» OpenVPN

Цитата:

Верно ли, что сервер ovpn позволяет подключаться либо только по udp, либо только по tcp?

вопрос не очень понятен, сервис обычно работает только на одном порту с одним из протоколов либо tcp либо udp.

но другой вопрос, что можно запустить несколько сервисов на разных портах и/или разных протоколах.

если вам выдали настройки, то менять просто так их не следует - скорее всего проблема не в них.
после 2.2.4 версии часть "клиентов" работала не стабильно. возможно стоит заменить/переустановить свою версию.

обычно все проблемы связаны с фаерволом/бредмауэром, ему забывают прописать правила

если подобная проблема возникает непосредственно во время работы, т.е. вы подключились поработали и что-то случилось и связь рвется. то следует помнить, что UDP хоть и быстрее но не обладает подтверждением доставки пакетов и при большой нагрузке связь может теряться. (обычно этим страдают роутеры)
если связь рвется постоянно с начала сессии то я-бы проверил нет ли второго устройства с которого я вхожу.


а вообще логи в помощь. обычно в них есть если не вся правда то ее большая часть.

Уже разобрались.
Человек сказал неправильный порт для tcp.

Насколько я понял, можно запустить несколько конфигов ovpn на одном сервере. Естественно, на разные порты.

Товарищи помогите разобраться в чем тут может быть дело. Подключение есть,а вот пинга с клиента на сервер нет. Мониторинг трафика показывает, что пакеты ходят в обе стороны, но от клиента на сервер поступают с состоянием (no response found) Смотрю вайершарком.
IP сервера 10.8.0.1
У него же поднят DHCP самим OpenVpn по IP 10.8.0.2
У клиента IP 10.8.0.6

c 10.8.0.1 на 10.8.0.6 пинг идет,а обратно нет. Антивирусы отключил, брендмауеры тоже. Пробовал про разному указывать опцию сжатия трафика в конфигах клиента и сервера. Отключил IP6 в системе, teredo и isatap

Версия программы 2.3.8-I601-x86_64. На одном ПК windows 8 64-bit, на дургом windows 7 64-bit

Добавлено:
https://yadi.sk/i/nL7MEknQm5swR
Маршруты на клиенте

Добавлено:
https://yadi.sk/d/nao2uFMum5tMa
конфиг сервера

https://yadi.sk/d/THFEi4Nlm5tPB
Конфиг клиента

https://yadi.sk/i/3tvcyjxPm5tQY
Лог клиента

Всех с Новым Годом!

Подскажите, поднял на Дебиан8 впн-сервер.
Все работает, кроме sip-телефонии - нет входящих звонков. Видимо что-то с маршрутизацией...
Может быть есть где-то примеры как настроить openvpn для работы с sip-ом?

mazafakaz
Цитата:

Может быть есть где-то примеры как настроить openvpn для работы с sip-ом?

Нет таких примеров. Тут дело в сипе, нужно клиента настраивать.
Чтобы он использовал для аудио потока не локальный адрес,
а тот, что ему выдает впн. Во многих клиентах это настраивается.

Подскажите, есть проблема... при включении служба openvpn стартует, но соединение не устанавливается из за того что wifi ещё не успел соединиться... как поправить или настроить попытки соединения ?

всем доброго времени суток!
настроен сервак в режиме моста, могу- ли я клиенту присвоить фиксированный айпи адрес прям из конфига клиента ?
конфиг сервера:
port 443
proto tcp
;proto udp
dev tap
;dev tun
dev-node ovpn
ca ca.crt
cert lenovo.crt
key lenovo.key # This file should be kept secret
dh dh1024.pem
tls-auth ta.key 0
server-bridge 192.168.2.1 255.255.255.0 192.168.2.42 192.168.2.52
comp-lzo
max-clients 10
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
;log-append openvpn.log
verb 3
;mute 20
;ping-restart 10

конфиг клиента:
client
dev tap
;dev tun
;dev-node ovpn
proto tcp
;proto udp
remote mymachine 443
resolv-retry infinite
nobind
persist-key
persist-tun
;mute-replay-warnings
ca ca.crt
cert andrey.crt
key andrey.key
remote-cert-tls server
tls-auth ta.key 1
comp-lzo
verb 3
;mute 20
ping-restart 10

TNR
Цитата:

как поправить или настроить попытки соединения ?

