VPN сервер для доступа из внешней сети

onegreyonewhite · April 11, 2012, 8:22am

Вопрос, кто-нибудь настраивал VPN сервер для доступа из внешней сети (например, из дому) во внутреннюю (корпоративную)? Можете поделиться опытом?

Пытался раскурить маны данные гуглом, но нифига не срастил как и что…

vodolaz · April 11, 2012, 9:31am

вот мануальчик по которому я OpenVPN настраивал http://www.lissyara.su/articles/freebsd/security/openvpn/
не смотря на то что мануал писан под OpenVPN и настраивается на freebsd конфига там описана нормально

onegreyonewhite · April 11, 2012, 10:34am

Дмитрий Мирошниченко wrote:

вот мануальчик по которому я OpenVPN настраивал Openvpn
не смотря на то что мануал писан под OpenVPN и настраивается на freebsd конфига там описана нормально

Это крутой вариант, но если у клиента будет постоянное подключение. А мне нужно чтоб юзверь мог подключиться в любой момент, но не был постоянно соединён с офисом.

vodolaz · April 11, 2012, 11:18am

Сергей Клюйков wrote:

А мне нужно чтоб юзверь мог подключиться в любой момент, но не был постоянно соединён с офисом.

подключение в любой момент достигается постоянно доступностью OpenVPN сервера,
юзер может самостоятельно подключаться и отключаться от сети предприятия(это позволяет делать OpenVPN Client, под виндами он GUI’вый).

onegreyonewhite · April 16, 2012, 5:38am

Дмитрий Мирошниченко wrote:

Сергей Клюйков wrote:

А мне нужно чтоб юзверь мог подключиться в любой момент, но не был постоянно соединён с офисом.

подключение в любой момент достигается постоянно доступностью OpenVPN сервера,
юзер может самостоятельно подключаться и отключаться от сети предприятия(это позволяет делать OpenVPN Client, под виндами он GUI’вый).

Спасибо, не обратил внимания

onegreyonewhite · April 16, 2012, 5:52am

Новая беда
Пытаюсь всё это настроить, но получается какая-то каша.

Сеть офиса 192.168.254.0 255.255.255.0
в ней маршрутизатор 192.168.254.1

На серваке с OpenVPN поднят мост:

modules="!plug"
config_eth0="192.168.254.5/24"
routes_eth0="default via 192.168.254.1"
dns_servers="192.168.254.1"
config_eth1="null"
config_br0="null"
brctl_br0="setfd 0" "sethello 0" "stp off"
bridge_br0="eth1 tap0"
config_br0="192.168.254.10"

depend_br0() {
need net.eth0 net.eth1 openvpn.flashasia
}

Через первый интерфейс при помощи переброски портов с внешнего ip маршрутизатора идёт доступ к серверу OpenVPN. Второй просто смотрит в ту же сеть.

Вот конфиг openvpn`а:

#Security certs and protocols
tls-server
proto udp
port 5555
daemon
tls-auth /etc/openvpn/flashasia/keys/ta.key 0
ca /etc/openvpn/flashasia/ca.crt       
cert /etc/openvpn/flashasia/hydra.crt
key /etc/openvpn/flashasia/hydra.key
dh /etc/openvpn/flashasia/dh1024.pem
duplicate-cn
dev tap

#Route
##############gateway#######mask##########vpn hosts ip###############
server-bridge 192.168.254.10 255.255.255.0 192.168.254.190 192.168.254.199
#push "route 192.168.254.0 255.255.255.0"
push "route-gateway 192.168.254.10"
push "dhcp-option DNS 192.168.254.1"
#push "dhcp-option WINS 192.168.1.254"

#Verbose
verb 3
#Crypt
cipher DES-EDE3-CBC
#Don`t reload key
persist-key
#Log-file
log-append /var/log/openvpn-flashasia.log
#Compress
comp-lzo
client-to-client

Сервер поднимается спокойно. НО! Нет вообще никакого обмена между компами. Чё за…?

onegreyonewhite · April 16, 2012, 10:55am

Вот последний конфиг. В нём по крайней мере клиенты видят друг друга

Как заставить видеть их внутреннюю сеть?

vlakar · November 24, 2013, 3:08pm

Нужен совет в освоении и настройке OpenVPN
Во всех мануалах которые я читал написаны ссылки на пути которые я не нахожу у себя на компе в частности
Перейдем в /usr/share/openvpn/easy-rsa/.
у меня такого каталога нету, где искать ?

discobot · November 24, 2013, 5:17pm

Владимир Кариков wrote:

Нужен совет в освоении и настройке OpenVPN
Во всех мануалах которые я читал написаны ссылки на пути которые я не нахожу у себя на компе в частности
Перейдем в /usr/share/openvpn/easy-rsa/.
у меня такого каталога нету, где искать ?

в man’e mkdir (очевидные вещи часто не пишут в руководствах , они же не для окошкоюзеров)

vlakar · November 25, 2013, 7:09am

Алексей Тихонов wrote:

в man’e mkdir (очевидные вещи часто не пишут в руководствах , они же не для окошкоюзеров)
Очень много в этом man’e очевидные вещей написано даже не для окошкоюзеров

Не можете дать дельный совет что бумагу марать ?

vlakar · November 25, 2013, 8:30am

Нашлось после
#emerge easy-rsa
хотя могли бы и отметить что пакет ставится отдельно от openvpn 8-(

rash · November 25, 2013, 11:27am

Хочу поддержать Владимира Карикова.
Предмет обсуждения - не оккультная медицина и не карты таро, в коих трактовка и составляет суть, к объективной реальности и фактическому материалу никоим образом не относясь. Но зато поле для образных формулировок предоставляется неограниченное.

