» OpenVPN

Ребята переодически , удаленные клиенты перестают видеть компы за openvpn сервером , помогает перезагрузка сервера,

Подскажите может есть какоето аппаратное решение , для реализации Виртуальной Частной Сети

Ребята ситуация следующая , поднят в офисе openVPN сервер , к нему подключаються пользователи из вне , и должны видить локальную сеть 192.168.0.0/24 за openVPN сервером..
Все работало пока не...
Понадобилось установить роутер 192.168.0.4 микротик, настроил на нем DMZ , но

теперь пользователи не видят сеть , мое предположение что то с маршрутами
Раньше было так push "route 192.168.0.0 255.255.254.0"
Пингуеться только внутренний ip openVPN сервера 192.168.0.6

Как в сети, состоящей из локальных пользователей и внешних пользователей, приходящих через OpenVPN, создать разграничение прав доступа для локальных и внешних пользователей?

Petr_Enko
мне это не надо , не смог пропустить через Микротик , откатил обратно на софтверное решение ...

rain87

Цитата:

а 172.17.0.100 (клиент овпн, на котором фтп сервер) ходит в инет через 172.17.0.1? т.е. если при подключённом овпн выйти в инет с 172.17.0.100, у него будет внешний адрес 7.7.7.7, или какой то свой?

Измените за долгий ответ. Не было времени на OpenVPN.
По умолчанию я не прописываю маршруты на 172.17.0.1, т.е. использую OpenVPN не для всего трафика, а только для определенных узлов. Тогда для обычных узлов которые не в таблице внешний адрес будет адресом моего провайдера. Но есть батник который прописывает как шлюз по умолчанию 172.17.0.1, тогда весь трафик идет через впн сервер и внешний адрес будет 7.7.7.7 (айпи впн сервера).

Пробовал и так и так, пишет connection timeout. Уже переехал на linux и сделал:
iptables -t nat -A PREROUTING -s 7.7.7.7 -p tcp --dport 808 -j DNAT --to-destination 172.17.0.100

И вместо FTP на порту 808 поставил веб сервер.
Без проблем захожу с сервера на http://172.17.0.100:808 и вижу нужную веб страницу
А вот через 7.7.7.7:808 попасть на веб сервер у клиента не получается.

Клиент выходит в интернет через асус роутер 192.168.0.1 а потом через серый айпи провайдера 10.14.10.4, а потом уже через шлюз провайдера реальный айпи...

Привет, кто знает какое готовое решение впн-сервера под след. требования?
- Блокировка аккаунта по истеченью времени
- Доступ клиента только к определённым IP:Port внутри сети
- Добавлять/ не добавлять маршруты для роутинга интеренета через впн

Спасибо.

Довелось только настроить режим точка-точка. И до сих пор не пойму почему не видно расшаренных файлов на другом компе. А ему у меня. Пинг есть 150-200. Может кто знает почему не видно файлов, принтеров и ПР.

ZahAlex
я так понял, у вас венда? вы уверены что точка-точка? насколько я помню topology p2p в венде не работает.

в любом случае, это проблема не опенвпн если пинг проходит. спросите в ветке про венду - может там помогут. у меня самба нормально отзывается через опенвпн

phaoost
самое интересное, что когда я к этому же компу подключился с помощью физического кабеля LAN обзор файлов есть. Так что наверно что-то в OVPN.
Насчёт точка - точка вы правы я ошибся, обычный клиент-сервер без шифрования с динамическим IP на клиенте.

Кстати насчёт IP в команде ifconfig, имеет ли значение IPшники указанные здесь. Использую 10.7.0.XXX, т.к. при других не коннектится

ZahAlex
а вы попробуйте по впн ипу - \\10.7.0.XXX


Цитата:

Кстати насчёт IP в команде ifconfig, имеет ли значение IPшники указанные здесь. Использую 10.7.0.XXX, т.к. при других не коннектится

нужно чтобы адреса не пересекались с теми что уже есть на обеих сторонах туннеля. но опция ifconfig никак не влияет на сам процесс соединения - эта директива срабатывает когда соединение уже установлено - она просто назначает адрес для тап адаптера

На физическом кабеле писал для пробы те-же IP что и в VPN. - Работает обзор. А VPN нет.

Код сервера и клиента:
##############################
remote 172.20.58.78 # dynamic IP of client
dev tun0
ifconfig 10.7.0.205 10.7.0.206
##############################
float
dev tun0
ifconfig 10.7.0.206 10.7.0.205
##############################

а что скажет telnet 10.7.0.205 445 ?

Люди давайте с кем нибудь законнектимся (для пробы), а то другой комп не скоро OVPN включит. Тогда и отвечу на вопрос о TELNET. Кто не против? Код выложен....

ZahAlex
поменяй dev tun0 на dev tap. и будет тебе обзор сетевых шар работать

Цитата:

поменяй dev tun0 на dev tap. и будет тебе обзор сетевых шар работать

Пишет "Недоступен список серверов" и пинга не стало

Цитата:

а что скажет telnet 10.7.0.205 445 ?

После небольшого ожидания пишет "Нажмите любую клавишу"

ZahAlex
я совсем забыл что вендовый телнет ведёт себя по-другому. попробуйте зайти на \\10.7.0.205

Цитата:

попробуйте зайти на \\10.7.0.205

Ошибка страницы

ZahAlex
не в браузере, а в пуск-выполнить введите \\10.7.0.205 при подключенном впн

Цитата:

пуск-выполнить введите \\10.7.0.205 при подключенном впн

открылись шары, а в сетевом окружении не видно, может что-то надо прописывать где-то (почему по физ. кабелю видно)

видно будет только при tap устройстве, при tun видно не будет

А в чём разница TUN и TAP что то не въеду. TUN работает просто, а что для TAP надо. Как изменить конфиг чтоб так же просто, желательно без шифрования, только TAP. Пробовал просто поменять - не работает вообще

вопрос снят

newhkА где строка remote xxx.xxx.xxx.xxx на клиенте? Где строка server-bridge на сервере? ifconfig на сервере не нужна. в обоих конфигах не хватает строки cipher none
И крайне желательно явно указать:
Код: port 1194
proto udp
dev tap

в общем вот:

Server:

lport 5000
dev tap
tls-server
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
mode server
ifconfig 192.168.82.82.148 255.255.255.0 # как я понимаю, это локальный адрес хоста на котором сервер
ifconfig-noexec
ifconfig-pool 192.168.0.110 192.168.0.119 # это диапозон адресов из которого возьмет клиент
local 192.168.0.10 # это адрес vpn сервера (в впн-сети)
push "route 192.168.1.0 255.255.255.0 192.168.82.148"
duplicate-cn #use this for testing only
client-to-client
ping 10
ping-restart 120
push "ping 10"
push "ping-restart 60"
verb 4



Client:

remote 80.x.x.x
port 5000
dev tap
nobind
tls-client
ca ca.crt
cert client1.crt
key client1.key
pull
verb 4


на сервере сделан мост

Дальше то что?
службу запустил... ничего не изменилось, VPN интерфейс как был отключен так и остается.

P.S. для чего нужен OpenVPN GUI, если там только настройка прокси?

Добавлено:
Взял пример из FAQа (простейший), мост убрал на сервере, все равно не контачит...
службы перезапустил

newhk
Вот тебе полностью рабочие конфиги, разбирайся:
Сервер

Код: port 1194
proto udp
dev tap

ca ca.crt
cert server.crt
key server.key # This file should be kept secret
dh dh1024.pem

# В этом файлеге соответствие клиентов (ключей) присваимым IP,
# если в файле клиента нет - присваивается из свободного пула
ifconfig-pool-persist ipp.txt

# IP OpenVPN сервера, маска, начало_пула_клиентских_IP, конец пула
server-bridge 192.168.1.6 255.255.255.0 192.168.1.150 192.168.1.165

# Маршрутв, добавляемые на клиенте
# на сети, видимые с OVPN сервера
push "route 192.168.0.0 255.255.255.0"

client-to-client

keepalive 10 60

# Select a cryptographic cipher.
;cipher BF-CBC # Blowfish (default)
;cipher AES-128-CBC # AES
;cipher DES-EDE3-CBC # Triple-DES
cipher none

# Enable compression on the VPN link.
;comp-lzo

max-clients 10

verb 1
mute 10

andrejvb

Спасибо

Никто не знает как помочь с моей проблемой? Вроде казалось не хватает самого малого, но не знаю чего.
Вроде все необходимые данные представил.

omihaz
лень расписывать, как я понял ситуацию, но если я правильно понял, то несколько замечаний:
ты говоришь, прописал на серваке правило
Цитата:

iptables -t nat -A PREROUTING -s 7.7.7.7 -p tcp --dport 808 -j DNAT --to-destination 172.17.0.100

в чём его смысл? по идее ж надо -d 7.7.7.7
и второе. скорей всего, надо добавить правило снат -
iptables -t nat -A POSTROUTING -d 7.7.7.7 -p tcp --dport 808 -j SNAT --to-source 172.17.0.1
172.17.0.1 - овпн адрес сервера

Сделал так, изменил -s на -d. Добавил правило SNAT как у вас. Все осталось так же - timeout. К сожалению, наверное зря я такое затеял. Но спасибо за помощь. Хоть попробовали.