А что, параметр connect-retry уже разве отменили?

Muznark
Цитата:

могу- ли я клиенту присвоить фиксированный айпи адрес прям из конфига клиента ?

--ifconfig [l] [rn] в параметрах или конфиге.

Цитата:

Для TAP устройств, представляющего из себя виртуальный ethernet сегмент,
--ifconfig используется для указания IP-адреса и маски, как на обычном ethernet устройстве.
Если подключаетесь к удаленному сетевому мосту, то IP-адрес и маска должны быть
указаны допустимыми на стороне моста.

antnkretv
для справки:
0. не нужно считать, шо твой вопрос "уникален" и "ни разу не обсуждался", создавая очередной дубль..
..попутно нарушая при этом п. 1. главы VIII Соглашения по использованию..
1. для поиска подходящей темы используем поисковый фильтр по разделу:

2. про существующую тему уже сказали, дополню: тыц (на выбор из 3 страниц) или сразу сюда..

Достался по наследству OpenVPN сервер на Ubuntu. Клиенты подключаются к серверу без проблем, видят хосты за впн-сервером но не все. Подскажите, чего подкрутить чтоб разрешить доступ ко всем хостам за впн-сервером ?
Вот server.conf
Код: port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh2048.pem
mode server
tls server
cipher BF-CBC
comp-lzo
topology subnet
server 192.168.28.0 255.255.255.0
push "route 192.168.55.0 255.255.255.0 192.168.28.1"
client-config-dir ccd
status openvpn-status.log
log /var/log/openvpn.log
verb 5
persist-key
persist-tun
keepalive 5 15

Может на самом 192.168.55.50 прописан статический маршрут на сеть 192.168.28.0/24, а на 192.168.55.51 - нет? Или шлюз по умолчанию там другой. 192.168.55.51 должен видеть адреса сети VPN.

Ice1374, точно, прописал в 192.168.55.51 статический маршрут на 192.168.28.0/24 и все заработало!

Еще вопрос, что в первую очередь из соображений безопасности нужно сделать на OpenVPN сервере без его переустановки после передачи его в эксплуатацию от другого админа? Т.е. нельзя чтоб текущие vpn-клиенты отключались.

ЗЫ: c openVPN пока сильно незнаком, нахожусь в стадии освоения....

Хочу объединить несколько удаленных windows (xp, 7) машин в одну локальную сеть для совместного доступа к базе 1с. Подскажите для данного случая, какие лучше выбрать параметры proto, dev, server/server-bridge/ifconfig?

valdon. Ну, тут придётся считать, что ключ ЦС (центра сертификации - ca.key) - скомпрометирован. Поэтому есть возможность использования как ключей любого из клиентов (но их можно "поотзывать"), но так же есть возможность и генерации новых валидных сертификатов. Поэтому, в идеале, нужно перегенерировать все сертификаты и ключи...
Без отключений не обойтись.

freeneutro. По скорости предпочтительнее протокол UDP. Тип dev попробуй tun (с опцией topology subnet). Режим server.

Цитата:

Еще вопрос, что в первую очередь из соображений безопасности нужно сделать на OpenVPN сервере без его переустановки после передачи его в эксплуатацию от другого админа? Т.е. нельзя чтоб текущие vpn-клиенты отключались.

в первую очередь сгенерировать всем новые ключи (не удаляя старые!!!), лучше всего еще один сервис VPN и поднять.
средствами удаленного доступа заменить старые на новые, тем самым перевести пользователей на новый сервис.
отключить доступ из старого впн в локальную сеть, например фаерволом.
можно еще по логину настроить уведомлялки на почту... сразу будет видно кто ключи не сменил или чьи ключи были использованы

но все это актуально, если злой-злой дядька старый админ не оказался "прошаренным" и не сделал себе какой-то иной способ доступа...

Скажите OpenVPN использует оптимизацию маршрутов, или все данные между клиентами идут исключительно через сервер?

