» OpenVPN

Alukardd

Цитата:

В принципе можете показать сюда вывод ifconfig и netstat -nr.

ifconfig
Код:
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC>
ether 38:60:77:2d:f8:dd
inet 172.33.0.6 netmask 0xffffff00 broadcast 172.33.0.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=82808<VLAN_MTU,WOL_UCAST,WOL_MAGIC,LINKSTATE>
ether 1c:af:f7:6b:8e:57
inet 62.141.xx.x netmask 0xfffffffc broadcast 62.141.100.11
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=3<RXCSUM,TXCSUM>
inet 127.0.0.1 netmask 0xff000000
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
options=80000<LINKSTATE>
inet 10.8.1.125 --> 10.8.1.126 netmask 0xffffffff
Opened by PID 21002
pflog0: flags=41<UP,RUNNING> metric 0 mtu 33200

bomfunk
эк параноя до чего доводит, у тебя хоть ключи разные на ovpn1 и ovpn2

на хосте после соединения с ovpn1 удали дефолтовый гейт и оставь только гейт от ovpn1, тогда при разрыве связи не будет инета ни у хоста ни у геста

Цитата:

на хосте после соединения с ovpn1 удали дефолтовый гейт и оставь только гейт от ovpn1, тогда при разрыве связи не будет инета ни у хоста ни у геста

да, ключи разные, сервера тоже.
а как удалить дефолтовый гейт?

yrkrus
Кстати, только сейчас обратил внимание - Вам хоть известно, что подсеть, которую Вы используете 172.33.0.0/24 не является зарезервированной для ЛВС (172.16.0.0/12 заканчивается на 172.31 подсети)?!


Цитата:

172.33.0.0/24 10.8.1.125 UGS 0 12552 tun0

не правильно прописано. Маршрут должен уходить через шлюз который выдан OpenVPN, обычно на единицу меньше чем выданный ip. Я только на прошлой странице давал ссылку на доку.

Если нету необходимости, что бы на удалённых серверах светились именно внутренние ip пользователей, то можно включить NAT на вашей фре и не мурыжить OVPN сервер, особенно если он особо Вам подконтролен.

да многим на это вообще наплевать - у нас в Украине локалки мрео что-то типа 132.х.х.х

ну подумаешь - проблема, нефиг шариться где не попади

tankistua
ахаха
87.240.0.0/16 поставили бы вот я посмотрел бы на них...

у меня знакомые ребята сетку протянули по своему хутору, локалка у них 1.0.0.0/8 =)

rain87
Ну они лишили себя Австралии, Японии, Тайваня и т.п., если я не ошибаюсь.

p.s. нижняя строка подписи зачётная

Alukardd

Цитата:

Ну они лишили себя Австралии, Японии, Тайваня и т.п., если я не ошибаюсь.

видимо абонентов это не сильно расстроило
Цитата:

p.s. нижняя строка подписи зачётная

угу, сам плакал когда увидел надо ж так точно описать

OS FreeBSD
Пара вопросов:
1. Как сделать OpenVPN over OpenVPN, если ключи и сертификаты разные?
С одинаковыми проблем нет, в исходном файле конфигурации удаляем redirect-gateway def1
Добавляем:
route remote_host 255.255.255.255 net_gateway
route 0.0.0.0 128.0.0.0 хх.xx.xx.xx
route 128.0.0.0 128.0.0.0 хх.xx.xx.xx
где хх.xx.xx.xx - IP адрес второго сервера в качестве шлюза.
Что имеем.
Две машинки на фре, первая на статике, вторая на динамике.
На второй машинке поднимаю ОпенВПН без проблем, но требуется через него поднять еще соединение на первую машину, чтобы с первой можно было обращаться к мускулу на второй.
Так, как первый сервер ВПН используется "чужой", то получается надо использовать два комплекта ключей и сертификатов.
2. Как прописать правила фаервола и поднять НАТ после поднятия ВПН?
Если все прописать в rc.conf и правила в rc.firewall то так, как интерфейс не поднят, правила не прописывается, НАТ не поднимается.

Тap сетевуха так и должна быть со скоростью 10мбит?? (win xp)

fakintosh
Да, вроде tap поднимается со скоростью 10Мбит/с...
А в чём вопрос собственно? У вас реально туннель должен давать больше?

InetSar777
если я правильно помню, то нельзя поднять впн поверх другого впна с таким же типом шифрования.

Alukardd

Да не, просто интересно почему 10мбит а не скажем 100 как в простой сетевой карте

fakintosh
Я как-то раньше не задавался этим вопросом, а сейчас глянул и инфа как-то расходится...
На сколько я понял это OpenVPN виноват что создаёт 10Мбит/с адаптер. С другой стороны на сайте OpenVPN расписана интересная инфа, и вот чему верить я хз...
У меня тоже, что Win2k3, что в Debian при настройке dev tun, создаются 10Мбит/с адаптары, правда в винде это TAP-WIN32 Adpter V9, а лине это tun адаптер создаваемый Universal TUN/TAP device driver.

Alukardd

Весело

ну и что, что 10 мегабит. Кто-то реальную скорость тестировал?

впн завернуть в впн это лихо. Но только нужно будет его между двумя другими серверами из локалок строить.


сервер впн 1 --- сервер интернета офис1 --- сервер интернета офис 2 - сервер впн 2


Иначе полюбому не получиться - трафик не пойдет по тоннелю. Он пойдет по какому-то одному

tankistua
Цитата:

ну и что, что 10 мегабит. Кто-то реальную скорость тестировал?

вот об этом я и говорил, в инее мнения расходятся в т.ч. и не форумах самого openvpn'а. А самому собирать тестовый стенд желания нету. Поэтому пока верю в то, что написано по приведённой мной ссылке с огрехой на 100Мбит/с, а не Гигабит.

Кстате как устроено у провайдера такое дело как лимитированный доступ в интернет если незаплочено за интернет за месяц?? У моего пол часа работает интернет, полчаса кидает в такую стенку и соответственно через 80 порт доступа в интернет нет, но через 443 порт всё работает и соответственно можно сидеть в интернете через OpenVPN.

fakintosh
ну лол провайдер, что сказать) Обычно это рубится на сетевом уровне, тупо блокируя Ваш IP для выхода наружу, а не подменой запроса.

Alukardd
да не тут типо так:
выставлен счёт за этот месяц, заплатить до 10 числа;
начиная со следущего месяца генерится новый счёт, за прошлый неуплоченный месяц + за этот, интернет работает ограниченно;
если за 2 месяца незаплочено то тогда уже блочится IP начиная опять со следующего месяца.
То есть схема такая:
1.мес - заплати до 10 или потеряешь скидку если заплатишь после
2.мес - незаплатил?? ок сиди с ограничением в интернете (легко можно обойти через OpenVPN)
3.мес - незаплатил за 2 месяца сцуко???? вот тут и блокируется IP

Цитата:

если я правильно помню, то нельзя поднять впн поверх другого впна с таким же типом шифрования.

Неправильно помните, можно. Вопрос только как на одной машине все запустить. Сейчас приходится делать используя дополнительный сервер, но это неудобно.

InetSar777

Цитата:

Цитата:
Цитата: если я правильно помню, то нельзя поднять впн поверх другого впна с таким же типом шифрования.

Неправильно помните, можно. Вопрос только как на одной машине все запустить. Сейчас приходится делать используя дополнительный сервер, но это неудобно.

Добрый день!
В линуксах, пока, чайник, попрошу сильно не пинать.
На Debian были подняты два маршрутизатора (офис и удаленный офис).
На каждом серваке две сетевушки: одна-локалка, вторая-внешка.
Сервак офис: 192.168.0.1
Сервак уОфис (удаленный офис): 192.168.0.70
При подключении в уОфисе tap превращается в бридж. В офисе, аналогично, бридж.

Проблема: все стабильно работало до вчера... Сегодня при подключении клиент не получает ip по dhcp (в поле virtual ip виден только mac). По логам не вижу даже попыток получения.

Подскажите куда копать.
Буду благодарен за помощь.

П.С.: на клиенте iptables закрыто все. ssh был через ovpn, так что добраться до клиента, пока, не представляется возможным...
Грешил на сервере на, опять же, iptables отрывал все - dhcp, так же не отработал.

кому нибудь удалось запустить овпн на фс16?
сначало у меня была свистопляска вокруг модуля tun.
при попытке грузануть сообщало:
May 15 15:46:03 waxik kernel: [ 2110.414528] tun: Universal TUN/TAP device driver, 1.6
May 15 15:46:03 waxik kernel: [ 2110.414544] tun: (C) 1999-2004 Max Krasnyansky <maxk@qualcomm.com>
May 15 15:46:16 waxik kernel: [ 2122.855135] Loading kernel module for a network device with CAP_SYS_MODULE (deprecated). Use CAP_NET_ADMIN and alias netdev-tun instead

но загружалось ядро. овпн сервер отказывался грузиться.
при попытке поднять девайс, ругался:
[root@waxik ~]# /sbin/ip link set dev tun0 up mtu 1500
Cannot find device "tun0"
[root@waxik ~]# /sbin/ip addr add dev tun0 local 15.238.104.97 peer 15.238.104.98
Cannot find device "tun0"

ладно, пояндексил, нашёл ответ что в новом ядре 3.2.16 произошли изменения, и надо в /etc/modprobe.d/dist.conf добавить "alias netdev-tun tun"
добавил. ядро грузанулось без каких либо негативных сообщений:
May 15 16:01:21 waxik kernel: [ 3025.524875] tun: Universal TUN/TAP device driver, 1.6
May 15 16:01:21 waxik kernel: [ 3025.524943] tun: (C) 1999-2004 Max Krasnyansky <maxk@qualcomm.com>

но овпн сервер по прежнему не стартует:
Tue May 15 15:40:01 2012 us=634145 /sbin/ip link set dev tun0 up mtu 1500
Tue May 15 15:40:01 2012 us=635970 /sbin/ip addr add dev tun0 local 15.238.104.97 peer 15.238.104.98
Tue May 15 15:40:01 2012 us=637212 ./openvpn.up tun0 1500 1573 15.238.104.97 15.238.104.98 init
SIOCDELRT: No such process
SIOCDELRT: No such device
RTNETLINK answers: No such process
Tue May 15 15:40:01 2012 us=702814 WARNING: Failed running command (--up/--down): external program exited with error status: 2
Tue May 15 15:40:01 2012 us=702866 Exiting

в ручную так же:
[root@waxik ~]# /sbin/ip link set dev tun0 up mtu 1500
Cannot find device "tun0"
[root@waxik ~]# /sbin/ip addr add dev tun0 local 15.238.104.97 peer 15.238.104.98
Cannot find device "tun0"

есть идеи?

С двумя ВПН разобрался, А по этому вопросу что посоветуете? Как прописать правила фаервола и поднять НАТ после поднятия ВПН?
Если все прописать в rc.conf и правила в rc.firewall то так, как интерфейс не поднят, правила не прописывается, НАТ не поднимается. Если поднять руками, после поднятия ВПН, то после разрыва связи, пока НАТ не рестартанешь, ничего не пашет. Можно конечно скрипт написать, но криво это.

я так понял фря ?

создай интерфейс при загрузке системы

/etc/rc.conf
cloned_interfaces="bridge0 tap0 tun0"

названия интерфейсов добавить по вкусу

фря.
Пробовал добавлять как писал и в /etc/defaults/rc.conf
интерфейсы есть, но в фаерволе нет правила divert 8668 ip from any to any via tap0
и НАТ не поднимается.

1) в default лезть не стоить однозначо
2) чтобы работал диверт надо пересобирать ядро, насколько я знаю. С ipfw не работаю, поэтому как там на самом деле хз

divert работает, если после поднятия ВПН его прописать.
Точнее так, после поднятия ВПН достаточно вручную запустить /etc/rc.firewall в которм прописано
ipfw='/sbin/ipfw -q'
${ipfw} -f flush
${ipfw} add divert natd all from any to any via tap0
${ipfw} add allow all from any to any

и /etc/rc.local в которм одна строка natd -n tun0

После пропадания связи надо НАТ перезапускать.