» OpenVPN

Спасибо, надо почитать

dim918
В принципе при более-менее стандартных условиях настройка OpenVPN довольно-таки проста.
1.Основная задача, обеспечить доступность компьютера с серверной частью VPN(сервер) по сети компьютерам с клиентской частью VPN(клиент).
Скорее всего сервер подключен к интернету как минимум через ADSL-роутер. Следовательно, чтобы клиенты могли "видеть" сервер, ADSL-роутер должен иметь постоянный(статичный) внешний IP-адрес и отправлять все входящие на определенный порт пакеты из внешней сети на определенный порт и IP-адрес сервера.Т.е необходимо на роутере настроить "проброс" портов.

Когда доступ сервера с клиентов настроен.

2.Устанавливаем на сервере и клиенте OpenVPN. В итоге при этом еще устанавливается драйвер виртуального сетевого адаптера (Панель Управления - Сетевые подключения появиться новое подключение. На данный момент состояние сетевого будет -"Сетевой кабель не подключен")
3.Генерируем устанавливаем сертификаты ключи для сервера и клиентов.
4.Правим стандартные конфиги(в основном только вписываем реальные IP-адреса) Клиентам указываем адрес сервера(т.е роутера) в интернете(внешний адрес).
Серверу указываем IP-адрес в сети VPN и диапазон(маску подсети) из которого раздавать адреса в сети VPN клиентам.
5.В итоге после установки подключения виртуальное сететевое подключение на клиенте перейдет в состояние "Подключен". И должен проходить пинг на VPN IP-адрес сервера.

Вот вкраце и все..

Подскажите пожалуйста, в режиме моста с клиента почему-то не доступны (не пингуются) машины, стоящие в одной сетке с сервером OpenVPN.
Например :
Сеть 192.168.0.0/24
Комп А - 192.168.0.165 - стоит в сети с сервером
Комп Б - 192.168.0.166 - сам сервер, у которого мост br0 имеет данный ИП.
Комп В - 192.168.0.163 - удаленный клиент.
После соедниения :
В пингует Б
Б пингует В
Б пингует А
В не пигнует А
А не пингует В

В чем может быть проблема? Перейти с tap на tun не предлагать.

PS. Настройка моста и OpenVPN выполнялась по Мануалу с сайта OpenVPN

secondstar1
тут действия стандартные...
1 - у вас должны быть разрешены транзитные пакеты - sysctl net.ipv4.ip_forward = 1
2 - правила iptables указанные в мануале не истина в последней инстанции - проверьте, что они не конфликтуют с вашими настройками
3 - проверьте еще раз прописаны ли все необходимые маршруты route -n

Alukardd
1 - стоИт.
2 - пробовал вообще отрубить iptables - тоже самое
3 - а какие маршруты нужны? Разве понятие "мост" не подразумевает, что у меня будет "прозрачная" сеть без маршрутизации?

secondstar1
Цитата:

пробовал вообще отрубить iptables - тоже самое

э не насяльника - така делать низя!!! iptables это вам не брэндмауэр windows! его нельзя отрубить, что бы что-то заработало! его нужно грамотно настроить!!!

Цитата:

а какие маршруты нужны? Разве понятие "мост" не подразумевает, что у меня будет "прозрачная" сеть без маршрутизации?

мост вообще это понятие физического устройства выполняющий этот функционал. у вас же он программный, но от этого суть не меняется. Просто сам OpenVPN прописывает маршруты. У вас все равно должно быть всё прописано... К тому же все настройки выполняются в конфигурационном файле OVPN и не требует дополнительных телодвижений по непосредственной правке route. Все настройки выполняются в файле server.conf и начинаются с route или push "route, ну и у вас клиенты могут описываться в ccd.

Alukardd
а для мостов разве не правильнее было бы пользоваться ebtables взамен iptables?
И можно ли "для тупого" на моем примере показать, какие маршруты должны быть прописаны?

secondstar1
про ebtables не скажу - ни когда его не видел и не пользовался, и bridge если честно использовал только в виртуальных машинах для отображения реального интерфейса.

я кажется налажал с iptables... bridge по другому устроен, извиняйте - он делает именно, то что написал я как и для виртуалок... что ж бывают заскоки... вот почитайте этот ман - правда он делается не так делали вы, но всё же будет полезен для понимания.

secondstar1
так а что вам арпинг говорит с обеих сторон?

Помогите разобраться как

Клиентам указываем адрес сервера(т.е роутера) в интернете(внешний адрес).

dim918
Что куда чего зачем - вы вообще точно про OpenVPN говорит? Многословностью вы явно не отличаетесь...

На основе имеющихся телепатических навыков предположу, что вы не знаете о том, что все настройки клиента лежат в конфигурационном файле у меня это client.conf(а вообще по моему ему все равно какое имя главное что бы лежал в нужной папке и имел расширение .conf).
Подробности настроек ищите на просторах интернета или данного форума - таковых уйма.

Доброго времени суток! Ситуация следующая...
Имеются два OpenVPN-сервера, оба на Ubuntu 8.04 Server и клиент на винде 7.
Конфиги ovpn'ов одинаковые.
Один работает нормально. Локальные ip-адреса пингуются с клиента, всё норм.
Второй не работает. Подключение работает, но пингуется с клиента только локальный ip-адрес OpenVPN сервера, другие локальные адреса не пингуются. Всю голову изломал, так и не нашел решение проблемы. Где следует "копать"?

Цитата:

Где следует "копать"?

