URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 4979
[ Назад ]

Исходное сообщение
"Тематический каталог: Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"

Отправлено auto_topic , 19-Янв-05 17:29 
Обсуждение статьи тематического каталога: Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)

Ссылка на текст статьи: http://www.opennet.me/base/net/openvpn_setup.txt.html


Содержание

Сообщения в этом обсуждении
"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено GreenX , 19-Янв-05 17:29 
А в чём там косяк со вторым сервис паком от хп?
У разработчика написано :
NOTE: Windows XP Service Pack 2 breaks OpenVPN 1.6.0. If you are using XP SP2, it is recommended that you use OpenVPN 2.0.


"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено nsware , 19-Янв-05 18:30 
SP2 это вообще один большой косяк...

"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено stager , 19-Янв-05 19:09 
а про то, как настроить впн для одинокого клиента под виндой и сервером на линуксе можете рассказать?
я так понимаю нужно использовать bridge, а вот с этим как раз какаято фигня происходит

и ещё хотелось бы узнать, чем статический ключ хуже ssl?


"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено crypt , 23-Янв-05 21:15 
В такой конфигурации - ничем не хуже, а может быть даже чуть-чуть лучше по быстродействию будут.

"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено klexx , 19-Янв-05 19:46 
У мя это как раз работает :) Если чё стучись по мылу, обьясню как и что :)

"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено cybpoison , 20-Янв-05 00:16 
Могу помочь в настройки этого всего и со статическими ключами и SSL-сертификатами...
В XP SP2 бага основана на том, что интерфейс не появляется, нужно ставить OpenVPN 2.0r6 и тогда появляется интерфейс...

Короче у кого какие вопросы, то жду в ICQ :)
ICQ:623091


"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено John , 20-Янв-05 10:06 
"Вы конечно все молодцы...."
Умные люди придумали форум.
Чтоб один раз написали все почитали
что-то до бавили что то подправили.
А тут  начинаются предложения.
Давай по почте, давай по ICQ....
Не лучше ли раз прописать все это в форуме.
Чтоб вас по 10 раз не спрашивали а если кто спросит то
адресовать на этот форум.
А может кто что нового и полезного добавит.

"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено qwerty , 20-Янв-05 11:16 
чето не хочет на Фре генерить ключи, это наверное под линем синтаксис?
openvpn -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
0: I'm trying to parse "-nodes" as an --option parameter but I don't see a leading '--'
1: Use --help for more information

"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено Михаил , 20-Янв-05 16:01 
Не хочет потому, что должно быть не openvpn, а openssl
openssl req -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -days 3650

И далее по тексту тоже openvpn заменить на openssl


"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено Ежик , 20-Янв-05 12:26 
А эту беду для создания туннеля с Cisco можно использовать? Если со стороны Cisco ipsec?

"Конечно можно. Но не всем."
Отправлено Andrey Mitrofanov , 21-Янв-05 12:04 
> эту беду для создания туннеля с Cisco можно использовать? Если со стороны Cisco ipsec?

А вот ipsec тут не при чём. Впрочем cisco, по факту, тоже.

Хотя, можно, наверное: собрать паке-е-ет для, apt-get install его... %))) Но, пожалуй, Cisco не будет этого делать для своей супер-надёжной, поддержиФаюШей "индустриальные стандарты" мега-популярной... _закрытой_ платформы.

Но мы ведь их совсем не за это любим? B-)


"Конечно можно. Но не всем."
Отправлено goblin , 22-Янв-05 19:47 
Ну и ладно... Обойдемся подручными средствами. :)

"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено Belal , 21-Янв-05 17:27 
В оригинальной документации на http://openvpn.sourceforge.net написано куда больше и без ошибок!

"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено gt , 23-Янв-05 03:57 
интересно, ты сначала здесь прочитал, а потом без ошибок или сначала без ошибок а потом здесь?
обосрать всегда и все можно и это, кстати, не трудно сделать.

"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено Skif , 26-Янв-05 10:58 
Такой вопрос, у меня имеется несколько серверов в инете, связаных банальным ipsec+gif все как по handbook-у работает без нареканий, но появился еще один и он подключен через ADSL модем. Там ip реальный находиться на мопеде, а мне выделен только серый. надо подключить этот сервак в нашу общую сетку между серверами. Сейчас листаю и изучаю все что мжно, что бы организовать такой тунель
{СЕРВЕР С РЕАЛЬНЫМ IP, он же сервер доступа для VPN} <----->[Modem(ZyXEL, кому интересно) с реальным IP] <-----> {СЕРВЕР с частным IP}
Сможет ли такой VPN пробиться сквозь нат? или может покурить доки mpd?

