1.1, GreenX (??), 17:29, 19/01/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А в чём там косяк со вторым сервис паком от хп?
У разработчика написано :
NOTE: Windows XP Service Pack 2 breaks OpenVPN 1.6.0. If you are using XP SP2, it is recommended that you use OpenVPN 2.0.
| |
1.3, stager (??), 19:09, 19/01/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
а про то, как настроить впн для одинокого клиента под виндой и сервером на линуксе можете рассказать?
я так понимаю нужно использовать bridge, а вот с этим как раз какаято фигня происходит
и ещё хотелось бы узнать, чем статический ключ хуже ssl? | |
|
2.14, crypt (?), 21:15, 23/01/2005 [^] [^^] [^^^] [ответить]
| +/– |
В такой конфигурации - ничем не хуже, а может быть даже чуть-чуть лучше по быстродействию будут. | |
|
1.4, klexx (?), 19:46, 19/01/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
У мя это как раз работает :) Если чё стучись по мылу, обьясню как и что :) | |
1.5, cybpoison (??), 00:16, 20/01/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Могу помочь в настройки этого всего и со статическими ключами и SSL-сертификатами...
В XP SP2 бага основана на том, что интерфейс не появляется, нужно ставить OpenVPN 2.0r6 и тогда появляется интерфейс...
Короче у кого какие вопросы, то жду в ICQ :)
ICQ:623091 | |
|
2.6, John (??), 10:06, 20/01/2005 [^] [^^] [^^^] [ответить]
| +/– |
"Вы конечно все молодцы...."
Умные люди придумали форум.
Чтоб один раз написали все почитали
что-то до бавили что то подправили.
А тут начинаются предложения.
Давай по почте, давай по ICQ....
Не лучше ли раз прописать все это в форуме.
Чтоб вас по 10 раз не спрашивали а если кто спросит то
адресовать на этот форум.
А может кто что нового и полезного добавит. | |
|
1.7, qwerty (??), 11:16, 20/01/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
чето не хочет на Фре генерить ключи, это наверное под линем синтаксис?
openvpn -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
0: I'm trying to parse "-nodes" as an --option parameter but I don't see a leading '--'
1: Use --help for more information
| |
|
2.9, Михаил (??), 16:01, 20/01/2005 [^] [^^] [^^^] [ответить]
| +/– |
Не хочет потому, что должно быть не openvpn, а openssl
openssl req -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -days 3650
И далее по тексту тоже openvpn заменить на openssl | |
|
1.8, Ежик (?), 12:26, 20/01/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А эту беду для создания туннеля с Cisco можно использовать? Если со стороны Cisco ipsec? | |
|
2.10, Andrey Mitrofanov (?), 12:04, 21/01/2005 [^] [^^] [^^^] [ответить]
| +/– |
> эту беду для создания туннеля с Cisco можно использовать? Если со стороны Cisco ipsec?
А вот ipsec тут не при чём. Впрочем cisco, по факту, тоже.
Хотя, можно, наверное: собрать паке-е-ет для, apt-get install его... %))) Но, пожалуй, Cisco не будет этого делать для своей супер-надёжной, поддержиФаюШей "индустриальные стандарты" мега-популярной... _закрытой_ платформы.
Но мы ведь их совсем не за это любим? B-) | |
|
|
2.13, gt (??), 03:57, 23/01/2005 [^] [^^] [^^^] [ответить]
| +/– |
интересно, ты сначала здесь прочитал, а потом без ошибок или сначала без ошибок а потом здесь?
обосрать всегда и все можно и это, кстати, не трудно сделать.
| |
|
1.15, Skif (??), 10:58, 26/01/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Такой вопрос, у меня имеется несколько серверов в инете, связаных банальным ipsec+gif все как по handbook-у работает без нареканий, но появился еще один и он подключен через ADSL модем. Там ip реальный находиться на мопеде, а мне выделен только серый. надо подключить этот сервак в нашу общую сетку между серверами. Сейчас листаю и изучаю все что мжно, что бы организовать такой тунель
{СЕРВЕР С РЕАЛЬНЫМ IP, он же сервер доступа для VPN} <----->[Modem(ZyXEL, кому интересно) с реальным IP] <-----> {СЕРВЕР с частным IP}
Сможет ли такой VPN пробиться сквозь нат? или может покурить доки mpd? | |
|
2.18, Michael (??), 17:08, 03/02/2005 [^] [^^] [^^^] [ответить]
| +/– |
>Такой вопрос, у меня имеется несколько серверов в инете, связаных банальным ipsec+gif
>все как по handbook-у работает без нареканий, но появился еще один
>и он подключен через ADSL модем. Там ip реальный находиться на
>мопеде, а мне выделен только серый. надо подключить этот сервак в
>нашу общую сетку между серверами. Сейчас листаю и изучаю все что
>мжно, что бы организовать такой тунель
>{СЕРВЕР С РЕАЛЬНЫМ IP, он же сервер доступа для VPN} <----->[Modem(ZyXEL, кому интересно) с реальным IP] <-----> {СЕРВЕР с частным IP}
>Сможет ли такой VPN пробиться сквозь нат? или может покурить доки mpd?
