» OpenVPN

[more] здравствуйте
данный вопрос поднимался тут уже
"Столкнулся с проблемой что на сервере openvpn (FreeBSD) заканчивается свободный пул выдаваемых ip клиентам, как можно расширить выдаваемый пул? сейчас выдаются типа 10.10.10.0, если последний адрес 10.10.10.254, можно сделать так что бы выдался новому клиенту к примеру из подсети 10.10.11.0?
Ну или к примеру отдельным сделать статикой через ccd, а другим выдавать свободные из уже новой подсети?"
у меня такая же ситуация только OpenVPN сервер установлен на win2008Server
если можно жуваните глупому поподробнее как пул расширить куда чё в конфиге дописать
пробовал по всякому он ошибки валит типа:
Mon Apr 08 09:37:42 2013 RESOLVE: Cannot parse IP address: 10.10.10.0/23
Options error: error parsing --server parameters
понятно что неправильно делаю подскажите как сделать плиз
сейчас адреса клиентам раздаются из папки ccd хотелось бы чтобы и из добавленой сети
также было
лучше всего если конфиги кусочек в качестве примера выложите [/more]

[more] должен обеспечиваться защищенный обмен информацией между отдельными определенными компьютерами локальных сегментов сети, так и между определенными компьютерами, принадлежащих локальным сетям территориально удаленным подразделениям

на виртуалке включен nat
сеть 196.168.111.0\24
шлюз 196.168.111.2

типа 1 офис:
vpn сеть 10.8.0.0\24
сервак1 -196.168.111.112 (vpn ip 10.8.0.1)
клиент1 196.168.111.* (vpn ip 10.8.0.* шлюз пишет на 1 больше чем ip)
клиент2 196.168.111.* (vpn ip 10.8.0.* шлюз пишет на 1 больше чем ip)

офис 2
vpn сеть 10.8.2.0\24
сервак1 -196.168.111.118
клиент1 196.168.111.* (vpn ip 10.8.2.* шлюз пишет на 1 больше чем ip)
клиент2 196.168.111.* (vpn ip 10.8.2.* шлюз пишет на 1 больше чем ip)

пинг проверял только по АДРЕСАМ 10.8.*.* т.е. по виртуальным vpn адресам
например отдельно взятый офис 1 - клиенты все пингуются.
тоже самое и во втором.

ЛЮБОЙ клиент или сервак пингует СЕРВАК другого офиса.

а клиенты офиса 1 НЕ пингуют клиентов офиса 2

Что нужно прописать или сделать чтобы клиенты пинговали клиентов из др. офиса? [/more]

ImperatorR
Описание у Вас так себе, конечно, но ответ на вопрос
Цитата:

Что нужно прописать или сделать чтобы клиенты пинговали клиентов из др. офиса?

вполне очевиден: прописать соответствующие маршруты до удалённой подсети. Видимо в вашей ситуации надо выдавать их клиентам через настройки их vpn сервер — push route.

babuinmin Сеть 10.х.х.х - это сеть класса А (16777214 хостов), причем полностью в вашем распоряжении. Можете у себя даже поставить маску /8, чтобы уж на всю катушку...
Но даже маски /16 вашей конторе хватит до третьего пришествия Армагеддона, на работу это никак не повлияет, но от подобных казусов будете навсегда избавлены.

[more] [more]
Цитата:

ImperatorR
Описание у Вас так себе, конечно, но ответ на вопрос

добрый день.
вырезка из задания: должен обеспечиваться защищенный обмен информацией между отдельными

определенными компьютерами локальных сегментов сети, так и между определенными компьютерами,

принадлежащих локальным сетям территориально удаленным подразделениям

Все делается на виртуалке VMware
на виртуалке включен NAT:
сеть 196.168.111.0\24
шлюз 196.168.111.2


типа 1 офис (Linus open Suse 12.3):
vpn сеть выдается 10.8.0.0\24
сервак1 -196.168.111.112 (vpn ip 10.8.0.1, шлюз в ifconfig : 10.8.0.2)
клиент1 196.168.111.* (vpn ip 10.8.0.6, шлюз в ifconfig : 10.8.0.5)
клиент2 196.168.111.* (vpn ip 10.8.0.10, шлюз в ifconfig : 10.8.0.9)

офис 2 (Linux Mandriva 2009)
vpn сеть 10.8.2.0\24
сервак1 -196.168.111.118 (vpn ip 10.2.8.1 шлюз в ifconfig 10.8.2.2)
клиент3 196.168.111.* (vpn ip 10.8.2.6, шлюз в ifconfig : 10.8.2.5)
клиент4 196.168.111.* (vpn ip 10.8.2.10, шлюз в ifconfig : 10.8.2.9)

ключи и сертификаты генерировал на каждом сервере отдельно, т.е. файлы с первого сервака: ca.crt

server1.crt server1.key dh1024.pem и на втором серваке: ca.crt server2.crt server2.key dh1024.pem

РАЗНЫЕ

На Suse фаервол экран отключен через Yast, т.к. когда он включен, ни один клиент не может

подключиться...
на mandriva тоже фаервол отключен.

