» OpenVPN

rain87
рескнул переделал на тап , и....
все заработало !!!

только вот незнаю как сделать что бы пользователь и пароль в конфиг прописать

rosalin
Цитата:

как сделать что бы пользователь и пароль в конфиг прописать

Вариант раз - использовать опцию --auth-user-pass файл, файл этот должен содержать две строчки, в первой логин, во второй пароль.
Вариант два: использовать для авторизации сертификаты.

rosalin
да, всё так, как vlary сказал, за исключением одного нюанса - чтобы овпн стал читать пароль из файла, придётся его перекомпилировать, потому что по умолчанию он откажется это делать, и будет ждать ввод в консоли. лучше действительно сделай аутентификацию по сертификатам (если пользователей немного)

vlary
rain87
Да спасибо , изучил этот , вопрос , действительно нужно компилировать дополнительно !!!
сделал , заработало

, а как сделать проверку по сертификату , если микротик требует ввода имя пользователя и пароль!!!

rosalin
Цитата:

а как сделать проверку по сертификату , если микротик требует ввода  имя пользователя и пароль!!!

Не знаю, как там на микротике, на стандартном OpenVPN делается так.
У клиента user1 в конфиге указываешь
ca ca.crt
cert user1.crt
key user1.key
Сертификат генерится с common name user1
На сервере можно добавить
client-config-dir dir
и в ней поместить файлы user1 user2 и т.д.
В них можно поместить дополнительные параметры, например, фиксированный айпи.
route 10.1.0.0 255.255.0.0
ifconfig push 10.1.6.2 10.1.1.5

тоже не понял про требование логина и пароля. аутентификацию делает овпн, а не микротик. а овпн делает, как сказано в конфиге

vlary
да в опен впн так все и работает ,в микротике свой сервер опен впн
использует теже сертификаты , но еще и ауторификацию по имени пользователя и паролю
клиент годиться виндовый опен впн
rain87
в микротике свой сервер опен впн

может не в тему , ну очень завязана
Ссылка

rosalin
Цитата:

может не в тему , ну очень завязана

Да, у OpenVPN реализации микротика есть свои особенности. Возможно, и там можно избавиться от ввода логина-пароля при использовании сертификатов, но об этом наверное лучше знают в теме, посвященной микротику.

Цитата:

, а как сделать проверку по сертификату , если микротик требует ввода имя пользователя и пароль!!!

у тебя последняя версия микротика залита ?

просто я пол года тому назад строил тоннель и купил микротик, а потом оказалось, что он умеет только атунетификацию по паролю, потому как в нем нету openssl. А вот сейчас зашел на вики и вижу, что уже есть возможность.

подозреваю, что надо ставить 5-ую версию.

не юзал овпн в микротике, посему не знал. раз такая завязка, то только пересобирать овпн для клиентов. или поискать уже собранный с такой опцией (насколько помню, автор гуя для овпн собирает овпн с этой опцией)

Народ по моему вопросу что-нибудь скажите.

Fanat Andrew
openvpn в режиме tun, как я понимаю? переделай на tap

Пробовал. Беда все та же, только что в tun работа быстрее идет, в tap же подключение через RDP происходило раз 10 дольше.

Вопрос такой: у меня настроено по TCP, может это? Просто не могу каждые 10 минут обрубать филиалы.
У меня есть только одна попытка при первом входе утром, а если не прокатывае, то делаю откат и по прежнему через рАДМИН.

Fanat Andrew

Цитата:

сеть 10.1.0.0/30 (ОpenVPN назначил маску)

поясните

Fanat Andrew Похоже все траблы у тебя из-за неправильной маски.
У меня маска офисной сети 255.255.0.0, такая же маска отдается клиенту. Интерфейс - tap. VPN устанавливается по UDP.
После подключения клиент получает айпи из офисной сети, и сразу может пинговать все компы офисной сети, сервер отдает прокси-арп для его айпи.

