» OpenVPN

Группа у пользователя nobody была nogroup. Добавил nogroup и всё заработало.

Да, не правильно я проблему сформулировал. Попытался открыть несколько сайтов типо https://2ip.ru/ , https://whoer.net/ru они не открылись. Надо было пинг сделать, и не по имени домена, а по IP адресу. Если бы я сделал ping yandex.ru ничего не пинговалось бы наверно.
Но всё равно полезно решать такие задачи как например перевод в TAP.

Ещё раз всем спасибо за помощь.

Привет всем, подскажите, пожалуйста. Есть виртуальный частный сервер (VPS) с ОС Win Server 2008 R2 Standard SP1. Данный VPS использую в личных (некоммерческих) целях. Сервер расположен в Англии.
Нужно на нём сделать сервер OpenVPN, чтобы к нему подключаться с домашнего ПК - для того, чтобы выходить в интернет с домашнего ПК со скрытым IP и скрытым местоположением для обхода санкций Google (я живу в Крыму).
Первую часть работы я как бы сделал - настроил сервер и клиента, сервер запускается успешно, клиент к нему подключается успешно, пинг от клиента к серверу (10.10.10.1) идёт успешно. Если я делаю на сервере общедоступную папку, то она появляется в сетевом окружении клиентского ПК.
Делал по этому руководству http://compkaluga.ru/articles/172/

Вопрос: что теперь крутить, чтобы IP и местоположение клиентского ПК скрывались?
Читал руководства, но нашёл только для Linux, для Windows не нашёл, но насколько я понимаю нужно делать port forwarding и настраивать NAT, делать redirect-gateway?
Как это всё делать? Подскажите, пожалуйста. Я не сис. админ, всё это делаю впервые чисто в личных целях. Спасибо.

ionico
Не мучайся, родной. Поставь SoftEther VPN Server
Настраивается в пол-пинка. На твой ПК даже ставить ничего не надо,
подойдет родной L2TP или SSTP клиент.
В свойствах соединения оставишь галку "использовать шлюз в удаленной сети",
по умолчанию она там уже стоит. И все будет работать так, как ты хочешь.

ionico - тебе нужно крутить роутинг и DNS,
на windows server, есть служба маршрутизации и удаленного доступа.
настройте его, но это вопрос в другую тему,
для клиента-сервера OpenVPN ответ был дан выше, повторю обобщенно конфиг или ccd-file:

Цитата:

push "route 0.0.0.0 0.0.0.0"
push "route-gateway 10.8.0.1"
push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

Цитата:

vlary

чувак! , если тебе из этой конторы приплачивают - делись!
хотя-бы правильными конфигами знаниями и заведи наконец отдельную тему.
Будь полезен обществу, а не посылай всех в тридесятое царство порока по имени SoftEther,
от которого нормальных конфигов днем с огнем не найти.

admin931
Цитата:

и заведи наконец отдельную тему

Вроде бы лесных пожаров еще не было... Со зрением не в порядке?
Я ссылку там дал как раз на свою тему, хотя денег мне японцы не платят,
как и OpenVPN, кстати. Эти оба продукта бесплатные, и более того, опенсорс.
Цитата:

от которого нормальных конфигов днем с огнем не найти.

Ты ни с чем не перепутал? На сайте проекта имеется прекрасная
документация, даже с картинками. И вовсе не на японском, а на обычном English.
Но если ты его не знаешь, то извини, это все равно как пытаться заниматься музыкой,
не зная нотной грамоты.

а как можно на windows клиентах настроить автоматическое подключение к openvpn серверу?

life_so_good
Цитата:

а как можно на windows клиентах настроить автоматическое подключение к openvpn серверу?

Let me google for you!
How to automatically log in to OpenVPN on Windows

vlary
I don't need it!
это конечно хорошо, но мне нужно несколько подключений поднимать

life_so_good
Цитата:

это конечно хорошо, но мне нужно несколько подключений поднимать

А из твоего предыдущего поста такое заключение можно было сделать?
Let's google for you again
Multiple OpenVPN connections on Windows 7

vlary
да это тоже все давно известно, у меня полно этих адаптеров, все чудесно при вызове из пользовательской среды
повторный вызов вот этого C:\Program Files (x86)\OpenVPN\bin\openvpn-gui-1.0.3.exe --connect host.ovpn сгенерирует ошибку openvpn gui is already running

life_so_good
Цитата:

повторный вызов вот этого

Ну ты опять сам себе противоречишь.
Если ты хочешь коннектиться автоматически, зачем тебе ГУЙ?
Делай батник и запускай оттуда непосредственно openvpn.exe с нужными host.ovpn

Обновился до Windows 10 и перестал работать OpenVPN. Ругается на TAP-adaper (якобы в система нет доступных ТАР-адаптеров), хотя адаптер на месте. Добавление нового ТАР-адаптера ничего не дает. При попытке удалить существующий ТАР-адаптер выдается ошибку. Как лечить?

