OpenVPN 2.0.6 на FREEBSD 7ке

[C0deZer0]

разобрался , все спасибо

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[stark]

добрий день,
подскажите с таким вопросом.
скорость впн туннеля ограничевается 10 Мбитами между сервером и клиентом.
скорость сети 100 Мбит.
почему такая низкая производителность по впну ?

[gloom]

попробуйте принудительно убрать компресию
шифрование симметричное?

[hizel]

шифрование, gzip компресия? проц не справляется

[stark]

подсказите какие паpаметри надо убрат ?

Код: Выделить всё

auth MD5 #
# включаем шифрацию пакетов
cipher BF-CBC
keepalive 10 120
# сжатие трафика
comp-lzo

а вот, что клиент на виндовс и интерфеис показаивает 10Мбит. так и должно бить ?

[stark]

получается произдодителность завист от мощности процессора ?
у меня 1,8 MHz

[gloom]

comp-lzo - параметр сжатия трафика, идущего через виртуальный туннель. Может принимать значения yes, no, adaptive. Последнее используется по умолчанию.
Например:
comp-lzo yes - принудительно включить сжатие
comp-lzo no - принудительно отключить сжатие
comp-lzo adaptive - адаптивный режим.

зависит естественно от процессора
по частоте сейчас мало что понятно
1.8
ето может быть пеньтиум 4 на 478 сокет
а может пентиум М
а может и новая корка или атом

[stark]

да, это

Код: Выделить всё

CPU: Intel(R) Pentium(R) 4 CPU 1.80GHz (1799.81-MHz 686-class CPU)

[gloom]

если я правильно понял ето 478 сокет редкий камень и довольно тормознутый

ускорить соенинение можно еще отказавшись от несиметричного шифрования

[stark]

спасибо, буду пробоват
значит надо поменят пaраметр

Код: Выделить всё

comp-lzo no

на стороне клиента и сервер.
это так ?

а как можно отказатся от несимметричного шифрования ?

[gloom]

http://openvpn.net/index.php/open-sourc ... howto.html

[memphis]

Прошу помощи.

Задача: соединить две сети между собой. В каждой, в качестве маршрутизатора, стоит юниксовая машина, на них же крутится OpenVPN сервер/клиент соответственно.
Сеть за клиентом: 192.168.3.0/24
Сеть за сервером: 192.168.1.0/24

Сервер:

Код: Выделить всё

local 87.ХХХ.ХХХ.ХХХ
port 1194
proto udp
dev tun0
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
server 172.16.20.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
route 172.16.20.0 255.255.255.252
route 192.168.3.0 255.255.255.0
client-to-client
max-clients 10
keepalive 10 120
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3
user nobody
group nogroup
daemon
client-config-dir ccd

Клиент:

Код: Выделить всё

client
dev tun0
proto udp
remote 82.ХХХ.ХХХ.ХХХ 1194
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/client1.crt
key /etc/openvpn/keys/client1.key
dh /etc/openvpn/keys/dh1024.pem
persist-key
persist-tun
verb 3

ccd/client1:

Код: Выделить всё

ifconfig-push 172.16.20.2 172.16.20.1
iroute 192.168.3.0 255.255.255.0

Соединяемся.
Со стороны клиента - всё ОК.

• clnt-001:/etc/openvpn# ping 192.168.1.102 -c4
  PING 192.168.1.102 (192.168.1.102) 56(84) bytes of data.
  64 bytes from 192.168.1.102: icmp_seq=1 ttl=127 time=62.7 ms
  64 bytes from 192.168.1.102: icmp_seq=2 ttl=127 time=59.6 ms
  64 bytes from 192.168.1.102: icmp_seq=3 ttl=127 time=57.6 ms
  64 bytes from 192.168.1.102: icmp_seq=4 ttl=127 time=58.5 ms
  
  --- 192.168.1.102 ping statistics ---
  4 packets transmitted, 4 received, 0% packet loss, time 3013ms
  rtt min/avg/max/mdev = 57.695/59.648/62.709/1.892 ms

• clnt-001:/etc/openvpn# traceroute 192.168.1.102
  traceroute to 192.168.1.102 (192.168.1.102), 30 hops max, 40 byte packets
  1 172.16.20.1 (172.16.20.1) 62.729 ms 66.066 ms 69.533 ms
  2 192.168.1.102 (192.168.1.102) 73.086 ms 76.008 ms 78.900 ms

Со стороны сервера - засада.

