← Вернуться в раздел «В помощь системному администратору»

» OpenVPN

Автор: kroy
Дата сообщения: 24.05.2011 19:03

сорри если было. подскажите как сделать так, чтобы если openvpn соединение отключалось не работал и основное подключение. то есть интернет был только через openvpn соединение. спасибо

Автор: rain87
Дата сообщения: 24.05.2011 19:34

kroy
удалить дефолтный гейт, прописать роут к овпн серверу

Автор: kroy
Дата сообщения: 24.05.2011 22:25

а пошагово распишите плз. как это сделать. вообще не админ

Автор: tankistua
Дата сообщения: 24.05.2011 22:31

Цитата:

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

форум больше для админов - подразумевает минимальные знания матчасти. Если нет - ищите админа, поите его пивом - шо ж мы изверги у админов пиво отбирать.

Автор: rain87
Дата сообщения: 24.05.2011 22:55

kroy
для винды -
в консоли делаем route print
оно выводит таблицу роутов, внизу будет
Основной шлюз: 10.0.2.2
(а может и не будет. в общем шлюз это то, напротив которого все нули стоят)
удалить дефолтный шлюз -
route del 0.0.0.0 mask 0.0.0.0
добавить роут на овпн -
route add 1.2.3.4 mask 255.255.255.255 10.0.2.2
1.2.3.4 - ип овпн сервера

а вообще tankistua прав. если не разбираешься, то лучше не лезть

Добавлено:
ну или разобраться, а потом лезть =)

Автор: Break_Action
Дата сообщения: 25.05.2011 14:50

Подскажет плз есть ли решение для следующей задачи.

Необходимо обновить конфиги для всех абонентов, можно ли как-то средствами сервера за пушить новый конфиг?

Заранее благодарен

Автор: vlary
Дата сообщения: 25.05.2011 15:03

Break_Action Штатными средствами OpenVPN - вряд ли.

Автор: Break_Action
Дата сообщения: 25.05.2011 15:15

vlary
Понял, спасибо за ответ!

Автор: ForeverRED66
Дата сообщения: 30.05.2011 17:26

у меня чето не работает(
На сервере 2 конфига 10.6.0.0 udp (сеть 1) и 10.7.0.0 tcp (сеть 2)
Нужно что бы админ их видел,а не получается,у сервера и клиента-админа настроено
push "route 10.7.0.0 255.255.255.0"
push "route 10.6.0.0 255.255.255.0"
route 10.7.0.0 255.255.255.0
route 10.6.0.0 255.255.255.0

Проще говоря что бы админ видел 2 сети, что в его конфиге прописать нужно.

Автор: vlary
Дата сообщения: 30.05.2011 18:08

ForeverRED66
Какой айпишник получает клиент? Знают ли хосты в сетях 10.6.0.0 255.255.255.0 и 10.7.0.0 255.255.255.0 путь к сети клиента? Либо является ли сервер с OpenVPN их шлюзом по умолчанию?

Автор: ForeverRED66
Дата сообщения: 31.05.2011 08:16

клиент получает 10.7.0.6 , на обоих серваках стоит клиент-то-клиент доступ к этим сетям нужен только 1 человеку.шлюзом не является.
Т.е нужно что бы клиент 10.7.0.6 видел сети:
10.6.0.0 255.255.255.0
10.7.0.0 255.255.255.0
Ну и еще можно за одно сеть
192.168.1.0 255.255.255.0 находящаяся за 10.6.0.0

Автор: vlary
Дата сообщения: 31.05.2011 10:24

ForeverRED66
Цитата:

нужно что бы клиент 10.7.0.6 видел сети

Автор: ForeverRED66
Дата сообщения: 31.05.2011 10:40

[q][/q]
А в коде как это все выглядеть должно?
Вот конфиг 1 сервера
mode server
local 192.168.1.37
port 443
proto tcp
dev tun
dev-node Work
ca ./server-tcp/ca.crt
cert ./server-tcp/server.crt
key ./server-tcp/server.key
dh dh1024.pem
server 10.7.0.0 255.255.255.0
ifconfig-pool-persist ./server-tcp/ipp.txt
client-config-dir ./server-tcp/ccd/
push "route 10.6.0.0 255.255.255.0 10.7.0.6"
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3

Вот конфиг 2го сервера
mode server
local 192.168.1.37
port 1198
proto udp
dev tun
dev-node Server
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.6.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 10.7.0.0 255.255.255.0 10.6.0.12"
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3

Автор: ForeverRED66
Дата сообщения: 02.06.2011 13:57

И сразу 2ой вопрос,у меня клиенты не получают предыдущие свои IP адреса.
был например 10.6.0.12 , через 2 дня например у него уже 10.6.0.4

Автор: vlary
Дата сообщения: 24.06.2011 13:20

ForeverRED66
Цитата:

у меня клиенты не получают предыдущие свои IP адреса

Настрой на сервере клиентские параметры. Добавь директорию с настройками юзеров
client-config-dir ccd
А в файле /etc/openvpn/ccd/"имя юзера"
есть возможность прописать постоянный айпи, допустим это 10.6.0.12
ifconfig push 10.6.0.12 10.6.0.1

Автор: ForeverRED66
Дата сообщения: 24.06.2011 17:00

Значит, нужно, чтобы те клиенты в сетях 10.6.0.0 и 10.7.0.0 видели его. Для этого на них прописать путь к 10.7.0.6 через VPN сервер.
Если VPN клиент и сервер настроены через TAP, в сети 10.7.0.0 ничего прописывать не надо, сервер отдаст его МАК через прокси арп. Если через TUN, тогда нужно прописывать, и в этом случае адрес ему лучше выдавать не из пула 10.7.0.0, а скажем, 10.7.1.0.

