M@gog
Участник
Ska,Reggae,Rocksteady,Dancehall,Hardcore!
licq:3816
|
| отправлено: 12-07-2011 19:32:37 | |
инфо • правка • ссылка • сообщить модератору |
Кто нить занимался построением впн сетки этой прогой?
уже неделю бьюсь над маршрутизацией-не могу открыть клиенту сеть за сервером опенвпн.
если кто занимался таким-могу конфигурацию сервера скинуть,может чего кто посоветует... |
|
| IP |
|
tears
Участник
И даже сквозь тучи пройдя не поймешь ты меня
licq:9988
|
| отправлено: 14-07-2011 17:48:40 | |
инфо • правка • ссылка • сообщить модератору |
To M@gog
я делал vpn сеть
протокол UDP
порт 1194
сеть openvpn 10.0.8.0/24
локалка 192.168.1.0/24
Client-to-client VPN
Cryptography BF-CBC(128bit)
Authentication method PKI
LZO compression
в сервере нужно было прописать маршрутизацию route 192.168.1.0 mask 255.255.255.0 и все сразу заработало.
и кстати сервер какой у меня pfsense 1.2.3 раздает отлично в нем все и прописывал.Но мне проше настроить pptp сервер в нем было. Через него у меня весь трафик идет через pptp. |
|
| IP |
|
tears
Участник
И даже сквозь тучи пройдя не поймешь ты меня
licq:9988
|
| отправлено: 14-07-2011 17:50:03 | |
инфо • правка • ссылка • сообщить модератору |
это клиентский конфиг.
##############################################
# Sample client-side OpenVPN 2.0 config file #
# for connecting to multi-client server. #
# #
# This configuration can be used by multiple #
# clients, however each client should have #
# its own cert and key files. #
# #
# On Windows, you might want to rename this #
# file so it has a .ovpn extension #
##############################################
# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
client
# Use the same setting as you are using on
# the server.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
;dev tap
dev tun
# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap
# Are we connecting to a TCP or
# UDP server? Use the same setting as
# on the server.
;proto tcp
proto udp
# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
;remote secure.elantech.ru 9999
remote адрес сервера 1194
# Choose a random host from the remote
# list for load-balancing. Otherwise
# try hosts in the order specified.
;remote-random
# Keep trying indefinitely to resolve the
# host name of the OpenVPN server. Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
resolv-retry infinite
# Most clients don't need to bind to
# a specific local port number.
nobind
# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nobody
# Try to preserve some state across restarts.
persist-key
persist-tun
# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here. See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings
# SSL/TLS parms.
# See the server config file for more
# description. It's best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
ca путь\\ca.crt
cert путь\\сертификат пользователя.crt
key путь\\ключ пользователя.key
# Verify server certificate by checking
# that the certicate has the nsCertType
# field set to "server". This is an
# important precaution to protect against
# a potential attack discussed here:
# http://openvpn.net/howto.html#mitm
#
# To use this feature, you will need to generate
# your server certificates with the nsCertType
# field set to "server". The build-key-server
# script in the easy-rsa folder will do this.
ns-cert-type server
# If a tls-auth key is used on the server
# then every client must also have the key.
;tls-auth ta.key 1
# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
cipher BF-CBC
# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
comp-lzo
# Set log file verbosity.
verb 3
# Silence repeating messages
;mute 20
#tun-mtu 1400
#fragment 1300
#mssfix
|
| Сообщение изменено tears от 2011-07-14 17:50:42 |
|
| IP |
|
tears
Участник
И даже сквозь тучи пройдя не поймешь ты меня
licq:9988
|
| отправлено: 14-07-2011 17:53:13 | |
инфо • правка • ссылка • сообщить модератору |
и кинь конфиг сервера можешь в лс
и кстати чтобы попасть в инет мне пришлось настраивать прокси сервер на сервера openvpn |
| Сообщение изменено tears от 2011-07-14 17:56:21 |
|
| IP |
|
M@gog
Участник
Ska,Reggae,Rocksteady,Dancehall,Hardcore!
licq:3816
|
| отправлено: 14-07-2011 22:40:34 | |
инфо • правка • ссылка • сообщить модератору |
To tears
цитата:
и кстати чтобы попасть в инет мне пришлось настраивать прокси сервер на сервера openvpn ну смотря какой у тебя конфиг инет шлюза... у нас в офисе иса-там всё ясно-понятно
цитата:
port 7000
proto tcp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/altlinux.amma.local.crt
key /etc/openvpn/keys/altlinux.amma.local.key # This file should be kept secret
dh /etc/openvpn/keys/dh1024.pem
server 10.11.1.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn-ipp.txt
push "route 10.11.0.0 255.255.255.0"
client-to-client
keepalive 15 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3
у тебя сервер-виндовый?
