Ответы пользователя по тегу OpenVPN
  • OpenVPN на протоколе UDP не видит только отключение клиента в логах?

    @res2001
    Developer, ex-admin
    Используйте в конфиге сервера опцию keepalive. Это заставит OpenVPN отправлять тестовые пинги для проверки соединения.
    https://openvpn.net/community-resources/reference-...
    Ответ написан
    Комментировать
  • Маскировка виртуальной сетевой карты под железную?

    @res2001
    Developer, ex-admin
    Создавайте туннель на отдельном компе, не на том, на котором крутится софт. И используйте его как шлюз для адресов, на которые ходит этот софт.
    Ответ написан
  • Нет доступа к внутренней подсети как настроить машрут?

    @res2001
    Developer, ex-admin
    Встречные вопросы:
    1. На сколько понял ВПН поднимается и, например, пинги идут с ВПН IP сервера на ВПН IP клиента и наоборот?
    2. Значит проблема в доступе из сети клиента в сеть сервера и наоборот?
    3. Т.к. ВПН сервер и клиент подняты на роутерах, то предполагаю, что эти же роутеры являются шлюзами по умолчанию для компов в своих сетях?

    Если на все вопросы ответ - Да.
    То проблема в блокировке трафика фаерволами. Блокировка может происходить как на роутерах так и на конечных узлах локальными фаерами.
    Проблемы с маршрутизацией быть не должно, т.к. роутеры - шлюзы по умолчанию в своих сетях.
    Выберите по компу в обеих сетях, убедитесь, что на этих тестовых компах роутеры являются шлюзами по умолчанию, отключите на них локальные фаерволы и тестируйте. Предварительно убедитесь, что на роутерах фаервол не блокирует ВПН трафик. Так же было бы полезно во время теста смотреть на роутерах вывод tcpdump по ВПН интерфейсу.
    Ответ написан
  • Проблема с Port forwarding с помощью openvpn?

    @res2001
    Developer, ex-admin
    Видимо ВПН сервер является маршрутом по умолчанию на андроиде.
    В конфиге OpenVPN андроида есть строка:
    push "redirect-gateway def1 bypass-dhcp"
    Уберите. Это она добавляет маршрут по умолчанию через ВПН сервер.
    Ответ написан
  • Почему пропадает интернет при подключениие к OpenVPN?

    @res2001
    Developer, ex-admin
    Типичная ошибка. ВПН сервер прописал себя маршрутом по умолчанию для клиента. И теперь все пакеты в интернет идут на ВПН сервер.
    В этом виновата опция
    push "redirect-gateway def1 bypass-dhcp"
    Она делает не то, что вы думаете.
    Просто закоментируйте эту опцию и перезагрузите сервер.
    Ответ написан
    54 комментария
  • Ограничение доступа в интернет клиентам OpenVPN?

    @res2001
    Developer, ex-admin
    добавляя опции

    Это странно, мягко говоря. Похоже вы добились прямо противоположного. Опция
    push redirect-gateway def1 bypass-dhcp
    Делает ВПН сервер шлюзом по умолчанию на клиентах. Так что интернет у клиента будет идти через ВПН.
    Вторая опция просто добавляет DNS сервер клиенту.
    Что бы клиент использовал свой интернет - удалите обе опции из конфига сервера.

    Все это легко проверяется - соединитесь с ВПН и посмотрите таблицу маршрутизации на клиенте стандартными средствами. Если маршрут по умолчанию будет через ВПН сервер - значит клиент будет получать интернет через ВПН.

    Включение NAT на ВПН интерфейсе то же не обязательно. Использовать его или нет - зависит от текущих настроек сети за клиентом и сервером и от того для чего вы используете ВПН.
    Ответ написан
  • Как конвертировать socks5 в openvpn?

    @res2001
    Developer, ex-admin
    Абстрагируясь от текста (т.к. мало поясняет схему и смысл) и предполагая, что клиент будет на смарте с openvpn, то схему можно детализировать так:
    Смартфон с openvpn клиентом -> что-то с openvpn сервером + socks5 -> интернет
    Таким образом на клиентском смарте поднимаем соединение openvpn, далее в браузере (или что там у вас ходит через socks5) прописываем адрес прокси как внутренний ВПН адрес openvpn сервера. Работаем.
    Ответ написан
  • Какого порта не хватает OpenVPN для соединения?

    @res2001
    Developer, ex-admin
    Присоединяюсь ко всем отвечающим - Openvpn использует только один порт.
    Возможно не хватает правила для исходящих пакетов с этого порта, но не факт, конечно.
    Включите логирование в openvpn сервере и по логам отследите попадают ли вообще клиентские пакеты в openvpn сервер. Если клиентские пакеты попадают, значит блокируются ответы.
    Фаерволы сейчас есть практически на каждом утюге, в т.ч. и на домашних ПК с виндой и т.п., так что блокироваться пакеты могут на разных стадиях прохождения маршрута, это надо иметь ввиду.
    Вообще в openvpn лучше использовать UDP. На TCP есть проблемы при плохом качестве связи, а это вполне может быть если расстояние между клиентом и сервером большое или по другим причинам.
    Ответ написан
    Комментировать
  • Как настроить маршрутизацию сети с openvpn?

    @res2001
    Developer, ex-admin
    1. У вас на openvpn сервере и на клиенте винда? Какие версии и там и там? Если Home или Pro, то надо включить маршрутизацию: параметр в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRouter (REG_DWORD) выставить в значение 1 и перезагрузиться. На серверной винде маршрутизация обычна уже включена.
    2. на openvpn сервере в клиентский конфиг (находящийся в каталоге C:\\OpenVPN\\ccd) добавить директиву:
    iroute 192.168.1.0 255.255.255.0
    Это добавит на openvpn сервере маршрут к сети клиента при подключении клиента (при отключении - удалит).
    3. в основной конфиг openvpn сервера добавить добавить директиву:
    push "route 192.168.0.0 255.255.255.0"
    Это добавит на клиенте маршрут до сети за сервером при подключении.
    4. На остальных компах за сервером стоит шлюзом по умолчанию интернет роутер, поэтому они все пакеты, предназначенные клиентской сети шлют на роутер, а не на сервер opewnvpn. Вам надо добавить в таблицу маршрутизации на каждом компе в сети (кроме openvpn сервера) маршрут до клиентской сети командой:
    route -p add 192.168.1.0 mask 255.255.255.0 192.168.0.2

    Маршрут не обязательно добавлять руками, можно политиками AD или опциями при раздаче адреса в DHCP.
    5. На компах в сети за клиентом происходит то же самое, что и в сети за сервером, только там маршрут будет немного другим:
    route -p add 192.168.0.0 mask 255.255.255.0 192.168.1.2
    Ответ написан
    7 комментариев
  • Как изменить OVN подключение так, чтобы в качестве IP-адреса сервера использовался 127.0.0.1:1194?

    @res2001
    Developer, ex-admin
    Указать в параметре remote
    Ответ написан
    Комментировать
  • Stunnel4.service failed как исправить?

    @res2001
    Developer, ex-admin
    Конфиги в студию. Приведенные ошибки на стороне клиента или сервера?
    Ошибки, видимо 2:
    Unknown TCP service "993 ."

    Видимо описан лишний сервис в конфиге, уберите его.
    [!] Service [openvpn]: Cannot resolve accept target

    Доступен ли openvpn по адресу и порту, указанному во фразе accept?
    Ответ написан
    Комментировать
  • Установка stunnel какой порт использовать?

    @res2001
    Developer, ex-admin
    Зачем вы используете эти мануалы? Что вы хотите получить в итоге?
    Это какое-то масло маслянное. Вы заворачиваете одно шифрованное соединение в другое шифрованное соединение. Это, наверное, круто, но смысла в этом нет. Объясните зачем это вам?
    1194 порт openvpn по умолчанию и этот порт UDP. Хотя никто не мешает использовать этот же порт на TCP. И этот порт можно поменять.
    Но stunnel использует SSL и TCP. Наиболее распространенный порт для этих целей - 443 - это порт для HTTPS трафика по умолчанию. Поэтому тут предлагается использовать порт 443. Но вы не обязаны это делать - выбирайте любой порт какой хотите.
    Accept вообще используется адрес 127.0.0.1

    Эта фраза говорит stunnel, что надо слушать только локальный (127.0.0.1) порт 443, т.е. он не будет принимать соединения с внешних адресов. Это делается, обычно, когда вам нужно зашифровать трафик какого-то приложения (если оно само не умеет это делать). Тогда приложение и stunnel запускают на одном компе и stunnel слушает только локальный порт. Приложение при этом соединяется с stunnel.
    Ответ написан
    84 комментария
  • Как открыть сайт только через openvpn?

    @res2001
    Developer, ex-admin
    Надо убрать сайт из интернета и оставить для ВПН.
    Это можно отрегулировать правилами фаервола. Плюс надо чтоб внешний DNS не знал о вашем сайте, а внутренний DNS (который раздавать при подключении ВПН) возвращал бы внутренний адрес сайта.
    Ответ написан
    Комментировать
  • Настроить доступ к локальной сети клиентам OpenVPN в CentOS?

    @res2001
    Developer, ex-admin
    Это лишнее:
    push "route 192.172.10.0 255.255.255.0" \\Сеть за микротом
    push "route 192.168.10.0 255.255.255.0"

    Это уберите в файл клиента, в опцию iroute
    route 192.172.10.0 255.255.255.0
    Почему у вас локальная сеть за микротом имеет белые адреса? Вы арендуете у прова подсеть? (192.172.10.0/24)
    Но это к делу отношения не имеет.

    Вообще вам же, видимо, нужно что бы компы в сети за сервером ВПН имели доступ к компам за микротиком и наоборот?
    Сама ВПН у вас настроена нормально. Это видно из того, что вы успешно подключаетесь к ВПН серверу и видимо с микротика имеете доступ к компам в сети за сервером ВПН.
    У вас просто не хватает правил маршрутизации на компах в одной или в другой сети. Подозреваю, что ВПН сервер не является шлюзом по умолчанию для компов внутри сети и они не знают правильного маршрута до сети за микротиком.
    Ответ написан
    Комментировать
  • Как для OpenVPN установить исходящий IP (на сервере их несколько)?

    @res2001
    Developer, ex-admin
    В конфиге OpenVPN задайте опцию local - в ней укажите, какой адрес будет слушать OpenVPN для приема входящих подключений.
    По умолчанию слушает все адреса.
    Ответ написан
  • Можно ли просматривать список посещенных сайтов и действия пользователя, если использовать в компании OpenVPN?

    @res2001
    Developer, ex-admin
    Любые ВПН вообще и OpenVPN в частности не имеют отношения к вашим хотелкам. Вы можете делать это с ВПН или делать без ВПН - как угодно. Для этого используется другое ПО никак не связанное с ВПН. Оно работает на уровне выше, чем работает ВПН.
    Ответ написан
    Комментировать
  • Возможно сделать так: Клиент OpenVPN ↔ Сервер OpenVPN ↔ local proxy ↔ internet?

    @res2001
    Developer, ex-admin
    Возможно.
    не предлагать прокси прописать в клиентский конфиг

    В этом случае прокси у вас должен быть прозрачный. Просто перенаправляйте трафик с ВПН на прокси средствами фаервола. Собственно взаимодействие клиентов ВПН с прокси отношения к ВПН не имеет - все настраивается так же как и без ВПН.
    Ответ написан
    Комментировать
  • Почему клиент OpenVPN не видит сеть за сервером?

    @res2001
    Developer, ex-admin
    Потому что устройства внутри сети ничего не знают о существовании ВПН сети и шлют все ответы на шлюз по умолчанию. А шлюз по умолчанию у вас не является ВПН сервером, на сколько я понял. В итоге ответные пакеты теряются.
    Нужно на каждом устройстве внутри сети добавить маршрут до ВПН сети через ВПН сервер.
    Ответ написан
    6 комментариев
  • Как подключиться к VPN на VPS Windows Server 2012 R2?

    @res2001
    Developer, ex-admin
    При чем тут openvpn?
    Причину вы понимаете не правильно - ВПН создает новый виртуальный сетевой адаптер, его IP ни с чем не конфликтует (хотя теоретически может, но это достаточно редкий случай).
    Ваша ситуация похожа на наиболее частую ошибку, когда ВПН соединение перезаписывает "шлюз по умолчанию" на клиенте. Это поведение обычно можно отключать. Как именно зависит от используемого варианта ВПН.
    Ответ написан
    7 комментариев