» OpenVPN

danilevskiy

Цитата:

Прописан. Хотя толку от него? Я же в сети нахожусь, хоть и через VPN.

ну так он должен знать, куда отсылать ответы на твои запросы. ну раз дефолтный шлюз прописан, то он знает. на компьютерах (которые пингуются через овпн) и на видеорегистраторах настройки сети аналогичные?
Цитата:

push "route 192.168.1.0 255.255.255.0"
push "route 192.168.9.0 255.255.255.0"

почему 2 подсети роутятся?

Цитата:

Служба маршрутизации сама работать не будет, если ее не настроить.

Т.е. её даже на винь ХР надо настраивать вручную ? тогда почему-же на одном из компов (да,да,именно через который я в данный момент сижу) не потребовалась какая-либо настройка маршрутизации ? он,если не ошибаюсь - даже службы не подымал (хотя всё возможно,может те,которые надо - уже были подняты)

Вопрос всё ещё актуален.

И да,не смог найти строчку про подключения типа мост - что оно вообще даёт и как его настроить ? между какими подключениями надо создать этот самый "мост",чтоб достичь желаемого результата ?

ALEKCEN
Я чуток ошибся..наверное... мост не обязателен..
Я уже писал, что на клиенте надо задать шлюз (маршрут по умолчанию) айпи сервера, а на сервере маршрут по умолчанию - айпи шлюза провайдера.
Маршруты клиентам можно задавать как на самих клиентах, непосредственно, так и через конфиг сервера или файлы настройки клиентов в папке ccd.

Вопрос в знатокам: как можно перенести OpenVPN сервер с одной системы на другую? чтобы все ключи и сертификаты сохранились, чтобы у клиентов ничего не менять.
И еще такой вопросик: есть ОпенВПН сервер, который имеет сертификаты с именем ".crt" и т.д., т.е. имя пустое. У клиентов эти сертификаты есть. Конфиг у всех клиентов одинаковый, сертификаты тоже => все клиенты цепляются по одному сетрификату, но без имени и им выдается автоматом свободный адрес. Эту технологию настраивал не я, но она мне досталась от предыдущего админа, которого я ни разу не видел. Как он это реализовал?

dimawar

Цитата:

как можно перенести OpenVPN сервер с одной системы на другую? чтобы все ключи и сертификаты сохранились, чтобы у клиентов ничего не менять.

переноси все ключи и сертификаты ) ну и сетевые настройки адекватно воспроизведи/продублируй
Цитата:

У клиентов эти сертификаты есть. Конфиг у всех клиентов одинаковый, сертификаты тоже => все клиенты цепляются по одному сетрификату, но без имени и им выдается автоматом свободный адрес. Эту технологию настраивал не я, но она мне досталась от предыдущего админа, которого я ни разу не видел. Как он это реализовал?

Цитата:

--duplicate-cn
Allow multiple clients with the same common name to concurrently connect. In the absence of this option, OpenVPN will disconnect a client instance upon connection of a new client having the same common name.

ну а динамичесую раздачу ИП овпн по дефолту делает

Цитата:

Маршруты клиентам можно задавать как на самих клиентах, непосредственно, так и через конфиг сервера или файлы настройки клиентов в папке ccd.

С этого места пожалуйста по-подробнее...

К моему посту на предыдущей страничке русский ман прицеплен..
Выдержка от туда:

Код: o redirect-gateway [local] [def1] (клиент) - переключение шлюза на удалённый, есть 2 доп.параметра - local (см.manual) и def1 - изменяет маршрут не методом удаления старого маршрута 0.0.0.0/0 и назначением нового, а методом назначения двух более узких маршрутов 0.0.0.0/1 и 128.0.0.0/1

Можно вопрос.
Не уверен на сколько это возможно, поэтому решил спросить.
Скажем у меня нет реального IP, выхожу через шлюз провайдера NAT.

Допустим есть VPN сервер 8.8.8.8 (реальный айпи), он мне выдает VPN IP 172.17.0.2
Можно ли как то завернуть скажем порт 8.8.8.8:80 на 172.17.0.2:80

Скажем если у меня на компьютере установлен веб сервер, можно ли к нему как то подключится из вне через VPN сеть?

omihaz
да можно...
у меня так щас реализовано... ибо дома ip есть, а на работе с этого года нету((( приходится через дом ходить...

omihaz Можно, в том случае если VPN сервер каждый раз выдает IP 172.17.0.2.