у меня просто Alt Linux. Да,у меня клиент достукивается до сервака,более того-получает адрес впн виртуального интерфейса,но дальше-за впн сервер не идёт в локалку офиса...
маршрут на серваке вручную прописывал? мне все знакомые говорят, что он автоматом должен прописаться,от сервисов опенвпна,но почему то такого не происходит,может я и прописал бы маршрут в ручную,но не знаю как это сделать на линуксе  )) новичок...
а на винде опенвпн сервер так и не получился-ругается на путь с пробелами,хотя как и надо прописал в конфиге например: са "С:\Program files..."
цитата:
pfsense 1.2.3 чесно говоря не слышал вообще о таком,не знаю что это
а про пптп сервер ты говорил заместо опенвпна?
насяльника требует ключи на флэшке запороленные,все дела,так что впн средствами венды отпал |
| Сообщение изменено M@gog от 2011-07-14 22:49:12 |
|
| IP |
|
tears
Участник
И даже сквозь тучи пройдя не поймешь ты меня
licq:9988
|
| отправлено: 15-07-2011 10:43:52 | |
инфо • правка • ссылка • сообщить модератору |
To M@gog
Сервер у меня pfsense (построен на freebsd) у меня pptp и openvpn работают совместно и инет раздает и комп amd 1600 герц и 512 оперативки 160 гигов винт.
проще настраивать через web интерфейс. И логи красиво рисует Lightsquid
цитата:
маршрут на серваке вручную прописывал? мне все знакомые говорят, что он автоматом должен прописаться,от сервисов опенвпна,но почему то такого не происходит,может я и прописал бы маршрут в ручную,но не знаю как это сделать на линуксе
у меня стоит с кустом настройках openvpn маршрутизация
push "route 192.168.1.0(внутреняя подсеть на сервере openvpn) 255.255.255.0"
и тогда пускает во внутрению подсеть. Маршрут у меня автоматом прописывается у клиентов
цитата:
а на винде опенвпн сервер так и не получился-ругается на путь с пробелами,хотя как и надо прописал в конфиге например: са "С:\Program files..."
можно и так прописать попробывать
%ProgramFiles%
а может у тебя на шлюзе проблемы с Firewall настройками или нужно поднять еще 1 интерфейс у меня WAN LAN OPT1(как раз опенвпн)
|
| Сообщение изменено tears от 2011-07-15 10:48:37 |
|
| IP |
|
M@gog
Участник
Ska,Reggae,Rocksteady,Dancehall,Hardcore!
licq:3816
|
| отправлено: 15-07-2011 12:02:37 | |
инфо • правка • ссылка • сообщить модератору |
To tears
так подожди... как раз таки команда:
цитата:
push "route 192.168.1.0(внутреняя подсеть на сервере openvpn) 255.255.255.0" и прописывает маршруты клиентам опенвпна, поэтому и цитата:
Маршрут у меня автоматом прописывается у клиентов на стороне клиента то всё понятно,но нет маршрута уже на сервере от виртуальной до физической подсети,вот в чем подвох...
цитата:
%ProgramFiles% так не пробовал,но уже же веть совсем чуть-чуть осталось на линухе,1-на проблема,неохото всё заново делать )
цитата:
а может у тебя на шлюзе проблемы с Firewall настройками или нужно поднять еще 1 интерфейс у меня WAN LAN OPT1(как раз опенвпн) вот нащёт фаерволла не знаю,разве он должен учавствовать в маршрутизации виртуальных интерфейсов? дело то в том что OpenVPN сервер и шлюз-разные серваки (даже физически) |
|
| IP |
|
tears
Участник
И даже сквозь тучи пройдя не поймешь ты меня
licq:9988
|
|
M@gog
Участник
Ska,Reggae,Rocksteady,Dancehall,Hardcore!
