Задать вопрос
Ответы пользователя по тегу OpenVPN
  • Настраивается ли выход в интернет из сети OpenVPN не из сервера а из одгого из клиентов?

    @res2001
    Developer, ex-admin
    Учитывая, что выход в интернет - это просто правильный маршрут по умолчанию в стандартной таблице маршрутизации, которая не имеет отношения к ВПН. То, да, настроить такие маршруты вполне можно.

    Тут вам проще, видимо, будет сделать 2 ВПН. Один для всех клиентов. Второй для клиента, который будет выступать шлюзом в интернет. Причем, видимо, для второго ВПН роли клиента и сервера лучше поменять местами, т.е. ваш предполагаемый клиент будет ВПН сервером, а сервер первого ВПН станет клиентом во втором ВПН. Как-то так вижу.
    Ответ написан
  • Почему клиент не подключается к серверу OpenVPN?

    @res2001
    Developer, ex-admin
    Ответ написан
    Комментировать
  • Как через openvpn linux клиента иметь доступ во всю подсеть?

    @res2001
    Developer, ex-admin
    1. В конфиге OpenVPN ВПН сервера добавить соответствующую опцию push route
    2. На всех компах в сети (кроме ВПН сервера), к которым должен быть доступ из ВПН, добавить маршрут до ВПН подсети через ВПН сервер.
    Ответ написан
  • С чем может быть связана ошибка OVPN mikrotik?

    @res2001
    Developer, ex-admin
    TLS Error: TLS key negotiation failed to occur within 60 seconds

    Произошел разрыв соединения из-за таймаута ожидания ответа от сервера.
    Скорее всего сервер по указанному протоколу/адресу/порту не доступен или трафик блокируется фаерволом.
    Если в это же время посмотреть логи сервера, то там, скорее всего не будет никаких признаков входящего клиентского соединения.

    Т.е. реально до соединения дело не доходит. Если бы соединение произошло и был бы, например, не правильный сертификат или еще что-то, то пришла бы нормальная ошибка от сервера и отвал произошел бы не по таймауту.

    Судя по всему у вас используется протокол TCP, для проверки доступности сервера можете использовать telnet. Если телнет подключиться - значит сервер доступен по адресу/порту.
    Ответ написан
  • Как развернуть второй сервер OpenVPN на одном железе?

    @res2001
    Developer, ex-admin
    В винде по умолчанию при установке openvpn добавляется только 1 виртуальный tun/tap адаптер, чтоб запустить несколько экземпляров openvpn нужно для каждого экземпляра использовать свой виртуальный адаптер.
    В комплекте установки есть утилита tapctl, позволяющая добавлять адаптеры, а так же в меню пуск есть ярлыки для запуска этой утилиты с правильными параметрами.

    На самом деле в актуальной версии openvpn по умолчанию устанавливается 3 виртуальных адаптера, но каждый из них разного типа: tun, tap, dco. Похоже можно использовать разные типы адаптеров, изменив опцию dev.
    На сколько помню, раньше был только 1 тип адаптера: tun. Его я и использовал всегда. На сколько хорошо работают остальные типы адаптеров под виндой - не в курсе.

    Кроме того OpenVPN устанавливает свои службы, которые удобно использовать на серверах, когда нужно, чтоб openvpn стартовал автоматически при старте винды, без вмешательства пользователя.
    Ответ написан
    4 комментария
  • Верно ли настроены данные конфигурации для клиента и сервера в OpenVPN?

    @res2001
    Developer, ex-admin
    Что за адрес у вас указан в опции server? Тут обычно указывают какую-то серую подсеть для того, что бы ее адреса использовались внутри ВПН. Адреса из под сети 169.254.х.х обычно используются при проблемах с назначением адреса (ошибка получения по DHCP и т.п.). Думаю не стоит использовать эту подсеть в принципе.

    Зачем вам ВПН внутри локальной сети (192.168.1.158)?

