Цитата:
создать TAP интерфейсы
значит ли это что для каждого соединения нужен отделный интерфейс? или достаточно одного соединений так на 15?
» OpenVPN
Цитата:
значит ли это что для каждого соединения нужен отделный интерфейс? или достаточно одного соединений так на 15?
DJs3000
Цитата:
Цитата:
значит ли это что для каждого соединения нужен отделный интерфейс?Сам я не проверял, поскольку пользуюсь OpenVPN сервером один в качестве единственного найденного мною рабочего варианта VPN для подключения КПК. Но в той статье явно говорится, что число TAP интерфейсов должно равняться значению max-clients, то бишь числу одновременных подключений.
не знаю как для тун, но для режима тап на сервере точно нужен только один интерфейс
Ребят как должен конфиг клиента и сервера выглядеть!
Что бы сервер 10.7.0.0 мог видеть сервер 10.6.0.0
и наоборот то же. Два ВПН сервера.
А конкретно как добавить маршруты этих сетей.
10.6.0.0 (UDP)
push "route 10.7.0.0 255.255.255.0"
10.7.0.0 (TCP)
push "route 10.6.0.0 255.255.255.0"
Что бы например клиенты из сети 10.7.0.0 видели сеть 10.6
Ну или хотя бы что бы 10.7.0.6 видел сеть 10.6.0.0 всю сеть!
Что бы сервер 10.7.0.0 мог видеть сервер 10.6.0.0
и наоборот то же. Два ВПН сервера.
А конкретно как добавить маршруты этих сетей.
10.6.0.0 (UDP)
push "route 10.7.0.0 255.255.255.0"
10.7.0.0 (TCP)
push "route 10.6.0.0 255.255.255.0"
Что бы например клиенты из сети 10.7.0.0 видели сеть 10.6
Ну или хотя бы что бы 10.7.0.6 видел сеть 10.6.0.0 всю сеть!
У меня вот такие чудеса , хочу ключ создать
Ввожу
vars
потом
build-key xxxx
и такая херь(
Ввожу
vars
потом
build-key xxxx
и такая херь(
ForeverRED66
была похожая проблема! решил откатом версии до 2.1.4
и не забывай сначала инит делать потом вар а потом клеар если глюк не исправишь...
Добавлено:
vlary
работает много одновременных подключений при одном виртуальном интерфейсе openvpn. лично проверено)
была похожая проблема! решил откатом версии до 2.1.4
и не забывай сначала инит делать потом вар а потом клеар если глюк не исправишь...
Добавлено:
vlary
работает много одновременных подключений при одном виртуальном интерфейсе openvpn. лично проверено)
DJs3000
Цитата:
Цитата:
работает много одновременных подключений при одном виртуальном интерфейсе openvpn. лично провереноКакой тип подключения клиентов? TAP или TUN?
vlary
строка из конфига dev tun
Добавлено:
имеется типичная сеть: инет->шлюз->свич->юзвери
||
\/
Сервер
шлюз CentOS firewall(netfilter), gateway
на сервере который внутри офисной сети стоит 2008 и на ней OpenVPN server.
конфиг:
port 5600
proto tcp
tls-server
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.0.5.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
comp-lzo
max-clients 15
persist-key
persist-tun
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
keepalive 10 120
verb 3
при подключении серверу присваивается ip 10.0.5.1 и больше ничего не видно в офисной сети.
Хочу перенести OpenVPN server на шлюз и хочу чтобы подключаемые видели всю офисную сеть 192.168.9.0/24 подскажите что нужно дописать в конфиге?
строка из конфига dev tun
Добавлено:
имеется типичная сеть: инет->шлюз->свич->юзвери
||
\/
Сервер
шлюз CentOS firewall(netfilter), gateway
на сервере который внутри офисной сети стоит 2008 и на ней OpenVPN server.
конфиг:
port 5600
proto tcp
tls-server
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.0.5.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
comp-lzo
max-clients 15
persist-key
persist-tun
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
keepalive 10 120
verb 3
при подключении серверу присваивается ip 10.0.5.1 и больше ничего не видно в офисной сети.