licq:3816
|
| отправлено: 15-07-2011 12:44:31 | |
инфо • правка • ссылка • сообщить модератору |
To tears
да,настроен,причем как вверху писал-клиент соединяеца и пингует опенвпн сервер,т.е. переброс портов норм работает |
|
| IP |
|
tears
Участник
И даже сквозь тучи пройдя не поймешь ты меня
licq:9988
|
|
tears
Участник
И даже сквозь тучи пройдя не поймешь ты меня
licq:9988
|
| отправлено: 16-07-2011 00:22:42 | |
инфо • правка • ссылка • сообщить модератору |
To M@gog
вот мой конфиг сервера
writepid /var/run/openvpn_server0.pid
#user nobody
#group nobody
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
dev tun
proto udp
cipher BF-CBC
up /etc/rc.filter_configure
down /etc/rc.filter_configure
client-to-client
server 10.0.8.0 255.255.255.0
client-config-dir /var/etc/openvpn_csc
push "route 192.168.1.0 255.255.255.0"
lport 1194
ca /var/etc/openvpn_server0.ca
cert /var/etc/openvpn_server0.cert
key /var/etc/openvpn_server0.key
dh /var/etc/openvpn_server0.dh
comp-lzo
push "route 192.168.1.0 255.255.255.0" |
|
| IP |
|
M@gog
Участник
Ska,Reggae,Rocksteady,Dancehall,Hardcore!
licq:3816
|
|
tears
Участник
И даже сквозь тучи пройдя не поймешь ты меня
licq:9988
|
| отправлено: 16-07-2011 21:51:47 | |
инфо • правка • ссылка • сообщить модератору |
To M@gog
но чтоб попасть в локалку я настраиваю прокси сервер в свойствах internet explorer 192.168.1.1 8080 |
|
| IP |
|
M@gog
Участник
Ska,Reggae,Rocksteady,Dancehall,Hardcore!
licq:3816
|
|
tears
Участник
И даже сквозь тучи пройдя не поймешь ты меня
licq:9988
|
| отправлено: 17-07-2011 23:36:55 | |
инфо • правка • ссылка • сообщить модератору |
To M@gog
ну у меня стоит squid он не пускает куда не нужно |
| Сообщение изменено tears от 2011-07-18 00:06:03 |
|
| IP |
|
tears
Участник
И даже сквозь тучи пройдя не поймешь ты меня
licq:9988
|
| отправлено: 18-07-2011 00:25:25 | |
инфо • правка • ссылка • сообщить модератору |
To M@gog
а ты на шлюзе прописал роут для своего openvpn ?
цитата:
push "route 10.11.0.0 255.255.255.0"
здесь у тебя должна быть локальная подсеть
попробуй прописать маршруты на шлюзе чтото вроде этого
route 192.168.подсеть.0 255.255.255.0 10.11.0.(IP сервера OPENVPN)
|
| Сообщение изменено tears от 2011-07-18 00:25:53 |
|
| IP |
|
M@gog
Участник
Ska,Reggae,Rocksteady,Dancehall,Hardcore!
licq:3816
|
| отправлено: 18-07-2011 07:41:54 | |
инфо • правка • ссылка • сообщить модератору |
To tears
цитата:
push "route 10.11.0.0 255.255.255.0" эта строка передаёт клиенту маршрут,а не серверу,есть такая.
цитата:
route 192.168.подсеть.0 255.255.255.0 10.11.0.(IP сервера OPENVPN) в конфиге опенвпна? пробовал-ничего не изменилось,маршрут не добавился,надо я так понял на линухе вручную прописать,минуя опенвпн |
|
| IP |
|
tears
Участник
И даже сквозь тучи пройдя не поймешь ты меня
licq:9988
|
| отправлено: 18-07-2011 08:58:42 | |
инфо • правка • ссылка • сообщить модератору |
To M@gog
в конфиге у меня прописанно только
push "route 192.168.1.0 255.255.255.0"
цитата:
route 192.168.подсеть.0 255.255.255.0 10.11.0.(IP сервера OPENVPN)
это нада на шлюзе
а с компа openvpn пингуется локалка
кстати попробуй сделать bridge сетевой мост |
|
| IP |
|
M@gog
Участник
Ska,Reggae,Rocksteady,Dancehall,Hardcore!
licq:3816
|
| отправлено: 25-07-2011 10:57:16 | |
инфо • правка • ссылка • сообщить модератору |
To tears
даааа!!!!! ЕЕЕЕЕ!!!!!!!
настроил всё таки... выискал совет на ру-боарде
цитата:
очень похоже что на овпн серваке надо натить овпн сеть в реальную
iptables -t nat -A POSTROUTING -s 10.11.1.0/24 -j SNAT --to-source 10.11.0.21
совершенно не в исе и не в опенвпне было дело ))
теперь всё пашет как надо!
