Обсуждение VPN сервера OpenVPN

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2010-09-05 11:50:33

Вот статья
http://www.lissyara.su/articles/freebsd ... n+pkcs-12/

Читаем, ищем недостатки, оцениваем.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Gamerman
капитан
Сообщения: 1723
Зарегистрирован: 2009-05-17 21:01:23
Откуда: Украина, Ужгород - Днепр
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Gamerman » 2010-09-05 19:14:46

Может нужно более детально описать виндовый клиент? У меня последняя версия никак заводиться не хотела. Они как-то логику переработали.
Глюк глюком вышибают!

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2010-09-06 0:10:13

Gamerman писал(а):Может нужно более детально описать виндовый клиент? У меня последняя версия никак заводиться не хотела. Они как-то логику переработали.

Какой у тебя Windows и какой версии OpenVPN?

Если Windows 7 или Vista, то нужно запускать gui от имени администратора запускать, все работает нормально (проверено)!

Аватара пользователя
Gamerman
капитан
Сообщения: 1723
Зарегистрирован: 2009-05-17 21:01:23
Откуда: Украина, Ужгород - Днепр
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Gamerman » 2010-09-06 0:16:38

Windows XP. OpenVPN что-то из последних летних версий было. Сейчас откатил на более раннюю бета-версию.
http://forum.lissyara.su/viewtopic.php?f=6&t=27511 - здесь я вопрос этот поднимал.
Глюк глюком вышибают!

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2010-09-06 9:12:17

Вы случаем не про клиент для OpenVPN Access Server говорите ?

Аватара пользователя
pinger
рядовой
Сообщения: 23
Зарегистрирован: 2009-03-22 20:41:11
Откуда: УССР, Днепродзержинск
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение pinger » 2010-09-06 9:26:51

Вот мой конфиг клиента, почему с машин находящихся за этим шлюзом я не могу пинговать ЦО?

dev tun
client
nobind
resolv-retry infinite
remote 80.xxx.xxx.xxx 1194
route 192.168.0.0 255.255.0.0
route 3.0.0.0 255.0.0.0
route 4.0.0.0 255.0.0.0
route 5.0.0.0 255.0.0.0
route 7.0.0.0 255.0.0.0
route 10.0.0.0 255.0.0.0
tls-client
route-method exe
route-delay 20
ca ca.crt
cert crt.crt
key key.key
proto tcp-client
comp-lzo
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 4
Изображение

Аватара пользователя
Gamerman
капитан
Сообщения: 1723
Зарегистрирован: 2009-05-17 21:01:23
Откуда: Украина, Ужгород - Днепр
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Gamerman » 2010-09-06 9:28:29

Cancer писал(а):Вы случаем не про клиент для OpenVPN Access Server говорите ?
Нет, обыкновенный клиент. Хотел обновить, и обламался. Либо они перемудрили, либо я "мал еще".
Глюк глюком вышибают!

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2010-09-06 9:48:52

pinger писал(а):Вот мой конфиг клиента, почему с машин находящихся за этим шлюзом я не могу пинговать ЦО?

dev tun
client
nobind
resolv-retry infinite
remote 80.xxx.xxx.xxx 1194
route 192.168.0.0 255.255.0.0
route 3.0.0.0 255.0.0.0
route 4.0.0.0 255.0.0.0
route 5.0.0.0 255.0.0.0
route 7.0.0.0 255.0.0.0
route 10.0.0.0 255.0.0.0
tls-client
route-method exe
route-delay 20
ca ca.crt
cert crt.crt
key key.key
proto tcp-client
comp-lzo
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 4
трассировку показывайте и логи.

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2010-09-06 9:50:23

Gamerman писал(а):
Cancer писал(а):Вы случаем не про клиент для OpenVPN Access Server говорите ?
Нет, обыкновенный клиент. Хотел обновить, и обламался. Либо они перемудрили, либо я "мал еще".

Не знаю что у вас не работает, я вот последний OpenVPN под Windows XP поставил в качестве клиента на 22 филиалах, все работает!

Аватара пользователя
pinger
рядовой
Сообщения: 23
Зарегистрирован: 2009-03-22 20:41:11
Откуда: УССР, Днепродзержинск
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение pinger » 2010-09-06 10:19:55

Cancer писал(а):
pinger писал(а):Вот мой конфиг клиента, почему с машин находящихся за этим шлюзом я не могу пинговать ЦО?

dev tun
client
nobind
resolv-retry infinite
remote 80.xxx.xxx.xxx 1194
route 192.168.0.0 255.255.0.0
route 3.0.0.0 255.0.0.0
route 4.0.0.0 255.0.0.0
route 5.0.0.0 255.0.0.0
route 7.0.0.0 255.0.0.0
route 10.0.0.0 255.0.0.0
tls-client
route-method exe
route-delay 20
ca ca.crt
cert crt.crt
key key.key
proto tcp-client
comp-lzo
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 4
трассировку показывайте и логи.