А можно подсказку или пример как так настроить? Это Port forwarding какой то?
Кстати, можно сказать OpenVPN чтобы скажем для определенного юзера давался постоянный IP 172.17.0.2, а не первый свободный (типа DHCP Static).

omihaz
вы решите какие у вас ОС и вообще что хотите делать?

Цитата:

для определенного юзера давался постоянный IP 172.17.0.2

ifconfig-pool-persist

Цитата:

Port forwarding

типа того...

Добавлено:
ну и конечно не забудьте про client-config-dir - тоже очень удобная весч...

p.s. в общем man openvpn - как говорится тут всё...

omihaz
всё так как Alukardd сказал, я б рекомендовал client-config-dir - сам так делаю обычно. по поводу форвардинга порта - под линукс всё просто
iptables -t nat -A PREROUTING -s 8.8.8.8 -p tcp --dport 80 -j DNAT --to-destination 172.17.0.2
под винду, само собой, я не знаю как это делать

Под VPN сервер используется Win2003 WE, клиенты разные.

Alukardd
rain87
Спасибо, буду пробовать. Просто раньше не сталкивался с таким и решил сначала узнать, чтобы не натворить делов.



Добавлено:
Все вроде получилось настроить. Выдается 172.17.0.100 всегда.
Но как перебросить порты я не понял. Пробовал на интерфейсе 8.8.8.8 в nat открыть порт 808 для 172.17.0.100, но туда доступа нет что-то...

omihaz
возможно, вот это аналог в винде

но я никогда это не использовал, так что хз. но попробуй, вдруг оно

Добавлено:
т.е. на серваке, для адаптера, который смотрит в инет, открываешь эти параметры, добавляешь службу ТСП порт 80, и ип 172.17.0.100. по идее должно проканать

По идее я делал все правильно, примерно как у тебя на картинке, rain87. Спасибо за помощь.

Но ничего не получилось. Проверил и понял что проблема наверное по серьезнее чем просто порты. Я с VPN сервера не могу пинговать 172.17.0.100, не могу попасть на FTP сервер на 172.17.0.100:808 (хотя локально захожу без проблем).

Клиент VPN сервера выходит через роутер 192.168.0.1 а тот следовательно через провайдера серый айпи. Пробовал в роутере разрешать порты, но так ничего и не получилось, даже странно... Что это может быть?

omihaz
ээ. так у тебя овпн похоже вообще не работает, раз ты пинговать сквозь туннель не можешь. давай конфиги и логи

Работает от клиента к серверу все идеально.
Как трафик гоняется, так и пинговать могу 172.17.0.1 и 172.17.0.100 (сам себя).
Все отлично. А попробовал пингануть с сервера клиента - не получилось, см. выше.

Инфа: #

Подскажите пожалуйста, куда и что надо прописать чтоб маршруты в сеть за клиентом поднимались поднимались на сервере после установки соединения клиента с сервером.

omihaz
ну тогда только фаервол на клиенте, хз какие ещё варианты

rain87
Да действительно проблема была в фаерволе. Что-то я забыл про него и полез глубже
Выключил фаервол, отлично пингую с сервера 172.17.0.100
Так же отлично захожу ftp://172.17.0.100:808

Но когда пытаюсь зайти через внешний IP, скажем ftp://7.7.7.7:808 то получаю ошибку типа connection refused, ну это понятно ибо порт не редиректит.
Настроил порт (добавил TCP порт на интерфейсе 7.7.7.7 исходящий и входящий: 808, и указал IP: 172.17.0.100), и теперь при заходе получаю ошибку connection timeout

В чем может быть проблема?

Помогите, пожалуйста настроить bridge на овпн. Инструкции форумы читал, но каменный цветок всё не выходит. Есть Fedora 12 с DHCP сервером (итерфейсы eth0 для интернета и eth1:192.168.88.1/24 для локальной сети). DHCP раздаёт внутри сети default gw 192.168.88.1
Теперь глупые вопросы:

Как я понял бридж надо настраивать на eth1, и ip соответсвенно 192.168.88.1 ?
Но в таком случае сдыхает DHCP сервер.

