Senior Member
Попробуй добавить в client.ovpn:
client
Это явный признак клиента и то, что бы он забирал конфиг с сервера (push опция на сервере)
Если клиент на винде, то часто помогает:
route-method exe
route-delay 10
где "10" время задержки, подбирается во время настройки.
а в server.conf
push "redirect-gateway 0.0.0.0 mask 0.0.0.0 10.8.0.1"
Registered User
Прокси-сервер для WL-500gP
Добрый день!
Подскажите пожалуйста, есть ли решение такой проблемы:
у меня дома стоит WL-500gP, подключенный к интернету с внешним IP. Хотелось бы сделать из него шифрующий прокси-сервер, видимый извне, чтобы я мог прописать его в браузере на работе, как обычный прокси. Т.е. я хочу добиться того, чтобы мой трафик не смог понять администратор рабочей сети. По нагрузке - качать много не буду, легкий браузинг и переписка по ICQ.
Senior Member
Ставите на роутере openvpn или poptop соединяетесь с работы и впередOriginally Posted by barby
Registered User
А что из этого, исходя из простоты и быстроты настройки?
Senior Member
Трафик в VPN соединении шифруется (причем ВЕСЬ) тоесть не только HTTP и ICQ но и FTP SMTP POP3 и т.д. ... Прокси-сервер этого делать не будет
Registered User
Вот именно ВЕСЬ трафик мне и не надо шифровать.
P.S. А как же https?..
Member
есть https, но можно исхитриться и поставить 3proxy (3[APA3A] tiny proxy), поднять на нем socks5 прокси, а от клиента передавать данные через freecap/sockscap
Member
Здравствуйте.
Не так давно удалось впихнуть в 500 премиум OpenVPN-сервер. НО. В конфиге, как я понял можно указать только 2 ip. ip сервера и ip клиента. Интересует следующий вопрос: есть ли возможность сделать подключение по ОпенВПН хотя бы 3-х машинок? Про нагрузку на роутер - сам понимаю - при одновременном коннекте будет не слабая, но само подключение будет использоваться не очень активно. (использоваться будут лишь системные команды - ping, tracert... ну может пару лёгеньких сайтиков юзаться будет.. так что аппарат должен потянуть без проблем)
Зарание спасибо за ответ.
Senior Member
Посмотри
http://forum.ixbt.com/post.cgi?id=print:14:40906
Там хороший FAQ по OpenVPN, и даны разные конфиги.
Для твоего случая подходит пункт "3.2.Конфигурация сервера"
Last edited by KOCTET; 25-06-2007 at 07:56.
Member
Спасибо огромное. Будем изучать материал.
Junior Member
Получилось что-нибудь? У меня нет
Во-первых мне не хватало файлов cakey.pem и cacert.pem
Через поиск нашел похожую команду, преобразовал ее в:
openssl req -new -x509 -keyout /opt/etc/openvpn/private/cakey.pem -out /opt/etc/openvpn/cacert.pem -days 3650
И таким образом нужные файлы у меня появились.
Потом не хватало index.txt, нашел еще описание настройки http://www.doc.miass.ru/OpenVPN/howto_openvpn.htm, оттуда взял команду echo -n > /usr/local/etc/openvpn/index.txt; echo 01 > /usr/local/etc/openvpn/serial создал пустой индекс и сериал с телом "01".
И все равно, при генерации ключей сервера:
openssl ca -days 3650 -out /opt/etc/openvpn/userv.crt -in /opt/etc/openvpn/userv.csr -extensions server
Выдает:
Посоветуйте, как быть дальше?Code:Using configuration from /opt/share/openssl/openssl.cnf Enter pass phrase for ./opt/etc/openvpn/private/cakey.pem: Error Loading extension section server 20879:error:02001002:system library:fopen:No such file or directory:bss_file.c:104:fopen('./opt/etc/openvpn/index.txt.attr','rb') 20879:error:2006D080:BIO routines:BIO_new_file:no such file:bss_file.c:107: 20879:error:0E064072:configuration file routines:CONF_load:no such file:conf_def.c:197: 20879:error:0E06D06C:configuration file routines:NCONF_get_string:no value:conf_lib.c:329:group=CA_default name=email_in_dn
Senior Member
Дальше все просто, изучаем вот этот топик:Получилось что-нибудь? У меня нет
Во-первых мне не хватало файлов cakey.pem и cacert.pem
Через поиск нашел похожую команду, преобразовал ее в:
openssl req -new -x509 -keyout /opt/etc/openvpn/private/cakey.pem -out /opt/etc/openvpn/cacert.pem -days 3650
И таким образом нужные файлы у меня появились.