Код: Выделить всё

pinger@pinger-laptop:~$ traceroute 192.168.1.29
traceroute to 192.168.1.29 (192.168.1.29), 30 hops max, 60 byte packets
 1  1.0.0.1 (1.0.0.1)  1.800 ms  4.219 ms  5.554 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * *^C
1.0.0.1 - шлюз сети дома.

Код: Выделить всё

[pinger@srv /usr/home/pinger]$ netstat -n -r
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            1.0.0.254          UGS         4     1797    rl0
1.0.0.0/24         link#1             U           2      483    rl0
1.0.0.1            link#1             UHS         0        0    lo0
3.0.0.0/8          10.70.2.133        UGS         0        0   tun2
4.0.0.0/8          10.70.2.133        UGS         0        0   tun2
5.0.0.0/8          10.70.2.133        UGS         0        0   tun2
7.0.0.0/8          10.70.2.133        UGS         0        0   tun2
10.0.0.0/8         10.70.2.133        UGS         0      254   tun2
10.70.0.0/16       10.70.2.133        UGS         0        0   tun2
10.70.2.133        link#8             UH          0        0   tun2
10.70.2.134        link#8             UHS         0        0    lo0
127.0.0.1          link#5             UH          0       84    lo0
172.20.0.0/16      10.70.2.133        UGS         0        0   tun2
172.21.0.0/16      10.70.2.133        UGS         0        0   tun2
192.168.0.0/24     link#2             U           0        0    rl1 =>
192.168.0.0/16     10.70.2.133        UGS         0       45   tun2
192.168.0.211      link#2             UHS         0        0    lo0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UH          lo0
fe80::%lo0/64                     link#5                        U           lo0
fe80::1%lo0                       link#5                        UHS         lo0
ff01:5::/32                       fe80::1%lo0                   U           lo0
ff02::%lo0/32                     fe80::1%lo0                   U           lo0

Код: Выделить всё

[pinger@srv /usr/home/pinger]$ ifconfig  tun2
tun2: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
        inet 10.70.2.134 --> 10.70.2.133 netmask 0xffffffff
        Opened by PID 69817