"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено Michael , 03-Фев-05 17:08 
>Такой вопрос, у меня имеется несколько серверов в инете, связаных банальным ipsec+gif
>все как по handbook-у работает без нареканий, но появился еще один
>и он подключен через ADSL модем. Там ip реальный находиться на
>мопеде, а мне выделен только серый. надо подключить этот сервак в
>нашу общую сетку между серверами. Сейчас листаю и изучаю все что
>мжно, что бы организовать такой тунель
>{СЕРВЕР С РЕАЛЬНЫМ IP, он же сервер доступа для VPN} <----->[Modem(ZyXEL, кому интересно) с реальным IP] <-----> {СЕРВЕР с частным IP}
>Сможет ли такой VPN пробиться сквозь нат? или может покурить доки mpd?

насколько я в курсе, ipsec использует ip-протокол, отличный от TCP и UDP.
его может просто не пропустить НАТ в АДСЛ-модеме... ищи у своего модема фичу под названием vpn-passthrough или ipsec-passthrough.

еще пара вариантов:
1) перенастроить модем из режима роутера в режим бриджа, тогда реальный ip-адрес будет уже у самого компа.
2) перейти на другой vpn, например OpenVPN в этой ситуации продошел бы идеально. не обязательно ломать сущестыующий ipsec, можно на OpenVPN построить только этот один линк.


"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено Galmir , 02-Фев-05 13:08 
Мужики, а вот такой вопрос: настроил туннель (Win2000/FreeBSD), сервер на фрюхе, клиент на винде. За КАЖДЫМ из них стоит сколько-то компов, то есть это 2 шлюза, на винде KERIO Firewall. Все они в одной подсети 10.100.1.X, и туннель нужен только для инкапсуляции адресов (чтобы компы одного офиса видели компы другого офиса). Но не видят, то есть с каждого шлюза есть пинг только на другой конец туннеля, а за ним ни фига не доступно.

Что править, где косяк?


"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено Michael , 03-Фев-05 16:26 
>Мужики, а вот такой вопрос: настроил туннель (Win2000/FreeBSD), сервер на фрюхе, клиент
>на винде. За КАЖДЫМ из них стоит сколько-то компов, то есть
>это 2 шлюза, на винде KERIO Firewall. Все они в одной
>подсети 10.100.1.X, и туннель нужен только для инкапсуляции адресов (чтобы компы
>одного офиса видели компы другого офиса). Но не видят, то есть
>с каждого шлюза есть пинг только на другой конец туннеля, а
>за ним ни фига не доступно.
>
>Что править, где косяк?

вариантов 2:
1) разноси клиентов в разные подсети и настраивай маршрутизацию.
2) локальные интерфейсы каждого из шлюзов объедини с OpenVPN-интерфейсом в мост (бридж).
по обоим вариантам в родной доке все хорошо расписано.


"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено Michael , 02-Мрт-05 16:22 
А если есть две локалки, один домен, два сайта, на границах - FreeBSD с OpenVPN - будут работать прозрачно виндовые машины ?

"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено Michael , 10-Мрт-05 12:40 
>А если есть две локалки, один домен, два сайта, на границах -
>FreeBSD с OpenVPN - будут работать прозрачно виндовые машины ?

домен и сайты к делу не относятся...
а две локалки соединить с помощью OpenVPN можно.

что означает "работать прозрачно" ?
По крайней мере пинговаться будет и сетевые диски по ip-адресу прицепить будет можно. Да и вообще любой софт, использующий ip-протокол без широковещания, работать будет.
а вот использовать имена компов из сетевого окружения - вряд ли...

Хотя если настроить в режиме моста, то можно даже сетевое окружение общее сделать. Но не рекомендую - много лишнего трафика будет в канале, плохо для тех у кого канал медленный или трафик дорогой.


"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено Michael , 11-Мрт-05 20:07 
Я имел в виду виндовые сайты, те, на которые домен разбивается, чтобы меньше траффик был.