• srv-001:/etc/openvpn# ping 192.168.3.101 -c4
  PING 192.168.3.101 (192.168.3.101) 56(84) bytes of data.
  ^C
  --- 192.168.3.101 ping statistics ---
  4 packets transmitted, 0 received, 100% packet loss, time 2999ms

• srv-001:/etc/openvpn# traceroute 192.168.3.101
  traceroute to 192.168.3.101 (192.168.3.101), 30 hops max, 40 byte packets
  1 172.16.20.2 (172.16.20.2) 59.862 ms 63.500 ms 67.920 ms
  2 * * *
  3 * * *
  4 * * *
  5 * * *
  6 * * *
  7 * * *

Файрволлы в открытом состоянии.
Где рыть? Куда копать?

[PSdok]

Подскажите.
На клиенте

Код: Выделить всё

remote 1.1.1.1 1194

здесь обязательно указывать айпишник или можно адрес в виде хххх.nn.ru?

[DarkAGeS]

tormozok
можно dns имя указать

[DarkAGeS]

memphis

Код: Выделить всё

local 87.ХХХ.ХХХ.ХХХ

не нужно

Код: Выделить всё

route 172.16.20.0 255.255.255.252

замени на

Код: Выделить всё

route 172.16.20.4 255.255.255.252

в ccd для клиента:

Код: Выделить всё

ifconfig-push 172.16.20.2 172.16.20.1

замени на

Код: Выделить всё

ifconfig-push 172.16.20.5 172.16.20.6

при добавлении клиентов в последующем увеличивай для каждого клиента ip-адреса на "4", т.е. для следующего надо будет на сервере прописать:
route 172.16.20.8 255.255.255.252
а в cdd клиента:
route 172.16.20.9 172.16.20.10

[PSdok]

Ключи и сертификаты хранятся на клиентском компьютере (windows) в открытом виде.
При желании ставишь на другом компьютере клиентскую часть , копируешь всю папку Config и можешь работать с другого компьютера.

Возможно как то привязать ключи к КОНКРЕТНОМУ компьютеру?

[PSdok]

Подскажите.

Код: Выделить всё

dev tun
server 10.16.0.0 255.255.255.0
client-to-client

клиеты получают адреса
10.16.0.6
10.16.0.10
10.16.0.14
10.16.0.18
...
но пинги от клиетна к клиенту не идут, не смотря на то чо

Код: Выделить всё

client-to-client

есть.
(хотелось сделать что то типа HAMACHI, чтобы клиеты цепляясь к серверу могли получать доступ друг к другу )

[amu_dodge]

Поставил openVPN всё работает. Вопрос: можно ли broadcast пропускать через него? если да то как?
PopTop вроде умеет bcrelay но на фре он у меня с этой опцией не стартует

[Slik]

Помогите плиз в OpenVPN.

Задача такая, есть шлюз на фре

Код: Выделить всё

uname -a
FreeBSD slik.server 8.0-RELEASE FreeBSD 8.0-RELEASE #1: Fri Apr  9 19:33:17 EEST 2010     slik@slik.server:/usr/obj/usr/src/sys/GENERIC  i386

Сетевые интерфейсы

Код: Выделить всё

em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:07:e9:0a:0c:1b
        inet IP провайдера netmask 0xfffffe00 broadcast IP провайдера.255
        inet локалка у прова netmask 0xffffff00 broadcast локалка у прова.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:02:44:4f:66:26
        inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet 127.0.0.1 netmask 0xff000000
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
        inet 2.2.2.1 --> 2.2.2.2 netmask 0xffffffff
        Opened by PID 31406

