» OpenVPN

А кто знает в чем преимущества и недостатки VPN и OpenVPN. Мне в частности спутниковый интернет ставить нужно, исходящий GPRS. С подключением проблем нет, так и так работает. Но в чем разница то, что для меня лучше?

опенвпн работает с меньшим служебным трафиком, чем впн. +сжимает трафик, хотя впн по моему тоже сжимает

Reformator
openvpn - это гораздо более гибкое решение.

Reformator

Цитата:

Мне в частности спутниковый интернет

настройка OpenVPN при спутниковом инете не всегда тривиальна...

rain87

Цитата:

опенвпн работает с меньшим служебным трафиком, чем впн. +сжимает трафик, хотя впн по моему тоже сжимает

VPN - это же технология...

fantome

Цитата:

VPN - это же технология...

Как я понимаю, речь идет о стандартном виндовом VPN.

ну да, я тоже так понял. а настройка вполне тривиальна, я хз в чём там может быть проблема

Цитата:

хз в чём там может быть проблема

А проблема как раз и вылезла. При подключении OpenVPN у меня ложится GPRS. Говорит, немогу соединиться с удаленным компьютером. В чем загвоздка, понять не могу, может они не совместимы?
OpenVPN качал с сайта своего провайдера, т.е. SatGate.

кто и что конкретно говорит? возможно надо просто прописать роут на овпн сервер?

rain87


Цитата:

кто и что конкретно говорит?

GPRS это говорит, я вообще не могу потом вылезть в иннет через мобилу с компа. Приходиться восстанавливать контрольную точку. Пробовал переустанавливать драйвера, перустановил модем, ничего не помогает, чувство такое, что OpenVPN каким то образом глушит GPRS интеренет, а другого наземного исходящего канала у меня нет. ((


Цитата:

возможно надо просто прописать роут на овпн сервер?

а до сервера мне не дотянуться, да и незачем, эта проблема с программой для OpenVPN, мне так думается.

Доброе время суток всем! Подскажите настроил соединение точка точка через OPENVPN по локально 100 мегобитной сети! Прикомировани файлов по такому каналу скорость не поднемается выше 3 мегабит ПОЧЕМУ? Пробывал разные конфигурации не помогает! В диспечере задач вижу (раздел сеть) загрузка VPN 99% загрузка лан 3%! Проццесор 10% загрузки.......

Ну что куда все профессионалы делись!

Цитата:

ifconfig 10.8.0.1 10.8.0.2

а это к чему ?
я не бог весть какой спец по OpenVPN ,но по-моему такой параметр используется "P2P"

aoo
Проффесионалы то есть, а вот телепатов почему то не хватает то ли в отпусках то ли заняты.
Ты свой вопрос читал?

Цитата:

Подскажите настроил соединение точка точка через OPENVPN по локально 100 мегобитной сети! Прикомировани файлов по такому каналу скорость не поднемается выше 3 мегабит ПОЧЕМУ? Пробывал разные конфигурации не помогает! В диспечере задач вижу (раздел сеть) загрузка VPN 99% загрузка лан 3%! Проццесор 10% загрузки.......

Из него понятно лиш то что у тебя что то настроено и работает но не так как ты хотел бы.

Карточка созадавемая получается 10 м/бит
Процессор занят шифрованием и упаковкой файлов
А про настройки ничего нет....

Reformator

Цитата:

Цитата:
возможно надо просто прописать роут на овпн сервер?


а до сервера мне не дотянуться, да и незачем, эта проблема с программой для OpenVPN, мне так думается.

как правило прописывание жесткого маршрута до твоего шлюза в инете (куда по GPRS-каналу уходят запросы) помогает решить твою проблему...

DimaK2

Цитата:

Меня вообще многое в этой проге ставит в тупик! Очень хорошая конфа есть на IXBT.com
У меня есть вопрос по сертификату клиента - он у каждого пользователя должен быть личный? или можно использовать один на всех?

всё зависит от того, что ты напишешь в конфиге...
если будешь использовать в конфиге опцию duplicate-cn, то можно и один сертификат на всех пользователей...

Добавлено:
aoo

Цитата:

Ну что куда все профессионалы делись!

как заметил Ruza

Цитата:

Проффесионалы то есть, а вот телепатов почему то не хватает

плиз конфиг и то что у тебя показывает ifconfig при выключенном и включенном VPN-соединении в студию...

P.S: если у Вас в виндоус, то утилита называется ipconfig

Добрый день. Не так давно сделал сеть OpenVPN, работает, но столкнулся с одной проблемой. Провайдер ограничивает в одну сторону скорость: 5 Kb/сек на одно соединение. Это ограничение действует на физическую сеть (LAN), поэтому в сети VPN нельзя в эту сторону добиться суммарной скорости более 5 Kb/сек, а то и до 1го падает. Нет ли возможности для OpenVPN сделать 2 и более параллельных соединений между клиентом и сервером VPN, используя один и тот же TAP-Win32 Adapter, на подобие того, как параллельными соединениями качает Reget и Download Master?

nick7inc
ну овпн может работать по удп, это вообще протокол без соединений, просто одиночные пакеты

rain87
UDP запрещён (думаю, что как раз из-за этого).
Так что вопрос в силе.

Добавлено:
По крайней мере, по UDP соединение мне не удалось установить.

nick7inc
нну. афаик овпн такого не умеет, может кто поправит

но можно наклепать пачку адаптеров и "объединить" их. я правда так никогда не делал, но вроде как работает такая схема. я лично мельком читал об этом тут http://gazette.linux.ru.net/rus/articles/lartc/c1389.html , под винду тоже вроде как есть что то подобное

rain87

Цитата:

под винду тоже вроде как есть что то подобное

То что ты привёл как пример это Linux Advanced Routing & Traffic Control и под винду такого нет... Хотя если найдёш отпиши как реализовать то.

Ruza
ну именно такого ясно что нет. но может есть что то аналогичное, хотя поверхностный поиск никаких результатов не дал мб стоит спросить у вин-гуру, может есть какая мегапрога которая позволит такое сделать

Ясно, спасибо за помощь.

нужна помошь:
хочется проверять имя и пароль пользователя при подключении к OPENVPN серверу.
когда я создавал сертификаты, пароль для сертификата пользователя запрашивался.
а когда клиент подключается к серваку то всё равно что он там наберет...., для чего тогда этот пароль, подскажите что не хватает??

конфиг сервера:
port 1194
proto udp
dev tun
dev-node OVPN
tls-server
ca ca.crt
cert SRV.crt
key SRV.key
dh dh1024.pem
client-config-dir keys
ccd-exclusive
server 192.168.3.0 255.255.255.0
route 192.168.3.0 255.255.255.0
push "route 192.168.2.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"
push "dhcp-option DNS 192.168.3.2"
push "dhcp-option DNS 192.168.0.3"
push "dhcp-option WINS 192.168.0.3"
keepalive 10 120
comp-lzo
status openvpn-status.log
persist-key
persist-tun
verb 3
mute 50
----------------------------------------------------------------------
конфиг клиента:
nobind
remote ХХХ.ХХХ.ХХХ.ХХХ
port 1194
dev tun
dev-node OVPN
proto udp
auth-user-pass
pull
tls-client
reneg-sec 1209600

persist-key
persist-tun

resolv-retry infinite
nobind


ca "c:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "c:\\Program Files\\OpenVPN\\config\\client.crt"
key "c:\\Program Files\\OpenVPN\\config\\client.key"

comp-lzo

UT3
Цитата:

--auth-user-pass [up]
Authenticate with server using username/password. up is a file containing username/password on 2 lines (Note: OpenVPN will only read passwords from a file if it has been built with the --enable-password-save configure option, or on Windows by defining ENABLE_PASSWORD_SAVE in config-win32.h).

If up is omitted, username/password will be prompted from the console.

