Задать вопрос

res2001

Developer, ex-admin
Ответы пользователя по тегу OpenVPN

  • Установка stunnel какой порт использовать?

    @res2001
    Developer, ex-admin
    Зачем вы используете эти мануалы? Что вы хотите получить в итоге?
    Это какое-то масло маслянное. Вы заворачиваете одно шифрованное соединение в другое шифрованное соединение. Это, наверное, круто, но смысла в этом нет. Объясните зачем это вам?
    1194 порт openvpn по умолчанию и этот порт UDP. Хотя никто не мешает использовать этот же порт на TCP. И этот порт можно поменять.
    Но stunnel использует SSL и TCP. Наиболее распространенный порт для этих целей - 443 - это порт для HTTPS трафика по умолчанию. Поэтому тут предлагается использовать порт 443. Но вы не обязаны это делать - выбирайте любой порт какой хотите.
    Accept вообще используется адрес 127.0.0.1

    Эта фраза говорит stunnel, что надо слушать только локальный (127.0.0.1) порт 443, т.е. он не будет принимать соединения с внешних адресов. Это делается, обычно, когда вам нужно зашифровать трафик какого-то приложения (если оно само не умеет это делать). Тогда приложение и stunnel запускают на одном компе и stunnel слушает только локальный порт. Приложение при этом соединяется с stunnel.
    Ответ написан
    84 комментария
    84 комментария

  • Как открыть сайт только через openvpn?

    @res2001
    Developer, ex-admin
    Надо убрать сайт из интернета и оставить для ВПН.
    Это можно отрегулировать правилами фаервола. Плюс надо чтоб внешний DNS не знал о вашем сайте, а внутренний DNS (который раздавать при подключении ВПН) возвращал бы внутренний адрес сайта.
    Ответ написан
    Комментировать
    Комментировать

  • Настроить доступ к локальной сети клиентам OpenVPN в CentOS?

    @res2001
    Developer, ex-admin
    Это лишнее:
    push "route 192.172.10.0 255.255.255.0" \\Сеть за микротом
push "route 192.168.10.0 255.255.255.0"

    Это уберите в файл клиента, в опцию iroute
    route 192.172.10.0 255.255.255.0
    Почему у вас локальная сеть за микротом имеет белые адреса? Вы арендуете у прова подсеть? (192.172.10.0/24)
    Но это к делу отношения не имеет.

    Вообще вам же, видимо, нужно что бы компы в сети за сервером ВПН имели доступ к компам за микротиком и наоборот?
    Сама ВПН у вас настроена нормально. Это видно из того, что вы успешно подключаетесь к ВПН серверу и видимо с микротика имеете доступ к компам в сети за сервером ВПН.
    У вас просто не хватает правил маршрутизации на компах в одной или в другой сети. Подозреваю, что ВПН сервер не является шлюзом по умолчанию для компов внутри сети и они не знают правильного маршрута до сети за микротиком.
    Ответ написан
    Комментировать
    Комментировать

  • Как для OpenVPN установить исходящий IP (на сервере их несколько)?

    @res2001
    Developer, ex-admin
    В конфиге OpenVPN задайте опцию local - в ней укажите, какой адрес будет слушать OpenVPN для приема входящих подключений.
    По умолчанию слушает все адреса.
    Ответ написан
    2 комментария
    2 комментария

  • Можно ли просматривать список посещенных сайтов и действия пользователя, если использовать в компании OpenVPN?

    @res2001
    Developer, ex-admin
    Любые ВПН вообще и OpenVPN в частности не имеют отношения к вашим хотелкам. Вы можете делать это с ВПН или делать без ВПН - как угодно. Для этого используется другое ПО никак не связанное с ВПН. Оно работает на уровне выше, чем работает ВПН.
    Ответ написан
    Комментировать
    Комментировать

  • Возможно сделать так: Клиент OpenVPN ↔ Сервер OpenVPN ↔ local proxy ↔ internet?

