» OpenVPN

phaoost
Каким образом можно задействовать NAT в OpenVPN?

Добавлено:
phaoost - как в OpenVPN поднять NAT,(в винд ене получится,т.к. это 2008 web edition)

Shad0wl0rd
nat делается средствами вашей ос, openvpn для этого не предазначен

Как сделать авторизацию по имени паролю в OpenVPN ?


Мануалов по настройке OpenVPN - давольно много (хотелось-бы - больше,ну да ладно),но вот по настройке авторизации (аутентификации) по "имя"\"пасс" - нету,как такую авторизацию организовать,не подскажите ? Чтобы при подключении к опенвнп - требовал лишь ввести имя\пасс без всяких там сертификатов и т.д. и т.п.

ALEKCEN
http://ksimute.trancom.ru/openvpn.shtml
Вот сдесь подробно написано как сделать сеть со стандартными ключами (одни на всех)

Про авторизацию по паролю...

Выдержка из описания ключей конфигов:
взято отсюда - http://tuxnotes.ru/articles.php?a_id=26

Цитата:

Методы аутентификации


auth-user-pass-verify < script > < method > - указывается только на серверной стороне.
< script > - путь к скрипту, который будет производить авторизацию. Скрипт должен возвращать 0 если авторизация успешна, и соответственно, 1 если авторизация не успешна.
< method > - метод авторизации, может быть двух типов: via-env и via-file

auth-user-pass < file >- указывается на клиентской стороне. Параметр не обязателен, если он отсутствует то будет предложено ввести пару логин/пароль.
должен содержать имя пользователя и пароль в двух строчках:
username
password

client-cert-not-required - отключает авторизацию по сертификатам.

Вот кстати поподробнее с примерами скриптов авторизации:
http://www.lissyara.su/articles/freebsd/security/openvpn+auth/

PS найдено при помощи гугля по запросу "openvpn авторизация логин пароль" на первой странице результата запроса.

Shad0wl0rd

Цитата:

задействовать NAT в OpenVPN

В OpenVPN есть маршрутизация пакетов, но только в пределах VPN сети. Если у вас VPN сеть уже настроена в режиме маршрутизации, то самое простое сделать вам прокси на OpenVpn сервере. А если вам нужно, чтобы входящие соединения проходили, то надо делать другими средствами.

P.S. Может Вам проще роутер купить?

ALEKCEN
http://forum.ru-board.com/topic.cgi?forum=8&topic=11656&start=480#18 вот тут задавали вопрос этот, вроде всё расписано

Цитата:

client-cert-not-required - отключает авторизацию по сертификатам.

Тоже указывается на клиентской машине ?


Цитата:

вот тут задавали вопрос этот, вроде всё расписано

Расписано-то расписано,но нефига не понятно,да и тот чувак делал - по сертификату и бла бла бла,а мне надо - чем проще,тем лучше.

Т.е. кофиг сервера - будет состоять - из одной строки,а клиентской - из двух ? или есть ещё какие-то обязательные строчки ?
Если кому-нибудь не сложно - вывесите готовый конфиг с такой авторизацией,а то проксики\носки и прочую лабуду - в лёгкую настраивал,а вот с опенвпном - всё никак не могу подружится...слишком в нём - всё скрыто и большая часть мануалов - или на инглише или на линукс и прочую дрянь.

Добрый день. Немного почитав про OPENVPN, решил создать сеть ОФИС(192.168.1.x) - ДОМ(192.168.1.11) в офисе и дома стоят AdSL модемы настроенные роутером

получилось состряпать такой файл сервера

port 1194
proto udp
dev tun
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.key"
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"
;dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

и такой файл клиента

client
dev tun
proto udp
remote dim918.no-ip.org 1194
;remote my-server-2 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\client1.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\client1.key"
ns-cert-type server
comp-lzo
verb 3

из дома (сервер) пингуется 10.8.0.6
из офиса (клиент) 10.8.0.1
но расшаренных папок не вижу


