OpenVPN

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
xtty
рядовой
Сообщения: 28
Зарегистрирован: 2008-09-29 16:11:53
Контактная информация:

OpenVPN

Непрочитанное сообщение xtty » 2009-02-13 22:15:03

Суть вот в чем , есть сервер на нем поднят OpenVPN сервер , к нему без проблем подключаются юзеры . Есть еще один сервер , нужно что бы первый сервер подключался ко второму и юзеры так же работали только уже через тот сервер , то-есть возможно ли , что бы первый сервер подключался ко второму ? или как можно такое организовать?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: OpenVPN

Непрочитанное сообщение hizel » 2009-02-14 1:55:21

два openvpn сервера, почему нет?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

snorlov
подполковник
Сообщения: 3832
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: OpenVPN

Непрочитанное сообщение snorlov » 2009-02-14 14:07:55

Можно иметь 2-а сервера, а в качестве проверяльщика radius, т.е. общую базу пользователей...

xtty
рядовой
Сообщения: 28
Зарегистрирован: 2008-09-29 16:11:53
Контактная информация:

Re: OpenVPN

Непрочитанное сообщение xtty » 2009-02-15 18:13:40

А есть мануальчик ? для пользователей , А не подскажите , через радиус можно включать и отключать пользователей ? ну вообщем есть какой нить мануал по настройке сразу двух серверов ? что бы один шел через другой ? и по пользователям ?

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: OpenVPN

Непрочитанное сообщение hizel » 2009-02-15 18:48:57

RADIUS имеет смысл при большом кол-ве клиентов
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

snorlov
подполковник
Сообщения: 3832
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: OpenVPN

Непрочитанное сообщение snorlov » 2009-02-15 19:59:27

n0klos писал(а):А есть мануальчик ? для пользователей , А не подскажите , через радиус можно включать и отключать пользователей ? ну вообщем есть какой нить мануал по настройке сразу двух серверов ? что бы один шел через другой ? и по пользователям ?
Мне все=таки непонятен вопрос "что бы один шел через другой", это как??? 2-а vpn-сервера с единой базой пользователей или что-то другое.

xtty
рядовой
Сообщения: 28
Зарегистрирован: 2008-09-29 16:11:53
Контактная информация:

Re: OpenVPN

Непрочитанное сообщение xtty » 2009-02-15 21:39:39

у меня много пользователей , мне нужно что бы опять таки авторизация шла через сетификаты, а на счет как 2 сервера .
1 сервер 78.100.222.222
2 сервер 22.22.22.22
пользователь конектится к серверу номер 1 , тот в свою очередь конектится к серверу номер 2 , тоесть , получается что пользователи выходят в интернет через сервер 2 уже , в принцепи решил как это можно сделать , с сервера 1 поднимать впн на сервер 2 , без маршрутов , а в сервере 1 , поднимать мост на этот тунель , и на сервере 1 указывать интернет интерфейсом этот мост , в самом openvpn это позволяется сделать , еще в принцепи не пробывал , щас буду тестить , а вот как с пользователями поступить ? Нужно создавать пользователя , допустим на какое-то то время , проходит допустим там 5 дней , его нужно отключить , а потом опять включить , вот как с этим поступить , я могу сгенерировать сертификаты он будет с ними работать , могу указать на какое время они действительны , но как сделать что бы можно было или отключить его либо продлить ? А играться постоянно с новым создаванием сертификатов и переносу его на комп пользователя , не то ...

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: OpenVPN

Непрочитанное сообщение zingel » 2009-02-16 0:50:24

понял чего сам написал?

p.s. схему конкретнее....
Z301171463546 - можно пожертвовать мне денег

xtty
рядовой
Сообщения: 28
Зарегистрирован: 2008-09-29 16:11:53
Контактная информация:

Re: OpenVPN

Непрочитанное сообщение xtty » 2009-02-16 1:43:15

А что тут не понятного ?
Почитай поймешь ....
Есть два сервера , 1 сервер шлюз на нем поднят впн сервер все конектятся к нему , есть второй сервер , к нему должен конектиться первый сервак , тунель должен выглядеть след образом ..
юзеры ---> шлюз ----> второй сервер ---> интернет
что тут не понятного ?
и нужно просто управлять пользователями , тоесть включать их отключать ...тоесть авторизация обычная openvpn , тоесть через сертификаты , как блокировать узера в опенвпн ?

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: OpenVPN

Непрочитанное сообщение zingel » 2009-02-16 7:11:56

блокировать узера в опенвпн
тоесть нужная фряха QoS, openvpn да ещё и чтобы это роутилось на второй гейт?

поставь маршрутизатор там нормальный. если нет, то ipnat + pf + статичный роутинг.
Z301171463546 - можно пожертвовать мне денег

xtty
рядовой
Сообщения: 28
Зарегистрирован: 2008-09-29 16:11:53
Контактная информация:

Re: OpenVPN

Непрочитанное сообщение xtty » 2009-02-16 12:16:49

Да зачем все так делать то , можно на много проще , с шлюза на второй сервер поднимать тунель , без создания маршрута , создать бридж на этот тунель , и на самом впн сервере указать что бы трафик брал с этого брижда , такой сам сервер позволяет без проблем , но вот как с юзерами поступить ?

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: OpenVPN

Непрочитанное сообщение zingel » 2009-02-16 12:18:53

вот это самый корявый вопрос, как с ними быть, с одной стороны можно шейпить файрволом, а с другой нужен биллинг
Z301171463546 - можно пожертвовать мне денег

xtty
рядовой
Сообщения: 28
Зарегистрирован: 2008-09-29 16:11:53
Контактная информация:

Re: OpenVPN

Непрочитанное сообщение xtty » 2009-02-16 13:03:15

Фаерволом не получится , допустим у них всегда меняются ip, или подключается например из дома , ( ну такая система не буду вдаваться в подробности ) , а вот биллинг интересный вопрос , Какой биллинг может работать с openvpn клиентами , abbils , так там радиус , по паролю если не ошибаюсь ...А мне нужно так же по сертификатам ...Ужас просто ....создать клиента можно , могу также отключиться его учетку , удалив сертификат ,тоесть сделав его не действительным , это могу , но как допустим его вновь включить.....Раз анулировать его можно , значит можно его так же и включить ...но как ...? Ужас просто

snorlov
подполковник
Сообщения: 3832
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: OpenVPN

Непрочитанное сообщение snorlov » 2009-02-16 18:49:43

n0klos писал(а):.А мне нужно так же по сертификатам ...Ужас просто ....создать клиента можно , могу также отключиться его учетку , удалив сертификат ,тоесть сделав его не действительным , это могу , но как допустим его вновь включить.....Раз анулировать его можно , значит можно его так же и включить ...но как ...? Ужас просто
Сертификат можно только отозвать, впрочем можно хранить копии списков отзыва сертификатов... Но это такой гемор... Вообще-то организовывается по-другому, пользователю предоставляется возможность самому запрашивать сертификат, после выдачи пользователю сертификата, эта его возможность блокируется...

xtty
рядовой
Сообщения: 28
Зарегистрирован: 2008-09-29 16:11:53
Контактная информация:

Re: OpenVPN

Непрочитанное сообщение xtty » 2009-02-16 19:10:41

А мог бы объяснить как отзывать ? и как хранить копии ? мне кажется так будет удобней ....

xtty
рядовой
Сообщения: 28
Зарегистрирован: 2008-09-29 16:11:53
Контактная информация:

Re: OpenVPN

Непрочитанное сообщение xtty » 2009-02-16 22:44:19

Вроде нашел , для управления сертификатами. Проект называется ejbca . Кто нить работал с этим , есть какие нить впечатления?