Урок таков: надо никсы изучать =\ |
|
| IP |
|
tears
Участник
И даже сквозь тучи пройдя не поймешь ты меня
licq:9988
|
|
M@gog
Участник
Ska,Reggae,Rocksteady,Dancehall,Hardcore!
licq:3816
|
| отправлено: 29-07-2011 09:58:59 | |
инфо • правка • ссылка • сообщить модератору |
To tears
теперь такая проблема...
отозвал один из сертификатов...
по мануалам выисканным из инетов прописал строку:
crl-verify /etc/openvpn/keys/crl.pem
в конфиг сервера
сертификат отозвался,но теперь любой клиент коннектясь,выдаёт такую ошибку:
цитата:
Fri Jul 29 09:04:53 2011 OpenVPN 2.2.1 Win32-MSVC++ [SSL] [LZO2] built on Jul 1 2011
Fri Jul 29 09:04:53 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Jul 29 09:04:53 2011 LZO compression initialized
Fri Jul 29 09:04:53 2011 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Fri Jul 29 09:04:53 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Jul 29 09:04:53 2011 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Jul 29 09:04:53 2011 Local Options hash (VER=V4): '69109d17'
Fri Jul 29 09:04:53 2011 Expected Remote Options hash (VER=V4): 'c0103fa8'
Fri Jul 29 09:04:53 2011 Attempting to establish TCP connection with IP:Port
Fri Jul 29 09:04:53 2011 TCP connection established with IP:Port
Fri Jul 29 09:04:53 2011 TCPv4_CLIENT link local: [undef]
Fri Jul 29 09:04:53 2011 TCPv4_CLIENT link remote: IP:Port
Fri Jul 29 09:04:53 2011 TLS: Initial packet from IP:Port, sid=77973a95 66003985
Fri Jul 29 09:04:54 2011 VERIFY OK: depth=1, /C=RU/ST=MO/L=*/O=*/CN=altlinux.*.local/emailAddress=*@domain.ru
Fri Jul 29 09:04:54 2011 VERIFY OK: nsCertType=SERVER
Fri Jul 29 09:04:54 2011 VERIFY OK: depth=0, /C=RU/ST=MO/O=Amma/CN=altlinux.*.local/emailAddress=*@domain.ru
Fri Jul 29 09:04:54 2011 Connection reset, restarting [-1]
Fri Jul 29 09:04:54 2011 TCP/UDP: Closing socket
Fri Jul 29 09:04:54 2011 SIGUSR1[soft,connection-reset] received, process restarting
Fri Jul 29 09:04:54 2011 Restart pause, 5 second(s)
Fri Jul 29 09:04:59 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Jul 29 09:04:59 2011 Re-using SSL/TLS context
Fri Jul 29 09:04:59 2011 LZO compression initialized
Fri Jul 29 09:04:59 2011 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Fri Jul 29 09:04:59 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Jul 29 09:04:59 2011 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Jul 29 09:04:59 2011 Local Options hash (VER=V4): '69109d17'
Fri Jul 29 09:04:59 2011 Expected Remote Options hash (VER=V4): 'c0103fa8'
Fri Jul 29 09:04:59 2011 Attempting to establish TCP connection with IP:Port
Fri Jul 29 09:05:00 2011 TCP: connect to IP:Port failed, will try again in 5 seconds: Connection refused (WSAECONNREFUSED)
Fri Jul 29 09:05:06 2011 TCP: connect to IP:Port failed, will try again in 5 seconds: Connection refused (WSAECONNREFUSED)
Fri Jul 29 09:05:17 2011 SIGTERM[hard,init_instance] received, process exitin
залезаю на сервак-смотрю,интерфейс tun0 отвалился,при рестарте сервиса всё опять восстанавливается,до первого коннекта клиента,далее ошибка тажа что и вверху |
| Сообщение изменено M@gog от 2011-07-29 10:00:19 |
|
| IP |
|
tears
Участник
И даже сквозь тучи пройдя не поймешь ты меня
licq:9988
|
| отправлено: 30-07-2011 01:20:23 | |
инфо • правка • ссылка • сообщить модератору |
To M@gog
по гуглил в нете
цитата:
В общем решил проблему. скопировал crl.pem в каталог /var/lib/openvpn/etc/openvpn, в конфиге сервера прописал crl-verify /etc/openvpn/crl.pem и все заработало. Все дело оказалось в chroot'е. После каждого отзыва сертификата его нужно копировать туда
у человека тоже ALTLINUX |
| Сообщение изменено tears от 2011-07-30 01:20:48 |
|
| IP |
|
M@gog
Участник
Ska,Reggae,Rocksteady,Dancehall,Hardcore!
licq:3816
|
|
|