на обоих модемах проброс портов сделал

лог клиента
Thu Sep 16 23:10:26 2010 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Thu Sep 16 23:10:26 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Sep 16 23:10:27 2010 LZO compression initialized
Thu Sep 16 23:10:27 2010 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Sep 16 23:10:27 2010 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Sep 16 23:10:27 2010 Local Options hash (VER=V4): '41690919'
Thu Sep 16 23:10:27 2010 Expected Remote Options hash (VER=V4): '530fdded'
Thu Sep 16 23:10:27 2010 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Sep 16 23:10:27 2010 UDPv4 link local: [undef]
Thu Sep 16 23:10:27 2010 UDPv4 link remote: 95.84.18.225:1194
Thu Sep 16 23:10:27 2010 TLS: Initial packet from 95.84.18.225:1194, sid=86f5a888 10e55c9d
Thu Sep 16 23:10:28 2010 VERIFY OK: depth=1, /C=RU/ST=VT/L=Saratov/O=HOMe/OU=Home1/CN=dim918.no-ip.org/emailAddress=dim918@yandex.ru
Thu Sep 16 23:10:28 2010 VERIFY OK: nsCertType=SERVER
Thu Sep 16 23:10:28 2010 VERIFY OK: depth=0, /C=RU/ST=VT/O=HOMe/CN=server/emailAddress=dim918@yandex.ru
Thu Sep 16 23:10:30 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Sep 16 23:10:30 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Sep 16 23:10:30 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Sep 16 23:10:30 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Sep 16 23:10:30 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Sep 16 23:10:30 2010 [server] Peer Connection Initiated with 95.84.18.225:1194
Thu Sep 16 23:10:32 2010 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Thu Sep 16 23:10:32 2010 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Thu Sep 16 23:10:32 2010 OPTIONS IMPORT: timers and/or timeouts modified
Thu Sep 16 23:10:32 2010 OPTIONS IMPORT: --ifconfig/up options modified
Thu Sep 16 23:10:32 2010 OPTIONS IMPORT: route options modified
Thu Sep 16 23:10:32 2010 ROUTE default_gateway=192.168.1.1
Thu Sep 16 23:10:32 2010 TAP-WIN32 device [Подключение по локальной сети 4] opened: \\.\Global\{BF044FC1-C256-406E-92B4-5AC1B77422F6}.tap
Thu Sep 16 23:10:32 2010 TAP-Win32 Driver Version 9.6
Thu Sep 16 23:10:32 2010 TAP-Win32 MTU=1500
Thu Sep 16 23:10:32 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {BF044FC1-C256-406E-92B4-5AC1B77422F6} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Thu Sep 16 23:10:32 2010 Successful ARP Flush on interface [3] {BF044FC1-C256-406E-92B4-5AC1B77422F6}
Thu Sep 16 23:10:38 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Sep 16 23:10:38 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Sep 16 23:10:42 2010 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Thu Sep 16 23:10:42 2010 WARNING: potential route subnet conflict between local LAN [192.168.1.0/255.255.255.0] and remote VPN [192.168.1.0/255.255.255.0]
Thu Sep 16 23:10:42 2010 C:\WINDOWS\system32\route.exe ADD 192.168.1.0 MASK 255.255.255.0 10.8.0.5
Thu Sep 16 23:10:42 2010 Route addition via IPAPI succeeded [adaptive]
Thu Sep 16 23:10:42 2010 C:\WINDOWS\system32\route.exe ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
Thu Sep 16 23:10:42 2010 Route addition via IPAPI succeeded [adaptive]
Thu Sep 16 23:10:42 2010 Initialization Sequence Completed


Подскажите где ошибка!

dim918
для работы виндового smb требуется, чтоб интерфейс пропускал broadcast пакеты. т.е. для вас это выражается в том, что в обоих конфигах надо dev tun поменять на dev tap

Добавлено:

Цитата:

Thu Sep 16 23:10:42 2010 WARNING: potential route subnet conflict between local LAN [192.168.1.0/255.255.255.0] and remote VPN [192.168.1.0/255.255.255.0]
Thu Sep 16 23:10:42 2010 C:\WINDOWS\system32\route.exe ADD 192.168.1.0 MASK 255.255.255.0 10.8.0.5

на это тоже стоит обратить внимание. в конфиге не заметил, где роуты устанавливаются эти

спасибо попробую отпишусь

Спасибо заработало!!!!!!!!!!!!!

Один раз только соединился и все!?

Лог клиента

Sat Sep 18 12:00:15 2010 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Sat Sep 18 12:00:15 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Sep 18 12:00:16 2010 LZO compression initialized
Sat Sep 18 12:00:16 2010 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sat Sep 18 12:00:16 2010 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Sat Sep 18 12:00:16 2010 Local Options hash (VER=V4): 'd79ca330'
Sat Sep 18 12:00:16 2010 Expected Remote Options hash (VER=V4): 'f7df56b8'
Sat Sep 18 12:00:16 2010 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Sep 18 12:00:16 2010 UDPv4 link local: [undef]
Sat Sep 18 12:00:16 2010 UDPv4 link remote: 79.126.83.223:1194
Sat Sep 18 12:01:16 2010 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sat Sep 18 12:01:16 2010 TLS Error: TLS handshake failed
Sat Sep 18 12:01:16 2010 TCP/UDP: Closing socket
Sat Sep 18 12:01:16 2010 SIGUSR1[soft,tls-error] received, process restarting
Sat Sep 18 12:01:16 2010 Restart pause, 2 second(s)


Ничего не менял, в чем причина непойму.

не знаю что у тебя там заработало, но в конфиге сервера не хватает банально tls-ключа на сервере


Код: # For extra security beyond that provided
# by SSL/TLS, create an "HMAC firewall"
# to help block DoS attacks and UDP port flooding.
#
# Generate with:
# openvpn --genkey --secret ta.key
#
# The server and each client must have
# a copy of this key.
# The second parameter should be '0'
# on the server and '1' on the clients.
tls-auth keys/ta.key 0

Спасибо!

пожалуйста, будь внимательней.