Albertue
попробуй переставить openvpn взяв последний релиз

Цитата:

попробуй переставить openvpn взяв последний релиз

Так я последний и пробую

Здравствуйте.

У меня OpenVPN установлен на Windows Server 2012.
RDP поверх OpenVPN работает.
Появилась потребность VoIP внутри VPN'a сделать.
Установил Communigate.
На клиентской машине (Windows 8.1) установил SIP-клиента (пробовал Zoiper, LinPhone - результат одинаковый ).

IP адреса:
Сервер 192.168.7.100 (локалка), 10.8.0.1 (OpenVPN)
Клиент 192.168.2.5 (локалка), 10.8.0.20 (OpenVPN)
В настройках SIP клиента адрес SIP-сервера 10.8.0.1

Вызовы между клиентами OpenVPN проходят в обе стороны (есть еще клиент на смартфоне), но когда отвечаю на звонок на компьютере, то SIP клиент начинает передавать голосовой поток на адрес 192.168.7.100:60000. А такой адрес на клиенте не доступен.
Складывается впечатление, что Communigate передает клиенту адрес на который надо подключаться, но почему именно этот, а не 10.8.0.1 - не понимаю.
Пробовал на сервер Communigate "привязать" к адресу 10.8.0.1 - не получилось.

Тогда в конфиге OpenVPN на сервере добавил строчку
push "route 192.168.7.0 255.255.255.0"
На клиенте маршрут в route print появляется, но адрес 192.168.7.100 со стороны клиента не пингуется, ну и телефон тоже не работает.

Собственно вопрос:
1. как сделать, чтобы была связь клиента с локальным интерфейсом сервера?
2. Слабая надежда, да и оффтопик, но может кто знает, как Communigate "подкрутить"?

Спасибо.

Цитата:

Вызовы между клиентами OpenVPN проходят в обе стороны (есть еще клиент на смартфоне), но когда отвечаю на звонок на компьютере, то SIP клиент начинает передавать голосовой поток на адрес 192.168.7.100:60000. А такой адрес на клиенте не доступен.

У вас на сервере получается как минимум 2 интерфейса (2 подсети), локалка и OpenVPN. Чтобы из одной подсети видеть другую нужна маршрутизация. Она у вас есть? Может поднять RRAS и забыть? Времени нет, прочитал мельком, может чего упустил. Удачи.

Если я правильно понял, то
push "route 192.168.7.0 255.255.255.0"
обеспечивает доступ клиенту к локальной сети сервера,
вот и надеялся, что 192.168.7.100 станет доступен.

j2750685
Цитата:

вот и надеялся, что 192.168.7.100 станет доступен.

А он и доступен. Вот только в упор не знает, где это сеть 10.8.0.0.
Тебе лучше вместо TUN использовать TAP, и выдавать клиенту адрес 192.168.7.х
И еще момент. В клиенте надо указать, чтобы для приема/передачи потока
он использовал именно 192.168.7.х, а не 192.168.2.5

vlary

Цитата:

Вот только в упор не знает, где это сеть 10.8.0.0.

Что значит не знает?
В windows 2012 присутствуют оба интерфейса.

Проблема разрешилась включением IP Forwarding на сервере.
В ветке
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
параметр IPEnableRouter = 1.

