Вопрос по статье mak_v_ "Openvpn + FreeBSD"

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
igyrus
рядовой
Сообщения: 34
Зарегистрирован: 2007-11-09 16:06:59

Вопрос по статье mak_v_ "Openvpn + FreeBSD"

Непрочитанное сообщение igyrus » 2007-11-21 10:37:18

Прошу прощения за, возможно, делитанские вопросы.
Допускаю, что какие-то само-собой-разумеющиеся действия в статье просто пропущены.

Как сказано установил из портов. Начал править vars.
# cd /usr/local/share/doc/openvpn/easy-rsa/
# (в этом файлике изменяете путь к ключам)
#ee ./vars
# меняем строку KEY_DIR=$D/keys на KEY_DIR=$D/keys/server
Но переменная $D в исходном файле определена как 'pwd'. (что бы это значило?)
Исправил на export D=/usr/local/share/doc/openvpn/ .
#sh
#./vars
Запустил sh (затем пробовал и bash).
При попытке выполнить ./vars ругнулась на отсутствие прав, т.к. vars изначально не имеет атрибута "execute", а файлы clean-all и все build-... истановились с этим атрибутом. Установил атрибут "execute" для vars и запустил. После выполнения переменные в памяти не остаются. В списке, выдаваемом командой export они отсутствуют и при выполнении ./clean-all ругается, что $KEY_DIR не определена.

Подскажите пожалуйста, что я делаю не так.

P.S. В другой статье автор поместил строку
. ./vars
в начало файлов clean-all и build-...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

igyrus
рядовой
Сообщения: 34
Зарегистрирован: 2007-11-09 16:06:59

Re: Вопрос по статье mak_v_ "Openvpn + FreeBSD"

Непрочитанное сообщение igyrus » 2007-11-21 12:34:32

Попробовал запустить
#. ./vars (точка пробел точка/vars)
- всё нормально, переменные остались в памяти и атрибут "execute" файлу не нужен.

Объясните незнающему команды :oops: что означает первая точка.
Последний раз редактировалось igyrus 2007-11-21 12:39:57, всего редактировалось 1 раз.

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Вопрос по статье mak_v_ "Openvpn + FreeBSD"

Непрочитанное сообщение schizoid » 2007-11-21 12:36:42

первая точка означает, что файл в текущей директории
ядерный взрыв...смертельно красиво...жаль, что не вечно...

igyrus
рядовой
Сообщения: 34
Зарегистрирован: 2007-11-09 16:06:59

Re: Вопрос по статье mak_v_ "Openvpn + FreeBSD"

Непрочитанное сообщение igyrus » 2007-11-21 12:42:41

schizoid
Об этом говорит вторая точка.
А первая, перед пробелом?
И, к тому же, в этом случае файлу не нужен атрибут "execute".

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Вопрос по статье mak_v_ "Openvpn + FreeBSD"

Непрочитанное сообщение schizoid » 2007-11-21 12:46:39

а, я имел ввиду ./script
...
а про вторую я как-то видел в книжке по программированию на shell
вот тока не помню шо она значит :(
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Вопрос по статье mak_v_ "Openvpn + FreeBSD"

Непрочитанное сообщение Alex Keda » 2007-11-21 12:47:42

если точка-пробел-файл - то это типа инклюда
Убей их всех! Бог потом рассортирует...

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Вопрос по статье mak_v_ "Openvpn + FreeBSD"

Непрочитанное сообщение schizoid » 2007-11-21 12:50:03

о, спсб. и я буду знать :)
ядерный взрыв...смертельно красиво...жаль, что не вечно...

igyrus
рядовой
Сообщения: 34
Зарегистрирован: 2007-11-09 16:06:59

Re: Вопрос по статье mak_v_ "Openvpn + FreeBSD"

Непрочитанное сообщение igyrus » 2007-11-21 13:00:27

lissyara

Спасибо.