Конфиг сервера 1 (офис 1)
port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server1.crt
key /etc/openvpn/server1.key # This file should be kept secret
dh /etc/openvpn/dh1024.pem
server 10.8.0.0 255.255.255.0
client-to-client
keepalive 10 120
cipher AES-128-CBC # AES
comp-lzo
persist-key
persist-tun
status /etc/openvpn/openvpn-status.log
verb 3

Конфиг клиента 1 (офис 1)
client
dev tun
proto udp
remote 192.168.111.112 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
ns-cert-type server
cipher AES-128-CBC # AES
comp-lzo
verb 3

У второго соответственно такой же, только имена сертификатов и ключей client2

Конфиг сервера 2 (офис 2)
port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server2.crt
key /etc/openvpn/server2.key # This file should be kept secret
dh /etc/openvpn/dh1024.pem
server 10.8.2.0 255.255.255.0
client-to-client
keepalive 10 120
cipher AES-128-CBC # AES
comp-lzo
persist-key
persist-tun
status /etc/openvpn/openvpn-status.log
verb 3

Конфиг клиента 3 (офис 2)
client
dev tun
proto udp
remote 192.168.118.112 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client4.crt
key /etc/openvpn/client4.key
ns-cert-type server
cipher AES-128-CBC # AES
comp-lzo
verb 3

У второго соответственно такой же, только имена сертификатов и ключей client4

Выводы с Офиса 1 (фаервол откл) (OpenSuse 12.3 везде) :
Сервер 1:
ip a:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 brd 127.255.255.255 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
link/ether 00:0c:29:43:7a:44 brd ff:ff:ff:ff:ff:ff
inet 192.168.111.112/24 brd 192.168.111.255 scope global eth0
inet6 fe80::20c:29ff:fe43:7a44/64 scope link
valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN

qlen 100
link/none
inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0

ip r:
default via 192.168.111.2 dev eth0
10.8.0.0/24 via 10.8.0.2 dev tun0
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1
127.0.0.0/8 dev lo scope link
169.254.0.0/16 dev eth0 scope link
192.168.111.0/24 dev eth0 proto kernel scope link src 192.168.111.112

iptables-save:
# Generated by iptables-save v1.4.16.3 on Tue Apr 16 08:28:01 2013
*raw
REROUTING ACCEPT [545:54599]
UTPUT ACCEPT [231:23307]
COMMIT
# Completed on Tue Apr 16 08:28:01 2013
# Generated by iptables-save v1.4.16.3 on Tue Apr 16 08:28:01 2013
*filter
:INPUT ACCEPT [545:54599]
:FORWARD ACCEPT [0:0]
UTPUT ACCEPT [231:23307]
COMMIT
# Completed on Tue Apr 16 08:28:01 2013

Клиент 1(фаервол вкл.):

ip a:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 brd 127.255.255.255 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
link/ether 00:50:56:32:9b:5d brd ff:ff:ff:ff:ff:ff
inet 192.168.111.114/24 brd 192.168.111.255 scope global eth0
inet6 fe80::250:56ff:fe32:9b5d/64 scope link
valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN

qlen 100
link/none
inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0

ip r:
default via 192.168.111.2 dev eth0
10.8.0.0/24 via 10.8.0.5 dev tun0
10.8.0.5 dev tun0 proto kernel scope link src 10.8.0.6
127.0.0.0/8 dev lo scope link
169.254.0.0/16 dev eth0 scope link
192.168.111.0/24 dev eth0 proto kernel scope link src 192.168.111.114

iptables-saveпосле iptables -F добавляет их заного через секунду)

linux-tcyh:~ # iptables-save
# Generated by iptables-save v1.4.16.3 on Tue Apr 16 10:04:33 2013
*raw
REROUTING ACCEPT [105:11576]
UTPUT ACCEPT [94:8451]
-A PREROUTING -i lo -j CT --notrack
-A OUTPUT -o lo -j CT --notrack
COMMIT
# Completed on Tue Apr 16 10:04:33 2013
# Generated by iptables-save v1.4.16.3 on Tue Apr 16 10:04:33 2013
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
UTPUT ACCEPT [94:8451]
:forward_ext - [0:0]
:input_ext - [0:0]
:reject_func - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m conntrack --ctstate RELATED -j ACCEPT
-A INPUT -j input_ext
-A INPUT -m limit --limit 3/min -j LOG --log-prefix "SFW2-IN-ILL-TARGET " --log-tcp-options --log-ip-options
-A INPUT -j DROP
-A FORWARD -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWD-ILL-ROUTING " --log-tcp-options --log-ip-

options
-A OUTPUT -o lo -j ACCEPT
-A input_ext -m pkttype --pkt-type broadcast -j DROP
-A input_ext -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A input_ext -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A input_ext -p udp -m udp --sport 137 -m conntrack --ctstate RELATED -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 139 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix

"SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 139 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 445 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix

"SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 445 -j ACCEPT
-A input_ext -m pkttype --pkt-type multicast -j DROP
-A input_ext -m pkttype --pkt-type broadcast -j DROP
-A input_ext -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-

INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --

log-ip-options
-A input_ext -p udp -m limit --limit 3/min -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-INext-DROP-

DEFLT " --log-tcp-options --log-ip-options
-A input_ext -j DROP
-A reject_func -p tcp -j REJECT --reject-with tcp-reset
-A reject_func -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject_func -j REJECT --reject-with icmp-proto-unreachable
COMMIT
# Completed on Tue Apr 16 10:04:33 2013

Клиент 2(фаервол вкл.):
ip a:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 brd 127.255.255.255 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
link/ether 00:0c:29:fa:53:de brd ff:ff:ff:ff:ff:ff
inet 192.168.111.116/24 brd 192.168.111.255 scope global eth0
inet6 fe80::20c:29ff:fefa:53de/64 scope link
valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN

qlen 100
link/none
inet 10.8.0.10 peer 10.8.0.9/32 scope global tun0

ip r:
default via 192.168.111.2 dev eth0
10.8.0.0/24 via 10.8.0.9 dev tun0
10.8.0.9 dev tun0 proto kernel scope link src 10.8.0.10
127.0.0.0/8 dev lo scope link
169.254.0.0/16 dev eth0 scope link
192.168.111.0/24 dev eth0 proto kernel scope link src 192.168.111.116

iptables-save: (после очистки iptables -F , добавляет их заного Сразу)

linux-rdtl:~ # iptables-save
# Generated by iptables-save v1.4.16.3 on Tue Apr 16 18:03:22 2013
*raw
REROUTING ACCEPT [15:2307]
UTPUT ACCEPT [10:1174]
-A PREROUTING -i lo -j CT --notrack
-A OUTPUT -o lo -j CT --notrack
COMMIT
# Completed on Tue Apr 16 18:03:22 2013
# Generated by iptables-save v1.4.16.3 on Tue Apr 16 18:03:22 2013
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
UTPUT ACCEPT [10:1174]
:forward_ext - [0:0]
:input_ext - [0:0]
:reject_func - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m conntrack --ctstate RELATED -j ACCEPT
-A INPUT -j input_ext
-A INPUT -m limit --limit 3/min -j LOG --log-prefix "SFW2-IN-ILL-TARGET " --log-tcp-options --log-ip-options
-A INPUT -j DROP
-A FORWARD -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWD-ILL-ROUTING " --log-tcp-options --log-ip-

options
-A OUTPUT -o lo -j ACCEPT
-A input_ext -m pkttype --pkt-type broadcast -j DROP
-A input_ext -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A input_ext -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 1723 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-

prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 1723 -j ACCEPT
-A input_ext -m pkttype --pkt-type multicast -j DROP
-A input_ext -m pkttype --pkt-type broadcast -j DROP
-A input_ext -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-

INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --

log-ip-options
-A input_ext -p udp -m limit --limit 3/min -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-INext-DROP-

DEFLT " --log-tcp-options --log-ip-options
-A input_ext -j DROP
-A reject_func -p tcp -j REJECT --reject-with tcp-reset
-A reject_func -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject_func -j REJECT --reject-with icmp-proto-unreachable
COMMIT
# Completed on Tue Apr 16 18:03:22 2013


Офис 2 (Mandriva 2009 везде ):
Сервер 2:

[root@localhost ~]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
link/ether 00:50:56:3e:44:97 brd ff:ff:ff:ff:ff:ff
inet 192.168.111.118/24 brd 192.168.111.255 scope global eth1
inet6 fe80::250:56ff:fe3e:4497/64 scope link
valid_lft forever preferred_lft forever
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
link/[65534]
inet 10.8.2.1 peer 10.8.2.2/32 scope global tun0

[root@localhost ~]# ip r
10.8.2.2 dev tun0 proto kernel scope link src 10.8.2.1
10.8.2.0/24 via 10.8.2.2 dev tun0
192.168.111.0/24 dev eth1 proto kernel scope link src 192.168.111.118
169.254.0.0/16 dev eth1 scope link
default via 192.168.111.2 dev eth1