может в firewall глянуть?

У клиента он выключен. На сервере его вроде бы совсем нет.
Клиент подключается нормально, в логах всё тоже хорошо. Но вот пингуется только локальный адрес сервера с ovpn. Дальше него - тишина.

magiogre
Ed_73 прав, не могёт такого быть, что firewall на сервер отсутствует, тем более что он по умолчанию имеется!!! сравните настройки iptables на обоих серверах - думаю это решит ваши проблемы... ну и конфиги клиента можно проверить к 2-м серверам одинаковые? мб на каком-то из серверов у вас используются ccd???

magiogre
Вы бы схемку сетей обрисовали?
На основании сообщенных вами данных ,я понял, у вас в одной локалке ДВА сервера через которые попеременно клиент должен ходить в разные вирт.сети (путем попеременного использования разных конфигов)?
Может можно все проще сделать?

Orion_76
а мне кажется у него просто 2 разные сервера - просто 1-ый ему кто-то помог или настроил за него, а 2-ой сам вот мучает... хотя это только догадки...

Alukardd
Вот и я думаю.... Для чего нужны ДВА сервера?
Да...наверное это ДВЕ локалки, к которым он хочет подключаться из ВНЕ...
У меня наоборот...Один сервер, а в каждой удаленной локалке по клиенту... Через клиентов хожу по другим машинам удаленных локалок. Обратную связь (из локалок на сервер или в другие локалки)даже не настраивал...Опять же...Смотря для каких задач VPN организуем....

Сеть поделена на подсети. Каждая подсеть - отдельный город. Коннект настроен через vpn средствами цисок. Коннект слабый, интернет фиговый. Но всё работает.
OVPN-сервера располагаются в разных подсетях. Клиент1 из дома подключается по мере надобности к нужной подсети.

Грубо говоря, сейчас нас не интересует коннект между подсетями. Настраиваем соединение "клиент1 - подсеть1" и "клиент1 - подсеть2". "клиент1 - вся сеть" не рассматриваем.

Настройки iptables на двух серверах по-умолчанию, никаких правил нет.

magiogre

Цитата:

Но вот пингуется только локальный адрес сервера с ovpn.

Цитата:

Конфиги ovpn'ов одинаковые.

а маски подсетей в подсетях одинаковые?
Если нет то конфиг одного сервера всетаки править надо...
например так:

Цитата:

#задаем МАРШРУТ который передаём клиентту
# и маску подсети для того чтобы он "видел"
# сеть за опенвпн сервером (сеть 192.168.1.0/24)
push "route 192.168.1.0 255.255.255.0"

Orion_76
Да это в первую очередь изменил.

кто небудь видел ман для установки/настройки OpenVPN (ИМЕННО В КАЧЕСТВЕ СЕРВЕРА) на WINDOWS 2003 server ?
желательно с картинками )))

contrafack
Цитата:

желательно с картинками

эт врядли... только если вы к OVPN GUI прикрутите
а что его видеть? вся настройка в 1 файле + немного о создании ключей... google рулит!!!

Alukardd

т.е. тот же билд, что качаю для клиента - ставлю на сервер, а потом как написано по той ссылке конфигурирую ключи/сертифитакы и все ?

contrafack
я мельком прочитал все пункты касательно сервера, перед тем как кидать линк... вроде они корректны -- сам по нему не делал, у меня на Linux.
сам OpenVPN качать с оф сайта -- вот прямой линк на скачку - судя по описанию там кажется GUI уже включили начиная с этой версии...

поставлен Linux CentOs 5.5
Hard: Intel Core 2 due 2 GH
RAM 2 GB

На нём должен работать OpenVpn сервер.
Одновременно должно быт подключено 120 клиентов с зашифрованым каналом..,
при том недопустимо что бы клиенты потеряли связы из за недостаточности ресурсов сервера..
Может кто имел схожие ситуации, и примерно какие мошности нужно что бы ето всё нормално работало

Помогите сконфигурировать сервер и клиент так,чтоб клиенты при подключении к серверу получали внешний ip сервера,т.е. через него трафик чтоб проходил.В данный момент клиент и сервер получаюи Ip 10.8.0.4,тип соедниения делал tune и tup0 - то же самое..

Shad0wl0rd

Цитата:

при подключении к серверу получали внешний ip сервера

Думаю, что это невозможно, ибо приведёт к конфликту IP адресов. Нельзя, чтобы даже в локальной сети были 2 компа с одинаковыми IP.

Цитата:

т.е. через него трафик чтоб проходил

Это надо реализовать по-другому. Есть опция redirect-gateway, но она не совсем безобидная. Советую обратить внимание на документацию к OpenVPN.

Может вместо предложенного проще поставить какой-нибудь прокси на сервере?

Я возможно неправильно выразился.Цель - чтоб у клиентов был IP сервера,т.е сервер как шлюз получается (как например в freevpn.com т.п.) Прокси не пойдет.Раскомментировал строку push "redirect-gateway def1 bypass-dhcp" - инет пропал и шлюзна клиенте появился с 10.8,сервер *.*.10.1,клиент 10.5..В чем ошибка??

Shad0wl0rd
если вы хотите выдать реальный ip клиенту то вам надо каждому выдавать уникальный. если же вы просто хотите чтобы клиенты могли ходить через сервер в нет, то вам надо разрешить прохождение ip пакетов от клиентов на сервере и сделать nat. но при таком способе клиенты не смогут получать входящие ip-соединения