Обсуждение VPN сервера OpenVPN
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- рядовой
- Сообщения: 16
- Зарегистрирован: 2010-03-18 20:08:30
Re: Обсуждение VPN сервера OpenVPN
Вот-вот! то же самое у меня. Чем больше машин в филиалах ходят через OpenVPN, тем больше пропадают пакеты. Терминал при этом не отваливается, но все же неприятный момент при мониторинге стабильности канала. И все же у меня пока на UDP работает заметно быстрее, чем на TCP (к OpenVPN серваку подключено 9 филиалов), поэтому и перешел на него. Наверное, пока вариант один - ждать улучшенных релизов софта...Cancer писал(а):В начале когда настроил все по UDP работало все отлично быстро, но когда больше филиалов начало появляться и интернет у них не всегда хороший от всяких говнопровайдеров пришлось переводится на TCP, так как на нем работает медленнее, но стабильнее.
Ну в общем выбирать вам!
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
ail-man писал(а):Вот-вот! то же самое у меня. Чем больше машин в филиалах ходят через OpenVPN, тем больше пропадают пакеты. Терминал при этом не отваливается, но все же неприятный момент при мониторинге стабильности канала. И все же у меня пока на UDP работает заметно быстрее, чем на TCP (к OpenVPN серваку подключено 9 филиалов), поэтому и перешел на него. Наверное, пока вариант один - ждать улучшенных релизов софта...Cancer писал(а):В начале когда настроил все по UDP работало все отлично быстро, но когда больше филиалов начало появляться и интернет у них не всегда хороший от всяких говнопровайдеров пришлось переводится на TCP, так как на нем работает медленнее, но стабильнее.
Ну в общем выбирать вам!
Нет скорее всего из-за говно провайдеров такое происходит.
У меня все на УДП отлично работало кроме некоторых мест где провайдер реально не очень хороший. Вот по этому и пришлось перейти на TCP, так как работает он стабильнее на участках где говнопровайдеры.
-
- рядовой
- Сообщения: 10
- Зарегистрирован: 2009-12-04 16:16:55
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
Кто-нибудь решил вопрос UDP+multihomed ?
http://www.opennet.ru/openforum/vsluhfo ... 87864.html
http://sysadmins.ru/post8945593.html
Момент таков, что когда на сервере несколько каналов, openvpn по UDP работает только с дефолтным роутом. Приходится юзать tcp, либо поднимать несколько openvpn-ов.
С версии 2.1.х появилась опция multihome для решения этой проблемы, однако в FREEBSD она недоступна.
http://www.opennet.ru/openforum/vsluhfo ... 87864.html
http://sysadmins.ru/post8945593.html
Момент таков, что когда на сервере несколько каналов, openvpn по UDP работает только с дефолтным роутом. Приходится юзать tcp, либо поднимать несколько openvpn-ов.
С версии 2.1.х появилась опция multihome для решения этой проблемы, однако в FREEBSD она недоступна.
-
- рядовой
- Сообщения: 23
- Зарегистрирован: 2010-04-05 11:30:09
- Откуда: Оренбург
Re: Обсуждение VPN сервера OpenVPN
Никто не сталкивался с лимитом ip адресов =64 клиентов?
И можно ли использовать два виртуальных интерфейса для подключения ?
И можно ли использовать два виртуальных интерфейса для подключения ?
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
Ну так создайте вторую виртуальную подсетьoren писал(а):Никто не сталкивался с лимитом ip адресов =64 клиентов?
Чуть не понял вопроса, хотите на клиенте к двум серверам OpenVPN подключаться одновременно ?oren писал(а):И можно ли использовать два виртуальных интерфейса для подключения ?