[root@localhost ~]# iptables-save
# Generated by iptables-save v1.4.2 on Tue Apr 16 02:56:58 2013
*raw
REROUTING ACCEPT [295:47827]
UTPUT ACCEPT [288:49893]
COMMIT
# Completed on Tue Apr 16 02:56:58 2013
# Generated by iptables-save v1.4.2 on Tue Apr 16 02:56:58 2013
*nat
REROUTING ACCEPT [23:3680]
OSTROUTING ACCEPT [22:3691]
UTPUT ACCEPT [22:3691]
COMMIT
# Completed on Tue Apr 16 02:56:58 2013
# Generated by iptables-save v1.4.2 on Tue Apr 16 02:56:58 2013
*mangle
REROUTING ACCEPT [295:47827]
:INPUT ACCEPT [295:47827]
:FORWARD ACCEPT [0:0]
UTPUT ACCEPT [288:49893]
OSTROUTING ACCEPT [292:50623]
COMMIT
# Completed on Tue Apr 16 02:56:58 2013
# Generated by iptables-save v1.4.2 on Tue Apr 16 02:56:58 2013
*filter
:INPUT ACCEPT [295:47827]
:FORWARD ACCEPT [0:0]
UTPUT ACCEPT [288:49893]
COMMIT
# Completed on Tue Apr 16 02:56:58 2013

Клиент 3:
[root@localhost ~]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
link/ether 00:50:56:27:6c:a1 brd ff:ff:ff:ff:ff:ff
inet 192.168.111.148/24 brd 192.168.111.255 scope global eth1
inet6 fe80::250:56ff:fe27:6ca1/64 scope link
valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
link/[65534]
inet 10.8.2.6 peer 10.8.2.5/32 scope global tun0

[root@localhost ~]# ip r
10.8.2.5 dev tun0 proto kernel scope link src 10.8.2.6
10.8.2.0/24 via 10.8.2.5 dev tun0
192.168.111.0/24 dev eth1 proto kernel scope link src 192.168.111.148
169.254.0.0/16 dev eth1 scope link
default via 192.168.111.2 dev eth1

[root@localhost ~]# iptables-save
iptables-save v1.4.2: Unable to open /proc/net/ip_tables_names: No such file or directory

Клиент 4:

[root@localhost ~]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
link/ether 00:50:56:38:0e:b6 brd ff:ff:ff:ff:ff:ff
inet 192.168.111.149/24 brd 192.168.111.255 scope global eth1
inet6 fe80::250:56ff:fe38:eb6/64 scope link
valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
link/[65534]
inet 10.8.2.10 peer 10.8.2.9/32 scope global tun0

[root@localhost ~]# ip r
10.8.2.9 dev tun0 proto kernel scope link src 10.8.2.10
10.8.2.0/24 via 10.8.2.9 dev tun0
192.168.111.0/24 dev eth1 proto kernel scope link src 192.168.111.149
169.254.0.0/16 dev eth1 scope link
default via 192.168.111.2 dev eth1


[root@localhost ~]# iptables-save
iptables-save v1.4.2: Unable to open /proc/net/ip_tables_names: No such file or directory


Пинг.
пинг проверял ТОЛЬКО по адресам 10.8.*.* т.е. по виртуальным vpn адресам (т.к. на 192.*** они и так в

локалке)

например, отдельно взятый офис 1: - клиент1 и клиент 2 -пингуются. тоже самое и во втором.

Еще ЛЮБОЙ клиент или сервак пингует СЕРВАК Другого офиса.

НО, например клиенты (vpn ip 10.8.0.6 и 10.8.0.10) из офиса 1 НЕ пингуют клиентов (vpn ip 10.8.2.6 и

10.8.2.10) офиса 2
и соотв. клиентыиз офиса 2 НЕ пингуют клиентов офиса 1.
Мне как раз это сейчас и нужно наладить.
т.е. клиент с vpn ip 10.8.0.6 пинговал клиента 10.8.2.6 или 10.8.2.10 и наоборот.

1) Что нужно прописать или сделать чтобы клиенты пинговали клиентов из др. офиса?
2) будет ли они вообще нормально друг друга пинговать?
3) надо ли тут использовать openvpn --genkey --secret ?
4) ключи и сертификаты генерировал на каждом сервере отдельно, т.е. файлы с первого сервака: ca.crt

server1.crt server1.key dh1024.pem и на втором серваке: ca.crt server2.crt server2.key dh1024.pem (и

соответственно файлы ключей и серт. для клиентов) РАЗНЫЕ. Будет ли они вообще вместе работать? и

надо ли было на одном ключе все генерировать?
5) Что нужно еще сделать чтобы клиенты одного сервака пинговали клиенты другого?
С уважением и заранее благодарю за ответы.



Цитата:

Видимо в вашей ситуации надо выдавать их клиентам через настройки их vpn сервер — push route.

После уточненей выше, тоже самое мне нужно прописать? не подскажете что нужно прописать?

