VPN сервер для доступа из внешней сети

Вопрос, кто-нибудь настраивал VPN сервер для доступа из внешней сети (например, из дому) во внутреннюю (корпоративную)? Можете поделиться опытом?

Пытался раскурить маны данные гуглом, но нифига не срастил как и что… :frowning:

вот мануальчик по которому я OpenVPN настраивал http://www.lissyara.su/articles/freebsd/security/openvpn/
не смотря на то что мануал писан под OpenVPN и настраивается на freebsd конфига там описана нормально

Дмитрий Мирошниченко wrote:

вот мануальчик по которому я OpenVPN настраивал http://www.lissyara.su/articles/freebsd/security/openvpn/
не смотря на то что мануал писан под OpenVPN и настраивается на freebsd конфига там описана нормально

Это крутой вариант, но если у клиента будет постоянное подключение. А мне нужно чтоб юзверь мог подключиться в любой момент, но не был постоянно соединён с офисом.

Сергей Клюйков wrote:

А мне нужно чтоб юзверь мог подключиться в любой момент, но не был постоянно соединён с офисом.

подключение в любой момент достигается постоянно доступностью OpenVPN сервера,
юзер может самостоятельно подключаться и отключаться от сети предприятия(это позволяет делать OpenVPN Client, под виндами он GUI’вый).

Дмитрий Мирошниченко wrote:

Сергей Клюйков wrote:

А мне нужно чтоб юзверь мог подключиться в любой момент, но не был постоянно соединён с офисом.

подключение в любой момент достигается постоянно доступностью OpenVPN сервера,
юзер может самостоятельно подключаться и отключаться от сети предприятия(это позволяет делать OpenVPN Client, под виндами он GUI’вый).

Спасибо, не обратил внимания :wink:

Новая беда :frowning:
Пытаюсь всё это настроить, но получается какая-то каша.

Сеть офиса 192.168.254.0 255.255.255.0
в ней маршрутизатор 192.168.254.1

На серваке с OpenVPN поднят мост:

modules="!plug"
config_eth0="192.168.254.5/24"
routes_eth0="default via 192.168.254.1"
dns_servers="192.168.254.1"
config_eth1="null"
config_br0="null"
brctl_br0="setfd 0" "sethello 0" "stp off"
bridge_br0="eth1 tap0"
config_br0="192.168.254.10"

depend_br0() {
need net.eth0 net.eth1 openvpn.flashasia
}

Через первый интерфейс при помощи переброски портов с внешнего ip маршрутизатора идёт доступ к серверу OpenVPN. Второй просто смотрит в ту же сеть.

Вот конфиг openvpn`а:

#Security certs and protocols
tls-server
proto udp
port 5555
daemon
tls-auth /etc/openvpn/flashasia/keys/ta.key 0
ca /etc/openvpn/flashasia/ca.crt       
cert /etc/openvpn/flashasia/hydra.crt
key /etc/openvpn/flashasia/hydra.key
dh /etc/openvpn/flashasia/dh1024.pem
duplicate-cn
dev tap

#Route
##############gateway#######mask##########vpn hosts ip###############
server-bridge 192.168.254.10 255.255.255.0 192.168.254.190 192.168.254.199
#push "route 192.168.254.0 255.255.255.0"
push "route-gateway 192.168.254.10"
push "dhcp-option DNS 192.168.254.1"
#push "dhcp-option WINS 192.168.1.254"

#Verbose
verb 3
#Crypt
cipher DES-EDE3-CBC
#Don`t reload key
persist-key
#Log-file
log-append /var/log/openvpn-flashasia.log
#Compress
comp-lzo
client-to-client

Сервер поднимается спокойно. НО! Нет вообще никакого обмена между компами. Чё за…?

Вот последний конфиг. В нём по крайней мере клиенты видят друг друга :slight_smile:

Как заставить видеть их внутреннюю сеть? :frowning:

Нужен совет в освоении и настройке OpenVPN
Во всех мануалах которые я читал написаны ссылки на пути которые я не нахожу у себя на компе в частности
Перейдем в /usr/share/openvpn/easy-rsa/.
у меня такого каталога нету, где искать ?

Владимир Кариков wrote:

Нужен совет в освоении и настройке OpenVPN
Во всех мануалах которые я читал написаны ссылки на пути которые я не нахожу у себя на компе в частности
Перейдем в /usr/share/openvpn/easy-rsa/.
у меня такого каталога нету, где искать ?

в man’e mkdir (очевидные вещи часто не пишут в руководствах , они же не для окошкоюзеров) :slight_smile:

Алексей Тихонов wrote:

в man’e mkdir (очевидные вещи часто не пишут в руководствах , они же не для окошкоюзеров) :slight_smile:
Очень много в этом man’e очевидные вещей написано даже не для окошкоюзеров

Не можете дать дельный совет что бумагу марать ?

