» OpenVPN

trikachuka
Клиенты будут вводить пароль руками? Тогда проблем ни каких. Хз что там у вас и как с Mikrotik'ом, я могу опираться только на свои знания о работе OpenVPN в UNIX-like ОС. И в наибольшей степени в дистрибутивах Debian. Там кстати есть пакет openvp-auth-ldap, или можно проверять учётки через PAM, а тот в свою очередь отправить за паролями через Radius. Но всё это вряд ли касается Mikrotik'а...

spbalx
Да вроде пару месяцев назад стабильно работал, я на него не часто смотрел, т.к. в скором времени стал управлять им через службу. А так работники не жалуются (человек 6-7 стабильно из дома по VPN работают), думаю если бы значок висел красным они бы меня давно уже достали бы.

spbalx
Если клиент запущен как служба, так и будет. А зачем данный Гуй нужен Вам? Оперативно управлять конектом OVPN? Служба запущена, работает, чего ее трогать?

andrejvb
Ну как бы, если это клиент на виндовом серваке в филиале крутится то да - это служба должна быть, а если это как в моём случае преимущественно пользователи, то у них это удобнее через GUI - подключился, поработал, отключился.

Alukardd, andrejvb
Спасибо за ответы и комментарии, долго курил сегодня мануалы по OVPN. У меня не получалось у клиента добиться чтоб ГУИ-шка работала(статус зеленый), разобрался потом, оказалось пытался повесить на серваке службу на занятый порт, методом проб и ошибок нашел нужный мне порт. Да и вот, что мне еще подсказали, я на стенде тестовом собрал, два ноута в одной сети, коллеги подсказали, что так нехорошо нужно шоб НАТ обязательно был. Поставил на серв удаленный вроде прижилось, буду наблюдать. Всем спасибо и удачи.

Сорри за глупый вопрос, но я так и не понял с лицензированием.
Если сервер установлен на Ubuntu из репазитория, он имеет ограничение в количество подключений (как готовые решения имеющие только 2 тунеля) или можно делать любое количество ?

spbalx
Цитата:

Да и вот, что мне еще подсказали

если общаться по виртуальным адресам OpenVPN, то проблем быть не должно.

havoc77
Нету ни каких ограничений, кроме физических ресурсов сервера. Покажите мне кстати хоть примеры этих "готовых решений" с ограничениями?

Alukardd
http://openvpn.net/index.php/access-server/download-openvpn-as-vm.html
да вообщем любой из готовых серверов.
Но погуглив, да с вашей помощью я настроил сервер без готовых решений с минимальными знаниями *nix, без лишних наворотов, но мне для моих целей достаточно.

havoc77
Ну решение в виртуалке, ну HOWTO написан для виндовых виртуалок, но ограничения-то откуда берутся? Мб они там в конфиге прописывают max-clients 2, я не вижу просто вариантов, ставить мне это добро некуда.

Цитата:

я настроил сервер без готовых решений с минимальными знаниями

Да, это и хорошо и плохо. С одной стороны появляется возможность настроить какой-то сервис не вникая в процесс, а с другой появляется куча "админов" с заявами : "да я вам всё что хотите за пару дней настрою!", при полном отсутствии понимания происходящего. Можно правда на это и с другой стороны посмотреть — например мне проще поднять что-то новое для меня по howto, а потом на только что созданном образце изучать новый для меня сервис.

