forum.lissyara.su

Суть вот в чем , есть сервер на нем поднят OpenVPN сервер , к нему без проблем подключаются юзеры . Есть еще один сервер , нужно что бы первый сервер подключался ко второму и юзеры так же работали только уже через тот сервер , то-есть возможно ли , что бы первый сервер подключался ко второму ? или как можно такое организовать?

два openvpn сервера, почему нет?

Можно иметь 2-а сервера, а в качестве проверяльщика radius, т.е. общую базу пользователей...

А есть мануальчик ? для пользователей , А не подскажите , через радиус можно включать и отключать пользователей ? ну вообщем есть какой нить мануал по настройке сразу двух серверов ? что бы один шел через другой ? и по пользователям ?

RADIUS имеет смысл при большом кол-ве клиентов

n0klos писал(а):А есть мануальчик ? для пользователей , А не подскажите , через радиус можно включать и отключать пользователей ? ну вообщем есть какой нить мануал по настройке сразу двух серверов ? что бы один шел через другой ? и по пользователям ?

Мне все=таки непонятен вопрос "что бы один шел через другой", это как??? 2-а vpn-сервера с единой базой пользователей или что-то другое.

у меня много пользователей , мне нужно что бы опять таки авторизация шла через сетификаты, а на счет как 2 сервера .
1 сервер 78.100.222.222
2 сервер 22.22.22.22
пользователь конектится к серверу номер 1 , тот в свою очередь конектится к серверу номер 2 , тоесть , получается что пользователи выходят в интернет через сервер 2 уже , в принцепи решил как это можно сделать , с сервера 1 поднимать впн на сервер 2 , без маршрутов , а в сервере 1 , поднимать мост на этот тунель , и на сервере 1 указывать интернет интерфейсом этот мост , в самом openvpn это позволяется сделать , еще в принцепи не пробывал , щас буду тестить , а вот как с пользователями поступить ? Нужно создавать пользователя , допустим на какое-то то время , проходит допустим там 5 дней , его нужно отключить , а потом опять включить , вот как с этим поступить , я могу сгенерировать сертификаты он будет с ними работать , могу указать на какое время они действительны , но как сделать что бы можно было или отключить его либо продлить ? А играться постоянно с новым создаванием сертификатов и переносу его на комп пользователя , не то ...

понял чего сам написал?

p.s. схему конкретнее....

А что тут не понятного ?
Почитай поймешь ....
Есть два сервера , 1 сервер шлюз на нем поднят впн сервер все конектятся к нему , есть второй сервер , к нему должен конектиться первый сервак , тунель должен выглядеть след образом ..
юзеры ---> шлюз ----> второй сервер ---> интернет
что тут не понятного ?
и нужно просто управлять пользователями , тоесть включать их отключать ...тоесть авторизация обычная openvpn , тоесть через сертификаты , как блокировать узера в опенвпн ?

блокировать узера в опенвпн

тоесть нужная фряха QoS, openvpn да ещё и чтобы это роутилось на второй гейт?

поставь маршрутизатор там нормальный. если нет, то ipnat + pf + статичный роутинг.

Да зачем все так делать то , можно на много проще , с шлюза на второй сервер поднимать тунель , без создания маршрута , создать бридж на этот тунель , и на самом впн сервере указать что бы трафик брал с этого брижда , такой сам сервер позволяет без проблем , но вот как с юзерами поступить ?

вот это самый корявый вопрос, как с ними быть, с одной стороны можно шейпить файрволом, а с другой нужен биллинг

Фаерволом не получится , допустим у них всегда меняются ip, или подключается например из дома , ( ну такая система не буду вдаваться в подробности ) , а вот биллинг интересный вопрос , Какой биллинг может работать с openvpn клиентами , abbils , так там радиус , по паролю если не ошибаюсь ...А мне нужно так же по сертификатам ...Ужас просто ....создать клиента можно , могу также отключиться его учетку , удалив сертификат ,тоесть сделав его не действительным , это могу , но как допустим его вновь включить.....Раз анулировать его можно , значит можно его так же и включить ...но как ...? Ужас просто

n0klos писал(а):.А мне нужно так же по сертификатам ...Ужас просто ....создать клиента можно , могу также отключиться его учетку , удалив сертификат ,тоесть сделав его не действительным , это могу , но как допустим его вновь включить.....Раз анулировать его можно , значит можно его так же и включить ...но как ...? Ужас просто

Сертификат можно только отозвать, впрочем можно хранить копии списков отзыва сертификатов... Но это такой гемор... Вообще-то организовывается по-другому, пользователю предоставляется возможность самому запрашивать сертификат, после выдачи пользователю сертификата, эта его возможность блокируется...

А мог бы объяснить как отзывать ? и как хранить копии ? мне кажется так будет удобней ....

Вроде нашел , для управления сертификатами. Проект называется ejbca . Кто нить работал с этим , есть какие нить впечатления?