» OpenVPN

а клиент вообще ip получает?
может быть назначить ему ip принудительно через файлик
/etc/openvpn/ccd/memmo

Код: ifconfig-push 10.10.10.2 255.255.255.0
# ip
push "route 192.168.0.0 255.255.255.0 10.10.10.1"
# маршрут

1)
tun нужен для роутинга между сетями, tap - для бриджинга. Т.е. при использовании tun получается схема

192.168.0.0/24 - openvpn-server - 192.168.5.0/24

а при tap получается

192.168.0.0/24 - openvpn-server - 192.168.0.0/24

2) рабочий конфиг для роутинга

Код:
port 1194
proto udp
dev tun
ca keys_routing/ca.crt
cert keys_routing/server.crt
key keys_routing/server.key # This file should be kept secret
dh keys_routing/dh1024.pem
server 172.16.16.0 255.255.255.0
push "route 192.168.20.0 255.255.255.0"
route 192.168.21.0 255.255.255.0
route 192.168.22.0 255.255.255.0
client-to-client
keepalive 5 30
tls-auth keys_routing/ta.key 0 # This file is secret
comp-lzo
max-clients 100
user nobody
group nobody
persist-key
persist-tun
verb 3
mute 20

Спасибо огромное, други! ))) Буду вечером пробовать. Уверен, что разберусь.

Доброго дня, подскажите такой вопрос, есть шлюз на нем поставил openvpn, vpn подключается все хорошо, как теперь сделать что бы другие клиенты в сети видели этот этот впн и подключались к нему через этот шлюз?

yrkrus
Что на шлюзе поставили сервер или клиент? Куда VPN подключается? В розетку что ли?) Давайте как вы внятно обрисуете схему сети, тогда мы сможем ответить. Пока не понятно в какую сторону даже Вас направить.

p.s. Я фигею как народ вопросы пишет. Что в голове крутится, какой-то поток мыслей выливается на форум, а потом сиди думай...

Alukardd
vpn клиент настроен на фре, подключается к северу openvpn который тоже на фре.
схема примерна такая клиент(win)-шлюз(фря на ней клиент openvpn)-(vpn сервер)-удаленные сервера

yrkrus
Если всё правильно понял то клиенты должны через VPN ходить на удалённые сервера? И вам надо просто настроить маршрутизацию.

Собственно в настройках сервера надо прописать директиву push "route ..." и там же на сервере разрешить в брандмауэре трафик между vpn и серверами. Собственно в подробностях с примерами конфигов и т.д. в инете куча howto (в т.ч. и у лисяры)

уважаемые.
вопрос.
овпн внутри овпн может ли работать?
мой знакомый юзая мой овпн, говорит - пустил внутри моего овпн, ещё свой овпн. я ему выделил полосу в метр. а он говорит что не получает метра, а получает около 800кбит. собственно вопрос - куда убегает 200кбит? тестировал свой впн между ним - ровно метр даёт. знакомый полагает что полоса срезается за счет поднятия второго туннеля. а на что может тратиться 200кбит? кто нибудь может объяснить грамотно?

з.ы. сжатие на моём овпн отключено.

hda0
Думается мне, что это накладные расходы на:
1 - инкапсуляцию трафика в UDP (или у вас в качестве транспорта TCP?)
2 - шифрование трафика

А собственно чем мерили?

p.s. хотя, блин, 200КБит, многовато для накладных расходов...

Alukardd
айпитраф, трафшоу, iperf

больше айпитрафом меряю.


Цитата:

p.s. хотя, блин, 200КБит, многовато для накладных расходов...

я тоже так подумал. слишком много. ну ладно там 20кил, ну 30.. но не 200 же.

Всем привет! Как быть если в openvpn пользователей больше 253?
в vpn вроде решалось 192.168.1.2-254,192.168.2.2-254.
Как быть с openvpn?

Ijumper
Цитата:

Как быть если в openvpn пользователей больше 253?

А что мешает маску vpn сети изменить? Религия?

Ijumper
оО А как это Вы и 253 уместили в диапазон /24??? Прочтите-ка доку по поводу того как OpenVPN обращается с ip адресами. Сомневаюсь, что клиенты у вас все не Windows и Вы использовали true PtP.
А вообще расширяйте сеть как хотите. Укажите префикс /23 и меньше и ни каких проблем.

hda0
так а на каком транспорте туннели работают? если все тсп, то http://sites.inka.de/bigred/devel/tcp-tcp.html как вариант

Спасибо поменял маску, на выходных проверю
Еще подскажите такой момент, подключение по rdp из локальной сети на клиента vpn по rdp подключаюсь, а с клиента vpn на машину которая находиться за сервером vpn (в локальной сети) не подключается, трасировка и пинг проходит от клиента VPN по машинки в локальной сети. в чем может быть проблема? Конфиги сервера нужно выкладывать?

rain87
юдп транспорт. а и второй овпн внутри моего овпн тоже юдп.