Alukardd
Добрый день! Извиняюсь за беспокойство и недалекость, но хочу все таки уточнить.
Т.е сервер и клиент ОпенВПН могут находиться в одной сети (например 192.168.1.1 - сервер, 192.168.1.2 - клиент) подключаться к коммутатору, но адресацию туннеля использовать 10.10.0, нат использовать не принципиально. Спасибо

spbalx

Цитата:

нат использовать не принципиально

Я хоть и не Alukardd, но отвечу - не надо, совершенно. Возьмите и посмотрите таблицу маршрутов (route print), до и после подключения клиента. На клиенте, вестимо. Там добавятся новые маршруты, которые и позволят клиентам видеть и сервер, и, при соответствующих настройках, друг друга. А вот если Вы хотите объединить два подразделения туннелем, то надо использовать TAPE интерфейс и бриджевать его с локальным, на сервере и на клиенте (по одной машине на обоих концах туннеля). тогда, любая машина на обоих концах туна сможет видеть любую в другом сегменте без каких-либо доп настроек

andrejvb
Бриджевать надо только если там подсеть одна и таже используется в противном случае не надо геморроя с мостами. Все работает на уровне маршрутизации ip.

Alukardd
Неа Бриджевать надо еще и при отсуствии домена, чтобы разрешить хождение NetBIOS, исключить траблы multihomed browsing и обеспечить зверькам привычное сетевое окружение Винды. При наличии домена, да, морочить голову с бриджом нет нужды.

andrejvb, Alukardd
Спасибо Вам всем огромное и удачи.

Добрый день!
Разобрался со своей проблемой, дело было в том что в настройках клиента стояла настройка логирования (log) убрав её сразу статус гуи-шки стал работать адекватно(позеленел).

Всем доброго времени суток!
Столкнулся с проблемой что на сервере openvpn (FreeBSD) заканчивается свободный пул выдаваемых ip клиентам, как можно расширить выдаваемый пул? сейчас выдаются типа 10.10.10.0, если последний адрес 10.10.10.254, можно сделать так что бы выдался новому клиенту к примеру из подсети 10.10.11.0?
Ну или к примеру отдельным сделать статикой через ccd, а другим выдавать свободные из уже новой подсети?

маску поменяй - поставь 255.255.254.0 и пул расширь до 10.10.11.254

tankistua
спасибо тебе, все получилось

OpenVPN v2.3.0
08-01-2013

Changelog

http://openvpn.net/index.php/open-source/downloads.html

[more] Доброго времени суток.
Сразу прошу прощения если на 68 страницах только этой тему есть уже ответ на мой вопрос но таки задам ))

Планируется конфигурация OpenVPN сервет (95% что на винде) и подключения туннелей к серверу.
Всё бы ничего да вот клиенты в моём случае должны быть железки (роутер, умный свитч, фаервол - называйте как хотите) которые саппортают нативный OpenVPN (или хотя бы более-менее сапортают, но лучше более чем менее). За железками будут находится устройства совсем глупые, которым даже статик рауты не настроиш. Поэтому как минимум сервер будет пушать роуты на клиентов.

Поскольку клиентов планируется не 1-2 а ... ну допустим до 200 то вариант с покупкой хорошего роутера и заливкой на него dd-wrt со всеми прелестями мне не подходит. Выходит что нужно адекватное коробочное решение.

Подскажите пожалуйста с железками.
Судя по комментам то тут ребята использовали микротики но с проблемами.
Мне нагуглилась серия d'link dsr-150/250 ... кто то пробовал?
Кроме длинка есче варианты?

Попутный вопрос
Допустим количевство впн туннелей дорастёт до 200.
Самому OpenVPN это то без проблем как я понимаю, а вот как расчитать ресурсы сервера (имеетя ввиду системные требования к впн серверу на базе Win2K8 R2)? [/more]

lvpoison
Я что-то вопрос недопонял... Вам нужно 200 самых простых роутеров с возможностью подключения к OpenVPN серверу? А за ними уже будут стоять малоуправляемые железки, которые, используя их как шлюз по умолчанию, смогут добраться до Вашего сервера? Правильно понял?
Если ситуация именно такова, то действительно из родных прошивок вроде только Mikrotik поддерживает OpenVPN, хотя где-то слышал и про Zyxel. Ну или искать самое дешёвое и шить dd-wrt.

