» OpenVPN

korn3r

Цитата:

вы имеете в виду что днска используется то локальная, то сервера?

Ну да... На whoer определяется то локальная, то серверная. Я хочу чтобы была только серверная.

Цитата:

так пропишите жестко только серверную

Как, где?

[more] Други, помогите!
Пытаюсь создать простейшую конфигурацию – static-key - 1 сервер + 1 клиент, использую openvpn-2.2.2. На компе с WinXP и реальным IP запускаю openVPN-сервер; на компе с Win7 и серым IP запускаю VPN-клиент; на обеих машинах установлен Outpost Security, в котором VPN-сеть обозначена доверенной. VPN-туннель создается, клиент подключается к серверу, машины пингуются в обе стороны, но в сетевом окружении друг друга не видят. Если на компе с Win7 в адресной строке проводника прописать имя компа с WinXP, то он после глубокой задумчивости начинает видеть соседнюю машину, а с компа с WinXP соседнюю машину через VPN-туннель увидеть никак не удается, а мне именно это и нужно! При такой же конфигурации файерволов на компах с помощью TeamViewer VPN-туннель поднимается с полпинка, и машины друг друга видят в сетевом окружении.
Переконопатил темы о невидимости компов в сетевом окружении, в настройках сетевой карты, которая смотрит в Интернет, выключил NetBIOS по TCP/IP; ничего не помогло.

Лог OpenVPN-сервера:

Fri Jun 01 13:01:40 2012 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Fri Jun 01 13:01:40 2012 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Fri Jun 01 13:01:40 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Jun 01 13:01:40 2012 TAP-WIN32 device [OpenVPN] opened: \\.\Global\{7B7BE324-DC61-4D52-B92F-1F3A3514586E}.tap
Fri Jun 01 13:01:40 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.10.1.1/255.255.255.252 on interface {7B7BE324-DC61-4D52-B92F-1F3A3514586E} [DHCP-serv: 10.10.1.2, lease-time: 31536000]
Fri Jun 01 13:01:40 2012 UDPv4 link local (bound): [undef]:1194
Fri Jun 01 13:01:40 2012 UDPv4 link remote: [undef]
Fri Jun 01 13:02:10 2012 Peer Connection Initiated with 213.130.28.105:1194
Fri Jun 01 13:02:16 2012 Initialization Sequence Completed

route print сервера с включенным OpenVPN:

http://orange-pic.net/images/2012/06/85p5e6sh0e.jpg

Заранее благодарен, если кто-то потратит свое время на решение моего вопроса.
[/more]

Да нет инет подключен)!но чёт не пойму почему не конектится((

Цитата:

Приветствую
 
Использую OpenVPN Portable
Всё соединяется хорошо, но как только скорость в тоннеле увеличивается свыше мегабита, происходят постоянные дисконнекты, просто работать возможно, но скачивать нет.
Уже и с mtu пробовал эксперементировать, не помогает.
 
Когда соединяюсь с помощью установленного клиента OpenVpn v.2.2.2, то дисконнекты не происходят и тоннель держит большую скорость, свыше мегабита спокойно, 30 - 40 мегабит.
 
На сервере используется  
FreeBSD 9.0 Release + OpenVPN server (протокол UDP, интерфейс TAP, mtu 1400, авторизация по сертификатам)
На клиенте Windows 7 Professional x86/64
 
У кого-то возникала аналогичная ситуация ?
Посоветуйте пожалуйста, как решить.

перейдите на TCP.

З.Ы. рекомендую перейти на порт 443-ий - тогда через любую проксю пролезет.

tankistua
Благодарю за совет!
Переход на TCP кардинально поменял ситуацию
Дисконнекты в портабельной OpenVPN исчезли, скорость сразу возросла и плюс стала намного стабильнее, без резких скачков.
443 порт взял на заметку

дело в том, что по-умолчанию на сквиде 1194 закрыт и на него просто так не законнектишься, а трафик опенвпн-а ничем не отличается от обычного https - построено на том же опенссл-е, следовательно работает без вопросов. Конечно сквид немного тормозов добавляет, но главное что работает.

