» OpenVPN

rain87
Из сети 200.1.80.0/24 компам не надо ходить в 10.2.75.0/24
Они и не ходят-)))
А наоборот-все нормально работает....
Я просто думал что 200.1.80.9 из 10.2.75.0/24 в 200.1.80.0/24 через основной шлюз пересылает (когда интерфейс на нем расшарил трасерт именно так и показал, но в следеющий раз все нормально заработало, пакеты сразу в сеть пошли..)

Спасибо за участие..

Настроил сервер OpenVPN ... как сдлеать авто-коннект при загрузки системы и включение программы??

localpunisher
всё зависит от того какая у вас ос

MS XP Professional SP3 Rus

localpunisher
http://openvpn.net/index.php/open-source/documentation/install.html?start=1

Цитата:

Running OpenVPN as a Windows Service

Настроил OpenVPN и все работает кроме 1С, тут возникает следующая проблема либо сидит народ во внутренней сети либо по OpenVPN.

т.е.: работают во внутренней сети я подключаюсь по OpenVPN их выкидывает и я работаю
надо чтобы все сидели одновременно

Smile1988
ну хоть намекни на структуру сети

rain87
LInux 2.6 (на нем OpenVPN) ==> Windows 2003 (На нем DHCP, домен, 1С ...) ==> Users PC's

по сети внутри IP адреса Class C
по OpenVPN IP адреса Class A

хз, возможно с маршрутами что то не так

не актуально

Smile1988
1с файл-серверная или SQL?

Добавлено:
хм, я ссылку на S.Q.L не ставил, форум сам добавляет
однако

Прошу прощения, возникла следующая проблема - отвратительная скорость соединения
между клиентом (XP sp3) и сервером (Мандрива) соединенным по ОпенВПН. Возможно проблема именно в канале, на доказать это не могу.

Клиент и сервер подключены к разным фрагментам одной общегородской локальной сети. Обещанная провайдером скорость соединения - 10 мегабит. По факту получаю 60-90 кб/сек. Что для больших баз, кои приходится ворочать - просто абзац.

Настройки:

#---SERV---
mode server
tls-server
daemon
ifconfig 192.168.10.1 255.255.255.0
port 1194
proto tcp-server
dev tap
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/gate.ru.crt
key /etc/openvpn/keys/gate.ru.key
dh /etc/openvpn/keys/dh1024.pem
client-config-dir /etc/openvpn/ccd
#push "route 192.168.10.0 255.255.255.0 192.168.10.101"
keepalive 10 120
client-to-client
comp-lzo
persist-key
persist-tun
verb 3
log-append /var/log/openvpn.log


#---Client---
remote 10.*.*.* 1194
client
tls-client
dev tap
#proto udp
ca ca.crt
cert orion.crt
key orion.key
proto tcp-client
comp-lzo
ping 1
verb 3

к Мандриве подключен еще один клиент - с ним проблем нет. А вот с ХР - печальнее. Клиент последней версии (пробовал и 2.0 - то же самое) Отрубил все фаеры. Скорость не изменилась.
Использую шары на сервере и инет через него же...

Не подскажете, в чем может быть подвох?

jobba
вариант 1 - перейти на удп
если вариант 1 не устраивает - можно на сервере попробовать
socket-flags TCP_NODELAY
push "socket-flags TCP_NODELAY"
правда это больше относится к толстым пингам, но может и на скорости скажется

jobba

Цитата:

Обещанная провайдером скорость соединения - 10 мегабит

Сначала необходимо проверить деражит ли договорную скорость провайдер, покачайте что-либо без ВПН, сходите на 2ip.ru, speedtest.net и т.п. ресурсы.
Далее, если скорость на обоих концах соответствует заявленной, то киньте сюда лог (verb4) от начала соединения, плюс минут 15 "ворочания" всего этого дела.
Тэг more не забудьте.

Спасибо большое, Господа. Попробую добавить строки - погоняю.


А проверить инет сложно - клиент не имеет инета. Шар в сети тоже нет. Даже нормально файло не покидать...