Hkey_Current_User
Настраивал мосты на виндах. Мост надо настраивать на том интерфейсе что в лок сеть смотрит, и да - DHCP на нем сдыхал и у меня причем именно в режиме моста.

omihaz
а 172.17.0.100 (клиент овпн, на котором фтп сервер) ходит в инет через 172.17.0.1? т.е. если при подключённом овпн выйти в инет с 172.17.0.100, у него будет внешний адрес 7.7.7.7, или какой то свой?

пс - натить фтп не самая простая затея, т.к. для передачи данных используется дополнительное соединение на случайный порт. без дополнительной настройки твой фтп сервер не сможет работать в пассивном режиме (т.е. будет необходимо, чтобы каждый клиент, который подключается к этому фтп серверу, имел белый адрес+правильно настроенный фаервол). хотя бы для теста подыми хттп сервер, там всё просто

Помогите разобраться. Настраиваю овпн через tap. Клиет подключается получает ip: 192.168.88.10 , но сеть не пингуется. Точнее пакеты с клиента уходят, на пингуемую машину (к примеру 192.168.88.135) приходят, но обратно не возврщаются. Пока на 88.135 не оставишь только такой [more=роут]
Destination Gateway Genmask
0.0.0.0 192.168.88.1 0.0.0.0[/more] , чтобы он весь трафик гонял через овпн-сервер.

Так должно быть?
Должен ли tap0 адаптер получать после подсоединения клиента ipv4 адрес?
Нужен ли ipv4_forvarding ?
И есть ли какие специфические настройки для IGMP?
Конфиг [more=сервера]
proto udp
dev tap0

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key

dh /etc/openvpn/keys/dh1024.pem
ifconfig-pool-persist ipp.txt
server-bridge 192.168.88.1 255.255.255.0 192.168.88.10 192.168.88.25
push "route 192.168.88.0 255.255.255.0"
client-to-client
duplicate-cn
keepalive 10 120
cipher BF-CBC
max-clients 10
persist-key
persist-tun
[/more], [more=start_bridge]
br="br0"
tap="tap0"

eth="eth1"
eth_ip="192.168.88.1"
eth_netmask="255.255.255.0"
eth_broadcast="192.168.88.255"
[/more], [more=ifconfig]
br0 Link encap:Ethernet HWaddr 00:50:56:A3:00:04
inet addr:192.168.88.1 Bcast:192.168.88.255 Mask:255.255.255.0
inet6 addr: fe80::250:56ff:fea3:4/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:523 errors:0 dropped:0 overruns:0 frame:0
TX packets:518 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:80709 (78.8 KiB) TX bytes:70825 (69.1 KiB)

eth1 Link encap:Ethernet HWaddr 00:50:56:A3:00:04
inet6 addr: fe80::250:56ff:fea3:4/64 Scope:Link
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:203 errors:0 dropped:0 overruns:0 frame:0
TX packets:513 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:40687 (39.7 KiB) TX bytes:67086 (65.5 KiB)
Interrupt:16 Base address:0x2080

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:15 errors:0 dropped:0 overruns:0 frame:0
TX packets:15 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1384 (1.3 KiB) TX bytes:1384 (1.3 KiB)

tap0 Link encap:Ethernet HWaddr 56:42:1F:EC:1D:21
inet6 addr: fe80::5442:1fff:feec:1d21/64 Scope:Link
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:345 errors:0 dropped:0 overruns:0 frame:0
TX packets:280 errors:0 dropped:4 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:48546 (47.4 KiB) TX bytes:46641 (45.5 KiB)

[/more] после подключения клиента

OtsHELLnik DHCP внезапно заработал

Hkey_Current_User
Цитата:

Так должно быть?

нет, что то неправильно в датском королевстве
Цитата:

Должен ли tap0 адаптер получать после подсоединения клиента ipv4 адрес?

он должен получать даже до подключения. но у тебя этот ИП назначается бриджу, видимо
Цитата:

Нужен ли ipv4_forvarding ?

не думаю, но для теста стоит включить
Цитата:

И есть ли какие специфические настройки для IGMP?

нет

по поводу конфига сервера, строка
push "route 192.168.88.0 255.255.255.0"
не нужна. возможно, из за неё и был бок, но хз

rain87
блин, всё никак.
может ли овпн сервер являться еще и роутером? точнее иметь 2 сетевушки. 1 напрямую в интернет смотрит, 2 в lan
server-bridge ip и ip-адресс в интерфейсе должны совпадать?
openvpn и bridge_start в какой последовательности их нужно запускать?