Спасибо за советы.

vlary
подскажи, пожалуйста, где я накосячил)

Есть сервер с конфигом:


port 55555
proto udp
dev tun
ca                        ca.crt
cert                    tserver.crt
crl-verify                crl.pem
key                        tserver.key
dh                        dh.pem
tls-auth                ta.key 0
tls-server
client-config-dir         ccd
ifconfig-pool-persist     ipp.txt
server                     10.8.10.0 255.255.255.0
push                    "route 192.168.3.0 255.255.255.0"
push                    "route 192.168.4.0 255.255.255.0"
push                    "dhcp-option DNS 192.168.3.1"
keepalive                10 120
comp-lzo
user                    nobody
group                    nogroup
persist-key
persist-tun
status                    openvpn-status.log
log                        openvpn.log
verb                    3
mute                    20

есть правила для iptables:

#admin android
iptables -t nat -A POSTROUTING -s 10.8.10.6 -d 192.168.3.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.8.10.6 -d 192.168.4.0/24 -j MASQUERADE

#buh iphone
iptables -t nat -A POSTROUTING -s 10.8.10.18 -d 192.168.4.200 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.8.10.18 -d 192.168.4.1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.8.10.18 -d 192.168.4.81 -j MASQUERADE

#buh andr
iptables -t nat -A POSTROUTING -s 10.8.10.18 -d 192.168.4.200 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.8.10.18 -d 192.168.3.86 -j MASQUERADE

впн сервер находится в 3 подсети. из-вне проброшен порт 55555 на локальный ip сервера.
Я со своего смартфона (админ) имею доступ в 2 локальные сети.
сотрудник из бухгалтерии (айфон) имеет доступ к 3 серверам в 4 подсети, с другого устройства - к серверам в 3 и 4 подсетях соответственно.

Проблема в чем - при установлении впн соединения 3 сотрудник не имеет доступа в интернет. т.е. работает только впн соединение, а страницы в браузере или мессенджеры не работают. у меня и сотрудника №2 таких проблем нет.

как так?

mazafakaz
Правила какие-то совершенно дикие.
Зачем НАТить соединения между сетями? Их надо маршрутизировать
(цепочкой FORWARD)

vlary
можно пример?

работают главное)))

mazafakaz
Цитата:

можно пример?

Примера нету, у меня вся сеть с одной маской /16.

Цитата:

Зачем НАТить соединения между сетями? Их надо маршрутизировать
(цепочкой FORWARD)

в чистом виде роутинг работать будет только в том случае, если клиенты с обоих сторон знают маршрут к друг другу или этот сервер для них шлюз по-умолчанию.
иначе или нат или как здесь маскарадинг
маскарад удобнее использовать, если адрес сервера не статический, но за то у него накладные расходы на соединение больше, для домашнего пользователя это не особо актуально, а вот для всяких там провайдеров это существенно.
по поводу NAT пример на сервере:


Код: iptables -t nat -P POSTROUTING ACCEPT

#admin android
iptables -t nat -A POSTROUTING -s 10.8.10.6/32 -j SNAT --to-source 192.168.3.1
iptables -t nat -A POSTROUTING -s 10.8.10.6/32 -j SNAT --to-source 192.168.4.1

// 192.168.3.1 и 192.168.4.1 - соответствующие адреса сервера

admin931
спасибо, но не работает вообще - соединение устанавливается, но доступа нет с серверам.

я iptables правлю в rc.local:
вот кусок

https://drive.google.com/open?id=0B_EHkkNZE0AgNndhcW41ZVRzbWM

Здесь обсуждают OpenVPN под Линукс?
Подскажите, пожалуйста, как создать VPN-подключение с помощью клиента OpenVPN, чтобы шлюзом по умолчанию оставался интерфейс eth0?

RuPurple
То есть, на сервере стоит опция
push "redirect-gateway def1 bypass-dhcp"
и хочется ее на клиенте игнорировать?

разобрался со своей проблемой. прочитал пару страниц назад как Vania долбился о стену "отсутствия интернета"))))
короче, пинг ресурсов интернета по ip адресам проходил нормально. по доменным имена - никак вообще.
посмотрел что происходит на шлюзе - все пакеты на 53 порт блочились по подозрению в спуфинге...
добавил в качестве днс сервера 8.8.8.8 и все зашевелилось как мне нужно.


вопрос. почему обращение к службе днс 192.168.3.1(шлюз) происходит с адреса 10.8.10.6 (подсеть впн сервера), а не с 192.168.3.9 (локальный ip впн сервера)?

mazafakaz
Цитата:

вопрос. почему обращение к службе днс 192.168.3.1(шлюз) происходит с адреса 10.8.10.6 (подсеть впн сервера), а не с 192.168.3.9 (локальный ip впн сервера)?

А с какой стати? OpenVPN отдает клиенту адрес ДНС 192.168.3.1.
Тот и долбится туда со своего интерфейса 10.8.10.х

т.е. можно вместо 192.168.3.1 писать 192.168.3.9, а уже он будет перенаправлять запрос на 3.1?