[/more] [/more]

Подскажите в чём проблема, почему опенвпн на xp создавая при подключении свою виртуальную сетевую карту не получает айпи адрес и потому не подключается к впн? На семёрке всё нормально работает.

zlobin21 Конфиг сервера и клиента в студию (под тегом more). Иначе - к телепатам

vlary
client

#connect to VPN server
remote 142.4.223.230 443
proto tcp

#DNS server to use
dhcp-option DNS 8.8.8.8

#remove to use your ISP's gateway
redirect-gateway def1

#your access keys
ca in_ca.crt
cert in_6832198.crt
key in_6832198.key
ns-cert-type server

#use virtual interface 'tap'
dev tap

#keep trying indefinitely to resolve the host name of the OpenVPN server.
resolv-retry infinite

#most clients don't need to bind to a specific local port number.
nobind

#try to preserve some state across restarts
persist-key
persist-tun

#enable compression on the VPN link
comp-lzo

#set log file verbosity.
verb 4

#silence repeating messages
mute 20

#Windows specific
win-sys 'env'
route-method exe
route-delay 2

Лог

Mon Apr 22 14:44:30 2013 us=921000 Current Parameter Settings:
Mon Apr 22 14:44:30 2013 us=921000 config = 'HideME.ru Canada, Montreal.ovpn'
Mon Apr 22 14:44:30 2013 us=921000 mode = 0
Mon Apr 22 14:44:30 2013 us=921000 show_ciphers = DISABLED
Mon Apr 22 14:44:30 2013 us=921000 show_digests = DISABLED
Mon Apr 22 14:44:30 2013 us=921000 show_engines = DISABLED
Mon Apr 22 14:44:30 2013 us=921000 genkey = DISABLED
Mon Apr 22 14:44:30 2013 us=921000 key_pass_file = '[UNDEF]'
Mon Apr 22 14:44:30 2013 us=921000 show_tls_ciphers = DISABLED
Mon Apr 22 14:44:30 2013 us=921000 Connection profiles [default]:
Mon Apr 22 14:44:30 2013 us=921000 proto = tcp-client
Mon Apr 22 14:44:30 2013 us=921000 local = '[UNDEF]'
Mon Apr 22 14:44:30 2013 us=921000 local_port = 0
Mon Apr 22 14:44:30 2013 us=921000 remote = '142.4.223.230'
Mon Apr 22 14:44:30 2013 us=921000 remote_port = 443
Mon Apr 22 14:44:30 2013 us=921000 remote_float = DISABLED
Mon Apr 22 14:44:30 2013 us=921000 bind_defined = DISABLED
Mon Apr 22 14:44:30 2013 us=921000 bind_local = DISABLED
Mon Apr 22 14:44:30 2013 us=921000 connect_retry_seconds = 5
Mon Apr 22 14:44:30 2013 us=921000 connect_timeout = 10
Mon Apr 22 14:44:30 2013 us=921000 NOTE: --mute triggered...
Mon Apr 22 14:44:30 2013 us=921000 255 variation(s) on previous 20 message(s) suppressed by --mute
Mon Apr 22 14:44:30 2013 us=921000 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Mon Apr 22 14:44:30 2013 us=921000 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Apr 22 14:44:31 2013 us=78000 LZO compression initialized
Mon Apr 22 14:44:31 2013 us=78000 Control Channel MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Mon Apr 22 14:44:31 2013 us=78000 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Apr 22 14:44:31 2013 us=78000 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Apr 22 14:44:31 2013 us=78000 Local Options String: 'V4,dev-type tap,link-mtu 1576,tun-mtu 1532,proto TCPv4_CLIENT,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Mon Apr 22 14:44:31 2013 us=78000 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1576,tun-mtu 1532,proto TCPv4_SERVER,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Mon Apr 22 14:44:31 2013 us=78000 Local Options hash (VER=V4): '31fdf004'
Mon Apr 22 14:44:31 2013 us=78000 Expected Remote Options hash (VER=V4): '3e6d1056'
Mon Apr 22 14:44:31 2013 us=78000 Attempting to establish TCP connection with 142.4.223.230:443
Mon Apr 22 14:44:31 2013 us=328000 TCP connection established with 142.4.223.230:443
Mon Apr 22 14:44:31 2013 us=328000 TCPv4_CLIENT link local: [undef]
Mon Apr 22 14:44:31 2013 us=328000 TCPv4_CLIENT link remote: 142.4.223.230:443
Mon Apr 22 14:44:31 2013 us=578000 TLS: Initial packet from 142.4.223.230:443, sid=42e7a06a d384e9b2
Mon Apr 22 14:44:36 2013 us=781000 VERIFY OK: depth=1, /C=DE/ST=Bayern/L=Gunzenhausen/O=HideME/CN=HideME_CA/emailAddress=feedback@hideme.ru
Mon Apr 22 14:44:36 2013 us=781000 VERIFY OK: nsCertType=SERVER