насколько я в курсе, ipsec использует ip-протокол, отличный от TCP и UDP.
его может просто не пропустить НАТ в АДСЛ-модеме... ищи у своего модема фичу под названием vpn-passthrough или ipsec-passthrough.
еще пара вариантов:
1) перенастроить модем из режима роутера в режим бриджа, тогда реальный ip-адрес будет уже у самого компа.
2) перейти на другой vpn, например OpenVPN в этой ситуации продошел бы идеально. не обязательно ломать сущестыующий ipsec, можно на OpenVPN построить только этот один линк. | |
|
1.16, Galmir (?), 13:08, 02/02/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Мужики, а вот такой вопрос: настроил туннель (Win2000/FreeBSD), сервер на фрюхе, клиент на винде. За КАЖДЫМ из них стоит сколько-то компов, то есть это 2 шлюза, на винде KERIO Firewall. Все они в одной подсети 10.100.1.X, и туннель нужен только для инкапсуляции адресов (чтобы компы одного офиса видели компы другого офиса). Но не видят, то есть с каждого шлюза есть пинг только на другой конец туннеля, а за ним ни фига не доступно.
Что править, где косяк? | |
|
2.17, Michael (??), 16:26, 03/02/2005 [^] [^^] [^^^] [ответить]
| +/– |
>Мужики, а вот такой вопрос: настроил туннель (Win2000/FreeBSD), сервер на фрюхе, клиент
>на винде. За КАЖДЫМ из них стоит сколько-то компов, то есть
>это 2 шлюза, на винде KERIO Firewall. Все они в одной
>подсети 10.100.1.X, и туннель нужен только для инкапсуляции адресов (чтобы компы
>одного офиса видели компы другого офиса). Но не видят, то есть
>с каждого шлюза есть пинг только на другой конец туннеля, а
>за ним ни фига не доступно.
>
>Что править, где косяк?
вариантов 2:
1) разноси клиентов в разные подсети и настраивай маршрутизацию.
2) локальные интерфейсы каждого из шлюзов объедини с OpenVPN-интерфейсом в мост (бридж).
по обоим вариантам в родной доке все хорошо расписано.
| |
|
1.19, Michael (??), 16:22, 02/03/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А если есть две локалки, один домен, два сайта, на границах - FreeBSD с OpenVPN - будут работать прозрачно виндовые машины ? | |
|
2.20, Michael (??), 12:40, 10/03/2005 [^] [^^] [^^^] [ответить]
| +/– |
>А если есть две локалки, один домен, два сайта, на границах -
>FreeBSD с OpenVPN - будут работать прозрачно виндовые машины ?
домен и сайты к делу не относятся...
а две локалки соединить с помощью OpenVPN можно.
что означает "работать прозрачно" ?
По крайней мере пинговаться будет и сетевые диски по ip-адресу прицепить будет можно. Да и вообще любой софт, использующий ip-протокол без широковещания, работать будет.
а вот использовать имена компов из сетевого окружения - вряд ли...
Хотя если настроить в режиме моста, то можно даже сетевое окружение общее сделать. Но не рекомендую - много лишнего трафика будет в канале, плохо для тех у кого канал медленный или трафик дорогой. | |
|
1.21, Michael (??), 20:07, 11/03/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я имел в виду виндовые сайты, те, на которые домен разбивается, чтобы меньше траффик был. | |
1.23, resu (??), 00:36, 31/03/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ставлю openvpn 2 т.к. нуждаюсь в создании тунэля между win клиентами и linux server’ ом за которым стоит LAN c ресурсами на которые эти клиенты должны получить доступ, а получаю следующую проблему:
настраиваю tun device, сервер получает IP для tun0 – 10.8.0.1/32 win client – 10.8.0.10/30 и default gateway 10.8.0.9
я не понимаю зачем нужна такая network mask 255.255.255.252 и если она необходима, то почему на сервере не подымается интерфейс tun0:1 IP 10.8.0.9/30. этого адреса вообще нигде нет и поэтому нет и доступа к подсетям моей LAN (я засылаю клиенту при помощи push "route ..." все необходимые руты, клиент их получает и правильно садит, но нет к ним gateway’я нет и связи с ними).
Что я делаю не так??????
меняю tun на tap и все получается так, как я это понимаю:
- сервер IP 10.8.0.1/24
- клиент IP 10.8.0.101/24 defaul gateway 10.8.0.1
все бы хорошо, но тут я не знаю в чем разница между тунелем и bridge’м в терминологии OpenVPN. В каких случаях надо применять тот или иной device.
Если кто то уже разобрался с этой темой – буду очень признателен за помощь | |
1.24, max (??), 13:43, 28/04/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Добрый день !!!
Господа никто случайно не прикручивал openvpn + freeradius? | |
|
2.25, Michael (??), 18:38, 28/04/2005 [^] [^^] [^^^] [ответить]
| +/– |
>Господа никто случайно не прикручивал openvpn + freeradius?
а как одно связано с другим? | |
|
1.26, merlyn (?), 18:57, 14/06/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Пробую настроить openvpn - не получается
к серверу FreeBSD цепляется виндовый клиент из-за Nat, openvpn 2.0. Использую статические ключи, канал встает, но пинги не ходят, хотя в логах сервера openvpn видно что пакетами обмениваются.
не могу понять в чем проблема | |
|
2.27, Michael (??), 19:36, 14/06/2005 [^] [^^] [^^^] [ответить]
| +/– |
>хотя в логах сервера
>openvpn видно что пакетами обмениваются.
а подробнее, что в логах?
на обоих сторонах должна быть строка вида "Peer Connection Initiated with" с ip-адресом другой стороны
| |
|
1.28, pawel_chk (??), 20:27, 22/06/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
как правильно настроить openvpn клиента если неизвестен заранее IP (dial-up через мобилку (GPRS)) | |
|
2.29, Михаил (??), 14:10, 06/07/2005 [^] [^^] [^^^] [ответить]
| +/– |
>как правильно настроить openvpn клиента если неизвестен заранее IP (dial-up через мобилку
>(GPRS))
не указывать явно параметр local в конфиге, достаточно знать ip-адрес сервера и указать его в параметре remote
| |
|
|
2.31, Михаил (??), 11:12, 05/09/2005 [^] [^^] [^^^] [ответить]
| +/– |
>А билинг есть под опенвпн какойто ?
а зачем под него какой-то особенный биллинг?
OpenVPN создает обыкновенный сетевой интерфейс, который ничем принципиально не отличается от, например, Ethernet-ного..
| |
|
3.32, zyxman (?), 13:40, 10/07/2006 [^] [^^] [^^^] [ответить]
| +/– |
к сожалению, как раз для биллинга отличается.
конкретно, лучшее что я знаю для биллинга в freebsd - ng_ipacct - не может непосредственно брать данные с tun, зато беспроблемно работает с эзернетами.
решение простое, хотя на мой взгляд немножко неестественное (и слишком тяжелое при широких потоках) - ipfw tee нужного траффика в ksocket и с него уже счет ng_ipacct - у меня уже работает с апреля на пол мегабита.
С Уважением,
Зюхман.
| |
|
4.33, Alesx (?), 03:06, 19/09/2006 [^] [^^] [^^^] [ответить]
| +/– |
Все работает. Вот только одна проблема - при рестарте сервера, соединение не востанавливается и приходится рестартить клиента. Может можно сделать, что бы соединение восстанавливалось во всех случаях? | |
|
|
|
1.34, YuroN (??), 17:12, 14/12/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>openvpn reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
с версией OpenVPN 2.0.5 пишет:
Options error: I'm trying to parse "reg" as an --option parameter but I don't see a leading '--'
Use --help for more information.
что делать? | |
1.35, Аноним (-), 18:09, 10/03/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Статья просто ужасная автора убить мало. Первое для генерации ключей используйте openssl, второе не reg, а req (от слова реквест). Пожалуйста выдай исходную ссылку статьи... | |
|
2.36, Михаил (??), 10:53, 12/03/2007 [^] [^^] [^^^] [ответить]
| +/– |
>Статья просто ужасная автора убить мало. Первое для генерации ключей используйте openssl,
>второе не reg, а req (от слова реквест). Пожалуйста выдай исходную
>ссылку статьи...
Зачем тебе статья двухлетней давности?
OpenVPN довольно неплохо развивается и информация двухлетней давности, имхо, уже устарела.
Читайте родную документацию! Там все написано!
В крайнем случае, на оригинальном сайте есть ссылки на сторонние руководства. | |
|
1.37, NF (?), 00:03, 12/05/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Короче... надо поднять виндовый VPN сервер, только чтоб клиенты(тож виндовые) могли цепляться к нему, не видя друг друга, все в одной под сети типа 123.123.***.***, все подключаются к инету через АДСЛ (у сервера можно сделать статический ип), критерии безопасности не оч важны, лишь бы работало, манов для моего случая не нашел, | |
|
2.39, d_m (?), 10:29, 22/06/2007 [^] [^^] [^^^] [ответить]
| +/– |
"не видя друг друга"
"критерии безопасности не оч важны"
Сэр! Вы сами себе противоречите. Первое - весьма сильный "критерий безопасности". | |
|
1.40, akaGudvin (?), 12:06, 06/06/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Действительно ли технология OpenVPN является настолько надежной, как об этом пишут, или это очередная уловка спецслужб? На этот вопрос я решил себе ответить запустив Wireshark и проанализировав трафик VPN соединения в различных режимах работы (с шифрованием и без, с транспортом в виде TCP и UDP, ...).
Как оказалось не все так радужно как об этом пишут. SSLv3/TLSv1 я нашел, но он оказался инкапсулирован в другой неизвестный мне протокол, поддерживающий фрагментирование. Не помог мне ни официальный сайт openvpn, ни google. Как человеку, постоянно использующему эту технологию, хотелось бы знать что за информация там передается и зачем этот протокол вообще нужен?
Заранее благодарен всем, кто окажет свою посильную помощь в разрешении этого вопроса.
| |
|
2.41, Аноним (41), 12:48, 06/06/2008 [^] [^^] [^^^] [ответить]
| +/– |
>но он оказался инкапсулирован в другой неизвестный мне протокол, поддерживающий
>фрагментирование.
UDP? :)
| |
|
3.42, AloneGh0st (ok), 13:11, 09/06/2008 [^] [^^] [^^^] [ответить]
| +/– |
Мужики! Помогите разобраться...
Надо засунуть из мира несколько машин в офисную сетку(домен внутренний)
в Офисной сетке стоит Gentoo сервак(OpenVPN), клиент будет подниматься
на Windows XP SP2 Pro. Нужна ваша помощь. Вроде все настроил, выдаёт в логе:
Mon Jun 09 12:09:37 2008 OpenVPN 2.1_rc7 Win32-MinGW [SSL] [LZO2] [PKCS11] built on Jan 29 2008
Mon Jun 09 12:09:37 2008 WARNING: using --pull/--client and --ifconfig together is probably not what you want
Mon Jun 09 12:09:37 2008 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Jun 09 12:09:37 2008 LZO compression initialized
Mon Jun 09 12:09:37 2008 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Jun 09 12:09:37 2008 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Jun 09 12:09:37 2008 Local Options hash (VER=V4): '41690919'
Mon Jun 09 12:09:37 2008 Expected Remote Options hash (VER=V4): '530fdded'
Mon Jun 09 12:09:37 2008 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Jun 09 12:09:37 2008 UDPv4 link local: [undef]
Mon Jun 09 12:09:37 2008 UDPv4 link remote: 217.147.161.29:1194
Mon Jun 09 12:09:37 2008 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Уже незнаю чё делать, в фаэрволе под клиент открыл дырку... и всеравно одно и тоже...
| |
|
|
1.43, Ярослав (??), 15:24, 19/01/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
аффтору незачёт.
Сертификаты генерятся openssl, а не openvpn.
Соответственно
openvpn reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
меняется на
openssl req -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
Второй параметр req а не reg.
Статья нуждается в редактировании, так как прямое её применение невозможно.
| |
|
2.44, Michael (??), 11:54, 20/01/2010 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
>openvpn reg -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
>
>меняется на
>
>openssl req -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
>
>
>Второй параметр req а не reg.
>
>Статья нуждается в редактировании, так как прямое её применение невозможно.
Про это еще 4 года назад было написано:
http://www.opennet.dev/openforum/vsluhforumID3/4979.html#9
| |
|
|