Хочу перенести OpenVPN server на шлюз и хочу чтобы подключаемые видели всю офисную сеть 192.168.9.0/24 подскажите что нужно дописать в конфиге?
DJs3000
Цитата:
А в общем случае как раз разница между TAP и TUN в том, что когда TAP, то адреса выдаются из сегмента локальной сети, включается прокси-арп, и локальные компы видят удаленные.
Цитата:
Хочу перенести OpenVPN server на шлюзТогда дописывать ничего будет не надо.
А в общем случае как раз разница между TAP и TUN в том, что когда TAP, то адреса выдаются из сегмента локальной сети, включается прокси-арп, и локальные компы видят удаленные.
vlary
т.е. мне нужно будет dev tun сменить на dev tap?
т.е. мне нужно будет dev tun сменить на dev tap?
DJs3000
Цитата:
Я же написал. Проблема в том, что хосты в локалке понятия не имеют, где это сеть 10.0.5.0. Ответные пакеты они бросают на свой шлюз по умолчанию, который, видимо, тоже этого не знает, и они херятся. Потому всем нужным хостам необходимо прописать маршрут к 10.0.5.0 через 192.168.9.Х (адрес OpenVPN сервера в локалке).
Если OpenVPN будет стоять на общем шлюзе по умолчанию, тогда пакеты дойдут до клиентов, путей прописывать не надо. Только нужно будет везде на встроенных фаерволах, ежели они есть, прописать не рубить пакеты из чужой сети 10.0.5.0.
В любом случае для клиентов на сервере надо добавить опцию push "route 192.168.9.0 255.255.255.0", чтобы пакеты для 192.168.9.0 они бросали в канал, а не провайдеру.
А в случае tap можно просто назначать незанятые адреса из диапазона 192.168.9.0/24, и все будет отлично работать.
Цитата:
т.е. мне нужно будет dev tun сменить на dev tap?
Я же написал. Проблема в том, что хосты в локалке понятия не имеют, где это сеть 10.0.5.0. Ответные пакеты они бросают на свой шлюз по умолчанию, который, видимо, тоже этого не знает, и они херятся. Потому всем нужным хостам необходимо прописать маршрут к 10.0.5.0 через 192.168.9.Х (адрес OpenVPN сервера в локалке).
Если OpenVPN будет стоять на общем шлюзе по умолчанию, тогда пакеты дойдут до клиентов, путей прописывать не надо. Только нужно будет везде на встроенных фаерволах, ежели они есть, прописать не рубить пакеты из чужой сети 10.0.5.0.
В любом случае для клиентов на сервере надо добавить опцию push "route 192.168.9.0 255.255.255.0", чтобы пакеты для 192.168.9.0 они бросали в канал, а не провайдеру.
А в случае tap можно просто назначать незанятые адреса из диапазона 192.168.9.0/24, и все будет отлично работать.
вылезла проблема овпн такого рода.
коннекчусь к овпн серверу, получаю статику, все работает, открывается, качается, интернеты летают.
и теперь самое интересное. стоит мне запустить в скайпе видео звонок, как через минуты три, происходит обломахтунг овпн клиента с таким вот содержанием в логах:
Код:
Sun Aug 21 22:41:30 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sun Aug 21 22:41:31 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sun Aug 21 22:41:33 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sun Aug 21 22:41:33 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sun Aug 21 22:41:34 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sun Aug 21 22:41:35 2011 admin/89.146.71.98:10002 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Aug 21 22:41:35 2011 admin/89.146.71.98:10002 TLS Error: TLS handshake failed
Sun Aug 21 22:41:37 2011 admin/89.146.71.98:10002 TLS: new session incoming connection from 89.146.71.98:10002
Sun Aug 21 22:41:37 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sun Aug 21 22:41:39 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sun Aug 21 22:41:41 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sun Aug 21 22:41:44 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
коннекчусь к овпн серверу, получаю статику, все работает, открывается, качается, интернеты летают.