вышла версия 2.1.3
http://openvpn.net/release/openvpn-2.1.3-install.exe

Кто-нибудь ответит на мои вопросы выше ?

ALEKCEN
вы бы хоть ман открыли, увидели бы что эта опция в режиме сервера а не клиента задаётся.

Прописал роутинг на каталисте - клиенты стали видеть сеть за сервером. Всё работает. Спасибо за ответы.

phaoost
так в том то и прикол, что человеку неохота, а хочется на блюдечке
Цитата:

слишком в нём - всё скрыто и большая часть мануалов - или на инглише или на линукс и прочую дрянь.

неохота после такой фразы как то отвечать - всё равно виноватый останешься

Я настроил openvpn на FreeBSD, только осталась загвоздка, после рестарта компа, файл rc.conf из /etc/ , куда я его переписываю из /usr/local/etc/, пропадает. У кого-нибудь было нечто подобное ?

Не раздаётся интернет через VPN

В общем - вот такая вот проблема.Т.е. через прокси или носки - интернет спокойно раздаётся,а через VPN - ни в какую.VPN пробовал поднять двумя способоми,один из них - s3blog.org/vpn-windows-xp.html ,а второй - через OpenVPN,но на счёт опенвпн - есть большие сомнения в плане настройки клиента\сервера,т.к. брал готовый конфиг у одного человека,с которым нету в данный момент возможности пообщаться.

Вот собственно конфиги сервера и клиента -
Клиент:

client
tls-client
verb 3
dev tun
proto tcp
remote ип компа с установленным и запущенным OpenVPN
nobind
persist-key
persist-tun
ca C:\\openvpn\\keys\\ca.crt
cert C:\\openvpn\\keys\\client.crt
key C:\\openvpn\\keys\\client.key

Сервер:

port 1194
proto tcp
dev tun
tls-server
local ип компа с установленным и запущенным OpenVPN
server 10.10.0.0 255.255.0.0
keepalive 10 120
persist-key
persist-tun
status openvpn-status.log
client-config-dir /etc/openvpn/ccd
;push "route 10.10.0.0 255.255.0.0"
duplicate-cn
ca C:\\openvpn\\keys\\ca.crt
cert C:\\openvpn\\keys\\server.crt
key C:\\openvpn\\keys\\server.key
dh C:\\openvpn\\keys\\dh1024.pem

Это вроде как самые минимальные конфиги клиента\сервера OpenVPN.

в данном случае - соединение успешно,но интэрнет не раздаётся (через тоже расшаренное соединение (ICS вроде называется)),а ип адрес - выдаётся

А в первом случае - даже ип адрес не выдаётся и соответственно интернэт не раздаётся,а во втором случае - ип адрес - выдаётся,но интернет по-прежнему не раздаётся.

Что ещё на том компе надо сделать ? соединение с инэтом - расшарил,какие считал нужными ексшники - добавил в исключения касперу и фаеру (опенвпн),службы,которые считал нужными - поднял.

ALEKCEN
Может я конечно не советчик

но есть основные проблемные места
1 Антивирусники
2 Фаерволы
3 Проверить маршруты
4 включить TCP/IP маршрутизацию
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\IpEnableRouter
в 1 (тип REG_DWORD) и перегрузите компьютер.

У меня vpn работает давно , проблемы оказывают только эти факторы

создав впн сервер openvpn

возможно ли обычным vpn из под windows подключаться? или роутером?

Цитата:

возможно ли обычным vpn из под windows подключаться? или роутером?

нет, да (если купить роутер, в котрый шьется openwrt, например wl-500gPv2)

Aristocrat

Цитата:

возможно ли обычным vpn из под windows подключаться? или роутером?

нет, да (если купить роутер, в котрый шьется openwrt, например wl-500gPv2)

ещё есть прошивки для рутеров x-wrt, tomato и dd-wrt, они тоже умеют опенвпн

ошибочка - xwrt это не прошивка, это веб-интерфейс для openwrt. Самая конфигуряемая, если надо что-то сделать нестандартное.

Цитата:

1 Антивирусники 2 Фаерволы

Цитата:

4 включить TCP/IP маршрутизацию
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\IpEnableRouter
в 1 (тип REG_DWORD) и перегрузите компьютер.

Да,кстати,забыл попробывать выключить встроенный фаер и каспера,как только выдастся возможность - попробую

tankistua
x-wrt afaik идёт отдельной прошивкой, базируется на openwrt само собой. опенвпн в ней заводился неплохо, только бриджа не пробовал

Проблема такова. Стоит windows 7, как клиент OpenVPN GUI подключается к серверу, то не могу зайти в инет(сайты не открываются и не пингуются), вот мои настройки клиента:
#dev tun
#client
#remote 78.x.x.x 2010
#tls-client
#ca ca.crt
#cert client1.crt
#key client1.key
#route-method exe
#route-delay 2
#proto tcp-client
#comp-lzo
#verb 4

Раньше у меня не было:
#route-method exe
#route-delay 2
Этих строк, но тогда я с сервера не мог пинговать мой клиент, а в ХР все нормально