Код: Выделить всё

Mon Sep  6 13:11:13 2010 us=84817 Current Parameter Settings:
Mon Sep  6 13:11:13 2010 us=85164   config = '/usr/local/etc/openvpn/openvpn.conf'
Mon Sep  6 13:11:13 2010 us=85179   mode = 0
Mon Sep  6 13:11:13 2010 us=85191   show_ciphers = DISABLED
Mon Sep  6 13:11:13 2010 us=85203   show_digests = DISABLED
Mon Sep  6 13:11:13 2010 us=85214   show_engines = DISABLED
Mon Sep  6 13:11:13 2010 us=85225   genkey = DISABLED
Mon Sep  6 13:11:13 2010 us=85237   key_pass_file = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=85248   show_tls_ciphers = DISABLED
Mon Sep  6 13:11:13 2010 us=85260 Connection profiles [default]:
Mon Sep  6 13:11:13 2010 us=85272   proto = tcp-client
Mon Sep  6 13:11:13 2010 us=85283   local = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=85294   local_port = 0
Mon Sep  6 13:11:13 2010 us=85306   remote = '80.91.181.18'
Mon Sep  6 13:11:13 2010 us=85317   remote_port = 1194
Mon Sep  6 13:11:13 2010 us=85328   remote_float = DISABLED
Mon Sep  6 13:11:13 2010 us=85339   bind_defined = DISABLED
Mon Sep  6 13:11:13 2010 us=85350   bind_local = DISABLED
Mon Sep  6 13:11:13 2010 us=85362   connect_retry_seconds = 5
Mon Sep  6 13:11:13 2010 us=85373   connect_timeout = 10
Mon Sep  6 13:11:13 2010 us=85384   connect_retry_max = 0
Mon Sep  6 13:11:13 2010 us=85396   socks_proxy_server = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=85407   socks_proxy_port = 0
Mon Sep  6 13:11:13 2010 us=85418   socks_proxy_retry = DISABLED
Mon Sep  6 13:11:13 2010 us=85430 Connection profiles END
Mon Sep  6 13:11:13 2010 us=85441   remote_random = DISABLED
Mon Sep  6 13:11:13 2010 us=85452   ipchange = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=85463   dev = 'tun'
Mon Sep  6 13:11:13 2010 us=85475   dev_type = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=85486   dev_node = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=85498   lladdr = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=85509   topology = 1
Mon Sep  6 13:11:13 2010 us=85520   tun_ipv6 = DISABLED
Mon Sep  6 13:11:13 2010 us=85532   ifconfig_local = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=85543   ifconfig_remote_netmask = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=85572   ifconfig_noexec = DISABLED
Mon Sep  6 13:11:13 2010 us=85584   ifconfig_nowarn = DISABLED
Mon Sep  6 13:11:13 2010 us=85595   shaper = 0
Mon Sep  6 13:11:13 2010 us=85607   tun_mtu = 1500
Mon Sep  6 13:11:13 2010 us=85623   tun_mtu_defined = ENABLED
Mon Sep  6 13:11:13 2010 us=85636   link_mtu = 1500
Mon Sep  6 13:11:13 2010 us=85648   link_mtu_defined = DISABLED
Mon Sep  6 13:11:13 2010 us=85659   tun_mtu_extra = 0
Mon Sep  6 13:11:13 2010 us=85671   tun_mtu_extra_defined = DISABLED
Mon Sep  6 13:11:13 2010 us=85682   fragment = 0
Mon Sep  6 13:11:13 2010 us=85694   mtu_discover_type = -1
Mon Sep  6 13:11:13 2010 us=85706   mtu_test = 0
Mon Sep  6 13:11:13 2010 us=85717   mlock = DISABLED
Mon Sep  6 13:11:13 2010 us=85729   keepalive_ping = 0
Mon Sep  6 13:11:13 2010 us=85741   keepalive_timeout = 0
Mon Sep  6 13:11:13 2010 us=85752   inactivity_timeout = 0
Mon Sep  6 13:11:13 2010 us=85764   ping_send_timeout = 0
Mon Sep  6 13:11:13 2010 us=85775   ping_rec_timeout = 0
Mon Sep  6 13:11:13 2010 us=85786   ping_rec_timeout_action = 0
Mon Sep  6 13:11:13 2010 us=85798   ping_timer_remote = DISABLED
Mon Sep  6 13:11:13 2010 us=85809   remap_sigusr1 = 0
Mon Sep  6 13:11:13 2010 us=85820   explicit_exit_notification = 0
Mon Sep  6 13:11:13 2010 us=85832   persist_tun = DISABLED
Mon Sep  6 13:11:13 2010 us=85843   persist_local_ip = DISABLED
Mon Sep  6 13:11:13 2010 us=85854   persist_remote_ip = DISABLED
Mon Sep  6 13:11:13 2010 us=85865   persist_key = DISABLED
Mon Sep  6 13:11:13 2010 us=85877   mssfix = 1450
Mon Sep  6 13:11:13 2010 us=85888   passtos = DISABLED
Mon Sep  6 13:11:13 2010 us=85900   resolve_retry_seconds = 1000000000
Mon Sep  6 13:11:13 2010 us=85912   username = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=85923   groupname = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=85934   chroot_dir = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=85946   cd_dir = '/usr/local/etc/openvpn'
Mon Sep  6 13:11:13 2010 us=85957   writepid = '/var/run/openvpn.pid'
Mon Sep  6 13:11:13 2010 us=85969   up_script = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=85990   down_script = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=86003   down_pre = DISABLED
