» OpenVPN

Добрый день. Помогите разобраться.
Прокси сервер, на 20 компов, раздает инет, на одном запущен openvpn.
Как сделать общий доступ с других машин к сети openvpn? Еще момент что подключенная через openvpn машина основню сеть уже не видит. Основная сеть, 192.168.0.1 Сеть openvpn 172.16.0.5
Пробовал прописывать статические маршруты, но результат..

bubuadmin
Тип подключения tun или tap? Конфиги - в студию!

client
dev tun
proto udp
remote 89.105.245.28
port 5500
resolv-retry infinite
ca ca.crt
cert client.crt
key client.key
tls-client
tls-auth ta.key 1
auth MD5
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
verb 3

Добавлено:
Настройки основн сети 192.168.0.2-100 255.255.255.0 шлюз и dns 192.168.0.1
Настройки сети openvpn когда подкюч. 172.16.0.10 255.255.255.252
dhcp 172.16.0.5
dns 192.168.0.2
wins 192.168.0.2

подскажите, пожалуйста, возможно ли с помощью OpenVPN открыть только один Ip-адрес из внешней подсети для внутренней?

опенвпн поднят серв на убунте клиенты виндов тип тюн тап клиенты присоединяются пинги между клиентами идут до сервера тоже все гуд но мне надо пустить брут каст в тунел впн при том чтобы клиенты не использовали впн как основной шлюз а то весь трафик клиента мне ненадо.
плз кто знает подскажи а то уже голову сломал себе.

10.255.255.255 - 255.255.255.255 - 10.8.0.6 - 10.8.0.6 - 30
это строка маршрутизации на клиенте при подключенном впне она означает если я не ошибаюсь что бруткасты идут на виртуальный интерфейс впна - ответов на бруты я не получаю - логично предположить что интерфейс тюн0 на сервере их не пропускает.
вопрос как разрешить пропускание широковещания на интерфейсе тюн0.

Подскажите, как реализовать такое извращение:

Исходные данные:
Есть офис с компом, у которого платный выход в интернет, но бесплатный доступ к определенным внутренним IP. На этом компе две сетевухи - одна смотрит в интернет, с внешним динамическим IP, вторая во внтуреннюю сеть 192.168.0.0/24 на этой сетевухе поднят NAT (+установлен траффик инстпектор, но это не важно). У компов сейчас указываются IP 192.168.0.X, шлюз (192.168.0.1) и соответственно DNS.

Есть домашний комп с безлимитным интернетом, и статическим белым IP который входит в диапазон бесплатных для компьютера из офиса. Есть желание пустить траффик из офиса через тунель внуть домашнего компа, а там уже завернуть его в интернет. Таким образом экономя деньги для офиса.

Домашняя сеть организована таким образом. Выход через роутер (на котором также есть WiFi доступ) на роутере поднимается PPTP соединение с провайдером для доступа интренет. Внутренний IP роутера 10.254.254.1, Внутренняя сеть из пары компов и ноутов - 10.254.254.0\24 В настройках роутера выставлено перенаправление входящих портов TCP/UDP скажем 11111-11222 на внтуренний комп 10.254.254.2. Т.е. комп 10.254.254.2 становится доступным из вне, и на нем можно установить OpenVPN.
Но тут возникает вопрос - как правильно и на каких компах указать маршруты, чтобы из офиса, с компьютеров 192.168.0.X получить доступ через VPN внутрь домашнего компа и выходить в интернет уже через него.

Или это можно сделать как-то проще. Думал на счет виндового VPN, но не уверен что он сможет пройти сквозь маршрутизатор.

Добавлено:
Т.е. достаточно ли будет просто взять, на домашнем компе установить OpenVPN, разрешить ICS на интерфейсе который смотрит в роутер (с интернетом)

а на машине серера в офисе на интерфейсе OVPN также разрешить доступ через ICS
Тогда все машины внутренней подсети будут ходить в интернет через тунель OVPN.
А как на самом этом компе пустить весь трафик через OVPN?

LuceferAB
да, по идее всё как ты описал - пробрасываешь какой то порт с роутера в домашний компьютер, на домаешнем компе на этом порту поднимаешь овпн и открываешь общий доступ в инет для овпна
а на рабочем настраиваешь клиент овпн, который коннектится к домашнему, и открываешь общий доступ в овпн для всей сети. всё должно работать

Уважаемые знатаки подскажите пожалуйста стоял openvpn-2.0.9 на Windows XP поставил Windows 7 служба не запускается пишет "Ошибка 1075:Дочерняя служба не существует или была отмечена для удаления."
Можно както запустить эту службу?