Тогда может и в статье подправишь. :D

И такой фрагмент один лишний:
./build-key client
Создаём ключ для клиента
Generating a 1024 bit RSA private key
.........++++++
.......++++++
writing new private key to 'client.key'

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Вопрос по статье mak_v_ "Openvpn + FreeBSD"

Непрочитанное сообщение Alex Keda » 2007-11-21 13:03:12

ещё бы я понял о чём вы тут :)))
Убей их всех! Бог потом рассортирует...

igyrus
рядовой
Сообщения: 34
Зарегистрирован: 2007-11-09 16:06:59

Re: Вопрос по статье mak_v_ "Openvpn + FreeBSD"

Непрочитанное сообщение igyrus » 2007-11-21 13:11:02

Статья http://www.lissyara.su/?id=1549, седьмая рамка с листингом, последние 6 строк (они в следующей рамке)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Вопрос по статье mak_v_ "Openvpn + FreeBSD"

Непрочитанное сообщение Alex Keda » 2007-11-21 13:13:00

пофиксил
Убей их всех! Бог потом рассортирует...

igyrus
рядовой
Сообщения: 34
Зарегистрирован: 2007-11-09 16:06:59

Re: Вопрос по статье mak_v_ "Openvpn + FreeBSD"

Непрочитанное сообщение igyrus » 2007-11-21 13:29:39

и в третей рамке замени
#./vars
на
#. ./vars

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Вопрос по статье mak_v_ "Openvpn + FreeBSD"

Непрочитанное сообщение Alex Keda » 2007-11-21 13:41:58

сделал
Убей их всех! Бог потом рассортирует...

AlexN
рядовой
Сообщения: 17
Зарегистрирован: 2007-05-03 5:29:07
Откуда: Новосибирск

Re: Вопрос по статье mak_v_ "Openvpn + FreeBSD"

Непрочитанное сообщение AlexN » 2007-11-22 13:15:06

Настроил все по статье с этого сайта. При подключении выдает ошибку, в чем может быть проблема?
read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Файрвол ?

igyrus
рядовой
Сообщения: 34
Зарегистрирован: 2007-11-09 16:06:59

Re: Вопрос по статье mak_v_ "Openvpn + FreeBSD"

Непрочитанное сообщение igyrus » 2007-11-22 17:45:04

Скорее всего. Я точно не помню какая ошибка была пока не разрешил

Код: Выделить всё

${FwCMD} add allow udp from any to ${IpOut1} 2000 via ${LanOut}
${FwCMD} add allow ip from ${NetVpn}/24 to ${NetIn0}/24
Последний раз редактировалось Alex Keda 2007-11-22 19:41:44, всего редактировалось 1 раз.
Причина: Товарищщи, цените чужое время, юзайте кнопочку [code]...

either
проходил мимо
Сообщения: 5
Зарегистрирован: 2007-11-28 18:21:29
Откуда: СПб
Контактная информация:

Re: Вопрос по статье mak_v_ "Openvpn + FreeBSD"

Непрочитанное сообщение either » 2007-11-28 19:24:49

делал по статье, фря 5.4
ipfw:

Код: Выделить всё

/sbin/ipfw -q add pass ip from any to any via ${vif}
/sbin/ipfw -q add pass udp from any to ${oip} 1194 in via ${oif}
/sbin/ipfw -q add pass ip from ${inet} to ${vnet} in via ${iif}
/sbin/ipfw -q add pass ip from ${vnet} to ${inet} out via ${iif}
tail -f /var/log/openvpn.log:

Код: Выделить всё

Wed Nov 28 16:19:55 2007 MULTI: multi_create_instance called
Wed Nov 28 16:19:55 2007 91.122.53.152:20186 Re-using SSL/TLS context
Wed Nov 28 16:19:55 2007 91.122.53.152:20186 LZO compression initialized
Wed Nov 28 16:19:55 2007 91.122.53.152:20186 Control Channel MTU parms [ L:1538 D:162 EF:62 EB:0 ET:0 EL:0 ]
Wed Nov 28 16:19:55 2007 91.122.53.152:20186 Data Channel MTU parms [ L:1538 D:1450 EF:38 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Nov 28 16:19:55 2007 91.122.53.152:20186 Local Options hash (VER=V4): '1056bce3'
Wed Nov 28 16:19:55 2007 91.122.53.152:20186 Expected Remote Options hash (VER=V4): '03fa487d'
Wed Nov 28 16:19:55 2007 91.122.53.152:20186 TLS: Initial packet from 91.122.53.xxx:20186, sid=3d2e97aa 015a4569
Wed Nov 28 16:19:55 2007 91.122.53.152:20186 write UDPv4: Permission denied (code=13)
Wed Nov 28 16:19:58 2007 91.122.53.152:20186 write UDPv4: Permission denied (code=13)
Wed Nov 28 16:20:00 2007 91.122.53.152:20186 write UDPv4: Permission denied (code=13)
далее последняя строка повторяется до истечения таймаута

не пойму каких именно разрешений не хватает
гугль молчит

igyrus
рядовой
Сообщения: 34
Зарегистрирован: 2007-11-09 16:06:59

Re: Вопрос по статье mak_v_ "Openvpn + FreeBSD"

Непрочитанное сообщение igyrus » 2007-11-29 0:32:40

а если попробовать убрать " in via ${iif}" и " out via ${iif}" в двух последних командах.

either
проходил мимо
Сообщения: 5
Зарегистрирован: 2007-11-28 18:21:29
Откуда: СПб
Контактная информация:

Re: Вопрос по статье mak_v_ "Openvpn + FreeBSD"

Непрочитанное сообщение either » 2007-11-29 10:14:17

ругань точно такая же если даже просто убрать последние 2 правила в ipfw

upd
ругается на права доступа к ключам, файрвол тут ни при чем
не решено но хоть примерно понятно куда копать

mak_v_
проходил мимо

Re: Вопрос по статье mak_v_ "Openvpn + FreeBSD"

Непрочитанное сообщение mak_v_ » 2007-12-01 20:30:05

Пробегал тут мимо, заметил спор
1) в фаерволах на обеих машинах разрешите прохождение UDP-пакетов на порт 2000 (либо на порт на котором у вас висит сервер)
2) ели ругань на ключи - это можно поглядеть в логах (как на сервере так и на клиенте), для подробного логирования в конфигах установите
verbose 9
и отслеживайте

either
проходил мимо
Сообщения: 5
Зарегистрирован: 2007-11-28 18:21:29
Откуда: СПб
Контактная информация:

Re: Вопрос по статье mak_v_ "Openvpn + FreeBSD"

Непрочитанное сообщение either » 2007-12-03 21:34:52

ругань на ключи была какой-то временной.

все решила строка
${ipfw} add 1311 pass udp from any to any 1194
в соответствующем месте. нефиг конфиги на несвежую голову мудрить.

ramazan
проходил мимо

Re: Вопрос по статье mak_v_ "Openvpn + FreeBSD"

Непрочитанное сообщение ramazan » 2009-04-24 22:23:03

Настроил сервер в офисе как описано в статье. Клиент под Windows подключается к офису и всё отлично работает.
Возникла необходимость подключения второго клиента. Настроил, тоже работает.
Клиент 1 получает IP 10.10.200.2
Клиент 2 получает IP 10.10.200.6

Теперь есть необходимость подключаться радмином с первого клиента ко второму (когда оба соединены с центральным офисом)
но они даже не пингуют друг друга.
Думаю нужно прописать маршруты, но где и как не знаю.
Кто решал такую проблему подскажите, а то я не особо в этих делах шарю...
Заранее спасибо....

mak_v_
проходил мимо

Re: Вопрос по статье mak_v_ "Openvpn + FreeBSD"

