|
|
|
|
Gvan |
Среда, 13 Июля 2005, 12:24
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Здравствуйте, Уважаемые! Есть ли у кого руководство (с рабочими конфигами) по установке и настройке сервера и клиента OpenVPN под Windows ? Спасибо. P.S. Про встроенные стредства Win2k/2k3 server знаю. Интересует конкретно настройки OpenVPN.
|
|
|
|
|
Ответы
(1 - 29) |
kenm |
Среда, 13 Июля 2005, 12:40
|
Гуру
Профиль
Группа: Участник
Сообщений: 1106
Регистрация: 05.07.2002
Пользователь №: 2636
Конфигурация
Корпус: noname Процессор: Pentium III Материнская плата: ASUS Оперативная память: 256 Видеокарта: mx400 Жесткий диск (винчестер): WD 80gb Дисковод: 3.5" CD/DVD: не помню Модем: нет Сетевой адаптер: 3com 905b Звуковая плата: чтото там играет... Монитор: 17 Операционная система: Ubuntu 6.06 Прочее: --
|
а что именно интересует? у них на сайте вообщем-то довольно подробное описание конфигов есть... вот к примеру мой клиентский конфиг Код client dev tun proto tcp persist-key persist-tun remote mydomain.ru 80 ca ca.cer cert user.cer key user.txt tls-auth ta.key 1 comp-lzo resolv-retry infinite nobind
Сообщение отредактировал kenm - Среда, 13 Июля 2005, 12:40
--------------------
Тот прав, у кого больше прав.
|
|
|
|
|
Gvan |
Среда, 13 Июля 2005, 13:37
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
С клиентом более-менее понятно... А вот сервером... Хотелось бы для начала хоть тезисно: установка (зачем, например, устанавливается виртуальный адаптер и надо ли его настраивать на сервере/клиенте), конфигурационный файл сервера, маршрутизация, генерация ключей (например, нужно ли в хранилище ключей и сертификатов сервера, хранить клиентские ключи/сертификаты)
Забыл сказать, что vpn-сервер планируется использовать как для связи между офисами, так и для подключения отдельных клиентов...
Спасибо.
|
|
|
|
|
kenm |
Среда, 13 Июля 2005, 14:12
|
Гуру
Профиль
Группа: Участник
Сообщений: 1106
Регистрация: 05.07.2002
Пользователь №: 2636
Конфигурация
Корпус: noname Процессор: Pentium III Материнская плата: ASUS Оперативная память: 256 Видеокарта: mx400 Жесткий диск (винчестер): WD 80gb Дисковод: 3.5" CD/DVD: не помню Модем: нет Сетевой адаптер: 3com 905b Звуковая плата: чтото там играет... Монитор: 17 Операционная система: Ubuntu 6.06 Прочее: --
|
>>зачем, например, устанавливается виртуальный адаптер и надо ли его настраивать на сервере/клиенте "зачем" хм....хороший вопрос.... ответим так....- затем что бы все работало.... настраиваеть его через windows gui обычно ненужно >>конфигурационный файл сервера http://openvpn.net/howto.html>> маршрутизация ну например в конфиге сервера можно указать статический маршрут для клиента (как раз через тот самый виртуальный адаптер) >>генерация ключей (например, нужно ли в хранилище ключей и сертификатов сервера, хранить клиентские ключи/сертификаты) Для создания сертификатов используется OpenSSL, хранить или не хранить? - ну вдруг например у юзера будет утрачен сертификат....можно и похранить...
--------------------
Тот прав, у кого больше прав.
|
|
|
|
|
Gvan |
Среда, 13 Июля 2005, 14:57
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Хм... А тогда при подключении какой адрес будет назначен клиенту? Или клиенту никакой адрес не нужен? А если клиентов будет несколько, то их настройки будут отличаться только ключем и сертификатом?
|
|
|
|
|
kenm |
Среда, 13 Июля 2005, 15:09
|
Гуру
Профиль
Группа: Участник
Сообщений: 1106
Регистрация: 05.07.2002
Пользователь №: 2636
Конфигурация
Корпус: noname Процессор: Pentium III Материнская плата: ASUS Оперативная память: 256 Видеокарта: mx400 Жесткий диск (винчестер): WD 80gb Дисковод: 3.5" CD/DVD: не помню Модем: нет Сетевой адаптер: 3com 905b Звуковая плата: чтото там играет... Монитор: 17 Операционная система: Ubuntu 6.06 Прочее: --
|
>>А тогда при подключении какой адрес будет назначен клиенту можно использовать DHCP, есть резервирование IP за сертификатом. Можно и статический... >>Или клиенту никакой адрес не нужен? нужен >>А если клиентов будет несколько, то их настройки будут отличаться только ключем и сертификатом? совершенно верно
Сообщение отредактировал kenm - Среда, 13 Июля 2005, 15:09
--------------------
Тот прав, у кого больше прав.
|
|
|
|
|
Gvan |
Среда, 13 Июля 2005, 17:14
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Ок. Базовые знания о продукте получены, теперь покопаюсь сам. Спасибо!
|
|
|
|
|
Gvan |
Среда, 10 Августа 2005, 18:15
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Что-то я в ступоре... Никак не могу понять, как прописывать маршруты для клиентов и сервера... В параметрах конфигурации сервера я задал сеть 10.10.0.0 255.255.255.0 При запуске OpenVPN, серверу он назначает адрес 10.10.0.1 маску 255.255.255.252, шлюз отсутствует, адрес DHCP-сервера 10.10.0.2 Когда подключается клиент, то ему назначается адрес 10.10.0.6 маску 255.255.255.252, шлюз отсутствует, адрес DHCP-сервера 10.10.0.5 В результате, сервер не может пропинговать ни одного адреса, кроме 10.10.0.1, а клиент никого кроме собственного адреса 10.10.0.6 В голом остатке - клиент не видит не только сети за сервером, но и сам сервер попинговать не может... Есть соображения по исправлению ситуации?
|
|
|
|
|
Gvan |
Среда, 10 Августа 2005, 18:15
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Что-то я в ступоре... Никак не могу понять, как прописывать маршруты для клиентов и сервера... В параметрах конфигурации сервера я задал сеть 10.10.0.0 255.255.255.0 При запуске OpenVPN, серверу он назначает адрес 10.10.0.1 маску 255.255.255.252, шлюз отсутствует, адрес DHCP-сервера 10.10.0.2 Когда подключается клиент, то ему назначается адрес 10.10.0.6 маску 255.255.255.252, шлюз отсутствует, адрес DHCP-сервера 10.10.0.5 В результате, сервер не может пропинговать ни одного адреса, кроме 10.10.0.1, а клиент никого кроме собственного адреса 10.10.0.6 В голом остатке - клиент не видит не только сети за сервером, но и сам сервер попинговать не может... Есть соображения по исправлению ситуации?