Короче нужно что бы
Клиент видел Сервер

client
dev tun
proto tcp
dev-node Server-Home
http-proxy 192.168.0.1 8080 ./work/auth basic
remote gamers-66.dyndns.org 443
resolv-retry infinite
nobind
persist-key
persist-tun
push "route 192.168.0.0 255.255.255.0"
route 192.168.1.0 255.255.255.0
route 10.6.0.0 255.255.255.0
ca ./work/ca.crt
cert ./work/work.crt
key ./work/work.key
ns-cert-type server
route-method exe
route-delay 10
comp-lzo
verb 3

Сервер (у меня еще есть сервер на 10.6.0.1,но пока хотя бы для этого настроить)

mode server
local 192.168.1.37
port 443
proto tcp
dev tun
dev-node Work
ca ./server-tcp/ca.crt
cert ./server-tcp/server.crt
key ./server-tcp/server.key
dh dh1024.pem
server 10.7.0.0 255.255.255.0
ifconfig-pool-persist ./server-tcp/ipp.txt
client-config-dir ./server-tcp/ccd/
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"
push "route 10.6.0.0 255.255.255.0"
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
route-method exe
route-delay 10
verb 3

Автор: JRay
Дата сообщения: 26.06.2011 13:06

Если обсуждалось сильно не пинайте, честно искал, но не нашел.

Есть лог ОпенВПН за два месяца, необходимо получить из него файлик читабельного вида, какой клиент (с каким сертификатом) когда и с какого ИП подключался... Все это в логе есть, но как понимаете, ручками выцарапывать инфу по трем десяткам клиентов, каждый из которых подключался по несколько раз на день не есть реально.. Может кто знает толковый анализатор логов?

Система: Win 2003 + OpenVPN 2.1.4

Автор: vlary
Дата сообщения: 26.06.2011 15:39

JRay
Цитата:

Может кто знает толковый анализатор логов?

Млин, да какой тебе еще анализатор логов? Пишешь на перле (надеюсь, сервер на Линуксе?) скриптик строчек на десять, и имеешь нужный результат.
Если будут вопросы, то помочь могут здесь:
UNIX Shell: sh, bash, zsh; Coreutils и ко.; sed, awk, perl;

Автор: JRay
Дата сообщения: 26.06.2011 16:46

Уважаемый, я ж написал что сервак на винде! С юниксами как-то не сложилось, кто знает решение под Windows ?

Автор: vlary
Дата сообщения: 26.06.2011 18:10

JRay
Цитата:

Уважаемый, я ж написал что сервак на винде!

Да, действительно. Ну что же, perl либо pyton можно и под винду поставить. Или можешь написать обработчик на C#, Vb.Net, это проще сделать, чем на С/С++.
А готового решения скорее всего нет, ибо вещь элементарная и специфическая, и каждый делает ее под себя сам.

Автор: tankistua
Дата сообщения: 26.06.2011 18:22

не - сколько опенвпн использую никогда ничего подобного не видел. Да и нафиг не надо оно.

А кому надо - так ему что-то свое понадлобится, все равно писать

Автор: JRay
Дата сообщения: 26.06.2011 21:04

Искал легкого решения, вижу дело - глина. Спасибо за помощь, буду пробовать ваять что-то....

Автор: moverast
Дата сообщения: 27.06.2011 04:43

настроил подключение по примерам в интернете. все работает. но у меня работает точка-к-серверу и одновременно только 1 клиент может работать.
как сделать, что бы было возможно до 3 одновременных подключений?

у меня есть 2 сервера(server 2003 R2 и server 2008 R2) с openVPN.
и сейчас openVPN настроен так:

Цитата:

client.ovpn

remote 77.221.215.*
dev tun
ifconfig 192.168.0.102 192.168.0.101
secret static.key

server.ovpn

dev tun
ifconfig 192.168.0.101 192.168.0.102
secret static.key

Автор: rain87
Дата сообщения: 27.06.2011 10:33

moverast
тебе же на прошлой странице ответили. надо настроить tls-server, для этого надо сгенерить корневой сертификат, сертификат сервера, и потом для каждого клиента генерить ключ и сертификат. мануал по генерации в шапке. остальной конфиг как ForeverRED66 раписал на прошлой странице

Автор: moverast
Дата сообщения: 27.06.2011 10:51

rain87
ForeverRED66 ответил не мне. у меня явно проще задача решается. я уже согласен просто на 3 одновременных подключения к серверу.

Автор: rosalin
Дата сообщения: 27.06.2011 11:01

ребята может кто сталкивался

Клиент нормально коннектиться к серверу

но в логах на сервере лезет

Need IPv6 code in mroute_extract_addr_from_packet

OpenVPN 2.2.0

Автор: rain87
Дата сообщения: 27.06.2011 14:34

moverast
действительно, тупанул. но суть не меняется, тебе надо настроить тлс сервер. а к нему уже может коннектится сколько угодно клиентов

Автор: moverast
Дата сообщения: 27.06.2011 15:11

rain87
как это делается? есть ли мануал?

Автор: vlary
Дата сообщения: 27.06.2011 15:34

rosalin Видимо, у тебя IPv6 адрес имеется на интерфейсе. Если смущает, можешь его убрать.
sudo ifconfig tap0 (или tun0, если настроен tun)
Будет что-то типа
inet6 addr: fe80::1234:0000:0000:0000/128 Scope:Link
Даешь команду
sudo ip -6 addr del fe80::1234:0000:0000:0000/128 dev tap0
и радуешься до следующего ребута сервера

Автор: rosalin
Дата сообщения: 27.06.2011 16:27

vlary
спасибо , у меня сервер на win , но принцип понятен

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73

Предыдущая тема: конвертация mdf в sql

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.