Задача такая, при помощи моего впн, получить доступ в локалку прова, что живет за em0, в свою локалку за rl0 я могу ходить, а в локалку прова не получается

Вот конфиг впн сервера

Код: Выделить всё

cat server.conf
port 2000
proto udp
dev tun0
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
server 2.2.2.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
client-config-dir ccd
route 2.2.2.4 255.255.255.252
tls-server
tls-auth keys/ta.key 0
tls-timeout 120
auth MD5 #
cipher BF-CBC
keepalive 10 120
comp-lzo
max-clients 100
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3

Конфиг клиента

Код: Выделить всё

cat client
ifconfig-push 1.1.1.9 1.1.1.10

Маршруты на сервере

Код: Выделить всё

 netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            шлюз прова       UGS         0 86316134    em0
2.2.2.0/24         2.2.2.2            UGS         0        0   tun0
2.2.2.1            link#4             UHS         0        0    lo0
2.2.2.2            link#4             UH          0        0   tun0
2.2.2.20/30        2.2.2.2            UGS         0        0   tun0
локальный ИП прова        link#1             UHS         0        0    lo0
127.0.0.1          link#3             UH          0    52507    lo0
192.168.0.0/24     link#2             U           0 53026066    rl0
192.168.0.1        link#2             UHS         0     4486    lo0
Сеть прова/23    link#1             U           0     1649    em0
Внешний ИП прова      link#1             UHS         0    68994    lo0

Маршруты на клиенте

Код: Выделить всё

===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 17 c4 06 2b b2 ...... Atheros AR5007EG Wireless Network Adapter - Wire
less Intermediate Driver
0x3 ...00 ff 4f 59 44 6f ...... TAP-Win32 Adapter V8 - Wireless Intermediate Dri
ver
0x4 ...00 1b 24 cc 68 88 ...... Generic Marvell Yukon 88E8039 PCI-E Fast Etherne
t Controller - Eset Personal Firewall Miniport
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1   192.168.0.100       25
          2.2.2.1  255.255.255.255          2.2.2.5         2.2.2.6       1
          2.2.2.4  255.255.255.252          2.2.2.6         2.2.2.6       30
          2.2.2.6  255.255.255.255        127.0.0.1       127.0.0.1       30
    2.255.255.255  255.255.255.255          2.2.2.6         2.2.2.6       30
       10.193.0.0    255.255.255.0          2.2.2.5         2.2.2.6       1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0    255.255.255.0    192.168.0.100   192.168.0.100       25
      192.168.0.0    255.255.255.0          2.2.2.5         2.2.2.6       1
    192.168.0.100  255.255.255.255        127.0.0.1       127.0.0.1       25
    192.168.0.255  255.255.255.255    192.168.0.100   192.168.0.100       25
        224.0.0.0        240.0.0.0          2.2.2.6         2.2.2.6       30
        224.0.0.0        240.0.0.0    192.168.0.100   192.168.0.100       25
  255.255.255.255  255.255.255.255          2.2.2.6               4       1
  255.255.255.255  255.255.255.255          2.2.2.6         2.2.2.6       1
  255.255.255.255  255.255.255.255    192.168.0.100   192.168.0.100       1
Основной шлюз:         192.168.0.1
===========================================================================
Постоянные маршруты:
  Отсутствует

Трасса на мою сеть за интерфейсом rl0

Код: Выделить всё

C:\Documents and Settings\User>tracert 192.168.0.3

Трассировка маршрута к 192.168.0.3 с максимальным числом прыжков 30

  1     *       31 ms    15 ms  2.2.2.1
  2    29 ms    46 ms    31 ms  192.168.0.3

Трассировка завершена.

