Страница 3 из 9

Re: Обсуждение VPN сервера OpenVPN

Добавлено: 2010-11-02 9:12:00
Cancer
Вот смотри!

Re: Обсуждение VPN сервера OpenVPN

Добавлено: 2010-11-03 10:30:48
ail-man
Cancer писал(а):В начале когда настроил все по UDP работало все отлично быстро, но когда больше филиалов начало появляться и интернет у них не всегда хороший от всяких говнопровайдеров пришлось переводится на TCP, так как на нем работает медленнее, но стабильнее.

Ну в общем выбирать вам!
Вот-вот! то же самое у меня. Чем больше машин в филиалах ходят через OpenVPN, тем больше пропадают пакеты. Терминал при этом не отваливается, но все же неприятный момент при мониторинге стабильности канала. И все же у меня пока на UDP работает заметно быстрее, чем на TCP (к OpenVPN серваку подключено 9 филиалов), поэтому и перешел на него. Наверное, пока вариант один - ждать улучшенных релизов софта...

Re: Обсуждение VPN сервера OpenVPN

Добавлено: 2010-11-03 14:32:39
Cancer
ail-man писал(а):
Cancer писал(а):В начале когда настроил все по UDP работало все отлично быстро, но когда больше филиалов начало появляться и интернет у них не всегда хороший от всяких говнопровайдеров пришлось переводится на TCP, так как на нем работает медленнее, но стабильнее.

Ну в общем выбирать вам!
Вот-вот! то же самое у меня. Чем больше машин в филиалах ходят через OpenVPN, тем больше пропадают пакеты. Терминал при этом не отваливается, но все же неприятный момент при мониторинге стабильности канала. И все же у меня пока на UDP работает заметно быстрее, чем на TCP (к OpenVPN серваку подключено 9 филиалов), поэтому и перешел на него. Наверное, пока вариант один - ждать улучшенных релизов софта...

Нет скорее всего из-за говно провайдеров такое происходит.

У меня все на УДП отлично работало кроме некоторых мест где провайдер реально не очень хороший. Вот по этому и пришлось перейти на TCP, так как работает он стабильнее на участках где говнопровайдеры.

Re: Обсуждение VPN сервера OpenVPN

Добавлено: 2010-11-17 23:59:49
mahn0
Кто-нибудь решил вопрос UDP+multihomed ?

http://www.opennet.ru/openforum/vsluhfo ... 87864.html
http://sysadmins.ru/post8945593.html

Момент таков, что когда на сервере несколько каналов, openvpn по UDP работает только с дефолтным роутом. Приходится юзать tcp, либо поднимать несколько openvpn-ов.
С версии 2.1.х появилась опция multihome для решения этой проблемы, однако в FREEBSD она недоступна.

Re: Обсуждение VPN сервера OpenVPN

Добавлено: 2010-12-23 14:43:12
oren
Никто не сталкивался с лимитом ip адресов =64 клиентов?
И можно ли использовать два виртуальных интерфейса для подключения ?

Re: Обсуждение VPN сервера OpenVPN

Добавлено: 2010-12-25 12:23:58
Cancer
oren писал(а):Никто не сталкивался с лимитом ip адресов =64 клиентов?
Ну так создайте вторую виртуальную подсеть

oren писал(а):И можно ли использовать два виртуальных интерфейса для подключения ?
Чуть не понял вопроса, хотите на клиенте к двум серверам OpenVPN подключаться одновременно ?

Re: Обсуждение VPN сервера OpenVPN

Добавлено: 2011-02-21 11:43:38
T_T
Добрый день, настраивал по статье но у меня проблема, хотелось бы попросить вашей помощи

настраивал всё по статье, подключаюсь к серверу успешно, пингую сам серевер по внутреннему адресу 192.168.0.1. но не пингуется ни один хост в сети 192.168.0.0 255.255.255.0. Подскажите как решить эту проблему готов выложить конфиги , трасерты и подобное. голову уже сломал, не пинайте сильно =\

Re: Обсуждение VPN сервера OpenVPN

Добавлено: 2011-02-21 13:37:41
Cancer
T_T писал(а):Добрый день, настраивал по статье но у меня проблема, хотелось бы попросить вашей помощи

настраивал всё по статье, подключаюсь к серверу успешно, пингую сам серевер по внутреннему адресу 192.168.0.1. но не пингуется ни один хост в сети 192.168.0.0 255.255.255.0. Подскажите как решить эту проблему готов выложить конфиги , трасерты и подобное. голову уже сломал, не пинайте сильно =\

У остальных хостов в сети 192.168.0.0/24 основной шлюз указан сервер с OpenVPN ?