З.Ы. про tcp где-то на форуме самого openvpn-а и вычитал. Там получается так - если использовать бридж - то лучше tcp, если использовать роутинг - то лучше udp. Хотя бриджинг в основном используется для подключения самостоятельных клиентов, а роутинг - для объединения сетей.

вопрос по роутингу, как правильнее сделать следующее:
весь траффик кроме 172.16/12 идет на опен впн.
ничего в голову не приходит, кроме как жестко прописать 172.16/12 на клиенте и push "redirect-gateway def1" на сервере
стоило спросить, нашел сам: push "route 172.16.0.0 255.240.0.0 net_gateway"

A1exSun,
я, честно говоря, так и не понял проблему

есть 2 удаленных сервера
сервер овпн и клиент
клиент находится за натом, но есть проброс 22 порта (т.е по SSH я подключаюсь)
когда клиент получает с сервера редирект шлюза, SSH отваливается.
хотя прописан маршрут "192.168.0.0 255.255.0.0 net_gateway"
при этом из локалки (192.168.2.0) на сервер по SSH пускает, а вот по проброшенному порту нет
пробовал прописать "внешний_ип_клиента 255.255.255.255 net_gateway" - не помогает

Доброго времени суток!
Дома стоит машина(бегает на Win 7) за роутером D-Link DIR 320, нужно поднять OpenVPN сервер для роздачи интернета на робочие место(другая сеть в которой выход в интернет через прокси). Можно ли это зделать, если да попрошу объяснить как это зделать?

[more] Здравствуйте. Собственно картина такова:
Был поднят OpenVPN Server (версия 2.1.1) на ОС Windows Server 2003. Так вот, проблема в том, что при подключении клиента к серверу, клиент получает доступ только в локальную сеть данного OpenVPN. А доступ в интернет не имеет и ещё один момент, как сделать (настроить), чтобы к одному ключу могли подключится скажем 10 людей и у каждых был динамический ip (типо 10.8.0.*)

Config серверного OpenVPN:

port 1194
proto tcp
dev tun
ca "C:/OpenVPN/ssl/ca.crt"
cert "C:/OpenVPN/ssl/OpenVPN.crt"
key "C:/OpenVPN/ssl/OpenVPN.key"
dh "C:/OpenVPN/ssl/dh1024.pem"
server 10.8.0.0 255.255.255.0
keepalive 10 120
verb 3
comp-lzo
client-to-client
route-method exe
persist-key
persist-tun
status openvpn-status.log

команда route print (сервера)

C:\Documents and Settings\Администратор>route print

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 ff 38 2c 74 7c ...... TAP-Win32 Adapter V9
0x10004 ...00 15 5d 89 0b 0c ...... Microsoft Virtual Machine Bus Network Adapte
r
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.254 192.168.1.3 10
10.8.0.0 255.255.255.252 10.8.0.1 10.8.0.1 30
10.8.0.0 255.255.255.0 10.8.0.2 10.8.0.1 1
10.8.0.1 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.8.0.1 10.8.0.1 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.3 192.168.1.3 10
192.168.1.3 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.1.255 255.255.255.255 192.168.1.3 192.168.1.3 10
224.0.0.0 240.0.0.0 10.8.0.1 10.8.0.1 30
224.0.0.0 240.0.0.0 192.168.1.3 192.168.1.3 10
255.255.255.255 255.255.255.255 10.8.0.1 10.8.0.1 1
255.255.255.255 255.255.255.255 192.168.1.3 192.168.1.3 1
Основной шлюз: 192.168.1.254
===========================================================================
Постоянные маршруты:
Отсутствует

Config клиента OpenVPN на ОС Windows 7

client
proto tcp
dev tun
remote 178.124.137.33 1194
resolv-retry infinite
persist-key
persist-tun
ca ca.crt
cert admin.crt
key admin.key
comp-lzo
verb 3

Буду весьма благодарен $ за вашу помощь!
[/more]

