» OpenVPN

51rus
никто не знает?
Рассказываю: вроде решилось установкой на сервере reneg-sec 0, пока что связь не рвётся.

51rus
гугл советует проверить фаерволы и антивирусы на предмет блокировки\фильтрации овпн пакетов или самого приложения

Цитата:

Tue Feb 19 07:26:29 2013 IP:64278 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

у меня подобное вылазит когда траблы с интернетом начинаются, иногда само начинает работать, а иногда залипает и приходится опенвпн перегружать

korn3r
Гугл я первым делом изучил. Пакеты и приложения разрешены, говорю же после рестарта openvpnservice всё подключается "с лёту".

tankistua
Да вроде стабильная связь, проблем не замечал.
TLS key negotiation failed случается только после "tls killed expiring key", до этого момента всё прекрасно.
Само работать не начинает, спасает только рестарт.
Просто пока что связал свою домашнюю локалку с офисом, чтобы потестить openvpn, в дальнейшем необходимо будет подключать к офису несколько удаленных сетей, хочу стабильности решения, чтобы потом не метаться между сервером и удаленными клиентами

51rus
если после рестарта все заводится, это еще не значит что ничем не фильтруется

вопрос по работе сабжа в Линукс (linux)

бывают случаи, когда зависает соединение, долбит time out или еще какие неполадки с соединением, адаптером и т.д. в Винде понятно что делать. НО тут терминал, и требуются команды сброса, перезапуска.. появляется вопрос: КАК?
--help запускал.. блин ну темный лес, если честно.

ХЕЛП!!!))

Добавлено:
SIGUSR1, SIGHUP, SIGUSR2 - эти команды имеют отношение?

mleo В Гугле и на сайте openvpn забанен forever?
OpenVPN HOWTO
И учись работать с линукс, читай доки. Мы тебя этому за 5 минут не научим, да и раздел не для этого.

hi hitler.
Подскажите кто нибудь.) Есть openvpn 2.2.2. В виде клиента который подключается к удалённому серверу. WIN7

Есть проблема. Вроде все работает, заходит все ок. Но периодический сетевой vpn адаптер (TAP адаптер) выходит из строя. Он переходит из рабочего режима - неопознанная сеть, в не рабочий режим - идентификация (пытается получить сетевой адрес, соединение при этом отваливается).
В журнале ошибок - Для этого адаптера не возможно получить адрес от DHCP сервера.
Помогает только перезапуск службы.

Другой физический сетевой интерфейс получает адрес по DHCP, другие комп. в сети с openvpn работают нормально.

Переустанавливать пробовал.
Благодарствую за помощь )

Цитата:

hi hitler.
Подскажите кто нибудь

Теперь уже вряд ли )

А возможно ли, сделать так, чтобы на автомате при загрузке системы сразу подключался openVPN? Добавил с автозагрузку, вписал нужный конфиг в свойства ярлыка.Запускается, но просит пароль, его надо ручками вводить.Не возможно и пасс прописать на автомате?Спасибо.

artem1982
Цитата:

Запускается, но  просит пароль

Какой еще нафиг пароль?!
Делай нормальную авторизацию по сертификату, и никакого пароля не надо.

Цитата:

Какой еще нафиг пароль?!
Делай нормальную авторизацию по сертификату, и никакого пароля не надо.

Пожалуйста, без агрессии. Авторизацию делать на сервере?Просто сервером openvpn выступает ip-cop.

может он пытается от админа запуститься?
отсюда и пароль администратора требуется...

вообще для автозапуска сервиса ВПН используется служба
которой нужно указать параметры запуска и включить в режим автозапуска

панель управления -> администрирование - службы - > OpenVPN




Добавлено:
метод правда плохо управляемый, так как GUI сервис не отображает...
что плохо

но есть другой вариант - запустить от имени пользователя с правами "Оператора настройки сети"
ну или от админа - что хуже ибо не безопасно,
только нужно создать ярлык особый, чтобы пароль в нем уже был настроен и не вводился пользователем.

например с помощью программы admilink, взято тут
есть еще куча подобных программ, большая часть правда коммерческая.

Цитата:

может он пытается от админа запуститься?  
отсюда и пароль администратора требуется...  
 
вообще для автозапуска сервиса ВПН используется служба
которой нужно указать параметры запуска и включить в режим автозапуска
 
панель управления -> администрирование - службы - > OpenVPN
 
 
 
 
Добавлено:
метод правда плохо управляемый, так как GUI сервис не отображает...  
что плохо
 
но есть другой вариант - запустить от имени пользователя с правами "Оператора настройки сети"
ну или от админа - что хуже ибо не безопасно,
только нужно создать ярлык особый, чтобы пароль в нем уже был настроен и не вводился пользователем.
 
например с помощью программы admilink, взято тут
есть еще куча подобных программ, большая часть правда коммерческая.

Вот большое спасибо. Нет он, требует пароль именно к серверу, на каком установлен и настроен openvpn(пароль именно от него). То есть мы имеем пару файлов, которые кидаем в папку config, в свойства ярлыка прописываем типа так -- "C:\Program Files (x86)\OpenVPN\bin\openvpn-gui.exe" --connect "test.ovpn" добавляем в автозагрузку, и при загрузке стартует openvpn но при конекте просит пароль. Так заданны параметры на серваке. Есть ли возможность в OpenVpn config file добавить на подключение пароль?

artem1982
https://www.blackvpn.com/howto/save-username-and-password-in-openvpn/

Цитата:

https://www.blackvpn.com/howto/save-username-and-password-in-openvpn/

Не получается. Вот
Цитата:

#OpenVPN Server conf
tls-client
client
dev tun
proto tcp
tun-mtu 1400
remote 111.111.9993.987 1194
pkcs12 AAAAAAAA.p12
cipher BF-CBC
verb 3
ns-cert-type server
auth-user-pass password.txt

Создаю текстовый документ password.txt, туда вписываю имя юзера а именно admin и потом пароль получается так
admin
blablabla
В таком варианте просто дает ошибку, что не удается подключится.Но если в password.txt сменить admin на user просит ввести пароль и при вводе пароля нормально подключается

в конфиг сервера пишем:


Цитата:

plugin /usr/local/lib/openvpn-auth-pam.so "login login USERNAME password PASSWORD" # включаем авторизацию по логину и паролю!
auth-user-pass-verify "/usr/local/etc/openvpn2/auth-pam.pl /usr/local/etc/openvpn2/users.pw" via-file
# выше указываем откуда брать логин и пароль, скрипт auth-pam.pl пришлось качать
auth MD5
# передача пароля в зашифрованном виде (сомнительная защита - MD5)

вместо auth-pam.pl можно использовать

Цитата:

plugin /usr/local/lib/openvpn-auth-pam.so login
# включаем авторизацию по паролю! пользователь уже должен быть в зарегистрирован в системе и иметь пароль и право входа

по-моему этот модуль (openvpn-auth-pam.so) тоже нужно докачивать.

у тебя опенвпн разве логин тоже спрашивает ? логин кажись должен быть по имени сертификата

спрашивает и логин и пароль
а сертификат единый для всех, но это в моем случае
настройки раздаются по логину


просто, если у тебя есть сертификаты, то зачем еще и пароль?
боишься, что сертификат украдут? тогда шифруй его - вот тебе и защита и авторизация.

Цитата:

боишься, что сертификат украдут? тогда шифруй его - вот тебе и защита и авторизация.

я когда-то тож так думал: сотрудник пользуется дома иногда впн-ом, клиент установлен на компьютере ребенка. Мало ли чего ребенок может накрутить и сертификаты каждый раз заносить-выносить не будешь.
а так пароль поставил - да и всего делов-то.

Подскажите пожалуйста как просмотреть список всех созданных сертификатов? А то клиентов много, не знаем кто какими пользуется а кто уже перестал. Хотим неиспользуемые отозвать.

Обновление версии.
На данный момент стоит версия 2.0.9 Win32. Задумал обновить версию до новой openvpn-2.3.1, возник вопрос:
- Надо ли будет создавать новые сертификаты или подцепит старые, если установить в тот же каталог?

проверить слабо ?

и получить геморрой с клиентами, многие из которых оооченно далеко? и в других часовых поясах...

Цитата:

и получить геморрой с клиентами, многие из которых оооченно далеко? и в других часовых поясах...

ты гонишь - а на себе проверить слабо ?

beda65
Цитата:

Надо ли будет создавать новые сертификаты или подцепит старые

Сертификат - он и в Африке сертификат. Насколько знаю, спецификация х.509 за время от версии 2.0.9 до версии 2.3.1 не менялась.

vlary
Спеки на x509 кажется с 2002 года не менялись :-D Ну в 2006 немного освежили, но так по мелочам.

beda65
Ни фразы о том что вы там хотите обновлять клиентов или сервер, и вообще win32 это про сервер было?
Собственно, на сколько я знаю, там ни чего кардинально не менялось уже давно.

Alukardd
Согласен, сплоховал. Да действительно надо было обновить VPN сервер под win. Помятуя, что при создании нового сервера для его работы требовалась процедура генерации различного рода сертификатов, думал не о том - подойдут ли старые по формату/способу генерации, а о том - подцепит ли он действующие на данный момент сертификаты. Вопрос снят, сервер обновил в тот же каталог, сертификаты подцепились, едиственное, что пришлось поменять - создаваемый VPN интерфейс. Жаль только, что скорость на VPN адаптере так и осталась 10 мбит. Думал, что сделают что-нибудь поинтереснее.

Всем спасибо.

странно как-то люди иногда поступают.
Неужели у тебя нигде нету винды и клиентского сертификата, чтобы протестировать на тестовом клиенте ?

tankistua

Винда есть, но чтобы протестировать предложенный вами вариант мне бы понадобилось 2 компьютера как минимум, у и свободное от юзеров время. В моем случае я остановил сервис впн, сдублировал рабочий каталог, поставил в то же место новую версию сервера, подменил новый адаптер. Все заняло 24 минуты. И то большая часть времени ушла на замену нового ВПН адаптера (т.к. при установке новой версии ПО старый адаптер не был удален). Заработало и слава богу.
Установка винды на 2 компа и потом проверка работы - заняло бы гораздо больше времени. В случае неудачи - просто бы вернул рабочий каталог на место и все. В крайнем!!! случае вернул бы из бакапа образ диска сервера. Те же полчаса.