[more=Вообще что мне надо получить.]Есть отдельная локалка с кучкой девайсов, которые стримят в сеть. Нужно подключиться с машины извне этой локалки, чтобы онаружить усройства, это с помощью бродкаста реализовано, и словить от устройства rtsp-шный поток. Максимум моим шаманством удалось заставить проходить бродкасты в обе стороны, а поток уже не пролез[/more] Если кто может, помогите пожалуйста.

Hkey_Current_User
читал руководства по настройке маршрутизации vpn-трафика на никсах.... там везде маршрутизация была сделана сторонними средствами(переброс пакетов на другой сетевой интерфейс)

День добрый. Решил поставить сервер, проверить работоспособность итд. Копался с серверами ubuntu, там вроде все понятно, но мне бы конечно на Windows.
Итак, имеем:
- Windows 7 64 битная для сервера, для начала клиент один, на той же оси, фаерволы вырублены на обоих
- Router Dlink dir 320, с открытыми портами 1194 на tcp, пробросы сделаны тоже, комп с айпи 192.168.100.101 (топология /24) выведен во внешку с адресом 123.123.123.123 например. Сам сервер 192.168.100.101 через WIFI
- Сам Ovpn сервер, скаченный с сайта производителя, естесно поставлен
- Сгенерированные ключи и прочее, в этом всем вроде уверен

server.ovpn
[more]
dev tun
# dev-node "OpenVPN Adapter"
proto tcp-server
port 1194
tls-server
server 10.10.0.0 255.255.255.0
comp-lzo
route-method exe
route-delay 2
route 192.168.13.0 255.255.255.0 10.10.0.2
client-to-client
client-config-dir C:\\OpenVPN\\config\\ccd
ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt
dh C:\\OpenVPN\\ssl\\dh1024.pem
ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\server.crt
key C:\\OpenVPN\\ssl\\server.key

persist-tun
persist-key

tls-auth C:\\OpenVPN\\ssl\\ta.key 0
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450

keepalive 10 120

status C:\\OpenVPN\\log\\openvpn-status-server.log
log C:\\OpenVPN\\log\\openvpn-server.log
verb 6
mute 20[/more]
client.opvn
[more]
dev tun
proto tcp

remote 123.123.123.123 1194

route-method exe
route-delay 3
client
tls-client
ns-cert-type server

ca c:\\OpenVPNPortable\\ssl\\ca.crt
cert c:\\OpenVPNPortable\\ssl\\makkon.crt
key c:\\OpenVPNPortable\\ssl\\makkon.key
tls-auth c:\\OpenVPNPortable\\ssl\\a.key 1