|
|
|
|
|
kenm |
Среда, 10 Августа 2005, 22:25
|
Гуру
Профиль
Группа: Участник
Сообщений: 1106
Регистрация: 05.07.2002
Пользователь №: 2636
Конфигурация
Корпус: noname Процессор: Pentium III Материнская плата: ASUS Оперативная память: 256 Видеокарта: mx400 Жесткий диск (винчестер): WD 80gb Дисковод: 3.5" CD/DVD: не помню Модем: нет Сетевой адаптер: 3com 905b Звуковая плата: чтото там играет... Монитор: 17 Операционная система: Ubuntu 6.06 Прочее: --
|
конфиг полностью выложи pls
--------------------
Тот прав, у кого больше прав.
|
|
|
|
|
Gvan |
Четверг, 11 Августа 2005, 9:12
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Конфигурационный файл сервера (serverVPN.ovpn): # тип интерфейса dev tun # имя интерфейса dev-node "OpenVPN Adapter"
#укажем диапазон ip в vpn сети server 10.10.0.0 255.255.255.0
# маршрут vpn сети ; push "route 10.10.0.0 255.255.255.0" # маршут сети главного офиса push "route 192.168.20.0 255.255.255.0" # маршрут сети офиса подразделения push "route 192.168.16.0 255.255.255.0"
# чтобы vpn клиенты видели друг друга client-to-client
# Каталог с конфигурациями пользователей (непонятный параметр...) client-config-dir C:\\OpenVPN\\config\\ccd # Файл с описанием vpn-сети клиентов # использовать можно только пару адресов # в нашем случае для клиентов можно задавать адреса 10.10.0.x/32 ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt
# признак серверной конфигурации tls-server
# Указываем пути для сертификатов сервера # Сертификат для шифровки установки соединения dh C:\\OpenVPN\\ssl\\dh1024.pem # Сертификат центра сертификации ca C:\\OpenVPN\\ssl\\ca.crt # Сертификат сервера cert C:\\OpenVPN\\ssl\\ServerVPN.crt # Ключ сервера key C:\\OpenVPN\\ssl\\ServerVPN.key
# Указываем серверу, что работать будем по протоколу TCP proto tcp-server # Порт 8888 port 8888
# Включаем сжатие comp-lzo
# Использование интерфейс и ключ при рестарте сервера persist-tun persist-key
# Защита от DOS атак (для сервера после пути к ключу ставим 0) tls-auth C:\\OpenVPN\\ssl\\ta.key 0 # Время жизни неактивной сессии keepalive 10 120
# Пути к логам # Лог состояния (перезаписывается ежеминутно) status C:\\OpenVPN\\log\\openvpn-status.log # Системный лог log C:\\OpenVPN\\log\\openvpn.log
# Количество отладочной информации (от 0 до 9) в логах verb 3
Конфигурационный файл клиента (ClientVPN1.ovpn): dev tun
#Говорим, чтобы клиент забирал информацию о маршрутизации с сервера (см. push опции) client
# Адрес сервера, к которому подключаемся remote 82.aaa.bbb.ccc # Указываем по какому протоколу будет работать клиент proto tcp-client # и номер порта port 8888
# признак клиентской конфигурации tls-client
# Защита, от атаки "man in the middle" ("человек посередине") ns-cert-type server
# Указываем пути к сертификатам и ключам клиента (они были созданы ранее и находятся на сервере в папке C:\OpenVPN\ssl) # Сертификат центра сертификации ca C:\\OpenVPN\\ssl\\ca.crt # Сертификат клиента cert C:\\OpenVPN\\ssl\\ClientVPN1.crt # Ключ клиента key C:\\OpenVPN\\ssl\\ClientVPN1.key # Защита от DOS атак (для клиента, после пути к ключу, ставим 1) tls-auth C:\\OpenVPN\\ssl\\ta.key 1
# Включаем сжатие comp-lzo
# (надо разобраться, что за ерунда) tun-mtu 1500 tun-mtu-extra 32 mssfix 1450
# Пути к логам # Лог состояния (перезаписывается ежеминутно) status C:\\OpenVPN\\log\\openvpn-status.log # Системный лог log C:\\OpenVPN\\log\\openvpn.log
# Степень детализации отладочной информации (от 0 до 9) в логах verb 3
P.S. Клиент к серверу подключается без проблем.
|
|
|
|
|
kenm |
Четверг, 11 Августа 2005, 11:01
|
Гуру
Профиль
Группа: Участник
Сообщений: 1106
Регистрация: 05.07.2002
Пользователь №: 2636
Конфигурация
Корпус: noname Процессор: Pentium III Материнская плата: ASUS Оперативная память: 256 Видеокарта: mx400 Жесткий диск (винчестер): WD 80gb Дисковод: 3.5" CD/DVD: не помню Модем: нет Сетевой адаптер: 3com 905b Звуковая плата: чтото там играет... Монитор: 17 Операционная система: Ubuntu 6.06 Прочее: --
|
1. включен ли на сервере роутинг? 2. Присутствует ли на сервере интерфесы с IP из этих сетей? 192.168.20.0 255.255.255.0 192.168.16.0 255.255.255.0 3. Есть ли на сервере FW,NAT etc?
--------------------
Тот прав, у кого больше прав.
|
|
|
|
|
Gvan |
Четверг, 11 Августа 2005, 11:50
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
1. На сервере работает стандартный RRAS, для связи через тунель с сетью 192.168.0.0/21. Тунель организован с использованием RRAS. 2. На сервере 2 сетевых интерфейса: один с реальным ip, а другой смотрит в лок. сеть 192.168.16.0/24. Его адрес 192.168.16.10. Сеть 192.168.20.0/24 находится за клиентом. У клиента один сетевой интерфейс с адресом 192.168.20.95. Клиент попадает на сервер через NAT своей сети. 3. На сервере на время экспериментов fw отключен. NAT отсутствует. Есть только статический маршрут для попадания юзеров из внутренней сети 192.168.16.0/24 в сеть своего офиса 192.168.0.0/21 через тунель. Но, мне так кажется, это не должно мешать для связи сетей 192.168.20.0/24 и 192.168.16.0/24... Хотя, возможно, я что-то упускаю из виду...
