Обсуждение VPN сервера OpenVPN

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2010-11-02 9:12:00

Вот смотри!
Вложения
openvpn_control.png

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

ail-man
рядовой
Сообщения: 16
Зарегистрирован: 2010-03-18 20:08:30

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение ail-man » 2010-11-03 10:30:48

Cancer писал(а):В начале когда настроил все по UDP работало все отлично быстро, но когда больше филиалов начало появляться и интернет у них не всегда хороший от всяких говнопровайдеров пришлось переводится на TCP, так как на нем работает медленнее, но стабильнее.

Ну в общем выбирать вам!
Вот-вот! то же самое у меня. Чем больше машин в филиалах ходят через OpenVPN, тем больше пропадают пакеты. Терминал при этом не отваливается, но все же неприятный момент при мониторинге стабильности канала. И все же у меня пока на UDP работает заметно быстрее, чем на TCP (к OpenVPN серваку подключено 9 филиалов), поэтому и перешел на него. Наверное, пока вариант один - ждать улучшенных релизов софта...

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2010-11-03 14:32:39

ail-man писал(а):
Cancer писал(а):В начале когда настроил все по UDP работало все отлично быстро, но когда больше филиалов начало появляться и интернет у них не всегда хороший от всяких говнопровайдеров пришлось переводится на TCP, так как на нем работает медленнее, но стабильнее.

Ну в общем выбирать вам!
Вот-вот! то же самое у меня. Чем больше машин в филиалах ходят через OpenVPN, тем больше пропадают пакеты. Терминал при этом не отваливается, но все же неприятный момент при мониторинге стабильности канала. И все же у меня пока на UDP работает заметно быстрее, чем на TCP (к OpenVPN серваку подключено 9 филиалов), поэтому и перешел на него. Наверное, пока вариант один - ждать улучшенных релизов софта...

Нет скорее всего из-за говно провайдеров такое происходит.

У меня все на УДП отлично работало кроме некоторых мест где провайдер реально не очень хороший. Вот по этому и пришлось перейти на TCP, так как работает он стабильнее на участках где говнопровайдеры.

mahn0
рядовой
Сообщения: 10
Зарегистрирован: 2009-12-04 16:16:55
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение mahn0 » 2010-11-17 23:59:49

Кто-нибудь решил вопрос UDP+multihomed ?

http://www.opennet.ru/openforum/vsluhfo ... 87864.html
http://sysadmins.ru/post8945593.html

Момент таков, что когда на сервере несколько каналов, openvpn по UDP работает только с дефолтным роутом. Приходится юзать tcp, либо поднимать несколько openvpn-ов.
С версии 2.1.х появилась опция multihome для решения этой проблемы, однако в FREEBSD она недоступна.

oren
рядовой
Сообщения: 23
Зарегистрирован: 2010-04-05 11:30:09
Откуда: Оренбург

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение oren » 2010-12-23 14:43:12

Никто не сталкивался с лимитом ip адресов =64 клиентов?
И можно ли использовать два виртуальных интерфейса для подключения ?

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2010-12-25 12:23:58

oren писал(а):Никто не сталкивался с лимитом ip адресов =64 клиентов?
Ну так создайте вторую виртуальную подсеть

oren писал(а):И можно ли использовать два виртуальных интерфейса для подключения ?
Чуть не понял вопроса, хотите на клиенте к двум серверам OpenVPN подключаться одновременно ?

