» OpenVPN

Alukardd
А разве нужно в ipfw указывать? у меня через natd сделан проброс до openvpn сервера, а на нем (openvpn сервер) firewall нет, tcpdump выдает что идет посылка icmp пакета до хоста за сервером но ответа не поступает.,
Маршруты на клиенте это вчера на домашнем пк подключенным через 3g модем смотрел, по этому такие и маршруты дурацкие, сегодня\завтра сниму на нормальном пк маршрутизацию.


Код: Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.5 20
10.10.10.0 255.255.255.0 10.10.10.9 10.10.10.10 1
10.10.10.8 255.255.255.252 10.10.10.10 10.10.10.10 30
10.10.10.10 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.10.10.10 10.10.10.10 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
172.19.128.0 255.255.255.0 10.10.10.9 10.10.10.10 1
192.168.1.0 255.255.255.0 192.168.1.5 192.168.1.5 20
192.168.1.5 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.255 255.255.255.255 192.168.1.5 192.168.1.5 20
192.168.55.0 255.255.255.0 192.168.55.1 192.168.55.1 20
192.168.55.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.55.255 255.255.255.255 192.168.55.1 192.168.55.1 20
192.168.241.0 255.255.255.0 192.168.241.1 192.168.241.1 20
192.168.241.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.241.255 255.255.255.255 192.168.241.1 192.168.241.1 20
224.0.0.0 240.0.0.0 10.10.10.10 10.10.10.10 30
224.0.0.0 240.0.0.0 192.168.1.5 192.168.1.5 20
224.0.0.0 240.0.0.0 192.168.55.1 192.168.55.1 20
224.0.0.0 240.0.0.0 192.168.241.1 192.168.241.1 20
255.255.255.255 255.255.255.255 10.10.10.10 10.10.10.10 1
255.255.255.255 255.255.255.255 192.168.1.5 192.168.1.5 1
255.255.255.255 255.255.255.255 192.168.55.1 192.168.55.1 1
255.255.255.255 255.255.255.255 192.168.241.1 192.168.241.1 1
Основной шлюз: 192.168.1.1
===========================================================================
Постоянные маршруты:
Отсутствует

yrkrus
Цитата:

идет посылка icmp пакета до хоста за сервером но ответа не поступает

а openvpn сервер является "шлюзом по умолчанию" для того хоста в локалке, который Вы пытаетесь пинговать?
Если нет, тогда надо писать соответствующие маршруты либо на клиентской машине в локалке, либо на её основном шлюзе. Маршрут до openvpn сети.

Alukardd
Огромное спасибо, прописал недостающий маршрут до openvpn сервера на шлюзе и пакеты пошли=)
Может кому понадобиться:
add route ip/mask (tun0) IP(openvpn сервер)

Кому-нибудь удалось заставить сабж работать на Windows 8? У меня он пишет в лог
Цитата:

Попытка объединить диск с папкой на объединенном диске

Сделал все через Ubuntu все завелось.
Есть только вопрос в ситуации.
У меня 1 подсеть:
192.168.0.0 255.255.255.0 шлюз 192.168.0.1 openvpn сервер 192.168.0.7
Вторая подсеть:
192.168.3.0 255.255.255.0 шлюз 192.168.3.3
Между шлюзами тоннель.
Все прекрасно друг друга видят внутри сети.

Что нужно добавить в конфиг серевера/клиента чтобы я увидел сеть 192.168.3.0 если клиент подключается к сети 192.168.0.0 ?

UPD: Разобрался, неправильно забивал в конфиг сервера параметр route
Хороший мануал по настройке сервера под Ubuntu, разобрался даже я, в принципе не знающий линукса:
http://www.serverubuntu.it/openvpn-bridge-configuration

havoc77
Т.е. у Вас есть OpenVPN сервер на 192.168.0.7, и помимо этого еще соединены не важно каким софтом шлюзы 192.168.0.1 и 192.168.3.3? Таким образом, обычные пользователи из 192.168.0.0/24 могут ходить в сеть 192.168.3.0/24 без каких либо проблем, а VPN клиенты не могут, так?
Тогда надо просто добавить маршруты в настройки OpenVPN сервера:
push "route 192.168.0.0 255.255.255.0"
push "route 192.168.3.0 255.255.255.0"
Ну и не забыть аналогично предыдущему вопрошающему прописать маршрут до OpenVPN сети на всех шлюзах, клиентам которых нужно взаимодействовать с OpenVPN клиентами, иначе ответы будут уходить в пустоту.