Забыл сказать, ОС сервера - Win2k srv SP4, ОС клиента - WinXP SP1.
|
|
|
|
|
kenm |
Пятница, 12 Августа 2005, 9:58
|
Гуру
Профиль
Группа: Участник
Сообщений: 1106
Регистрация: 05.07.2002
Пользователь №: 2636
Конфигурация
Корпус: noname Процессор: Pentium III Материнская плата: ASUS Оперативная память: 256 Видеокарта: mx400 Жесткий диск (винчестер): WD 80gb Дисковод: 3.5" CD/DVD: не помню Модем: нет Сетевой адаптер: 3com 905b Звуковая плата: чтото там играет... Монитор: 17 Операционная система: Ubuntu 6.06 Прочее: --
|
>>В результате, сервер не может пропинговать ни одного адреса, кроме 10.10.0.1, а клиент никого кроме собственного адреса 10.10.0.6
закоментируйте push "route 192.168.20.0 255.255.255.0", возможно проблема в этом.
>> dev-node "OpenVPN Adapter" избыточный параметр
>>proto tcp-client imho нужно писать просто - proto tcp
опять же imho, в вашем случае я бы использовал dev tap
Сообщение отредактировал kenm - Пятница, 12 Августа 2005, 10:10
--------------------
Тот прав, у кого больше прав.
|
|
|
|
|
Gvan |
Пятница, 12 Августа 2005, 17:18
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
1) Закомментировал маршрут на сеть 192.168.20.0 (это верный ход, т.к. если его не убрать, клиент пытается попасть в свою сеть через vpn-сервер) 2) Избыточный параметр dev-node "OpenVPN Adapter" удалил 3) Команду proto tcp-server и proto tcp-client изменил на proto tcp Результат нулевой...
Насколько я понял "dev tun" нужно использовать, если предполагается много клиентов, а dev tap, если один клиент и один сервер... У меня предполагается один сервер и много клиентов... Однако, изменил dev tun на dev tap... Результаты следующие: клиент видит сервер и сеть за ним, но сервер не видит сеть за клиентом... Может быть надо прописывать какие-нибудь "индивидуальные" маршруты для сервера и клиента? Дело в том, что через этот сервер планируется соединить 4 сети, которые должны "видеть" друг друга...
Если не сложно, можно посмотреть на работающий серверный конфиг?
Спасибо!
|
|
|
|
|
kenm |
Пятница, 12 Августа 2005, 22:10
|
Гуру
Профиль
Группа: Участник
Сообщений: 1106
Регистрация: 05.07.2002
Пользователь №: 2636
Конфигурация
Корпус: noname Процессор: Pentium III Материнская плата: ASUS Оперативная память: 256 Видеокарта: mx400 Жесткий диск (винчестер): WD 80gb Дисковод: 3.5" CD/DVD: не помню Модем: нет Сетевой адаптер: 3com 905b Звуковая плата: чтото там играет... Монитор: 17 Операционная система: Ubuntu 6.06 Прочее: --
|
Вот например мой серверный конфиг (предназначен для подключения "домашних" пользователей) local xxx.xxx.11.194 port 80 proto tcp dev tun dev-node VpnNet1 server 172.16.50.0 255.255.255.0 dh dh1024.pem ca ca.cer cert vpn.crt key vpn.key ifconfig-pool-persist ipp.txt push "route xxx.xx.11.0 255.255.255.128" ;push "route 192.168.20.0 255.255.255.0" tls-auth ta.key 0 comp-lzo keepalive 10 120 max-clients 20 status openvpn-status.log log openvpn.log log-append openvpn.log verb 4 >>Результат нулевой... >>Результаты следующие: клиент видит сервер и сеть за ним, но сервер не видит сеть за клиентом... Почему же нулевой...все у вас получилось правильно... на сервере просто ручками маршрут добавьте route add -p 192.168.20.0 mask 255.255.255.0 10.10.0.2 и сеточка за клиентом прекрасно увидится.... >>dev tap, если один клиент и один сервер не совсем так, dev tap позволяет подключать несколько клиентов...
Сообщение отредактировал kenm - Пятница, 12 Августа 2005, 22:31
--------------------
Тот прав, у кого больше прав.
|
|
|
|
|
Gvan |
Вторник, 16 Августа 2005, 9:03
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Ни с того ни с сего, заработал dev tun... Однако в сеть, которая находится за клиентом, никак не могу попасть (со стороны сервера)... Маршруты на сервере я прописывал как штатными средствами винды (route add...), так и через конфигурационный файл сервера (route 192.168.20.0 255.255.255.0 10.10.0.2). Проверка route print показывает, что маршрут прописан (не половой разницы каким способом его прописывать, но через конф. файл сервера удобнее). Максимум, чего добился - это "увидеть" адрес самого клиента, 192.168.20.95. Но за клиентом, других компов не видно (на "других" компах маршруты также прописаны)... а так же, компы за клиентом не видят сети за сервером и самого сервера, даже по внутреннему vpn адресу 10.10.0.1... Может дело непосредственно в самом клиенте? У него ОС WinXP SP1...
P.S. 1) А можно поподробнее про отличия между dev tun и dev tap? 2) Какой правильный формат файла ipp.txt?
|
|
|
|
|
Gvan |
Среда, 17 Августа 2005, 13:44
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Я разобрался с этим зверем))) Если кому понадобится могу выложить подробную инструкцию по настройке, и, как следствие, пример объединения нескольких сетей посредством vpn с использованием чудо-продукта OpenVPN v2.0 for Windows... Дело в том, что в интернете достаточно много информации по данному вопросу, но все как-то разрозненно...
|
|
|
|
|
Grizzly |
Воскресенье, 21 Августа 2005, 10:41
|
Участник
Профиль
Группа: Гость форума
Сообщений: 1
Регистрация: 21.08.2005
Пользователь №: 9309
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Сообщение отредактировал Grizzly - Вторник, 23 Августа 2005, 8:26
|
|
|
|
|
Gvan |
Вторник, 23 Августа 2005, 14:15
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Задача. Есть главный офис и 2 подразделения. В офисе есть сервер с реальным ip-адресом (123.123.123.123). Нужно объединить сеть офиса и сети 2-х подразделений в одну сеть. Адресные пространства локальных сетей: офис – 192.168.16.0/24 (mask 255.255.255.0) подразделение 1 – 192.168.60.0/24 (mask 255.255.255.0) подразделение 2 – 192.168.50.0/24 (mask 255.255.255.0) ОС на сервере офиса Win2k server SP4, сервер подразделения 1 – WinXP Prof SP1, сервер подразделения 2 – Win2k3 server EE SP1. Сервер в главном офисе будет VPN-сервером, сервера в подразделениях – его клиенты. На всех серверах должна работать служба "DHCP - клиент"
Установка OpenVPN (общие правила для сервера и клиентов)
1. Рекомендуется устанавливать в каталог, в полном пути которого не будет пробелов: c:\OpenVPN
2. Для ключей и сертификатов создаём папку: c:\OpenVPN\ssl
Готовим сервер к выдаче сертификатов.
1. Копируем из папки C:\OpenVPN\easy-rsa в папку c:\OpenVPN\ssl файлы index.txt.start и serial.start и переименовываем их в index.txt и serial
2. В каталоге C:\OpenVPN\easy-rsa делаем копии файлов vars.bat.sample и openssl.cnf.sample и переименовываем их в vars.bat и openssl.cnf
3. Редактируем vars.bat Изменяем пути: - set HOME=c:\OpenVPN\easy-rsa - set KEY_DIR=c:\OpenVPN\ssl Кроме того, можем изменить длину ключа - KEY_SIZE на значение 2048 (я оставил по умолчанию set KEY_SIZE=1024) и значения для некоторых полей для будущих сертификатов: - set KEY_COUNTRY=RU - set KEY_PROVINCE=Moscow - set KEY_CITY=Moscow - set KEY_ORG=MyCompany - set KEY_EMAIL=admin@domain.ru ВАЖНО! - поле Organization Name (KEY_ORG) должно совпадать с тем, что будет указано при генерации сертификата центра сертификации (ca.crt).
4. Редактируем openssl.cnf Меняем следующие значения (обратить внимание на двойной слеш): - database = $dir\\index.txt - serial = $dir\\serial А также, для будущего удобства, можно изменить следующее: - раскомментировать параметр organizationalUnitName_default и задать ему какое-нибудь значение: organizationalUnitName_default = My Department
5. Создаем папку C:\OpenVPN\config\ccd для будущих конфигураций пользователей.
Создание сертификатов и ключей.
Примечания: - Все последующие действия производятся из командной строки, которая открыта на протяжении всего процесса генерации ключей - Перед глазами лучше держать открытые каталоги c:\OpenVPN\easy-rsa (чтобы в названиях батников не путаться) и c:\OpenVPN\ssl (чтобы видеть результаты)
1. Запускаем cmd
2. Объявлем переменные (файл vars.bat)
3. Создаем корневой сертификат и ключ на 10 лет (кстати, если мы все правильно прописали в файлах vars.bat и openssl.cnf, то можно просто нажимать кнопку "Enter") build-ca.bat или openssl req -days 3650 -nodes -new -x509 -keyout %KEY_DIR%\ca.key -out %KEY_DIR%\ca.crt -config %KEY_CONFIG%
4. Создаем сертификат и ключ для сервера, и подписываем его в нашем центре сертификации (на 2 вопроса при подписи созданного сертификата, ответить утвердительно). Запускаем батник с именем сервера, в качестве параметра build-key-server.bat ServerVPN или openssl req -days 3650 -nodes -new -keyout %KEY_DIR%\ServerVPN.key -out %KEY_DIR%\ServerVPN.csr -config %KEY_CONFIG% openssl ca -days 3650 -out %KEY_DIR%\ServerVPN.crt -in %KEY_DIR%\ServerVPN.csr -extensions server -config %KEY_CONFIG% В результате должны получиться файлы ServerVPN.crt, ServerVPN.csr, ServerVPN.key
5. Создаем сертификаты и ключи для клиентов, и подписываем их в нашем центре сертификации. ВНИМАНИЕ! В процессе генерации сертификата будет запрос на ввод значения для поля commonName, - для клиентов имена должны различаться (для подразделения 1 – commonName=Client1, для подразделения 2 – commonName=Client2). Запускаем батник с именем клиента, в качестве параметра (не забываем про Organization Name, см. выше) build-key.bat ClientVPN1 или openssl req -days 3650 -nodes -new -keyout %KEY_DIR%\ClientVPN1.key -out %KEY_DIR%\ClientVPN1.csr -config %KEY_CONFIG% openssl ca -days 3650 -out %KEY_DIR%\ClientVPN1.crt -in %KEY_DIR%\ClientVPN1.csr -config %KEY_CONFIG% В результате должны получиться файлы ClientVPN1.crt, ClientVPN1.csr, ClientVPN1.key Аналогично и для второго подразделения, только имя файла сертификата (не путать с commonName) изменил на ClientVPN2.
6. Создаем ta-ключ для защиты от DOS-атак: openvpn --genkey --secret C:\OpenVPN\ssl\ta.key
7. Создаем ключик Diffie-Hellman (сертификат для шифрования установки соединения, выполняется долго) build-dh.bat или openssl dhparam -out %KEY_DIR%/dh%KEY_SIZE%.pem %KEY_SIZE%
Конфигурационный файл сервера.
