Ответы пользователя по тегу OpenVPN
  • Как сделать пропинговку адаптера OpenVPN?

    @mureevms
    Можно предположить, что OpenVPN использует уже существующий интерфейс от текущего подключения для последующих подключений.

    Конфиги приложите, скорее всего в них прописан интерфейс типа dev tun0, что указывает использовать именно его. Если указать dev tun, то при каждом последующем подключении будет использоваться tunN+1 интерфейс.
    Ответ написан
  • Как запустить второй сервер OpenVPN?

    @mureevms
    Если кратко, то скопировать существующий конфиг и назвать его, пусть будет tcp.conf. Поменять в новом конфиге порт и протокол, и все остальное, что требуется. Затем перечитать конфиг systemd:
    systemctl daemon-reload
    Запустить новый экземпляр OpenVPN при помощи systemctl:
    systemctl start openvpn@tcp.service
    И не забыть его добавить в автозагрузку:
    systemctl enable openvpn@tcp.service
    Ответ написан
    5 комментариев
  • Как настроить автозапуск openvpn через netplan?

    @mureevms
    OpenVPN всю дорогу умеет стартовать сам. При внедрении systemd стале еще проще, только надо знать нюанс. Заключается он в следующем:
    Допустим, есть файл конфига /etc/openvpn/my-super-config.conf, тогда запускать надо:
    systemctl start openvpn@my-super-config.service
    Ну и разрешить автоподнятие при старте системы, если еще не разрешено:
    systemctl enable openvpn@my-super-config.service
    Ответ написан
    1 комментарий
  • Роутер ASUS RT-N10U с прошивкой DD-WRT, который сконфигурирован как OpenVPN-клиент, "пропадает" после попытки получить IP. В чем проблема?

    @mureevms
    Судя по логу сервера, клиент успешно подключается. Похоже, что на клиенте переписывается дефолт гетвей, поэтому он и не отвечает после установки соединения с OVPN сервером. Хотя странно, что в конфиге сервера нет этого праметра. Не имел дела с DD-WRT, но предполагаю, что там другие дефолтные настройки. Погуглите в этом направлении. Т.е. надо заставить сервер не пушить дефолт гетвей на клиента
    Ответ написан
    Комментировать
  • Как запретить изменение настроек клиентам OpenVPN?

    @mureevms
    Интересный вопрос. Мне кажется, что в данной формулировке никак.
    Я бы решил задачу добавлением второго (третьего...n) инстанса OpenVPN с аналогичными настройками и отличием только в подсети. Ну и порт тоже придется изменить у каждого последующего инстанса. Клиентам раздавать\ограничивать доступ до сервисов из нужных подсетей, а не IP адресов, как это сделано в текущий момент. Т.е. при смене адреса клиентом он будет ограничен правилами подсети и смена адреса потеряет смысл.
    Ответ написан
    Комментировать
  • Маршрут в локальную сеть клиента Openvpn через его сервер, как настроить?

    @mureevms
    Очевидно, дело в маршрутизации.
    1. На клиенте 192.168.1.10 надо включить маршрутизацию
    2. Зависит от размера и конфигурации сети:
    2.1 Или на всех тачках сети 10.0.2.0 (к которым нужен доступ) прописать шлюзом IP адрес клиента, при этом адрес должен быть из сети 10.0.2.0
    2.2 Аналогично 2.1, только настроить на каждой тачке сети (опять же, к которым нужен доступ) статичный роут через тачку с клиентом
    2.3 Или же, как сказал Дмитрий Шицков, сделать на шлюзе в сети 10.0.2.0 роут до сети 192.168.1.0 через адрес OVPN клиента
    Ответ написан
    Комментировать
  • Как заходить только на 1 ип через OPENVPN?

    @mureevms
    Надо пушить только этот IPшник на клиентов. Для этого в конфиг сервера добавить строку:
    push "route 10.8.0.5 255.255.255.255"

    Ну и, если есть, удалить эту:
    push redirect-gateway def1
    Ответ написан
    8 комментариев
  • Возможно ли настроить аутентификацию OpenVPN по сертификату+ldap?

    @mureevms
    Насколько мне известно, нельзя. Но это не косяк, который требует исправления, это фича, поскольку имя ключа нужно для идентификации это ключа центром авторизации и идентификации пользователя. Поскольку второе Вы делегируете LDAP серверу, то иметь по ключу на каждого пользователя не имеет смысла. Вообще не имеет. Удобнее выпустить один ключ и раздать его всем пользователям, а доступом управлять при помодщи групп со стороны LDAP.
    Ответ написан
  • Как создать pki с помощью easy-rsa?