На сервере стоит Kerio Control для Win. Туда же поставил OpenVPN-клиент, подключающийся к VPN. Хочу, чтобы на определенные сайты клиенты моей сети ходили через VPN. Проблема в том, что после подключения меняется default gateway и, если не перенаправлять все пакеты в VPN, Интернет на клиентах отваливается. В майкрософтовском VPN-соединении можно снять галку "Use default gateway on remote network", а в TAP'е такой галки нет. Указание в конфиге маршрутов с большей метрикой не помогает. Как побороть?

Таблицы маршрутизации: [more=без подключения к VPN]
Код:
IPv4 Route Table
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 15 5d 21 20 0d ...... Microsoft Virtual Machine Bus Network Adapter #3 - Kerio Control
0x3 ...00 33 00 00 01 01 ...... Microsoft Virtual Machine Bus Network Adapter #2 - Kerio Control
0x10005 ...00 15 5d 21 20 0b ...... Microsoft Virtual Machine Bus Network Adapter - Kerio Control
0x10006 ...00 ff 95 89 31 6e ...... TAP-Windows Adapter V9 - Kerio Control
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.34.10 192.168.34.1 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.33.0 255.255.255.0 192.168.33.4 192.168.33.4 10
192.168.33.4 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.33.255 255.255.255.255 192.168.33.4 192.168.33.4 10
192.168.34.0 255.255.255.0 192.168.34.1 192.168.34.1 10
192.168.34.1 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.34.255 255.255.255.255 192.168.34.1 192.168.34.1 10
192.168.35.0 255.255.255.0 192.168.35.4 192.168.35.4 10
192.168.35.4 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.35.255 255.255.255.255 192.168.35.4 192.168.35.4 10
224.0.0.0 240.0.0.0 192.168.33.4 192.168.33.4 10
224.0.0.0 240.0.0.0 192.168.34.1 192.168.34.1 10
224.0.0.0 240.0.0.0 192.168.35.4 192.168.35.4 10
255.255.255.255 255.255.255.255 192.168.33.4 192.168.33.4 1
255.255.255.255 255.255.255.255 192.168.34.1 192.168.34.1 1
255.255.255.255 255.255.255.255 192.168.34.1 10006 1
255.255.255.255 255.255.255.255 192.168.35.4 192.168.35.4 1
Default Gateway: 192.168.34.10
===========================================================================
Persistent Routes:
None

freeneutro
В случае OpenVPN общение между клиентами исключительно через сервер.
Есть другие варианты VPN, например Cisco DMVPN, там споки (периферийные узлы)
и сети за ними могут общаться между собой напрямую, минуя хаб (центральный узел)

GCRaistlin
Цитата:

Проблема в том, что после подключения меняется default gateway

А его ведь не обязательно менять ( redirect gateway...).
Достаточно указать маршруты к нужным сетям, доступ к которым должен быть
через VPN соединение ( push route). В остальные места клиенты будут ходить
через собственный шлюз.

vlary
Закомментировал в конфиге

Код: redirect-gateway def1

GCRaistlin

Цитата:

Нет ли возможности добавлять статические маршруты средствами OpenVPN

OpenVPN здесь вообще не при делах.
После поднятия соединения и выполнения связанных с этим действий,
всем дальнейшим рулит сама система.
Так что все манипуляции с маршрутами при установленном соединении
нужно делать средствами локальной системы.

vlary
Я так и думал. А по экспортируемым переменным есть какие-нибудь идеи?

Программно разорвать соединение, установленное OpenVPN, можно только остановив службу?

GCRaistlin
Цитата:

Программно разорвать соединение, установленное OpenVPN, можно только остановив службу?

Собственно, служба - это сервисная обертка вокруг одного или
нескольких процессов OpenVPN. Соответственно, процесс должен быть остановлен,
следовательно, и сервис тоже.

Иногда попытка установить соединение при старте службы оканчивается неудачей. Служба остается запущенной, а соединения нет. Нет возможности заставить OpenVPN повторять в таком случае попытку? Соединяемся через UDP.
Или, может, есть какое стороннее средство, позволяющее детектить статус соединения? К сожалению, nnCron умеет это делать только для VPN- и RAS-соединений.