1. Создаем в папке C:\OpenVPN\config файл с названием serverVPN.ovpn
2. Открываем его и вставляем туда нижеследующее содержание: # тип интерфейса dev tun
# имя интерфейса (должно совпадать с названием интерфейса в виндовс) - необязательный параметр # dev-node "OpenVPN Adapter"
# Указываем серверу, что работать будем по протоколу TCP proto tcp-server
# Порт 8888 port 8888
# признак серверной конфигурации tls-server
#укажем ip сервера в vpn сети (иными словами – виртуальное адресное пространство между клиентом и сервером) server 10.10.0.0 255.255.255.0
# Включаем сжатие comp-lzo
# Метод добавления маршрута (актуально только для Windows) # route-method exe # маршрут для сервера, чтобы видеть сети 192.168.60.x и 192.168.50.x # однако, чтобы клиенты из этой подсети видели сеть за сервером, необходимо прописать # разрешающее правило для самого клиента в директории ccd route 192.168.60.0 255.255.255.0 10.10.0.2 route 192.168.50.0 255.255.255.0 10.10.0.2
# маршрут, который добавляется в таблицу КАЖДОГО клиента, чтобы видеть сеть за сервером # здесь он закомментирован, т.к. использовались персональные файлы клиентов # push "route 192.168.16.0 255.255.255.0"
# Разрешает vpn-клиентам видеть друг друга client-to-client
# Каталог с конфигурациями пользователей # Должен быть задан предварительно client-config-dir C:\\OpenVPN\\config\\ccd # Файл с описанием vpn-сетей между клиентом и сервером # Если при старте сервера он не существует, то создается автоматически ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt
# Указываем пути для сертификатов сервера # Сертификат для шифровки установки соединения dh C:\\OpenVPN\\ssl\\dh1024.pem # Сертификат центра сертификации ca C:\\OpenVPN\\ssl\\ca.crt # Сертификат сервера cert C:\\OpenVPN\\ssl\\ServerVPN.crt # Ключ сервера key C:\\OpenVPN\\ssl\\ServerVPN.key
# Использование интерфейса и ключа при рестарте сервера persist-tun persist-key
# Защита от DOS атак (для сервера, после пути к ключу, ставим 0) tls-auth C:\\OpenVPN\\ssl\\ta.key 0
tun-mtu 1500 tun-mtu-extra 32 mssfix 1450
# Время жизни неактивной сессии keepalive 10 120
# Пути к логам # Лог состояния (перезаписывается ежеминутно) status C:\\OpenVPN\\log\\openvpn-status.log # Системный лог log C:\\OpenVPN\\log\\openvpn.log
# Количество отладочной информации (от 0 до 9) в логах verb 3
3. Остановимся поподробнее на каталоге C:\OpenVPN\config\ccd. В него мы положим 2 файла с дополнительными персональными настройками для каждого клиента. Для 1-го клиента в этом каталоге нужно создать файл без расширения одноименного названия (client1), в который нужно вписать следующее: # маршрут для клиента client1, чтобы видеть сеть за сервером, т.е. 192.168.16.0/24 push "route 192.168.16.0 255.255.255.0" # маршрут для клиента client1, чтобы видеть сеть другого клиента, т.е. 192.168.50.0/24 push "route 192.168.50.0 255.255.255.0" # Правило, разрешающее работу клиентов из сети 192.168.60.0/24 с сетью за vpn-сервером. iroute 192.168.60.0 255.255.255.0 # Отключить пользователя (для этого нужно раскомментировать параметр disable) # disable
Для второго клиента файл называется client2 и содержит: # маршрут для клиента client2, чтобы видеть сеть за сервером, т.е. 192.168.16.0/24 push "route 192.168.16.0 255.255.255.0" # маршрут для клиента client2, чтобы видеть сеть другого клиента, т.е. 192.168.60.0/24 push "route 192.168.60.0 255.255.255.0" # Правило, разрешающее работу клиентов из сети 192.168.50.0/24 с сетью за vpn-сервером. iroute 192.168.50.0 255.255.255.0 # Отключить пользователя (для этого нужно раскомментировать параметр disable) # disable
4. Содержание файла ipp.txt следующее: client1,10.10.0.4 client2,10.10.0.8 Подробности см. в результатах выполнения openvpn.exe --show-valid-subnets
5. Запускаем службу "OpenVPN service"
6. Если все правильно, то в трее пропадет значок "Сетевой кабель не подключен" для интерфейса "TAP-Win32 Adapter V8"
7. Если что-то не срослось, см. описание причины в логах.
Подготовка конфигурационных файлов для клиентов.
1. Создаем директорию (c:\OpenVPN\config&keys-clients), где будем хранить конфиги (c:\OpenVPN\config&keys-clients\<ClientName>), сертификаты и ключи (c:\OpenVPN\config&keys-clients\<ClientName>\keys)
2. Перемещаем все созданные ранее сертификаты и ключи клиентов (см. в папке c:\OpenVPN\ssl) в соответствующие клиентские каталоги, а так же копируем, для удобства, сертификат центра сертификации и ta-ключ. Если конкретно, то для клиента Client1 в каталоге c:\OpenVPN\config&keys-clients\Client1\keys должны лежать следующие файлы ca.crt, ClientVPN1.crt, ClientVPN1.key, ta.key Аналогично и для Client2
3. Создаем для клиента Client1 конфигурационный файл ClientVPN1.ovpn в папке c:\OpenVPN\config&keys-clients\Client1. Открываем его на редактирование и пишем в него следующее: dev tun # dev tap
# Имя интерфейса # dev-node "OpenVPN Adapter"
# Указываем по какому протоколу будет работать клиент proto tcp
# Адрес сервера, к которому подключаемся remote 123.123.123.123 8888
# Метод добавления маршрута # route-method exe
# Пауза перед добавлением маршрутов (в секундах) route-delay 3
#Говорим, чтобы клиент забирал информацию о маршрутизации с сервера (push опции) client
# признак клиентской конфигурации tls-client
# Защита, от атаки "man in the middle" ("человек посередине") ns-cert-type server
# Указываем пути к сертификатам и ключам клиента (они были созданы ранее и находятся на сервере в папке c:OpenVPNconfig&keys-clients Client1keys) # Сертификат центра сертификации ca C:\\OpenVPN\\ssl\\ca.crt # Сертификат клиента cert C:\\OpenVPN\\ssl\\ClientVPN1.crt # Ключ клиента key C:\\OpenVPN\\ssl\\ClientVPN1.key # Защита от DOS атак (для клиента, после пути к ключу, ставим 1) tls-auth C:\\OpenVPN\\ssl\\ta.key 1
# Включаем сжатие comp-lzo
# (надо разобраться, что за ерунда) tun-mtu 1500 tun-mtu-extra 32 mssfix 1450
ping-restart 60 ping 10
# Пути к логам # Лог состояния (перезаписывается ежеминутно) status C:\\OpenVPN\\log\\openvpn-status.log # Системный лог status C:\\OpenVPN\\log\\openvpn.log
# Степень детализации отладочной информации (от 0 до 9) в логах verb 3
4. Для второго клиента Client2, создаем файл ClientVPN2.ovpn в папке c:\OpenVPN\config&keys-clients\Client2 где все, кроме названий файлов сертификатов и ключей, будет аналогично Client1.
Установка OpenVPN непосредственно на клиенте client1 (client2 - аналогично)
1. Необходимо разрешить пересылку пакетов между интерфейсами. Для этого меняем ключ реестра HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters для параметра IPEnableRouter на “1” и перезагружаемся. Это нужно сделать и для сервера в главном офисе
2. Устанавливаем OpenVPN в c:\OpenVPN
3. Копируем соответствующие сертификаты и ключи, т.е. все файлы из директории на сервере c:\OpenVPN\config&keys-clients\Client1\keys, в папку c:\OpenVPN\ssl, а файл ClientVPN1.ovpn из директории на сервере c:\OpenVPN\config&keys-clients\Client1 в папку c:\OpenVPN\config
4. Запускаем службу "OpenVPN Service"
5. Если все нормально, то в трее пропадет значок "Сетевой кабель не подключен" для интерфейса "TAP-Win32 Adapter V8"
6. Аналогичная процедура и для client2. Разница только в ключах и сертификатах.
Для того, чтобы конечные пользователи разных подсетей видели друг друга, не забываем им прописать или соответствующий шлюз или постоянный маршрут (надеюсь про route add… все знают).
