The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>
Ключевые слова: vpn, tunnel, crypt, linux, freebsd,  (найти похожие документы)
From: Ломакин Евгений <lomakin_e@travelink.by.> Newsgroups: email Date: Mon, 19 Jan 2004 14:31:37 +0000 (UTC) Subject: Опыт внедрения OpenVPN Почему OpenVPN? --------------- На ключевое слово vpn Google откликнулся 17 000 000 ссылок. Это приятно удивило. Немного сузив поиск наткнулся на сайт openvpn.sourceforge.net. Вводная статья обещала простоту инсталяции и конфигурирования,а главное,- возможность создания тунеля для большинства наиболее распрастранённых операционных систем, включая Linux,SUN Solaris,*BSD, Mac OS X, w2k, w2k3. Это то что мне нужно... Внешний интерфейс Внешний интерфейс 100.100.100.1 101.101.101.1 +--------------+ +-------------+ | SuSE 8.2 | Internet | FreeBSD 5.3 | | |<->-----------<->| | | NAT,FireWall | | NAT, ipfw | | | | | +-----+--------+ +-------+-----+ ^ ^ ^ ^ | | VPN | | | +---------------------+ | | 10.1.1.0 | +-----+---+ +--+------+ |Локальная| |Локальная| | сеть | | сеть | +---------+ +---------+ 10.0.0.0 192.168.1.0 Рис.1. Схема моей виртуальной частной сети. Так как работать с VPN планируется "навсегда", пересобрал ядро SuSE с поддержкой tun/tap драйвера. В современные дистрибутивы FreeBSD поддержка tun/tap уже встроена в ядро. Далее установил пакет. Для SuSE: #cp openvpn-1.6.0.tar.gz /usr/src #tar -xzvf openvpn-1.6.0.tar.gz. #./configure #./make #./make install Закапризничавшая во время конфигурированя SuSE потребовала установить предварительно библиотеку lzo. Под FreeBSD всё прошло гладко: #cd /usr/ports/security/openvpn #./make #./make install OpenVPN имеет два режима защиты.Первый базируется на SSL/TLS защите с использованием сертификатов и ключей. Второй,- на использовании статических ключей. Для создания сертификатов пришлось подредактировать в файле /etc/ssl/openssl.cnf несколько строк: # ... dir = /usr/local/etc/openvpn certificate = $dir/my-ca.crt private_key = $dir/private/my-ca.key И для того чтобы не заниматься этой процедурой(созданием ключей и сертификатов) каждый год (наверняка забуду). default_days = 3650 #(10 лет) до пенсии хватит... ... Далее генерирую ключи и сертификаты: openvpn reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650 Данная команда создаст пару сертификат/ключ действующими 10 лет. Затем создаю пару сертифика/частный ключ для каждого офиса: openvpn reg -nodes -new -x509 -keyout office1.key -out office1.csr openvpn reg -nodes -new -x509 -keyout office2.key -out office2.csr openvpn ca -out office1.crt -in office1.csr openvpn ca -out office2.crt -in office2.csr Я особенно не силён в защите,но раз требуют создать Диффи Хельман параметры для office2,создаём: openvpn dhparam -out dh1024.pem 1024 Не забываю перенести ключи и сертификаты на машину office2. С ключами всё.