Аватара пользователя
T_T
ефрейтор
Сообщения: 65
Зарегистрирован: 2011-02-21 9:56:36

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение T_T » 2011-02-21 11:43:38

Добрый день, настраивал по статье но у меня проблема, хотелось бы попросить вашей помощи

настраивал всё по статье, подключаюсь к серверу успешно, пингую сам серевер по внутреннему адресу 192.168.0.1. но не пингуется ни один хост в сети 192.168.0.0 255.255.255.0. Подскажите как решить эту проблему готов выложить конфиги , трасерты и подобное. голову уже сломал, не пинайте сильно =\

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2011-02-21 13:37:41

T_T писал(а):Добрый день, настраивал по статье но у меня проблема, хотелось бы попросить вашей помощи

настраивал всё по статье, подключаюсь к серверу успешно, пингую сам серевер по внутреннему адресу 192.168.0.1. но не пингуется ни один хост в сети 192.168.0.0 255.255.255.0. Подскажите как решить эту проблему готов выложить конфиги , трасерты и подобное. голову уже сломал, не пинайте сильно =\

У остальных хостов в сети 192.168.0.0/24 основной шлюз указан сервер с OpenVPN ?

Аватара пользователя
T_T
ефрейтор
Сообщения: 65
Зарегистрирован: 2011-02-21 9:56:36

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение T_T » 2011-02-21 17:40:30

У остальных хостов в сети 192.168.0.0/24 основной шлюз указан сервер с OpenVPN ?

Код: Выделить всё

Подключение по локальной сети 2 - Ethernet адаптер:

   DNS-суффикс этого подключения . . : ***-***.ru
   Описание  . . . . . . . . . . . . : Atheros AR8131 PCI-E Gigabit Ethernet Con
troller
   Физический адрес. . . . . . . . . : 6C-F0-49-E7-7B-DA
   DHCP включен. . . . . . . . . . . : да
   Автонастройка включена  . . . . . : да
   IP-адрес  . . . . . . . . . . . . : 192.168.0.2
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз . . . . . . . . . . : 192.168.0.1
   DHCP-сервер . . . . . . . . . . . : 192.168.0.1
   DNS-серверы . . . . . . . . . . . : 192.168.0.1
   Аренда получена . . . . . . . . . : 19 февраля 2011 г. 21:00:38
   Аренда истекает . . . . . . . . . : 26 февраля 2011 г. 21:00:38
вот так всё выглядит

мб фаер рубит? хотя я при проверки добавил правило ipfw add 1 allow all from any to any
но там ещё нат есть ядерный, но если я правильно понимаю нат тут не нужен, все пакеты должны удовлетворятся этим правилом ipfw add 1 allow all from any to any

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2011-02-21 19:17:31

Проверяйте фаервол.
Трассировку сделай от клиента в локальную сеть.
И из локальной сети до клиента.

IIV
проходил мимо
Сообщения: 2
Зарегистрирован: 2011-02-24 10:16:45

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение IIV » 2011-02-24 10:24:33

Здравствуйте!

Пытаюсь прикрутить в конфиг клиента -askpass {file}. Но он упорно запрашивает пароль, из файла не берет. Сначала говорил что не может читать ключи из файла, пересобрал с нужной опцией - все работает. В файле с паролем ввел 2 строки логин и пароль, ничего лишнего не писал. Но теперь ни ругани нет за что уцепиться ни других намеков, просто игнорирует askpass и все. У кого есть опыт такой настройки. Гуглил прилично и вроде все делал по советам, но не выходит у меня.

Заранее спасибо.

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2011-02-24 19:20:45

IIV писал(а):Здравствуйте!

Пытаюсь прикрутить в конфиг клиента -askpass {file}. Но он упорно запрашивает пароль, из файла не берет. Сначала говорил что не может читать ключи из файла, пересобрал с нужной опцией - все работает. В файле с паролем ввел 2 строки логин и пароль, ничего лишнего не писал. Но теперь ни ругани нет за что уцепиться ни других намеков, просто игнорирует askpass и все. У кого есть опыт такой настройки. Гуглил прилично и вроде все делал по советам, но не выходит у меня.

Заранее спасибо.
Вы все таки покажите логи при коннекте клиента на сервер!