Mon Apr 22 14:44:36 2013 us=781000 VERIFY OK: depth=0, /C=DE/ST=Bayern/L=Gunzenhausen/O=HideME/CN=server/emailAddress=feedback@hideme.ru
Mon Apr 22 14:44:48 2013 us=562000 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Apr 22 14:44:48 2013 us=562000 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Apr 22 14:44:48 2013 us=562000 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Apr 22 14:44:48 2013 us=562000 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Apr 22 14:44:48 2013 us=562000 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Mon Apr 22 14:44:48 2013 us=562000 [server] Peer Connection Initiated with 142.4.223.230:443
Mon Apr 22 14:44:51 2013 us=15000 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Mon Apr 22 14:44:51 2013 us=687000 PUSH: Received control message: 'PUSH_REPLY,route-gateway 10.97.192.1,ping 10,ping-restart 30,ifconfig 10.97.253.30 255.224.0.0'
Mon Apr 22 14:44:51 2013 us=687000 OPTIONS IMPORT: timers and/or timeouts modified
Mon Apr 22 14:44:51 2013 us=687000 OPTIONS IMPORT: --ifconfig/up options modified
Mon Apr 22 14:44:51 2013 us=687000 OPTIONS IMPORT: route-related options modified
Mon Apr 22 14:44:51 2013 us=687000 ROUTE default_gateway=192.168.1.1
Mon Apr 22 14:44:51 2013 us=703000 TAP-WIN32 device [Подключение по локальной сети 22] opened: \\.\Global\{F4027970-4F23-498F-9C59-47892230D3E3}.tap
Mon Apr 22 14:44:51 2013 us=703000 TAP-Win32 Driver Version 9.9
Mon Apr 22 14:44:51 2013 us=703000 TAP-Win32 MTU=1500
Mon Apr 22 14:44:51 2013 us=703000 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.97.253.30/255.224.0.0 on interface {F4027970-4F23-498F-9C59-47892230D3E3} [DHCP-serv: 10.96.0.0, lease-time: 31536000]
Mon Apr 22 14:44:51 2013 us=703000 DHCP option string: 06040808 0808
Mon Apr 22 14:44:51 2013 us=703000 Successful ARP Flush on interface [196611] {F4027970-4F23-498F-9C59-47892230D3E3}
Mon Apr 22 14:44:53 2013 us=62000 TEST ROUTES: 0/0 succeeded len=0 ret=0 a=0 u/d=down
Mon Apr 22 14:44:53 2013 us=62000 Route: Waiting for TUN/TAP interface to come up...
Mon Apr 22 14:44:55 2013 us=140000 TEST ROUTES: 0/0 succeeded len=0 ret=0 a=0 u/d=down
Mon Apr 22 14:44:55 2013 us=140000 Route: Waiting for TUN/TAP interface to come up...
Mon Apr 22 14:44:56 2013 us=953000 TEST ROUTES: 0/0 succeeded len=0 ret=0 a=0 u/d=down
Mon Apr 22 14:44:56 2013 us=953000 Route: Waiting for TUN/TAP interface to come up...
Mon Apr 22 14:44:58 2013 us=46000 TEST ROUTES: 0/0 succeeded len=0 ret=0 a=0 u/d=down
Mon Apr 22 14:44:58 2013 us=46000 Route: Waiting for TUN/TAP interface to come up...
Mon Apr 22 14:44:59 2013 us=125000 TEST ROUTES: 0/0 succeeded len=0 ret=0 a=0 u/d=down
Mon Apr 22 14:44:59 2013 us=125000 Route: Waiting for TUN/TAP interface to come up...
Mon Apr 22 14:45:00 2013 us=953000 TEST ROUTES: 0/0 succeeded len=0 ret=0 a=0 u/d=down
Mon Apr 22 14:45:00 2013 us=953000 Route: Waiting for TUN/TAP interface to come up...
Mon Apr 22 14:45:02 2013 us=46000 TEST ROUTES: 0/0 succeeded len=0 ret=0 a=0 u/d=down
Mon Apr 22 14:45:02 2013 us=46000 Route: Waiting for TUN/TAP interface to come up...
Mon Apr 22 14:45:03 2013 us=93000 TEST ROUTES: 0/0 succeeded len=0 ret=0 a=0 u/d=down
Mon Apr 22 14:45:03 2013 us=93000 Route: Waiting for TUN/TAP interface to come up...
Mon Apr 22 14:45:04 2013 us=125000 TEST ROUTES: 0/0 succeeded len=0 ret=0 a=0 u/d=down
Mon Apr 22 14:45:04 2013 us=125000 Route: Waiting for TUN/TAP interface to come up...
Mon Apr 22 14:45:05 2013 us=171000 TEST ROUTES: 0/0 succeeded len=0 ret=0 a=0 u/d=down
Mon Apr 22 14:45:05 2013 us=171000 Route: Waiting for TUN/TAP interface to come up...
Mon Apr 22 14:45:06 2013 us=218000 TEST ROUTES: 0/0 succeeded len=0 ret=0 a=0 u/d=down
Mon Apr 22 14:45:06 2013 us=218000 Route: Waiting for TUN/TAP interface to come up...
Mon Apr 22 14:45:07 2013 us=265000 TEST ROUTES: 0/0 succeeded len=0 ret=0 a=0 u/d=down
Mon Apr 22 14:45:07 2013 us=265000 Route: Waiting for TUN/TAP interface to come up...
Mon Apr 22 14:45:08 2013 us=312000 TEST ROUTES: 0/0 succeeded len=0 ret=0 a=0 u/d=down
Mon Apr 22 14:45:08 2013 us=312000 Route: Waiting for TUN/TAP interface to come up...


