[lopolik]

PINCHERok, собственно - в чем проблема? любую из трех машин (с внешним ip, конечно) сделать сервером, остальные две - клиентами. хотите - делайте с выдачей сертификатов. хотите - создавайте на сервере два подключения "точка-точка". клиентскую конфигурацию для одного подключения - на один компьютер, вторую - на второй
если хотите - второй способ распишу подробнее

[Dor]

Всем привет! Огромное спасибо GVANу за инстркуцию очень всё подробно, но у меня не получается вообще создать сертификат или ключ, я пока даже до конфигов не дошел не пойму в чём дело.

Установка OpenVPN (общие правила для сервера и клиентов)

>1. Рекомендуется устанавливать в каталог, в полном пути которого не будет пробелов:
c:OpenVPN

Сделал именно такую папку

2. Для ключей и сертификатов создаём папку:
c:OpenVPNssl

Создал

Готовим сервер к выдаче сертификатов.

1. Копируем из папки C:OpenVPNeasy-rsa в папку c:OpenVPNssl файлы index.txt.start и serial.start и переименовываем их в index.txt и serial

Тоже сделал

2. В каталоге C:OpenVPNeasy-rsa делаем копии файлов vars.bat.sample и openssl.cnf.sample и переименовываем их в vars.bat и openssl.cnf

Тоже сделал только когда убрал у файла openssl.cnf.sample слово sample то значок превратился в синий мониторчик со стрклочкой как у ярлычка наверное так и нужно?

3. Редактируем vars.bat
Изменяем пути:
- set HOME=c:OpenVPNeasy-rsa
- set KEY_DIR=c:OpenVPNssl
Кроме того, можем изменить длину ключа
- KEY_SIZE на значение 2048 (я оставил по умолчанию set KEY_SIZE=1024)
и значения для некоторых полей для будущих сертификатов:
- set KEY_COUNTRY=RU
- set KEY_PROVINCE=Moscow
- set KEY_CITY=Moscow
- set KEY_ORG=MyCompany
- set KEY_EMAIL=admin@domain.ru
ВАЖНО!
- поле Organization Name (KEY_ORG) должно совпадать с тем, что будет указано при генерации сертификата центра сертификации (ca.crt).

Тут вопросов не возникло всё сделал по примеру правда размер ключа у меня уже стоял 1024

4. Редактируем openssl.cnf
Меняем следующие значения (обратить внимание на двойной слеш):
- database = $dir\index.txt
- serial = $dir\serial

а вот тут не совсем понятно, оставить всё как в примере или прописать так $dir c:\OpenVPN\ssl\index.txt
тоже самое и вот с этим ? - serial = $dir\serial

Изначально там вот такая строка!!! database = $dir/index.txt # database index file

А также, для будущего удобства, можно изменить следующее:
- раскомментировать параметр organizationalUnitName_default и задать ему какое-нибудь значение:
organizationalUnitName_default = My Department

5. Создаем папку C:OpenVPNconfigccd для будущих конфигураций пользователей.

Создание сертификатов и ключей.

Примечания:
- Все последующие действия производятся из командной строки, которая открыта на протяжении всего процесса генерации ключей
- Перед глазами лучше держать открытые каталоги c:OpenVPNeasy-rsa (чтобы в названиях батников не путаться) и c:OpenVPNssl (чтобы видеть результаты)

1. Запускаем cmd

Запустил

2. Объявлем переменные (файл vars.bat)

Как понять объявляем переменную? Може проще запустите vars.bat ??? Я сделал так в коммандной строке набрал c:>OpenVPNeasy-rsavars.bat потом enter и далее нифига!!! Ничего не открылось, никаких сообщений об ошибках вообще ничего!! И файликов нигде никаких не появилось. И посто vars.bat я из папки запускал так же история.

3. Создаем корневой сертификат и ключ на 10 лет (кстати, если мы все правильно прописали в файлах vars.bat и openssl.cnf, то можно просто нажимать кнопку "Enter")

Значит получается что должен запуститься какой то процесс с вопросами?

build-ca.bat
или
openssl req -days 3650 -nodes -new -x509 -keyout %KEY_DIR%ca.key -out %KEY_DIR%ca.crt -config %KEY_CONFIG%

И вот это что за строка таккая?

