Задать вопрос

res2001

Developer, ex-admin
Комментарии

  • OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

    @res2001
    BLOOD_ELF, Включить службы в автозагрузку. По умолчанию openvpn регшистрирует свои службы, но они в ручном управлении.
    Включил общий доступ в подключении на сервере

    Общий доступ в винде - изрядный костыль. Я бы не рекомендовал его использовать в критичных местах.
    Раз у вас есть доступ к роутеру, то проще всего настроить 1 вариант из предложенных, надо только на роутере добавить маршрут до ВПН сети 10.8.0.0\24 через ваш сервер. И все!
    Написано

  • OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

    @res2001
    продолжение
    3.Можно подсетку 192.168.100.0/24 поделить на 2 подсети. В одной оставить ваш сервер и роутер, а второю назначить на ВПН. Тогда можно не трогать роутер, все манипуляции будут только на вашем сервере
    4.Поднять NAT на интерфейсе 192.168.100.222 и пакеты из ВПН отправлять через NAT.

    В общем 2 и 4 вариант мне лично не нравятся.
    Написано

  • OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

    @res2001
    BLOOD_ELF,
    При подключении на локальном ПК, роутинги идут на 10.8.0.5.

    В openvpn есть несколько режимов работы (топологий виртуальной сети), режим по умолчанию (ваш случай) net30 - это когда для каждого клиента выделяется своя 30 подсеть из выделенного диапазона, первый адрес в подсети назначается серверу, второй- клиенту. При этом, видимо, адрес 10.8.0.1 постоянно зарезервирован за сервером. Режим устаревший, но сохраняется для обратной совместимости.
    В конфиге сервера укажите topology subnet
    Это изменит режим маршрутизации openvpn, в этом случае ВПН серверу так же будет назначаться 1 адрес 10.8.0.1, но все клиенты будут находится в одном адресном пространстве без деления на подсети.
    Провайдер выделяет свой VPN канал для доступа к этому сервису (он физически подключается по адресу подключения).

    Ну как-бы такого не может быть, они должны знать ваш IP диапазон, что бы правильно настроить маршрутизацию у себя.
    Роутер на котором ВПН провайдера - провайдерский? Они им управляют или вы?
    Адрес 192.168.100.222 на сервере выделяется динамически? Подозреваю, что вам выделена сетка 192.168.100.0\24, возможно не 24, а меньше.
    Можете на роутере посмотреть настройки DHCP сервера - диапазон раздаваемых адресов.
    Так же посмотрите, поднят ли NAT. Возможно, что на роутере уже поднят NAT, поэтому для провайдера ограничений на ваши адреса нет - они уже забили 1 адрес на роутере и на нем висит NAT.
    Поэтому тут вижу несколько вариантов развития событий:
    1. настроить маршрутизацию на роутере для подсети 10.8.0.0\24 через 192.168.100.222. В этом случае адрес 192.168.100.222 на сервере должен быть статический, чтоб не менялся со временем.
    2.openvpn настроить в режиме бриджа, тогда ВПН клиенты то же будут как-бы в локальной сети и смогут получать адрес от DHCP роутера и свободно смогут ходить за сервисом.
    Я никогда не использовал openvpn в режиме бриджа, но теоретически настройка еще проще, чем в режиме роутинга. Но все равно предпочитаю роутинг бриджу. Правда в вашем случае, если управление роутером вам не доступно, то возможно особо выбирать будет не из чего.
    Написано

  • OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

    @res2001
    BLOOD_ELF, В целом конфиги рабочие и раз 10.8.0.1 пингуется, значит ВПН работает.
    Удалите постоянный маршрут на клиенте до 192.168.10.82.
    Добавьте в серверный конфиг опцию: push "route 192.168.10.82 255.255.255.255"
    Проследите, что бы после подключения ВПН на клиенте появился маршрут к 192.168.10.82 через 10.8.0.1.
    Когда маршрут появится, то со стороны ВПН настройки окончены.

    Какие есть ограничения на доступ к сервису со стороны провайдера? В свое время я имел дело с похожим сервисом. Там нам выделили диапазон адресов (нам выделили \30 подсеть), с которых мы имели право туда ходить, эти адреса были жестко зафиксированы в конфигах оператора сервиса. Наверняка у вас то же есть подобные ограничения.
    Написано

  • Можно ли подключить к одному iSCSI несколько серверов потребителей?