# If enabled, this directive will configure
# all clients to redirect their default
# network gateway through the VPN, causing
# all IP traffic such as web browsing and
# and DNS lookups to go through the VPN
# (The OpenVPN server machine may need to NAT
# or bridge the TUN/TAP interface to the internet
# in order for this to work properly).
;push "redirect-gateway def1 bypass-dhcp"

Здравствуйте.
Возникла необходимость в обустройстве такой сети:
Сервер (server 2003) находится в сети 192.168.0.0
офис в сети 192.168.2.0
Офис мобильный, т.е. сотрудники то приходят, то уходят, работают как в офисе так и вне его.
Нужно настроить openvpn так, чтобы на сервере был сервер, а у каждого сотрудника свой клиент openvpn.
Попытался так сделать, но из офиса подключается не более 2х клиентов, остальные виснут.
Что-то похоже я делаю не так.
Возможно ли так вообще сделать и куда смотреть?
Спасибо заранее за помощь.

Всем доброго дня.

Подскажите как на windows 2003 поставить клиента OpenVPN без GUI. и так его настроить что бы он само подключался к серверу OpenVPN (даже после перезагрузки, без участия пользователя). Сервер на FreeBSD (но я думаю это никакого значения не имеет.


PS: Сгенерировал нужные ключи для серера и клиента. Делал по инструкции где еще требовалось к ключам вводить пароль. (но так же видел, что есть вариант без ключей). Я подозреваю, что мне как раз второй вариант нужен. и эти ключи надо кинуть в папку с установленной программой OpenVPN (на Windows 2003). а как дальше быть ?

forwindowssites GUI - это всего лишь графическая обвертка для openvpn.exe, и OpenVPN без него прекрасно работает. Изучай опции командной строки. Ссылка на документацию в шапке.
Сертификаты можно поместить непосредственно в файл конфигурации клиента.

forwindowssites
OpenVPN при установке создаёт службу. Так что надо просто поставить ей тип запуска "автоматически" и все, она будет схавывать конфиг по умолчанию(C:\Program Files\OpenVPN\config\openvpn.ovpn) и прекрасно работать.

Подскажите пожалуйста с проблемой.. Поднял OpenVPN-сервер (на FreeBSD) который находится за шлюзом во внутренней сети. OpenVPN-сервер это отдельная машина, а DNS и WINS - крутятся на windows 2003. Сделал все настройки, но удаленные клиенты по dns не видят внутреннюю сеть ( по ip-все отлично). FreeBSD отлично резолвит все внутренние имена.


На FreeBSD стоит PF но на нем все открыто.

nat on rl0 from rl0 to any -> rl0
pass in all
pass out all


В файле конфигураций openvpn-серера прописаны локальные ДНС

......
dev tun0
......
push "dhcp-options DNS 192.168.1.201"
push "dhcp-options WINS 192.168.1.201"
push "dhcp-option DOMAIN domain.local"
......

но на клиенте (win7) ipconfig /all в настройках выдает только DHCP сервер. по настройкам DNS и WINS ничего не выдает.

push "dhcp-option DNS 192.168.1.201"
push "dhcp-option WINS 192.168.1.201"
push "dhcp-option DOMAIN domain.local"

2 tankistua

Не обратил внимание. спасибо

Добрый день! такая вот ситуация: Две сети связаны OpenVPN. Рабочая сеть 192.168.0.0, домашняя 192.168.1.0. В домашней сети 192.168.1.1 - adsl роутер, на котором 666 порт проброшен на 192.168.1.7:666 где висит OpenVPN
сервер. На работе 192.168.0.1:3128 - squid. 192.168.0.242 - моя машина, с которой все и начинается.