Re: Обсуждение VPN сервера OpenVPN

Добавлено: 2011-02-21 17:40:30
T_T
У остальных хостов в сети 192.168.0.0/24 основной шлюз указан сервер с OpenVPN ?

Код: Выделить всё

Подключение по локальной сети 2 - Ethernet адаптер:

   DNS-суффикс этого подключения . . : ***-***.ru
   Описание  . . . . . . . . . . . . : Atheros AR8131 PCI-E Gigabit Ethernet Con
troller
   Физический адрес. . . . . . . . . : 6C-F0-49-E7-7B-DA
   DHCP включен. . . . . . . . . . . : да
   Автонастройка включена  . . . . . : да
   IP-адрес  . . . . . . . . . . . . : 192.168.0.2
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз . . . . . . . . . . : 192.168.0.1
   DHCP-сервер . . . . . . . . . . . : 192.168.0.1
   DNS-серверы . . . . . . . . . . . : 192.168.0.1
   Аренда получена . . . . . . . . . : 19 февраля 2011 г. 21:00:38
   Аренда истекает . . . . . . . . . : 26 февраля 2011 г. 21:00:38
вот так всё выглядит

мб фаер рубит? хотя я при проверки добавил правило ipfw add 1 allow all from any to any
но там ещё нат есть ядерный, но если я правильно понимаю нат тут не нужен, все пакеты должны удовлетворятся этим правилом ipfw add 1 allow all from any to any

Re: Обсуждение VPN сервера OpenVPN

Добавлено: 2011-02-21 19:17:31
Cancer
Проверяйте фаервол.
Трассировку сделай от клиента в локальную сеть.
И из локальной сети до клиента.

Re: Обсуждение VPN сервера OpenVPN

Добавлено: 2011-02-24 10:24:33
IIV
Здравствуйте!

Пытаюсь прикрутить в конфиг клиента -askpass {file}. Но он упорно запрашивает пароль, из файла не берет. Сначала говорил что не может читать ключи из файла, пересобрал с нужной опцией - все работает. В файле с паролем ввел 2 строки логин и пароль, ничего лишнего не писал. Но теперь ни ругани нет за что уцепиться ни других намеков, просто игнорирует askpass и все. У кого есть опыт такой настройки. Гуглил прилично и вроде все делал по советам, но не выходит у меня.

Заранее спасибо.

Re: Обсуждение VPN сервера OpenVPN

Добавлено: 2011-02-24 19:20:45
Cancer
IIV писал(а):Здравствуйте!

Пытаюсь прикрутить в конфиг клиента -askpass {file}. Но он упорно запрашивает пароль, из файла не берет. Сначала говорил что не может читать ключи из файла, пересобрал с нужной опцией - все работает. В файле с паролем ввел 2 строки логин и пароль, ничего лишнего не писал. Но теперь ни ругани нет за что уцепиться ни других намеков, просто игнорирует askpass и все. У кого есть опыт такой настройки. Гуглил прилично и вроде все делал по советам, но не выходит у меня.

Заранее спасибо.
Вы все таки покажите логи при коннекте клиента на сервер!