Перехожу к конфигурированию vpn. Собственно конфигурирование сводится к созданию конфигурационных файлов для офиса1 и офиса2. У меня офис1 выступает в качестве сервера и содержит: #office1 dev tun port 5000 ifconfig 10.1.1.1 10.1.1.2 #Здесь маршрутизацию поднимаем up /etc/openvpn/office1.up #Здесь маршрутизацию удаляем down /etc/openvpn/office1.down tls-server dh dh1024.pem ca my-ca.crt cert office1.crt key office1.key verb3 #end office1 А это клиент: #office2 dev tun port 5000 remote 100.100.100.1 ifconfig 10.1.1.2 10.1.1.1 #Здесь маршрутизацию поднимаем up /etc/openvpn/office2.up #Здесь маршрутизацию удаляем down /etc/openvpn/office2.down tls-client dh dh1024.pem ca my-ca.crt cert office2.crt key office2.key verb3 #end office2 Чтобы сети могли видеть друг друга файл office1.up содержит: #up routing route add -net 192.168.10.0/24 10.1.1.2 Сценарий down должен удалить маршрут office1.down #down route del -net 192.168.10.0/24 office2.up содержит: #up routing FreeBSD route add -net 10.0.0.0/24 10.1.1.1 netmask 255.255.255.0 office2.down: #down FreeBSD route delete -net 10.0.0.0/24 Запускаем: openvpn --config office1 на серврере; openvpn --config office2 на машине-клиенте. И проверяем. SuSE: $ ifconfig tun0 Link encap:Point-to-Point Protocol inet addr:10.1.1.1 P-t-P:10.1.1.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1259 Metric:1 RX packets:79017 errors:0 dropped:0 overruns:0 frame:0 TX packets:85421 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:10 RX bytes:11237151 (10.7 Mb) TX bytes:34079868 (32.5 Mb) $ ping 10.1.1.2 PING 10.1.1.2 (10.1.1.2) 56(84) bytes of data. 64 bytes from 10.1.1.2: icmp_seq=1 ttl=64 time=271 ms 64 bytes from 10.1.1.2: icmp_seq=2 ttl=64 time=419 ms 64 bytes from 10.1.1.2: icmp_seq=3 ttl=64 time=277 ms 64 bytes from 10.1.1.2: icmp_seq=4 ttl=64 time=184 ms 64 bytes from 10.1.1.2: icmp_seq=5 ttl=64 time=137 ms --- 10.1.1.2 ping statistics --- 6 packets transmitted, 5 received, 16% packet loss, time 5039ms rtt min/avg/max/mdev = 137.763/258.168/419.546/96.461 ms FreeBSD: $ ifconfig tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1259 inet6 fe80::202:44ff:fe92:7ac6%tun0 prefixlen 64 scopeid 0x5 inet 10.1.1.2 --> 10.1.1.1 netmask 0xffffffff Opened by PID 429 $ ping 10.1.1.1 PING 10.1.1.1 (10.1.1.1): 56 data bytes 64 bytes from 10.1.1.1: icmp_seq=0 ttl=64 time=159.315 ms 64 bytes from 10.1.1.1: icmp_seq=1 ttl=64 time=426.403 ms 64 bytes from 10.1.1.1: icmp_seq=2 ttl=64 time=352.940 ms 64 bytes from 10.1.1.1: icmp_seq=3 ttl=64 time=394.593 ms 64 bytes from 10.1.1.1: icmp_seq=4 ttl=64 time=249.855 ms 64 bytes from 10.1.1.1: icmp_seq=5 ttl=64 time=203.441 ms ^C --- 10.1.1.1 ping statistics --- 6 packets transmitted, 6 packets received, 0% packet loss round-trip min/avg/max/stddev = 159.315/297.758/426.403/99.439 ms $ Разработчики OpenVPN любезно предоставили настройку файервола для Linux,которая подключается в сценарии автозапуска OpenVPN. #!/bin/sh dir=/etc/openvpn $dir/firewall.sh openvpn --cd $dir --daemon --config office1 Для FreeBSD,как всегда всё гораздо проще: /usr/local/etc/rc.d/openvpn.sh #!/bin/sh dir=/etc/openvpn case $1 in start) openvpn --cd $dir --daemon --config office1;; stop) killall -TERM openvpn;; *) echo "Use: {start|stop}" esac rc.firewall # vpn="tun0" #vpn ${fwcmd} add allow ip from any to any via ${vpn} #nat ${fwcmd} add divert natd all from any to any via ${oif} # Всё. Огромное спасибо разработчикам OpenVPN!