Конфигурация сервера на 192.168.1.7(дом):
dev tap
proto tcp-server
port 666
ifconfig 172.16.0.1 255.255.255.0
secret key.txt
comp-lzo
Конфигурация клиента на 192.168.0.242(работа):
remote XXXX.no-ip.org 666
proto tcp-client
dev tap
ifconfig 172.16.0.2 255.255.255.0
secret key.txt
comp-lzo

В домашней сети на 192.168.1.7 работает no-ip-клиент, чтобы добраться до всего этого можно было.
Итак VPN-клиент с работы через squid соединяется проходит роутер и устанавливается соединение. Все ОК.
из 192.168.0.242(на работе)(172.16.0.2) пингуется домашний vpn-интерфейс 172.16.0.1. Обратно тоже пинг ходит.
Далее ставлю сниффер дома на VPN-интерфейс и на работе. Делаю с машины на работе 192.168.0.242 пинг 192.168.1.7 - сниффер на домашнем VPN ничего не показывает, прописываю на работе (192.168.0.242)
route add 192.168.1.0 mask 255.255.255.0 172.16.0.1
опять делаю с работы(192.168.0.242) ping 192.168.1.7 - сниффер на домашнем VPN показывает что пакеты приходят для
192.168.1.7, ответов нет. Попробовал прописать на дромашнем 192.168.1.7
route add 192.168.1.0 mask 255.255.255.0 192.168.1.7 - говорит что такое правило уже есть, что логично.. route print
подтвердил. в обратном направлении тоже самое.. На домашнем прописал обратный маршрут
route add 192.168.0.0 mask 255.255.255.0 172.16.0.2 - не помогло.
Собсно вопрос, что я недоделал или поломал и где грабли.. Windows FireWall отключен в обоих местах. Спасибо.
После установки VPN соединения на 192.168.0.242: IPv4 таблица маршрута
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 5.0.0.1 5.83.211.234 9256
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.242 276
5.0.0.0 255.0.0.0 On-link 5.83.211.234 9256
5.83.211.234 255.255.255.255 On-link 5.83.211.234 9256
5.255.255.255 255.255.255.255 On-link 5.83.211.234 9256
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.0.0 255.255.255.0 On-link 172.16.0.2 286
172.16.0.2 255.255.255.255 On-link 172.16.0.2 286
172.16.0.255 255.255.255.255 On-link 172.16.0.2 286
192.168.0.0 255.255.255.0 Оn-link 192.168.0.242 276
192.168.0.242 255.255.255.255 On-link 192.168.0.242 276
192.168.0.255 255.255.255.255 On-link 192.168.0.242 276
192.168.1.0 255.255.255.0 172.16.0.1 172.16.0.2 31
192.168.83.0 255.255.255.0 On-link 192.168.83.1 276
192.168.83.1 255.255.255.255 On-link 192.168.83.1 276
192.168.83.255 255.255.255.255 On-link 192.168.83.1 276
192.168.189.0 255.255.255.0 On-link 192.168.189.1 276
192.168.189.1 255.255.255.255 On-link 192.168.189.1 276
192.168.189.255 255.255.255.255 On-link 192.168.189.1 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 5.83.211.234 9256
224.0.0.0 240.0.0.0 On-link 192.168.83.1 276
224.0.0.0 240.0.0.0 On-link 192.168.189.1 276
224.0.0.0 240.0.0.0 On-link 172.16.0.2 286
224.0.0.0 240.0.0.0 On-link 192.168.0.242 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 5.83.211.234 9256
255.255.255.255 255.255.255.255 On-link 192.168.83.1 276
255.255.255.255 255.255.255.255 On-link 192.168.189.1 276
255.255.255.255 255.255.255.255 On-link 172.16.0.2 286
255.255.255.255 255.255.255.255 On-link 192.168.0.242 276

После установки VPN соединения на 192.168.1.7: IPv4 таблица маршрута
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.7 20
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.0.0 255.255.255.0 On-link 172.16.0.1 286
172.16.0.1 255.255.255.255 On-link 172.16.0.1 286
172.16.0.255 255.255.255.255 On-link 172.16.0.1 286
192.168.0.0 255.255.255.0 172.16.0.2 172.16.0.1 31
192.168.1.0 255.255.255.0 On-link 192.168.1.7 276
192.168.1.7 255.255.255.255 On-link 192.168.1.7 276
192.168.1.255 255.255.255.255 On-link 192.168.1.7 276
192.168.56.0 255.255.255.0 On-link 192.168.56.1 276
192.168.56.1 255.255.255.255 On-link 192.168.56.1 276
192.168.56.255 255.255.255.255 On-link 192.168.56.1 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.56.1 276
224.0.0.0 240.0.0.0 On-link 192.168.1.7 276
224.0.0.0 240.0.0.0 On-link 172.16.0.1 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.56.1 276
255.255.255.255 255.255.255.255 On-link 192.168.1.7 276
255.255.255.255 255.255.255.255 On-link 172.16.0.1 286
===========================================================================

Vertuhay
Цитата:

через squid соединяется

ну это вряд ли, он скорее просто натится мимо кальмара.