конфиг сервера

dev tun
proto tcp-server
port 1194
tls-server
server 10.1.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
comp-lzo

dh dh1024.pem
ca ca.crt
cert serverVPN.crt
key serverVPN.key


persist-tun
persist-key

tun-mtu 1500
tun-mtu-extra 32
mssfix 1450

keepalive 10 120

status openvpn-status.log
log openvpn.log
verb 3


конфиг клиента

dev tun
proto tcp
remote XXX.YYY.ZZZ.121 1194
route-method exe
route-delay 3
client
tls-client
ns-cert-type server
comp-lzo

ca ca.crt
cert sem.crt
key sem.key

tun-mtu 1500
tun-mtu-extra 32
mssfix 1450

ping 10
ping-restart 120

status openvpn-status.log
status openvpn.log
verb 3


route print клиента

0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.33     10
10.1.0.0 255.255.255.0 10.1.0.21 10.1.0.22     1
10.1.0.20 255.255.255.252 10.1.0.22 10.1.0.22     30
10.1.0.22 255.255.255.255 127.0.0.1 127.0.0.1     30
10.255.255.255 255.255.255.255 10.1.0.22 10.1.0.22     30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1     1
192.168.0.0 255.255.255.0 192.168.0.33 192.168.0.33     10
192.168.0.33 255.255.255.255 127.0.0.1 127.0.0.1     10
192.168.0.255 255.255.255.255 192.168.0.33 192.168.0.33     10
224.0.0.0 240.0.0.0 10.1.0.22 10.1.0.22     30
224.0.0.0 240.0.0.0 192.168.0.33 192.168.0.33     10
255.255.255.255 255.255.255.255 10.1.0.22 10.1.0.22     1
255.255.255.255 255.255.255.255 192.168.0.33 192.168.0.33     1

phaoost немного неправильно изъяснился. маску я задал 10.1.0.0 255.255.255.0
в свойствах подключения клиента (виртуального девайса серевой карты) показывает маску подсети 255.255.255.252

Fanat Andrew

Цитата:

dev tun

Тебе ведь посоветовали вместо tun использовать tap.

На Ubuntu 10.04 поднял OpenVPN сервер.
Два сетевых интерфейса:
eth0 192.168.1.100 смотрит на интернет-роутер (192.168.1.1)
eth1 192.168.0.10 смотрит в локальную сеть (192.168.0.0)
tun0 10.10.10.1 OpenVPN интерфейс (10.10.10.0)

Конф. файла на OpenVPN (сервер, клиент - WinXP) настроены, push на 192.168.0.0 в конфиге сервера прописан, на клиента передается через /ccd.

OpenVPN соединение подымается, клиент пингует локальный интерфейс сервера (192.168.0.100), но дальше, в локалку не идет. С сервера локалка видна.

Помогите настроить правила маршрутизации на Ubuntu OpenVPN сервере, чтоб клиент мог ходить в локалку за сервер (весь иннет перерыл, как дело доходит до маршрутизации то внятных ответов нет), так-как в Linux новичек то большая просьба с пояснениями, что, для чего, не хочется с балды переписывать, хочется хоть чуть-чуть разобраться, чем подробней, тем лучше всем, я не один такой.
Спасибо.

ZorkiyA Мои тебе советы на базе работающей конфигурации (Дебиан).
1. Замени tun на tap.
2. Сбриджуй tap и внутренний эзернет, сетевой адрес бриджа будет в сети 192.168.0.0
3. Клиентам выдавай айпи из внутренней сетки 192.168.0.0. Если не будет хватать адресов, подумай о замене маски /24 на /16.
С такой конфигурацией все прекрасно работает, все внутренние хосты пингуются, им не надо прописывать маршрут к сети OpenVPN клиентов или делать OpenVPN шлюзом по умолчанию.

vlaryСпасибо за совет, буду иметь его в запасе, но мне интересно сделать tun, потому и прошу помощи по настройке маршрутизации, ведь такие варианты тоже есть и они работают.

ZorkiyA
Цитата:

мне интересно сделать tun

Тогда тебе нужно, чтобы либо у всех хостов сети 192.168.0.0 дефолт шлюзом стоял OpenVPN сервер, либо у всех прописать путь к сети
10.10.10.0 через него.

vlary


дай свои конфиги, ось и настройки сети.

Fanat Andrew
Цитата:

дай свои конфиги, ось и настройки сети.

