M@gog
Участник
Ska,Reggae,Rocksteady,Dancehall,Hardcore!
licq:3816
|
отправлено: 12-07-2011 19:32:37 | |
инфо • правка • ссылка • сообщить модератору |
Кто нить занимался построением впн сетки этой прогой? уже неделю бьюсь над маршрутизацией-не могу открыть клиенту сеть за сервером опенвпн. если кто занимался таким-могу конфигурацию сервера скинуть,может чего кто посоветует... |
|
IP |
|
tears
Участник
И даже сквозь тучи пройдя не поймешь ты меня
licq:9988
|
отправлено: 14-07-2011 17:48:40 | |
инфо • правка • ссылка • сообщить модератору |
To M@gog я делал vpn сеть протокол UDP порт 1194 сеть openvpn 10.0.8.0/24 локалка 192.168.1.0/24 Client-to-client VPN Cryptography BF-CBC(128bit) Authentication method PKI LZO compression в сервере нужно было прописать маршрутизацию route 192.168.1.0 mask 255.255.255.0 и все сразу заработало. и кстати сервер какой у меня pfsense 1.2.3 раздает отлично в нем все и прописывал.Но мне проше настроить pptp сервер в нем было. Через него у меня весь трафик идет через pptp. |
|
IP |
|
tears
Участник
И даже сквозь тучи пройдя не поймешь ты меня
licq:9988
|
отправлено: 14-07-2011 17:50:03 | |
инфо • правка • ссылка • сообщить модератору |
это клиентский конфиг. ############################################## # Sample client-side OpenVPN 2.0 config file # # for connecting to multi-client server. # # # # This configuration can be used by multiple # # clients, however each client should have # # its own cert and key files. # # # # On Windows, you might want to rename this # # file so it has a .ovpn extension # ############################################## # Specify that we are a client and that we # will be pulling certain config file directives # from the server. client # Use the same setting as you are using on # the server. # On most systems, the VPN will not function # unless you partially or fully disable # the firewall for the TUN/TAP interface. ;dev tap dev tun # Windows needs the TAP-Win32 adapter name # from the Network Connections panel # if you have more than one. On XP SP2, # you may need to disable the firewall # for the TAP adapter. ;dev-node MyTap # Are we connecting to a TCP or # UDP server? Use the same setting as # on the server. ;proto tcp proto udp # The hostname/IP and port of the server. # You can have multiple remote entries # to load balance between the servers. ;remote secure.elantech.ru 9999 remote адрес сервера 1194 # Choose a random host from the remote # list for load-balancing. Otherwise # try hosts in the order specified. ;remote-random # Keep trying indefinitely to resolve the # host name of the OpenVPN server. Very useful # on machines which are not permanently connected # to the internet such as laptops. resolv-retry infinite # Most clients don't need to bind to # a specific local port number. nobind # Downgrade privileges after initialization (non-Windows only) ;user nobody ;group nobody # Try to preserve some state across restarts. persist-key persist-tun # If you are connecting through an # HTTP proxy to reach the actual OpenVPN # server, put the proxy server/IP and # port number here. See the man page # if your proxy server requires # authentication. ;http-proxy-retry # retry on connection failures ;http-proxy [proxy server] [proxy port #] # Wireless networks often produce a lot # of duplicate packets. Set this flag # to silence duplicate packet warnings. ;mute-replay-warnings # SSL/TLS parms. # See the server config file for more # description. It's best to use # a separate .crt/.key file pair # for each client. A single ca # file can be used for all clients. ca путь\\ca.crt cert путь\\сертификат пользователя.crt key путь\\ключ пользователя.key # Verify server certificate by checking # that the certicate has the nsCertType # field set to "server". This is an # important precaution to protect against # a potential attack discussed here: # http://openvpn.net/howto.html#mitm # # To use this feature, you will need to generate # your server certificates with the nsCertType # field set to "server". The build-key-server # script in the easy-rsa folder will do this. ns-cert-type server # If a tls-auth key is used on the server # then every client must also have the key. ;tls-auth ta.key 1 # Select a cryptographic cipher. # If the cipher option is used on the server # then you must also specify it here. cipher BF-CBC # Enable compression on the VPN link. # Don't enable this unless it is also # enabled in the server config file. comp-lzo # Set log file verbosity. verb 3 # Silence repeating messages ;mute 20 #tun-mtu 1400 #fragment 1300 #mssfix |
Сообщение изменено tears от 2011-07-14 17:50:42 |
|
IP |
|
tears
Участник
И даже сквозь тучи пройдя не поймешь ты меня
licq:9988
|
отправлено: 14-07-2011 17:53:13 | |
инфо • правка • ссылка • сообщить модератору |
и кинь конфиг сервера можешь в лс и кстати чтобы попасть в инет мне пришлось настраивать прокси сервер на сервера openvpn |
Сообщение изменено tears от 2011-07-14 17:56:21 |
|
IP |
|
M@gog
Участник
Ska,Reggae,Rocksteady,Dancehall,Hardcore!