Скажу за себя. Если бы не деструктивные усилия редхатовцев с навязыванием системд и пульса, так бы и остался на лениво-потребительском уровне. Ну а зачем греть энтропию, изучать какие-то вещи, которые и так работают нормально. Так бы все и продолжалось, если бы не экспансия поттерингов, начавших плодить избыточные сущности там, где до этого и без них все развивалось эволюционно и, что немаловажно, довольно продолжительное время. Учитывая экспоненту развития событий, вполне можно ожидать, что скоро свобода пользователя в линуксе будет ограничена кнопкой в левом нижнем углу, которая только и того, что именуется не “Старт”. Да еще чисткой чего-то, похожего на реестр.
В этих условиях gentoo и, в частности, calculate, возможно, последний оплот и меньше всего хотелось бы думать, что <> - это элитный клуб и соискателям с IQ водителя автобуса в нем не место.
С уважением.

vlakar · November 25, 2013, 11:58am

Спасибо за поддержку, и скажу от себя
Gentoo и calculate linux очень нравится есть огромное желание изучить и стать профи, а учеба только в нете.
И как быть ? ну естественно за помощью с сородичам на то и форумы, или они для того чтобы хвататься что
"Я круче тебя все знаю, а ты чайник не лезь" ? ну да ладно,к делу.
умная система проверяет зависимости и правильно делает но почему то же openvpn ставится без пакета easy-rsa который ему необходим ? мне пришлось курить маны часа три пока дошло его поставить.
А может и правильно "Сам дошел теперь не забуду"
:-))

discobot · November 25, 2013, 12:28pm

Владимир Кариков wrote:

Спасибо за поддержку, и скажу от себя
Gentoo и calculate linux очень нравится есть огромное желание изучить и стать профи, а учеба только в нете.
И как быть ? ну естественно за помощью с сородичам на то и форумы, или они для того чтобы хвататься что
“Я круче тебя все знаю, а ты чайник не лезь” ? ну да ладно,к делу.
умная система проверяет зависимости и правильно делает но почему то же openvpn ставится без пакета easy-rsa который ему необходим ? мне пришлось курить маны часа три пока дошло его поставить.
А может и правильно “Сам дошел теперь не забуду”
:-))

Линух вы поставили по собственному желанию и его работоспособность зависит от "будете ли вы читать маны … можете не читать , система то ваша) … система проверяет зависимости только если они в ебилде прописаны .

mavriq · November 25, 2013, 5:04pm

умная система проверяет зависимости и правильно делает но почему то же openvpn ставится без пакета easy-rsa который ему необходим?

openvpn может быть использован лишь как клиент (либо как сервер но CA на нем держать небезопасно)
easy-rsa может быть использован БЕЗ openvpn, если вам необходимо генерить ключи на 100% безопасном компе, где и сети-то может не быть (к примеру с распространением ключей путем переписыванием оных от руки) не говоря уже о openvpn-е

PS
Но да - сам в свое время столкнулся с тем, что easy-rsa не входит в комплект openvpn-а как раньше, и н есразу разобрался.
Так что, в общем, я вас понимаю.

rasdark · November 25, 2013, 5:56pm

Так <> начиная с версии 2.3.0 не включает <>.
Это даже в их ебилде написано

 # tail -4 /usr/portage/net-misc/openvpn/openvpn-2.3.0.ebuild

mavriq · November 25, 2013, 5:59pm

Это даже в их ебилде написано

так тож читать надо что emerge в конце пишет

vlakar · November 26, 2013, 4:22pm

Ну правильно читать надо что emerge в конце пишет, а он пишет :
ln -s openvpn openvpn.vpnet
rc-update add openvpn.vpnet default
rc-update add named default
rc-update iptables default
./iptables save

Да ладно, уже разобрался.

Я думаю что поддержка коллективного разума должна быть более лояльной к новичкам и недотепам вроде меня

vlakar · December 21, 2013, 6:39am

Помогите пожалуйста разобраться с такой ситуацией
установил openvpn на 2-х компах с calculate все работает ОК,
но возникла необходимость установить еще на одной машинке с gentoo,
выполняю туже самую последовательность действий но при запуске засада

csu openvpn #  /etc/init.d/openvpn.csu start 
 * Starting openvpn.csu ...
 * start-stop-daemon: failed to start `/usr/sbin/openvpn'
 * Check your logs to see why startup failed                                         [ !! ]
 * ERROR: openvpn.csu failed to start
csu openvpn # cat /var/log/openvpn.log
Options error: --tls-auth fails with '/etc/openvpn/vserver/keys/ta.key': No such file or directory
Options error: Please correct these errors.
Use --help for more information.

Ругается что нет файла, но данный файл лежит в папке
csu init.d # ls /etc/openvpn/vserver/keys/
ta.key
дистры вроде одинаковые, по логике должно все работать, или есть подводный камешек который я не заметил ?