Mon Sep  6 13:11:13 2010 us=86015   up_restart = DISABLED
Mon Sep  6 13:11:13 2010 us=86026   up_delay = DISABLED
Mon Sep  6 13:11:13 2010 us=86038   daemon = ENABLED
Mon Sep  6 13:11:13 2010 us=86049   inetd = 0
Mon Sep  6 13:11:13 2010 us=86061   log = ENABLED
Mon Sep  6 13:11:13 2010 us=86072   suppress_timestamps = DISABLED
Mon Sep  6 13:11:13 2010 us=86084   nice = 0
Mon Sep  6 13:11:13 2010 us=86095   verbosity = 4
Mon Sep  6 13:11:13 2010 us=86107   mute = 0
Mon Sep  6 13:11:13 2010 us=86118   gremlin = 0
Mon Sep  6 13:11:13 2010 us=86130   status_file = '/var/log/openvpn/openvpn-status.log'
Mon Sep  6 13:11:13 2010 us=86141   status_file_version = 1
Mon Sep  6 13:11:13 2010 us=86153   status_file_update_freq = 60
Mon Sep  6 13:11:13 2010 us=86165   occ = ENABLED
Mon Sep  6 13:11:13 2010 us=86176   rcvbuf = 65536
Mon Sep  6 13:11:13 2010 us=86187   sndbuf = 65536
Mon Sep  6 13:11:13 2010 us=86199   sockflags = 0
Mon Sep  6 13:11:13 2010 us=86210   fast_io = DISABLED
Mon Sep  6 13:11:13 2010 us=86222   lzo = 7
Mon Sep  6 13:11:13 2010 us=86233   route_script = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=86245   route_default_gateway = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=86257   route_default_metric = 0
Mon Sep  6 13:11:13 2010 us=86268   route_noexec = DISABLED
Mon Sep  6 13:11:13 2010 us=86280   route_delay = 20
Mon Sep  6 13:11:13 2010 us=86292   route_delay_window = 30
Mon Sep  6 13:11:13 2010 us=86303   route_delay_defined = ENABLED
Mon Sep  6 13:11:13 2010 us=86315   route_nopull = DISABLED
Mon Sep  6 13:11:13 2010 us=86326   route_gateway_via_dhcp = DISABLED
Mon Sep  6 13:11:13 2010 us=86339   max_routes = 100
Mon Sep  6 13:11:13 2010 us=86351   allow_pull_fqdn = DISABLED
Mon Sep  6 13:11:13 2010 us=86363   management_addr = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=86374   management_port = 0
Mon Sep  6 13:11:13 2010 us=86386   management_user_pass = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=86406   management_log_history_cache = 250
Mon Sep  6 13:11:13 2010 us=86419   management_echo_buffer_size = 100
Mon Sep  6 13:11:13 2010 us=86431   management_write_peer_info_file = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=86442   management_client_user = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=86453   management_client_group = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=86465   management_flags = 0
Mon Sep  6 13:11:13 2010 us=86476   shared_secret_file = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=86488   key_direction = 0
Mon Sep  6 13:11:13 2010 us=86500   ciphername_defined = ENABLED
Mon Sep  6 13:11:13 2010 us=86512   ciphername = 'BF-CBC'
Mon Sep  6 13:11:13 2010 us=86524   authname_defined = ENABLED
Mon Sep  6 13:11:13 2010 us=86536   authname = 'SHA1'
Mon Sep  6 13:11:13 2010 us=86547   prng_hash = 'SHA1'
Mon Sep  6 13:11:13 2010 us=86559   prng_nonce_secret_len = 16
Mon Sep  6 13:11:13 2010 us=86570   keysize = 0
Mon Sep  6 13:11:13 2010 us=86582   engine = DISABLED
Mon Sep  6 13:11:13 2010 us=86593   replay = ENABLED
Mon Sep  6 13:11:13 2010 us=86605   mute_replay_warnings = DISABLED
Mon Sep  6 13:11:13 2010 us=86617   replay_window = 64
Mon Sep  6 13:11:13 2010 us=86628   replay_time = 15
Mon Sep  6 13:11:13 2010 us=86640   packet_id_file = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=86651   use_iv = ENABLED
Mon Sep  6 13:11:13 2010 us=86663   test_crypto = DISABLED
Mon Sep  6 13:11:13 2010 us=86675   tls_server = DISABLED
Mon Sep  6 13:11:13 2010 us=86686   tls_client = ENABLED
Mon Sep  6 13:11:13 2010 us=86697   key_method = 2
Mon Sep  6 13:11:13 2010 us=86709   ca_file = 'ca.crt'
Mon Sep  6 13:11:13 2010 us=86721   ca_path = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=86732   dh_file = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=86744   cert_file = 'kiz.crt'
Mon Sep  6 13:11:13 2010 us=86755   priv_key_file = 'kiz.key'
Mon Sep  6 13:11:13 2010 us=86767   pkcs12_file = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=86778   cipher_list = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=86790   tls_verify = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=86801   tls_remote = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=86821   crl_file = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=86833   ns_cert_type = 0
