Обсуждение статьи тематического каталога: Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)Ссылка на текст статьи: http://www.opennet.ru/base/net/openvpn_setup.txt.html
А в чём там косяк со вторым сервис паком от хп?
У разработчика написано :
NOTE: Windows XP Service Pack 2 breaks OpenVPN 1.6.0. If you are using XP SP2, it is recommended that you use OpenVPN 2.0.
SP2 это вообще один большой косяк...
а про то, как настроить впн для одинокого клиента под виндой и сервером на линуксе можете рассказать?
я так понимаю нужно использовать bridge, а вот с этим как раз какаято фигня происходити ещё хотелось бы узнать, чем статический ключ хуже ssl?
В такой конфигурации - ничем не хуже, а может быть даже чуть-чуть лучше по быстродействию будут.
У мя это как раз работает :) Если чё стучись по мылу, обьясню как и что :)
Могу помочь в настройки этого всего и со статическими ключами и SSL-сертификатами...
В XP SP2 бага основана на том, что интерфейс не появляется, нужно ставить OpenVPN 2.0r6 и тогда появляется интерфейс...Короче у кого какие вопросы, то жду в ICQ :)
ICQ:623091
"Вы конечно все молодцы...."
Умные люди придумали форум.
Чтоб один раз написали все почитали
что-то до бавили что то подправили.
А тут начинаются предложения.
Давай по почте, давай по ICQ....
Не лучше ли раз прописать все это в форуме.
Чтоб вас по 10 раз не спрашивали а если кто спросит то
адресовать на этот форум.
А может кто что нового и полезного добавит.
чето не хочет на Фре генерить ключи, это наверное под линем синтаксис?
openvpn -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
0: I'm trying to parse "-nodes" as an --option parameter but I don't see a leading '--'
1: Use --help for more information
Не хочет потому, что должно быть не openvpn, а openssl
openssl req -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -days 3650И далее по тексту тоже openvpn заменить на openssl
А эту беду для создания туннеля с Cisco можно использовать? Если со стороны Cisco ipsec?
> эту беду для создания туннеля с Cisco можно использовать? Если со стороны Cisco ipsec?А вот ipsec тут не при чём. Впрочем cisco, по факту, тоже.
Хотя, можно, наверное: собрать паке-е-ет для, apt-get install его... %))) Но, пожалуй, Cisco не будет этого делать для своей супер-надёжной, поддержиФаюШей "индустриальные стандарты" мега-популярной... _закрытой_ платформы.
Но мы ведь их совсем не за это любим? B-)
Ну и ладно... Обойдемся подручными средствами. :)
В оригинальной документации на http://openvpn.sourceforge.net написано куда больше и без ошибок!
интересно, ты сначала здесь прочитал, а потом без ошибок или сначала без ошибок а потом здесь?
обосрать всегда и все можно и это, кстати, не трудно сделать.
Такой вопрос, у меня имеется несколько серверов в инете, связаных банальным ipsec+gif все как по handbook-у работает без нареканий, но появился еще один и он подключен через ADSL модем. Там ip реальный находиться на мопеде, а мне выделен только серый. надо подключить этот сервак в нашу общую сетку между серверами. Сейчас листаю и изучаю все что мжно, что бы организовать такой тунель
{СЕРВЕР С РЕАЛЬНЫМ IP, он же сервер доступа для VPN} <----->[Modem(ZyXEL, кому интересно) с реальным IP] <-----> {СЕРВЕР с частным IP}
Сможет ли такой VPN пробиться сквозь нат? или может покурить доки mpd?
>Такой вопрос, у меня имеется несколько серверов в инете, связаных банальным ipsec+gif
>все как по handbook-у работает без нареканий, но появился еще один
>и он подключен через ADSL модем. Там ip реальный находиться на
>мопеде, а мне выделен только серый. надо подключить этот сервак в
>нашу общую сетку между серверами. Сейчас листаю и изучаю все что
>мжно, что бы организовать такой тунель
>{СЕРВЕР С РЕАЛЬНЫМ IP, он же сервер доступа для VPN} <----->[Modem(ZyXEL, кому интересно) с реальным IP] <-----> {СЕРВЕР с частным IP}
>Сможет ли такой VPN пробиться сквозь нат? или может покурить доки mpd?насколько я в курсе, ipsec использует ip-протокол, отличный от TCP и UDP.
его может просто не пропустить НАТ в АДСЛ-модеме... ищи у своего модема фичу под названием vpn-passthrough или ipsec-passthrough.еще пара вариантов:
1) перенастроить модем из режима роутера в режим бриджа, тогда реальный ip-адрес будет уже у самого компа.
2) перейти на другой vpn, например OpenVPN в этой ситуации продошел бы идеально. не обязательно ломать сущестыующий ipsec, можно на OpenVPN построить только этот один линк.
