Обсуждение VPN сервера OpenVPN
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Обсуждение VPN сервера OpenVPN
Вот статья
http://www.lissyara.su/articles/freebsd ... n+pkcs-12/
Читаем, ищем недостатки, оцениваем.
http://www.lissyara.su/articles/freebsd ... n+pkcs-12/
Читаем, ищем недостатки, оцениваем.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- Gamerman
- капитан
- Сообщения: 1723
- Зарегистрирован: 2009-05-17 21:01:23
- Откуда: Украина, Ужгород - Днепр
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
Может нужно более детально описать виндовый клиент? У меня последняя версия никак заводиться не хотела. Они как-то логику переработали.
Глюк глюком вышибают!
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
Gamerman писал(а):Может нужно более детально описать виндовый клиент? У меня последняя версия никак заводиться не хотела. Они как-то логику переработали.
Какой у тебя Windows и какой версии OpenVPN?
Если Windows 7 или Vista, то нужно запускать gui от имени администратора запускать, все работает нормально (проверено)!
- Gamerman
- капитан
- Сообщения: 1723
- Зарегистрирован: 2009-05-17 21:01:23
- Откуда: Украина, Ужгород - Днепр
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
Windows XP. OpenVPN что-то из последних летних версий было. Сейчас откатил на более раннюю бета-версию.
http://forum.lissyara.su/viewtopic.php?f=6&t=27511 - здесь я вопрос этот поднимал.
http://forum.lissyara.su/viewtopic.php?f=6&t=27511 - здесь я вопрос этот поднимал.
Глюк глюком вышибают!
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
Вы случаем не про клиент для OpenVPN Access Server говорите ?
- pinger
- рядовой
- Сообщения: 23
- Зарегистрирован: 2009-03-22 20:41:11
- Откуда: УССР, Днепродзержинск
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
Вот мой конфиг клиента, почему с машин находящихся за этим шлюзом я не могу пинговать ЦО?
dev tun
client
nobind
resolv-retry infinite
remote 80.xxx.xxx.xxx 1194
route 192.168.0.0 255.255.0.0
route 3.0.0.0 255.0.0.0
route 4.0.0.0 255.0.0.0
route 5.0.0.0 255.0.0.0
route 7.0.0.0 255.0.0.0
route 10.0.0.0 255.0.0.0
tls-client
route-method exe
route-delay 20
ca ca.crt
cert crt.crt
key key.key
proto tcp-client
comp-lzo
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 4
dev tun
client
nobind
resolv-retry infinite
remote 80.xxx.xxx.xxx 1194
route 192.168.0.0 255.255.0.0
route 3.0.0.0 255.0.0.0
route 4.0.0.0 255.0.0.0
route 5.0.0.0 255.0.0.0
route 7.0.0.0 255.0.0.0
route 10.0.0.0 255.0.0.0
tls-client
route-method exe
route-delay 20
ca ca.crt
cert crt.crt
key key.key
proto tcp-client
comp-lzo
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 4
- Gamerman
- капитан
- Сообщения: 1723
- Зарегистрирован: 2009-05-17 21:01:23
- Откуда: Украина, Ужгород - Днепр
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
Нет, обыкновенный клиент. Хотел обновить, и обламался. Либо они перемудрили, либо я "мал еще".Cancer писал(а):Вы случаем не про клиент для OpenVPN Access Server говорите ?
Глюк глюком вышибают!
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
трассировку показывайте и логи.pinger писал(а):Вот мой конфиг клиента, почему с машин находящихся за этим шлюзом я не могу пинговать ЦО?
dev tun
client
nobind
resolv-retry infinite
remote 80.xxx.xxx.xxx 1194
route 192.168.0.0 255.255.0.0
route 3.0.0.0 255.0.0.0
route 4.0.0.0 255.0.0.0
route 5.0.0.0 255.0.0.0
route 7.0.0.0 255.0.0.0
route 10.0.0.0 255.0.0.0
tls-client
route-method exe
route-delay 20
ca ca.crt
cert crt.crt
key key.key
proto tcp-client
comp-lzo
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 4
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
Gamerman писал(а):Нет, обыкновенный клиент. Хотел обновить, и обламался. Либо они перемудрили, либо я "мал еще".Cancer писал(а):Вы случаем не про клиент для OpenVPN Access Server говорите ?
Не знаю что у вас не работает, я вот последний OpenVPN под Windows XP поставил в качестве клиента на 22 филиалах, все работает!
- pinger
- рядовой
- Сообщения: 23
- Зарегистрирован: 2009-03-22 20:41:11
- Откуда: УССР, Днепродзержинск
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
Cancer писал(а):трассировку показывайте и логи.pinger писал(а):Вот мой конфиг клиента, почему с машин находящихся за этим шлюзом я не могу пинговать ЦО?
dev tun
client
nobind
resolv-retry infinite
remote 80.xxx.xxx.xxx 1194
route 192.168.0.0 255.255.0.0
route 3.0.0.0 255.0.0.0
route 4.0.0.0 255.0.0.0
route 5.0.0.0 255.0.0.0
route 7.0.0.0 255.0.0.0
route 10.0.0.0 255.0.0.0
tls-client
route-method exe
route-delay 20
ca ca.crt
cert crt.crt
key key.key
proto tcp-client
comp-lzo
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 4
Код: Выделить всё
pinger@pinger-laptop:~$ traceroute 192.168.1.29
traceroute to 192.168.1.29 (192.168.1.29), 30 hops max, 60 byte packets
1 1.0.0.1 (1.0.0.1) 1.800 ms 4.219 ms 5.554 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
11 * *^C
Код: Выделить всё
[pinger@srv /usr/home/pinger]$ netstat -n -r
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 1.0.0.254 UGS 4 1797 rl0
1.0.0.0/24 link#1 U 2 483 rl0
1.0.0.1 link#1 UHS 0 0 lo0
3.0.0.0/8 10.70.2.133 UGS 0 0 tun2
4.0.0.0/8 10.70.2.133 UGS 0 0 tun2
5.0.0.0/8 10.70.2.133 UGS 0 0 tun2
7.0.0.0/8 10.70.2.133 UGS 0 0 tun2
10.0.0.0/8 10.70.2.133 UGS 0 254 tun2
10.70.0.0/16 10.70.2.133 UGS 0 0 tun2
10.70.2.133 link#8 UH 0 0 tun2
10.70.2.134 link#8 UHS 0 0 lo0
127.0.0.1 link#5 UH 0 84 lo0
172.20.0.0/16 10.70.2.133 UGS 0 0 tun2
172.21.0.0/16 10.70.2.133 UGS 0 0 tun2
192.168.0.0/24 link#2 U 0 0 rl1 =>
192.168.0.0/16 10.70.2.133 UGS 0 45 tun2
192.168.0.211 link#2 UHS 0 0 lo0
Internet6:
Destination Gateway Flags Netif Expire
::1 ::1 UH lo0
fe80::%lo0/64 link#5 U lo0
fe80::1%lo0 link#5 UHS lo0
ff01:5::/32 fe80::1%lo0 U lo0
ff02::%lo0/32 fe80::1%lo0 U lo0
Код: Выделить всё
[pinger@srv /usr/home/pinger]$ ifconfig tun2
tun2: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
inet 10.70.2.134 --> 10.70.2.133 netmask 0xffffffff
Opened by PID 69817
Код: Выделить всё
Mon Sep 6 13:11:13 2010 us=84817 Current Parameter Settings:
Mon Sep 6 13:11:13 2010 us=85164 config = '/usr/local/etc/openvpn/openvpn.conf'
Mon Sep 6 13:11:13 2010 us=85179 mode = 0
Mon Sep 6 13:11:13 2010 us=85191 show_ciphers = DISABLED
Mon Sep 6 13:11:13 2010 us=85203 show_digests = DISABLED
Mon Sep 6 13:11:13 2010 us=85214 show_engines = DISABLED
Mon Sep 6 13:11:13 2010 us=85225 genkey = DISABLED
Mon Sep 6 13:11:13 2010 us=85237 key_pass_file = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=85248 show_tls_ciphers = DISABLED
Mon Sep 6 13:11:13 2010 us=85260 Connection profiles [default]:
Mon Sep 6 13:11:13 2010 us=85272 proto = tcp-client
Mon Sep 6 13:11:13 2010 us=85283 local = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=85294 local_port = 0
Mon Sep 6 13:11:13 2010 us=85306 remote = '80.91.181.18'
Mon Sep 6 13:11:13 2010 us=85317 remote_port = 1194
Mon Sep 6 13:11:13 2010 us=85328 remote_float = DISABLED
Mon Sep 6 13:11:13 2010 us=85339 bind_defined = DISABLED
Mon Sep 6 13:11:13 2010 us=85350 bind_local = DISABLED
Mon Sep 6 13:11:13 2010 us=85362 connect_retry_seconds = 5
Mon Sep 6 13:11:13 2010 us=85373 connect_timeout = 10
Mon Sep 6 13:11:13 2010 us=85384 connect_retry_max = 0
Mon Sep 6 13:11:13 2010 us=85396 socks_proxy_server = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=85407 socks_proxy_port = 0
Mon Sep 6 13:11:13 2010 us=85418 socks_proxy_retry = DISABLED
Mon Sep 6 13:11:13 2010 us=85430 Connection profiles END
Mon Sep 6 13:11:13 2010 us=85441 remote_random = DISABLED