Mon Sep  6 13:11:13 2010 us=86845   remote_cert_ku[i] = 0
Mon Sep  6 13:11:13 2010 us=86856   remote_cert_ku[i] = 0
Mon Sep  6 13:11:13 2010 us=86868   remote_cert_ku[i] = 0
Mon Sep  6 13:11:13 2010 us=86879   remote_cert_ku[i] = 0
Mon Sep  6 13:11:13 2010 us=86891   remote_cert_ku[i] = 0
Mon Sep  6 13:11:13 2010 us=86902   remote_cert_ku[i] = 0
Mon Sep  6 13:11:13 2010 us=86914   remote_cert_ku[i] = 0
Mon Sep  6 13:11:13 2010 us=86925   remote_cert_ku[i] = 0
Mon Sep  6 13:11:13 2010 us=86937   remote_cert_ku[i] = 0
Mon Sep  6 13:11:13 2010 us=86948   remote_cert_ku[i] = 0
Mon Sep  6 13:11:13 2010 us=86959   remote_cert_ku[i] = 0
Mon Sep  6 13:11:13 2010 us=86971   remote_cert_ku[i] = 0
Mon Sep  6 13:11:13 2010 us=86982   remote_cert_ku[i] = 0
Mon Sep  6 13:11:13 2010 us=86996   remote_cert_ku[i] = 0
Mon Sep  6 13:11:13 2010 us=87008   remote_cert_ku[i] = 0
Mon Sep  6 13:11:13 2010 us=87019   remote_cert_ku[i] = 0
Mon Sep  6 13:11:13 2010 us=87031   remote_cert_eku = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=87042   tls_timeout = 2
Mon Sep  6 13:11:13 2010 us=87054   renegotiate_bytes = 0
Mon Sep  6 13:11:13 2010 us=87066   renegotiate_packets = 0
Mon Sep  6 13:11:13 2010 us=87078   renegotiate_seconds = 3600
Mon Sep  6 13:11:13 2010 us=87089   handshake_window = 60
Mon Sep  6 13:11:13 2010 us=87101   transition_window = 3600
Mon Sep  6 13:11:13 2010 us=87112   single_session = DISABLED
Mon Sep  6 13:11:13 2010 us=87123   tls_exit = DISABLED
Mon Sep  6 13:11:13 2010 us=87135   tls_auth_file = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=87156   server_network = 0.0.0.0
Mon Sep  6 13:11:13 2010 us=87169   server_netmask = 0.0.0.0
Mon Sep  6 13:11:13 2010 us=87182   server_bridge_ip = 0.0.0.0
Mon Sep  6 13:11:13 2010 us=87194   server_bridge_netmask = 0.0.0.0
Mon Sep  6 13:11:13 2010 us=87206   server_bridge_pool_start = 0.0.0.0
Mon Sep  6 13:11:13 2010 us=87219   server_bridge_pool_end = 0.0.0.0
Mon Sep  6 13:11:13 2010 us=87239   ifconfig_pool_defined = DISABLED
Mon Sep  6 13:11:13 2010 us=87252   ifconfig_pool_start = 0.0.0.0
Mon Sep  6 13:11:13 2010 us=87264   ifconfig_pool_end = 0.0.0.0
Mon Sep  6 13:11:13 2010 us=87277   ifconfig_pool_netmask = 0.0.0.0
Mon Sep  6 13:11:13 2010 us=87288   ifconfig_pool_persist_filename = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=87299   ifconfig_pool_persist_refresh_freq = 600
Mon Sep  6 13:11:13 2010 us=87310   n_bcast_buf = 256
Mon Sep  6 13:11:13 2010 us=87321   tcp_queue_limit = 64
Mon Sep  6 13:11:13 2010 us=87333   real_hash_size = 256
Mon Sep  6 13:11:13 2010 us=87344   virtual_hash_size = 256
Mon Sep  6 13:11:13 2010 us=87356   client_connect_script = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=87367   learn_address_script = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=87378   client_disconnect_script = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=87390   client_config_dir = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=87401   ccd_exclusive = DISABLED
Mon Sep  6 13:11:13 2010 us=87412   tmp_dir = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=87423   push_ifconfig_defined = DISABLED
Mon Sep  6 13:11:13 2010 us=87435   push_ifconfig_local = 0.0.0.0
Mon Sep  6 13:11:13 2010 us=87448   push_ifconfig_remote_netmask = 0.0.0.0
Mon Sep  6 13:11:13 2010 us=87459   enable_c2c = DISABLED
Mon Sep  6 13:11:13 2010 us=87470   duplicate_cn = DISABLED
Mon Sep  6 13:11:13 2010 us=87482   cf_max = 0
Mon Sep  6 13:11:13 2010 us=87493   cf_per = 0
Mon Sep  6 13:11:13 2010 us=87504   max_clients = 1024
Mon Sep  6 13:11:13 2010 us=87516   max_routes_per_client = 256
Mon Sep  6 13:11:13 2010 us=87527   auth_user_pass_verify_script = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=87539   auth_user_pass_verify_script_via_file = DISABLED
Mon Sep  6 13:11:13 2010 us=87551   ssl_flags = 0
Mon Sep  6 13:11:13 2010 us=87562   port_share_host = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=87573   port_share_port = 0
Mon Sep  6 13:11:13 2010 us=87585   client = ENABLED
Mon Sep  6 13:11:13 2010 us=87596   pull = ENABLED
Mon Sep  6 13:11:13 2010 us=87616   auth_user_pass_file = '[UNDEF]'
Mon Sep  6 13:11:13 2010 us=87629 OpenVPN 2.1.1 amd64-portbld-freebsd8.0 [SSL] [LZO2] built on Jun 29 2010
Mon Sep  6 13:11:13 2010 us=87687 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Mon Sep  6 13:11:13 2010 us=87698 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Sep  6 13:11:13 2010 us=88429 WARNING: file 'kiz.key' is group or others accessible
Mon Sep  6 13:11:13 2010 us=88885 LZO compression initialized
Mon Sep  6 13:11:13 2010 us=89009 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Mon Sep  6 13:11:13 2010 us=89082 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Sep  6 13:11:13 2010 us=89108 Local Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Mon Sep  6 13:11:13 2010 us=89118 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Mon Sep  6 13:11:13 2010 us=89147 Local Options hash (VER=V4): '69109d17'
Mon Sep  6 13:11:13 2010 us=89164 Expected Remote Options hash (VER=V4): 'c0103fa8'
Mon Sep  6 13:11:13 2010 us=89785 Attempting to establish TCP connection with 80.91.181.18:1194 [nonblock]
Mon Sep  6 13:11:14 2010 us=91321 TCP connection established with 80.91.181.18:1194
Mon Sep  6 13:11:14 2010 us=91354 Socket Buffers: R=[66792->65536] S=[33396->65536]
Mon Sep  6 13:11:14 2010 us=91370 TCPv4_CLIENT link local: [undef]
Mon Sep  6 13:11:14 2010 us=91395 TCPv4_CLIENT link remote: 80.91.181.18:1194
Mon Sep  6 13:11:14 2010 us=91839 TLS: Initial packet from 80.91.181.18:1194, sid=4d09c587 ac219956
Mon Sep  6 13:11:14 2010 us=359582 VERIFY OK: depth=1, /C=UA/ST=NA/L=Dnipropetrovsk/O=RUSH/OU=office/CN=server/emailAddress=maxi4@eva.dp.ua
Mon Sep  6 13:11:14 2010 us=359737 VERIFY OK: depth=0, /C=UA/ST=NA/O=RUSH/OU=office/CN=server/emailAddress=maxi4@eva.dp.ua
Mon Sep  6 13:11:15 2010 us=111454 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Sep  6 13:11:15 2010 us=111483 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Sep  6 13:11:15 2010 us=111537 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Sep  6 13:11:15 2010 us=111549 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Sep  6 13:11:15 2010 us=111628 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Mon Sep  6 13:11:15 2010 us=111658 [server] Peer Connection Initiated with 80.91.181.18:1194
Mon Sep  6 13:11:17 2010 us=508349 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Mon Sep  6 13:11:17 2010 us=670641 PUSH: Received control message: 'PUSH_REPLY,route 192.168.0.0 255.255.0.0,route 3.0.0.0 255.0.0.0,route 4.0.0.0 255.0.0.0,route 5.0.0.0 255.0.0.0,route 7.0.0.0 255.0.0.0,route 10.0.0.0 255.0.0.0,route 172.21.0.0 255.255.0.0,route 172.20.0.0 255.255.0.0,dhcp-option DNS 192.168.1.253,reneg-sec 38200,route 10.70.0.0 255.255.0.0,ping 30,ping-restart 360,ifconfig 10.70.2.134 10.70.2.133'
Mon Sep  6 13:11:17 2010 us=670765 Options error: option 'reneg-sec' cannot be used in this context
Mon Sep  6 13:11:17 2010 us=670800 OPTIONS IMPORT: timers and/or timeouts modified
Mon Sep  6 13:11:17 2010 us=670811 OPTIONS IMPORT: --ifconfig/up options modified
Mon Sep  6 13:11:17 2010 us=670820 OPTIONS IMPORT: route options modified
Mon Sep  6 13:11:17 2010 us=670830 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Mon Sep  6 13:11:17 2010 us=670924 ROUTE default_gateway=1.0.0.254
Mon Sep  6 13:11:17 2010 us=671234 TUN/TAP device /dev/tun2 opened
Mon Sep  6 13:11:17 2010 us=671292 /sbin/ifconfig tun2 10.70.2.134 10.70.2.133 mtu 1500 netmask 255.255.255.255 up
Mon Sep  6 13:11:37 2010 us=395414 /sbin/route add -net 192.168.0.0 10.70.2.133 255.255.0.0
add net 192.168.0.0: gateway 10.70.2.133
Mon Sep  6 13:11:37 2010 us=397059 /sbin/route add -net 3.0.0.0 10.70.2.133 255.0.0.0
add net 3.0.0.0: gateway 10.70.2.133
Mon Sep  6 13:11:37 2010 us=398690 /sbin/route add -net 4.0.0.0 10.70.2.133 255.0.0.0
add net 4.0.0.0: gateway 10.70.2.133
Mon Sep  6 13:11:37 2010 us=400222 /sbin/route add -net 5.0.0.0 10.70.2.133 255.0.0.0
add net 5.0.0.0: gateway 10.70.2.133
Mon Sep  6 13:11:37 2010 us=401658 /sbin/route add -net 7.0.0.0 10.70.2.133 255.0.0.0
add net 7.0.0.0: gateway 10.70.2.133
Mon Sep  6 13:11:37 2010 us=403144 /sbin/route add -net 10.0.0.0 10.70.2.133 255.0.0.0
add net 10.0.0.0: gateway 10.70.2.133
Mon Sep  6 13:11:37 2010 us=404597 /sbin/route add -net 172.21.0.0 10.70.2.133 255.255.0.0
add net 172.21.0.0: gateway 10.70.2.133
Mon Sep  6 13:11:37 2010 us=406086 /sbin/route add -net 172.20.0.0 10.70.2.133 255.255.0.0
add net 172.20.0.0: gateway 10.70.2.133
Mon Sep  6 13:11:37 2010 us=407674 /sbin/route add -net 10.70.0.0 10.70.2.133 255.255.0.0
add net 10.70.0.0: gateway 10.70.2.133
Mon Sep  6 13:11:37 2010 us=409181 Initialization Sequence Completed 
хотя с самого шлюза