    @res2001
    Developer, ex-admin
    Возможно.
    не предлагать прокси прописать в клиентский конфиг

    В этом случае прокси у вас должен быть прозрачный. Просто перенаправляйте трафик с ВПН на прокси средствами фаервола. Собственно взаимодействие клиентов ВПН с прокси отношения к ВПН не имеет - все настраивается так же как и без ВПН.
    Ответ написан
    Комментировать
    Комментировать

  • Запуск скрипта перезагрузки служб с помощью планировщика заданий?

    @res2001
    Developer, ex-admin
    Забейте. OpenVPN сам умеет в HA/failover: https://openvpn.net/community-resources/implementi...
    Ответ написан
    1 комментарий
    1 комментарий

  • Почему клиент OpenVPN не видит сеть за сервером?

    @res2001
    Developer, ex-admin
    Потому что устройства внутри сети ничего не знают о существовании ВПН сети и шлют все ответы на шлюз по умолчанию. А шлюз по умолчанию у вас не является ВПН сервером, на сколько я понял. В итоге ответные пакеты теряются.
    Нужно на каждом устройстве внутри сети добавить маршрут до ВПН сети через ВПН сервер.
    Ответ написан
    6 комментариев
    6 комментариев

  • Как подключиться к VPN на VPS Windows Server 2012 R2?

    @res2001
    Developer, ex-admin
    При чем тут openvpn?
    Причину вы понимаете не правильно - ВПН создает новый виртуальный сетевой адаптер, его IP ни с чем не конфликтует (хотя теоретически может, но это достаточно редкий случай).
    Ваша ситуация похожа на наиболее частую ошибку, когда ВПН соединение перезаписывает "шлюз по умолчанию" на клиенте. Это поведение обычно можно отключать. Как именно зависит от используемого варианта ВПН.
    Ответ написан
    7 комментариев
    7 комментариев

  • Как отследить, спарсить, визуально мониторить подключившихся пользователей по OpenVPN?

    @res2001
    Developer, ex-admin
    В конфиге openvpn есть директива status - в ней можно задать путь к файлу куда openvpn будет складывать текущую информацию по подключенным соединениям. Чем парсить - фиг знает, разбирайте его сами, лог простой.

    В директивах log или log-append - указываете общий файл лога, туда льется вся остальная инфа от openvpn.
    Уровень логирования задается с помощью verb.
    Ответ написан
    Комментировать
    Комментировать

  • Как отправлять внешний ip адрес пользователя OPENVPN при обращении к компьютеру в локальной сети?

    @res2001
    Developer, ex-admin
    Никак. Не нужен тут IPBAN, пользователь неудачно ввел пароль в винду, при этом с ВПН у него проблем нет.

    Это делается другими средствами. Настройте политики винды (АД или локальные) на блокировку пользователя на какое-то время в случае N неудачных регистраций.
    Ответ написан
    9 комментариев
    9 комментариев

  • OpenVPN не работает с самостоятельно сгенерированными сертификатами OpenSSL. Как исправить?

    @res2001
    Developer, ex-admin
    VERIFY ERROR

    unable to get issuer certificate

    Возможно вы сгенерировали сертификат для сервера, подписанный одним ключом ЦА, а сертификат клиента другим ЦА.
    Возможно вы не подложили новый сертификат ЦА для сервера и т.п.
    В общем сертификат ЦА должен быть одним и тем же для сервера и клиента, ключи сервера и клиента должны быть подписаны одним и тем же ЦА. Пути в конфигах сервера и клиента должны указывать на правильные сертификаты.

    easyrsa - это всего лишь легкая обертка над openssl, так что суть одна и та же. Должны работать оба варианта.
    В easyrsa используется свой конфиг файл для openssl, возможно там какие-то отличия от того, что вы использовали во втором варианте, сравните их.
    Можно сравнить и используемые команды openssl.
    Ответ написан
    1 комментарий
    1 комментарий

  • Как выдать клиенту внешний IP?

    @res2001
    Developer, ex-admin
    Т.к. белые адреса раздают провайдеры, то покупаете у прова целую подсеть с нужным количеством адресов и раздаете клиентам по ВПН. Учтите, что сервер ВПН то же должен иметь адрес из этой подсети.
    Это может быть дорого. Не каждый провайдер сейчас готов давать в аренду целые подсети. Если нужно много адресов, то это еще более проблемно.
    Ответ написан
    Комментировать
    Комментировать

  • Как настроить OpenVPN для работы в LAN из WAN?

