» OpenVPN

Будьте добры подскажите как, что-то не получается, остальные ключики все ok, а с ta не понял

И еще вопрос, как можно на сервере глянуть информацию по DHCP какой клиент с каким маком какой получил адрес

MENN
Цитата:

Будьте добры подскажите как

Код: tls-auth [inline]
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</tls-auth>

Спасибо за подсказку, погуглил и запустил.
Пришлось на клиенте еще дописать
key-direction 1

В итоге вид:

tls-auth [inline]
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</tls-auth>

Подскажите, пож-та, существует ли OpenVPN portable 2.3.7?
Или как запустить её с флешки?

SemV
Цитата:

Подскажите, пож-та, существует ли OpenVPN portable 2.3.7?

Проект OpenVPN Portable больше не развивается.
Цитата:

Или как запустить её с флешки?

Смысл? OpenVPN требует установки виртуального сетевого адаптера, а значит, админских прав.
А запустить ее после установки адаптера можно из любого места.

vlary
Смысл... не хочу оставлять лишних следов. Portable при выходе позволяет удалить драйвер.

Помогите пожалуйста как средствами OpenVPN
решить задачу

Как получить доступ к Device от client 1

Между собой client1 видит сервер и видит client2

MENN
видимо у 192.168.0.2 (client 2 VPN 10.68.68.3) должен быть еще один ip адрес который смотрит в сторону Device ? Может на Device запустить клиента OpenVPN ?
а вообще адреса вида 169.254.х.х (называется адресом APIPA) назначаются сетевой карте когда она не может получить адрес от DHCP сервера

Да извините, точно забыл указать адрес, поправил .

Device он такой девайс - оборудование которое подключено к client2 и сним ничего нельзя сделать, причем через маппер по портам я могу получить то что хочу но мне интересно попасть на него с client1 как бы видеть его, как будто я сижу на client 2.

client2 тоже специфический MAC (вроде нашел OpenVPM под MAC Os)

MENN
Цитата:

Как получить доступ к Device от client 1

1. На сервере должен быть указан маршрут к сети 192.168.0.0
через клиента 1 (директива iroute )
2. Девайс должен быть в сети 192.168.0.0, иначе его не увидит даже клиент 1.
Если он подключен к клиент 1 через второй адаптер, это дополнительный геморрой.
3. У клиента 2 сервер должен быть дефолт шлюзом, либо прописан маршрут в сеть
192.168.0.0 через сервер.
4. На девайсе должен быть прописан маршрут к сети 192.168.68.0 через клиент 1.
5. На клиент 1 через реестр должна быть разрешена маршрутизация.

к сожалению на девайсе ничего нельзя сделать, это прибор он подключен физически к отдельному сетевому адаптеру, поправил картинку.

на клиенте 1 и клиенте 2 прописал redirect-gateway def1 - ходят в интернет через openvpn

еще момент сижу и думаю tap или tun лучше использовать


может есть смысл OpenVPN сервер в подсети 169.254.0.0 сделать ?

MENN Каким манером? Если девайс со своей сетевой картой?
Не морочь себе голову, пусть клиент 1 ходит на клиент 2 по RDP. VNC, Radmin, TeamViewer,
и оттуда любуется девайсом до посинения.

сервер 169.254
на удаленном компе где девайс, второй сетевой бриджуется с OpnVPN, все видится и работает.

Думаю вопрос уже обсуждался , но он интересен .
Есть домен , в нем настроен сервер openvpn sert+key авторизация . В домене 2 подсети , нужен только доступ к ресурсу серверов обеих подсетей (отлично работает). Проблем 2 .
1. Пользователь на своих компах должен запускать от имени админа . Это не подходит .
какие политики должны быть добавлены в домен , разрешающие вносить приложению опенвпн маршруты на локальном компе пользователя при помощи утилиты route.exe (формулировка не очень,общий с мысл понятен)
2. в сети домена , есть впн шлюз в большую корпоративную сеть. Для правильной маршрутизации трафика пакеты нужно сразу на шлюз в большую сеть отправлять или сначало на впн сервер а он уже на отправляет пакеты на шлюз ???

Gaiverxxi
вот такая мысль.
почему бы не реализовать VPN подключение средствами windows?

Цитата:

Думаю вопрос уже обсуждался , но он интересен .
Есть домен , в нем настроен сервер openvpn sert+key авторизация . В домене 2 подсети , нужен только доступ к ресурсу серверов обеих подсетей (отлично работает). Проблем 2 .
1. Пользователь на своих компах должен запускать от имени админа . Это не подходит .
какие политики должны быть добавлены в домен , разрешающие вносить приложению опенвпн маршруты на локальном компе пользователя при помощи утилиты route.exe (формулировка не очень,общий с мысл понятен)
2. в сети домена , есть впн шлюз в большую корпоративную сеть. Для правильной маршрутизации трафика пакеты нужно сразу на шлюз в большую сеть отправлять или сначало на впн сервер а он уже на отправляет пакеты на шлюз ???