Дурацкий вопрос... Если попробывать с оказией притащить физически "клиента" в офис и поставить их рядом, прописать клиенту железно левый ip в той же подсети что и серв и попробывать подключится. Ессно со стороны городской локальной сети. Это будет "полная" эмуляция? Или все хитрее?

jobba
ну эмуляция то будет, за исключением физического линка, который существует между сервером и клиентом. вообще конечно стОит проверить скорость линка, чтоб не копать в ненужном направлении. шару не так долго и поднять для теста

Окей, подниму самбу, просто еще не очень хорошо знаком с никсами, слабо представляю что том надо будет в фаерволе править ... Вот и вопросы. Но, в любом случае, большое спасибо за ответ. Бум учить "на ходу".

Проблема..

Настроил OpenVPN на FreeBSD 8 (настроил без ccd) - все работает отлично, виндусовые клиенты подключаются, сертификаты с паролями.

Теперь хочу каждому клиенту раздавать свои настройки, раскаментил
client-config-dir usr/local/etc/openvpn/ccd
ccd-exclusive

создал в ccd файл с именем CN сертификата клиента - admin


и ОШИБКА подключения..

Tue May 11 02:55:29 2010 us=255982 XX.XXX.XXX.XXX:1192 SIGTERM[soft,delayed-exit] received, client-instance exiting
Tue May 11 22:49:49 2010 us=540373 MULTI: multi_create_instance called
Tue May 11 22:49:49 2010 us=540917 XX.XXX.XXX.XXX:1192 Re-using SSL/TLS context
Tue May 11 22:49:49 2010 us=541078 XX.XXX.XXX.XXX:1192 LZO compression initialized
Tue May 11 22:49:49 2010 us=541832 XX.XXX.XXX.XXX:1192 Control Channel MTU parms [ L:1538 D:162 EF:62 EB:0 ET:0 EL:0 ]
Tue May 11 22:49:49 2010 us=542069 XX.XXX.XXX.XXX:1192 Data Channel MTU parms [ L:1538 D:1450 EF:38 EB:135 ET:0 EL:0 AF:3/1 ]
Tue May 11 22:49:49 2010 us=542327 XX.XXX.XXX.XXX:1192 Local Options String: 'V4,dev-type tun,link-mtu 1538,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher
Tue May 11 22:49:49 2010 us=542416 XX.XXX.XXX.XXX:1192 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1538,tun-mtu 1500,proto UDPv4,comp-lzo,keydi
Tue May 11 22:49:49 2010 us=542546 XX.XXX.XXX.XXX:1192 Local Options hash (VER=V4): 'b9235e13'
Tue May 11 22:49:49 2010 us=542642 XX.XXX.XXX.XXX:1192 Expected Remote Options hash (VER=V4): '3ba3cf0b'
Tue May 11 22:49:49 2010 us=542980 XX.XXX.XXX.XXX:1192 TLS: Initial packet from XX.XXX.XXX.XXX:1192, sid=cd8baf02 1b194d22
Tue May 11 22:49:50 2010 us=90373 XX.XXX.XXX.XXX:1192 VERIFY OK: depth=1, /C=RU/ST=NA/L=Moscow/O=COMMERCE/CN=COMMERCE_CA/emailAddress=info@my_email.ru
Tue May 11 22:49:50 2010 us=92029 XX.XXX.XXX.XXX:1192 VERIFY OK: depth=0, /C=RU/ST=NA/L=Moscow/O=COMMERCE/CN=admin/emailAddress=info@my_email.ru
Tue May 11 22:49:50 2010 us=176696 XX.XXX.XXX.XXX:1192 TLS Auth Error: --client-config-dir authentication failed for common name 'admin' file='usr/local/etc/openvpn.ccd/admin'
Tue May 11 22:49:50 2010 us=208088 XX.XXX.XXX.XXX:1192 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue May 11 22:49:50 2010 us=208423 XX.XXX.XXX.XXX:1192 [admin] Peer Connection Initiated with XX.XXX.XXX.XXX:1192
Tue May 11 22:49:51 2010 us=217796 XX.XXX.XXX.XXX:1192 PUSH: Received control message: 'PUSH_REQUEST'
Tue May 11 22:49:51 2010 us=218108 XX.XXX.XXX.XXX:1192 Delayed exit in 5 seconds
Tue May 11 22:49:51 2010 us=218368 XX.XXX.XXX.XXX:1192 SENT CONTROL [admin]: 'AUTH_FAILED' (status=1)
Tue May 11 22:49:56 2010 us=281777 XX.XXX.XXX.XXX:1192 SIGTERM[soft,delayed-exit] received, client-instance exiting


игрался с правами ccd/admin - не помогло..
менял содержимое ccd/admin - не помогло
вообще удалял admin из ccd - картина та же, то есть как будто этот файл не читается совсем

не понимаю в чем может быть дело, повторюсь, без ccd все замечательно работает

Цитата:

client-config-dir usr/local/etc/openvpn/ccd

Цитата:

file='usr/local/etc/openvpn.ccd/admin'

найдите одно отличие

Это ошибка переноса куска лог-файла, в лог файле все правильно - слэш, эх еслиб так было просто )

NIKEBORZOV
Цитата:

client-config-dir usr/local/etc/openvpn/ccd

может client-config-dir /usr/local/etc/openvpn/ccd ?
проблема явно в том, что он не находит ccd файла для admin, а ccd-exclusive требует это как часть аутентификации

а я специально ccd-exclusive и поставил, без этой директивы клиенту выдаются стандартные общие параметры, так и удалось проблему "локализовать", теперь ясно что по каким-то причинам не читается файл admin из папки ccd, весь вопрос - почему не читается, что не так

вот он, может с ним что-то не так??? я закаментил в нем почти все

/usr/local/etc/openvpn/ccd/admin

# Назначим клиенту статический IP адрес,
ifconfig-push 10.7.2.13 10.7.2.14

# Добавим клиенту маршрут к локальной сети центрального офиса
#push "route 192.168.210.0 255.255.255.0 192.168.7.1"

# Адрес подсети ЗА клиентом
#iroute 192.168.100.0 255.255.255.0
#iroute 192.168.1.0 255.255.255.0

NIKEBORZOV
я ж написал, что не так
Цитата:

может client-config-dir /usr/local/etc/openvpn/ccd ?

в логе овпн пишет usr/local/etc/openvpn/ccd

простите, не понял сначала.. я пробовал по всякому,
client-config-dir /usr/local/etc/openvpn/ccd
client-config-dir usr/local/etc/openvpn/ccd
client-config-dir ccd