"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено resu , 31-Мрт-05 00:36 
Ставлю openvpn 2 т.к. нуждаюсь в создании тунэля между win клиентами и linux server’ ом за которым стоит LAN c ресурсами на которые эти клиенты должны получить доступ, а получаю следующую проблему:
настраиваю tun device, сервер получает  IP для tun0 – 10.8.0.1/32  win client – 10.8.0.10/30 и default gateway 10.8.0.9

я не понимаю зачем нужна такая network mask 255.255.255.252  и если она необходима, то почему на сервере не подымается интерфейс tun0:1 IP 10.8.0.9/30. этого адреса вообще нигде нет и поэтому нет и доступа к подсетям моей LAN (я засылаю клиенту при помощи push "route ..." все необходимые руты, клиент их получает и правильно садит, но нет к ним gateway’я нет и связи с ними).
Что я делаю не так??????

меняю tun на tap и все получается так, как я это понимаю:
- сервер IP 10.8.0.1/24
- клиент IP 10.8.0.101/24 defaul gateway 10.8.0.1

все бы хорошо, но тут я не знаю в чем разница между тунелем и bridge’м в терминологии OpenVPN. В каких случаях надо применять тот или иной device.

Если кто то уже разобрался с этой темой – буду очень признателен за помощь


"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено max , 28-Апр-05 13:43 
Добрый день !!!
Господа никто случайно не прикручивал openvpn + freeradius?

"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено Michael , 28-Апр-05 18:38 
>Господа никто случайно не прикручивал openvpn + freeradius?
а как одно связано с другим?

"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено merlyn , 14-Июн-05 18:57 
Пробую настроить openvpn - не получается
к серверу FreeBSD цепляется виндовый клиент из-за Nat, openvpn 2.0. Использую статические ключи, канал встает, но пинги не ходят, хотя в логах сервера openvpn видно что пакетами обмениваются.
не могу понять в чем проблема

"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено Michael , 14-Июн-05 19:36 
>хотя в логах сервера
>openvpn видно что пакетами обмениваются.
а подробнее, что в логах?
на обоих сторонах должна быть строка вида "Peer Connection Initiated with" с ip-адресом другой стороны


"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено pawel_chk , 22-Июн-05 20:27 
как правильно настроить openvpn клиента если неизвестен заранее IP (dial-up через мобилку (GPRS))

"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено Михаил , 06-Июл-05 14:10 
>как правильно настроить openvpn клиента если неизвестен заранее IP (dial-up через мобилку
>(GPRS))

не указывать явно параметр local в конфиге, достаточно знать ip-адрес сервера и указать его в параметре remote



"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено xxx , 02-Сен-05 22:39 
А билинг есть под опенвпн какойто ?

"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено Михаил , 05-Сен-05 11:12 
>А билинг есть под опенвпн какойто ?
а зачем под него какой-то особенный биллинг?
OpenVPN создает обыкновенный сетевой интерфейс, который ничем принципиально не отличается от, например, Ethernet-ного..


"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено zyxman , 10-Июл-06 13:40 
к сожалению, как раз для биллинга отличается.
конкретно, лучшее что я знаю для биллинга в freebsd - ng_ipacct - не может непосредственно брать данные с tun, зато беспроблемно работает с эзернетами.
решение простое, хотя на мой взгляд немножко неестественное (и слишком тяжелое при широких потоках) - ipfw tee нужного траффика в ksocket и с него уже счет ng_ipacct - у меня уже работает с апреля на пол мегабита.

С Уважением,
Зюхман.


"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено Alesx , 19-Сен-06 03:06 
Все работает. Вот только одна проблема - при рестарте сервера, соединение не востанавливается и приходится рестартить клиента. Может можно сделать, что бы соединение восстанавливалось во всех случаях?

"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено YuroN , 14-Дек-06 17:12 
>openvpn reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650

с версией OpenVPN 2.0.5 пишет:

Options error: I'm trying to parse "reg" as an --option parameter but I don't see a leading '--'
Use --help for more information.

что делать?


"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено Аноним , 10-Мрт-07 18:09 
Статья просто ужасная автора убить мало. Первое для генерации ключей используйте openssl, второе не reg, а req (от слова реквест). Пожалуйста выдай исходную ссылку статьи...

"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено Михаил , 12-Мрт-07 10:53 
>Статья просто ужасная автора убить мало. Первое для генерации ключей используйте openssl,
>второе не reg, а req (от слова реквест). Пожалуйста выдай исходную
>ссылку статьи...
Зачем тебе статья двухлетней давности?
OpenVPN довольно неплохо развивается и информация двухлетней давности, имхо, уже устарела.