по 1-му вопросу:
а) - есть бесплатные тулзы типа adminlink которые позволяют запускать софт от имени другого пользователя
не сообщая пользователю логин/пароль (дыра конечно, но пользователи не блещут умом - прокатывает)
б) - есть вариант повесить VPN как службу - всегда включена, всегда на связи (минус - спам в логах о потери связи с сервером, наглядно не видно есть коннект или нет)
в) - права админа не нужны - нужны права на добавление маршрутов - т.е. "менеджера сети"
+ меньше прав чем у админа
- пользователь может отключить сеть...

г) если известны сервера и их ресурсы - то возможно на шлюзе-vpn-server`e можно сделать проброс портов
+ очень безопасно,
+ не требует от пользака вообще ничего
- не все можно пробросить


для ответа на второй вопрос необходимо видеть схему подключения внешнего клиента и офисов между собой

из практики скажу, что УДОБНЕЕ иметь один шлюз в офисе-филиале нежели шлюз и vpn сервер по отдельности...
рулить правилами просто удобнее.




Добавлено:

Цитата:

Gaiverxxi
вот такая мысль.
почему бы не реализовать VPN подключение средствами windоws?

встроенный vpn - надежностью не хвастается...
а если ставить на винду тот-же OpenVPN - то особой разницы нет
разве, что фаервол настраивать на сервере средствами винды придется.

по практике выставлять винду наружу - не рекомендуется.
тут и проблема в безопасности последней, и в ресурсах винда сожрет значительно больше
чем любые *никсы с задачей маршрутизатора-vpn

admin931

Цитата:

встроенный vpn - надежностью не хвастается...

даже в качестве клиента?

Цитата:

встроенный vpn - надежностью не хвастается...
даже в качестве клиента?

а какая разница? клиент не надежен или сервер?

M$ приближается к пути, по которому выпуск мега-баговонного софта - это правильно, ибо позволяет побольше продать потом своих обновлений...
но это все лирика. Тема про OpenVPN, и обсуждать другое нужно в других темах.
лично мое мнение: преимущество OpenVPN перед другими вариантами - Безопасность* и возможность глубокой настройки под свои нужды. На чем он будет стоять - особой разницы нет.
настройка фаерволов и прочих фильтров - это задачи совсем не OpenVPN, хотя некоторые вещи он и умеет.

* - при правильной настройке.

Цитата:

б) - есть вариант повесить VPN как службу - всегда включена, всегда на связи (минус - спам в логах о потери связи с сервером, наглядно не видно есть коннект или нет)

Тут все упирается в наличие паролей для подключения(аутентификация на сервере ВПН по сертификату и пользователю паролю) или в реализацию скриптов с правами администратора.
пробовал способ с локальными админами , но получил огромную дыру в безопасности.
Если есть возможность , подробнее расскажите о

Цитата:

в) - права админа не нужны - нужны права на добавление маршрутов - т.е. "менеджера сети"  
+ меньше прав чем у админа
- пользователь может отключить сеть...

у пользователя появляется ограниченный доступ к серверу. можно ли реализовать это частичным добавлением политик


Цитата:

г) если известны сервера и их ресурсы - то возможно на шлюзе-vpn-server`e можно сделать проброс портов
+ очень безопасно,  
+ не требует от пользака вообще ничего
- не все можно пробросить

к сожалению к маршрутизации трафика на корпоративном впн доступа не имею(он настраивается корпоративными айти , они инфу эту не выдают ). Корпорация лишь дает скромные рекомендации по айпипулам для филиала , все остальное забирает на себя .
З.Ы. Система досталась по наследству , общий поверхностный аудит выявил несколько дырок. 80% решилось с ужесточением сетевых политик и отключение служб , остальные связаны с серверами, тут помогли анализаторы трафика. Я не супер-мега-крутой администратор , возможно чтото не нашел .
З.З.Ы. В связи с наличее общих ресурсов с филиалами , администраторам которых я могу что-то лишь рекомендовать , думаю проблема безопасности не так остра как я это вижу , но хотелось бы сделать чтото лучшее чем просто както ))))))
Спасибо за ответ , посмотрю в сторону сервера на дебиане.

Для начала лирика о правах доступа:
для самого OpenVPN, после его установки, права больше пользовательских не нужны.
в таком состоянии он способен соединиться с сервером и прописать прямой маршрут к внутренней сети OpenVPN

но права могут понадобиться чтобы прописать дополнительные маршруты и правила локального брендмауэра - фаервола.
в русской версии win7 такими правами обладают пользователи группы
"Операторы настройки сети"
цитата:
Цитата:

Члены этой группы могут иметь некоторые административные права для управления настройкой сетевых параметров

софт такие пользователи ставить не смогут, но вот настройки сети поменять могут любые...