Что касается Вашей проблему то надо на сервере описать client-config-dir /full/path/to/ccd и создать там соответсвующий файл для клиента с описанием iroute. Должно хватить только этого. Если будет мало то надо будет на в серверном конфиге route прописать.

Всё дело в том, что маршрутизация в системе и той которой оперирует OpenVPN отличается и вынуждено дублируется настройками.

Alukardd
openvpn отлично работает через сквид - я его поэтому и пользую, что он работает везде, где работает https . Для прокси это обычный https трафик

tankistua
Спасибо) Я знаю как работает CONNECT в squid и что из себя представляет OpenVPN трафик, но я не заметил упоминания о том, что трафик идущий на dport 666 должен редиректится на кальмара, посему его упоминание в схеме излишне.

Alukardd
tankistua
Да, я не написал что OpenVPN работает через проксю на работе, но это так.. При соединении я ввожу учетные данные для прокси.
AlukarddЕсли можно немного подробней о маршрутизации для OpenVPN, так как мне всеже неясно почему не работает системная маршрутизация. Для ясности на обоих машинах Win 7. Спасибо.

Vertuhay
Что там винда, я и так уже понял.
Ну собственно всё просто. OpenVPN использует свою внутреннюю маршрутизацию. Помимо этого ему нужна и общесистемная что бы пакеты попадали в его виртуальную сеть.
Подробности как всегда на официальном сайте.

Как объединить две open vpn сети?

руками

А чуть подробнее? Гугл показывает как объединить лок сети через нет или неск компов через нет. А именно две сети open vpn? Куда копать? Серваки обеих сетей на дебиане.

FiftySixty
temporary hidden

вот читаю я все это и понимаю, что народ вообще мало что понимает из названия VPN... а жаль.
Ну а если сравнить с чем-нибудь, то может станет понятнее...
Вот к примеру сравним наш VPN со "шлангом", подключенным к бочке с пивом. И все сразу станет понятнее.
Тогда бочка - это сервер VPN, Пиво - ресурс к которому мы хотим получить доступ.
Краник на бочке - это наши фаерволы, правила маршрутизации, которые нужно правильно настроить.

для объединения сетей (бочек с пивом) - нужно чтобы на каждой бочке был открыт краник (т.е. настроена маршрутизация, прописаны нужные разрешения фаерволов).
В нашем случае не важно кто будет Большой бочкой (сервером).
Также Большая бочка может открывать чужой краник (передавать настройки маршрутизации клиенту), но только при условии, что пользователь (от имени которого работает клиент) имеет права настраивать маршрутизацию (для виндов - это, или права администратора, или права менеджера настройки сети.)

у windows 7 по-умолчанию, даже имея права локального администратора, требуется подтвердить свои желания дополнительно. (этакий сторож у нашего краника не позволяет нам его повернуть не предъявив свой пропуск)
По-этому и GUI нужно запускать изначально с повышенными привилегиями.

Ну незнаю как вам, а мне не нравится, когда у пользователя, есть какие либо права в системе(вдруг он к чужой бочке подключится и будет пиво чужое отливать или наоборот мое пиво в домашнюю бочку сливать), поэтому я для запуска приложений требующих повышения повышения использую модифицированный ярлык созданный программой adminlink (была бесплатной, автор писал, что подумает над GNU лицензией)

admin931
Вся речь была ради последней ссылки? Ну тогда вброшу свои 5 копеек к ней, я использовал для таких целей batch+cpau+bat to exe converter.