    @res2001
    Developer, ex-admin
    А у вас компы внутри сети знают про маршрут к ВПН клиенту?
    Это работает сразу только в случае, если ВПН сервер является одновременно и шлюзом по умолчанию для компов внутри сети. На сколько я понимаю, это не ваш случай. Если это так, то нужно на компах прописать маршрут к ВПН сети и шлюзом указать внутренний адрес ВПН сервера. Маршруты можете прописывать любым доступным способом: руками, через DHCP, через GPO ...
    Ответ написан
    3 комментария
    3 комментария

  • OpenVpn перестал соединять, что случилось?

    @res2001
    Developer, ex-admin
    error=unable to get local issuer certificate:

    У вас проблема с сертификатами.
    Возможно закончился срок действия вашего сертификата или сертификата ЦА или на сервере сменили сертификат ЦА и свой серверный. В общем комбинаций несколько, т.к. в цепочке подключения обычно используются 3 сертификата (ваш, сервера, ЦА).
    В конфиге openvpn в соответствующих директивах указаны пути к файлам сертификатов, проверьте их. Обычно их содержимое в читабельном виде, но могут быть варианты.
    Ответ написан
    Комментировать
    Комментировать

  • VPN маршрутизация на Windows возможно ли?

    @res2001
    Developer, ex-admin
    Зачем вам server-bridge? Ниразу не видел openvpn работающий в этом режиме. Ну может оно и работает ...
    Режим topology subnet + server наше все.
    В общем когда ВПН клиент подключится к серверу останется только правильно настроить таблицы маршрутизации на ВСЕХ участниках обмена.
    Ответ написан
    3 комментария
    3 комментария

  • OpenVPN не работает по TCP?

    @res2001
    Developer, ex-admin
    Как минимум нужно увидеть, что openvpn пишет в журнал на счет ошибки: /var/log/openvpn/openvpn.log
    По вашему описанию нет возможности это узнать.

    Нет никакой своей версии TCP. На сервере openvpn выставляете tcp-server, на клиенте tcp-client. Хотя должно работать и просто tcp в обоих случаях. Когда я последний раз настраивал TCP для openvpn, указывал просто tcp и все работало. Так же можно использовать tcp4 или tcp6, если нужно работать только с конкретной версией протокола. Аналогично и для udp.
    Почему вы используете интерфейс tap, вместо tun? Есть какие-то причины? Обычно используют tun.
    Ответ написан
    6 комментариев
    6 комментариев

  • Не вижу сеть за сервером openvpn?

    @res2001
    Developer, ex-admin
    Да, конфиг вроде у вас правильный.
    Для проверки можете на клиенте, после подключения к ВПН посмотреть таблицу маршрутизации, там должен быть маршрут до нужной сети через сервер ВПН.

    Но этого не достаточно - компы в сети за сервером ВПН должны знать маршрут до компов в ВПН сети. Если ВПН сервер не является шлюзом по умолчанию для компов в сети, то этот маршрут надо добавлять на каждый комп (которому нужно взаимодействовать с клиентами ВПН) вручную (или любым доступным способом, например через опции DHCP и т.п.).
    Ответ написан
    14 комментариев
    14 комментариев

  • Почему клиент openvpn не читает нормально конфиг файл от сервера?

    @res2001
    Developer, ex-admin
    Ошибка не там где вы указали, а в теге tls-crypt.
    Какая версия openvpn на клиенте? tls-crypt появился только в версии 2.4
    Используйте tls-auth.
    Ответ написан
    3 комментария
    3 комментария

  • Сменил порт у openvpn, и вылетела ошибка, в чем дело?

    @res2001
    Developer, ex-admin
    Возможно это связано с разными значениями mtu на клиенте и сервере.
    Добавьте опцию mtu-test в конфиг на сервере и клиенте, тогда при подключении openvpn будет тестировать mtu и выведет в лог информацию о реальном мту, его можно будет прописать в опции tun-mtu
    https://community.openvpn.net/openvpn/wiki/Openvpn...
    https://forums.openvpn.net/viewtopic.php?t=25039
    Ответ написан
    Комментировать
    Комментировать