Цитата:

Тут все упирается в наличие паролей для подключения(аутентификация на сервере ВПН по сертификату и пользователю паролю)

по дефолту как-раз таки нет... поясняю: обычно для авторизации применяют ключ-сертификат,
который и обеспечивает связь и ее безопасность.
но ключ теоретически можно скопировать и потерять, поэтому для его защиты его шифруют паролем пользователя.

если вы будете его ставить на сервер - за которым локально не будут работать другие пользователи. то ключ
можно расшифровать/установить пустой пароль или запустить сервис с ключами с указанием пароля.
этот вопрос можно проверить - пароль можно сменить локально через GUI. (бекап ключей перед этим сделать настоятельно РЕКОМЕНДУЮ!)
пустой пароль можно задать только через консоль =)


Цитата:

у пользователя появляется ограниченный доступ к серверу. можно ли реализовать это частичным добавлением политик

через политики можно все =)
в данном случае на компьютере, где будет работать OpenVPN-клиент, пользователя из под которого будет запущен сервис нужно добавить в указанную выше группу. Как вы это сделает не суть важно - можно и через политики.

лично я пользователям не особо доверяю, поэтому у меня есть еще прослойка в виде admilink (прочитать можно "тут"
в итоге пользователь кликает отдельный ярлычек на рабочем столе, и соединяется.
с помощью программы я "ограничиваю" их в пределах привилегированной программы - OpenVPN Gui
которая имеет доступ только к ключам (ставиться отдельно) и управлению сетью...
что касается НУ ОЧЕНЬ ПЫТЛИВЫХ пользователей - в жизни таких пока еще не втречал. и предпринятых мер более чем достаточно

защиты от специалиста который, вдруг захочет что-то от вас получить, нет и быть не может.


Цитата:

посмотрю в сторону сервера на дебиане

рекомендую смотреть сразу в сторону виртуального... с обновлением железа будет значительно проще.
да и поднимать, при сбоях, удобнее.

все это могу даже показать (если нужно письмо в личку)

Подскажите, у меня есть две vpn сетки: 10.192.100.0 и 10.192.111.0.
Хочется настроить одновременное автоматическое подключение к этим сеткам, т.е. чтобы после перезагрузки ПК (ОС Windows XP) у меня автоматом поднимались 2 vpn-соединения.

Подскажите, как это можно реализовать?

самый простой:
отказаться от сервиса и сделать два ярлыка с параметрами в автозагрузку

Помогите пожалуйста, устанавливаю OpenVPN 2.3.8 на windows server 2008 R2 вроде все норм устанавливается, однако tap-windows adapter V9 ни в какую не хочет запускаться. все время состояние отключено. Пробовал его переустанавливать, не помогает, на другом сервере все норм работает((

VENIKcheg Поставь на свою винду SoftEther сервер и не мучайся.

Цитата:

Помогите пожалуйста, устанавливаю OpenVPN 2.3.8 на windows server 2008 R2 вроде все норм устанавливается, однако tap-windows adapter V9 ни в какую не хочет запускаться. все время состояние отключено. Пробовал его переустанавливать, не помогает, на другом сервере все норм работает((

он и не должен работать =)
на самом деле он запуститься только тогда, когда вы произведете подключение к серверу.
обычно для этого у вас должно быть настроено подключение (конфиг и файлы ключей должны присутствовать в папке C:\Program Files\OpenVPN\config),
а само подключение осуществляется клиентом OpenVPN GUI,
который скорее всего у вас установлен...
если он установлен, то после запуска выберете соответствующий пункт меню.

VENIKcheg

Цитата:

Помогите пожалуйста, устанавливаю OpenVPN 2.3.8 на windows server 2008 R2 вроде все норм устанавливается, однако tap-windows adapter V9 ни в какую не хочет запускаться. все время состояние отключено. Пробовал его переустанавливать, не помогает, на другом сервере все норм работает((

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Value Name: IPEnableRouter
Value type: REG_DWORD
Value Data: 1
и все будет ладушки

Добавлено:
admin931

Цитата:

он и не должен работать =)
на самом деле он запуститься только тогда, когда вы произведете подключение к серверу.
обычно для этого у вас должно быть настроено подключение (конфиг и файлы ключей должны присутствовать в папке C:\Program Files\OpenVPN\config),
а само подключение осуществляется клиентом OpenVPN GUI

ойли.

Цитата:

ойли.

ну если не сервер-сервис конечно.

Друзья, на работе поднят VPN нам для работы из дома выданы скрины с настройками для подключения.
Когда я подключаюсьпо ВПН у меня весь трафик идет через ВПН, а там стоит фильтр, короче порнуху незя смотреть
как мне пустить с моего домашнего компа трафик через мою сеть, а впн пусть служит для подключения по РДП и софт фона.

LineykaSBK
Цитата:

Когда я подключаюсьпо ВПН у меня весь трафик идет через ВПН, а там стоит фильтр, короче порнуху незя смотреть

И это правильно! Так сделано из соображений безопасности.
Подключился к ВПН, сделал свою работу, отключился - и тогда смотри порнуху хоть до посинения.