GCRaistlin
Посмотри по ссылке, там есть пример батника
http://forums.untangle.com/openvpn/30687-configure-client-automatically-reconnect.html
Сам я сабж в виде сервиса не использую, потому некопенгаген.

vlary
Тот батник проверяет живость соединения, а не его статус. Дело, конечно, тоже важное, но в моем случае бесполезное: адреса шлюза и интерфейса каждый раз разные, а сам шлюз не отвечает на пинг.
Несмотря на то что автор ipconfig явно поставил себе целью не допустить парсинга вывода, написал свой: [more=check_connection.cmd]
Код:
@echo off
rem Exit codes:
rem 0 Connected
rem 1 Disconnected
rem 2 Not found
rem -1 Invalid syntax

rem If your Windows (or user profile) isn't English:
rem Type 'ipconfig /all > ipconfig.txt' while the connection you want to check
rem state of is disconnected, then look for the connection in the ipconfig.txt.
rem You'll see something like this:
rem ---------------------------------------------------------------------------
rem Ethernet adapter Local Area Connection 2:
rem
rem Media State . . . . . . . . . . . : Media disconnected
rem ---------------------------------------------------------------------------
rem ^^^^^^^^^^^
rem It's what the 'String' environment variable should be set to.
setlocal
set "String=Media State"

echo check_connection v1.0
echo (c) 2016 GCRaistlin [gcraistlin@yandex.ru]. Licensed under GNU GPL v3.
echo/
set Connection=%1
if not defined Connection (
echo Syntax:
echo %~nx0 ^<net_connection^>
exit /b -1
)
set "Connection=%Connection:"=%"
setlocal enabledelayedexpansion
echo Checking '!Connection!' state...
endlocal
set Ct=2
:TmpFile
set TmpFile="%Temp%\%~n0%random%.txt"
if exist %TmpFile% goto TmpFile
>%TmpFile% ipconfig /all
for /f "tokens=1,2*" %%A in ('type %TmpFile%^|findstr /n ".*"') do (
for /f "delims=:" %%D in ("%%C") do if "%Connection%" == "%%D" goto endloop1
set /a Ct+=1
)
color 00
:endloop1
if errorlevel 1 (
echo Not found!
exit /b 2
)
for /f "skip=%Ct% tokens=1 delims=." %%A in ('type %TmpFile%') do (
for /f "tokens=*" %%B in ("%%A") do (
if "%String% " == "%%B" (
echo Disconnected!
color 00
) else (
echo Connected!
)
)
goto endloop2
)
:endloop2
(
del %TmpFile%
exit /b %errorlevel%
)

Установил OpenVPN на Centos шлюзе для доступа во внутреннюю корпоративную сеть (Windows Domain).
В общем всё работает, днс и суффикс домена прокинул через конфиг сервера

push "route 192.168.0.0 255.255.255.0"
push "dhcp-option DNS 192.168.0.151"
push "dhcp-option DOMAIN firma.hld"

Ресурсы с клиентов соответственно пингуются и заходят. Всё бы хорошо но вопрос в автоматизации доступа к общем сетевым ресурсам с ограниченным доступом (по учёткам в домене Windows).
Пробовал прикрутить к OpenVPN авторизацию через ldap (плагин openvpn-auth-ldap)
Она работает. Но работает именно как авторизация VPN. И не сохраняет авторизацию именно доменной учётки к ресурсам сразу после входа. Может есть какой то скрипт (post login) позволяющий получить доступ к Внутренним ресурсам домена без повтороной авторизации ещё и в Windows)?

я сами компы в домене?
если да то OpenVPN тут не причем,
если нет то через OpenVPN сделать это в чистом виде нельзя, но можно применить ХАК:
например монтировать шары при подключении впн-сети, правда только если пользователь заранее известен.

да именно компы не в домене, пользователи известны....
Как можно монтировать шары автоматом на клиенте с авторизацией конкретного юзера сразу после коннекта опен-впн?

Цитата:

да именно компы не в домене, пользователи известны....
Как можно монтировать шары автоматом на клиенте с авторизацией конкретного юзера сразу после коннекта опен-впн?

по моему за это отвечают следующие ключи конфигурации:
--route-up cmd
--up cmd
--down cmd
--up-restart
--route-up cmd


ну и ряд других
читайте хороший перевод мануала по ключам тут

А кто знает как прочекать openvpn-конфиги, например c http://vpngate.net на рабочие, с меньшими задержками?