и теперь самое интересное. стоит мне запустить в скайпе видео звонок, как через минуты три, происходит обломахтунг овпн клиента с таким вот содержанием в логах:
Код:
Sun Aug 21 22:41:30 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sun Aug 21 22:41:31 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sun Aug 21 22:41:33 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sun Aug 21 22:41:33 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sun Aug 21 22:41:34 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sun Aug 21 22:41:35 2011 admin/89.146.71.98:10002 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Aug 21 22:41:35 2011 admin/89.146.71.98:10002 TLS Error: TLS handshake failed
Sun Aug 21 22:41:37 2011 admin/89.146.71.98:10002 TLS: new session incoming connection from 89.146.71.98:10002
Sun Aug 21 22:41:37 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sun Aug 21 22:41:39 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sun Aug 21 22:41:41 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Sun Aug 21 22:41:44 2011 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
hda0
попробуй (хотя бы временно) овпн перевести с удп на тсп. такое ощущение что ты работаешь через роутер, и у него начинаются проблемы при большом удп трафике
попробуй (хотя бы временно) овпн перевести с удп на тсп. такое ощущение что ты работаешь через роутер, и у него начинаются проблемы при большом удп трафике
rain87
Цитата:
конечно же через роутер. а как иначе..
месяц назад я юзал режим тсп сервера, потом перешёл в режим юдп потому как у меня появился клиент которому надо было юзать юдп туннель.
так вот, когда я юзал режим тсп - таких обломов не происходило.
выходит что у овпн сервера есть большой баг в этом плане. может девелоперу стоит написать и описать суть проблемы?
или покрутить какие нибудь значения mtu, mssfix и тд.. только вот в какую сторону, и поможет ли?
Цитата:
ты работаешь через роутер
конечно же через роутер. а как иначе..
месяц назад я юзал режим тсп сервера, потом перешёл в режим юдп потому как у меня появился клиент которому надо было юзать юдп туннель.
так вот, когда я юзал режим тсп - таких обломов не происходило.
выходит что у овпн сервера есть большой баг в этом плане. может девелоперу стоит написать и описать суть проблемы?
или покрутить какие нибудь значения mtu, mssfix и тд.. только вот в какую сторону, и поможет ли?
hda0 Скайп тоже использует UDP, причем интенсивно. Вполне возможно, что засирается таблица НАТ. Отсюда эффект. Попробуй в роутере добавить размер таблицы и уменьшить тайм-аут, если есть в нем такие настройки.
vlary
я от НАТа отказался. я юзаю белые сети.
овпн на реалках работает.
вряд ли тут НАТ виноват
я от НАТа отказался. я юзаю белые сети.
овпн на реалках работает.
вряд ли тут НАТ виноват
hda0
да нет, баг не у овпн сервера. проблема именно в роутере, который захлёбывается на большом удп трафике. из за чего такое происходит я не в курсе, просто достаточно распространённая проблема для роутеров
Добавлено:
Цитата:
да нет, баг не у овпн сервера. проблема именно в роутере, который захлёбывается на большом удп трафике. из за чего такое происходит я не в курсе, просто достаточно распространённая проблема для роутеров
Добавлено:
Цитата:
я от НАТа отказался. я юзаю белые сети.т.е. овпн у тебя работает внутри роутера?
овпн на реалках работает.
сервер с линуксами, настроен в качестве рутера+бгп+айпитаблес. на нём же овпн сервер установлен.
Добавлено:
может линуксу надо покрутить, что бы ЮДП побольше пропустить?
кто нибудь знает что крутить?
Добавлено:
может линуксу надо покрутить, что бы ЮДП побольше пропустить?
кто нибудь знает что крутить?
Здравствуйте уважаемые форумчане. Существует одна проблема.
В общем:
Имеем сервер c ОС Windows Server 2003 на котором установлен OpenVPN сервер (версии 2.1.4).
Сервер имеет внешний ip 178.124.137.117
Внутренний ip 192.168.1.47
Конфиг OpenVPN server следующий:
port 1194
proto tcp
dev tap
ca ca.crt
cert OpenVPN.crt
key OpenVPN.key
dh dh1024.pem
tls-server
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1"
client-to-client
keepalive 10 120
persist-tun
persist-key
comp-lzo
verb 3
Конфиг клиента:
client
remote 178.124.137.117 1194
dev tap
proto tcp
persist-tun
ca ca.crt
cert free.crt
key free.key
ns-cert-type server
resolv-retry infinite
verb 3
comp-lzo
Проблема в следующем:
У всех созданных мною ключей-клиентов один ip адрес 10.8.0.2 Притом, пинг между клиентом и сервером есть, пиринг тоже. Следовательно вопрос, как настроить конфиг, чтобы каждый клиент имел динамический ip адрес?
