Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Помогите разобраться с OpenVPN

    Russian
    3
    10
    3870
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      snooker22 last edited by

      Я настроил OpenVPN server и client, соединение проходит нормально. Вот лог:

      Tue Oct 26 08:22:05 2010 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
      Tue Oct 26 08:22:05 2010 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
      Tue Oct 26 08:22:05 2010 LZO compression initialized
      Tue Oct 26 08:22:05 2010 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
      Tue Oct 26 08:22:05 2010 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
      Tue Oct 26 08:22:05 2010 Local Options hash (VER=V4): '41690919'
      Tue Oct 26 08:22:05 2010 Expected Remote Options hash (VER=V4): '530fdded'
      Tue Oct 26 08:22:05 2010 UDPv4 link local: [undef]
      Tue Oct 26 08:22:05 2010 UDPv4 link remote: 192.168.129.10:5555
      Tue Oct 26 08:22:05 2010 TLS: Initial packet from 192.168.129.10:5555, sid=12d82bc7 e05412f9
      Tue Oct 26 08:22:05 2010 VERIFY OK: depth=1, /C=RU/ST=LO/L=Vyborg/O=HOME/OU=xxx/CN=pfSense-CA/emailAddress=xxx@yandex.ru
      Tue Oct 26 08:22:05 2010 VERIFY OK: nsCertType=SERVER
      Tue Oct 26 08:22:05 2010 VERIFY OK: depth=0, /C=RU/ST=LO/O=home/OU=xxx/CN=server/emailAddress=xxx@yandex.ru
      Tue Oct 26 08:22:06 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
      Tue Oct 26 08:22:06 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
      Tue Oct 26 08:22:06 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
      Tue Oct 26 08:22:06 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
      Tue Oct 26 08:22:06 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
      Tue Oct 26 08:22:06 2010 [server] Peer Connection Initiated with 192.168.129.10:5555
      Tue Oct 26 08:22:07 2010 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
      Tue Oct 26 08:22:07 2010 PUSH: Received control message: 'PUSH_REPLY,route 100.33.1.0 255.255.255.0,route 10.0.8.0 255.255.255.0,ping 10,ping-restart 60,ifconfig 10.0.8.6 10.0.8.5'
      Tue Oct 26 08:22:07 2010 OPTIONS IMPORT: timers and/or timeouts modified
      Tue Oct 26 08:22:07 2010 OPTIONS IMPORT: –ifconfig/up options modified
      Tue Oct 26 08:22:07 2010 OPTIONS IMPORT: route options modified
      Tue Oct 26 08:22:07 2010 TAP-WIN32 device [Подключение по локальной сети 7] opened: \.\Global{944ADE28-1166-4DDC-8602-E27DAE80ECE3}.tap
      Tue Oct 26 08:22:07 2010 TAP-Win32 Driver Version 8.4
      Tue Oct 26 08:22:07 2010 TAP-Win32 MTU=1500
      Tue Oct 26 08:22:07 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.8.6/255.255.255.252 on interface {944ADE28-1166-4DDC-8602-E27DAE80ECE3} [DHCP-serv: 10.0.8.5, lease-time: 31536000]
      Tue Oct 26 08:22:07 2010 Successful ARP Flush on interface [3] {944ADE28-1166-4DDC-8602-E27DAE80ECE3}
      Tue Oct 26 08:22:07 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
      Tue Oct 26 08:22:07 2010 Route: Waiting for TUN/TAP interface to come up…
      Tue Oct 26 08:22:08 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
      Tue Oct 26 08:22:08 2010 Route: Waiting for TUN/TAP interface to come up...
      Tue Oct 26 08:22:09 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
      Tue Oct 26 08:22:09 2010 Route: Waiting for TUN/TAP interface to come up...
      Tue Oct 26 08:22:11 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
      Tue Oct 26 08:22:11 2010 Route: Waiting for TUN/TAP interface to come up...
      Tue Oct 26 08:22:12 2010 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
      Tue Oct 26 08:22:12 2010 route ADD 100.33.1.0 MASK 255.255.255.0 10.0.8.5
      Tue Oct 26 08:22:12 2010 Route addition via IPAPI succeeded
      Tue Oct 26 08:22:12 2010 route ADD 10.0.8.0 MASK 255.255.255.0 10.0.8.5
      Tue Oct 26 08:22:12 2010 Route addition via IPAPI succeeded
      Tue Oct 26 08:22:12 2010 Initialization Sequence Completed.

      В локальной сети мой pfsense стоит с IP 100.33.1.42
      Некоторым пользователям локальной сети дал доступ к Интернету (у них в сетевых настройках я прописал шлюз и DNS 100.33.1.42). Пользуются Интернетом нормально.

      Так вот, при соединении по VPN  из дома я пингую только те компы, которым я дал доступ в Интернет. А другие я не вижу. Могу ли я в сетевом окружении увидеть все компы и как этого добиться?
      И это мой первый вопрос.

      Вопрос второй:
      В локальной сети находится сервер под Линухом с IP 100.33.1.1 он принимает пинги только с компов из нашей подсети 100.33.1.xxx. Другие он не принимает, так настроен вышестоящими админами и перенастраивать никто не будет. Соответственно при соединении по VPN я не пингую и его. Как нибудь можно этого добиться?

      Если можно, ответы поподробней (что и как делать) и для веб интерфейса, т.к. использую его для настройки pfsense.
      За дельный совет запрошу кошелек для благодарностей!

      1 Reply Last reply Reply Quote 0
      • D
        dvserg last edited by

        В локальной сети мой pfsense стоит с IP 100.33.1.42
        Некоторым пользователям локальной сети дал доступ к Интернету (у них в сетевых настройках я прописал шлюз и DNS 100.33.1.42). Пользуются Интернетом нормально.

        Так вот, при соединении по VPN  из дома я пингую только те компы, которым я дал доступ в Интернет. А другие я не вижу. Могу ли я в сетевом окружении увидеть все компы и как этого добиться?
        И это мой первый вопрос.

        Все компьютеры в сети должны иметь в настройках сети шлюз и ДНС. Делайте ограничение выхода в интернет другими средствами (правила файрвола).

        1 Reply Last reply Reply Quote 0
        • E
          Eugene last edited by

          А у тебя в Firewall->NAT->Outbound, когда кликаешь плюсик (добавляешь правило) случайно в списке интерфейсов OpenVPN не появляется?

          1 Reply Last reply Reply Quote 0
          • S
            snooker22 last edited by

            Нет, не появляется.

            1 Reply Last reply Reply Quote 0
            • E
              Eugene last edited by

              @snooker22:

              Нет, не появляется.

              Тогда либо то, что предложил dvserg, либо статические маргшруты нужны на всех компах с которыми собираешься работать.

              1 Reply Last reply Reply Quote 0
              • S
                snooker22 last edited by

                Первый вопрос я понял. А как на счет второго? Я хочу из дома пользоваться некоторыми ресурсами, которые идут через  сервер сети

                1 Reply Last reply Reply Quote 0
                • E
                  Eugene last edited by

                  @snooker22:

                  Первый вопрос я понял. А как на счет второго? Я хочу из дома пользоваться некоторыми ресурсами, которые идут через  сервер сети

                  Можно попробовать настроить Outbound NAT используя твой LAN интерфейс. Не уверен, что сработает.

                  1 Reply Last reply Reply Quote 0
                  • S
                    snooker22 last edited by

                    Можно сделать так, чтобы сервер сети видел меня с ip из моей подсети?

                    1 Reply Last reply Reply Quote 0
                    • E
                      Eugene last edited by

                      @Evgeny:

                      Можно попробовать настроить Outbound NAT используя твой LAN интерфейс.

                      1 Reply Last reply Reply Quote 0
                      • S
                        snooker22 last edited by

                        Мне еще советовали сделать так:

                        настройте интерфейс openvpn как layer2  девайс и засуньте в бридж с lan.

                        tap0 NO IP
                                    br0 LAN_IP –- LAN, VPN
                        lan0 NO IP

                        Настройки сервера примерно такие
                        more /etc/openvpn/road.conf                                                                            19:04:41
                        local 10.0.2.1
                        dev tap0
                        proto udp
                        port 1194
                        mode server
                        server-bridge 10.0.2.0 255.255.255.0 10.0.2.150 10.0.2.160
                        #push "route 10.0.2.0 255.255.255.0"
                        push "redirect-gateway"
                        push "dhcp-option DNS 10.0.2.1"
                        push "dhcp-option WINS 10.0.2.1"

                        #ifconfig-pool-persist /etc/openvpn/road/ip_pool
                        status /tmp/vpn-road.status
                        tls-auth /etc/openvpn/road/keys/ta.key 0
                        keepalive 10 30
                        client-to-client
                        duplicate-cn
                        max-clients 10
                        verb 3
                        tls-server
                        dh /etc/openvpn/road/keys/dh1024.pem
                        ca /etc/openvpn/road/keys/ca.crt
                        cert /etc/openvpn/road/keys/server.crt
                        key /etc/openvpn/road/keys/server.key
                        persist-key
                        persist-tun

                        Это тоже решение моего вопроса или нет? Если да, то как это сделать через веб интерфейс?

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post

                        Products

                        • Platform Overview
                        • TNSR
                        • pfSense
                        • Appliances

                        Services

                        • Training
                        • Professional Services

                        Support

                        • Subscription Plans
                        • Contact Support
                        • Product Lifecycle
                        • Documentation

                        News

                        • Media Coverage
                        • Press
                        • Events

                        Resources

                        • Blog
                        • FAQ
                        • Find a Partner
                        • Resource Library
                        • Security Information

                        Company

                        • About Us
                        • Careers
                        • Partners
                        • Contact Us
                        • Legal
                        Our Mission

                        We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                        Subscribe to our Newsletter

                        Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                        © 2021 Rubicon Communications, LLC | Privacy Policy