FreeBSD 8.1 OpenVPN

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Sindikat88
мл. сержант
Сообщения: 138
Зарегистрирован: 2010-09-02 15:07:54
Контактная информация:

FreeBSD 8.1 OpenVPN

Непрочитанное сообщение Sindikat88 » 2011-08-17 15:25:39

Коллеги, добрый день.
Поднял я сервер по этой статье http://www.lissyara.su/articles/freebsd ... y/openvpn/
Все работает отлично.
Вот только после запуска я осознал, что одновременно подключаться смогут только 4 клиента. Но 4 одновременных подключений слишком мало.
Что подскажете?
Привожу конфиги:
Конфиг сервера

Код: Выделить всё

#порт на котором работает сервер
port 2000
# протокол - советую udp
proto udp
# - используемый тип устройства и номер
dev tun
#указываем файл CA
ca /usr/local/etc/openvpn/keys/ca.crt
#указываем файл с сертификатом сервера
cert /usr/local/etc/openvpn/keys/server.crt
#указываем файл с ключем сервера
key /usr/local/etc/openvpn/keys/server.key
#указываем файл Диффи Хельман
dh /usr/local/etc/openvpn/keys/dh1024.pem
#задаем IP-адрес сервера и маску подсети
# (виртуальной сети) - можно произвольную, (я выбрал такую)
server 10.10.200.0 255.255.255.0
#задаем МАРШРУТ который передаём клиентту
# и маску подсети для того чтобы он "видел"
# сеть за опенвпн сервером (сеть 192.168.0.0/23)
push "route 192.168.0.0 255.255.254.0"
push "dhcp-option DNS 192.168.1.1"
push "dhcp-option WINS 192.168.0.2"
# указываем где хранятся файлы с
# настройками IP-адресов клиентов
client-config-dir ccd
# добавляем маршрут сервер-клиент
route 10.10.200.0 255.255.255.252
# включаем TLS аутификацию
tls-server
# указываем tls-ключ, и указываем 0 для сервера, а 1 для клиента
tls-auth keys/ta.key 0
# таймаут до реконекта
tls-timeout 120
auth MD5 #
# включаем шифрацию пакетов
cipher BF-CBC
keepalive 10 120
# сжатие трафика
comp-lzo
# максимум клиентов
max-clients 100
user nobody
group nobody
# Не перечитывать ключи после получения
# SIGUSR1 или ping-restart
persist-key
# Не закрывать и переоткрывать TUN\TAP
# устройство, после получения
# SIGUSR1 или ping-restart
persist-tun
# логгирование (не забудьте создать эту дирректорию /var/log/openvpn/)
status /usr/local/etc/openvpn/log/openvpn-status.log
log /usr/local/etc/openvpn/log/openvpn.log
# Уровень информации для отладки
verb 3
rc.conf:

Код: Выделить всё

openvpn_enable="YES" # YES or NO
openvpn_if="tun" # driver(s) to load, set to "tun", "tap" or "tun tap"
openvpn_configfile="/usr/local/etc/openvpn/server.conf" # --config file
openvpn_dir="/usr/local/etc/openvpn" # --cd directory
rc.firewall

Код: Выделить всё

openvpn_if="tun0"       #OpenVPN port
IpVPN="10.10.200.0"
$cmd 006 allow all from any to any via tun0
#OpenVPN
$cmd 101 $skip udp from any to ${IpOut} 2000 in via ${LanOut}
$cmd 102 $skip udp from ${IpOut} 2000 to any out via ${LanOut}
$cmd 103 $skip all from any to any in via ${openvpn_if}
$cmd 104 $skip all from any to any out via ${openvpn_if}
Если это возможно только в режиме моста, то прошу помощи в переделке моего конфига.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Gamerman
капитан
Сообщения: 1717
Зарегистрирован: 2009-05-17 21:01:23
Откуда: Украина, Ужгород - Днепр
Контактная информация:

Re: FreeBSD 8.1 OpenVPN

Непрочитанное сообщение Gamerman » 2011-08-17 15:30:05

Почему только 4-ре?
Глюк глюком вышибают!

Аватара пользователя
Sindikat88
мл. сержант
Сообщения: 138
Зарегистрирован: 2010-09-02 15:07:54
Контактная информация:

Re: FreeBSD 8.1 OpenVPN

Непрочитанное сообщение Sindikat88 » 2011-08-17 15:53:49

потому что клиент, в ccd которого указаны такие параметры

Код: Выделить всё

ifconfig-push 10.10.200.61 10.10.200.60
уже не может подключиться. При подключении вываливается ошибка:

Код: Выделить всё

Wed Aug 17 16:51:40 2011 There is a problem in your selection of --ifconfig endpoints [local=10.10.200.61, remote=10.10.200.60].  The local and remote VPN endpoints cannot use the first or last address within a given 255.255.255.252 subnet.  This is a limitation of --dev tun when used with the TAP-WIN32 driver.  Try 'openvpn --show-valid-subnets' option for more info.
В первом сообщении я ошибся
что одновременно подключаться смогут только 4 клиента
.

Аватара пользователя
Gamerman
капитан
Сообщения: 1717
Зарегистрирован: 2009-05-17 21:01:23
Откуда: Украина, Ужгород - Днепр
Контактная информация:

Re: FreeBSD 8.1 OpenVPN

Непрочитанное сообщение Gamerman » 2011-08-17 16:17:30

Настройка для этого клиента есть?
Глюк глюком вышибают!

snorlov
подполковник
Сообщения: 3690
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: FreeBSD 8.1 OpenVPN

Непрочитанное сообщение snorlov » 2011-08-17 23:12:33

Sindikat88 писал(а):потому что клиент, в ccd которого указаны такие параметры

Код: Выделить всё

ifconfig-push 10.10.200.61 10.10.200.60
уже не может подключиться. При подключении вываливается ошибка:

Код: Выделить всё

Wed Aug 17 16:51:40 2011 There is a problem in your selection of --ifconfig endpoints [local=10.10.200.61, remote=10.10.200.60].  The local and remote VPN endpoints cannot use the first or last address within a given 255.255.255.252 subnet.  This is a limitation of --dev tun when used with the TAP-WIN32 driver.  Try 'openvpn --show-valid-subnets' option for more info.
В первом сообщении я ошибся
что одновременно подключаться смогут только 4 клиента
.
Посмотри свой конфиг и обнаружь в нем енту маску 255.255.255.252

Аватара пользователя
Sindikat88
мл. сержант
Сообщения: 138
Зарегистрирован: 2010-09-02 15:07:54
Контактная информация:

Re: FreeBSD 8.1 OpenVPN

Непрочитанное сообщение Sindikat88 » 2011-08-18 7:36:25

когда меняешь маску на 255.255.255.0 он все равно выдает это сообщение

Код: Выделить всё

There is a problem in your selection of --ifconfig endpoints [local=10.10.200.61, remote=10.10.200.60].  The local and remote VPN endpoints cannot use the first or last address within a given 255.255.255.252 subnet.  This is a limitation of --dev tun when used with the TAP-WIN32 driver.  Try 'openvpn --show-valid-subnets' option for more info.

Аватара пользователя
Sindikat88
мл. сержант
Сообщения: 138
Зарегистрирован: 2010-09-02 15:07:54
Контактная информация:

Re: FreeBSD 8.1 OpenVPN

Непрочитанное сообщение Sindikat88 » 2011-08-18 7:40:37

Gamerman писал(а):Настройка для этого клиента есть?
Конфиг клиента:

Код: Выделить всё

dev tun
proto udp
remote xxx.xxx.xxx.xxx
port 2000
client
resolv-retry infinite
ca ca.crt
cert client.crt
key client.key
tls-client
tls-auth ta.key 1
auth MD5
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
verb 3

Аватара пользователя
Gamerman
капитан
Сообщения: 1717
Зарегистрирован: 2009-05-17 21:01:23
Откуда: Украина, Ужгород - Днепр
Контактная информация:

Re: FreeBSD 8.1 OpenVPN

Непрочитанное сообщение Gamerman » 2011-08-18 8:57:22

ifconfig-push 10.10.200.61 10.10.200.62
Глюк глюком вышибают!

Аватара пользователя
Sindikat88
мл. сержант
Сообщения: 138
Зарегистрирован: 2010-09-02 15:07:54
Контактная информация:

Re: FreeBSD 8.1 OpenVPN

Непрочитанное сообщение Sindikat88 » 2011-08-18 9:38:29

Gamerman писал(а):ifconfig-push 10.10.200.61 10.10.200.62
Спасибо. Пинги пошли. Но объясните почему именно так, а не как у меня было?

Аватара пользователя
Gamerman
капитан
Сообщения: 1717
Зарегистрирован: 2009-05-17 21:01:23
Откуда: Украина, Ужгород - Днепр
Контактная информация:

Re: FreeBSD 8.1 OpenVPN

Непрочитанное сообщение Gamerman » 2011-08-18 9:40:37

Разрешено только 01 и 10, а у вас было 00 и 01
Глюк глюком вышибают!

Аватара пользователя
Sindikat88
мл. сержант
Сообщения: 138
Зарегистрирован: 2010-09-02 15:07:54
Контактная информация:

Re: FreeBSD 8.1 OpenVPN

Непрочитанное сообщение Sindikat88 » 2011-09-01 12:47:48

Спасибо за ответ. Действительно лоханулся, когда считал.