    @mureevms
    easy-rsa можно не ставить, это просто набор скриптов. Возьмите их в репе OpenVPN https://github.com/OpenVPN/easy-rsa/archive/master.zip:
    wget https://github.com/OpenVPN/easy-rsa/archive/master.zip
    unzip master.zip

    Затем
    Перейти в каталог easyrsa3 и объявить для него переменные:
    cd ~/easy-rsa-master/easyrsa3
    cp ~/easy-rsa-master/easyrsa3/vars.example ~/easy-rsa-master/easyrsa3/vars

    Инициализировать PKI (Public Key Infrastructure — Инфраструктура открытых ключей):
    ./easyrsa init-pki
    Создать корневой сертификат. Обязательно ввести сложный пароль и Common Name сервера, например my vpn server:
    ./easyrsa build-ca
    Создать ключи Диффи-Хелмана:
    ./easyrsa gen-dh
    Создать запрос на сертификат для сервера OVPN. Обращаю внимание, что сертификат будет незапаролен (параметр nopass), иначе при каждом старте OpenVPN будет запрашивать этот пароль:
    ./easyrsa gen-req vpn-server nopass
    Создать сам сертификат сервера OVPN:
    ./easyrsa sign-req server vpn-server
    Скопировать полученные ключи в рабочий каталог openvpn:
    mkdir -p /etc/openvpn/keys
    cp ~/easy-rsa-master/easyrsa3/pki/ca.crt /etc/openvpn/keys
    cp ~/easy-rsa-master/easyrsa3/pki/issued/vpn-server.crt /etc/openvpn/keys
    cp ~/easy-rsa-master/easyrsa3/pki/private/vpn-server.key /etc/openvpn/keys
    cp ~/easy-rsa-master/easyrsa3/pki/dh.pem /etc/openvpn/keys

    Создать «HMAC firewall» для защиты от DoS аттак и флуда UDP порта:
    cd /etc/openvpn/keys/
    openvpn --genkey --secret ta.key

    Запустить openvpn:
    /etc/init.d/openvpn start

    Отсюда
    Ответ написан
    2 комментария
  • Как определять p2p трафик на OpenVPN и делать его рероут через другой впн/прокси?

    @mureevms
    Предполагаю, что сервер не определяет тип трафика. Он лишь фильтрует по портам. 80 и 443 для примера, но они захватывают львиную часть использования инета, что-то типа этого:

    iptables -t nat -A POSTROUTING -s $OpenVPN_Net -p tcp -m multiport --dport 80,443 -j SNAT --to-source ааа.ааа.ааа.ааа
    iptables -t nat -A POSTROUTING -s $OpenVPN_Net -j  SNAT --to-source ввв.ввв.ввв.ввв
    Ответ написан
    Комментировать
  • Порт недоступен через openvpn?

    @mureevms
    Мне кажется, что дело в маршруте на хостах сети 192.168.12.0. Они не знают маршрут до подсети 10.2.0.0. По дампу видно, что пакеты на промежуточных узлах приходят от инициатора соединения, но не возвращаются обратно.
    Решением может быть добавление руками этого маршрута на каждом хосте этой подсети, что-то типа add 10.2.0.0/24 via openvpn.local.IP.from.192.168.12.0.net. Или же добавить его на шлюзе этой подсети.

    Хотя странно, что пинги проходят. В общем, если дело не в роуте, то надо больше инфы и еще желательно приложить схему сети с адресами хостов для наглядности. Так же, не совсем понятно с какого хоста правила iptables. Если с OVPN, то зачем там открыт порт 3389, если с RDP сервера, то откуда на нем tun интерфейс.
    Ответ написан
  • Как настроить доступ в локальную сеть за клиентом OpenVPN?

    @mureevms
    Пинг с сервера до локальной сети клиента не идёт. Также компьютеры из сети клиента не могуть пинговать локальную сеть за сервером.

    Это нормальное поведение. Дело в том, что у Вас просто одиночный клиент. С чего бы всей сети в которой находится клиент вообще знать о второй удаленной сети, в которой находится сервер? Т.е. Вы все настроили правильно.
    Если Вы хотите дать доступ всей подсети 192.168.2.0, то надо ставить или 1. OVPN клиента на роутер, или 2. пускать весь трафик через машину с установленный клиентом (т.е. она станет роутером со всеми вытекающими). Если же только нескольним компам, то подключите и их как клиентов.
    Ответ написан
  • Как настроить маршруты сети в openvpn на Windows server 2012r2?

