Page 5 of 17 FirstFirst ... 3456715 ... LastLast
Results 61 to 75 of 242

Thread: Установка OpenVPN в основную память для НОВИЧКОВ

  1. #61
    да, именно так

  2. #62
    Спасибо, все заработало. Коннект есть.
    У меня еще вопрос. Вот машина которая заходит по ВПН не видит локальных ресурсов, хотя машина с этими локальными ресурсами пингуется. Как сделать так чтобы удаленная машина имела полный доступ к сети?
    А вот еще... Внутренняя сеть 192.168.1* а вот ip внешнего компа 10.8.0.*
    Last edited by XpoHuk; 01-02-2008 at 13:31.

  3. #63
    Join Date
    Jan 2008
    Location
    Москва
    Posts
    15

    Question раздача адресов клиентам(можно по DHCP)

    Уважаемые знатоки! Подскажите, пожалуйста, решение на связке WL500gp-1.9.2.7-8.14 + OpenVPN следующей задачи: использую dyndns(провайдер Corbina выдает внешний адрес) и хочу чтобы внешние клиенты(поначалу несколько), которые поднимают у себя на компах туннель ко мне получали зарезервированный адрес(можно по DHCP) от меня и я мог бы их админить с помощью VNC. На счет VNC я понимаю необходимо пробросить на мою машину нужный порт, а вот как быть с раздачей адресов?
    П.С. в линухе просто продвинутый пользователь

  4. #64

    VPN добавление еще соединений и малая скорость

    поставил по вашему скрипту все заработало на ура. большое спасибо за скрипт. возникло несколько вопросов:
    1) скорость не VPN не больше 500 кб/сек. это нормально? (без него 3-5 мб/сек). Может это быть из зато того что адреса вида 10.8.0.2 есть в сети?
    2) как мне добавить еще один/два три айпишника для ВПН? какие строчки править? пойдет ли один ключ на все машины которые юзают впн?
    ( я так понял везде где 10.8.0.2 сделать 10.8.0.X?:
    в винде в файле:C:\Program Files\OpenVPN\config\client.ovpn
    ifconfig 10.8.0.X 10.8.0.1
    на роутере
    echo "ifconfig 10.8.0.1 10.8.0.X" >> /opt/etc/openvpn/server.conf
    ?
    надали менять еще это:
    # Создаем виртуальный сетевой интерфейс
    mkdir /dev/net
    mknod /dev/net/tun c 10 200

    )
    заранее спасибо

  5. #65
    Вопрос к пользователям openVPN - реально ли через конфиг отключить компрессию и ssl (дабы вообще не ставить lzo и openssl) не пересобирая прогу?

  6. #66
    Доброй ночи. Вообщем у меня все получилось OpenVPN заработал вот только проблемы со скоростью. должно быть 54 мегабита а в итоге 300-400 кбайт (примерно не измерял). В чем может быть проблема?
    Last edited by XpoHuk; 12-02-2008 at 22:09.

  7. #67
    Может кто знает- какую крманду подать чтоб увидеть IP адреса всех openvpn клиентов?

  8. #68
    Join Date
    Aug 2006
    Location
    St.-Petersburg
    Posts
    22
    Доброй ночи. Коллеги, при установке
    [root@titanium root]$ ipkg install openvpn
    Installing openvpn (2.0.9-1) to /opt/...
    Downloading http://ipkg.nslu2-linux.org/feeds/op...9-1_mipsel.ipk
    Nothing to be done
    An error ocurred, return value: 1.
    Collected errors:
    ERROR: Cannot satisfy the following dependencies for openvpn:
    kernel-module-tun
    [root@titanium root]$

    Поискал whatdepends whatprovides - чисто.
    [root@titanium root]$ ls -l /lib/modules/2.4.20/kernel/drivers/net
    total 9
    drwxr-xr-x 1 root root 11 Oct 30 23:08 et
    -rw-r--r-- 1 root root 8892 Oct 30 23:08 tun.o
    drwxr-xr-x 1 root root 11 Oct 30 23:08 wl

    insmod tun, попробовал снова - то же, вид сбоку.