Mon Sep 6 13:11:13 2010 us=85452 ipchange = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=85463 dev = 'tun'
Mon Sep 6 13:11:13 2010 us=85475 dev_type = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=85486 dev_node = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=85498 lladdr = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=85509 topology = 1
Mon Sep 6 13:11:13 2010 us=85520 tun_ipv6 = DISABLED
Mon Sep 6 13:11:13 2010 us=85532 ifconfig_local = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=85543 ifconfig_remote_netmask = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=85572 ifconfig_noexec = DISABLED
Mon Sep 6 13:11:13 2010 us=85584 ifconfig_nowarn = DISABLED
Mon Sep 6 13:11:13 2010 us=85595 shaper = 0
Mon Sep 6 13:11:13 2010 us=85607 tun_mtu = 1500
Mon Sep 6 13:11:13 2010 us=85623 tun_mtu_defined = ENABLED
Mon Sep 6 13:11:13 2010 us=85636 link_mtu = 1500
Mon Sep 6 13:11:13 2010 us=85648 link_mtu_defined = DISABLED
Mon Sep 6 13:11:13 2010 us=85659 tun_mtu_extra = 0
Mon Sep 6 13:11:13 2010 us=85671 tun_mtu_extra_defined = DISABLED
Mon Sep 6 13:11:13 2010 us=85682 fragment = 0
Mon Sep 6 13:11:13 2010 us=85694 mtu_discover_type = -1
Mon Sep 6 13:11:13 2010 us=85706 mtu_test = 0
Mon Sep 6 13:11:13 2010 us=85717 mlock = DISABLED
Mon Sep 6 13:11:13 2010 us=85729 keepalive_ping = 0
Mon Sep 6 13:11:13 2010 us=85741 keepalive_timeout = 0
Mon Sep 6 13:11:13 2010 us=85752 inactivity_timeout = 0
Mon Sep 6 13:11:13 2010 us=85764 ping_send_timeout = 0
Mon Sep 6 13:11:13 2010 us=85775 ping_rec_timeout = 0
Mon Sep 6 13:11:13 2010 us=85786 ping_rec_timeout_action = 0
Mon Sep 6 13:11:13 2010 us=85798 ping_timer_remote = DISABLED
Mon Sep 6 13:11:13 2010 us=85809 remap_sigusr1 = 0
Mon Sep 6 13:11:13 2010 us=85820 explicit_exit_notification = 0
Mon Sep 6 13:11:13 2010 us=85832 persist_tun = DISABLED
Mon Sep 6 13:11:13 2010 us=85843 persist_local_ip = DISABLED
Mon Sep 6 13:11:13 2010 us=85854 persist_remote_ip = DISABLED
Mon Sep 6 13:11:13 2010 us=85865 persist_key = DISABLED
Mon Sep 6 13:11:13 2010 us=85877 mssfix = 1450
Mon Sep 6 13:11:13 2010 us=85888 passtos = DISABLED
Mon Sep 6 13:11:13 2010 us=85900 resolve_retry_seconds = 1000000000
Mon Sep 6 13:11:13 2010 us=85912 username = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=85923 groupname = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=85934 chroot_dir = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=85946 cd_dir = '/usr/local/etc/openvpn'
Mon Sep 6 13:11:13 2010 us=85957 writepid = '/var/run/openvpn.pid'
Mon Sep 6 13:11:13 2010 us=85969 up_script = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=85990 down_script = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86003 down_pre = DISABLED
Mon Sep 6 13:11:13 2010 us=86015 up_restart = DISABLED
Mon Sep 6 13:11:13 2010 us=86026 up_delay = DISABLED
Mon Sep 6 13:11:13 2010 us=86038 daemon = ENABLED
Mon Sep 6 13:11:13 2010 us=86049 inetd = 0
Mon Sep 6 13:11:13 2010 us=86061 log = ENABLED
Mon Sep 6 13:11:13 2010 us=86072 suppress_timestamps = DISABLED
Mon Sep 6 13:11:13 2010 us=86084 nice = 0
Mon Sep 6 13:11:13 2010 us=86095 verbosity = 4
Mon Sep 6 13:11:13 2010 us=86107 mute = 0
Mon Sep 6 13:11:13 2010 us=86118 gremlin = 0
Mon Sep 6 13:11:13 2010 us=86130 status_file = '/var/log/openvpn/openvpn-status.log'
Mon Sep 6 13:11:13 2010 us=86141 status_file_version = 1
Mon Sep 6 13:11:13 2010 us=86153 status_file_update_freq = 60
Mon Sep 6 13:11:13 2010 us=86165 occ = ENABLED
Mon Sep 6 13:11:13 2010 us=86176 rcvbuf = 65536
Mon Sep 6 13:11:13 2010 us=86187 sndbuf = 65536
Mon Sep 6 13:11:13 2010 us=86199 sockflags = 0