    Клиент пытается подключиться к серверу 192.168.1.158:1194.
    Скорее всего, ошибка связана с тем, что сервер не доступен по указанному адресу.
    Ответ написан
    1 комментарий
  • Как настроить доступ в локальную сеть через Openvpn?

    @res2001
    Developer, ex-admin
    Компы во внутренней сети, что-то знают о сети ВПН? Там же другие адреса - это другая сеть. Маршрутизация как настроена? Не достаточно того, что бы клиент ВПН знал маршрут до другой сети через ВПН, надо еще и что бы эта "другая" сеть знала маршрут до клиентов ВПН.
    push "route 192.168.100.0 255.255.255.0" - только добавляет маршурт на клиента, но ничего не делает с компами внутри сети.
    Просто пропишите маршруты до ВПН сети через ВПН сервер на компах внутри сети, которым нужен обмен с клиентами ВПН.
    Так же не забудьте про фаерволы.
    Ответ написан
    7 комментариев
  • Почему не полностью отзывается клиент?

    @res2001
    Developer, ex-admin
    Что клиент подключается к серверам с разными ключами? Ну тогда надо отзывать и второй клиентский ключ.

    Вообще в вашей конфигурации нет смысла создавать клиентам разные ключи. Вам ничто не мешает синхронизировать клиентские ключи на серверах, точно так же как и список отзыва.
    Кстати для списков отзыва есть протокол OCSP, позволяющий проверять списки отзывов по сети. В этом случае отпадает необходимости передавать файлы со списком отзыва по серверам. Но тут, конечно, надо заморочиться с поднятием и поддержкой OCSP сервера и нужно указывать URL OCSP при создании сертификатов.
    Ответ написан
  • Запуск OpenVPN клиента и сервера на одной машине. Как?

    @res2001
    Developer, ex-admin
    Проблема, видимо, в том, что при подключении ВПН клиента шлюзом по умолчанию становится ВПН-сервер, к которому подключается ВПН клиент. Нужно убрать это поведение (опция push "redirect-gateway def1" в конфиге ВПН сервера 10.36.0.1).
    В целом, не вижу проблем, что бы клиент и сервер работали параллельно на одном компе, если они оба не будут трогать настройки шлюза по умолчанию. Скорее всего для правильной маршрутизации трафика придется добавлять статические маршруты или прописывать правила фаервола, перенаправляющие определенный трафик в нужный интерфейс.
    Ответ написан
  • Что делать если openvpn сильно режет скорость интернета?

    @res2001
    Developer, ex-admin
    Видимо, при включенном ВПН у вас меняется шлюз по умолчанию и весь трафик идет через ВПН.
    Это реально может сильно снизить скорость.
    Если ВПН вам нужен именно для такого использования, то скорее всего стоит перенести сервер на другую площадку.
    Если же ВПН вам нужен, например, для доступа в корпоративную сеть, то стоит убрать настройку шлюза по умолчанию из конфига ВПН сервера.
    Ответ написан
    Комментировать
  • Сервер-клиент openvpn win не видят за собой локальную сеть. как исправить?

    @res2001
    Developer, ex-admin
    Подключение ВПН на клиенте и сервере создает дополнительный виртуальный сетевой адаптер со своим IP адресом. Программное обеспечение ВПН отвечает только за трафик, который попадает внутрь ВПН. Все остальное конфигурируется стандартными средствами: таблицы маршрутизации, фаерволы, NAT. В openvpn некоторые настройки таблиц маршрутизации можно (нужно) указывать в конфиге ВПН, а не напрямую править таблицы в ОС. Все это относится к любой ОС - принципы работы openvpn одинаковы в линукс и винде.

    Обычно конфиг клиента делают максимально "легким". Там указывают только необходимые опции для подключения к серверу (протокол, адрес и порт сервера, параметры шифрования и логирования). Все что касается маршрутизации между сетями (route, push route) убирается в конфиг сервера.
    Опция push "route ..." - добавляет маршрут на удаленной стороне. Т.е. если опция указана в конфиге сервера, то маршрут добавляется на стороне клиента.
    Для добавления маршрута на стороне сервера в конфиге сервера используется опция: route

    CCD файлы:
    У вас не правильный синтаксис для опции ifconfig-push.
    Правильный такой: ifconfig-push client_ip mask
    Т.е. IP сервера не требуется указывать.
    В опции iroute указываем сети за этим конкретным клиентом. Эти маршруты добавятся в таблицу маршрутизации сервера при подключении клиента. Не нужно дублировать эти маршруты опциями route в основном конфиге сервера.
    Так же можно в CCD файле указать опцию push route для добавления маршрута клиенту для сети за сервером. Обычно push route указывают в основном конфиге сервера и она работает для всех клиентов.

    Но! Что бы сети за клиентом и сервером могли друг друга видеть они должны знать по каким маршрутам передавать трафик друг для друга. Если ВПН сервер и ВПН клиент являются для своих сетей шлюзами по умолчанию - то проблемы нет, компы внутри сетей и так будут слать весь трафик через них. Но если ВПН сервер и/или ВПН клиент не являются шлюзами по умолчанию для своих сетей, то требуется добавить дополнительные маршурты для соседних сетей через ВПН сервер/клиент. Централизованно маршруты можно добавить через опции DHCP, возможно политиками AD.

    Фаерволы на любом узле могут блокировать трафик. Для отладки взаимодействия сетей через ВПН рекомендую сначала отключить фаерволы на всех тестовых устройствах. После того как настроите маршрутизацию фаерволы включайте по одному, сразу проверяйте работу и вносите изменения в правила фаервола, если необходимо.

    После того как вы добились соединения ВПН клиента с сервером все остальное - это правильная настройка маршрутизации и фаерволов.
    Ответ написан
  • Как настроить openvpn сервер с udp портом для клиентов с серыми ip?

    @res2001
    Developer, ex-admin
    OpenVPN лучше работает на UDP, у них есть статья почему это именно так, гуглите. Но это не значит, что вариант с TCP не работоспособен, просто там есть определенные "особенности".
    Арендуйте VDS с белым IP и на нем разместите VPN сервер.
    Не только для ВПН, но и вообще для любого сервиса, который должен быть доступен из интернет необходим белый IP.
    Можно, конечно, попробовать договорится с оператором о пробросе портов, но, по моему, это не реально.
    Ответ написан
  • Как безопасно подменить OpenVPN сервер?

    @res2001
    Developer, ex-admin
    Абсолютно нормально. Это ваши сертификаты. На старом сервере вы их генерировали самостоятельно (ну или тот кто был вместо вас и настраивал OpenVPN). В самом OpenVPN нет других сретификатов, кроме тех, которые вы ему предоставляете.

    В принципе для нового сервера вы могли бы сгенерировать другие сертификаты (файлы server.crt и server.key) их не нужно передавать клиенту. Так было бы совсем правильно (но и использовать ключи старого сервера то же вполне можно). Для генерации вам потребуется закрытый ключ CA (ca.key), если его нет, то сгенерировать новые ключи уже не возможно. И в этом случае вы столкнетесь с проблеммой, когда истекут сроки сертификатов. Вообще во всей инфраструктуре ключей шифрования ключ и сертификат CA - самые ценные составляющие, остальные можно легко менять.
    Ответ написан
    2 комментария
  • Почему такая низкая скорость с openvpn?

    @res2001
    Developer, ex-admin
    РКН начинает блокировать openvpn?

    Если бы начал, то скорость бы упала в ноль.

    Для начала стоит замерить задержки на пути пакетов от дома до ВПН сервера. Это надо сделать когда скорость нормальная и когда скорость упала. Проводите замеры несколько дней, чтоб набрать статистику. Сравнивая задержки, вы сможете найти на каком участке по пути есть провалы скорости. Возможно, во время провала скорости меняется маршрут пакетов и т.п.
    Измеряйте задержки не внутри ВПН, а по "чистому" каналу. Измерять задержки можно с помощью traceroute (tracert) или с помощью iperf.

    Если провалы скорости у ваших операторов (Мегафон или Contabo), то можно попробовать пообщаться с поддержкой операторов. Если же это где-то по середине, у других операторов, то вряд ли можно что-то реально сделать. Вероятно только сменить своего оператора, или попробовать как-то повоздействовать через своего оператора, предоставив ему статистику.
    Ответ написан
    Комментировать
  • OpenVPN на протоколе UDP не видит только отключение клиента в логах?

    @res2001
    Developer, ex-admin
    Используйте в конфиге сервера опцию keepalive. Это заставит OpenVPN отправлять тестовые пинги для проверки соединения.
    https://openvpn.net/community-resources/reference-...
    Ответ написан
    Комментировать
  • Маскировка виртуальной сетевой карты под железную?

    @res2001
    Developer, ex-admin
    Создавайте туннель на отдельном компе, не на том, на котором крутится софт. И используйте его как шлюз для адресов, на которые ходит этот софт.
    Ответ написан
  • Нет доступа к внутренней подсети как настроить машрут?

    @res2001
    Developer, ex-admin
    Встречные вопросы:
    1. На сколько понял ВПН поднимается и, например, пинги идут с ВПН IP сервера на ВПН IP клиента и наоборот?
    2. Значит проблема в доступе из сети клиента в сеть сервера и наоборот?
    3. Т.к. ВПН сервер и клиент подняты на роутерах, то предполагаю, что эти же роутеры являются шлюзами по умолчанию для компов в своих сетях?

    Если на все вопросы ответ - Да.
    То проблема в блокировке трафика фаерволами. Блокировка может происходить как на роутерах так и на конечных узлах локальными фаерами.
    Проблемы с маршрутизацией быть не должно, т.к. роутеры - шлюзы по умолчанию в своих сетях.
    Выберите по компу в обеих сетях, убедитесь, что на этих тестовых компах роутеры являются шлюзами по умолчанию, отключите на них локальные фаерволы и тестируйте. Предварительно убедитесь, что на роутерах фаервол не блокирует ВПН трафик. Так же было бы полезно во время теста смотреть на роутерах вывод tcpdump по ВПН интерфейсу.
    Ответ написан
  • Проблема с Port forwarding с помощью openvpn?

    @res2001
    Developer, ex-admin
    Видимо ВПН сервер является маршрутом по умолчанию на андроиде.
    В конфиге OpenVPN андроида есть строка:
    push "redirect-gateway def1 bypass-dhcp"
    Уберите. Это она добавляет маршрут по умолчанию через ВПН сервер.
    Ответ написан
  • Почему пропадает интернет при подключениие к OpenVPN?

    @res2001
    Developer, ex-admin
    Типичная ошибка. ВПН сервер прописал себя маршрутом по умолчанию для клиента. И теперь все пакеты в интернет идут на ВПН сервер.
    В этом виновата опция
    push "redirect-gateway def1 bypass-dhcp"
    Она делает не то, что вы думаете.
    Просто закоментируйте эту опцию и перезагрузите сервер.
    Ответ написан
    54 комментария
  • Ограничение доступа в интернет клиентам OpenVPN?

    @res2001
    Developer, ex-admin
    добавляя опции

    Это странно, мягко говоря. Похоже вы добились прямо противоположного. Опция
    push redirect-gateway def1 bypass-dhcp
    Делает ВПН сервер шлюзом по умолчанию на клиентах. Так что интернет у клиента будет идти через ВПН.
    Вторая опция просто добавляет DNS сервер клиенту.
    Что бы клиент использовал свой интернет - удалите обе опции из конфига сервера.

    Все это легко проверяется - соединитесь с ВПН и посмотрите таблицу маршрутизации на клиенте стандартными средствами. Если маршрут по умолчанию будет через ВПН сервер - значит клиент будет получать интернет через ВПН.

    Включение NAT на ВПН интерфейсе то же не обязательно. Использовать его или нет - зависит от текущих настроек сети за клиентом и сервером и от того для чего вы используете ВПН.
    Ответ написан