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, GreenX, 17:29, 19/01/2005 [ответить] [смотреть все]
  • +/
    А в чём там косяк со вторым сервис паком от хп?
    У разработчика написано :
    NOTE: Windows XP Service Pack 2 breaks OpenVPN 1.6.0. If you are using XP SP2, it is recommended that you use OpenVPN 2.0.

     
     
  • 2.2, nsware, 18:30, 19/01/2005 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    SP2 это вообще один большой косяк...
     
  • 1.3, stager, 19:09, 19/01/2005 [ответить] [смотреть все]
  • +/
    а про то, как настроить впн для одинокого клиента под виндой и сервером на линуксе можете рассказать?
    я так понимаю нужно использовать bridge, а вот с этим как раз какаято фигня происходит

    и ещё хотелось бы узнать, чем статический ключ хуже ssl?

     
     
  • 2.14, crypt, 21:15, 23/01/2005 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    В такой конфигурации - ничем не хуже, а может быть даже чуть-чуть лучше по быстр... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, klexx, 19:46, 19/01/2005 [ответить] [смотреть все]  
  • +/
    У мя это как раз работает :) Если чё стучись по мылу, обьясню как и что :)
     
  • 1.5, cybpoison, 00:16, 20/01/2005 [ответить] [смотреть все]  
  • +/
    Могу помочь в настройки этого всего и со статическими ключами и SSL-сертификатами...
    В XP SP2 бага основана на том, что интерфейс не появляется, нужно ставить OpenVPN 2.0r6 и тогда появляется интерфейс...

    Короче у кого какие вопросы, то жду в ICQ :)
    ICQ:623091

     
     
  • 2.6, John, 10:06, 20/01/2005 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вы конечно все молодцы Умные люди придумали форум Чтоб один раз написали ... весь текст скрыт [показать] [показать ветку]
     
  • 1.7, qwerty, 11:16, 20/01/2005 [ответить] [смотреть все]  
  • +/
    чето не хочет на Фре генерить ключи, это наверное под линем синтаксис?
    openvpn -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
    0: I'm trying to parse "-nodes" as an --option parameter but I don't see a leading '--'
    1: Use --help for more information
     
     
  • 2.9, Михаил, 16:01, 20/01/2005 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Не хочет потому, что должно быть не openvpn, а openssl openssl req -nodes -new -... весь текст скрыт [показать] [показать ветку]
     
  • 1.8, Ежик, 12:26, 20/01/2005 [ответить] [смотреть все]  
  • +/
    А эту беду для создания туннеля с Cisco можно использовать? Если со стороны Cisco ipsec?
     
     
  • 2.10, Andrey Mitrofanov, 12:04, 21/01/2005 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А вот ipsec тут не при чём Впрочем cisco, по факту, тоже Хотя, можно, наверное... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.12, goblin, 19:47, 22/01/2005 [^] [ответить] [смотреть все]  
  • +/
    Ну и ладно... Обойдемся подручными средствами. :)
     
  • 1.11, Belal, 17:27, 21/01/2005 [ответить] [смотреть все]  
  • +/
    В оригинальной документации на http://openvpn.sourceforge.net написано куда больше и без ошибок!
     
     
  • 2.13, gt, 03:57, 23/01/2005 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    интересно, ты сначала здесь прочитал, а потом без ошибок или сначала без ошибок ... весь текст скрыт [показать] [показать ветку]
     
  • 1.15, Skif, 10:58, 26/01/2005 [ответить] [смотреть все]  
  • +/
    Такой вопрос, у меня имеется несколько серверов в инете, связаных банальным ipsec+gif все как по handbook-у работает без нареканий, но появился еще один и он подключен через ADSL модем. Там ip реальный находиться на мопеде, а мне выделен только серый. надо подключить этот сервак в нашу общую сетку между серверами. Сейчас листаю и изучаю все что мжно, что бы организовать такой тунель
    {СЕРВЕР С РЕАЛЬНЫМ IP, он же сервер доступа для VPN} <----->[Modem(ZyXEL, кому интересно) с реальным IP] <-----> {СЕРВЕР с частным IP}
    Сможет ли такой VPN пробиться сквозь нат? или может покурить доки mpd?
     
