» OpenVPN

BlackXSun
В режиме tun должно пинговаться все.
Если за клиентом сетка, то должна быть директива iroute:

Цитата:

# EXAMPLE: Suppose the client
# having the certificate common name "Thelonious"
# also has a small subnet behind his connecting
# machine, such as 192.168.40.128/255.255.255.248.
# First, uncomment out these lines:
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
# Then create a file ccd/Thelonious with this line:
# iroute 192.168.40.128 255.255.255.248
# This will allow Thelonious' private subnet to
# access the VPN. This example will only work
# if you are routing, not bridging, i.e. you are
# using "dev tun" and "server" directives.

rain87

Цитата:

а пробовал менять ролями сервера? может на сервере 2 недонастроена маршрутизация?

Пробывал. Один фг. Да не в маршрутизации дело (одним местом чувствую).

valhalla
Огромное спасибо. Еще не пробывал, но думаю все заработает.

в общем такая проблема. после переключения сети на получение инета по опенвпну юзеры стали жаловаться на следующее:

кто-то создаёт у себя игровой сервер (контра, варкрафт, етс)
другие его не видят - т.е. в игровом клиенте просто не видят локального сервера.

наверняка если указать ИП сервера явно, то всё будет работать, но юзеры на такое неспособны

как мне кажется, это связано с тем, что игра рассылает бродкаст сообщения в опенвпн, ответа оттуда не получает, и по локальной сети почему-то не рассылает бродкастов
в общем, это только домыслы, что происходит на самом деле не знаю

какие есть идеи?

rain87

Цитата:

в общем такая проблема. после переключения сети на получение инета по опенвпну юзеры стали жаловаться на следующее:

кто-то создаёт у себя игровой сервер (контра, варкрафт, етс)
другие его не видят - т.е. в игровом клиенте просто не видят локального сервера.

наверняка если указать ИП сервера явно, то всё будет работать, но юзеры на такое неспособны

как мне кажется, это связано с тем, что игра рассылает бродкаст сообщения в опенвпн, ответа оттуда не получает, и по локальной сети почему-то не рассылает бродкастов
в общем, это только домыслы, что происходит на самом деле не знаю

какие есть идеи?

пропиши в конфиге ВПН сервера опцию client-to-client
и будет тебе щастье...
А ваще внимательней читаем описалово к ОпенВПН на openvpn.net

fantome
хм. та доки то я читал, но не подумал о таком вообще

я думал, как то на клиентских машинах исключить бродкасты в опенвпн, чтоб они только по локальной сети могли играть

но в принципе наверное на сервак нагрузки большой от этого не будет. попробую, спасибо

rain87

Цитата:

как мне кажется, это связано с тем, что игра рассылает бродкаст сообщения в опенвпн, ответа оттуда не получает, и по локальной сети почему-то не рассылает бродкастов

если ты про это, то да, при использовании опции redirect-gateway у тебя броадкасты будут валится на сервер ОаенВПН, но сервак их не будет транслировать так как ему это запрещено без опции client-to-client.

при использовании же опции client-to-client клиенты видят друг друга и сервер ОпенВПН участвует только при инициализации коннекта между двумя клиентами(при этом вырабатывается сеансовый ключ, по которому клиенты будут шифровать траф между собой), дальше клиенты обмениваются трафом напрямую не задействуя ВПН сервер(через него только траф идет).

Вот типа и всё... Ежель что непонятно - спрашивай. На что смогу - отвечу...

fantome
ух ты. т.е. после инициализации этого коннекта клиентские демоны будут общаться между собой, мимо сервера? это просто гут!

Добавлено:
или весь траф идёт всё таки через сервер? тогда в чём выражается
Цитата:

не задействуя ВПН сервер

?

Можно ли задавать статические айпишники клиентам в режиме работы bridged-ethernet?

rain87

Цитата:

ух ты. т.е. после инициализации этого коннекта клиентские демоны будут общаться между собой, мимо сервера? это просто гут!

Интересно, каким это макаром? Если оба, например, за NAT находятся.

Добавлено:
fantome

Цитата:

при использовании же опции client-to-client клиенты видят друг друга и сервер ОпенВПН участвует только при инициализации коннекта между двумя клиентами(при этом вырабатывается сеансовый ключ, по которому клиенты будут шифровать траф между собой), дальше клиенты обмениваются трафом напрямую не задействуя ВПН сервер(через него только траф идет).

Я отрицаю сие утверждение. Функция client-to-client дает возможность видеть клиентам друг друга. Не более.

valhalla
Цитата:

Интересно, каким это макаром? Если оба, например, за NAT находятся.

ну ясно что если за натами, то никак... не подумал просто, у меня то локальная сеть, все друг друга напрямую видят

День добрый.
Использую OpenVPN совместно с NAT виндовой службы маршрутизации (RRAS) в качестве внутреннего интерефейса для проброса интернета. Все работает, но для нормальной работы необходимо строго соблюдать порядок запуска служб - сначала служба OpenVPN, за ней RRAS. Как это наиболее правильно автоматизировать?
Спасибо.

Цитата:

Как это наиболее правильно автоматизировать?

Поставить службе RRAS в "служба зависит от" OpenVPN, тогда RRAS будет ждать запуска Ovpn, если речь о том, чтобы службы сами правильно стартовали после перезагрузки.

rain87

Цитата:

Добавлено:
или весь траф идёт всё таки через сервер? тогда в чём выражается
Цитата:
не задействуя ВПН сервер
?