Ось - Debian Lenny на SUN Ultra 5. Внутренняя сетка - 10.10.0.0/16, клиенты получают адрес из пула 10.10.12.2-0.10.12.2-254. Конфиг делал полностью на основе этой доки:
Ethernet Bridging
Клиенты подключаются по сертификам (коммон нейм соответствует клиенту), для каждого выдается фиксированный айпи, прописаный в одноименных файлах в client-config-dir

Есть потребность выхода в интернет (из дома) под другим ip - тем, что на работе (с рабочего ip открыт полный доступ к некоторым полезным ресурсам). Дело в том, что нет возможности оставлять включенным рабочий компьютер (иначе бы задача решалась сравнительно просто через удаленный доступ). Зато коммутатор, к которому он подключен, функционирует в круглосуточном режиме

В связи с вышесказанным возник такой вопрос: может ли (в принципе) справится с поставленной задачей какой-н маршрутизатор, поставленный на место указанного свитча (ясно, что от последнего подобного ожидать не приходится), т.е., возможна ли реализация следующего соединения:

Мой домашний комп -> (дом. роутер ->) интернет -> рабочий роутер -> интернет (с рабочим ip) -> желаемый ресурс

Читал, что бывают такие маршрутизаторы, которые сами могут в качестве серверов/клиентов выступать. И даже, что на них openvpn устанавливается (поэтому и решил сюда написать). Если openvpn не имеет отношения к данной проблеме и/или существуют другие решение, направьте меня, пожалуйста, по соответствующему адресу

singul Недавно настраивал достаточно древний сетевой экран D-Link DFL-700. Так вот, там можно поднять сервер L2TP, назначить ему внешний и внутренний адрес и заходить во внутреннюю сетку через него.
Наверняка есть еще масса других вариантов. Но как ты совершенно правильно заметил, к данной теме это никакого отношения не имеет. Советую обратиться для решения данной проблемы к своему системному администратору.

Я уже писал выше: и спрашивал ответа, но ни кто так и не ответил, я настроил тунель по tun, а точнее настроил правила NAT.
На Ubuntu 10.04 поднял OpenVPN сервер.
Настройку сервера OpenVPN описывать не буду, этого добра полно в иннете
Два сетевых интерфейса:
eth0 192.168.1.100 смотрит на интернет-роутер (в иннет) (192.168.1.1)
eth1 192.168.0.10 смотрит в локальную сеть (192.168.0.0)
tun0 10.10.10.1 OpenVPN интерфейс (10.10.10.0)

Конф. файла на OpenVPN (сервер, клиент - WinXP) настроены, push на 192.168.0.0 в конфиге сервера прописан, на клиента передается через /ccd.

OpenVPN соединение подымается, клиент пингует локальный интерфейс сервера (192.168.0.100), но дальше, в локалку не идет. С сервера локалка видна.
Вот как я это победил:
На сервере нужно настраивать правила NAT.

[more=Сперва сконфигурировал сетевые интерфейсы:]

# /etc/network/interfaces


auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.1.100
netmask 255.255.255.0

auto eth1
iface eth1 inet static
address 192.168.0.10
netmask 255.255.255.0
[/more]
Разрешил форвартинг, в /etc/sysctl.conf строчки (раскоментировал):

Код: net.ipv4.ip_forward=1

да, iptables вещь хорошая, никто не спорит

Цитата:

Ось - Debian Lenny на SUN Ultra 5. Внутренняя сетка - 10.10.0.0/16, клиенты получают адрес из пула 10.10.12.2-0.10.12.2-254. Конфиг делал полностью на основе этой доки:
Ethernet Bridging
Клиенты подключаются по сертификам (коммон нейм соответствует клиенту), для каждого выдается фиксированный айпи, прописаный в одноименных файлах в client-config-dir

сделал точно также, правда на win2003.
заработало только принтера были доступный через минуты три после подключения. и каждые 8-10 часов падало соединение. влоть до перезагрузки сервера. что-то рагалось на TLS - говорило о некоректых данных в сертификате. клиенты достучатся могли, но в доступе отказывало. поменял udp на tcp - работает уже 2 дня. даже с принтерами проблем не было, правда говорили с удаленного офиса, что очень долго стартовала печать: приходилось ждать до минуты пока начнется печать после отправки.

Fanat Andrew
Цитата:

сделал точно также, правда на win2003.

Замена не очень равноценная, но работает - и ладно

Цитата:

поменял udp на tcp - работает уже 2 дня.

Тоже вариант. У меня и с udp все шоколадно.
Но в любом случае цель достигнута, поздравляю!

Привет. Подскажите, как клиента ovpn заставить автоматически коннектиться к серверу?

Ситуация вот какая - объединил две сети бриджем(через ovpn), получилась одна большая локальная сеть. Но есть проблема: на том конце туннеля, где стоит клиент opvn периодически перезагружают сервер. Приходится руками запускать ovpngui и делать connect.

Автоматом этот коннект, при старте ОС серверной машины, где установлен клиент - подскажите как сделать?