     
  • 2.18, Michael, 17:08, 03/02/2005 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    насколько я в курсе, ipsec использует ip-протокол, отличный от TCP и UDP его мо... весь текст скрыт [показать] [показать ветку]
     
  • 1.16, Galmir, 13:08, 02/02/2005 [ответить] [смотреть все]  
  • +/
    Мужики, а вот такой вопрос: настроил туннель (Win2000/FreeBSD), сервер на фрюхе, клиент на винде. За КАЖДЫМ из них стоит сколько-то компов, то есть это 2 шлюза, на винде KERIO Firewall. Все они в одной подсети 10.100.1.X, и туннель нужен только для инкапсуляции адресов (чтобы компы одного офиса видели компы другого офиса). Но не видят, то есть с каждого шлюза есть пинг только на другой конец туннеля, а за ним ни фига не доступно.

    Что править, где косяк?

     
     
  • 2.17, Michael, 16:26, 03/02/2005 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    вариантов 2 1 разноси клиентов в разные подсети и настраивай маршрутизацию 2 ... весь текст скрыт [показать] [показать ветку]
     
  • 1.19, Michael, 16:22, 02/03/2005 [ответить] [смотреть все]  
  • +/
    А если есть две локалки, один домен, два сайта, на границах - FreeBSD с OpenVPN - будут работать прозрачно виндовые машины ?
     
     
  • 2.20, Michael, 12:40, 10/03/2005 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    домен и сайты к делу не относятся а две локалки соединить с помощью OpenVPN м... весь текст скрыт [показать] [показать ветку]
     
  • 1.21, Michael, 20:07, 11/03/2005 [ответить] [смотреть все]  
  • +/
    Я имел в виду виндовые сайты, те, на которые домен разбивается, чтобы меньше траффик был.
     
  • 1.23, resu, 00:36, 31/03/2005 [ответить] [смотреть все]  
  • +/
    Ставлю openvpn 2 т к нуждаюсь в создании тунэля между win клиентами и linux ser... весь текст скрыт [показать]
     
  • 1.24, max, 13:43, 28/04/2005 [ответить] [смотреть все]  
  • +/
    Добрый день !!!
    Господа никто случайно не прикручивал openvpn + freeradius?
     
     
  • 2.25, Michael, 18:38, 28/04/2005 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    а как одно связано с другим ... весь текст скрыт [показать] [показать ветку]
     
  • 1.26, merlyn, 18:57, 14/06/2005 [ответить] [смотреть все]  
  • +/
    Пробую настроить openvpn - не получается
    к серверу FreeBSD цепляется виндовый клиент из-за Nat, openvpn 2.0. Использую статические ключи, канал встает, но пинги не ходят, хотя в логах сервера openvpn видно что пакетами обмениваются.
    не могу понять в чем проблема
     
     
  • 2.27, Michael, 19:36, 14/06/2005 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    а подробнее, что в логах на обоих сторонах должна быть строка вида Peer Connec... весь текст скрыт [показать] [показать ветку]
     
  • 1.28, pawel_chk, 20:27, 22/06/2005 [ответить] [смотреть все]  
  • +/
    как правильно настроить openvpn клиента если неизвестен заранее IP (dial-up через мобилку (GPRS))
     
     
  • 2.29, Михаил, 14:10, 06/07/2005 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    не указывать явно параметр local в конфиге, достаточно знать ip-адрес сервера и ... весь текст скрыт [показать] [показать ветку]
     
  • 1.30, xxx, 22:39, 02/09/2005 [ответить] [смотреть все]  
  • +/
    А билинг есть под опенвпн какойто ?
     