Re: Обсуждение VPN сервера OpenVPN

Добавлено: 2011-02-24 23:25:15
T_T
Проверяйте фаервол.
Трассировку сделай от клиента в локальную сеть.
И из локальной сети до клиента.
А можно ли как нибудь соеденить 2 сети 192.168.0.0/24 и 192.168.0.0/24? Какой-нибудь bridge им устроить, например.
Хотя мне нужно чтобы был виден комп с адресом 192.168.0.2, неважно из какой сети. Например, как вариант, из офиса с компа 192.168.0.2 подключится к серверу по впн и у него будет адрес 10.10.100.6 например, и обращаться по этому адресу к нему из вне. Ведь компы видят друг друга по адресам 10.10.100.х, но если я пытаюсь подключится из сети 192.168.0.0/24 к впн серверу из этой же сети, у меня вообще сеть пропадает на том компе, видать там с маршрутами что-то)
Честно говоря, каша получилась, но надеюсь что - нибудь понятно из моих сумбурных идей ...

Re: Обсуждение VPN сервера OpenVPN

Добавлено: 2011-02-25 10:03:13
Гость
Cancer писал(а):
Вы все таки покажите логи при коннекте клиента на сервер!
В логах все отлично за исключением одной строки "2011 WARNING: file '/usr/local/etc/openvpn/pass' is group or others accessible

Re: Обсуждение VPN сервера OpenVPN

Добавлено: 2011-02-25 10:42:59
Гость
Нашел статью, где советую в данном случае делать CHMOD 700. В логах теперь вообще пусто про файл с логином паролем. Ужас.

Re: Обсуждение VPN сервера OpenVPN

Добавлено: 2011-02-25 15:21:01
IIV
Спасибо, что отозвались, но все решилось простым путем. Если кому на будущее нужно будет - рассказываю.

В конфиге клиента строка должна выглядеть данным образом.
auth-user-pass /usr/local/etc/openvpn/pass # Путь и имя файла естественно выши

Почему askpass не срабатывает - для меня загадка. И очень мало инфы по этому поводу в инете.

Re: Обсуждение VPN сервера OpenVPN

Добавлено: 2011-02-27 15:16:04
Cancer
T_T писал(а):
Проверяйте фаервол.
Трассировку сделай от клиента в локальную сеть.
И из локальной сети до клиента.
А можно ли как нибудь соеденить 2 сети 192.168.0.0/24 и 192.168.0.0/24? Какой-нибудь bridge им устроить, например.
Хотя мне нужно чтобы был виден комп с адресом 192.168.0.2, неважно из какой сети. Например, как вариант, из офиса с компа 192.168.0.2 подключится к серверу по впн и у него будет адрес 10.10.100.6 например, и обращаться по этому адресу к нему из вне. Ведь компы видят друг друга по адресам 10.10.100.х, но если я пытаюсь подключится из сети 192.168.0.0/24 к впн серверу из этой же сети, у меня вообще сеть пропадает на том компе, видать там с маршрутами что-то)
Честно говоря, каша получилась, но надеюсь что - нибудь понятно из моих сумбурных идей ...
Вы сами то поняли что написали ?

Нарисуйте схему лучше и что вам нужно!

Как вы хотите объединить одинаковые подсети?
Проще всего одну из подсетей перевести в например 192.168.1.0/24 (самый логичный способ)

Re: Обсуждение VPN сервера OpenVPN

Добавлено: 2011-03-09 14:01:34
Cancer
Статью переписал слегка, под работу с более большим размером ключей.

Код: Выделить всё

# меняем export KEY_SIZE=1024 на 2048
# (тем самым увеличим размер ключей с 1024 бит до 2048 бит)
export KEY_SIZE=2048

Re: Обсуждение VPN сервера OpenVPN

Добавлено: 2011-03-16 23:23:23
User81
Набросал простенький скрипт для слежения за состоянием через браузер

Код: Выделить всё

#!/usr/bin/perl -w
use strict;

sub Row
{
 print " <tr>\n";
 foreach (@_){
     if (defined($_))
         {
          print "  <th>$_</th>\n";
         }
     else
         {
         print "  <th>-</th>\n";
         }
 }
 print " </tr>\n";
}

print "Content-type: text/html\n\n";
print "<table cellpadding=\"2\" cellspacing=\"0\" border=\"1\">\n";
print "<colgroup span=\"1\" ></colgroup>\n";
print "<colgroup span=\"4\"width=\"200\" ></colgroup>\n";
my $files=qw(openvpn-status.log);
if (!open(LOG, "$files"))
    {
     print "<html><h1>@_</h1>\n";
     print "<html><h1>$!</h1>\n";
     die;
    }
else
    {
     while (<LOG>)
         {
          my ($CommonName, $RealAddress, $BytesReceived, $BytesSent, $ConnectedSince) = split /,+/, $_, 5;
          &Row($CommonName, $RealAddress, $BytesReceived, $BytesSent, $ConnectedSince);
         }
     close(LOG);
    }
print "</table>\n";
print "</html>\n";