Да, именно так у меня реализовано, но строка в вашем виде не будет работать, проверено еще вчера, а вот в таком виде:
push "route 192.168.3.0 255.255.255.0 192.168.0.1"
работает.

И к теме, есть маленький нюанс который делает это все на виртуальной машине, например как я на ESXi, заключается в том, что на сервере надо в свойствах VMWare свича включить транзит "promiscuous IP packets".

havoc77
Цитата:

но строка в вашем виде не будет работать

ибо я Вам сказал, что надо будет маршруты дописать на обоих шлюзах. Видимо на 0.1 у Вас есть этот маршрут до OpenVPN сети, а на 3.3 — нету.

Доброго дня!

Такой вопрос, канал в тунеле дает всего лишь 70-80 кб/c хотя ширина самого канала клиента и сервера намного больше может быть? как победить?

yrkrus
Вы в этом уверены? Для кого-то это получается upload трафик, а он очень часто очень сильно урезан провайдерами. Ну и плюс шифрование часть скокрости отедает, если вообще на машинах достаточно ресурсов на шифрование трафика.
Так же бывает что провайдеры шейперов понхреначат. Так что есть варианты попробовать поменять протокол (хотя понятно, что udp должно быть быстрее) и порт подключения.

Alukardd
Ну да у меня это и получается upload, убрал ради интереса шифрование, 70 кб/с как и было, решил с mtu поиграться тоже безрезультатно. Протокол тоже на tcp менял.Может что то еще есть чего не сделал?

yrkrus
Немного отвлечемся от OpenVPN и отключим его. Давайте просто iperf с одного сервера на другой, и потом наоборот, если есть возможность ("белый" ip).

Alukardd
iperf первый раз работал, но вот что выдало:


Код: D:\>iperf.exe -c 172.19.128.8 -u -p 2001
------------------------------------------------------------
Client connecting to 172.19.128.8, UDP port 2001
Sending 1470 byte datagrams
UDP buffer size: 8.00 KByte (default)
------------------------------------------------------------
[1912] local 10.10.10.14 port 2032 connected with 172.19.128.8 port 2001
[ ID] Interval Transfer Bandwidth
[1912] 0.0-10.0 sec 1.25 MBytes 1.05 Mbits/sec
[1912] WARNING: did not receive ack of last datagram after 10 tries.
[1912] Sent 893 datagrams

yrkrus
1 — Лучше мерить TCP.
2 — Если меряете UDP, то хоть окно поставьте побольше, оно по умолчанию ограничено — -b 100M.

Alukardd
Как интересно получается то:

c сервера vpn

Код: # ./iperf -c 85.173.x.47 -p 5001 -b 100M
WARNING: option -b implies udp testing
------------------------------------------------------------
Client connecting to 85.173.x.47, UDP port 5001
Sending 1470 byte datagrams
UDP buffer size: 9.00 KByte (default)
------------------------------------------------------------
[ 3] local 172.19.128.8 port 40684 connected with 85.173.x.47 port 5001
[ ID] Interval Transfer Bandwidth
[ 3] 0.0-10.0 sec 110 MBytes 92.4 Mbits/sec
[ 3] Sent 78628 datagrams
[ 3] WARNING: did not receive ack of last datagram after 10 tries.

yrkrus
Вы опять UDP между прочим померили.. Вас WARNING не смущает? Опция -b принудительно вкидывает iperf в режим UDP. Что бы мерить TCP должны отсутствовать ключи как -u так и -b.

Alukardd
Что то похожее на правду, единственно в тунеле мерил, без тунеля не коннектиться, файрвол нужно ковырять,
на сервере

Код: # ./iperf -s
------------------------------------------------------------
Server listening on TCP port 5001
TCP window size: 64.0 KByte (default)
------------------------------------------------------------
[ 4] local 172.19.128.8 port 5001 connected with 10.10.10.6 port 2146
[ ID] Interval Transfer Bandwidth
[ 4] 0.0-10.0 sec 1.28 MBytes 1.08 Mbits/sec

yrkrus
И так — iperf показал в туннеле ~1Mbit/s, вместо тех 80Кбит/с из-за которых весь сыр-бор и начался? Вопрос исчерпан? Или я чего-то не так понял?
Откуда брались изначальные цифры?