Mon Sep 6 13:11:13 2010 us=86210 fast_io = DISABLED
Mon Sep 6 13:11:13 2010 us=86222 lzo = 7
Mon Sep 6 13:11:13 2010 us=86233 route_script = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86245 route_default_gateway = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86257 route_default_metric = 0
Mon Sep 6 13:11:13 2010 us=86268 route_noexec = DISABLED
Mon Sep 6 13:11:13 2010 us=86280 route_delay = 20
Mon Sep 6 13:11:13 2010 us=86292 route_delay_window = 30
Mon Sep 6 13:11:13 2010 us=86303 route_delay_defined = ENABLED
Mon Sep 6 13:11:13 2010 us=86315 route_nopull = DISABLED
Mon Sep 6 13:11:13 2010 us=86326 route_gateway_via_dhcp = DISABLED
Mon Sep 6 13:11:13 2010 us=86339 max_routes = 100
Mon Sep 6 13:11:13 2010 us=86351 allow_pull_fqdn = DISABLED
Mon Sep 6 13:11:13 2010 us=86363 management_addr = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86374 management_port = 0
Mon Sep 6 13:11:13 2010 us=86386 management_user_pass = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86406 management_log_history_cache = 250
Mon Sep 6 13:11:13 2010 us=86419 management_echo_buffer_size = 100
Mon Sep 6 13:11:13 2010 us=86431 management_write_peer_info_file = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86442 management_client_user = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86453 management_client_group = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86465 management_flags = 0
Mon Sep 6 13:11:13 2010 us=86476 shared_secret_file = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86488 key_direction = 0
Mon Sep 6 13:11:13 2010 us=86500 ciphername_defined = ENABLED
Mon Sep 6 13:11:13 2010 us=86512 ciphername = 'BF-CBC'
Mon Sep 6 13:11:13 2010 us=86524 authname_defined = ENABLED
Mon Sep 6 13:11:13 2010 us=86536 authname = 'SHA1'
Mon Sep 6 13:11:13 2010 us=86547 prng_hash = 'SHA1'
Mon Sep 6 13:11:13 2010 us=86559 prng_nonce_secret_len = 16
Mon Sep 6 13:11:13 2010 us=86570 keysize = 0
Mon Sep 6 13:11:13 2010 us=86582 engine = DISABLED
Mon Sep 6 13:11:13 2010 us=86593 replay = ENABLED
Mon Sep 6 13:11:13 2010 us=86605 mute_replay_warnings = DISABLED
Mon Sep 6 13:11:13 2010 us=86617 replay_window = 64
Mon Sep 6 13:11:13 2010 us=86628 replay_time = 15
Mon Sep 6 13:11:13 2010 us=86640 packet_id_file = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86651 use_iv = ENABLED
Mon Sep 6 13:11:13 2010 us=86663 test_crypto = DISABLED
Mon Sep 6 13:11:13 2010 us=86675 tls_server = DISABLED
Mon Sep 6 13:11:13 2010 us=86686 tls_client = ENABLED
Mon Sep 6 13:11:13 2010 us=86697 key_method = 2
Mon Sep 6 13:11:13 2010 us=86709 ca_file = 'ca.crt'
Mon Sep 6 13:11:13 2010 us=86721 ca_path = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86732 dh_file = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86744 cert_file = 'kiz.crt'
Mon Sep 6 13:11:13 2010 us=86755 priv_key_file = 'kiz.key'
Mon Sep 6 13:11:13 2010 us=86767 pkcs12_file = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86778 cipher_list = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86790 tls_verify = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86801 tls_remote = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86821 crl_file = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86833 ns_cert_type = 0
