OpenVPN

[xtty]

Суть вот в чем , есть сервер на нем поднят OpenVPN сервер , к нему без проблем подключаются юзеры . Есть еще один сервер , нужно что бы первый сервер подключался ко второму и юзеры так же работали только уже через тот сервер , то-есть возможно ли , что бы первый сервер подключался ко второму ? или как можно такое организовать?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

два openvpn сервера, почему нет?

[snorlov]

Можно иметь 2-а сервера, а в качестве проверяльщика radius, т.е. общую базу пользователей...

[xtty]

А есть мануальчик ? для пользователей , А не подскажите , через радиус можно включать и отключать пользователей ? ну вообщем есть какой нить мануал по настройке сразу двух серверов ? что бы один шел через другой ? и по пользователям ?

[hizel]

RADIUS имеет смысл при большом кол-ве клиентов

[snorlov]

А есть мануальчик ? для пользователей , А не подскажите , через радиус можно включать и отключать пользователей ? ну вообщем есть какой нить мануал по настройке сразу двух серверов ? что бы один шел через другой ? и по пользователям ?

Мне все=таки непонятен вопрос "что бы один шел через другой", это как??? 2-а vpn-сервера с единой базой пользователей или что-то другое.

[xtty]

у меня много пользователей , мне нужно что бы опять таки авторизация шла через сетификаты, а на счет как 2 сервера .
1 сервер 78.100.222.222
2 сервер 22.22.22.22
пользователь конектится к серверу номер 1 , тот в свою очередь конектится к серверу номер 2 , тоесть , получается что пользователи выходят в интернет через сервер 2 уже , в принцепи решил как это можно сделать , с сервера 1 поднимать впн на сервер 2 , без маршрутов , а в сервере 1 , поднимать мост на этот тунель , и на сервере 1 указывать интернет интерфейсом этот мост , в самом openvpn это позволяется сделать , еще в принцепи не пробывал , щас буду тестить , а вот как с пользователями поступить ? Нужно создавать пользователя , допустим на какое-то то время , проходит допустим там 5 дней , его нужно отключить , а потом опять включить , вот как с этим поступить , я могу сгенерировать сертификаты он будет с ними работать , могу указать на какое время они действительны , но как сделать что бы можно было или отключить его либо продлить ? А играться постоянно с новым создаванием сертификатов и переносу его на комп пользователя , не то ...

[zingel]

понял чего сам написал?

p.s. схему конкретнее....

[xtty]

А что тут не понятного ?
Почитай поймешь ....
Есть два сервера , 1 сервер шлюз на нем поднят впн сервер все конектятся к нему , есть второй сервер , к нему должен конектиться первый сервак , тунель должен выглядеть след образом ..
юзеры ---> шлюз ----> второй сервер ---> интернет
что тут не понятного ?
и нужно просто управлять пользователями , тоесть включать их отключать ...тоесть авторизация обычная openvpn , тоесть через сертификаты , как блокировать узера в опенвпн ?

[zingel]

блокировать узера в опенвпн

тоесть нужная фряха QoS, openvpn да ещё и чтобы это роутилось на второй гейт?

поставь маршрутизатор там нормальный. если нет, то ipnat + pf + статичный роутинг.

[xtty]

Да зачем все так делать то , можно на много проще , с шлюза на второй сервер поднимать тунель , без создания маршрута , создать бридж на этот тунель , и на самом впн сервере указать что бы трафик брал с этого брижда , такой сам сервер позволяет без проблем , но вот как с юзерами поступить ?

[zingel]

вот это самый корявый вопрос, как с ними быть, с одной стороны можно шейпить файрволом, а с другой нужен биллинг

[xtty]

Фаерволом не получится , допустим у них всегда меняются ip, или подключается например из дома , ( ну такая система не буду вдаваться в подробности ) , а вот биллинг интересный вопрос , Какой биллинг может работать с openvpn клиентами , abbils , так там радиус , по паролю если не ошибаюсь ...А мне нужно так же по сертификатам ...Ужас просто ....создать клиента можно , могу также отключиться его учетку , удалив сертификат ,тоесть сделав его не действительным , это могу , но как допустим его вновь включить.....Раз анулировать его можно , значит можно его так же и включить ...но как ...? Ужас просто

[snorlov]

.А мне нужно так же по сертификатам ...Ужас просто ....создать клиента можно , могу также отключиться его учетку , удалив сертификат ,тоесть сделав его не действительным , это могу , но как допустим его вновь включить.....Раз анулировать его можно , значит можно его так же и включить ...но как ...? Ужас просто

Сертификат можно только отозвать, впрочем можно хранить копии списков отзыва сертификатов... Но это такой гемор... Вообще-то организовывается по-другому, пользователю предоставляется возможность самому запрашивать сертификат, после выдачи пользователю сертификата, эта его возможность блокируется...

[xtty]

А мог бы объяснить как отзывать ? и как хранить копии ? мне кажется так будет удобней ....

[xtty]

Вроде нашел , для управления сертификатами. Проект называется ejbca . Кто нить работал с этим , есть какие нить впечатления?