Понимаю что для кого то вопросы могут показаться чайниковскими, но прошу не критиковать а помочь разобраться.

Спсибо......

Сообщение отредактировал Dor - Среда, 24 Октября 2007, 12:55

[post_val]

Добрый день!
А можно ли прикрутить OpenVPN клиента к виндовозному RRAS ВПН?

[Gvan]

Добрый день!
А можно ли прикрутить OpenVPN клиента к виндовозному RRAS ВПН?

Интересный вопрос... а это как?

[MuHyC1]

Здравствуйте!

есть 2 компьютера в интернете - у сервера и у клиента динамические IP адреса ( у меня stream ( "сервер" будет у меня ) а у "клиента" corbina ) на компьютерах Windows XP SP2, использую OpenVPN_2.0.9 , там как я понял в конфигах должно быть что-то вроде этого http://openvpn.net/index.php/documentation...to.html#dynamic , с английским не очень хорошо , не подскажите поподробнее? а именно расскажите пожалуйста где какие адреса должны быть в конфиге?

буду очень благодарен за ответ.

[Archangel]

можно использовать dyndns.com
Процес смены ИПа в днс можно производить вручную, либо автоматизировать.
Знаю, что на линуксе это несложно организовать, на винде тоже думаю не сложно.

[MuHyC1]

Спасибо за ответ , отдельное спасибо Gvan`у за понятный мануал.
Всё работает вроде , по крайней мере клиент через ping 10.10.0.1 ( т е сервера ) получает пакеты.

[DJRemedy]

Приветствую всех!!!
Такая ситуация.
Стоит OVPN сервер и клиентов, порядка сотни. Половина из которых конектится через CDMA и ADSL модемы.
Всё бы ничего, но когда обрывается связь через модем и потом поднимается снова, переписываются маршруты у клиента и соответственно шлюзом по умолчанию ставится не маршрут впн сети, а маршрут реально полученный у провайдера после реконекта. Как можно поправить ситуацию, так что-бы после реконекта модема маршрут по умолчанию брался автоматом впн сети. Думал выставлять в ручную, но как-то это не реально, слишком много клиентов.
Может кто сталкивался с данной проблемой?

[Gvan]

Всё бы ничего, но когда обрывается связь через модем и потом поднимается снова, переписываются маршруты у клиента и соответственно шлюзом по умолчанию ставится не маршрут впн сети, а маршрут реально полученный у провайдера после реконекта.

Вообще-то ситуация странная, т.к. впн-соединение возможно только после того, как появится возможность достучаться до сервера... Соответственно и впн-маршруты назначаются после установки впн-соединения...
Может стоит сначала попробовать на геморройном клиенте поиграть параметрами ovpn-файла:
route-method exe
route-delay 10

[Gvan]

Всё забываю написать об одной особенности...
Проблема в следующем. Если на клиенте установлен какой-нить программный продукт с фаерволом (мне жаловались на Lan2Net и WinRoute), то при подключении к OpenVPN-серверу, адаптер клиента (TAP-Win32 Adapter V8) никак не может получить адрес с сервера...
Решается эта проблема добавлением в конфигурационной ovpn-файл клиента следующей строки (меняющей способ назначения ip-адреса):

ip-win32 netsh

Предполагаю, что данная строка справедлива не только для клиента, но и для сервера...

[alexeySTP]

Здравствуйте!

Не нашел более подходящую ветку для своего вопроса.
Поэтому мпрошу здесь.
Поднял OpenVPN сервер на Windows (не смейтесь!). Сам сервер стоит в одноранговой сетке за роутером, где открыт порт 1194.
В конфигурационном файле поставил push "route 192.168.0.0 255.255.255.0" с целью, чтобы клиенты OpenVPN видели бы всю внутреннюю сетку с адресами 192.168.0.xxx
Получил результат - при обращении по IP-адресу в диапазоне 192.168.0.xxx виден только сам OpenVPN сервер (при обращении по соответствующему внутреннему интерфейсу). Это понятно - ведь остальные не знают, куда посылать пакет на запрос по OpenVPN. Попытался прописать статическую маршрутизацию типа:
route -p add 10.8.0.0 mask 255.255.255.0 192.168.0.101
(где 192.168.0.101 - внутренний адрес OpenVPN сервера)
Не помогает.
Вопрос - какую маршрутизацию надо прописывать???
Возможно, есть какие-то другие хитрости в конфигурации.