Сообщение отредактировал Gvan - Вторник, 25 Октября 2005, 11:57
|
|
|
|
|
Gvan |
Понедельник, 29 Августа 2005, 17:25
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
В дополнение к вышесказанному.
В некоторых случаях наблюдается следующая ситуация. После установки связи vpn-сервера и vpn-клиентов, сам vpn-сервер не "видит" сети за vpn-клиентами, и сами vpn-клиенты не "видят" сеть за vpn-сервером и за другими vpn-клиентами... Хотя обычные пользовательские машины, находящиеся в разных подсетях, "видят" друг друга прекрасно.
Не буду пытаться объяснить эту ситуацию (было бы интересно послушать объяснение гуру), но лечится это следующим образом. На любом (не на каждом, а именно - на любом) из клиентов за vpn-сервером и за vpn-клиентом прописываем маршрут на внутренние адреса между vpn-сервером и vpn-клиентом. Проверяем правильность написания маршрута пингом на какой-нибудь удалённый vpn-хост.... и все всё видят.
Если на конкретном примере, то выглядит это следующим образом. Допустим, сеть офиса 192.168.16.0/24 с внутренним адресом vpn-хоста 192.168.16.10. Сеть подразделения 1 192.168.60.0/24, с внутренним адресом 192.168.60.45. "Внутренняя" сеть между vpn-хостами 10.10.0.0/24. Клиенты из этих подсетей "видят" друг-друга, а vpn-хосты не видят сетей друг за другом. Выбираем произвольного клиента (допустим 192.168.16.8) за сервером и прописываем ему маршрут на внутреннюю сеть vpn-хостов route -p add 10.10.0.0 mask 255.255.255.0 192.168.16.10 Проверяем пингом на адрес 10.10.0.4. После этого наш vpn-сервер начинает "видеть" сеть 192.168.60.0/24. Аналогично и для другой сети.
И ещё. Все настройки, для чистоты эксперимента, я проводил при отключенной службе "Маршрутизация и удаленный доступ". Параллельная работа этих двух служб, скорее всего, возможна (возможно потребуется вручную назначать статические маршруты), но так как в "несерверных" редакциях Windows она урезана, то для большей универсальности и использования OpenVPN на любых версиях Windows, я её отключил.
Возможно объяснения туманные, но если что-то упустил или написал непонятно, спрашивайте.
Сообщение отредактировал Gvan - Понедельник, 24 Октября 2005, 10:06
|
|
|
|
|
kenm |
Вторник, 30 Августа 2005, 13:13
|
Гуру
Профиль
Группа: Участник
Сообщений: 1106
Регистрация: 05.07.2002
Пользователь №: 2636
Конфигурация
Корпус: noname Процессор: Pentium III Материнская плата: ASUS Оперативная память: 256 Видеокарта: mx400 Жесткий диск (винчестер): WD 80gb Дисковод: 3.5" CD/DVD: не помню Модем: нет Сетевой адаптер: 3com 905b Звуковая плата: чтото там играет... Монитор: 17 Операционная система: Ubuntu 6.06 Прочее: --
|
IMHO 1) В Вашем варианте все же нужно использовать dev tap, и не будите иметь таких проблем. 2) Мне честно говоря лениво поднимать стенд для исследования проблемы хотя на самом деле очень любопытно каким образом это происходит. Если возможно пришлите мне пожалуйста таблицы маршрутизации следующих машин client-vpnclient-vpnserver-client до и после прописывания статического маршрута который помогает исправить проблему. Лично у меня есть предположение что очень чудно работает icmp type 5
--------------------
Тот прав, у кого больше прав.
|
|
|
|
|
Gvan |
Среда, 31 Августа 2005, 13:29
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Цитата 1) В Вашем варианте все же нужно использовать dev tap, и не будите иметь таких проблем. Как я понял из описания, dev tap используется для организации моста... Меня это не слишком устраивает... Цитата Если возможно пришлите мне пожалуйста таблицы маршрутизации следующих машин client-vpnclient-vpnserver-client до и после прописывания статического маршрута который помогает исправить проблему. В том-то и дело, что ничего в таблицах не меняется. Для vpnclient-vpnserver маршруты назначаются из конфигов OpenVPN. Я их вручную не правил. Для клиентов я вручную прописывал маршруты в другие сети. Причем они друг друга не видели. Потом, на одном из клиентов, я прописал маршрут для внутренних адресов между vpnclient и vpnserver. То же самое сделал и на одном из клиентов другой сети. Проверил таблицы маршрутизации на vpnclient и vpnserver - ничего не изменилось. Проверил, видят ли клиенты, у которых прописан маршрут на внутреннюю сеть между vpnclient и vpnserver, друг друга - видят. Беру других клиентов, которым прописываю маршруты только для другой сети (для внутренней сети между vpnclient и vpnserver маршрут не прописан). Они все видят прекрасно... Проверил таблицы маршрутизации vpnclient и vpnserver - ничего не изменилось.
|
|
|
|
|
kenm |
Среда, 31 Августа 2005, 14:05
|
Гуру
Профиль
Группа: Участник
Сообщений: 1106
Регистрация: 05.07.2002
Пользователь №: 2636
Конфигурация
Корпус: noname Процессор: Pentium III Материнская плата: ASUS Оперативная память: 256 Видеокарта: mx400 Жесткий диск (винчестер): WD 80gb Дисковод: 3.5" CD/DVD: не помню Модем: нет Сетевой адаптер: 3com 905b Звуковая плата: чтото там играет... Монитор: 17 Операционная система: Ubuntu 6.06 Прочее: --
|
Ну на самом деле мост это понятие растяжимое....какие только технологии не называют мостом (например свич - тоже в своем роде набор мостов). Цитата # "dev tun" will create a routed IP tunnel, # "dev tap" will create an ethernet tunnel. #Use "dev tap" if you are ethernet bridging.