Нашлось после
#emerge easy-rsa
хотя могли бы и отметить что пакет ставится отдельно от openvpn 8-(

Хочу поддержать Владимира Карикова.
Предмет обсуждения - не оккультная медицина и не карты таро, в коих трактовка и составляет суть, к объективной реальности и фактическому материалу никоим образом не относясь. Но зато поле для образных формулировок предоставляется неограниченное.

Скажу за себя. Если бы не деструктивные усилия редхатовцев с навязыванием системд и пульса, так бы и остался на лениво-потребительском уровне. Ну а зачем греть энтропию, изучать какие-то вещи, которые и так работают нормально. Так бы все и продолжалось, если бы не экспансия поттерингов, начавших плодить избыточные сущности там, где до этого и без них все развивалось эволюционно и, что немаловажно, довольно продолжительное время. Учитывая экспоненту развития событий, вполне можно ожидать, что скоро свобода пользователя в линуксе будет ограничена кнопкой в левом нижнем углу, которая только и того, что именуется не “Старт”. Да еще чисткой чего-то, похожего на реестр.
В этих условиях gentoo и, в частности, calculate, возможно, последний оплот и меньше всего хотелось бы думать, что <> - это элитный клуб и соискателям с IQ водителя автобуса в нем не место.
С уважением.

Спасибо за поддержку, и скажу от себя
Gentoo и calculate linux очень нравится есть огромное желание изучить и стать профи, а учеба только в нете.
И как быть ? ну естественно за помощью с сородичам на то и форумы, или они для того чтобы хвататься что
"Я круче тебя все знаю, а ты чайник не лезь" ? ну да ладно,к делу.
умная система проверяет зависимости и правильно делает но почему то же openvpn ставится без пакета easy-rsa который ему необходим ? мне пришлось курить маны часа три пока дошло его поставить.
А может и правильно "Сам дошел теперь не забуду"
:-))

Владимир Кариков wrote:

Спасибо за поддержку, и скажу от себя
Gentoo и calculate linux очень нравится есть огромное желание изучить и стать профи, а учеба только в нете.
И как быть ? ну естественно за помощью с сородичам на то и форумы, или они для того чтобы хвататься что
"Я круче тебя все знаю, а ты чайник не лезь" ? ну да ладно,к делу.
умная система проверяет зависимости и правильно делает но почему то же openvpn ставится без пакета easy-rsa который ему необходим ? мне пришлось курить маны часа три пока дошло его поставить.
А может и правильно "Сам дошел теперь не забуду"
:-))

Линух вы поставили по собственному желанию и его работоспособность зависит от "будете ли вы читать маны … можете не читать , система то ваша) … система проверяет зависимости только если они в ебилде прописаны .

умная система проверяет зависимости и правильно делает но почему то же openvpn ставится без пакета easy-rsa который ему необходим?

openvpn может быть использован лишь как клиент (либо как сервер но CA на нем держать небезопасно)
easy-rsa может быть использован БЕЗ openvpn, если вам необходимо генерить ключи на 100% безопасном компе, где и сети-то может не быть (к примеру с распространением ключей путем переписыванием оных от руки) не говоря уже о openvpn-е

PS
Но да - сам в свое время столкнулся с тем, что easy-rsa не входит в комплект openvpn-а как раньше, и н есразу разобрался.
Так что, в общем, я вас понимаю.

Так <> начиная с версии 2.3.0 не включает <>.
Это даже в их ебилде написано :slight_smile:

 # tail -4 /usr/portage/net-misc/openvpn/openvpn-2.3.0.ebuild

Это даже в их ебилде написано :slight_smile:

так тож читать надо что emerge в конце пишет :slight_smile:

Ну правильно читать надо что emerge в конце пишет, а он пишет :
ln -s openvpn openvpn.vpnet
rc-update add openvpn.vpnet default
rc-update add named default
rc-update iptables default
./iptables save

Да ладно, уже разобрался.

Я думаю что поддержка коллективного разума должна быть более лояльной к новичкам и недотепам вроде меня :slight_smile:

Помогите пожалуйста разобраться с такой ситуацией
установил openvpn на 2-х компах с calculate все работает ОК,
но возникла необходимость установить еще на одной машинке с gentoo,
выполняю туже самую последовательность действий но при запуске засада

csu openvpn #  /etc/init.d/openvpn.csu start 
 * Starting openvpn.csu ...
 * start-stop-daemon: failed to start `/usr/sbin/openvpn'
 * Check your logs to see why startup failed                                         [ !! ]
 * ERROR: openvpn.csu failed to start
csu openvpn # cat /var/log/openvpn.log
Options error: --tls-auth fails with '/etc/openvpn/vserver/keys/ta.key': No such file or directory
Options error: Please correct these errors.
Use --help for more information.

Ругается что нет файла, но данный файл лежит в папке
csu init.d # ls /etc/openvpn/vserver/keys/
ta.key
дистры вроде одинаковые, по логике должно все работать, или есть подводный камешек который я не заметил ?