Аватара пользователя
T_T
ефрейтор
Сообщения: 65
Зарегистрирован: 2011-02-21 9:56:36

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение T_T » 2011-02-24 23:25:15

Проверяйте фаервол.
Трассировку сделай от клиента в локальную сеть.
И из локальной сети до клиента.
А можно ли как нибудь соеденить 2 сети 192.168.0.0/24 и 192.168.0.0/24? Какой-нибудь bridge им устроить, например.
Хотя мне нужно чтобы был виден комп с адресом 192.168.0.2, неважно из какой сети. Например, как вариант, из офиса с компа 192.168.0.2 подключится к серверу по впн и у него будет адрес 10.10.100.6 например, и обращаться по этому адресу к нему из вне. Ведь компы видят друг друга по адресам 10.10.100.х, но если я пытаюсь подключится из сети 192.168.0.0/24 к впн серверу из этой же сети, у меня вообще сеть пропадает на том компе, видать там с маршрутами что-то)
Честно говоря, каша получилась, но надеюсь что - нибудь понятно из моих сумбурных идей ...

Гость
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Гость » 2011-02-25 10:03:13

Cancer писал(а):
Вы все таки покажите логи при коннекте клиента на сервер!
В логах все отлично за исключением одной строки "2011 WARNING: file '/usr/local/etc/openvpn/pass' is group or others accessible

Гость
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Гость » 2011-02-25 10:42:59

Нашел статью, где советую в данном случае делать CHMOD 700. В логах теперь вообще пусто про файл с логином паролем. Ужас.

IIV
проходил мимо
Сообщения: 2
Зарегистрирован: 2011-02-24 10:16:45

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение IIV » 2011-02-25 15:21:01

Спасибо, что отозвались, но все решилось простым путем. Если кому на будущее нужно будет - рассказываю.

В конфиге клиента строка должна выглядеть данным образом.
auth-user-pass /usr/local/etc/openvpn/pass # Путь и имя файла естественно выши

Почему askpass не срабатывает - для меня загадка. И очень мало инфы по этому поводу в инете.

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2011-02-27 15:16:04

T_T писал(а):
Проверяйте фаервол.
Трассировку сделай от клиента в локальную сеть.
И из локальной сети до клиента.
А можно ли как нибудь соеденить 2 сети 192.168.0.0/24 и 192.168.0.0/24? Какой-нибудь bridge им устроить, например.
Хотя мне нужно чтобы был виден комп с адресом 192.168.0.2, неважно из какой сети. Например, как вариант, из офиса с компа 192.168.0.2 подключится к серверу по впн и у него будет адрес 10.10.100.6 например, и обращаться по этому адресу к нему из вне. Ведь компы видят друг друга по адресам 10.10.100.х, но если я пытаюсь подключится из сети 192.168.0.0/24 к впн серверу из этой же сети, у меня вообще сеть пропадает на том компе, видать там с маршрутами что-то)
Честно говоря, каша получилась, но надеюсь что - нибудь понятно из моих сумбурных идей ...
Вы сами то поняли что написали ?

Нарисуйте схему лучше и что вам нужно!

Как вы хотите объединить одинаковые подсети?
Проще всего одну из подсетей перевести в например 192.168.1.0/24 (самый логичный способ)

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2011-03-09 14:01:34

Статью переписал слегка, под работу с более большим размером ключей.

Код: Выделить всё

# меняем export KEY_SIZE=1024 на 2048
# (тем самым увеличим размер ключей с 1024 бит до 2048 бит)
export KEY_SIZE=2048

User81
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение User81 » 2011-03-16 23:23:23

Набросал простенький скрипт для слежения за состоянием через браузер

Код: Выделить всё

#!/usr/bin/perl -w
use strict;

sub Row
{
 print " <tr>\n";
 foreach (@_){
     if (defined($_))
         {
          print "  <th>$_</th>\n";
         }
     else
         {
         print "  <th>-</th>\n";
         }
 }
 print " </tr>\n";
}

print "Content-type: text/html\n\n";
print "<table cellpadding=\"2\" cellspacing=\"0\" border=\"1\">\n";
print "<colgroup span=\"1\" ></colgroup>\n";
print "<colgroup span=\"4\"width=\"200\" ></colgroup>\n";
my $files=qw(openvpn-status.log);
if (!open(LOG, "$files"))
    {
     print "<html><h1>@_</h1>\n";
     print "<html><h1>$!</h1>\n";
     die;
    }
else
    {
     while (<LOG>)
         {
          my ($CommonName, $RealAddress, $BytesReceived, $BytesSent, $ConnectedSince) = split /,+/, $_, 5;
          &Row($CommonName, $RealAddress, $BytesReceived, $BytesSent, $ConnectedSince);
         }
     close(LOG);
    }
print "</table>\n";
print "</html>\n";

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2011-03-16 23:48:39

User81 писал(а):Набросал простенький скрипт для слежения за состоянием через браузер

Код: Выделить всё

#!/usr/bin/perl -w
use strict;

sub Row
{
 print " <tr>\n";
 foreach (@_){
     if (defined($_))
         {
          print "  <th>$_</th>\n";
         }
     else
         {
         print "  <th>-</th>\n";
         }
 }
 print " </tr>\n";
}

print "Content-type: text/html\n\n";
print "<table cellpadding=\"2\" cellspacing=\"0\" border=\"1\">\n";
print "<colgroup span=\"1\" ></colgroup>\n";
print "<colgroup span=\"4\"width=\"200\" ></colgroup>\n";
my $files=qw(openvpn-status.log);
if (!open(LOG, "$files"))
    {
     print "<html><h1>@_</h1>\n";
     print "<html><h1>$!</h1>\n";
     die;
    }
else
    {
     while (<LOG>)
         {
          my ($CommonName, $RealAddress, $BytesReceived, $BytesSent, $ConnectedSince) = split /,+/, $_, 5;
          &Row($CommonName, $RealAddress, $BytesReceived, $BytesSent, $ConnectedSince);
         }
     close(LOG);
    }
print "</table>\n";
print "</html>\n";

А можно показать скрин ?

forsun
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение forsun » 2011-03-21 12:29:22

Cancer писал(а): В общем для того что бы вы смогли пингануть компьютер в офисе за OpenVPN сервером.
OpenVPN сервер в офисе должен быть основным шлюзом у всех ПК или хотя бы для теста у того ПК к которому хотите получить доступ.
А можно еще как то реализовать? Например с помощью nat.
Вообще что нужно сделать чтоб (видеть пинговать подключаться) компы за сервером, кроме того что сделать сервер основным шлюзом.

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2011-03-21 13:03:22

forsun писал(а):
Cancer писал(а): В общем для того что бы вы смогли пингануть компьютер в офисе за OpenVPN сервером.
OpenVPN сервер в офисе должен быть основным шлюзом у всех ПК или хотя бы для теста у того ПК к которому хотите получить доступ.
А можно еще как то реализовать? Например с помощью nat.
Вообще что нужно сделать чтоб (видеть пинговать подключаться) компы за сервером, кроме того что сделать сервер основным шлюзом.

Нарисуйте схему сети которая у вас сейчас.

forsun
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение forsun » 2011-03-21 13:51:53

Вот как то так только не смейтесь.
Вложения
Схема.gif

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2011-03-21 14:01:49

У вас вообще отдельно стоит, нужно сервер с ОпенВПН делать основным шлюзом.
Сделайте такую схему
(Локальная Сеть 192.168.1.0/24)----(OpenVPN он же Гейт и фаер)----(Интернет)-------(ADSL)------(Клиент)

А вот на счет того что бы он не был основным шлюзом пока что не знаю.
Но по идее можно роутингом разрулить на BSD, но хрень получится.

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2011-03-21 14:11:52

Покажи таблицу маршрутизации у клиента при подключенном ВПН.

Код: Выделить всё

route print
и скажи какой IP tun0 ВПН сервера и клиента

Да и покажи трассировку до рабочей станции с клиента