Помогите пожалуйста
В общем:
Имеем сервер c ОС Windows Server 2003 на котором установлен OpenVPN сервер (версии 2.1.4).
Сервер имеет внешний ip 178.124.137.117
Внутренний ip 192.168.1.47
Конфиг OpenVPN server следующий:
port 1194
proto tcp
dev tap
ca ca.crt
cert OpenVPN.crt
key OpenVPN.key
dh dh1024.pem
tls-server
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1"
client-to-client
keepalive 10 120
persist-tun
persist-key
comp-lzo
verb 3
Конфиг клиента:
client
remote 178.124.137.117 1194
dev tap
proto tcp
persist-tun
ca ca.crt
cert free.crt
key free.key
ns-cert-type server
resolv-retry infinite
verb 3
comp-lzo
Проблема в следующем:
У всех созданных мною ключей-клиентов один ip адрес 10.8.0.2 Притом, пинг между клиентом и сервером есть, пиринг тоже. Следовательно вопрос, как настроить конфиг, чтобы каждый клиент имел динамический ip адрес?
Помогите пожалуйста
помоему тебе не хватает конфига, где пул хранить.
он жыж без записей типа не догадывается, какие адреса выдавал.
# Maintain a record of client <-> virtual IP address
# associations in this file. If OpenVPN goes down or
# is restarted, reconnecting clients can be assigned
# the same virtual IP address from the pool that was
# previously assigned.
ifconfig-pool-persist /var/log/openvpn_routing-ipp.txt
он жыж без записей типа не догадывается, какие адреса выдавал.
# Maintain a record of client <-> virtual IP address
# associations in this file. If OpenVPN goes down or
# is restarted, reconnecting clients can be assigned
# the same virtual IP address from the pool that was
# previously assigned.
ifconfig-pool-persist /var/log/openvpn_routing-ipp.txt
piples А зачем тебе динамический? Настрой на сервере клиентские параметры: добавь директорию с настройками юзеров
client-config-dir ccd
А в файле /etc/openvpn/ccd/"имя юзера"
есть возможность прописать постоянный айпи, допустим это 10.8.0.12
ifconfig push 10.8.0.12 10.8.0.1
client-config-dir ccd
А в файле /etc/openvpn/ccd/"имя юзера"
есть возможность прописать постоянный айпи, допустим это 10.8.0.12
ifconfig push 10.8.0.12 10.8.0.1
Вопрос в другом:
1. Можно ли сделать (настроить) так, чтобы один ключ-клиент имел динамический ip? То есть например я и ещё не сколько человек подключились в одно время (пример) и у каждого разный ip.
2. Можно ли сделать (настроить) так, чтобы разные ключи-клиенты имели динамический ip?
Зачем? Вопрос теоретичный Дело в том, что к данному OpenVPN серверу будет подключено скажем (к примеру) 10-40 пользователей и притом условии, чтобы у каждого подключившегося пользователя был динамичный ip скажем 10.8.0.х
Важно, OpenVPN сервер расположен на ОС Windows Server 2003 поэтому хотелось бы увидеть нужный конфиг под эту ОС
Очень прошу вас, помогите с решением данной проблемы.
1. Можно ли сделать (настроить) так, чтобы один ключ-клиент имел динамический ip? То есть например я и ещё не сколько человек подключились в одно время (пример) и у каждого разный ip.
2. Можно ли сделать (настроить) так, чтобы разные ключи-клиенты имели динамический ip?
Зачем? Вопрос теоретичный
Дело в том, что к данному OpenVPN серверу будет подключено скажем (к примеру) 10-40 пользователей и притом условии, чтобы у каждого подключившегося пользователя был динамичный ip скажем 10.8.0.х Важно, OpenVPN сервер расположен на ОС Windows Server 2003 поэтому хотелось бы увидеть нужный конфиг под эту ОС
Очень прошу вас, помогите с решением данной проблемы.
piples
Эм... Ключи как бы вещь персональная, поэтому они не рассчитаны на подключение с нескольких машин, еще и с параллельной работой...