с одним и тем же результатом. создал новый ключ, тоже самое

Thu May 13 23:59:51 2010 MULTI: multi_create_instance called
Thu May 13 23:59:51 2010 XX.XXX.XXX.XXX:1192 Re-using SSL/TLS context
Thu May 13 23:59:51 2010 XX.XXX.XXX.XXX:1192 LZO compression initialized
Thu May 13 23:59:51 2010 XX.XXX.XXX.XXX:1192 Control Channel MTU parms [ L:1538 D:162 EF:62 EB:0 ET:0 EL:0 ]
Thu May 13 23:59:51 2010 XX.XXX.XXX.XXX:1192 Data Channel MTU parms [ L:1538 D:1450 EF:38 EB:135 ET:0 EL:0 AF:3/1 ]
Thu May 13 23:59:51 2010 XX.XXX.XXX.XXX:1192 Local Options hash (VER=V4): 'b9235e13'
Thu May 13 23:59:51 2010 XX.XXX.XXX.XXX:1192 Expected Remote Options hash (VER=V4): '3ba3cf0b'
Thu May 13 23:59:51 2010 XX.XXX.XXX.XXX:1192 TLS: Initial packet from XX.XXX.XXX.XXX:1192, sid=4e1af246 b0d663da
Thu May 13 23:59:51 2010 XX.XXX.XXX.XXX:1192 VERIFY OK: depth=1, /C=RU/ST=NA/L=Moscow/O=COMMERCE/CN=COMMERCE_CA/emailAddress=info@my_email.ru
Thu May 13 23:59:51 2010 XX.XXX.XXX.XXX:1192 VERIFY OK: depth=0, /C=RU/ST=NA/L=Moscow/O=COMMERCE/CN=prokof/emailAddress=info@my_email.ru
Thu May 13 23:59:51 2010 XX.XXX.XXX.XXX:1192 TLS Auth Error: --client-config-dir authentication failed for common name 'prokof' file='/usr/local/etc/openvpn/ccd/prokof'
Thu May 13 23:59:51 2010 XX.XXX.XXX.XXX:1192 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu May 13 23:59:51 2010 XX.XXX.XXX.XXX:1192 [prokof] Peer Connection Initiated with XX.XXX.XXX.XXX:1192
Thu May 13 23:59:53 2010 XX.XXX.XXX.XXX:1192 PUSH: Received control message: 'PUSH_REQUEST'
Thu May 13 23:59:53 2010 XX.XXX.XXX.XXX:1192 Delayed exit in 5 seconds
Thu May 13 23:59:53 2010 XX.XXX.XXX.XXX:1192 SENT CONTROL [prokof]: 'AUTH_FAILED' (status=1)
Thu May 13 23:59:58 2010 XX.XXX.XXX.XXX:1192 SIGTERM[soft,delayed-exit] received, client-instance exiting

NIKEBORZOV
Выведите сюда CN сертификата prokof

плюс кусок лога после добавления в конфиг опции verb 5, обязательно используйте тэг more

attaattaatta

CN сертификата prokof - есть prokof,

сертификаты генерил с помощью pkitool, с паролями - и для CA и для клиентов.

лог с verb5 я только завтра смогу выложить

2 ALL
Стоит задача: настороить 2 маршрута (основной + резерв) в одну сеть через разных провайдеров, чтоб при возникновении сбоя впн прокидывался через резерв, а в случае устранения сбоя впн переподключался через основной канал.
На данный момент: на серваке Win 2003 r2 serv настроен опенвпн в режиме сервера объединяет 3 сети (резерва нет) все работает, все пингуется.
Настроил еще один конфиг в режиме р2р, по отдельности оба конфига замечательно работают, но не работают одновременно, в систему добавляется только маршрут одного из них, а не оба. Приходится включать резерв руками, что не всегда возможно, ну и возвращаться на основной канал приходится тож ручкаме.
Вопрос:
Реально ли вообще решить вышеуказанную задачу одним конфигом?
Как корректно прописать резервные маршруты?
Как правильно в конфиге прописывается метрика?

Заранее всем спасибо за советы!

Добрый день!
Подскажите пожалста, как пустить клиента в локалку так, чтобы у него был статический айпи в этой сети, и клиент виделся остальным машинам в сети. Требуется полноценная работа в домене. Насколько я понял из описаний tun/tap, для этого используется второй. Сервер openvpn (linux) не является ни контроллером АД, ни ДНС, ни шлюзом в своей сети.

Получилось пока только настроить tap c ifconfig-ом, не совпадающим с диапазоном локалки.

avangardist
А он точно должен быть в этой подсети? Может необязательно?
Я чет плохо представляю, как маршрут в эту же подсеть прописывать через шлюз?
Подумайте...оно вам надо?
Может как то проще?
Опишите задачи, которые эта рабочая станция будет выполнять....

Вопросы: Надо получить rdp через openvpn. Сервак w2k3 клиент w7 x64.
Оба компа выходят в инет через железки - длинк.
1. Что нужно прописать на железках сервака и клиента? Достаточно ли форвардинга 1194 порта на сервак впн? Форвардинг потров на обоих железках нужен или только на серверной стороне?
2. Последняя версия оренвпн нормально работает в w7 x64?