Мужики, а вот такой вопрос: настроил туннель (Win2000/FreeBSD), сервер на фрюхе, клиент на винде. За КАЖДЫМ из них стоит сколько-то компов, то есть это 2 шлюза, на винде KERIO Firewall. Все они в одной подсети 10.100.1.X, и туннель нужен только для инкапсуляции адресов (чтобы компы одного офиса видели компы другого офиса). Но не видят, то есть с каждого шлюза есть пинг только на другой конец туннеля, а за ним ни фига не доступно.Что править, где косяк?
>Мужики, а вот такой вопрос: настроил туннель (Win2000/FreeBSD), сервер на фрюхе, клиент
>на винде. За КАЖДЫМ из них стоит сколько-то компов, то есть
>это 2 шлюза, на винде KERIO Firewall. Все они в одной
>подсети 10.100.1.X, и туннель нужен только для инкапсуляции адресов (чтобы компы
>одного офиса видели компы другого офиса). Но не видят, то есть
>с каждого шлюза есть пинг только на другой конец туннеля, а
>за ним ни фига не доступно.
>
>Что править, где косяк?вариантов 2:
1) разноси клиентов в разные подсети и настраивай маршрутизацию.
2) локальные интерфейсы каждого из шлюзов объедини с OpenVPN-интерфейсом в мост (бридж).
по обоим вариантам в родной доке все хорошо расписано.
А если есть две локалки, один домен, два сайта, на границах - FreeBSD с OpenVPN - будут работать прозрачно виндовые машины ?
>А если есть две локалки, один домен, два сайта, на границах -
>FreeBSD с OpenVPN - будут работать прозрачно виндовые машины ?домен и сайты к делу не относятся...
а две локалки соединить с помощью OpenVPN можно.что означает "работать прозрачно" ?
По крайней мере пинговаться будет и сетевые диски по ip-адресу прицепить будет можно. Да и вообще любой софт, использующий ip-протокол без широковещания, работать будет.
а вот использовать имена компов из сетевого окружения - вряд ли...Хотя если настроить в режиме моста, то можно даже сетевое окружение общее сделать. Но не рекомендую - много лишнего трафика будет в канале, плохо для тех у кого канал медленный или трафик дорогой.
Я имел в виду виндовые сайты, те, на которые домен разбивается, чтобы меньше траффик был.
Ставлю openvpn 2 т.к. нуждаюсь в создании тунэля между win клиентами и linux server’ ом за которым стоит LAN c ресурсами на которые эти клиенты должны получить доступ, а получаю следующую проблему:
настраиваю tun device, сервер получает IP для tun0 – 10.8.0.1/32 win client – 10.8.0.10/30 и default gateway 10.8.0.9я не понимаю зачем нужна такая network mask 255.255.255.252 и если она необходима, то почему на сервере не подымается интерфейс tun0:1 IP 10.8.0.9/30. этого адреса вообще нигде нет и поэтому нет и доступа к подсетям моей LAN (я засылаю клиенту при помощи push "route ..." все необходимые руты, клиент их получает и правильно садит, но нет к ним gateway’я нет и связи с ними).
Что я делаю не так??????меняю tun на tap и все получается так, как я это понимаю:
- сервер IP 10.8.0.1/24
- клиент IP 10.8.0.101/24 defaul gateway 10.8.0.1все бы хорошо, но тут я не знаю в чем разница между тунелем и bridge’м в терминологии OpenVPN. В каких случаях надо применять тот или иной device.
Если кто то уже разобрался с этой темой – буду очень признателен за помощь
Добрый день !!!
Господа никто случайно не прикручивал openvpn + freeradius?
>Господа никто случайно не прикручивал openvpn + freeradius?
а как одно связано с другим?
Пробую настроить openvpn - не получается
к серверу FreeBSD цепляется виндовый клиент из-за Nat, openvpn 2.0. Использую статические ключи, канал встает, но пинги не ходят, хотя в логах сервера openvpn видно что пакетами обмениваются.
не могу понять в чем проблема
>хотя в логах сервера
>openvpn видно что пакетами обмениваются.
а подробнее, что в логах?
на обоих сторонах должна быть строка вида "Peer Connection Initiated with" с ip-адресом другой стороны
как правильно настроить openvpn клиента если неизвестен заранее IP (dial-up через мобилку (GPRS))
>как правильно настроить openvpn клиента если неизвестен заранее IP (dial-up через мобилку
>(GPRS))не указывать явно параметр local в конфиге, достаточно знать ip-адрес сервера и указать его в параметре remote
А билинг есть под опенвпн какойто ?
>А билинг есть под опенвпн какойто ?
а зачем под него какой-то особенный биллинг?
OpenVPN создает обыкновенный сетевой интерфейс, который ничем принципиально не отличается от, например, Ethernet-ного..