LuceferAB
Когда-то два роутера wrt54gl были соединены по openvpn. Весь интернет трафик с рабочего роутера уходил по vpn через внутреннюю сеть провайдера на домашний роутер, а через домашний в интернет. Отказались от этого, потому что домашний интернет по надежности совсем плох, да ещё и пинги возросли в два раза.
Решили проблему экономии денег на интернет просто - дали денег телефонистам и они нам соединили свободную пару на работе с домашним номером.

Здравствуйте!

FreeBSD 8.1
OpenVPN 2.1.4

Пытаюсь прикрутить в конфиг клиента -askpass {file}. Но он упорно запрашивает пароль, из файла не берет. Сначала говорил что не может читать ключи из файла, пересобрал с нужной опцией - ошибка пропала. В файле с паролем ввел 2 строки логин и пароль, ничего лишнего не писал. Но теперь ни ругани нет за что уцепиться ни других намеков, просто игнорирует askpass и все. У кого есть опыт такой настройки. Гуглил прилично и вроде все делал по советам. Помогите разобраться.

Заранее спасибо.

http://openvpn.net/index.php/open-source/books.html
http://www.vyatta.com/services/training_openvpn.php
http://www.vyatta.com/services/training.php
http://www.credativ.co.uk/services/training/network/openvpn/

и не помог и пост набил, да?

IIV84
мой пост не предназначался для вас,если бы оно было для вас вы выдели бы свой ник.эти линки для тех, кому нужны видео уроки и книги.
что касается вашей проблемы
https://forums.openvpn.net/doh-f14.html
http://webcache.googleusercontent.com/search?q=cache:XFOxhDyi6hQJ:www.experts-exchange.com/OS/Microsoft_Operating_Systems/Windows/Q_23095976.html+askpass+openvpn.net&cd=7&hl=ka&ct=clnk&gl=ge&source=www.google.ru

IIV84
попробуй увеличить verb
Цитата:

--verb n
Set output verbosity to n (default=1). Each level shows all info from the previous levels. Level 3 is recommended if you want a good summary of what's happening without being swamped by output.

0 -- No output except fatal errors.
1 to 4 -- Normal usage range.
5 -- Output R and W characters to the console for each packet read and write, uppercase is used for TCP/UDP packets and lowercase is used for TUN/TAP packets.
6 to 11 -- Debug info range (see errlevel.h for additional information on debug levels).

может чего скажет. по идее должен хавать пароль из файла после пересборки с нужной опцией

rain87, спасибо, что отозвались, но все решилось простым путем. Если кому на будущее нужно будет - рассказываю.

В конфиге клиента строка должна выглядеть данным образом.
auth-user-pass /usr/local/etc/openvpn/pass # Путь и имя файла естественно выши

Почему askpass не срабатывает - для меня загадка. И очень мало инфы по этому поводу в инете.

bugmenot121
Извеняюсь.

IIV84

askpass запрашивает только пароль для вашего секретного ключа который указан в конфиге. auth-user-pass запрашивает имя пользователя и пароль для аутентификации на удалённой системе

блин, не обратил внимания на название параметра конечно auth-user-pass нужен

И опять начинающему мне нужна ваша помощь

Имеем 2 офиса:

1 офис
сеть 172.16.0.0/16
Сервер OpenVPN

2 офис
сеть 172.17.0.0/16
Клиент OpenVPN

Шлюзами выступают FreeBSD.
Шлюз 2-го офиса подключается к серверу, пингует локальную сеть 1-го офиса, получает маршруты.

gw1# netstat -rn
Routing tables

Internet:
Destination Gateway Flags Refs Use Netif Expire
default *.*.*.178 UGS 6 124130 rl0
10.8.0.1/32 10.8.1.158 UGS 0 0 tun0
10.8.1.157 link#6 UHS 0 0 lo0
10.8.1.158 link#6 UH 0 0 tun0
*.*.*.176/30 link#1 U 0 118 rl0
*.*.*.177 link#1 UHS 0 0 lo0
127.0.0.1 link#5 UH 0 722 lo0
172.16.0.0/16 10.8.1.158 UGS 0 8373 tun0
172.17.0.0/24 link#2 U 1 3799 rl1
172.17.0.1 link#2 UHS 0 0 lo0

Но с клиентской машины не пингую сеть 1-го филиала. Что я не доделал? FreeBSD у них является шлюзом по умолчанию. Но с внутренней сетевой пакеты на 172.16.*.* не перебрасываются в тунель

gw1# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:50:ba:5d:75:be
inet *.*.*.177 netmask 0xfffffffc broadcast *.*.*.179
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:50:ba:5d:6d:d8
inet 172.17.0.1 netmask 0xffffff00 broadcast 172.17.0.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=3<RXCSUM,TXCSUM>
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
options=80000<LINKSTATE>
inet 10.8.1.157 --> 10.8.1.158 netmask 0xffffffff
Opened by PID 2634

IIV84
а что насчет ipfw? у вас разрешен фовардинг пакетов между локальной сетью и vpn тунелем?