    @res2001
    grabbee, Да, только read-only надо делать на уровне ФС.
    Тут еще будет вопрос в том, что стандартные ФС ничего не знают, что у них есть соседи по ФС и обычно кэшируют FAT, поэтому, когда RW сосед обновит данные на ФС (добавит/удалит файлы), его RO сосед может не сразу их увидеть.
    У меня такого опыта не было, так что рассуждения чисто теоретические.
    Написано

  • OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

    @res2001
    BLOOD_ELF, ВПН вообще работает? Можете пропинговать с клиента сервер по внутреннему ВПН адресу?
    Фаерволы не блокируют ВПН трафик?
    Написано

  • OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

    @res2001
    BLOOD_ELF, Давайте сюда конфиги клиента и сервера.
    В логах ошибки есть?
    И посмотрите мой первый пост - там указано, как правильно указать маршрут в конфиге ВПН.
    Написано

  • OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

    @res2001
    BLOOD_ELF, Адрес сервера вы можете посмотреть на сервере (ipconfig), но обычно openvpn сервер получает первый адрес из диапазона. 10.8.0.2 - это адрес клиента.
    Написано

  • OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

    @res2001
    BLOOD_ELF,
    т.е. так должно выглядеть?

    Да, интерфейс задавать не нужно.
    Написано

  • OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

    @res2001
    BLOOD_ELF,
    route -p add 192.168.10.82 mask 255.255.255.255 192.168.100.1 IF 27

    Это не правильная команда - вы не правильно указали IP адрес шлюза. Он должен быть внутренним ВПН адресом ВПН сервера (т.е. шлюзом будет ВПН сервер).
    Написано

  • OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

    @res2001
    BLOOD_ELF,
    Это невозможно.

    Если это не возможно, то как вы получаете к нему доступ без ВПН? :-)
    Вам просто в опции надо указать IP адрес этого сервиса (192.168.10.82) и маску, по которому клиент будет к нему обращаться, а маршрутизатором для клиента будет выступать ВПН сервер. Команду прописать в конфиге ВПН сервера, в формате, который я привел.
    NAT вам придется то же поднимать, если его еще нет в каком-то виде.
    Написано

  • OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

    @res2001
    Вы правы, надо добавить маршрут к сети за сервером. Это делается с помощью опции в конфиге сервера:
    push "route <subnet ip> <subnet mask>"
    Кроме того, возможно понадобиться добавить маршрут до ВПН сети (10.8.0.0) на "сервис электронных рецептов", но это не обязательно, зависит от того является ли шлюз, через который вы получаете доступ к этому сервису шлюзом по умолчанию для него. Если с той стороны вы ничего изменить не можете, то нужно поднимать еще и NAT и пускать трафик к сервису от ВПН клиента через NAT.
    Написано

  • Установка stunnel какой порт использовать?

    @res2001
    dminster94,
    Options error: You must define TUN/TAP device (--dev)

    Видимо в конфиге нет опции dev tun
    Написано

  • Как настроить маршрутизацию?

    @res2001
    fastboot,
    вот так?

    Если работает - так. В комментарии к полю написано - разделитель опций точка с запятой, про "новую строку" ничего не сказано.
    Написано

  • Как настроить маршрутизацию?

    @res2001
    fastboot, Кстати, внутри pfSense FreeBSD. Я думаю, что можно в настройках pfSense включить ssh доступ к маршрутизатору. Конфиги openvpn, скорее всего, должны лежать по стандартному пути: /etc/openvpn или /usr/local/etc
    Написано

  • Как настроить маршрутизацию?

    @res2001
    fastboot, опции разделяются точкой с запятой ("semicolon").
    Написано

  • Как настроить маршрутизацию?

    @res2001
    Приведите текстовые конфиги openvpn сервера и клиента, если это возможно.
    Не знаю используются ли в pfSense в настройке openvpn клиентские конфиги (в основном конфиге openvpn присутствует опция client-config-dir, клиентские конфиги лежат в каталоге, указанном в этой опции), если используется, то надо для клиента openwrt добавить опцию:
    iroute 172.30.255.0 255.255.255.0
    Это добавит маршрут в pfSense до сети за клиентом при его подключении (и удалит при отключении).
    Написано

  • Проблемы с работой туннеля, пока не пингуешь какой нибудь яндекс. Поможете?

    @res2001
    Посмотрите traceroute до сервера, до яндекса без пингов. И то же самое с пингами. Сравните.
    Предполагаю, что с появлением пакетов до яндекса провайдер направляет ваш трафик другим маршрутом.
    Написано

  • Установка stunnel какой порт использовать?

    @res2001
    dminster94, Для проверки конфига вы можете стартовать службы вручную. Например, чтоб стартовать openvpn дайте такую команду:
    openvpn --config <путь к конфигу>
    В этом случае, если в конфиге будет ошибка, вы увидите сообщение на экране при старте.
    Написано

  • Установка stunnel какой порт использовать?

    @res2001
    dminster94, Если нет openvpn.log, то записи должны быть в том же syslog.
    И я что-то не нашел опции log-attend, есть log и есть log-append: https://openvpn.net/community-resources/reference-...
    Написано