Форум русскоязычного сообщества Ubuntu


Автор Тема: [HOWTO] OpenVPN + SSL/TLS  (Прочитано 100732 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: [HOWTO] OpenVPN + SSL/TLS
« Ответ #30 : 08 Сентября 2014, 02:06:41 »
szallberg, см. выше.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн AlinaLi

  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: [HOWTO] OpenVPN + SSL/TLS
« Ответ #31 : 13 Сентября 2014, 13:27:45 »
Сори за дубляж, просто не знаю где будет правильно размещать вопросы.

В общем проблема с запуском tun.
Я тут вот ветку создала, не увидела сразу эту тему...
https://forum.ubuntu.ru/index.php?topic=249734.0

Перепробовала все что можно уже. Не знаю как быть.

Оффлайн yu25

  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Re: [HOWTO] OpenVPN + SSL/TLS
« Ответ #32 : 20 Сентября 2014, 22:07:12 »
Здравствуйте.
В общем собираюсь настроить VPN, но не до конца разобрался с маршрутизацией. Очень прошу помочь разобраться. Имеется две сети 192.168.11.0 и на сервере и на клиенте. Я так понимаю, что так не получиться реализовать, или я ошибаюсь? Не будет ли конфликта адресов? Или надо вторую сеть переименовать на 192.168.12.0? Просто это не совсем просто. Надо чтобы все компьютеры одной сети видели все компы другой.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: [HOWTO] OpenVPN + SSL/TLS
« Ответ #33 : 20 Сентября 2014, 22:22:36 »
Сети не должны совпадать. Без вариантов. Вы можете использовать любую подсеть но только до тех пор, пока ваша сеть остаётся изолированной.
При наличии малейшего шанса, что сеть когда-либо, в будущем, может соединяться с какой-то другой, необходимо выбирать уникальную (read: от фонаря) адресацию. В пределах стандартов, конечно.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: [HOWTO] OpenVPN + SSL/TLS
« Ответ #34 : 20 Сентября 2014, 22:37:29 »
А через TAP соединить не получится?
Вроде, можно: http://system-administrators.info/?p=1438

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: [HOWTO] OpenVPN + SSL/TLS
« Ответ #35 : 20 Сентября 2014, 22:47:30 »
Тогда хотя бы адреса хостов должны быть уникальные. Но я практически уверен, что как минимум одно совпадение точно есть.
« Последнее редактирование: 20 Сентября 2014, 22:52:02 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн yu25

  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Re: [HOWTO] OpenVPN + SSL/TLS
« Ответ #36 : 28 Сентября 2014, 20:11:32 »
Помогите пожалуйста разобраться, т.к. только планирую настроить ОпенВПН.
Задача след.
Имеется удаленная сеть с серым IP, внутренняя адресация 192.168.11.0
имеется сеть офиса с белым айпи  (Ubuntu serv 14.04)внутренняя адресация тоже 192.168.11.0
Мои соображения, подправьте меня если что не так.
В сети офиса с белым IP настраиваю OpenVPN, чтобы клиенты видели друг-друга прописываю clien-to-client и интерфейсом tun. Потом переименовываю удаленную сеть на 192.168.10.0 Ниже я приведу некот. конфиг сервера кот. я набросал. Вот, еще хочу узнать. Если сеть с серым ip подключается к ВПН, то весь трафик пойдет через ВПН (может я ошибаюсь, прошу поправить). Но мне не надо, чтобы кто-то из удаленной сети, если захочет допустим зайти на ubuntu.ru,то запросы на этот сайт пойдут через сеть офиса, т.е. чтобы в интернет они лазили не затрагивая впн сеть. И ещё, адреса клиентам выдаются автоматически или можно использовать статические адреса?

server.conf
port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key 
dh /etc/openvpn/keys/dh2048.pem
server 10.8.0.0 255.255.255.0
client-config-dir ccd
ifconfig-pool-persist ipp.txt
route 192.168.10.0 255.255.255.0
push "route 192.168.11.0 255.255.255.0" # ?
push "route 192.168.10.0 255.255.255.0" # ?
keepalive 10 120
comp-lzo
max-clients 10
status openvpn-status.log
log         openvpn.log
verb 3
mute 20

Клиент
client
dev tun
proto udp
remote 82.148.х.х 1194
resolv-retry infinite # Надо ли это, если подкл.по постоянному айпи
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/client.crt
key /etc/openvpn/keys/client.key
comp-lzo
tls-client
tls-auth /etc/openvpn/keys/ta.key 1
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
verb 3
mute 20

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: [HOWTO] OpenVPN + SSL/TLS
« Ответ #37 : 28 Сентября 2014, 20:16:57 »
Вот, еще хочу узнать. Если сеть с серым ip подключается к ВПН, то весь трафик пойдет через ВПН (может я ошибаюсь, прошу поправить).
Только если так настроите.
В общем, как настроите, так и будет работать.

Цитировать
Но мне не надо, чтобы кто-то из удаленной сети, если захочет допустим зайти на ubuntu.ru,то запросы на этот сайт пойдут через сеть офиса, т.е. чтобы в интернет они лазили не затрагивая впн сеть. И ещё, адреса клиентам выдаются автоматически или можно использовать статические адреса?
Какие адреса каким клиентам?… Уточняйте.
И не забывайте про спойлеры в нужных местах.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн yu25

  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Re: [HOWTO] OpenVPN + SSL/TLS
« Ответ #38 : 28 Сентября 2014, 20:23:39 »
Извините, если не точно указал.
Подскажите, как сделать так, чтобы клиенты впн-сервера не могли с впн (сервера) сети выйти в интернет.
Чтобы они лазили в интернет только со своего шлюза, а в впн сети только по сети предприятия

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: [HOWTO] OpenVPN + SSL/TLS
« Ответ #39 : 28 Сентября 2014, 20:46:03 »
переименовываю удаленную сеть на 192.168.10.0
OK

Но мне не надо, чтобы кто-то из удаленной сети, если захочет допустим зайти на ubuntu.ru,то запросы на этот сайт пойдут через сеть офиса, т.е. чтобы в интернет они лазили не затрагивая впн сеть.
Если не делать
push "redirect-gateway def1"то дефолтный шлюз меняться не будет.

push "route 192.168.11.0 255.255.255.0" # ?
OK

push "route 192.168.10.0 255.255.255.0" # ?
Это нужно только если будут другие клиенты, которым потребуется доступ в сеть удалённого филиала.
Например, чтобы вам из дому админить.

resolv-retry infinite # Надо ли это, если подкл.по постоянному айпи
Оставьте, хуже не будет.

ifconfig-pool-persist ipp.txt
Насколько я помню, эта штука работает не особо, я бы убрал.
Фиксированные IP лучше раздать через ccd.

Ещё надо в ccd создать файл с именем CN сертифика филиала и примерно таким содержимым:
ifconfig-push 10.8.0.250 10.8.0.249
iroute 192.168.10.0 255.255.255.0

И добавить в server.conf:
ifconfig 10.8.0.254 10.8.0.253

Оффлайн yu25

  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Re: [HOWTO] OpenVPN + SSL/TLS
« Ответ #40 : 28 Сентября 2014, 20:49:39 »
ArcFi, БОЛЬШОЕ СПАСИБО за совет и за подробное разжевывание!

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: [HOWTO] OpenVPN + SSL/TLS
« Ответ #41 : 29 Сентября 2014, 10:14:07 »
ifconfig-pool-persist ipp.txt
Насколько я помню, эта штука работает не особо, я бы убрал.
Согласен, работает не особо. Но и не мешает. )))

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1709
  • חתול המדען
    • Просмотр профиля
Re: [HOWTO] OpenVPN + SSL/TLS
« Ответ #42 : 16 Ноября 2014, 21:42:11 »
Доброго времени. У меня вопросы:
1. Есть в openvpn аналог ip-up/ip-down ?
2. Каким образом можно задать маршрут в пользовательской таблице?
OpenWrt 19.07

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: [HOWTO] OpenVPN + SSL/TLS
« Ответ #43 : 16 Ноября 2014, 22:07:19 »
1. Какая основная задача?
2. push "route ...."

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1709
  • חתול המדען
    • Просмотр профиля
Re: [HOWTO] OpenVPN + SSL/TLS
« Ответ #44 : 16 Ноября 2014, 22:16:32 »
(Нажмите, чтобы показать/скрыть)

Пользователь решил продолжить мысль [time]17 Ноябрь 2014, 19:13:42[/time]:
1. Есть в openvpn аналог ip-up/ip-down ?
В общем, таки есть. Невнимательно посмотрел man.
(Нажмите, чтобы показать/скрыть)

Путём нехитрого допиливания init'а
(Нажмите, чтобы показать/скрыть)
за основу взял ip-up/ip-down из pppd
(Нажмите, чтобы показать/скрыть)
(Нажмите, чтобы показать/скрыть)
И создал две директории /etc/openvpn/ip-up.d и /etc/openvpn/ip-down.d/. Работает.
Второй вопрос становиться неактуальным. Спасибо.
« Последнее редактирование: 17 Ноября 2014, 18:17:11 от koshev »
OpenWrt 19.07

 

Страница сгенерирована за 0.032 секунд. Запросов: 25.