- T_T
- ефрейтор
- Сообщения: 65
- Зарегистрирован: 2011-02-21 9:56:36
Re: Обсуждение VPN сервера OpenVPN
Добрый день, настраивал по статье но у меня проблема, хотелось бы попросить вашей помощи
настраивал всё по статье, подключаюсь к серверу успешно, пингую сам серевер по внутреннему адресу 192.168.0.1. но не пингуется ни один хост в сети 192.168.0.0 255.255.255.0. Подскажите как решить эту проблему готов выложить конфиги , трасерты и подобное. голову уже сломал, не пинайте сильно =\
настраивал всё по статье, подключаюсь к серверу успешно, пингую сам серевер по внутреннему адресу 192.168.0.1. но не пингуется ни один хост в сети 192.168.0.0 255.255.255.0. Подскажите как решить эту проблему готов выложить конфиги , трасерты и подобное. голову уже сломал, не пинайте сильно =\
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
T_T писал(а):Добрый день, настраивал по статье но у меня проблема, хотелось бы попросить вашей помощи
настраивал всё по статье, подключаюсь к серверу успешно, пингую сам серевер по внутреннему адресу 192.168.0.1. но не пингуется ни один хост в сети 192.168.0.0 255.255.255.0. Подскажите как решить эту проблему готов выложить конфиги , трасерты и подобное. голову уже сломал, не пинайте сильно =\
У остальных хостов в сети 192.168.0.0/24 основной шлюз указан сервер с OpenVPN ?
- T_T
- ефрейтор
- Сообщения: 65
- Зарегистрирован: 2011-02-21 9:56:36
Re: Обсуждение VPN сервера OpenVPN
У остальных хостов в сети 192.168.0.0/24 основной шлюз указан сервер с OpenVPN ?
Код: Выделить всё
Подключение по локальной сети 2 - Ethernet адаптер:
DNS-суффикс этого подключения . . : ***-***.ru
Описание . . . . . . . . . . . . : Atheros AR8131 PCI-E Gigabit Ethernet Con
troller
Физический адрес. . . . . . . . . : 6C-F0-49-E7-7B-DA
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.0.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.1
DHCP-сервер . . . . . . . . . . . : 192.168.0.1
DNS-серверы . . . . . . . . . . . : 192.168.0.1
Аренда получена . . . . . . . . . : 19 февраля 2011 г. 21:00:38
Аренда истекает . . . . . . . . . : 26 февраля 2011 г. 21:00:38
мб фаер рубит? хотя я при проверки добавил правило ipfw add 1 allow all from any to any
но там ещё нат есть ядерный, но если я правильно понимаю нат тут не нужен, все пакеты должны удовлетворятся этим правилом ipfw add 1 allow all from any to any
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
Проверяйте фаервол.
Трассировку сделай от клиента в локальную сеть.
И из локальной сети до клиента.
Трассировку сделай от клиента в локальную сеть.
И из локальной сети до клиента.
-
- проходил мимо
- Сообщения: 2
- Зарегистрирован: 2011-02-24 10:16:45
Re: Обсуждение VPN сервера OpenVPN
Здравствуйте!
Пытаюсь прикрутить в конфиг клиента -askpass {file}. Но он упорно запрашивает пароль, из файла не берет. Сначала говорил что не может читать ключи из файла, пересобрал с нужной опцией - все работает. В файле с паролем ввел 2 строки логин и пароль, ничего лишнего не писал. Но теперь ни ругани нет за что уцепиться ни других намеков, просто игнорирует askpass и все. У кого есть опыт такой настройки. Гуглил прилично и вроде все делал по советам, но не выходит у меня.
Заранее спасибо.
Пытаюсь прикрутить в конфиг клиента -askpass {file}. Но он упорно запрашивает пароль, из файла не берет. Сначала говорил что не может читать ключи из файла, пересобрал с нужной опцией - все работает. В файле с паролем ввел 2 строки логин и пароль, ничего лишнего не писал. Но теперь ни ругани нет за что уцепиться ни других намеков, просто игнорирует askpass и все. У кого есть опыт такой настройки. Гуглил прилично и вроде все делал по советам, но не выходит у меня.
Заранее спасибо.
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
Вы все таки покажите логи при коннекте клиента на сервер!IIV писал(а):Здравствуйте!
Пытаюсь прикрутить в конфиг клиента -askpass {file}. Но он упорно запрашивает пароль, из файла не берет. Сначала говорил что не может читать ключи из файла, пересобрал с нужной опцией - все работает. В файле с паролем ввел 2 строки логин и пароль, ничего лишнего не писал. Но теперь ни ругани нет за что уцепиться ни других намеков, просто игнорирует askpass и все. У кого есть опыт такой настройки. Гуглил прилично и вроде все делал по советам, но не выходит у меня.
Заранее спасибо.
- T_T
- ефрейтор
- Сообщения: 65
- Зарегистрирован: 2011-02-21 9:56:36
Re: Обсуждение VPN сервера OpenVPN
А можно ли как нибудь соеденить 2 сети 192.168.0.0/24 и 192.168.0.0/24? Какой-нибудь bridge им устроить, например.Проверяйте фаервол.
Трассировку сделай от клиента в локальную сеть.
И из локальной сети до клиента.
Хотя мне нужно чтобы был виден комп с адресом 192.168.0.2, неважно из какой сети. Например, как вариант, из офиса с компа 192.168.0.2 подключится к серверу по впн и у него будет адрес 10.10.100.6 например, и обращаться по этому адресу к нему из вне. Ведь компы видят друг друга по адресам 10.10.100.х, но если я пытаюсь подключится из сети 192.168.0.0/24 к впн серверу из этой же сети, у меня вообще сеть пропадает на том компе, видать там с маршрутами что-то)
Честно говоря, каша получилась, но надеюсь что - нибудь понятно из моих сумбурных идей ...
-
- проходил мимо
Re: Обсуждение VPN сервера OpenVPN
В логах все отлично за исключением одной строки "2011 WARNING: file '/usr/local/etc/openvpn/pass' is group or others accessibleCancer писал(а):
Вы все таки покажите логи при коннекте клиента на сервер!
-
- проходил мимо
Re: Обсуждение VPN сервера OpenVPN
Нашел статью, где советую в данном случае делать CHMOD 700. В логах теперь вообще пусто про файл с логином паролем. Ужас.
-
- проходил мимо
- Сообщения: 2
- Зарегистрирован: 2011-02-24 10:16:45
Re: Обсуждение VPN сервера OpenVPN
Спасибо, что отозвались, но все решилось простым путем. Если кому на будущее нужно будет - рассказываю.
В конфиге клиента строка должна выглядеть данным образом.
auth-user-pass /usr/local/etc/openvpn/pass # Путь и имя файла естественно выши
Почему askpass не срабатывает - для меня загадка. И очень мало инфы по этому поводу в инете.
В конфиге клиента строка должна выглядеть данным образом.
auth-user-pass /usr/local/etc/openvpn/pass # Путь и имя файла естественно выши
Почему askpass не срабатывает - для меня загадка. И очень мало инфы по этому поводу в инете.
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
Вы сами то поняли что написали ?T_T писал(а):А можно ли как нибудь соеденить 2 сети 192.168.0.0/24 и 192.168.0.0/24? Какой-нибудь bridge им устроить, например.Проверяйте фаервол.
Трассировку сделай от клиента в локальную сеть.
И из локальной сети до клиента.
Хотя мне нужно чтобы был виден комп с адресом 192.168.0.2, неважно из какой сети. Например, как вариант, из офиса с компа 192.168.0.2 подключится к серверу по впн и у него будет адрес 10.10.100.6 например, и обращаться по этому адресу к нему из вне. Ведь компы видят друг друга по адресам 10.10.100.х, но если я пытаюсь подключится из сети 192.168.0.0/24 к впн серверу из этой же сети, у меня вообще сеть пропадает на том компе, видать там с маршрутами что-то)
Честно говоря, каша получилась, но надеюсь что - нибудь понятно из моих сумбурных идей ...
Нарисуйте схему лучше и что вам нужно!
Как вы хотите объединить одинаковые подсети?
Проще всего одну из подсетей перевести в например 192.168.1.0/24 (самый логичный способ)
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
Статью переписал слегка, под работу с более большим размером ключей.
Код: Выделить всё
# меняем export KEY_SIZE=1024 на 2048
# (тем самым увеличим размер ключей с 1024 бит до 2048 бит)
export KEY_SIZE=2048
-
- проходил мимо
Re: Обсуждение VPN сервера OpenVPN
Набросал простенький скрипт для слежения за состоянием через браузер
Код: Выделить всё
#!/usr/bin/perl -w
use strict;
sub Row
{
print " <tr>\n";
foreach (@_){
if (defined($_))
{
print " <th>$_</th>\n";
}
else
{
print " <th>-</th>\n";
}
}
print " </tr>\n";
}
print "Content-type: text/html\n\n";
print "<table cellpadding=\"2\" cellspacing=\"0\" border=\"1\">\n";
print "<colgroup span=\"1\" ></colgroup>\n";
print "<colgroup span=\"4\"width=\"200\" ></colgroup>\n";
my $files=qw(openvpn-status.log);
if (!open(LOG, "$files"))
{
print "<html><h1>@_</h1>\n";
print "<html><h1>$!</h1>\n";
die;
}
else
{
while (<LOG>)
{
my ($CommonName, $RealAddress, $BytesReceived, $BytesSent, $ConnectedSince) = split /,+/, $_, 5;
&Row($CommonName, $RealAddress, $BytesReceived, $BytesSent, $ConnectedSince);
}
close(LOG);
}
print "</table>\n";
print "</html>\n";
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
User81 писал(а):Набросал простенький скрипт для слежения за состоянием через браузер
Код: Выделить всё
#!/usr/bin/perl -w use strict; sub Row { print " <tr>\n"; foreach (@_){ if (defined($_)) { print " <th>$_</th>\n"; } else { print " <th>-</th>\n"; } } print " </tr>\n"; } print "Content-type: text/html\n\n"; print "<table cellpadding=\"2\" cellspacing=\"0\" border=\"1\">\n"; print "<colgroup span=\"1\" ></colgroup>\n"; print "<colgroup span=\"4\"width=\"200\" ></colgroup>\n"; my $files=qw(openvpn-status.log); if (!open(LOG, "$files")) { print "<html><h1>@_</h1>\n"; print "<html><h1>$!</h1>\n"; die; } else { while (<LOG>) { my ($CommonName, $RealAddress, $BytesReceived, $BytesSent, $ConnectedSince) = split /,+/, $_, 5; &Row($CommonName, $RealAddress, $BytesReceived, $BytesSent, $ConnectedSince); } close(LOG); } print "</table>\n"; print "</html>\n";
А можно показать скрин ?
-
- проходил мимо
Re: Обсуждение VPN сервера OpenVPN
А можно еще как то реализовать? Например с помощью nat.Cancer писал(а): В общем для того что бы вы смогли пингануть компьютер в офисе за OpenVPN сервером.
OpenVPN сервер в офисе должен быть основным шлюзом у всех ПК или хотя бы для теста у того ПК к которому хотите получить доступ.
Вообще что нужно сделать чтоб (видеть пинговать подключаться) компы за сервером, кроме того что сделать сервер основным шлюзом.
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
forsun писал(а):А можно еще как то реализовать? Например с помощью nat.Cancer писал(а): В общем для того что бы вы смогли пингануть компьютер в офисе за OpenVPN сервером.
OpenVPN сервер в офисе должен быть основным шлюзом у всех ПК или хотя бы для теста у того ПК к которому хотите получить доступ.
Вообще что нужно сделать чтоб (видеть пинговать подключаться) компы за сервером, кроме того что сделать сервер основным шлюзом.
Нарисуйте схему сети которая у вас сейчас.
-
- проходил мимо
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
У вас вообще отдельно стоит, нужно сервер с ОпенВПН делать основным шлюзом.
Сделайте такую схему
(Локальная Сеть 192.168.1.0/24)----(OpenVPN он же Гейт и фаер)----(Интернет)-------(ADSL)------(Клиент)
А вот на счет того что бы он не был основным шлюзом пока что не знаю.
Но по идее можно роутингом разрулить на BSD, но хрень получится.
Сделайте такую схему
(Локальная Сеть 192.168.1.0/24)----(OpenVPN он же Гейт и фаер)----(Интернет)-------(ADSL)------(Клиент)
А вот на счет того что бы он не был основным шлюзом пока что не знаю.
Но по идее можно роутингом разрулить на BSD, но хрень получится.
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
Покажи таблицу маршрутизации у клиента при подключенном ВПН.
и скажи какой IP tun0 ВПН сервера и клиента
Да и покажи трассировку до рабочей станции с клиента
Код: Выделить всё
route print
Да и покажи трассировку до рабочей станции с клиента