Код: Выделить всё

[pinger@srv /usr/home/pinger]$ ping 192.168.1.29
PING 192.168.1.29 (192.168.1.29): 56 data bytes
64 bytes from 192.168.1.29: icmp_seq=0 ttl=127 time=25.650 ms
64 bytes from 192.168.1.29: icmp_seq=1 ttl=127 time=25.466 ms
64 bytes from 192.168.1.29: icmp_seq=2 ttl=127 time=22.392 ms
^C
--- 192.168.1.29 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 22.392/24.503/25.650/1.494 ms
192.168.1.29 - некий хост в сети офиса
Изображение

vlymar
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение vlymar » 2010-09-06 12:08:56

Настроил по статье вс работает, но одна проблемка нужно на клиенте (WinXP) постоянно вручную добавлять маршрут:

Код: Выделить всё

route add 192.168.1.0 mask 255.255.255.0 10.10.100.1 
куда его прописать, что б автоматом добавлялся впн сервером?

Аватара пользователя
pinger
рядовой
Сообщения: 23
Зарегистрирован: 2009-03-22 20:41:11
Откуда: УССР, Днепродзержинск
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение pinger » 2010-09-06 12:10:54

vlymar писал(а):Настроил по статье вс работает, но одна проблемка нужно на клиенте (WinXP) постоянно вручную добавлять маршрут:

Код: Выделить всё

route add 192.168.1.0 mask 255.255.255.0 10.10.100.1 
куда его прописать, что б автоматом добавлялся впн сервером?

добавить в конфиг строку

Код: Выделить всё

route 192.168.1.0 255.255.255.0
Изображение

vlymar
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение vlymar » 2010-09-06 12:27:10

в server.conf у меня:

Код: Выделить всё

# Филиал 1                                                                                                                                                   
push "route 192.168.1.0 255.255.255.0" 

# Филиал 1                                                                                                                                                   
route 192.168.1.0 255.255.255.0

vlymar
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение vlymar » 2010-09-06 13:13:08

решил, нужно было прописать на стороне клиента в файле filial.ovpn:

Код: Выделить всё

route 192.168.1.0 255.255.255.0

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2010-09-06 15:57:18

vlymar писал(а):в server.conf у меня:

Код: Выделить всё

# Филиал 1                                                                                                                                                   
push "route 192.168.1.0 255.255.255.0" 

# Филиал 1                                                                                                                                                   
route 192.168.1.0 255.255.255.0

смотрите что у вас в логах при подключении, должно выдавать автоматом с сервера.

Аватара пользователя
Shuba
ст. сержант
Сообщения: 365
Зарегистрирован: 2008-03-25 10:58:21
Откуда: Минск
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Shuba » 2010-09-07 14:30:34

Э... Тут как бы парочку вопросов. У меня порты обновлены и по /usr/ports/security/openvpn ставится openvpn-2.1.3. Соответсвенно в /usr/local/share/doc/openvpn/easy-rsa нет файла vars, зато есть 2 папки 1.0 и 2.0. В каждой из них по одному файлу vars, если в 1.0/vars имеется export KEY_DIR=$D/keys, то в 2.0/vars - export KEY_DIR="$EASY_RSA/keys". Это пока что устанавливая с ходу обнаружил. Смотрю и тестирую дальше.
Сила ночи, сила дня - одинакова фигня!

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2010-09-14 8:39:29

Shuba писал(а):Э... Тут как бы парочку вопросов. У меня порты обновлены и по /usr/ports/security/openvpn ставится openvpn-2.1.3. Соответсвенно в /usr/local/share/doc/openvpn/easy-rsa нет файла vars, зато есть 2 папки 1.0 и 2.0. В каждой из них по одному файлу vars, если в 1.0/vars имеется export KEY_DIR=$D/keys, то в 2.0/vars - export KEY_DIR="$EASY_RSA/keys". Это пока что устанавливая с ходу обнаружил. Смотрю и тестирую дальше.