Но при таких обстоятельствах появляется вопрос — почему именно OpenVPN, почему не L2TP/IPSec, почему не PPTP??? Их поддержка имеется практически везде.

lvpoison
любой роутер из базы DD-WRT, или поддерживаемый Tomato прошивкой.
это вопрос уже не совсем по программе OpenVPN

2 Alukardd
Да, ситуация именно такова, вы всё правильно поняли.
Шить дд-врт как я говорил не вариант.

почему именно OpenVPN, почему не L2TP/IPSec, почему не PPTP.
А вот отсюда поподробней пожалуйста, ну как поподробней, просто ссылочку для разгона.

Ньюанс есчё в том что сервер именно софтовый на винде без возможности поставить умную тяжёлую дорогую железку для решения проблем на стороне сервера.

2 korn3r
Да возможно, вопрос какое железо в коробочном варианте поддерживает опенвпн клиент

lvpoison
Цитата:

 
Ньюанс есчё в том что сервер именно софтовый на винде

L2TP/IPSec элементарно разворачивается на винде штатными средствами, без использования стороннего софта.
Вот тут даже с картинками: Windows 2008 RRAS VPN L2TP with Preshared Key IPsec creation

lvpoison
Цитата:

А вот отсюда поподробней пожалуйста, ну как поподробней, просто ссылочку для разгона

Ну для разгона Вам уже vlary подкинул ссылку.
Скажу только сразу, что с вопросами по VPN'у (L2TP, PPTP и пр) есть специальная тема. Кстати, раз уж представление у Вас о VPN весьма смутное, то можете полистать ссылки из шапки указанной темы.

Админы, ау! Неужели тут нет никого, кто смог заставить зверюшку работать на Windows 8?

Цитата:

Админы, ау! Неужели тут нет никого, кто смог заставить зверюшку работать на Windows 8?

Все работает.
И на сервере 2012 и Win 8, и службой и через обычный запуск. Никаких проблем.

Камрады, прошу помощи.

Ситуевина такова:

win 2003, на нем стоит клиент openvpn, при поднятии туннеля впн (он настроен с заменой шлюза) сервер перестает быть виден по внешнему ip для всех кроме соседей, которые тоже подключены к тому же серверу openvpn что и он.

Я так понимаю что шлюз в момент подключения меняется на шлюз openvpn, и на приходящие на белый ip запросы он отвечает в него, поэтому мир, кроме соседей по впн его е видел.

Внимание, вопрос: как сделать так чтобы он всегдв был виден снаружи и с подсети впн, но при этом все его локальные приложения ходили в нет через впн?

Aroun Ну вообще-то говоря это не баг, а фича, сервер должен быть сервером, а клиент - клиентом.
Из соображений секьюрити, когда клиент VPN подключается к серверу, для него не должно существовать ничего. кроме сервера, дабы через клиента внешние злоумышленники не могли скомпрометировать сервер.
Посему вариантов здесь немного. Либо работать через VPN только с ресурсами сетей за сервером, а со всем остальным - через своего провайдера.
Либо нынешний вариант.
Либо явно указать пути через шлюз провайдера к определенным сетям.

SergeyB_2005
Ясно. Спасибо за ответ. Будем искать в чем косяк....

Цитата:

Ну вообще-то говоря это не баг, а фича, сервер должен быть сервером, а клиент - клиентом.
Из соображений секьюрити, когда клиент VPN подключается к серверу, для него не должно существовать ничего. кроме сервера, дабы через клиента внешние злоумышленники не могли скомпрометировать сервер.
Посему вариантов здесь немного. Либо работать через VPN только с ресурсами сетей за сервером, а со всем остальным - через своего провайдера.
Либо нынешний вариант.
Либо явно указать пути через шлюз провайдера к определенным сетям.

Согласен.

Но нужно. В линуксе просто можно было бы два шлюза указать.

rras не может в таком случае помочь? я его просто не трогал никогда, не знаю что он умеет.

С другой стороны можно было бы убрать переназначение шлюза в конфиге и сделать просто маршрут с низкой метрикой при подключении, но выше чем у основного шлюза. Так не получиться?