Никакие настроек после установки опенвпн больше не менял, да и этот конфиг давался впн сервисом. На вин 7 всё работает нормально.

[more] здравствуйте
данный вопрос поднимался тут уже
"Столкнулся с проблемой что на сервере openvpn (FreeBSD) заканчивается свободный пул выдаваемых ip клиентам, как можно расширить выдаваемый пул? сейчас выдаются типа 10.10.10.0, если последний адрес 10.10.10.254, можно сделать так что бы выдался новому клиенту к примеру из подсети 10.10.11.0?
Ну или к примеру отдельным сделать статикой через ccd, а другим выдавать свободные из уже новой подсети?"
у меня такая же ситуация только OpenVPN сервер установлен на win2008Server
если можно жуваните глупому поподробнее как пул расширить куда чё в конфиге дописать
пробовал по всякому он ошибки валит типа:
Mon Apr 08 09:37:42 2013 RESOLVE: Cannot parse IP address: 10.10.10.0/23
Options error: error parsing --server parameters
понятно что неправильно делаю подскажите как сделать плиз
сейчас адреса клиентам раздаются из папки ccd хотелось бы чтобы и из добавленой сети
также было
лучше всего если конфиги кусочек в качестве примера выложите

разобрался вроде спасибо всем кто подсказал [/more]

Добавлено:
попутно вопросец
лог статуса пишет реальный айпи клиента,порт,время и тд
как-то можно сделать чтобы в логе был виден ай пи ТАР карточки

zlobin21
интерфейс тар существует и включен ?

Народ кто может помочь с CentOS 6? вернее со скриптом под нее..
есть рабочий скриптик с хабра http://habrahabr.ru/post/146450/
возможности:
- проверяет версию оси
- подтягивает с репозиториев, либо при локальной установке из папки пакетов все необходимое
- устанавливает опенвпн
- конфигурирует + генерит ключи
- быстрое создание клиентов

однако он адекватен до 5 ой версии оси

кто может его подправить?
установка с подключаемых репозиториев не пошла, локально по дефолту естественно тоже.
пробовал обновить сопутствующие пакеты, а именно:

- openssl-1.0.0-27.el6_4.2.i686
- compat-libstdc++-8-3.3.4.2.i386.rpm
- prelink-0.4.6-3.el6.i686.rpm
- lzo-2.03-3.1.el6.i686.rpm
- nspr-4.9.2-1.el6.i686.rpm
- nss-3.14.0.0-12.el6.i686.rpm
- pkcs11-helper-1.09-2mgc25.i686.rpm
- openvpn-as-1.8.5-CentOS6.i386.rpm

после добавления их в конфиг сыпет ошибками и пытается скачать устаревшие версии
в итоге опенвпн встал однако конфигурация не прошла

очень уж удобное решение было, готов немного стимулировать материально

Существуют ли природе OpenVPN клиенты, запоминающие логины/пароли и позволяющие поднимать конект одним кликом мыша, и при этом не требующие монстроидальных надстроек вроде ФреймВорка или Явы?

LSD_PR

а чем не устраивает строка в конфиге auth_user_pass ,,?

yrkrus всем устраивает , спасибо за наводку! Только не auth_user_pass а auth-user-pass тогда уж

LSD_PR Собственно говоря, хорошей практикой является подключение с использованием клиентских сертификатов, которое также не требует ввода пароля. Сертификат и ключ можно прописать прямо в конфиге:

Код: #The vpn client's certificate==========
<cert>
-----BEGIN CERTIFICATE-----
MIIDgTCCAuqgAwIBAgIKHsfLLAABAAAAdzANBgkqhkiG9w0BAQUFADAXMRUwEwYD
...........................................................................................
2in54qEFHUwN0cZJpv6faYDlBHWX1hwqLMrkEAUfY1npjaeWJ6PzUCOxgxmXQwnx
bcUXPQ1m4q37n+fjSi+cG9dJn+LQdkc3fkNBva9jVu2KotWYTw==
-----END CERTIFICATE-----
</cert>

#The vpn client's private! key=========
<key>
-----BEGIN RSA PRIVATE KEY-----
MIICXgIBAAKBgQD0elrCdQr+kd6wd9jYVASXHqaBf925xiFsHKMRw+ppS08S1CFJ
........................................................................................................
EnkXGS36so024uZ3IWxpAkEAlsXn+u+3z4SfOJcFLomCkg4vG8esYeOEmAtlubcm
ZwRhJ4KTxtsOb+qWIZ0CGKt6vgrniCJmQ/XkEUxf3/bvjw==
-----END RSA PRIVATE KEY-----
</key>

vlary выглядит вкусно , а если ключ ВПН сервис не дает, а только сертификат?