The server configuration must specify an --auth-user-pass-verify script to verify the username/password provided by the client.

http://openvpn.net/index.php/documentation/manuals/openvpn-20x-manpage.html

авторизация овпн идёт либо по сертфикатам (у каждого клиента свой, если не указано client-cert-not-required на сервере), либо по логину/паролю (тогда серверу надо указать скрипт который будет их проверять, иначе серв их игнорит), либо по обоим параметрам

Здравствуйте. Есть проблема с динамическим IP и OpenVPN. Сервер установлен на машине с динамическим IP, используется сервис DynDNS.ORG. У одного клиента, который подключается к серверу всё нормально, у второго не обновляется IP адрес. В конфигурации обоих клюентов указана опция resolv-retry infinite, но почему-то проблемный клиент всё также ломится по старому IP до того момента, когда система сбрасывает DNS-кэш (или я сделаю это вручную IPCONFIG /FLUSHDNS).

Подскажите, где искать ошибку?
Спасибо.

[more=Конфиг клиента]
client

dev tun

dev-node OVPN

proto tcp
proto tcp-client
connect-retry 70

remote barbarra.dyndns.org 31101

resolv-retry infinite

nobind

persist-key
persist-tun

ca ..\\easy-rsa\\keys\\Home_Net\\ca.crt
cert ..\\easy-rsa\\keys\\Home_Net\\client05.crt
key ..\\easy-rsa\\keys\\Home_Net\\client05.key

ns-cert-type server

tls-auth ..\\easy-rsa\\keys\\Home_Net\\ta.key 1

cipher BF-CBC # Blowfish (default)

comp-lzo

verb 3

mute 20
[/more]
[more=Конфиг сервера]
local 192.168.1.4

port 31101
tls-timeout 5
management tunnel 1201 ..\\easy-rsa\\keys\\psw.txt

proto tcp

dev tun

dev-node OVPN_SRV

ca ..\\easy-rsa\\keys\\ca.crt
cert ..\\easy-rsa\\keys\\server.crt
key ..\\easy-rsa\\keys\\server.key # This file should be kept secret

dh ..\\easy-rsa\\keys\\dh1024.pem

server 192.168.5.0 255.255.255.0

ifconfig-pool-persist ipp.txt

client-config-dir ccd

client-to-client

keepalive 10 100

tls-auth ..\\easy-rsa\\keys\\ta.key 0 # This file is secret

cipher BF-CBC # Blowfish (default)

comp-lzo

max-clients 50

persist-key
persist-tun

status openvpn_srv-status.log

verb 3

mute 20
[/more]

Добавлено:
На обоих клиентских компьютерах (проблемном и нормальном) запущена служба DNSCache.

nick7inc
ну попробуй клиенту добавить опцию
Цитата:

--ping-restart n
Similar to --ping-exit, but trigger a SIGUSR1 restart after n seconds pass without reception of a ping or other packet from remote.

This option is useful in cases where the remote peer has a dynamic IP address and a low-TTL DNS name is used to track the IP address using a service such as http://dyndns.org/ + a dynamic DNS client such as ddclient.

Добавлено:
хотя оно и так по дефолту вроде 120 сек. проблема явно в резолве днс на проблемной машине. попробуй руками на ней резолвнуть твоё имя сервера, когда его ип меняется. и если оно его резолвнет неправильно то думать надо

rain87
Спасибо с новой опцией попробую. На сервере её обязательно ставить (сервер слушает внутренний адрес)?

При помощи Ping DNS имя на проблемном клиенте ресолвится неправильно. Я даже уменьшил время кэша DNS имён в Windows до 15 минут. Странно, что на одном клиенте всё в порядке, а на 2х других такие глюки.

ну если имя резолвится неправильно то овпн ни при чём. это уже лучше спрашивать в теме по винде, я хз какие у неё могут быть там заморочки

Подскажите, что мне дальше делать. Поднимал openvpn на федоре9. Дошел до шага "тестирование сервера" и тут возникла проблема. Usage команды openvpn подрахумевает указание файла конфига сервера. Я не понимаю где его брать! Или это файл server.conf из папки /root/openvpn-2.0.9/sample-config-files ???

cmos
ну конфиг типа ты сам пишешь, в зависимости от того что тебе надо

Это я понял, а под каким именем и где его нужно сохранить, чтобы сервак его при запуске "подхватывал"???