к сожалению, как раз для биллинга отличается.
конкретно, лучшее что я знаю для биллинга в freebsd - ng_ipacct - не может непосредственно брать данные с tun, зато беспроблемно работает с эзернетами.
решение простое, хотя на мой взгляд немножко неестественное (и слишком тяжелое при широких потоках) - ipfw tee нужного траффика в ksocket и с него уже счет ng_ipacct - у меня уже работает с апреля на пол мегабита.С Уважением,
Зюхман.
Все работает. Вот только одна проблема - при рестарте сервера, соединение не востанавливается и приходится рестартить клиента. Может можно сделать, что бы соединение восстанавливалось во всех случаях?
>openvpn reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650с версией OpenVPN 2.0.5 пишет:
Options error: I'm trying to parse "reg" as an --option parameter but I don't see a leading '--'
Use --help for more information.что делать?
Статья просто ужасная автора убить мало. Первое для генерации ключей используйте openssl, второе не reg, а req (от слова реквест). Пожалуйста выдай исходную ссылку статьи...
>Статья просто ужасная автора убить мало. Первое для генерации ключей используйте openssl,
>второе не reg, а req (от слова реквест). Пожалуйста выдай исходную
>ссылку статьи...
Зачем тебе статья двухлетней давности?
OpenVPN довольно неплохо развивается и информация двухлетней давности, имхо, уже устарела.Читайте родную документацию! Там все написано!
В крайнем случае, на оригинальном сайте есть ссылки на сторонние руководства.
Короче... надо поднять виндовый VPN сервер, только чтоб клиенты(тож виндовые) могли цепляться к нему, не видя друг друга, все в одной под сети типа 123.123.***.***, все подключаются к инету через АДСЛ (у сервера можно сделать статический ип), критерии безопасности не оч важны, лишь бы работало, манов для моего случая не нашел,
"не видя друг друга""критерии безопасности не оч важны"
Сэр! Вы сами себе противоречите. Первое - весьма сильный "критерий безопасности".
Действительно ли технология OpenVPN является настолько надежной, как об этом пишут, или это очередная уловка спецслужб? На этот вопрос я решил себе ответить запустив Wireshark и проанализировав трафик VPN соединения в различных режимах работы (с шифрованием и без, с транспортом в виде TCP и UDP, ...).
Как оказалось не все так радужно как об этом пишут. SSLv3/TLSv1 я нашел, но он оказался инкапсулирован в другой неизвестный мне протокол, поддерживающий фрагментирование. Не помог мне ни официальный сайт openvpn, ни google. Как человеку, постоянно использующему эту технологию, хотелось бы знать что за информация там передается и зачем этот протокол вообще нужен?Заранее благодарен всем, кто окажет свою посильную помощь в разрешении этого вопроса.
>но он оказался инкапсулирован в другой неизвестный мне протокол, поддерживающий
>фрагментирование.UDP? :)
Мужики! Помогите разобраться...
Надо засунуть из мира несколько машин в офисную сетку(домен внутренний)
в Офисной сетке стоит Gentoo сервак(OpenVPN), клиент будет подниматься
на Windows XP SP2 Pro. Нужна ваша помощь. Вроде все настроил, выдаёт в логе:
Mon Jun 09 12:09:37 2008 OpenVPN 2.1_rc7 Win32-MinGW [SSL] [LZO2] [PKCS11] built on Jan 29 2008
Mon Jun 09 12:09:37 2008 WARNING: using --pull/--client and --ifconfig together is probably not what you want
Mon Jun 09 12:09:37 2008 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Jun 09 12:09:37 2008 LZO compression initialized
Mon Jun 09 12:09:37 2008 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Jun 09 12:09:37 2008 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Jun 09 12:09:37 2008 Local Options hash (VER=V4): '41690919'
Mon Jun 09 12:09:37 2008 Expected Remote Options hash (VER=V4): '530fdded'
Mon Jun 09 12:09:37 2008 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Jun 09 12:09:37 2008 UDPv4 link local: [undef]
Mon Jun 09 12:09:37 2008 UDPv4 link remote: 217.147.161.29:1194
Mon Jun 09 12:09:37 2008 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Уже незнаю чё делать, в фаэрволе под клиент открыл дырку... и всеравно одно и тоже...
аффтору незачёт.
Сертификаты генерятся openssl, а не openvpn.
Соответственно
openvpn reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650меняется на
openssl req -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
Второй параметр req а не reg.Статья нуждается в редактировании, так как прямое её применение невозможно.
>[оверквотинг удален]
>openvpn reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
>
>меняется на
>
>openssl req -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
>
>
>Второй параметр req а не reg.
>
>Статья нуждается в редактировании, так как прямое её применение невозможно.Про это еще 4 года назад было написано:
http://www.opennet.ru/openforum/vsluhforumID3/4979.html#9