Потом не хватало index.txt, нашел еще описание настройки http://www.doc.miass.ru/OpenVPN/howto_openvpn.htm, оттуда взял команду echo -n > /usr/local/etc/openvpn/index.txt; echo 01 > /usr/local/etc/openvpn/serial создал пустой индекс и сериал с телом "01".
И все равно, при генерации ключей сервера:
openssl ca -days 3650 -out /opt/etc/openvpn/userv.crt -in /opt/etc/openvpn/userv.csr -extensions server
Посоветуйте, как быть дальше?
http://wl500g.info/showthread.php?t=8880
Настраиваем все, как там написано, когда все заработает с одним клиентом, перестраиваем конфиг сервера под свои нужды.
Junior Member
Все-таки я добил этот вопросВ общем сгенерировал необходимые ключи (все по многочисленным инструкциям
Mon Aug 06 18:35:16 2007 Authenticate/Decrypt packet error: packet HMAC authentication failed
Mon Aug 06 18:35:16 2007 TLS Error: incoming packet authentication failed from 192.168.1.1:8991
Ну и потом еще кучу ошибок ессно, но это первая
Клиенту скопировано и прописано в конфиге согасно инструкции 4 ключа:
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\client_note.crt"
key "C:\\Program Files\\OpenVPN\\config\\client_note.key"
tls-auth "C:\\Program Files\\OpenVPN\\config\\ta.key" 1
В чем тут может быть дело?
Last edited by unit; 06-08-2007 at 15:36.
Junior Member
В общем 3 дня мучений не прошли зря, настроил я эту систему под кучу клиентов.
Что бы остальные так не мучались, открываю секрет золотого ключика: во всем виноват конфиг openssl.
Все примеры, все команды упомянутые в инете заточены под другой конфиг. А вед это был конфиг по-умолчанию, что ставится при инсталляции последней версии опенссл для девайса!
При генерации серверного сертификата с ключем везде в командах указано "-extensions server". Так вот, если кто не знает, "сервер" это всего лишь указание из какого блока конфига подтягивать данные. Причем самая важная команда там "nsCertType = server". В моем случае блок назывался "usr_cert", соответсвенно и команда д.б. выглядеть не "-extensions server", а "-extensions usr_cert". Ну или блок переименовать.
Но самое веселое, что у меня этот блок вызывался из основной части конфига, т.е. был "включен" всегда. Из-за этого неправильно генерились клиентские сертификаты. Стоило закомментировать строчку:
#x509_extensions = usr_cert # The extentions to add to the cert
Как все сразу заработало.
Что еще.. Ну еще пара советов:
- при ответе на "доп. вопросы" типа страны, региона и т.д. везде надо писать одно и то же, кроме полей "Имя" и "Е-меил". Они идут ближе к концу подряд.
- Если что то не получается, потом вы пробуете еще раз используя те же имена, то скорее всего будет ругаться на индексы. Посмотрите файл index.txt, сами поймете что удалить из него надо. Ну или обнулите его.
Там еще какие то проблемы были, но я их уже не помню.
Вот
P.S. на гугле, в форумах зарубежных часто обсуждают ошибку "Error Loading extension section server". так вот, никто не дал правильного ответа. То что надо в конфиг вписать "nsCertType = server" - ну это все говорят (ессно не помогает). А то, что этот блок называется по-другому и его переименовать надо, этого я еще нигде не видел
Junior Member
может поможешь остальным и напишешь how-to?
Posting Permissions
Reply With Quote