возможно траф идет через сервер, но сервер его не перешифровывает, а просто передает от клиента к клиенту...

valhalla

Цитата:

Интересно, каким это макаром? Если оба, например, за NAT находятся.

а что нат??? нат просто выполняет свою функцию и не более того...

fantome
Цитата:

а что нат??? нат просто выполняет свою функцию и не более того...

это valhalla обращался ко мне, в ответ на то что клиенты напрямую друг с другом не смогут общаться, только через сервер. они банально не смогут друг с другом соединится

rain87

Цитата:

fantome
Цитата:
а что нат??? нат просто выполняет свою функцию и не более того...
это valhalla обращался ко мне, в ответ на то что клиенты напрямую друг с другом не смогут общаться, только через сервер. они банально не смогут друг с другом соединится

да я про то, что на первичном этапе сервер ВПН, имеющий реальный IP, может учавствовать в создании соединения между дмумя пользователями, даже если они за натом находяться....

Точно сказать, что там происходит не могу - так как этим надо заниматься плотно и хотя б проснифить с каждой стороны + реально надо двух клиентов за натом...

ну напрямую то 2 натовых клиента не смогут общатся. как минимум трафик будет идти через сервер

Народ а можно подробнее про подключение КПК???
А то с компами вроде всё понятно но тут на фирме КПК появились.

Ruza
а есть разве порт под windows mobile? насколько я вижу, только винда и юних

rain87
OpenVPN for PocketPC http://ovpnppc.ziggurat29.com/ovpnppc-main.htm

rain87
Есть - на форумах пишут что возможно, но нигде конкретно не написано как.

fire667
Ага спасибо - посмотрим.

Народ, а каким образом можно ключи блокировать?
У меня Alt Linux Lite 4.0, указано
client-config-dir
где лежат файлы с адресами для клиентов. Если файла с именем клиента нет, то ему выдается первый из сетки 10.8.0.0/255.255.0.0.
openvpn 2.0.9.

valhalla
Если нужно блокировать пользователя, то в файле, имя которого равно CN клиента можно указать disable
Если нужно блокировать сертификат, то в openssl есть возможность revoke

Цитата:

Если файла с именем клиента нет, то ему выдается первый из сетки 10.8.0.0/255.255.0.0.

Это нормально. ifconfig можно заранее определить для клиентов.

Мне потребовалось реорганизовать схему виртуальной сети.
На офисном шлюзе стоит клиент openvpn, который коннектиться к openvpn-серверу. Нужно следующее - удаленный клиент коннектиться к офисному шлюзу и попадает на сервер. Роли участников (клиент и сервер) мне менять нельзя, удаленные пользователи не должны знать IP сервера и коннектиться через офис. Что в этом случае лучше сделать? Может openvpn может как-то в режиме шлюза работать?
Или остается поднять на офисной машине и клиент и сервер - клиент будут на удаленный сервер коннектиться, а сервер будет удаленных пользователей принимать и перекидывать на удаленный сервер?

Помогите с настройкой OpenVPN плз.
Проблема в следующем.Есть два офиса.в каждом по компу.На одном компе(192.168.0.1) находятся базы 1С.У обоих компов есть выход в Интернет.На обоих компах стоят MS Windows XP
Задача.
Настроить второй комп (192.168.0.2) так,чтобы опреатор имел доступ к базам 1С(на 1 компе).
Я вижу решение этой проблемы в том,чтобы поднять на машине 1(192.168.0.1)сервер OpenVPN а на компе 2(192.168.0.2) запустить клиента.
Но я никогда не имел дела с VPN.Помогите заранее сконфигурировать файлы конфигурации и сертификаты...
Заранее БИГ СЕНКС.

M1chA
Конфигурирование доходчиво описано на сайте openvpn.
Конфиги.
Генерация ключей.
В первом офисе, где у тебя будет vpn-сервер, нужно на внешнем IP-адресер пробросить на 192.168.0.1 порт openvpn (по умолчанию 1194).

Кстати, тихо и незаметно вышла версия с поддержкой Vista.

Цитата:

OpenVPN 2.1 release
* Windows Vista Support
* GUI packaged in Windows installer
* HTTPS Port sharing

Цитата:

Есть два офиса.в каждом по компу.На одном компе(192.168.0.1) находятся базы 1С.У обоих компов есть выход в Интернет.

Рекомендую сильно подумать, прежде чем пользовать 1С в такой конфигурации. Она очень чувствительна к скорости сетки. Как результат получите очень медленную работу и периодическую поломку индексов из-за обрывов. Плюс забитый канал.

M1chA
В таком случае лучше организовать сервер терминалов на одно из компутеров, а заходить в этот сервер как раз посредством vpn соединения

2valhalla
Мне бы по русски инструкцию....

2rakis
Мне надо всего-то на 1-1,5месяца все это дело.потом сервер перенесется в кабинет к менеджеру и все будет тип-топ.

2fire667
Никогда не слышал про то,чтобы сервер терминалов поднимали на ХР...

M1chA
Поиск рулит


Цитата:

Мне надо всего-то на 1-1,5месяца все это дело.потом сервер перенесется в кабинет к менеджеру и все будет тип-топ.

Полтора месяца проблем, но там вроде сжатие есть...


Цитата:

Никогда не слышал про то,чтобы сервер терминалов поднимали на ХР...

Ну почему при желании можно.... В варезнике поищи.

2Ruza
Спасибо!Посмотрю.