Эм... Ключи как бы вещь персональная, поэтому они не рассчитаны на подключение с нескольких машин, еще и с параллельной работой...
разрешить подключение юзеров с одинаковыми сертификатами можно, в принципе --duplicate-cn. просто тогда никак их не получится различить. если это и не надо, то --duplicate-cn решает
rain87
а что на это скажет ccd? Или в таком случае его не используют? Или у клиентов будет внури vpn сетки одинаковые ip?
а что на это скажет ccd? Или в таком случае его не используют? Или у клиентов будет внури vpn сетки одинаковые ip?
Alukardd
Или я не пойму или вы не правильно поняли
Не большой пример. У нас в Белоруссии (во внутренних ресурсах (которые не доступны внешней сети(интернету)) есть сайт, который даёт возможность подключиться к их OpenVPN сети и таким образом получить одну большую локальную сеть, но без пиринга. И следовательно таким образом используя всего один ихний ключ может подключиться "1-100 человек и с тем условием что каждый подключившийся имеет динамический ip адрес.
Вот поэтому хочется создать тоже, что то подобное но доступом к пирингу. (доступ к ресурсам расположенным в нашем ЦОД)
Или я не пойму или вы не правильно поняли
Не большой пример. У нас в Белоруссии (во внутренних ресурсах (которые не доступны внешней сети(интернету)) есть сайт, который даёт возможность подключиться к их OpenVPN сети и таким образом получить одну большую локальную сеть, но без пиринга. И следовательно таким образом используя всего один ихний ключ может подключиться "1-100 человек и с тем условием что каждый подключившийся имеет динамический ip адрес.
Вот поэтому хочется создать тоже, что то подобное но доступом к пирингу. (доступ к ресурсам расположенным в нашем ЦОД)
Да, люди для того, чтобы сэкономить 5 минут на генерацию нужного количества сертификатов, готовы потратить времени немерено...
piples
Цитата:
1 - подключаются несколько клиентов с одним сертификатом и смотрят какой ip прилетел на виртуальный адаптер - и видят разный!
2 - клиенты на какой-то хрен подключаются с разных внешних адресов, а что там внутри вы понятия не имеете.
Полагаю вам нужен 1-ый вариант. Без понятия как такое организовалось при одном сертификате. (1 - они использовали не OpenVPN, 2 - они перепилили исходники)
Цитата:
и с тем условием что каждый подключившийся имеет динамический ip адрес.мой мозг трактует это 2 путями, причем не всё в данном контексте и терминологии выглядят корректно:
1 - подключаются несколько клиентов с одним сертификатом и смотрят какой ip прилетел на виртуальный адаптер - и видят разный!
2 - клиенты на какой-то хрен подключаются с разных внешних адресов, а что там внутри вы понятия не имеете.
Полагаю вам нужен 1-ый вариант. Без понятия как такое организовалось при одном сертификате. (1 - они использовали не OpenVPN, 2 - они перепилили исходники)
Alukardd
Цитата:
Цитата:
а что на это скажет ccd?я так думаю, что ничего хорошего не скажет. скорей всего, не стоит его использовать в этом случае - иначе он втупую выдаст всем клиентам одинаковые адреса. соответственно работать ничего не будет. я когда юзал такую схему, использовал скрипты для аутентификации юзеров по логину+паролю и для выдачи юзерам параметров, соответственно опираясь тоже на логин и пароль
Есть шлюз на FreeBSD 8.2 там стоит OpenVPN с tun интерфейсом для подключения к удаленному серверу. Есть новая задача чтоб можно было по OpenVPN подключаться и к этому шлюзу так же по tun интерфейсу. Понятно что нужно добавить еще один tun интерфейс tun1 но у меня дальше идет не понимание) для другого интерфейса нужен другой конфиг или можно все описать в одном? и как сделать чтоб опенвпн понимал что этот конфиг для tun0 а вот этот для tun1?
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273
Предыдущая тема: конвертация mdf в sql
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.