Re: Обсуждение VPN сервера OpenVPN

Добавлено: 2011-03-16 23:48:39
Cancer
User81 писал(а):Набросал простенький скрипт для слежения за состоянием через браузер

Код: Выделить всё

#!/usr/bin/perl -w
use strict;

sub Row
{
 print " <tr>\n";
 foreach (@_){
     if (defined($_))
         {
          print "  <th>$_</th>\n";
         }
     else
         {
         print "  <th>-</th>\n";
         }
 }
 print " </tr>\n";
}

print "Content-type: text/html\n\n";
print "<table cellpadding=\"2\" cellspacing=\"0\" border=\"1\">\n";
print "<colgroup span=\"1\" ></colgroup>\n";
print "<colgroup span=\"4\"width=\"200\" ></colgroup>\n";
my $files=qw(openvpn-status.log);
if (!open(LOG, "$files"))
    {
     print "<html><h1>@_</h1>\n";
     print "<html><h1>$!</h1>\n";
     die;
    }
else
    {
     while (<LOG>)
         {
          my ($CommonName, $RealAddress, $BytesReceived, $BytesSent, $ConnectedSince) = split /,+/, $_, 5;
          &Row($CommonName, $RealAddress, $BytesReceived, $BytesSent, $ConnectedSince);
         }
     close(LOG);
    }
print "</table>\n";
print "</html>\n";

А можно показать скрин ?

Re: Обсуждение VPN сервера OpenVPN

Добавлено: 2011-03-21 12:29:22
forsun
Cancer писал(а): В общем для того что бы вы смогли пингануть компьютер в офисе за OpenVPN сервером.
OpenVPN сервер в офисе должен быть основным шлюзом у всех ПК или хотя бы для теста у того ПК к которому хотите получить доступ.
А можно еще как то реализовать? Например с помощью nat.
Вообще что нужно сделать чтоб (видеть пинговать подключаться) компы за сервером, кроме того что сделать сервер основным шлюзом.

Re: Обсуждение VPN сервера OpenVPN

Добавлено: 2011-03-21 13:03:22
Cancer
forsun писал(а):
Cancer писал(а): В общем для того что бы вы смогли пингануть компьютер в офисе за OpenVPN сервером.
OpenVPN сервер в офисе должен быть основным шлюзом у всех ПК или хотя бы для теста у того ПК к которому хотите получить доступ.
А можно еще как то реализовать? Например с помощью nat.
Вообще что нужно сделать чтоб (видеть пинговать подключаться) компы за сервером, кроме того что сделать сервер основным шлюзом.

Нарисуйте схему сети которая у вас сейчас.

Re: Обсуждение VPN сервера OpenVPN

Добавлено: 2011-03-21 13:51:53
forsun
Вот как то так только не смейтесь.

Re: Обсуждение VPN сервера OpenVPN

Добавлено: 2011-03-21 14:01:49
Cancer
У вас вообще отдельно стоит, нужно сервер с ОпенВПН делать основным шлюзом.
Сделайте такую схему
(Локальная Сеть 192.168.1.0/24)----(OpenVPN он же Гейт и фаер)----(Интернет)-------(ADSL)------(Клиент)

А вот на счет того что бы он не был основным шлюзом пока что не знаю.
Но по идее можно роутингом разрулить на BSD, но хрень получится.

Re: Обсуждение VPN сервера OpenVPN

Добавлено: 2011-03-21 14:11:52
Cancer
Покажи таблицу маршрутизации у клиента при подключенном ВПН.

Код: Выделить всё

route print
и скажи какой IP tun0 ВПН сервера и клиента

Да и покажи трассировку до рабочей станции с клиента