IMHO, в данной конкретной фразе идет речь всего лишь о том что для клиента-сервера среда соединения будет выглядить как эзернет, без всяких промежуточных узлов маршрутизации действительно этакий "сетевой мост", и это абсолютно не значит что сети за клиентом и за сервером увидят друг друга как в "мост в стиле XP". данная организация сети наиболее подходящая для обедениеня например сетей филиалов с постоянным подключением. Замечу что в вашем конкретном случае вы просто "поставили" лишний "маршрутизатор" между сервером и клиентом в котором совершенно нет необходимости ибо они просто могли бы общаться непосредственно друг с другом напрямую. dev tun наиболее удобен для подключения "конечных" пользователей. Сообщение отредактировал kenm - Среда, 31 Августа 2005, 14:09
--------------------
Тот прав, у кого больше прав.
|
|
|
|
|
Gvan |
Среда, 31 Августа 2005, 14:28
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Цитата dev tun наиболее удобен для подключения "конечных" пользователей. Дело в том, что мне нужно объединить несколько сетей, а так же обеспечить доступ и "конечных" пользователей, скажем так, из дома... Поэтому я выбрал dev tun. Но мне, в принципе, ничего не мешает попробовать использовать dev tap... По крайней мере, пока вся эта затея находится в состоянии тестирования))) Кстати, а может ли сервер выступать и в качестве клиента для другого сервера? Я пытался стартануть службу с двумя ovpn-файлами (серверным и клиентским) в каталоге конфигурации... С клиентской частью какие-то проблемы...
|
|
|
|
|
kenm |
Среда, 31 Августа 2005, 14:47
|
Гуру
Профиль
Группа: Участник
Сообщений: 1106
Регистрация: 05.07.2002
Пользователь №: 2636
Конфигурация
Корпус: noname Процессор: Pentium III Материнская плата: ASUS Оперативная память: 256 Видеокарта: mx400 Жесткий диск (винчестер): WD 80gb Дисковод: 3.5" CD/DVD: не помню Модем: нет Сетевой адаптер: 3com 905b Звуковая плата: чтото там играет... Монитор: 17 Операционная система: Ubuntu 6.06 Прочее: --
|
Цитата(Gvan @ Среда, 31 Августа 2005, 11:28) Цитата dev tun наиболее удобен для подключения "конечных" пользователей. Дело в том, что мне нужно объединить несколько сетей, а так же обеспечить доступ и "конечных" пользователей, скажем так, из дома... Поэтому я выбрал dev tun. Но мне, в принципе, ничего не мешает попробовать использовать dev tap... По крайней мере, пока вся эта затея находится в состоянии тестирования))) Кстати, а может ли сервер выступать и в качестве клиента для другого сервера? Я пытался стартануть службу с двумя ovpn-файлами (серверным и клиентским) в каталоге конфигурации... С клиентской частью какие-то проблемы... На самом деле и на первую и на вторую часть ответ один просто используйте насколько процессов OpenVPN с своими конфигами ( я правда не стал пытаться оформить их как сервисы а просто запускаю все скриптом при загрузке ) ручками добавляется еще один тап адаптер ему присваивается имя которое указывается в конфиге как раз в том самом dev-node
--------------------
Тот прав, у кого больше прав.
|
|
|
|
|
Gvan |
Среда, 31 Августа 2005, 15:27
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Цитата На самом деле и на первую и на вторую часть ответ один просто используйте насколько процессов OpenVPN с своими конфигами ( я правда не стал пытаться оформить их как сервисы а просто запускаю все скриптом при загрузке ) ручками добавляется еще один тап адаптер ему присваивается имя которое указывается в конфиге как раз в том самом dev-node Гениально! Обязательно попробую.
|
|
|
|
|
Yustus[ZX] |
Вторник, 06 Сентября 2005, 10:51
|
Участник
Профиль
Группа: Гость форума
Сообщений: 2
Регистрация: 06.09.2005
Пользователь №: 9421
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Всем привет. Вопрос в следующем - для начала настроил ВПН-сервер на своей машине, как указано в примере Gvan, стартовал службу, и у меня отключился весь трафик через локальный интерфейс. С маршрутизацией пока не копался, ибо до этого не сталкивался с ней особо в виндах. Подскажите, как быть, чтобы у меня на "сервере" висел и ВПН-интерфейс, и была доступна с этого же "сервера" моя локалка? Спасибо.
Сообщение отредактировал Yustus[ZX] - Вторник, 06 Сентября 2005, 17:37
|
|
|
|
|
Yustus[ZX] |
Вторник, 06 Сентября 2005, 15:18
|
Участник
Профиль
Группа: Гость форума
Сообщений: 2
Регистрация: 06.09.2005
Пользователь №: 9421
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Попробовал подключить клиента.. получил такое: В файле ClientVPN1.log (на клиенте): 'route' is not recognized as an internal or external command, operable program or batch file. В файле openvpn.log (на клиенте): Tue Sep 06 18:10:36 2005 OpenVPN 2.0.2 Win32-MinGW [SSL] [LZO] built on Aug 25 2005 Tue Sep 06 18:10:36 2005 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port. Tue Sep 06 18:10:36 2005 Control Channel Authentication: using 'C:\OpenVPN\ssl\ta.key' as a OpenVPN static key file Tue Sep 06 18:10:36 2005 LZO compression initialized Tue Sep 06 18:10:36 2005 Attempting to establish TCP connection with 192.168.0.101:8888 Tue Sep 06 18:10:36 2005 TCP connection established with 192.168.0.101:8888 Tue Sep 06 18:10:36 2005 TCPv4_CLIENT link local: [undef] Tue Sep 06 18:10:36 2005 TCPv4_CLIENT link remote: 192.168.0.101:8888 Tue Sep 06 18:10:37 2005 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1576', remote='link-mtu 1544' Tue Sep 06 18:10:37 2005 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1532', remote='tun-mtu 1500' Tue Sep 06 18:10:37 2005 [ServerVPN] Peer Connection Initiated with 192.168.0.101:8888 Tue Sep 06 18:10:38 2005 TAP-WIN32 device [OpenVPN] opened: \\.