Непрочитанное сообщение mak_v_ » 2009-04-24 23:18:49

Дайте обоим клиентам маршруты:
на стороне сервера опция 'push" в ccd для каждого клиента, аля
push route <client2_tun_ip> <server_tun_ip_for_client_1> -для клиента 1
push route <client1_tun_ip> <server_tun_ip_for_client_2> -для клиента 2
либо
скрипты на клиентских сторонах с этими же маршрутами, либо в конфе сервера пуши
либо если для "всех" - кусочер из мана

Код: Выделить всё

--client-to-client 
Because the OpenVPN server mode handles multiple clients through a single tun or tap interface, it is effectively a router. The --client-to-client flag tells OpenVPN to internally route client-to-client traffic rather than pushing all client-originating traffic to the TUN/TAP interface. 

When this option is used, each client will "see" the other clients which are currently connected. Otherwise, each client will only see the server. Don't use this option if you want to firewall tunnel traffic using custom, per-client rules.

ramazan
проходил мимо

Re: Вопрос по статье mak_v_ "Openvpn + FreeBSD"

Непрочитанное сообщение ramazan » 2009-04-25 10:28:14

mak_v_ писал(а):Дайте обоим клиентам маршруты:
на стороне сервера опция 'push" в ccd для каждого клиента, аля
push route <client2_tun_ip> <server_tun_ip_for_client_1> -для клиента 1
push route <client1_tun_ip> <server_tun_ip_for_client_2> -для клиента 2
либо
скрипты на клиентских сторонах с этими же маршрутами, либо в конфе сервера пуши
либо если для "всех" - кусочер из мана

Код: Выделить всё

--client-to-client 
Because the OpenVPN server mode handles multiple clients through a single tun or tap interface, it is effectively a router. The --client-to-client flag tells OpenVPN to internally route client-to-client traffic rather than pushing all client-originating traffic to the TUN/TAP interface. 

When this option is used, each client will "see" the other clients which are currently connected. Otherwise, each client will only see the server. Don't use this option if you want to firewall tunnel traffic using custom, per-client rules.
поставил в конфиге сервера client-to-client и всё заработало, огромное спасибо!!!

ramazan
проходил мимо

Re: Вопрос по статье mak_v_ "Openvpn + FreeBSD"

Непрочитанное сообщение ramazan » 2009-11-03 13:59:31

ramazan писал(а):
mak_v_ писал(а):Дайте обоим клиентам маршруты:
на стороне сервера опция 'push" в ccd для каждого клиента, аля
push route <client2_tun_ip> <server_tun_ip_for_client_1> -для клиента 1
push route <client1_tun_ip> <server_tun_ip_for_client_2> -для клиента 2
либо
скрипты на клиентских сторонах с этими же маршрутами, либо в конфе сервера пуши
либо если для "всех" - кусочер из мана

Код: Выделить всё

--client-to-client 
Because the OpenVPN server mode handles multiple clients through a single tun or tap interface, it is effectively a router. The --client-to-client flag tells OpenVPN to internally route client-to-client traffic rather than pushing all client-originating traffic to the TUN/TAP interface. 

When this option is used, each client will "see" the other clients which are currently connected. Otherwise, each client will only see the server. Don't use this option if you want to firewall tunnel traffic using custom, per-client rules.
поставил в конфиге сервера client-to-client и всё заработало, огромное спасибо!!!
теперь за клиентом 1 появилась сетка. Сам клиент 1 имеет в своей локалке адрес 192.168.1.1 и есть ещё один комп с адресом 192.168.1.2. Подскажите что мне нужно прописать чтобы с клиента 2 увидеть комп 192.168.1.2 (комп в локалке клиента 1)?

mak_v_
проходил мимо

Re: Вопрос по статье mak_v_ "Openvpn + FreeBSD"

Непрочитанное сообщение mak_v_ » 2009-11-03 17:01:16

прописать маршруты
либо для более чёткого видения картины описать нам топологию вашей сети с указанием всех параметров