Читайте родную документацию! Там все написано!
В крайнем случае, на оригинальном сайте есть ссылки на сторонние руководства.


"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено NF , 12-Май-07 00:03 
Короче... надо поднять виндовый VPN сервер, только чтоб   клиенты(тож виндовые) могли цепляться к нему, не видя друг друга, все в одной под сети типа 123.123.***.***, все подключаются к инету через АДСЛ (у сервера можно сделать статический ип), критерии безопасности не оч важны, лишь бы работало, манов для моего случая не нашел,

"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено d_m , 22-Июн-07 10:29 
"не видя друг друга"

"критерии безопасности не оч важны"
Сэр! Вы сами себе противоречите. Первое - весьма сильный "критерий безопасности".


"Бескомпроматность OpenVPN, миф или реальность?"
Отправлено akaGudvin , 06-Июн-08 12:06 

Действительно ли технология OpenVPN является настолько надежной, как об этом пишут, или это очередная уловка спецслужб? На этот вопрос я решил себе ответить запустив Wireshark и проанализировав трафик VPN соединения в различных режимах работы (с шифрованием и без, с транспортом в виде TCP и UDP, ...).
Как оказалось не все так радужно как об этом пишут. SSLv3/TLSv1 я нашел, но он оказался инкапсулирован в другой неизвестный мне протокол, поддерживающий фрагментирование. Не помог мне ни официальный сайт openvpn, ни google. Как человеку, постоянно использующему эту технологию, хотелось бы знать что за информация там передается и зачем этот протокол вообще нужен?

Заранее благодарен всем, кто окажет свою посильную помощь в разрешении этого вопроса.


"Бескомпроматность OpenVPN, миф или реальность?"
Отправлено Аноним , 06-Июн-08 12:48 
>но он оказался инкапсулирован в другой неизвестный мне протокол, поддерживающий
>фрагментирование.

UDP? :)


"Бескомпроматность OpenVPN, миф или реальность?"
Отправлено AloneGh0st , 09-Июн-08 13:11 
Мужики! Помогите разобраться...
Надо засунуть из мира несколько машин в офисную сетку(домен внутренний)
в Офисной сетке стоит Gentoo сервак(OpenVPN), клиент будет подниматься
на Windows XP SP2 Pro. Нужна ваша помощь. Вроде все настроил, выдаёт в логе:
Mon Jun 09 12:09:37 2008 OpenVPN 2.1_rc7 Win32-MinGW [SSL] [LZO2] [PKCS11] built on Jan 29 2008
Mon Jun 09 12:09:37 2008 WARNING: using --pull/--client and --ifconfig together is probably not what you want
Mon Jun 09 12:09:37 2008 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Mon Jun 09 12:09:37 2008 LZO compression initialized
Mon Jun 09 12:09:37 2008 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Jun 09 12:09:37 2008 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Jun 09 12:09:37 2008 Local Options hash (VER=V4): '41690919'
Mon Jun 09 12:09:37 2008 Expected Remote Options hash (VER=V4): '530fdded'
Mon Jun 09 12:09:37 2008 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Jun 09 12:09:37 2008 UDPv4 link local: [undef]
Mon Jun 09 12:09:37 2008 UDPv4 link remote: 217.147.161.29:1194
Mon Jun 09 12:09:37 2008 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Уже незнаю чё делать, в фаэрволе под клиент открыл дырку... и всеравно одно и тоже...

"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено Ярослав , 19-Янв-10 15:24 
аффтору незачёт.
Сертификаты генерятся openssl, а не openvpn.
Соответственно
openvpn reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650

меняется на

openssl req -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650


Второй параметр req а не reg.

Статья нуждается в редактировании, так как прямое её применение невозможно.


"Опыт внедрения OpenVPN (vpn tunnel crypt linux freebsd)"
Отправлено Michael , 20-Янв-10 11:54 
>[оверквотинг удален]
>openvpn reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
>
>меняется на
>
>openssl req -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
>
>
>Второй параметр req а не reg.
>
>Статья нуждается в редактировании, так как прямое её применение невозможно.

Про это еще 4 года назад было написано:
http://www.opennet.me/openforum/vsluhforumID3/4979.html#9