LSD_PR
оО
Такого не бывает, ибо иначе не провести идентификацию клиента. Это основа PKI. Всегда нужен закрытый ключ, который должен хранится в тайне.

LSD_PR
Цитата:

а если ключ ВПН сервис не дает, а только сертификат?

Ты неправильно понимаешь работу по сертификатам.
Сам VPN сервис не дает ни того, ни другого.
Вот посмотри для начала это (по-русски): Ссылка 1
Ну и оригинал, если что... Ссылка 2
Потом можешь на сервере прописать в конфиге
client-config-dir /etc/openvpn/ccd
client-to-client
И там добавить файлы с именами, совпадающими с Common Name сертификата,
он же логин клиента, со следующим содержимым.
/etc/openvpn/ccd/client1:
ifconfig-push 192.168.10.51 255.255.255.0
/etc/openvpn/ccd/client2:
ifconfig-push 192.168.10.52 255.255.255.0
Таким образом клиенты будут получать постоянные айпи и даже смогут общаться друг с другом.

vlary
Цитата:

Сам VPN сервис не дает ни того, ни другого.

Ничо не понимаю (с) . Я подключаюсь к публичному сервису, предоставляющему ВПН тунель через OpenVPN. С сайта скачан архив, содержащий сертификат (*.crt) и конфиг (*.ovpn), все это закинуто, куда положено. Там же взят логин и пасс, прописаны в auth-user-pass . Все работает. Ради интереса убрал сертификат - ругается и посылает.

LSD_PR
Цитата:

сайта скачан архив, содержащий сертификат  (*.crt) и конфиг (*.ovpn),

Сайт - это не OpenVPN сервер, там может лежать что угодно.
Как я подозреваю, этот сертификат в формате p12, и содержит запароленый private key, подписанный СА pulic key( собственно certificate) и certificate самой СА.
Я думал, речь идет о настройке собственного сервера. А так да,
опция auth-user-pass решает вопрос.

Цитата:

Сайт - это не OpenVPN сервер, там может лежать что угодно.
Как я подозреваю, этот сертификат в формате p12, и содержит запароленый private key, подписанный СА pulic key( собственно certificate) и certificate самой СА.

Разумеется, качалось с сайта, презентующего этот самый сервис.
Собсно, сам сертификат

Код:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

LSD_PR А, ну теперь все понятно. Сервер vpnbook.com, предлагают бесплатно
OpenVPN и PPTP подключение. Подключаешься и ходишь в интернет со швейцарским айпи.
Не знаю, стоит ли у них на сервере опция client-to-client.
Если стоит, то можно соединить через интернет в одну сеть два компа, которые оба за НАТом.

vlary

вопрос пр vpnbook.com, есть ли там ограничения по трафику?

Цитата:

LSD_PR А, ну теперь все понятно. Сервер vpnbook.com, предлагают бесплатно
OpenVPN и PPTP подключение. Подключаешься и ходишь в интернет со швейцарским айпи.

Ну вот, спалил малину
redson, по моему опыту пользования подобными фришными сервисами - обычно есть, на уровне 2-5 гиг в сутки.

redson
Цитата:

вопрос пр vpnbook.com

Это LSD_PR лучше знает, я никогда не пользовался.
Своих серверов хватает.
LSD_PR
Цитата:

Ну вот, спалил малину

А нефиг сертификаты выкладывать
Здешний народ Base64 не хуже английского знает!

vlary
В данном случае и этого знать не надо)
openssl x509 -in /tmp/cert -noout -text

Alukardd Да я именно так и сделал. А насчет знания наизусть Base64 типа прикололся

vlary
Да я-то понял) Шутка зачётная вышла) Можно было бы и попытаться выучить, если бы кодирование символов было однозначным, а так...

Камрады, нужна ваша помощь.

Есть двойной впн.

Клиент цепляется к одному из виртуальных интерфейсов, в соответствующей таблице маршрутизации для него прописан другой виртуальный интерфейс, т.е. схема такая


клиент (10.11.11.6)--- tun1 (10.11.11.1)---- tun2 (192.168.1.6)----второй сервер впн (192.168.1.1)---интернет.


tcpdump tun1 показывает что пакет пинга приходит на него. на втором интерфейсе я вижу что этот же пакет уходит на второй сервер.

На втором сервере tcpdump уже ни одного пакета не видит.

Соответственно на клиенте превышел интервал ожидания.


Вот пакет который уходит с tun2 на второй сервер:


Код: IP 10.11.11.6 > google-public-dns-a.google.com: ICMP echo request, id 3, seq 32505, length 40

Aroun
покажите вывод ip r с сервер 1 и 2.