Подскажите плиз!
работаю стационарным админом в одной конторе, а вторую контору (никак не связаную с первой) на аутсорсе держу.
как пользоваться опенвпн-клиентом на 2 разных сервера сертификатов опенвпн-а?
ведь в файле client.ovpn пишется только один внешний ИП и порт по которому идёт соединение. а как сделать чтобы 2 разных сертификата от 2-ух разных контор не пересекались в опенвпн-клиенте? т.е. в идеале при запуске выбирать к какой конторе мне присоединяться?

порасккладывай их в папочки - опенвпн смотрит с суб-директории от config

З.Ы. так же ничего не мешает переименовать файлы конфига и сертификатов

tankistua
про переименование-понятно,но нужно порой и там-и там из дома что то делать, так что-не вариант.
а с субдиректориями как? что писать в client.ovpn?
типа:
ca1 firm1\ca.crt
ca2 firm2\ca.crt
?
и опять же-что прописывать в параметре remote?
remote IP_1
remote IP_2?
что-то с трудом верится

gabbapunk openvpn работает из командной строки. Ты можешь создать две конфигурации client1.ovpn и client2.ovpn и запускать openvpn с нужным конфигом в качестве параметра.
openvpn client1.ovpn

gabbapunk
Цитата:

так что-не вариант

т.tankistua хотел сказать, что можно переименовать сертиикаты и указать новые имена в конфиге, сам конфиг тоже можно назвать по другому. Если вы работаете из Windows то клиент вам предоставит на выбор все конфиги что найдёт не зависимо от имени, он смотрит только на расширение. А имена сертификатов вообще ни кого не волнуют. Для Linux клиента вам vlary уже дал команду. Собственно ни какой разницы в какой вы ОС находитесь нету.

vlary
Alukardd
аа! вот в чем дело! я просто думал что для опенвпн'а принципиально,чтобы конфигурационный файл клиента (client.ovpn) был именно с таким названием.
тогда всё понятно. спасибо за внимание!

Можно воспользоваться lan2lan.ru

mobilix
во-первых, сервер впн в офисе линуксовый, во-вторых, lan2lan - это я так понимаю коммерческий проект, а надо СПО

Цитата:

yrkrus
Если всё правильно понял то клиенты должны через VPN ходить на удалённые сервера? И вам надо просто настроить маршрутизацию.

Собственно в настройках сервера надо прописать директиву push "route ..." и там же на сервере разрешить в брандмауэре трафик между vpn и серверами. Собственно в подробностях с примерами конфигов и т.д. в инете куча howto (в т.ч. и у лисяры)

Нет Вы немгого не поняли, шлюз на фре выступает в роли клиента vpn, и через него клиенты должны видеть удаленную подсеть, на сервере где стоит серверная часть openvpn все настроено, где то у меня какой то косяк, где то на грабли наступаю

yrkrus
значит я правильно вас понял. и мой ответ остается неизменным.
Только с учётом того, что конфиг сервера Вы не трогаете, то маршруты надо будет прописать у себя ручками.
В принципе можете показать сюда вывод ifconfig и netstat -nr. Так же, наверное, целесообразно натить уходящий с вашей фри трафик (это уже по ситуации).

Добавлено:
М-м, уже и тему отдельную создали... Ну конечна эта мёртвая и форум мёртвый и ловить тут вообще нечего... А что народ тут не круглые сутки и тоже работает Вам это видимо в голову не приходило.

Добавлено:
1 - у вас удалённая подсеть (та что с серверами) пересекается с вашей локалкой. Если у каких либо серверов ip совпадут с вашими они будут недоступны для вшей подсети.
2 - т.к. удалённый сервер не настроен на то, что бы видеть вашу подсеть и знать что-либо о её адресах, то вам на своём клиенте FreeBSD надо nat'ить исходящий к серверам трафик.

Профи подскажите пожалуйста!

На основной оси win7 запускаем openvpn1.
В vmware winxp запускаем openvpn2.
По прошествии времени на основной оси openvpn1 рестартуется на автомате по каким-то причинам.
В этот момент на vmware следом за рестартом openvpn1 рестартуется openvpn2.
Вопрос: как можно узнать не установил ли openvpn2 соединение с интернетом вперед(минуя) openvpn1?

Bomfunk
Т.е. openvpn1 и 2 это клиенты?
Цитата:

Вопрос: как можно узнать не установил ли openvpn2 соединение с интернетом вперед(минуя) openvpn1?

у вас инет что ли через OpenVPN раздаётся? Узнать можно по времени соединения из логов OpenVPN. А какая собственно разница?

Цитата:

Т.е. openvpn1 и 2 это клиенты?

в основной оси устанавливается соединение с инетом.
затем происходит связь с openvpn сервером.
далее запускается вмваря и из нее уже выход инет идет через openvpn1
в вмваре устонавливается соединение openvpn2.
допустить выход openvpn2 через инет минуя openvpn1 нельзя.
просто посетила мысль что при переконекте openvpn1 в основной оси, следом пересоединяется и openvpn2 в вмваре напрямую в инет. вот в этом вопрос.

на счет времени соединения спасибо!

Bomfunk
Так запретите варе напрямую в инет ходить. В чём проблема-то? Не будет vpn конекта у неё другого пути в инет и не будет. Хотя я не понимаю зачем эта замута была придумана...