Mon Sep 6 13:11:13 2010 us=86845 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=86856 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=86868 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=86879 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=86891 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=86902 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=86914 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=86925 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=86937 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=86948 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=86959 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=86971 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=86982 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=86996 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=87008 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=87019 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=87031 remote_cert_eku = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=87042 tls_timeout = 2
Mon Sep 6 13:11:13 2010 us=87054 renegotiate_bytes = 0
Mon Sep 6 13:11:13 2010 us=87066 renegotiate_packets = 0
Mon Sep 6 13:11:13 2010 us=87078 renegotiate_seconds = 3600
Mon Sep 6 13:11:13 2010 us=87089 handshake_window = 60
Mon Sep 6 13:11:13 2010 us=87101 transition_window = 3600
Mon Sep 6 13:11:13 2010 us=87112 single_session = DISABLED
Mon Sep 6 13:11:13 2010 us=87123 tls_exit = DISABLED
Mon Sep 6 13:11:13 2010 us=87135 tls_auth_file = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=87156 server_network = 0.0.0.0
Mon Sep 6 13:11:13 2010 us=87169 server_netmask = 0.0.0.0
Mon Sep 6 13:11:13 2010 us=87182 server_bridge_ip = 0.0.0.0
Mon Sep 6 13:11:13 2010 us=87194 server_bridge_netmask = 0.0.0.0
Mon Sep 6 13:11:13 2010 us=87206 server_bridge_pool_start = 0.0.0.0
Mon Sep 6 13:11:13 2010 us=87219 server_bridge_pool_end = 0.0.0.0
Mon Sep 6 13:11:13 2010 us=87239 ifconfig_pool_defined = DISABLED
Mon Sep 6 13:11:13 2010 us=87252 ifconfig_pool_start = 0.0.0.0
Mon Sep 6 13:11:13 2010 us=87264 ifconfig_pool_end = 0.0.0.0
Mon Sep 6 13:11:13 2010 us=87277 ifconfig_pool_netmask = 0.0.0.0
Mon Sep 6 13:11:13 2010 us=87288 ifconfig_pool_persist_filename = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=87299 ifconfig_pool_persist_refresh_freq = 600
Mon Sep 6 13:11:13 2010 us=87310 n_bcast_buf = 256
Mon Sep 6 13:11:13 2010 us=87321 tcp_queue_limit = 64
Mon Sep 6 13:11:13 2010 us=87333 real_hash_size = 256
Mon Sep 6 13:11:13 2010 us=87344 virtual_hash_size = 256
Mon Sep 6 13:11:13 2010 us=87356 client_connect_script = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=87367 learn_address_script = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=87378 client_disconnect_script = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=87390 client_config_dir = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=87401 ccd_exclusive = DISABLED
Mon Sep 6 13:11:13 2010 us=87412 tmp_dir = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=87423 push_ifconfig_defined = DISABLED
Mon Sep 6 13:11:13 2010 us=87435 push_ifconfig_local = 0.0.0.0
Mon Sep 6 13:11:13 2010 us=87448 push_ifconfig_remote_netmask = 0.0.0.0
Mon Sep 6 13:11:13 2010 us=87459 enable_c2c = DISABLED
Mon Sep 6 13:11:13 2010 us=87470 duplicate_cn = DISABLED
Mon Sep 6 13:11:13 2010 us=87482 cf_max = 0
Mon Sep 6 13:11:13 2010 us=87493 cf_per = 0
Mon Sep 6 13:11:13 2010 us=87504 max_clients = 1024
Mon Sep 6 13:11:13 2010 us=87516 max_routes_per_client = 256
Mon Sep 6 13:11:13 2010 us=87527 auth_user_pass_verify_script = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=87539 auth_user_pass_verify_script_via_file = DISABLED
Mon Sep 6 13:11:13 2010 us=87551 ssl_flags = 0
Mon Sep 6 13:11:13 2010 us=87562 port_share_host = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=87573 port_share_port = 0
Mon Sep 6 13:11:13 2010 us=87585 client = ENABLED
Mon Sep 6 13:11:13 2010 us=87596 pull = ENABLED
Mon Sep 6 13:11:13 2010 us=87616 auth_user_pass_file = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=87629 OpenVPN 2.1.1 amd64-portbld-freebsd8.0 [SSL] [LZO2] built on Jun 29 2010
Mon Sep 6 13:11:13 2010 us=87687 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Sep 6 13:11:13 2010 us=87698 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Sep 6 13:11:13 2010 us=88429 WARNING: file 'kiz.key' is group or others accessible
Mon Sep 6 13:11:13 2010 us=88885 LZO compression initialized
Mon Sep 6 13:11:13 2010 us=89009 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Mon Sep 6 13:11:13 2010 us=89082 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Sep 6 13:11:13 2010 us=89108 Local Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Mon Sep 6 13:11:13 2010 us=89118 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Mon Sep 6 13:11:13 2010 us=89147 Local Options hash (VER=V4): '69109d17'
Mon Sep 6 13:11:13 2010 us=89164 Expected Remote Options hash (VER=V4): 'c0103fa8'
Mon Sep 6 13:11:13 2010 us=89785 Attempting to establish TCP connection with 80.91.181.18:1194 [nonblock]
Mon Sep 6 13:11:14 2010 us=91321 TCP connection established with 80.91.181.18:1194
Mon Sep 6 13:11:14 2010 us=91354 Socket Buffers: R=[66792->65536] S=[33396->65536]
Mon Sep 6 13:11:14 2010 us=91370 TCPv4_CLIENT link local: [undef]
Mon Sep 6 13:11:14 2010 us=91395 TCPv4_CLIENT link remote: 80.91.181.18:1194
Mon Sep 6 13:11:14 2010 us=91839 TLS: Initial packet from 80.91.181.18:1194, sid=4d09c587 ac219956
Mon Sep 6 13:11:14 2010 us=359582 VERIFY OK: depth=1, /C=UA/ST=NA/L=Dnipropetrovsk/O=RUSH/OU=office/CN=server/emailAddress=maxi4@eva.dp.ua
Mon Sep 6 13:11:14 2010 us=359737 VERIFY OK: depth=0, /C=UA/ST=NA/O=RUSH/OU=office/CN=server/emailAddress=maxi4@eva.dp.ua
Mon Sep 6 13:11:15 2010 us=111454 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Sep 6 13:11:15 2010 us=111483 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Sep 6 13:11:15 2010 us=111537 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Sep 6 13:11:15 2010 us=111549 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Sep 6 13:11:15 2010 us=111628 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Mon Sep 6 13:11:15 2010 us=111658 [server] Peer Connection Initiated with 80.91.181.18:1194
Mon Sep 6 13:11:17 2010 us=508349 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Mon Sep 6 13:11:17 2010 us=670641 PUSH: Received control message: 'PUSH_REPLY,route 192.168.0.0 255.255.0.0,route 3.0.0.0 255.0.0.0,route 4.0.0.0 255.0.0.0,route 5.0.0.0 255.0.0.0,route 7.0.0.0 255.0.0.0,route 10.0.0.0 255.0.0.0,route 172.21.0.0 255.255.0.0,route 172.20.0.0 255.255.0.0,dhcp-option DNS 192.168.1.253,reneg-sec 38200,route 10.70.0.0 255.255.0.0,ping 30,ping-restart 360,ifconfig 10.70.2.134 10.70.2.133'
Mon Sep 6 13:11:17 2010 us=670765 Options error: option 'reneg-sec' cannot be used in this context
Mon Sep 6 13:11:17 2010 us=670800 OPTIONS IMPORT: timers and/or timeouts modified
Mon Sep 6 13:11:17 2010 us=670811 OPTIONS IMPORT: --ifconfig/up options modified
Mon Sep 6 13:11:17 2010 us=670820 OPTIONS IMPORT: route options modified
Mon Sep 6 13:11:17 2010 us=670830 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Mon Sep 6 13:11:17 2010 us=670924 ROUTE default_gateway=1.0.0.254
Mon Sep 6 13:11:17 2010 us=671234 TUN/TAP device /dev/tun2 opened
Mon Sep 6 13:11:17 2010 us=671292 /sbin/ifconfig tun2 10.70.2.134 10.70.2.133 mtu 1500 netmask 255.255.255.255 up
Mon Sep 6 13:11:37 2010 us=395414 /sbin/route add -net 192.168.0.0 10.70.2.133 255.255.0.0
add net 192.168.0.0: gateway 10.70.2.133
Mon Sep 6 13:11:37 2010 us=397059 /sbin/route add -net 3.0.0.0 10.70.2.133 255.0.0.0
add net 3.0.0.0: gateway 10.70.2.133
Mon Sep 6 13:11:37 2010 us=398690 /sbin/route add -net 4.0.0.0 10.70.2.133 255.0.0.0
add net 4.0.0.0: gateway 10.70.2.133
Mon Sep 6 13:11:37 2010 us=400222 /sbin/route add -net 5.0.0.0 10.70.2.133 255.0.0.0
add net 5.0.0.0: gateway 10.70.2.133
Mon Sep 6 13:11:37 2010 us=401658 /sbin/route add -net 7.0.0.0 10.70.2.133 255.0.0.0
add net 7.0.0.0: gateway 10.70.2.133
Mon Sep 6 13:11:37 2010 us=403144 /sbin/route add -net 10.0.0.0 10.70.2.133 255.0.0.0
add net 10.0.0.0: gateway 10.70.2.133
Mon Sep 6 13:11:37 2010 us=404597 /sbin/route add -net 172.21.0.0 10.70.2.133 255.255.0.0
add net 172.21.0.0: gateway 10.70.2.133
Mon Sep 6 13:11:37 2010 us=406086 /sbin/route add -net 172.20.0.0 10.70.2.133 255.255.0.0
add net 172.20.0.0: gateway 10.70.2.133
Mon Sep 6 13:11:37 2010 us=407674 /sbin/route add -net 10.70.0.0 10.70.2.133 255.255.0.0
add net 10.70.0.0: gateway 10.70.2.133
Mon Sep 6 13:11:37 2010 us=409181 Initialization Sequence Completed
Код: Выделить всё
[pinger@srv /usr/home/pinger]$ ping 192.168.1.29
PING 192.168.1.29 (192.168.1.29): 56 data bytes
64 bytes from 192.168.1.29: icmp_seq=0 ttl=127 time=25.650 ms
64 bytes from 192.168.1.29: icmp_seq=1 ttl=127 time=25.466 ms
64 bytes from 192.168.1.29: icmp_seq=2 ttl=127 time=22.392 ms
^C
--- 192.168.1.29 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 22.392/24.503/25.650/1.494 ms
-
- проходил мимо
Re: Обсуждение VPN сервера OpenVPN
Настроил по статье вс работает, но одна проблемка нужно на клиенте (WinXP) постоянно вручную добавлять маршрут:
куда его прописать, что б автоматом добавлялся впн сервером?
Код: Выделить всё
route add 192.168.1.0 mask 255.255.255.0 10.10.100.1
- pinger
- рядовой
- Сообщения: 23
- Зарегистрирован: 2009-03-22 20:41:11
- Откуда: УССР, Днепродзержинск
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
vlymar писал(а):Настроил по статье вс работает, но одна проблемка нужно на клиенте (WinXP) постоянно вручную добавлять маршрут:куда его прописать, что б автоматом добавлялся впн сервером?Код: Выделить всё
route add 192.168.1.0 mask 255.255.255.0 10.10.100.1
добавить в конфиг строку
Код: Выделить всё
route 192.168.1.0 255.255.255.0
-
- проходил мимо
Re: Обсуждение VPN сервера OpenVPN
в server.conf у меня:
Код: Выделить всё
# Филиал 1
push "route 192.168.1.0 255.255.255.0"
# Филиал 1
route 192.168.1.0 255.255.255.0
-
- проходил мимо
Re: Обсуждение VPN сервера OpenVPN
решил, нужно было прописать на стороне клиента в файле filial.ovpn:
Код: Выделить всё
route 192.168.1.0 255.255.255.0
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
vlymar писал(а):в server.conf у меня:Код: Выделить всё
# Филиал 1 push "route 192.168.1.0 255.255.255.0" # Филиал 1 route 192.168.1.0 255.255.255.0
смотрите что у вас в логах при подключении, должно выдавать автоматом с сервера.
- Shuba
- ст. сержант
- Сообщения: 365
- Зарегистрирован: 2008-03-25 10:58:21
- Откуда: Минск
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
Э... Тут как бы парочку вопросов. У меня порты обновлены и по /usr/ports/security/openvpn ставится openvpn-2.1.3. Соответсвенно в /usr/local/share/doc/openvpn/easy-rsa нет файла vars, зато есть 2 папки 1.0 и 2.0. В каждой из них по одному файлу vars, если в 1.0/vars имеется export KEY_DIR=$D/keys, то в 2.0/vars - export KEY_DIR="$EASY_RSA/keys". Это пока что устанавливая с ходу обнаружил. Смотрю и тестирую дальше.
Сила ночи, сила дня - одинакова фигня!
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
Shuba писал(а):Э... Тут как бы парочку вопросов. У меня порты обновлены и по /usr/ports/security/openvpn ставится openvpn-2.1.3. Соответсвенно в /usr/local/share/doc/openvpn/easy-rsa нет файла vars, зато есть 2 папки 1.0 и 2.0. В каждой из них по одному файлу vars, если в 1.0/vars имеется export KEY_DIR=$D/keys, то в 2.0/vars - export KEY_DIR="$EASY_RSA/keys". Это пока что устанавливая с ходу обнаружил. Смотрю и тестирую дальше.
Статью переписал под новую версию!
- pinger
- рядовой
- Сообщения: 23
- Зарегистрирован: 2009-03-22 20:41:11
- Откуда: УССР, Днепродзержинск
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
можно ли на уровне OpenVPN поднять NAT?
- zeus4all
- сержант
- Сообщения: 261
- Зарегистрирован: 2009-10-07 18:48:34
- Откуда: Далекий космос
Re: Обсуждение VPN сервера OpenVPN
здорово, нужно попробовать как нито, пока мне хватало соединения двух локалок через фряшные гейты, но ето тоже интересный вариант, единственно что имхо нужно кпомянуть фаерволы, как правило многие и я сам долго почемутоне мог добавить правила для порта сервера и на собственно девайс tun, ну или у кого что...изза етого ничего не поднималось.
Историю пишут победители, поэтому в ней не упоминаются проигравшие. (с) Артур Дрекслер
Я знаю только то, что ничего не знаю. (с) Сократ
Если тебе плюют в спину, значит ты впереди. (с) Конфуций
Я знаю только то, что ничего не знаю. (с) Сократ
Если тебе плюют в спину, значит ты впереди. (с) Конфуций
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
Для pf нужно правила в скобки заключать, если не заключить, то pf не будет работать при перезагрузке системы.
Код: Выделить всё
# TUN (Виртуальный интерфейс OpenVPN 10.10.100.1)
ext_if_ovpn="tun0"
# Виртуальная подсеть OpenVPN
vpnhost_table="{10.10.100.0/24}"
# Подсети Филиалов
filials_subnet="{192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24}"
# Для того что бы из подсети могли ходить друг на друга
nat pass on $ext_if_ovpn from $vpnhost_table to $filials_subnet -> ($ext_if_ovpn)
- pinger
- рядовой
- Сообщения: 23
- Зарегистрирован: 2009-03-22 20:41:11
- Откуда: УССР, Днепродзержинск
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
Вот мой пример, как настроить NAT на клиентской машине, для доступа в сеть офиса:
10.222.0.0/24 - домашняя сеть
10.70.2.134 - выдаваемый сервером клиентский IP
Код: Выделить всё
srv# cat /etc/rc.conf
....
openvpn_enable="YES"
gateway_enable="YES"
##IPFW
firewall_enable="NO"
firewall_type="open"
ipnat_enable="YES"
ipnat_rules="/etc/ipfw/ipnat"
......
Код: Выделить всё
srv# cat /etc/ipfw/ipnat
map tun0 10.222.0.0/24 -> 10.70.2.134/32
10.70.2.134 - выдаваемый сервером клиентский IP
- Shuba
- ст. сержант
- Сообщения: 365
- Зарегистрирован: 2008-03-25 10:58:21
- Откуда: Минск
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
Опять неточности: в файле /usr/local/share/doc/openvpn/easy-rsa/2.0/vars нет такой строчки,Cancer писал(а):Статью переписал под новую версию!
Код: Выделить всё
export KEY_DIR=$D/keys
Код: Выделить всё
export KEY_DIR="$EASY_RSA/keys"
Сила ночи, сила дня - одинакова фигня!
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
переписал на KEY_DIR="$EASY_RSA/keys"Shuba писал(а):Опять неточности: в файле /usr/local/share/doc/openvpn/easy-rsa/2.0/vars нет такой строчки,Cancer писал(а):Статью переписал под новую версию!, там естьКод: Выделить всё
export KEY_DIR=$D/keys
, зато имеется в /usr/local/share/doc/openvpn/easy-rsa/1.0/vars. Я ставил почти полностью по старой статье, за исклюбчением добавлением в путях скриптов папки 1.0Код: Выделить всё
export KEY_DIR="$EASY_RSA/keys"
не заметил этого сразу
- Jah
- ефрейтор
- Сообщения: 60
- Зарегистрирован: 2007-09-19 12:42:38
- Откуда: Воронеж
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
Как избавиться от ввода пароля при соединении?
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение VPN сервера OpenVPN
изменить можно через гуи на венде на пустой.Jah писал(а):Как избавиться от ввода пароля при соединении?