Спасибо.

[MALDERX]

Привет всем!

У меня проблема...

Стояла задача: два сервера в двух разных городах (A и В) объединить в сеть, и серверу B (он же клиент) дать доступ на машину за сервером A (IP этой машины 192.168.1.23).
Поставили OpenVPN, настроили и жили бы долго и счастливо…
Все работало как часы, пока я не ушел в отпуск, вернувшись, обнаружил, что клиент соединяется с сервером, но не видит машину с адресом 192.168.1.23.

Сервер А – WinXPSP3RUS, IP: 80.XXX.XX.XX
Сервер B – WinServer2000,
192.168.1.23 – Win2k3SP2 x64

Причин видимых для этого не обнаружил, лазил по различным форумам, перерыл море информации, но топчусь на месте. Удаление виртуального сетевого адаптера и его переустановка не помогла, переустановка OpenVPN тоже не помогла. В настройках всех трех компов изменений не было (если не врут конечно:)))).

Может кто сталкивался с таким?

Конфиг сервера:

local 80.XXX.XX.XX (выдан провайдером)
port 1194
proto udp
dev tun
dev-node VPN
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.1.23 255.255.255.255"
keepalive 10 120
comp-lzo
verb 3

Конфиг клиента:

client
dev tun
dev-node VPN
proto udp
remote 80.XXX.XX.XX 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert dadabaev.crt
key dadabaev.key
comp-lzo
verb 3

Сообщение отредактировал MALDERX - Пятница, 22 Августа 2008, 8:49

[hs85]

Gvan,
Привет. Если не в лом, напиши пожалуйста максимально подробный мануал для чайников. (Впервые за всё время к таковым себя причисляю:)) Провозился уже 2 недели и так нифига и не понял. Если можно со скринами. В word или chm. Заранее спасибо!

[MALDERX]

Проблема решилась!:)))
Конфиг сервера стал таким:

local 80.ХХ.ХХ.ХХ
port 1194
proto udp
dev tun
dev-node VPN
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
route-method exe
route-delay 10
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.1.23 255.255.255.255"
client-to-client
keepalive 10 120
comp-lzo
verb 3



и отключил службу маршрутизации в Windows

[DarkJack]

Народ есть не легкая задача поднять OVPN!
ух начну описывать проблему
что имеется
сеть 1
лан ип 192,168,ххх.yyy -> прокси(192,168,zzz.mmm)->Internet(83.xxx.yyy.zzzz ип который показывает мне 2ip.ru)
сеть 2 <- Волга телеком (нат) 10,270,х,чч<-лан(адсл модем Acorp 420m)192,168.1.xxx


вот как настороить конфиги чтобы впн поднялся из сети 1 до сети 2
какие есть соображения !

конфиги по настройке больше интересует пробросы нежели генерация ключей и тд с этим разобрался
в лан 2 компа соеденяются с ипами (тестил) 192,168,1,10 (сервер) и клиент 192,168, 1,20
вот с пробросами туговато

Сообщение отредактировал DarkJack - Понедельник, 22 Сентября 2008, 9:10

[Kriks]

Всем доброго время суток! Народ! Объясните пожалуйста, для чего нужны в OpenVPN сертификаты? В чем заключается способ подключения клиентов "точка-точка" и в чем отличие такого способа подключения клиентов от способа выдачи сертификатов клиентам?

[xei]

Вот
Немножечко доработал сами батнички
теперь не надо мучаться с самим набором и помнить что и как нужно делать ...
http://sderni.ru/16790

[benitos]

Опенвпн один из самых ведущих впнов по-моему