Статью переписал под новую версию!

Аватара пользователя
pinger
рядовой
Сообщения: 23
Зарегистрирован: 2009-03-22 20:41:11
Откуда: УССР, Днепродзержинск
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение pinger » 2010-09-14 10:14:29

можно ли на уровне OpenVPN поднять NAT?
Изображение

Аватара пользователя
zeus4all
сержант
Сообщения: 261
Зарегистрирован: 2009-10-07 18:48:34
Откуда: Далекий космос

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение zeus4all » 2010-09-14 10:44:22

здорово, нужно попробовать как нито, пока мне хватало соединения двух локалок через фряшные гейты, но ето тоже интересный вариант, единственно что имхо нужно кпомянуть фаерволы, как правило многие и я сам долго почемутоне мог добавить правила для порта сервера и на собственно девайс tun, ну или у кого что...изза етого ничего не поднималось.
Историю пишут победители, поэтому в ней не упоминаются проигравшие. (с) Артур Дрекслер
Я знаю только то, что ничего не знаю. (с) Сократ
Если тебе плюют в спину, значит ты впереди. (с) Конфуций

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2010-09-14 13:05:34

Для pf нужно правила в скобки заключать, если не заключить, то pf не будет работать при перезагрузке системы.

Код: Выделить всё

# TUN (Виртуальный интерфейс OpenVPN 10.10.100.1)
ext_if_ovpn="tun0"

# Виртуальная подсеть OpenVPN
vpnhost_table="{10.10.100.0/24}"

# Подсети Филиалов
filials_subnet="{192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24}"

# Для того что бы из подсети могли ходить друг на друга
nat pass on $ext_if_ovpn from $vpnhost_table to $filials_subnet -> ($ext_if_ovpn)

Аватара пользователя
pinger
рядовой
Сообщения: 23
Зарегистрирован: 2009-03-22 20:41:11
Откуда: УССР, Днепродзержинск
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение pinger » 2010-09-14 13:20:33

Вот мой пример, как настроить NAT на клиентской машине, для доступа в сеть офиса:

Код: Выделить всё

srv# cat /etc/rc.conf
....
openvpn_enable="YES"
gateway_enable="YES"
##IPFW
firewall_enable="NO"
firewall_type="open"
ipnat_enable="YES"
ipnat_rules="/etc/ipfw/ipnat"
......

Код: Выделить всё

srv# cat /etc/ipfw/ipnat
map tun0 10.222.0.0/24 -> 10.70.2.134/32
10.222.0.0/24 - домашняя сеть
10.70.2.134 - выдаваемый сервером клиентский IP
Изображение

Аватара пользователя
Shuba
ст. сержант
Сообщения: 365
Зарегистрирован: 2008-03-25 10:58:21
Откуда: Минск
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Shuba » 2010-09-14 15:49:37

Cancer писал(а):Статью переписал под новую версию!
Опять неточности: в файле /usr/local/share/doc/openvpn/easy-rsa/2.0/vars нет такой строчки,

Код: Выделить всё

export KEY_DIR=$D/keys
, там есть

Код: Выделить всё

export KEY_DIR="$EASY_RSA/keys"
, зато имеется в /usr/local/share/doc/openvpn/easy-rsa/1.0/vars. Я ставил почти полностью по старой статье, за исклюбчением добавлением в путях скриптов папки 1.0
Сила ночи, сила дня - одинакова фигня!

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2010-09-14 15:57:14

Shuba писал(а):
Cancer писал(а):Статью переписал под новую версию!
Опять неточности: в файле /usr/local/share/doc/openvpn/easy-rsa/2.0/vars нет такой строчки,

Код: Выделить всё

export KEY_DIR=$D/keys
, там есть

Код: Выделить всё

export KEY_DIR="$EASY_RSA/keys"
, зато имеется в /usr/local/share/doc/openvpn/easy-rsa/1.0/vars. Я ставил почти полностью по старой статье, за исклюбчением добавлением в путях скриптов папки 1.0
переписал на KEY_DIR="$EASY_RSA/keys"
не заметил этого сразу =)

Аватара пользователя
Jah
ефрейтор
Сообщения: 60
Зарегистрирован: 2007-09-19 12:42:38
Откуда: Воронеж
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Jah » 2010-09-15 23:46:00

Как избавиться от ввода пароля при соединении?

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2010-09-17 22:19:59

Jah писал(а):Как избавиться от ввода пароля при соединении?
изменить можно через гуи на венде на пустой.