comp-lzo
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
ping-restart 60
ping 10
verb 6
mute 20
[/more]
Настройки ccd отсутствуют, я так полагаю если не указаны, то берутся автоматом.
Служба маршрутизации врублена на обоих машинах, при запуске лог сервера:
[more]Sat Dec 11 10:16:52 2010 us=473000 Current Parameter Settings:
Sat Dec 11 10:16:52 2010 us=473000 config = 'server.ovpn'
Sat Dec 11 10:16:52 2010 us=473000 mode = 1
Sat Dec 11 10:16:52 2010 us=473000 show_ciphers = DISABLED
Sat Dec 11 10:16:52 2010 us=473000 show_digests = DISABLED
Sat Dec 11 10:16:52 2010 us=473000 show_engines = DISABLED
Sat Dec 11 10:16:52 2010 us=473000 genkey = DISABLED
Sat Dec 11 10:16:52 2010 us=473000 key_pass_file = '[UNDEF]'
Sat Dec 11 10:16:52 2010 us=473000 show_tls_ciphers = DISABLED
Sat Dec 11 10:16:52 2010 us=473000 Connection profiles [default]:
Sat Dec 11 10:16:52 2010 us=473000 proto = tcp-server
Sat Dec 11 10:16:52 2010 us=473000 local = '[UNDEF]'
Sat Dec 11 10:16:52 2010 us=473000 local_port = 1194
Sat Dec 11 10:16:52 2010 us=473000 remote = '[UNDEF]'
Sat Dec 11 10:16:52 2010 us=473000 remote_port = 1194
Sat Dec 11 10:16:52 2010 us=473000 remote_float = DISABLED
Sat Dec 11 10:16:52 2010 us=473000 bind_defined = DISABLED
Sat Dec 11 10:16:52 2010 us=473000 bind_local = ENABLED
Sat Dec 11 10:16:52 2010 us=473000 connect_retry_seconds = 5
Sat Dec 11 10:16:52 2010 us=473000 connect_timeout = 10
Sat Dec 11 10:16:52 2010 us=473000 NOTE: --mute triggered...
Sat Dec 11 10:16:52 2010 us=473000 258 variation(s) on previous 20 message(s) suppressed by --mute
Sat Dec 11 10:16:52 2010 us=473000 OpenVPN 2.1.4 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 8 2010
Sat Dec 11 10:16:52 2010 us=473000 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Dec 11 10:16:52 2010 us=660000 Diffie-Hellman initialized with 1024 bit key
Sat Dec 11 10:16:52 2010 us=660000 Control Channel Authentication: using 'C:\OpenVPN\ssl\ta.key' as a OpenVPN static key file
Sat Dec 11 10:16:52 2010 us=660000 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Dec 11 10:16:52 2010 us=660000 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Dec 11 10:16:52 2010 us=660000 TLS-Auth MTU parms [ L:1576 D:168 EF:68 EB:0 ET:0 EL:0 ]
Sat Dec 11 10:16:52 2010 us=660000 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Dec 11 10:16:52 2010 us=676000 ROUTE default_gateway=192.168.100.1
Sat Dec 11 10:16:52 2010 us=676000 TAP-WIN32 device [openvpn] opened: \\.\Global\{8881FDC1-027C-4FFC-A48F-5CF16C5675A3}.tap
Sat Dec 11 10:16:52 2010 us=676000 TAP-Win32 Driver Version 9.7
Sat Dec 11 10:16:52 2010 us=676000 TAP-Win32 MTU=1500
Sat Dec 11 10:16:52 2010 us=676000 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.10.0.1/255.255.255.252 on interface {8881FDC1-027C-4FFC-A48F-5CF16C5675A3} [DHCP-serv: 10.10.0.2, lease-time: 31536000]
Sat Dec 11 10:16:52 2010 us=676000 Sleeping for 2 seconds...
Sat Dec 11 10:16:54 2010 us=672000 Successful ARP Flush on interface [32] {8881FDC1-027C-4FFC-A48F-5CF16C5675A3}
Sat Dec 11 10:16:54 2010 us=688000 C:\WINDOWS\system32\route.exe ADD 192.168.13.0 MASK 255.255.255.0 10.10.0.2
ЋЉ
Sat Dec 11 10:16:54 2010 us=704000 C:\WINDOWS\system32\route.exe ADD 10.10.0.0 MASK 255.255.255.0 10.10.0.2
ЋЉ
Sat Dec 11 10:16:54 2010 us=735000 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Sat Dec 11 10:16:54 2010 us=735000 Listening for incoming TCP connection on [undef]:1194
Sat Dec 11 10:16:54 2010 us=735000 TCPv4_SERVER link local (bound): [undef]:1194
Sat Dec 11 10:16:54 2010 us=735000 TCPv4_SERVER link remote: [undef]
Sat Dec 11 10:16:54 2010 us=735000 MULTI: multi_init called, r=256 v=256
Sat Dec 11 10:16:54 2010 us=735000 IFCONFIG POOL: base=10.10.0.4 size=62
Sat Dec 11 10:16:54 2010 us=735000 IFCONFIG POOL LIST
Sat Dec 11 10:16:54 2010 us=735000 MULTI: TCP INIT maxclients=60 maxevents=64
Sat Dec 11 10:16:54 2010 us=735000 Initialization Sequence Completed
[/more]Клиент выдает Attempting to establish tcp connection, затем connect failed и рестарт.
192.168.13.0 маршрут добавлял чтобы потом потестировать другого, удаленного клиента из другой сети, который также за роутером с топологией 192.168.13.0/24

В чем может быть дело? Думаю что-нибудь с маршрутизацией в конфигах, либо в самой оси какие-то маршруты прописывать...

на 7-ке и 2008-м надо чтобы сервис запускался правой кнопкой мыши - запустить от имени администратора. Иначе таблицу роутинга система изменить не дает.