Alukardd

Цитата:

Откуда брались изначальные цифры?

глупым копирывание с farа, так что это максимум на что я могу расчитывать?

yrkrus
Цитата:

так что это максимум на что я могу рассчитывать?

это Вы про 1Мбит или про 80Кбит? А какая реально-то скорость, без VPN?

Alukardd

Цитата:

это Вы про 1Мбит или про 80Кбит?

про закачку на сервер в 80 Кбит

Цитата:

А какая реально-то скорость, без VPN?

реальная на сервере 11 мб download\upload
на тестовом клиенте 10мб download\upload

yrkrus
80 это совсем печально, да и 1МБит тоже так себе, если реально там есть 10...
Можно проверить и без iperf, например через dd if=/dev/zero bs=1M count=50 | nc server 1234 и nc -lp 1234.
Посмотрите загрузку проца и винта в моменты нагрузки OpenVPN канала.

Alukardd
чет ругается фря

Код: # dd if=/dev/zero bs=1M count=50 | nc server 1234 nc -lp 1234
nc: cannot use -p and -l

yrkrus
во-первых, там между командами И стоит. Одну на одной машине, другую на другой, слово "сервер" заменить на ip удалённой машины.
во-вторых, синтаксис команд от GNU/Linux к FreeBSD может и отличается, так что откройте man nc и гляньте как там правильно (-l это слушать, т.е. сервер, а -p это на каком порту).

Всем привет!

Подскажите пожалуйста:
Как заставить Windows OpenVPN клиента
брать текущие учетные данные Windows пользователя?

П.С.
Домен, задача заставить брать текущую
доменную учетку, чтоб пользователь не
вводил повторно логин и пароль.

trikachuka
Вообще OpenVPN принято использовать с аутентификацией по сертификату. По паролю доступ можно настроить, но не более.
Со стороны сервера проблем нету, там у Вас пароль проверяет самописный скрипт, так что он может делать всё что угодно, а вот с клиентом у Вас проблемы — он может либо запрашивать учётку у пользователя, либо брать её из plaintext файла, так что NTLM'ом тут не пахнет.

Цитата:

Вообще OpenVPN принято использовать с аутентификацией по сертификату

это не требуется, требуется брать учетку доменную
и под ней авторизироваться, шифрование тоже не нужно,
просто авторизация в закрытый сегмент под доменной учеткой,
смысл в том, чтобы через AD (Windows Server 2008) управлять
доступами в локальной сети.
NAS это MikroTik RB1100AHx2.

trikachuka
Цитата:

шифрование тоже не нужно,
просто авторизация в закрытый сегмент

сегмент перестаёт быть "закрытым", если трафик к нему не шифруется

Вы кажется выцепили из моего ответа самую маловажную фразу и дали на неё ответ... Исчо раз — на стороне OpenVPN сервера изголяться можно весьма и весьма сильно, т.к. проверка логина/пароля(или их хеша) идёт самостоятельно через скрипты, а вот клиент придётся пилить или искать тех кто уже запилил это до Вас.

Цитата:

Исчо раз — на стороне OpenVPN сервера изголяться можно весьма и весьма сильно, т.к. проверка логина/пароля(или их хеша) идёт самостоятельно через скрипты

Используется маршрутизатор MikroTik RB1100AHx2,
нет возможности как на линуксах OpenVPN server настроить.


Вообще сейчас нужно OpenVPN через радиус сделать
(не поддерживается возможно эта фича),
чтоб учетки из АД брать для VPN клиентов.




Цитата:

сегмент перестаёт быть "закрытым", если трафик к нему не шифруется

шифруется другими средствами.

Добрый времени суток! Подскажите у меня не работает статус в GUI, связь есть пинг стабильный, а знак в трее красный, делаешь реконект становиться желтым, затем зеленый и начинаются траблы с переконектом. Качал из шапки, версии openvpn 2.2.2 а GUI 1.0.3. У кого нибудь статус нормально работает ? Спасибо.