\Global\{A0981F51-DCCC-4555-89E9-1E1D102499C9}.tap Tue Sep 06 18:10:38 2005 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.10.0.10/255.255.255.252 on interface {A0981F51-DCCC-4555-89E9-1E1D102499C9} [DHCP-serv: 10.10.0.9, lease-time: 31536000] Tue Sep 06 18:10:38 2005 Successful ARP Flush on interface [65540] {A0981F51-DCCC-4555-89E9-1E1D102499C9} Tue Sep 06 18:10:41 2005 ERROR: Windows route add command failed: system() returned error code 1 Tue Sep 06 18:10:41 2005 Initialization Sequence Completed Tue Sep 06 18:10:49 2005 Connection reset, restarting [-1] Tue Sep 06 18:10:49 2005 SIGUSR1[soft,connection-reset] received, process restarting В файле openvpn.log (на сервере): Tue Sep 06 18:16:03 2005 OpenVPN 2.0.2 Win32-MinGW [SSL] [LZO] built on Aug 25 2005 Tue Sep 06 18:16:04 2005 Diffie-Hellman initialized with 1024 bit key Tue Sep 06 18:16:04 2005 Control Channel Authentication: using 'C:\OpenVPN\ssl\ta.key' as a OpenVPN static key file Tue Sep 06 18:16:04 2005 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Tue Sep 06 18:16:04 2005 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Tue Sep 06 18:16:04 2005 TLS-Auth MTU parms [ L:1544 D:168 EF:68 EB:0 ET:0 EL:0 ] Tue Sep 06 18:16:04 2005 TAP-WIN32 device [OpenVPN] opened: \\.\Global\{E41CE5C3-043F-4B6F-B425-E7DDFB529248}.tap Tue Sep 06 18:16:04 2005 TAP-Win32 Driver Version 8.1 Tue Sep 06 18:16:04 2005 TAP-Win32 MTU=1500 Tue Sep 06 18:16:04 2005 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.10.0.1/255.255.255.252 on interface {E41CE5C3-043F-4B6F-B425-E7DDFB529248} [DHCP-serv: 10.10.0.2, lease-time: 31536000] Tue Sep 06 18:16:04 2005 Sleeping for 10 seconds... Tue Sep 06 18:16:14 2005 Successful ARP Flush on interface [3] {E41CE5C3-043F-4B6F-B425-E7DDFB529248} Tue Sep 06 18:16:14 2005 route ADD 192.168.0.0 MASK 255.255.255.0 10.10.0.2 Tue Sep 06 18:16:14 2005 route ADD 10.10.0.0 MASK 255.255.255.0 10.10.0.2 Tue Sep 06 18:16:14 2005 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ] Tue Sep 06 18:16:14 2005 Listening for incoming TCP connection on [undef]:8888 Tue Sep 06 18:16:14 2005 TCPv4_SERVER link local (bound): [undef]:8888 Tue Sep 06 18:16:14 2005 TCPv4_SERVER link remote: [undef] Tue Sep 06 18:16:14 2005 MULTI: multi_init called, r=256 v=256 Tue Sep 06 18:16:14 2005 IFCONFIG POOL: base=10.10.0.4 size=62 Tue Sep 06 18:16:14 2005 IFCONFIG POOL LIST Tue Sep 06 18:16:14 2005 client1,10.10.0.4 Tue Sep 06 18:16:14 2005 ClientVPN1,10.10.0.8 Tue Sep 06 18:16:14 2005 MULTI: TCP INIT maxclients=60 maxevents=64 Tue Sep 06 18:16:14 2005 Initialization Sequence Completed Tue Sep 06 18:16:16 2005 MULTI: multi_create_instance called Tue Sep 06 18:16:16 2005 Re-using SSL/TLS context Tue Sep 06 18:16:16 2005 LZO compression initialized Tue Sep 06 18:16:16 2005 Control Channel MTU parms [ L:1544 D:168 EF:68 EB:0 ET:0 EL:0 ] Tue Sep 06 18:16:16 2005 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ] Tue Sep 06 18:16:16 2005 Local Options hash (VER=V4): 'bd577cd1' Tue Sep 06 18:16:16 2005 Expected Remote Options hash (VER=V4): 'ee93268d' Tue Sep 06 18:16:16 2005 TCP connection established with 192.168.9.43:1916 Tue Sep 06 18:16:16 2005 TCPv4_SERVER link local: [undef] Tue Sep 06 18:16:16 2005 TCPv4_SERVER link remote: 192.168.9.43:1916 Tue Sep 06 18:16:16 2005 192.168.9.43:1916 Connection reset, restarting [0] Tue Sep 06 18:16:16 2005 192.168.9.43:1916 SIGUSR1[soft,connection-reset] received, client-instance restarting Tue Sep 06 18:16:16 2005 TCP/UDP: Closing socket Tue Sep 06 18:16:20 2005 MULTI: multi_create_instance called Tue Sep 06 18:16:20 2005 Re-using SSL/TLS context Tue Sep 06 18:16:20 2005 LZO compression initialized и так далее по кругу.... Вот конфиги мои, посмотрите, может, где напортачил Сервер: Код dev tun dev-node "OpenVPN" proto tcp-server port 8888 tls-server server 10.10.0.0 255.255.255.0 comp-lzo route-method exe route 192.168.0.0 255.255.255.0 10.10.0.2 client-to-client client-config-dir C:\\OpenVPN\\config\\ccd ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt dh C:\\OpenVPN\\ssl\\dh1024.pem ca C:\\OpenVPN\\ssl\\ca.crt cert C:\\OpenVPN\\ssl\\ServerVPN.crt key C:\\OpenVPN\\ssl\\ServerVPN.key persist-tun persist-key tls-auth C:\\OpenVPN\\ssl\\ta.key 0 keepalive 10 120 status C:\\OpenVPN\\log\\openvpn-status.log log C:\\OpenVPN\\log\\openvpn.log verb 3
Клиент: Код dev tun dev-node "OpenVPN" proto tcp-client remote 192.168.0.101 8888 route-method exe client tls-client ns-cert-type server ca C:\\OpenVPN\\ssl\\ca.crt cert C:\\OpenVPN\\ssl\\ClientVPN1.crt key C:\\OpenVPN\\ssl\\ClientVPN1.key tls-auth C:\\OpenVPN\\ssl\\ta.key 1 comp-lzo tun-mtu 1500 tun-mtu-extra 32 mssfix 1450 status C:\\OpenVPN\\log\\openvpn-status.log log C:\\OpenVPN\\log\\openvpn.log Верисия 2.0.2 с GUI (openvpn-2.0.2-gui-1.0.3-install.exe) ОС сервера - вин2003сп1, клиента - винХРсп2 Сообщение отредактировал Yustus[ZX] - Вторник, 06 Сентября 2005, 17:19
|
|
|
|
|
kenm |
Среда, 15 Февраля 2006, 19:30
|
Гуру
Профиль
Группа: Участник
Сообщений: 1106
Регистрация: 05.07.2002
Пользователь №: 2636
Конфигурация
Корпус: noname Процессор: Pentium III Материнская плата: ASUS Оперативная память: 256 Видеокарта: mx400 Жесткий диск (винчестер): WD 80gb Дисковод: 3.5" CD/DVD: не помню Модем: нет Сетевой адаптер: 3com 905b Звуковая плата: чтото там играет... Монитор: 17 Операционная система: Ubuntu 6.06 Прочее: --
|
Статья из журнала Сисадмин 2005-8В статье имеется краткий обзор VPN технологий. Примеры настройки OpenVPN.
--------------------
Тот прав, у кого больше прав.
|
|
|
|
|
|
1 чел. читают эту тему (1 Гостей и 0 Скрытых Пользователей)
|
0 Пользователей:
|
© Copyright by WinCity.Ru 2001 - 2008 | Обратная связьУслуги веб-хостинга предоставлены компанией MTW.RU
|
|
|
|