если тебе надо просто запустить в сетку клиентов, то посмотри в сторону бриджинга
[more]

# Which TCP/UDP port should OpenVPN listen on?
# If you want to run multiple OpenVPN instances
# on the same machine, use a different port
# number for each one. You will need to
# open up this port on your firewall.
port 443

# TCP or UDP server?
proto tcp-server

# "dev tun" will create a routed IP tunnel,
# "dev tap" will create an ethernet tunnel.
# Use "dev tap0" if you are ethernet bridging
# and have precreated a tap0 virtual interface
# and bridged it with your ethernet interface.
# If you want to control access policies
# over the VPN, you must create firewall
# rules for the the TUN/TAP interface.
# On non-Windows systems, you can give
# an explicit unit number, such as tun0.
# On Windows, use "dev-node" for this.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
dev tap

# SSL/TLS root certificate (ca), certificate
# (cert), and private key (key). Each client
# and the server must have their own cert and
# key file. The server and all clients will
# use the same ca file.
#
# See the "easy-rsa" directory for a series
# of scripts for generating RSA certificates
# and private keys. Remember to use
# a unique Common Name for the server
# and each of the client certificates.
#
# Any X509 key management system can be used.
# OpenVPN can also use a PKCS #12 formatted key file
# (see "pkcs12" directive in man page).
ca keys_bridging/ca.crt
cert keys_bridging/server.crt
key keys_bridging/server.key # This file should be kept secret

# Diffie hellman parameters.
# Generate your own with:
# openssl dhparam -out dh1024.pem 1024
# Substitute 2048 for 1024 if you are using
# 2048 bit keys.
dh keys_bridging/dh1024.pem

# Configure server mode for ethernet bridging.
# You must first use your OS's bridging capability
# to bridge the TAP interface with the ethernet
# NIC interface. Then you must manually set the
# IP/netmask on the bridge interface, here we
# assume 10.8.0.4/255.255.255.0. Finally we
# must set aside an IP range in this subnet
# (start=10.8.0.50 end=10.8.0.100) to allocate
# to connecting clients. Leave this line commented
# out unless you are ethernet bridging.

ifconfig 192.168.100.90 255.255.255.0
server-bridge 192.168.100.10 255.255.255.0 192.168.100.91 192.168.11.99

# To assign specific IP addresses to specific
# clients or if a connecting client has a private
# subnet behind it that should also have VPN access,
# use the subdirectory "ccd" for client-specific
# configuration files (see man page for more info).
client-config-dir ccd_bridging

# Uncomment this directive to allow different
# clients to be able to "see" each other.
# By default, clients will only see the server.
# To force clients to only see the server, you
# will also need to appropriately firewall the
# server's TUN/TAP interface.
client-to-client

# The keepalive directive causes ping-like
# messages to be sent back and forth over
# the link so that each side knows when
# the other side has gone down.
# Ping every 10 seconds, assume that remote
# peer is down if no ping received during
# a 120 second time period.
keepalive 10 120

# For extra security beyond that provided
# by SSL/TLS, create an "HMAC firewall"
# to help block DoS attacks and UDP port flooding.
#
# Generate with:
# openvpn --genkey --secret ta.key
#
# The server and each client must have
# a copy of this key.
# The second parameter should be '0'
# on the server and '1' on the clients.
tls-auth keys_bridging/ta.key 0

# Enable compression on the VPN link.
# If you enable it here, you must also
# enable it in the client config file.
comp-lzo

# It's a good idea to reduce the OpenVPN
# daemon's privileges after initialization.
#
# You can uncomment this out on
# non-Windows systems.
user nobody
group nobody

# The persist options will try to avoid
# accessing certain resources on restart
# that may no longer be accessible because
# of the privilege downgrade.
persist-key
persist-tun

# Output a short status file showing
# current connections, truncated
# and rewritten every minute.
status /var/log/openvpn_bridging-status.log

# By default, log messages will go to the syslog (or
# on Windows, if running as a service, they will go to
# the "\Program Files\OpenVPN\log" directory).
# Use log or log-append to override this default.
# "log" will truncate the log file on OpenVPN startup,
# while "log-append" will append to it. Use one
# or the other (but not both).
log /var/log/openvpn_bridging.log

# Set the appropriate level of log
# file verbosity.
#
# 0 is silent, except for fatal errors
# 4 is reasonable for general usage
# 5 and 6 can help to debug connection problems
# 9 is extremely verbose
verb 3
[/more]

и сделай в винде бридж из локального интерфейса и тар-а