     
  • 2.31, Михаил, 11:12, 05/09/2005 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    а зачем под него какой-то особенный биллинг OpenVPN создает обыкновенный сетево... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.32, zyxman, 13:40, 10/07/2006 [^] [ответить] [смотреть все]  
  • +/
    к сожалению, как раз для биллинга отличается конкретно, лучшее что я знаю для б... весь текст скрыт [показать]
     
     
  • 4.33, Alesx, 03:06, 19/09/2006 [^] [ответить] [смотреть все]  
  • +/
    Все работает Вот только одна проблема - при рестарте сервера, соединение не вос... весь текст скрыт [показать]
     
  • 1.34, YuroN, 17:12, 14/12/2006 [ответить] [смотреть все]  
  • +/
    >openvpn reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650

    с версией OpenVPN 2.0.5 пишет:

    Options error: I'm trying to parse "reg" as an --option parameter but I don't see a leading '--'
    Use --help for more information.

    что делать?

     
  • 1.35, Аноним, 18:09, 10/03/2007 [ответить] [смотреть все]  
  • +/
    Статья просто ужасная автора убить мало Первое для генерации ключей используйте... весь текст скрыт [показать]
     
     
  • 2.36, Михаил, 10:53, 12/03/2007 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    >Статья просто ужасная автора убить мало. Первое для генерации ключей используйте openssl,
    >второе не reg, а req (от слова реквест). Пожалуйста выдай исходную
    >ссылку статьи...
    Зачем тебе статья двухлетней давности?
    OpenVPN довольно неплохо развивается и информация двухлетней давности, имхо, уже устарела.

    Читайте родную документацию! Там все написано!
    В крайнем случае, на оригинальном сайте есть ссылки на сторонние руководства.

     
  • 1.37, NF, 00:03, 12/05/2007 [ответить] [смотреть все]  
  • +/
    Короче... надо поднять виндовый VPN сервер, только чтоб   клиенты(тож виндовые) могли цепляться к нему, не видя друг друга, все в одной под сети типа 123.123.***.***, все подключаются к инету через АДСЛ (у сервера можно сделать статический ип), критерии безопасности не оч важны, лишь бы работало, манов для моего случая не нашел,
     
     
  • 2.39, d_m, 10:29, 22/06/2007 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    "не видя друг друга"

    "критерии безопасности не оч важны"
    Сэр! Вы сами себе противоречите. Первое - весьма сильный "критерий безопасности".

     
  • 1.40, akaGudvin, 12:06, 06/06/2008 [ответить] [смотреть все]  
  • +/

    Действительно ли технология OpenVPN является настолько надежной, как об этом пишут, или это очередная уловка спецслужб? На этот вопрос я решил себе ответить запустив Wireshark и проанализировав трафик VPN соединения в различных режимах работы (с шифрованием и без, с транспортом в виде TCP и UDP, ...).
    Как оказалось не все так радужно как об этом пишут. SSLv3/TLSv1 я нашел, но он оказался инкапсулирован в другой неизвестный мне протокол, поддерживающий фрагментирование. Не помог мне ни официальный сайт openvpn, ни google. Как человеку, постоянно использующему эту технологию, хотелось бы знать что за информация там передается и зачем этот протокол вообще нужен?

    Заранее благодарен всем, кто окажет свою посильную помощь в разрешении этого вопроса.

     
     
  • 2.41, Аноним, 12:48, 06/06/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    UDP ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.42, AloneGh0st, 13:11, 09/06/2008 [^] [ответить] [смотреть все]  
  • +/
    Мужики Помогите разобраться Надо засунуть из мира несколько машин в офисную ... весь текст скрыт [показать]
     
  • 1.43, Ярослав, 15:24, 19/01/2010 [ответить] [смотреть все]  
  • +/
    аффтору незачёт.
    Сертификаты генерятся openssl, а не openvpn.
    Соответственно
    openvpn reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650

    меняется на

    openssl req -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650


    Второй параметр req а не reg.

    Статья нуждается в редактировании, так как прямое её применение невозможно.

     
     
  • 2.44, Michael, 11:54, 20/01/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    >[оверквотинг удален]
    >openvpn reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
    >
    >меняется на
    >
    >openssl req -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
    >
    >
    >Второй параметр req а не reg.
    >
    >Статья нуждается в редактировании, так как прямое её применение невозможно.

    Про это еще 4 года назад было написано:
    http://www.opennet.ru/openforum/vsluhforumID3/4979.html#9

     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:





      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor