Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Помогите настроить OpenVPN server и client

    Scheduled Pinned Locked Moved Russian
    5 Posts 3 Posters 5.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      snooker22
      last edited by

      Я настроил OpenVPN server и client, соединение проходит нормально. Вот лог:

      Tue Oct 26 08:22:05 2010 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
      Tue Oct 26 08:22:05 2010 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
      Tue Oct 26 08:22:05 2010 LZO compression initialized
      Tue Oct 26 08:22:05 2010 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
      Tue Oct 26 08:22:05 2010 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
      Tue Oct 26 08:22:05 2010 Local Options hash (VER=V4): '41690919'
      Tue Oct 26 08:22:05 2010 Expected Remote Options hash (VER=V4): '530fdded'
      Tue Oct 26 08:22:05 2010 UDPv4 link local: [undef]
      Tue Oct 26 08:22:05 2010 UDPv4 link remote: 192.168.129.10:5555
      Tue Oct 26 08:22:05 2010 TLS: Initial packet from 192.168.129.10:5555, sid=12d82bc7 e05412f9
      Tue Oct 26 08:22:05 2010 VERIFY OK: depth=1, /C=RU/ST=LO/L=Vyborg/O=HOME/OU=xxx/CN=pfSense-CA/emailAddress=xxx@yandex.ru
      Tue Oct 26 08:22:05 2010 VERIFY OK: nsCertType=SERVER
      Tue Oct 26 08:22:05 2010 VERIFY OK: depth=0, /C=RU/ST=LO/O=home/OU=xxx/CN=server/emailAddress=xxx@yandex.ru
      Tue Oct 26 08:22:06 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
      Tue Oct 26 08:22:06 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
      Tue Oct 26 08:22:06 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
      Tue Oct 26 08:22:06 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
      Tue Oct 26 08:22:06 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
      Tue Oct 26 08:22:06 2010 [server] Peer Connection Initiated with 192.168.129.10:5555
      Tue Oct 26 08:22:07 2010 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
      Tue Oct 26 08:22:07 2010 PUSH: Received control message: 'PUSH_REPLY,route 100.33.1.0 255.255.255.0,route 10.0.8.0 255.255.255.0,ping 10,ping-restart 60,ifconfig 10.0.8.6 10.0.8.5'
      Tue Oct 26 08:22:07 2010 OPTIONS IMPORT: timers and/or timeouts modified
      Tue Oct 26 08:22:07 2010 OPTIONS IMPORT: –ifconfig/up options modified
      Tue Oct 26 08:22:07 2010 OPTIONS IMPORT: route options modified
      Tue Oct 26 08:22:07 2010 TAP-WIN32 device [Подключение по локальной сети 7] opened: \.\Global{944ADE28-1166-4DDC-8602-E27DAE80ECE3}.tap
      Tue Oct 26 08:22:07 2010 TAP-Win32 Driver Version 8.4
      Tue Oct 26 08:22:07 2010 TAP-Win32 MTU=1500
      Tue Oct 26 08:22:07 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.8.6/255.255.255.252 on interface {944ADE28-1166-4DDC-8602-E27DAE80ECE3} [DHCP-serv: 10.0.8.5, lease-time: 31536000]
      Tue Oct 26 08:22:07 2010 Successful ARP Flush on interface [3] {944ADE28-1166-4DDC-8602-E27DAE80ECE3}
      Tue Oct 26 08:22:07 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
      Tue Oct 26 08:22:07 2010 Route: Waiting for TUN/TAP interface to come up…
      Tue Oct 26 08:22:08 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
      Tue Oct 26 08:22:08 2010 Route: Waiting for TUN/TAP interface to come up...
      Tue Oct 26 08:22:09 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
      Tue Oct 26 08:22:09 2010 Route: Waiting for TUN/TAP interface to come up...
      Tue Oct 26 08:22:11 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
      Tue Oct 26 08:22:11 2010 Route: Waiting for TUN/TAP interface to come up...
      Tue Oct 26 08:22:12 2010 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
      Tue Oct 26 08:22:12 2010 route ADD 100.33.1.0 MASK 255.255.255.0 10.0.8.5
      Tue Oct 26 08:22:12 2010 Route addition via IPAPI succeeded
      Tue Oct 26 08:22:12 2010 route ADD 10.0.8.0 MASK 255.255.255.0 10.0.8.5
      Tue Oct 26 08:22:12 2010 Route addition via IPAPI succeeded
      Tue Oct 26 08:22:12 2010 Initialization Sequence Completed.

      В локальной сети мой pfsense стоит с IP 100.33.1.42
      Некоторым пользователям локальной сети дал доступ к Интернету (у них в сетевых настройках я прописал шлюз и DNS 100.33.1.42). Пользуются Интернетом нормально.

      Так вот, при соединении по VPN  из дома я пингую только те компы, которым я дал доступ в Интернет. А другие я не вижу. Могу ли я в сетевом окружении увидеть все компы и как этого добиться?
      И это мой первый вопрос.

      Вопрос второй:
      В локальной сети находится сервер под Линухом с IP 100.33.1.1 он принимает пинги только с компов из нашей подсети 100.33.1.xxx. Другие он не принимает, так настроен вышестоящими админами и перенастраивать никто не будет. Соответственно при соединении по VPN я не пингую и его. Как нибудь можно этого добиться?

      Если можно, ответы поподробней (что и как делать) и для веб интерфейса, т.к. использую его для настройки pfsense.
      За дельный совет запрошу кошелек для благодарностей!

      1 Reply Last reply Reply Quote 0
      • D
        deutsche
        last edited by

        ip 300…
        дальше не читал

        http://ru.doc.pfsense.org/

        1 Reply Last reply Reply Quote 0
        • D
          dvserg
          last edited by

          @deutsche:

          ip 300…
          дальше не читал

          Прикольно  ;D

          SquidGuardDoc EN  RU Tutorial
          Localization ru_PFSense

          1 Reply Last reply Reply Quote 0
          • D
            deutsche
            last edited by

            все ясно, настройте интерфейс openvpn как layer2  девайс и засуньте в бридж с lan.

            tap0 NO IP
                       br0 LAN_IP –- LAN, VPN
            lan0 NO IP

            http://ru.doc.pfsense.org/

            1 Reply Last reply Reply Quote 0
            • D
              deutsche
              last edited by

              Настройки сервера примерно такие
              more /etc/openvpn/road.conf                                                                             19:04:41
              local 10.0.2.1
              dev tap0
              proto udp
              port 1194
              mode server
              server-bridge 10.0.2.0 255.255.255.0 10.0.2.150 10.0.2.160
              #push "route 10.0.2.0 255.255.255.0"
              push "redirect-gateway"
              push "dhcp-option DNS 10.0.2.1"
              push "dhcp-option WINS 10.0.2.1"

              #ifconfig-pool-persist /etc/openvpn/road/ip_pool
              status /tmp/vpn-road.status
              tls-auth /etc/openvpn/road/keys/ta.key 0
              keepalive 10 30
              client-to-client
              duplicate-cn
              max-clients 10
              verb 3
              tls-server
              dh /etc/openvpn/road/keys/dh1024.pem
              ca /etc/openvpn/road/keys/ca.crt
              cert /etc/openvpn/road/keys/server.crt
              key /etc/openvpn/road/keys/server.key
              persist-key
              persist-tun

              http://ru.doc.pfsense.org/

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.