6 17:29:43 2015 WARNING: file 'keys/orb.scsbm/bridging-server.key' is group or others accessible
Mon Apr 6 17:29:43 2015 TUN/TAP device tap0 opened
Mon Apr 6 17:29:43 2015 servers/bridging-server/bin/bridging-server.up tap0 1500 1574 init
Mon Apr 6 17:29:43 2015 WARNING: Failed running command (--up/--down): external program exited with error status: 1
Mon Apr 6 17:29:43 2015 Exiting due to fatal error


Доброе время суток ! у меня вот такая проблема..

vohev


Цитата:

WARNING: Failed running command (--up/--down): external program exited with error status: 1
Mon Apr 6 17:29:43 2015 Exiting due to fatal error

Без содержимого конфига и этого вашего самого "(--up/--down): external program" нифига не угадать.

Друзья, не подскажете ли несколько вопросов. Установил этого зверя, кинул конфиг сервака в папку, включил автозагрузку сервиса, все вроде работает (судя по ipleak и тормозам инета), но есть вопросы.
1. Инет через серваки vpngate тормозит сильно (у меня подключение 30 мбит). Есть ли быстрые бесплатные серваки?
2. Как настроить, чтобы P2P (торрент) и возможно - IPTV ходили не через VPN? Бо очень уж медленно.
3. Прочитал, что если в папке конфигов лежат несколько .ovpn, то сервисом запускаются все сразу. Это как? Через какой из них пойдут все соединения?
4. Есть ли инструменты, позволяющие при запуске протестировать имеющиеся серверы и автоматом выбрать наиболее быстрый в этот момент? Или только ручками каждый раз перебирать?
5. Как настроить (виндовз файрвол?), чтобы если почему-то VPN не поднялся, то все проги в инет не пускало? И желательно, чтобы при необходимости этот запрет можно было быстро вручную отключить, а позже включить снова.
6. У меня на WinXP SP3 присутствует такая вот гадость (при выходе из ждущего связи нет). А OpenVPNWinSvc.GUI.exe (там его советуют) выдает при запуске ошибку 0xc0000135, не запускается. Кто-то решил такую проблему?
Спасибо!

ytr
Цитата:

Есть ли быстрые бесплатные серваки?

Бесплатных пирожных не бывает. Площадь, оборудование. электричество, трафик -
все это стоит денег. Назови причину для человека,
который тратит эти деньги, заниматься благотворительностью для всех желающих?
Тем более любителей халявы столько, что никаких ресурсов не хватит

Цитата:

Как настроить, чтобы ...

В общем случае - никак. Маршрутизация настраивается для конкретных
адресов, а не протоколов. Хочешь ходить, скажем, в сеть 1.1.0.0 напрямую - пожалуйста.
Но чтобы броузер туда ходил через VPN, а торрент прямиком, не выйдет.
Но торренты и айпмтв можно гонять на отдельном компе.

Цитата:

Через какой из них пойдут все соединения?

Через то, где маршрут с меньшей метрикой
Цитата:

Есть ли инструменты, позволяющие ...

Как говорят англичане, чтобы оценить пудинг, надо его попробовать.
Можешь сам сделать такой инструмент. С помощью батника поднял соединение,
как-то оценил скорость, потом следующее, и т.д. На основании результатов
выбрал лучший на данный момент сервер и подключился к нему уже надолго.
Цитата:

если почему-то VPN не поднялся

Просто убери дефолт маршрут, и пропиши статику для конкретных VPN серверов.
И в отсутствии соединения только они будут доступны.