Трасса на сеть провайдера за интерфейсом em0

Код: Выделить всё

C:\Documents and Settings\User>tracert локальный ип прова

Трассировка маршрута к локальный ип прова с максимальным числом прыжков 30

  1    27 ms    30 ms    15 ms  2.2.2.1
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
  4  ^C

[Greeb]

Доброго времени суток господа...Такой вопрос: Установил из портов OpenVPN , делал по статье http://www.lissyara.su/articles/freebsd ... y/openvpn/ и столкнулся с некоторыми трудностями, а именно:

1. В папке /usr/local/share/doc/openvpn/easy-rsa/ содержится еще две папки, 1.0 и 2.0...Хотя в статье указанно что там должны быть файлы...Но ето думаю не страшно, так как нужные файлы я нашел в папке 1.0...
2. При выполнении sh vars ошипка

Код: Выделить всё

OB#: not found

2. При выполнении sh clean-all выдает ошибку -

Код: Выделить всё

you must define KEY_DIR

, хотя в файле vars я изменил как указанно в статье export KEY_DIR=$D/keys/server. Как я понимаю последняя ошибка иза того что не выполнился файл vars...
3. При выполнении build-ca если сразу загрузить sh , то пишет

Код: Выделить всё

# ./build-ca
./build-ca: Permission denied


#

Если же просто sh build-ca то ошипка та же что и при выполнении sh clean-all и ...

Система

Код: Выделить всё

FreeBSD serv.localdomain 6.3-RELEASE FreeBSD 6.3-RELEASE #0:

З.Ы. Понимаю что в статье описанна установка под 7 ку, возможно под мою версию фри есть какие то ньюансы???

[diakon2]

Добрый день!
установил и настроил по статье, но есть два вопросика
1. как сделать так чтобы весь траф с винХР машины шел через гейт ?
2. почемуто не видна внутренняя сеть, которая стоит за гейтом, хотя внутренний ип гейта пингуется нормально

немного конфигов )
NAT

Код: Выделить всё

natd -dynamic -n fxp0
natd -p 8779 -m -n ng0
+ дайверт в ipfw

Код: Выделить всё

server.conf

port 4090
proto tcp (udp режет керио)
dev tun0
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/gw.home.crt
key /usr/local/etc/openvpn/keys/gw.home.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
server 192.168.2.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0" (внутрення сеть за гейтом с днсом фтп и кучей компов)
client-config-dir ccd
route 192.168.2.0 255.255.255.252
tls-server
tls-auth keys/ta.key 0
tls-timeout 120
auth MD5
cipher BF-CBC
keepalive 10 120
comp-lzo
max-clients 10
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3

ifconfig

Код: Выделить всё

fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=b<RXCSUM,TXCSUM,VLAN_MTU>
        inet 10.20.24.70 netmask 0xffffff00 broadcast 10.20.24.255
        ether 00:02:b3:c9:34:ba
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=1b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING>
        inet 192.168.1.3 netmask 0xffffff00 broadcast 192.168.1.255
        ether 00:02:55:53:e8:4f
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet 127.0.0.1 netmask 0xff000000
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1492
        inet 78.88.203.17 --> 2.2.2.2 netmask 0xffffffff
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
        inet 192.168.2.1 --> 192.168.2.2 netmask 0xffffffff
        Opened by PID 1011

netstat -rn

Код: Выделить всё

Destination        Gateway            Flags    Refs      Use  Netif Expire
default            2.2.2.2            UGS         0     1913    ng0
2.2.2.2            78.88.203.17       UH          1        0    ng0
10                 10.20.24.1         UGS         0     1040   fxp0
10.20.24/24        link#2             UC          0        0   fxp0
10.20.24.1         00:18:73:c4:43:f1  UHLW        2        0   fxp0   1136
10.20.24.255       ff:ff:ff:ff:ff:ff  UHLWb       1       98   fxp0
127.0.0.1          127.0.0.1          UH          0        0    lo0
192.168.1          link#3             UC          0        0    em1
192.168.1.1        00:1e:73:03:11:7a  UHLW        1        2    em1   1068
192.168.1.6        00:15:f2:dc:83:1d  UHLW        1       78    em1   1199
192.168.1.18       00:1c:c0:da:1a:1c  UHLW        1       78    em1    892
192.168.1.255      ff:ff:ff:ff:ff:ff  UHLWb       1       92    em1
192.168.2/30       192.168.2.2        UGS         0        0   tun0 =>
192.168.2          192.168.2.2        UGS         0      448   tun0
192.168.2.2        192.168.2.1        UH          2        0   tun0
root@gw [/usr/local/etc/openvpn]#