    Где туплю?

  9. #69
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    Похоже, это ошибка при сборке пакета.
    Дело в том, что optware собирается для многих платформ сразу. В большинстве случаев кернел и модули компилируется тем же тулчейном, что и пакеты. В прошивке Олега это не так. В общем, это вопрос к олео, я написал ему.
    Попробуйте пока поставить это:
    Attached Files Attached Files

  10. #70
    Quote Originally Posted by shooter View Post
    Доброй ночи. Коллеги, при установке
    [root@titanium root]$ ipkg install openvpn
    <погрызано>
    ERROR: Cannot satisfy the following dependencies for openvpn:
    kernel-module-tun
    <погрызано>
    insmod tun, попробовал снова - то же, вид сбоку.

    Где туплю?
    ipkg install openvpn -force-depends
    и все будет нормально, kernel-module-tun уже есть в прошивке

  11. #71
    Господа помогите пожалуйста.
    При запуске на 500gP OpenVPN в режиме клиента в лог пишется следующая строка
    VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=RU/ST=37/L=Ivanovo/O=XXX/OU=Office/CN=OpenVPN-CA/emailAddress=xxx@xxx.ru

    Причем самое интересное, что с этими же сертификатами виндовый клиент подключается без проблем. Лог у виндового клиента выглядит так VERIFY OK: depth=1, /C=RU/ST=37/L=Ivanovo/O=XXX/OU=Office/CN=OpenVPN-CA/emailAddress=xxx@xxx.ru

    В чем может быть проблема?

    ДА и еще. Вот это тоже не понятно
    WARNING: file 'nazarov.key' is group or others accessible
    WARNING: file 'ta.key' is group or others accessible
    Тоже из лога в самом начале
    Last edited by AlexeyN; 21-02-2008 at 15:26.

  12. #72
    Quote Originally Posted by AlexeyN View Post
    При запуске на 500gP OpenVPN в режиме клиента в лог пишется следующая строка
    VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=RU/ST=37/L=Ivanovo/O=XXX/OU=Office/CN=OpenVPN-CA/emailAddress=xxx@xxx.ru
    С этой ошибкой разобрался. Проблема в том, что когда роутер стартует дата на нем 01.01.1970, а сертификаты имеют срок действия исчисляемый от даты создания сертификата. Поэтому OpenVPN и ругается, что якобы сертификат не валидный. Обойти это можно следующим образом. В скрипт post-boot перед строкой запуска OpenVPN вставить строчку установки даты date 010101012007 с датой не раньше чем дата самого последнего сформированного сертификата.

    Так и не смог разобраться, что прописать в скрипт post-firewall для OpenVPN работающего в режиме клиента и в случае когда необходимо разрешить прохождение пакетов без ограничений с внутреннего интерфейса в туннель и наоборот. Подскажите пожалуйста!
    Last edited by AlexeyN; 21-02-2008 at 21:25.

  13. #73
    Join Date
    Aug 2006
    Location
    St.-Petersburg
    Posts
    22

    2 AlexeyN

    >WARNING: file 'nazarov.key' is group or others accessible
    >WARNING: file 'ta.key' is group or others accessible
    это у тебя файлы с правами для группы/остальных. Небезопасно хранишь ключи. Сделай
    chmod go-rwx *.key

    >Так и не смог разобраться, что прописать в скрипт post-firewall ...
    Присылай
    /tmp/local/sbin/post-firewall
    iptables -t nat -L -v
    iptabels -L -v

  14. #74
    Join Date
    Aug 2006
    Location
    St.-Petersburg
    Posts
    22

    net stop

    Спасибо за подсказку с -force-depends

    Теперь так
    несущая сеть 172.16.72.0/255.255.255.0
    vpn - пока сделал peer-to-peer 172.16.11.1-2./255.255.255.252, сервер на Deluxe .1
    Клиент - Windows XPSP2 .2
    Пытаюсь на клиенте telnet 172.16.11.1 80