    @mureevms
    Вы не пушите подсеть для клиента. В линуксе эти строки выглядят так (подправьте синтаксис под винду):
    # Пушить (передавать клиенту) DNS сервер
    push "dhcp-option DNS 192.168.6.1"
    # Пушить название домена, если надо
    push "dhcp-option DOMAIN mydomain.com"
    # Пушить маршрут локальной подсети. Для того, чтобы у клиентов был доступ до нее
    push "route 192.168.6.0 255.255.255.0"

    И измените строку server 192.0.0.0 255.255.0.0 на какой-нибудь 10.10.10.0 255.255.0.0. Указанный является маршрутизируемым в интернете, т.е. не является локальным.
    Ответ написан
    Комментировать
  • OPENVPN: как сделать вечный ключ?

    @mureevms
    10 лет мало?
    Тогда сгенерить с параметром -days, пример на 100 лет:
    ./easyrsa sign-req client User -days 36500
    Ответ написан
    3 комментария
  • OpenVPN Server и Windows CA?

    @mureevms
    Эта схема работоспособная?

    Вполне.

    Есть статья на Хабре с очень подробным описанием настройки CA и генерации ключей. Единственное, там используется не Windows, но если у Вас есть свой виндовый CA, то проблемы это не должно составить. Затем копируете созданные ключи и запускаете OpenVPN сервер.
    Вообще, советую начинать настройку самого OpenVPN по моей статье, т.к. на хабре она сильно уж сложная и запутанная для начинающего.
    Итого:
    Что касается CA, ключей и сертификатов - смотрите статью на Хабре
    Настройка OpenVPN - тут
    Авторизацию в AD - тут
    Ответ написан
    2 комментария
  • Как настроить openvpn для работы на 2х ip адресах?

    @mureevms
    Зачем вообще маркируете трафик? Разве пакеты не ходят нормально без него?
    Не совсем понятно что Вы хотите сделать при помощи правил фаера. Пустить трафик с интерфейса eth1 в таблицу prov214, он же должен уходить в prov242. Т.е. Вы сначала говорите, если пакет пришел с $IP1, то иди в таблицу prov214 и тут же его маркируете, направляя в prov214. Где логика?

    И еще, переделайте IP с интерфейса с eth0:3 на eth0. Была у меня проблема связанная с iproute и алиасом на интерфейсе.
    Ответ написан
  • Пересмотр файлов из директории ccd?

    @mureevms
    Ситуация совершенно нормальная. Чтобы перечитать конфиг, сервису надо дать такую команду. В Вашем случае он перечитывает при старте. Если рестарт не желателен, но перечитать конфиг необходимо - пользуйтесь релоадом:
    /etc/init.d/openvpn reload
    Ответ написан
    Комментировать
  • OpenVpn Как добиться максимальной скорости?

    @mureevms
    Дайте больше входных данных. Может роутеры режут скорость со стороны клиентов. Может 100Mb - это не гарантированная полоса пропускания по тарифу (до 100Mb). И еще много причин может быть. Измеряйте скорость между хостами без применения OVPN, например, скачиванием файла с сервера по HTTP или FTP.
    К тому же, параметр mssfix обычно должен быть равен 1450. Пропишите его на всех сторонах. И попробуйте убрать параметр tun-mtu 1500. fragment надо прописывать на обоих сторонах.
    Ответ написан
    Комментировать
  • Как помочь клиентам VPN увидеть друг друга?

    @mureevms
    Форвард в ядре на OVPN сервере включен?
    echo "1" > /proc/sys/net/ipv4/ip_forward
    Ответ написан
  • Как настроить маршрутизацию OpenVPN на OpenWRT?

    @mureevms
    Правильно ли я понял, Вам нужен доступ до подсети 192.168.201.0\24 для OpenVPN клиента?
    Подсеть 192.168.200.0 доступна для клиента?
    Если да, то надо просто запушить роут до этой подсети на ovpn сервере:

    push "route 192.168.201.0 255.255.255.0"

    Что за странные option перед параметрами на сервере, это такой синтаксис у openWRT? Тогда
    list push "route 192.168.201.0 255.255.255.0"
    Ответ написан