PF вообще не стоит пока что, он необходим для такой маршрутизации? Я планировал его после поставить.

IIV84
эм... ну фаер в принципе крайне желательная вещь, но если его нету, то на машрутизации это ни как не отразится.

Ну я его и не ставил, чтобы он мне не порубил все мои действия с OpenVPN. Вот и думаю почему не проходят пакеты. Мысли есть?

Gateway_enable="YES" в rc.conf есть, значит ip forwarding работает. Что еще нужно для правильной маршрутизации?

Не знаю сюда или нет. Но вот такая проблема.

есть сеть локальная 192.168.0.0/24 (мной задана)
В нем сервер 1с на нем поднят OpenVPN. сеть 10.1.0.0/30 (ОpenVPN назначил маску)
Выход в нет через модем (настроен роутером), все входящие запросы пробрасываются на сервер.

есть 3 три клиента(пока) в другом городе. OpenVPN у них запускается службой.
Подключение проходит без проблем. Через RDP подключаются они к серверу, у них автоматом запускается 1с. У всех юзеров разные учетки, принтера для каждого настроены отдельно по схеме \\10.1.0.*\имя принтера. На каждой машине установлен Radmin, захожу на них по сети 10.1.0.0 управляю и т.д.

Все хорошо, кроме одного.

При включении этих компьютеров и подключении к серверу запуску 1с и отправке на печать вываливается "ошибка печати". Но стоит мне через RADMIN зайти на их комп и нажать "печать" все начинает работать.


добавлял в автозапуск USE NET, и права админа у юзера давал. И время отключения сетевых устройст после простоя стоит 99999 мин.

подскажите в чем причина? или как решить беду.

Добавлено:
В локалке таких проблем нет

в packt выпустили новую книгу об openvpn 2


Цитата:

OpenVPN 2 Cookbook
Language : English
Paperback : 356 pages [ 235mm x 191mm ]
Release Date : February 2011
ISBN : 1849510105
ISBN 13 : 978-1-84951-010-3
Author(s) : Jan Just Keijser

https://www.packtpub.com/openvpn-2-cookbook/book
pdf для бесплатного скачивания пока нет, если найду напишу здесь же.

IIV84
а 10.8.1.158 пингуется?

Добавлено:
IIV84
возможно на впн гейтвее 1го филиала не прописан маршрут на 172.17.0/24 через туннель

Ребята столкнулся с проблемой хочу перенести ovpn на mikrotik
все настроил
но столкнулся что клиент не может поключиться выдает

"There is a problem in your selection of --ifconfig endpoints [local=10.1.0.100, remote=10.1.0.1]. The local and remote VPN endpoints must exist within the same 255.255.255.252 subnet. This is a limitation of --dev tun when used with the TAP-WIN32 driver. Try 'openvpn --show-valid-subnets' option for more info."

конфиг у клиента
dev tun
proto tcp-client

ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\client1.crt
key C:\\OpenVPN\\ssl\\client1.key

nobind
persist-key

# признак клиентской конфигурации
tls-client

# Адрес сервера, к которому подключаемся
remote 192.168.0.4

ping 10
#
cipher none
auth SHA1
pull
auth-user-pass

topology subnet

# Системный лог
status C:\\OpenVPN\\log\\openvpn.log

# Степень детализации отладочной информации (от 0 до 9) в логах
verb 3

rosalin
ну так вполне внятно написано, что не так. либо отдавай клиенту ип 10.1.0.2, либо переделай чтоб tap был, а не tun

rain87
если оставить tun

то после 10.1.0.2 , какой назначать следующему клиенту ip ???

rosalin
вообще странно. я вижу у тебя в конфиге topology subnet, у тебя не должно быть такой проблемы. раз уж она есть, хз в чём проблема
Цитата:

то после 10.1.0.2 , какой назначать следующему клиенту ip ???

опять таки, хз. виндовый клиент будет опять требовать net30, чего ты ему предоставить не сможешь

лучше переделай на тап, куда меньше гемора будет