licq:3816
|
отправлено: 14-07-2011 22:40:34 | |
инфо • правка • ссылка • сообщить модератору |
To tears цитата: и кстати чтобы попасть в инет мне пришлось настраивать прокси сервер на сервера openvpn ну смотря какой у тебя конфиг инет шлюза... у нас в офисе иса-там всё ясно-понятно цитата: port 7000 proto tcp dev tun ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/altlinux.amma.local.crt key /etc/openvpn/keys/altlinux.amma.local.key # This file should be kept secret dh /etc/openvpn/keys/dh1024.pem server 10.11.1.0 255.255.255.0 ifconfig-pool-persist /var/log/openvpn-ipp.txt push "route 10.11.0.0 255.255.255.0" client-to-client keepalive 15 120 comp-lzo user nobody group nobody persist-key persist-tun status /var/log/openvpn-status.log verb 3 у тебя сервер-виндовый? у меня просто Alt Linux. Да,у меня клиент достукивается до сервака,более того-получает адрес впн виртуального интерфейса,но дальше-за впн сервер не идёт в локалку офиса... маршрут на серваке вручную прописывал? мне все знакомые говорят, что он автоматом должен прописаться,от сервисов опенвпна,но почему то такого не происходит,может я и прописал бы маршрут в ручную,но не знаю как это сделать на линуксе )) новичок... а на винде опенвпн сервер так и не получился-ругается на путь с пробелами,хотя как и надо прописал в конфиге например: са "С:\Program files..." цитата: pfsense 1.2.3 чесно говоря не слышал вообще о таком,не знаю что это а про пптп сервер ты говорил заместо опенвпна? насяльника требует ключи на флэшке запороленные,все дела,так что впн средствами венды отпал |
Сообщение изменено M@gog от 2011-07-14 22:49:12 |
|
IP |
|
tears
Участник
И даже сквозь тучи пройдя не поймешь ты меня
licq:9988
|
отправлено: 15-07-2011 10:43:52 | |
инфо • правка • ссылка • сообщить модератору |
To M@gog Сервер у меня pfsense (построен на freebsd) у меня pptp и openvpn работают совместно и инет раздает и комп amd 1600 герц и 512 оперативки 160 гигов винт. проще настраивать через web интерфейс. И логи красиво рисует Lightsquid цитата: маршрут на серваке вручную прописывал? мне все знакомые говорят, что он автоматом должен прописаться,от сервисов опенвпна,но почему то такого не происходит,может я и прописал бы маршрут в ручную,но не знаю как это сделать на линуксе у меня стоит с кустом настройках openvpn маршрутизация push "route 192.168.1.0(внутреняя подсеть на сервере openvpn) 255.255.255.0" и тогда пускает во внутрению подсеть. Маршрут у меня автоматом прописывается у клиентов цитата: а на винде опенвпн сервер так и не получился-ругается на путь с пробелами,хотя как и надо прописал в конфиге например: са "С:\Program files..." можно и так прописать попробывать %ProgramFiles% а может у тебя на шлюзе проблемы с Firewall настройками или нужно поднять еще 1 интерфейс у меня WAN LAN OPT1(как раз опенвпн) |
Сообщение изменено tears от 2011-07-15 10:48:37 |
|
IP |
|
M@gog
Участник
Ska,Reggae,Rocksteady,Dancehall,Hardcore!
licq:3816
|
отправлено: 15-07-2011 12:02:37 | |
инфо • правка • ссылка • сообщить модератору |
To tears так подожди... как раз таки команда: цитата: push "route 192.168.1.0(внутреняя подсеть на сервере openvpn) 255.255.255.0" и прописывает маршруты клиентам опенвпна, поэтому и цитата: Маршрут у меня автоматом прописывается у клиентов на стороне клиента то всё понятно,но нет маршрута уже на сервере от виртуальной до физической подсети,вот в чем подвох... цитата: %ProgramFiles% так не пробовал,но уже же веть совсем чуть-чуть осталось на линухе,1-на проблема,неохото всё заново делать ) цитата: а может у тебя на шлюзе проблемы с Firewall настройками или нужно поднять еще 1 интерфейс у меня WAN LAN OPT1(как раз опенвпн) вот нащёт фаерволла не знаю,разве он должен учавствовать в маршрутизации виртуальных интерфейсов? дело то в том что OpenVPN сервер и шлюз-разные серваки (даже физически) |
|
IP |
|
tears
Участник
И даже сквозь тучи пройдя не поймешь ты меня
licq:9988
|
|
M@gog
Участник
Ska,Reggae,Rocksteady,Dancehall,Hardcore!
licq:3816
|
отправлено: 15-07-2011 12:44:31 | |
инфо • правка • ссылка • сообщить модератору |
To tears да,настроен,причем как вверху писал-клиент соединяеца и пингует опенвпн сервер,т.е. переброс портов норм работает |
|
IP |
|
tears
Участник
И даже сквозь тучи пройдя не поймешь ты меня
licq:9988
|
|
tears
Участник
И даже сквозь тучи пройдя не поймешь ты меня
licq:9988
|
отправлено: 16-07-2011 00:22:42 | |
инфо • правка • ссылка • сообщить модератору |
To M@gog вот мой конфиг сервера writepid /var/run/openvpn_server0.pid #user nobody #group nobody daemon keepalive 10 60 ping-timer-rem persist-tun persist-key dev tun proto udp cipher BF-CBC up /etc/rc.filter_configure down /etc/rc.filter_configure client-to-client server 10.0.8.0 255.255.255.0 client-config-dir /var/etc/openvpn_csc push "route 192.168.1.0 255.255.255.0" lport 1194 ca /var/etc/openvpn_server0.ca cert /var/etc/openvpn_server0.cert key /var/etc/openvpn_server0.key dh /var/etc/openvpn_server0.dh comp-lzo push "route 192.168.1.0 255.255.255.0" |
|
IP |
|
M@gog
Участник
Ska,Reggae,Rocksteady,Dancehall,Hardcore!
licq:3816
|
|
tears
Участник
И даже сквозь тучи пройдя не поймешь ты меня
licq:9988
|
отправлено: 16-07-2011 21:51:47 | |
инфо • правка • ссылка • сообщить модератору |
To M@gog но чтоб попасть в локалку я настраиваю прокси сервер в свойствах internet explorer 192.168.1.1 8080 |
|
IP |
|
M@gog
Участник
Ska,Reggae,Rocksteady,Dancehall,Hardcore!
licq:3816
|
|
tears
Участник
И даже сквозь тучи пройдя не поймешь ты меня
licq:9988
|
отправлено: 17-07-2011 23:36:55 | |
инфо • правка • ссылка • сообщить модератору |
To M@gog ну у меня стоит squid он не пускает куда не нужно |
Сообщение изменено tears от 2011-07-18 00:06:03 |
|
IP |
|
tears
Участник
И даже сквозь тучи пройдя не поймешь ты меня
licq:9988
|
отправлено: 18-07-2011 00:25:25 | |
инфо • правка • ссылка • сообщить модератору |
To M@gog а ты на шлюзе прописал роут для своего openvpn ? цитата: push "route 10.11.0.0 255.255.255.0" здесь у тебя должна быть локальная подсеть попробуй прописать маршруты на шлюзе чтото вроде этого route 192.168.подсеть.0 255.255.255.0 10.11.0.(IP сервера OPENVPN) |
Сообщение изменено tears от 2011-07-18 00:25:53 |
|
IP |
|
M@gog
Участник
Ska,Reggae,Rocksteady,Dancehall,Hardcore!
licq:3816
|
отправлено: 18-07-2011 07:41:54 | |
инфо • правка • ссылка • сообщить модератору |
To tears цитата: push "route 10.11.0.0 255.255.255.0" эта строка передаёт клиенту маршрут,а не серверу,есть такая. цитата: route 192.168.подсеть.0 255.255.255.0 10.11.0.(IP сервера OPENVPN) в конфиге опенвпна? пробовал-ничего не изменилось,маршрут не добавился,надо я так понял на линухе вручную прописать,минуя опенвпн |
|
IP |
|
tears
Участник
И даже сквозь тучи пройдя не поймешь ты меня
licq:9988
|
отправлено: 18-07-2011 08:58:42 | |
инфо • правка • ссылка • сообщить модератору |
To M@gog в конфиге у меня прописанно только push "route 192.168.1.0 255.255.255.0" цитата: route 192.168.подсеть.0 255.255.255.0 10.11.0.(IP сервера OPENVPN) это нада на шлюзе а с компа openvpn пингуется локалка кстати попробуй сделать bridge сетевой мост |
|
IP |
|
M@gog
Участник
Ska,Reggae,Rocksteady,Dancehall,Hardcore!
licq:3816
|
отправлено: 25-07-2011 10:57:16 | |
инфо • правка • ссылка • сообщить модератору |
To tears даааа!!!!! ЕЕЕЕЕ!!!!!!! настроил всё таки... выискал совет на ру-боарде цитата: очень похоже что на овпн серваке надо натить овпн сеть в реальную iptables -t nat -A POSTROUTING -s 10.11.1.0/24 -j SNAT --to-source 10.11.0.21 совершенно не в исе и не в опенвпне было дело )) теперь всё пашет как надо! Урок таков: надо никсы изучать =\ |
|
IP |
|
tears
Участник
И даже сквозь тучи пройдя не поймешь ты меня
licq:9988
|
|
M@gog
Участник
Ska,Reggae,Rocksteady,Dancehall,Hardcore!
licq:3816
|
отправлено: 29-07-2011 09:58:59 | |
инфо • правка • ссылка • сообщить модератору |
To tears теперь такая проблема... отозвал один из сертификатов... по мануалам выисканным из инетов прописал строку: crl-verify /etc/openvpn/keys/crl.pem в конфиг сервера сертификат отозвался,но теперь любой клиент коннектясь,выдаёт такую ошибку: цитата: Fri Jul 29 09:04:53 2011 OpenVPN 2.2.1 Win32-MSVC++ [SSL] [LZO2] built on Jul 1 2011 Fri Jul 29 09:04:53 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables Fri Jul 29 09:04:53 2011 LZO compression initialized Fri Jul 29 09:04:53 2011 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ] Fri Jul 29 09:04:53 2011 Socket Buffers: R=[8192->8192] S=[8192->8192] Fri Jul 29 09:04:53 2011 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ] Fri Jul 29 09:04:53 2011 Local Options hash (VER=V4): '69109d17' Fri Jul 29 09:04:53 2011 Expected Remote Options hash (VER=V4): 'c0103fa8' Fri Jul 29 09:04:53 2011 Attempting to establish TCP connection with IP:Port Fri Jul 29 09:04:53 2011 TCP connection established with IP:Port Fri Jul 29 09:04:53 2011 TCPv4_CLIENT link local: [undef] Fri Jul 29 09:04:53 2011 TCPv4_CLIENT link remote: IP:Port Fri Jul 29 09:04:53 2011 TLS: Initial packet from IP:Port, sid=77973a95 66003985 Fri Jul 29 09:04:54 2011 VERIFY OK: depth=1, /C=RU/ST=MO/L=*/O=*/CN=altlinux.*.local/emailAddress=*@domain.ru Fri Jul 29 09:04:54 2011 VERIFY OK: nsCertType=SERVER Fri Jul 29 09:04:54 2011 VERIFY OK: depth=0, /C=RU/ST=MO/O=Amma/CN=altlinux.*.local/emailAddress=*@domain.ru Fri Jul 29 09:04:54 2011 Connection reset, restarting [-1] Fri Jul 29 09:04:54 2011 TCP/UDP: Closing socket Fri Jul 29 09:04:54 2011 SIGUSR1[soft,connection-reset] received, process restarting Fri Jul 29 09:04:54 2011 Restart pause, 5 second(s) Fri Jul 29 09:04:59 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables Fri Jul 29 09:04:59 2011 Re-using SSL/TLS context Fri Jul 29 09:04:59 2011 LZO compression initialized Fri Jul 29 09:04:59 2011 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ] Fri Jul 29 09:04:59 2011 Socket Buffers: R=[8192->8192] S=[8192->8192] Fri Jul 29 09:04:59 2011 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ] Fri Jul 29 09:04:59 2011 Local Options hash (VER=V4): '69109d17' Fri Jul 29 09:04:59 2011 Expected Remote Options hash (VER=V4): 'c0103fa8' Fri Jul 29 09:04:59 2011 Attempting to establish TCP connection with IP:Port Fri Jul 29 09:05:00 2011 TCP: connect to IP:Port failed, will try again in 5 seconds: Connection refused (WSAECONNREFUSED) Fri Jul 29 09:05:06 2011 TCP: connect to IP:Port failed, will try again in 5 seconds: Connection refused (WSAECONNREFUSED) Fri Jul 29 09:05:17 2011 SIGTERM[hard,init_instance] received, process exitin залезаю на сервак-смотрю,интерфейс tun0 отвалился,при рестарте сервиса всё опять восстанавливается,до первого коннекта клиента,далее ошибка тажа что и вверху |
Сообщение изменено M@gog от 2011-07-29 10:00:19 |
|
IP |
|
tears
Участник
И даже сквозь тучи пройдя не поймешь ты меня
licq:9988
|
отправлено: 30-07-2011 01:20:23 | |
инфо • правка • ссылка • сообщить модератору |
To M@gog по гуглил в нете цитата: В общем решил проблему. скопировал crl.pem в каталог /var/lib/openvpn/etc/openvpn, в конфиге сервера прописал crl-verify /etc/openvpn/crl.pem и все заработало. Все дело оказалось в chroot'е. После каждого отзыва сертификата его нужно копировать туда у человека тоже ALTLINUX |
Сообщение изменено tears от 2011-07-30 01:20:48 |
|
IP |
|
M@gog
Участник
Ska,Reggae,Rocksteady,Dancehall,Hardcore!
licq:3816
|
|
|