[Burner]

Добрый день!
установил и настроил по статье, но есть два вопросика
1. как сделать так чтобы весь траф с винХР машины шел через гейт ?
2. почемуто не видна внутренняя сеть, которая стоит за гейтом, хотя внутренний ип гейта пингуется нормально

1. push "redirect-gateway"
2. тут никакого волшебства нет, проверяйте маршруты и файрвол

[diakon2]

Добрый день!
установил и настроил по статье, но есть два вопросика
1. как сделать так чтобы весь траф с винХР машины шел через гейт ?
2. почемуто не видна внутренняя сеть, которая стоит за гейтом, хотя внутренний ип гейта пингуется нормально

1. push "redirect-gateway"
2. тут никакого волшебства нет, проверяйте маршруты и файрвол

в винде маршрут добавился после выполнения пункта 1 но он не рабоатет, во первых не доступен шлюзовой ип(не пингуется) во вторых не пингуются сайты в интернете
иеще не понятен вот этот кусок конфига

Код: Выделить всё

server 192.168.2.0 255.255.255.0 <--- что это за подсеть ? 
push "route 192.168.1.0 255.255.255.0" роут во внутреннюю сеть ????
client-config-dir ccd
route 192.168.2.0 255.255.255.252 <-----для чего этот роут и почему маска /30

ип настройки на винде после установки соединения
Подключение по локальной сети 3 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8
Физический адрес. . . . . . . . . : 00-FF-1B-D5-66-15
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.2.6
Маска подсети . . . . . . . . . . : 255.255.255.252
Основной шлюз . . . . . . . . . . : 192.168.2.5
DHCP-сервер . . . . . . . . . . . : 192.168.2.5
Аренда получена . . . . . . . . . : 18 мая 2010 г. 11:25:26
Аренда истекает . . . . . . . . . : 18 мая 2011 г. 11:25:26

[Burner]

не пингуется, потому что дефолтный гейтвей сменился. Добавьте маршрут для внешнего ip сервера. По конфигу комментарии в статье написаны.

P.S. кто-нибудь скажет, почему тема про опенвпн в виртуализации?

[k-nike]

Доброго времени суток господа...Такой вопрос: Установил из портов OpenVPN , делал по статье http://www.lissyara.su/articles/freebsd ... y/openvpn/ и столкнулся с некоторыми трудностями, а именно:

1. В папке /usr/local/share/doc/openvpn/easy-rsa/ содержится еще две папки, 1.0 и 2.0...Хотя в статье указанно что там должны быть файлы...Но ето думаю не страшно, так как нужные файлы я нашел в папке 1.0...
2. При выполнении sh vars ошипка
2. При выполнении sh clean-all выдает ошибку, хотя в файле vars я изменил как указанно в статье export KEY_DIR=$D/keys/server. Как я понимаю последняя ошибка иза того что не выполнился файл vars...
3. При выполнении build-ca если сразу загрузить sh , то пишет...
З.Ы. Понимаю что в статье описанна установка под 7 ку, возможно под мою версию фри есть какие то ньюансы???

Сам столкнулся с такой проблемой. Нюансы есть.
1. правильно скопировали.
2. нужно было все файлы в /usr/local/share/doc/openvpn/easy-rsa/ сделать исполняемыми

Код: Выделить всё

chmod +x *

3. сперва запускаем sh и не закрываем его пока не будут выполнены все остальные команды!!!
4. vars вы запускаете не так как описано в статье, читайте внимательнее, нужно:
точка пробел vars

. vars

или

Код: Выделить всё

. /vars

5. вроде все.