    Sun Feb 24 20:28:49 2008 us=628261 hydrogen/172.16.72.4:2714 MULTI: bad source address from client [172.16.11.2], packet dropped
    (больше - в аттаче)

    И вопросы - а как сделать чтобы у меня
    1) 4 клиента по VPN пришли. Слышал что openvpn 2.* умеет быть на одном порту сервером для многих. Как тогда со строкой
    ifconfig 172.16.11.1 172.16.11.2
    в конфиге быть?
    2) несчастное животное windows говорит что default gateway на этом линке не существует в принципе. Как тогда ходить до машин за сервером? Мне routing'а достаточно, но статически его прописывать - коряво, перенаправлять весь трафик на клиентах в VPN - не правильно.
    Attached Files Attached Files
    • File Type: zip 1.zip (987 Bytes, 381 views)
    Last edited by shooter; 24-02-2008 at 19:17.

  15. #75
    Quote Originally Posted by shooter View Post
    И вопросы - а как сделать чтобы у меня
    1) 4 клиента по VPN пришли. Слышал что openvpn 2.* умеет быть на одном порту сервером для многих. Как тогда со строкой
    ifconfig 172.16.11.1 172.16.11.2
    в конфиге быть?
    Умеет, но для этого ifconfig из файла конфигурации нужно убрать вообще и IP адреса будут назначаться клиентам автоматически. Если есть необходимость назначать клиентам заранее определенные IP адреса то нужно сделать следующее:
    - для каждого клиента сформировать свои сертификаты;
    - в конфиге сервера прописать след. строчку client-config-dir ccd;
    - в каталоге openvpn на сервере создать директорию ccd в которой для каждого клиента создать файлик со следующим текстом
    ifconfig-push xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy где:
    xxx.xxx.xxx.xxx - IP адрес клиента
    yyy.yyy.yyy.yyy - его OpenVPN шлюз (по совместительству DHCP сервер tun адаптера клиента)
    например: ifconfig-push 192.168.253.254 192.168.253.253
    Имена этих файлов для каждого клиента должны соответствовать common name сертификата этого клиента.

    Quote Originally Posted by shooter View Post
    2) несчастное животное windows говорит что default gateway на этом линке не существует в принципе. Как тогда ходить до машин за сервером? Мне routing'а достаточно, но статически его прописывать - коряво, перенаправлять весь трафик на клиентах в VPN - не правильно.
    Перенаправлять весь трафик очень даже удобно если клиенты не пользуют свой локальный инет. Для этого в конфиг сервера нужно прописать push "redirect-gateway" Если же это недопустимо можно показать OpenVPN клиентам о существовании других сетей за сервером прописав в конфиг сервера строку push "route 192.168.0.0 255.255.255.0" например.
    И так для каждой подсети за сервером.
    При наличии подсети за клиентом в конфиге сервера пропиши route 192.168.2.0 255.255.255.0 например, а в клиентском файле в директории ccd строчку iroute 192.168.2.0 255.255.255.0
    Таким образом и сервер будет знать о существовании подсетей за клиентами.


    Quote Originally Posted by shooter View Post
    Присылай /tmp/local/sbin/post-firewall
    iptables -t nat -L -v
    iptabels -L -v
    С правилами файреволла разобрался. Все заработало. Теперь интересует следующее:
    1. Как в скрипте написать условие если дата в роутере меньше чем 01.01.2008 то выполнить команду date 010101012008.
    2. Есть ли какая переменная которой в скрипте post-firewall можно описать адрес внутренней сети за роутером чтоб не прописывать как 192.168.ххх.ххх/24.
    Last edited by AlexeyN; 25-02-2008 at 01:14.

Page 5 of 17 FirstFirst ... 3456715 ... LastLast

Similar Threads

  1. FireFly медиа-сервер для iTunes
    By name_zh in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 72
    Last Post: 02-05-2017, 22:59
  2. Не получается открыть 80 порт
    By kiryap in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 220
    Last Post: 11-06-2014, 21:50
  3. Replies: 7
    Last Post: 14-03-2010, 14:11

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •