Имя:    Пароль:      Помнить меня       
Unsorted   ~  Software  ~  Linux and Unix  ~  OpenVPN Under FreeBSD, Ubuntu and other *nix platforms.
На страницу 1, 2, 3  »
DALDON
Сообщение  14 Дек 2009, 22:48  Ссылка : Ответить с цитатой
Пол: Мужской  Доверенный пользователь
C нами с 09.04.2005
Репутация: 0.1

Abstract.


Introduction

OpenVPN allows peers to authenticate each other using a pre-shared secret key, certificates, or username/password. When used in a multiclient-server configuration, it allows the server to release an authentication certificate for every client, using signature and Certificate authority. It uses the OpenSSL encryption library extensively, as well as the SSLv3/TLSv1 protocol. It is available on Solaris, Linux, OpenBSD, FreeBSD, NetBSD, Mac OS X, and Windows 2000/XP/Vista. It contains many security and control features. It is not a "web-based" VPN, and is not compatible with IPsec or any other VPN package. The entire package consists of one binary for both client and server connections, an optional configuration file, and one or more key files depending on the authentication method used. It is sometimes used by computer gamers as a way of accessing LAN games over the internet.

Facts about OpenVPN
OpenVPN community has reached 3 million users
OpenVPN site experiences more than 300,000 visits and 150,000 downloads per month
According to www.alexa.com, OpenVPN is ranked higher than Checkpoint, Juniper, and F5
OpenVPN was announced winner for "Best SSL VPN"� in the 2007 Best of Open Software Awards by InfoWorld http://www.infoworld.com/bossies

Web: http://openvpn.net/

Прочитал больше половины: http://www.packtpub.com/openvpn/book/mid/2405065clw5q книгу (eng).

В общем то сервер работает. Удалось и подсети смаршрутизировать, и криптографию настроить.

Вопросы:

У кого какая была максимальная скорость? - У меня скачет, от 350-750 кб/сек в локальной Сети 100 Мб... Грустно - Это очень меденно на мой взгляд. Я конечно понимаю, что overhead. Но не так же...

MTU 1500. Пробовал и 1200. Порты открыты нужные. UDP/TUN конфигурация. + Lzo.

На клиенте WinXP CPU при такой скорости 35% avg. - Что я считаю критично.

Чего Вы добивались? - Мне не надо использовать в Локальной сети это. Но, всё же, скорость что-то уж очень не впечатлила...

Шейпинг не делал. Может там какое default?

Интерфейс TAP в Win создаётся всего 10 мб/сек. Что тоже не нравится...

Вопрос 2:
http://www.tinc-vpn.org/search/ - лучше или хуже?

Вопрос3: правильно ли я делаю, что планирую отказаться от mpd4 в пользу таких решений? Может я не предусмотрел каких-либо камней подводных? - Да я знаю, что OpenVPN не есть стандарт. Мне необходимо лишь чтобы отдельные пользователи со всего земного шара могли подключиться куда надо - без проблем с пробросами GRE этого несчастного... - Вы не поверите, но в Германии чтобы провайдер пустил GRE необходимо заключить отдельный почасовой договор... Без проблем с NAT. Потом ещё планирую LDAP.

Кто чего скажет?
В начало
Профиль : Фотоальбом : Блог : Личное Сообщение
seb
Сообщение  16 Дек 2009, 13:02  Ссылка : Ответить с цитатой
Возраст: 44 Пол: Мужской  Доверенный пользователь
C нами с 05.04.2005
Репутация: 121.2

DALDON писал(а):
Интерфейс TAP в Win создаётся всего 10 мб/сек. Что тоже не нравится...

imho это не критично, быстрее 10 мегабит в секунду нет смысла шифровать, нагрузка на процессор будет слишком большой и работать за таким компьютером будет не комфортно.

_____________________________
IRC WeNet #programming
jid: seb2000@jabber.ru
В начало
Профиль : Фотоальбом : Личное Сообщение : JabberID
PIRAT
Сообщение  16 Дек 2009, 17:14  Ссылка : Ответить с цитатой
Возраст: 48 Пол: Мужской 
C нами с 17.10.2005
Репутация: 347.3

seb писал(а):
быстрее 10 мегабит в секунду нет смысла шифровать

нет смысла только из-за нагрузки или по каким то другим причинам ???

_____________________________
♫-♠♥♣♦-♫
В начало
Профиль : Фотоальбом : Личное Сообщение
DALDON
Сообщение  16 Дек 2009, 18:42  Ссылка : Ответить с цитатой
Пол: Мужской  Доверенный пользователь
C нами с 09.04.2005
Репутация: 0.1

seb, согласен. Однако и даже этой скорости нету... Максимум 5. Грустно

Добавлено спустя 59 секунд:

P.S. если кто соберёт порт или где найдёт 2.1.1 под FreeBSD - дайте знать. Есть две новые возможности которые реализованны в этой версии, очень хочется начитать уже с этой версии внедрение.
В начало
Профиль : Фотоальбом : Блог : Личное Сообщение
xen
Сообщение  04 Июл 2017, 17:07  Ссылка : Ответить с цитатой
Возраст: 36 Пол: Мужской 
C нами с 25.05.2006
Репутация: 116.1

Доброго времени суток!

Не получается связать через роутер 3 локальные сети. Главная задача - получить доступ от Клиент 2 к Клиент 1.

Довольно банально:

Клиент 1 – сервер – Клиент 2
Клиент 1 видит Сервер
Клиент 2 видит Сервер
Клиент 2 не видит Клиент 1

Клиент 1 192.168.2.0/24
Клиент 2 10.20.5.138/24
Сервер 192.168.7.0/21

Подключение идёт через OpenVPN на роутере Asus с прошивкой от Padavan.
На OpenVPN-сервере добавил:

route 192.168.10.0 255.255.255.0
route 192.168.2.0 255.255.255.0
push "route 192.168.2.0 255.255.255.0


/etc/openvpn/ccd/client
route 192.168.2.0 255.255.255.0


На Клиент 2 (win) делаю tracert и пакеты упрямо идут через IP туннеля сервера 192.168.10.1, а не через клиентский IP Клиент 1 192.168.10.3… Не пойму, куда копать…

Трассировка маршрута к 192.168.2.1 с максимальным числом прыжков 30

  1     5 ms     5 ms     5 ms  192.168.10.1
  2     *        *        *     Превышен интервал ожидания для запроса.
В начало
Профиль : Фотоальбом : Личное Сообщение : E-mail : Сайт
serpil
Сообщение  04 Июл 2017, 19:16  Ссылка : Ответить с цитатой
Пол: Мужской 
C нами с 31.08.2007
Репутация: 65.1



Последний раз редактировалось: serpil (02 Мар 2024, 12:28), всего редактировалось 1 раз
В начало
Профиль : Фотоальбом : Личное Сообщение
xen
Сообщение  04 Июл 2017, 22:15  Ссылка : Ответить с цитатой
Возраст: 36 Пол: Мужской 
C нами с 25.05.2006
Репутация: 116.1

Как никаким боком? Они подключены к одному серверу и мне нужна прозрачная маршрутизация между всеми клиентами. IP'шники туннелей пускай используются только в тех. целях.
Конфигу клиента 1 сейчас не покажу, нет доступа.
client-to-client добавил - ничего не изменилось.

Конфиг сервера:

/home/root # cat /etc/openvpn/server/server.conf
proto udp
port 443
dev tun1
topology subnet
server 192.168.10.0 255.255.255.0
client-config-dir ccd
push "route 192.168.0.0 255.255.248.0"
auth MD5
cipher none
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 192.168.7.7"
ca /etc/storage/openvpn/server/ca.crt
dh /etc/storage/openvpn/server/dh1024.pem
cert /etc/storage/openvpn/server/server.crt
key /etc/storage/openvpn/server/server.key
persist-key
persist-tun
user nobody
group nogroup
script-security 2
tmp-dir /tmp/openvpn
writepid /var/run/openvpn_svr.pid
client-connect ovpns.script
client-disconnect ovpns.script

### User params:
max-clients 10
client-to-client
keepalive 10 60
nice 3
verb 0
mute 10
route 192.168.10.0 255.255.255.0
route 192.168.2.0 255.255.255.0
push "route 192.168.2.0 255.255.255.0"
client-to-client
client-config-dir /etc/openvpn/ccd


Конфиг клиента 2:


client
dev tun
proto udp
remote 80.252.xxx.xxx 443
resolv-retry infinite
nobind
persist-key
persist-tun
auth MD5
cipher none
nice 0
verb 3
mute 10
;ns-cert-type server

<сертификаты>

В начало
Профиль : Фотоальбом : Личное Сообщение : E-mail : Сайт
DALDON
Сообщение  04 Июл 2017, 23:26  Ссылка : Ответить с цитатой
Пол: Мужской  Доверенный пользователь
C нами с 09.04.2005
Репутация: 0.1

iroute?

https://community.openvpn.net/openvpn/wiki/RoutedLans
В начало
Профиль : Фотоальбом : Блог : Личное Сообщение
serpil
Сообщение  04 Июл 2017, 23:36  Ссылка : Ответить с цитатой
Пол: Мужской 
C нами с 31.08.2007
Репутация: 65.1



Последний раз редактировалось: serpil (02 Мар 2024, 12:28), всего редактировалось 3 раз(а)
В начало
Профиль : Фотоальбом : Личное Сообщение
xen
Сообщение  04 Июл 2017, 23:48  Ссылка : Ответить с цитатой
Возраст: 36 Пол: Мужской 
C нами с 25.05.2006
Репутация: 116.1

Улыбочка с одной из сторон устройства не совсем статичные и через RDP не всегда удобно. В общем и целом спасибо за советы, client-to-client не лишний.
DALDON, респект. Завтра уже проверю, похоже на правду. Как всегда всё на оф. сайте)
В начало
Профиль : Фотоальбом : Личное Сообщение : E-mail : Сайт
DALDON
Сообщение  06 Июл 2017, 23:27  Ссылка : Ответить с цитатой
Пол: Мужской  Доверенный пользователь
C нами с 09.04.2005
Репутация: 0.1

xen, 100%, не должно быть проблем, я когда нужно было так связывал офисы по L3 уровню. Улыбочка
В начало
Профиль : Фотоальбом : Блог : Личное Сообщение
xen
Сообщение  07 Июл 2017, 0:15  Ссылка : Ответить с цитатой
Возраст: 36 Пол: Мужской 
C нами с 25.05.2006
Репутация: 116.1

До вот как-то не связываются...

Конфиг ccd для текущего соединения на сервере, откуда тестирую сейчас например:

iroute 192.168.1.0 255.255.255.0


Т.е. текущая сеть, где находится клиентский компьютер.

И конфиг самого сервера:

proto udp
port 443
dev tun1
topology subnet
server 192.168.10.0 255.255.255.0
client-config-dir ccd
push "route 192.168.0.0 255.255.248.0"
auth MD5
cipher none
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 192.168.7.7"
ca /etc/storage/openvpn/server/ca.crt
dh /etc/storage/openvpn/server/dh1024.pem
cert /etc/storage/openvpn/server/server.crt
key /etc/storage/openvpn/server/server.key
persist-key
persist-tun
user nobody
group nogroup
script-security 2
tmp-dir /tmp/openvpn
writepid /var/run/openvpn_svr.pid
client-connect ovpns.script
client-disconnect ovpns.script

### User params:
max-clients 10
client-to-client
keepalive 10 60
nice 3
verb 0
mute 10
route 192.168.1.0 255.255.255.0
route 10.20.5.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.7.0 255.255.248.0"
push "route 10.20.5.0 255.255.255.0"
client-to-client
client-config-dir /etc/openvpn/ccd/
В начало
Профиль : Фотоальбом : Личное Сообщение : E-mail : Сайт
DALDON
Сообщение  07 Июл 2017, 20:50  Ссылка : Ответить с цитатой
Пол: Мужской  Доверенный пользователь
C нами с 09.04.2005
Репутация: 0.1

Я может чего не понимаю, но с push route - с масками беда похоже. Одно перекрывает другое + redirect gateway и т.п. Я бы максимально сперва упростил конфиг буквально до пятка строк а после уже бы наращивал.

Ну и не стоит забывать про firewall Windows
В начало
Профиль : Фотоальбом : Блог : Личное Сообщение
xen
Сообщение  08 Июл 2017, 13:31  Ссылка : Ответить с цитатой
Возраст: 36 Пол: Мужской 
C нами с 25.05.2006
Репутация: 116.1

Маски как в сетях назначения...
Странное поведение на Клиенте 2, вот часть лога:

Sat Jul 08 09:29:53 2017 C:\Windows\system32\route.exe ADD 192.168.1.0 MASK 255.255.255.0 192.168.10.1
Sat Jul 08 09:29:53 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Sat Jul 08 09:29:53 2017 Route addition via IPAPI succeeded [adaptive]


А по факту:

tracert 192.168.1.123

Трассировка маршрута к 192.168.1.123 с максимальным числом прыжков 30

  1     *        *        *     Превышен интервал ожидания для запроса.
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.


В route print присутствует...

DALDON, не могли бы свою рабочую конфигурацию привести с топологией?
В начало
Профиль : Фотоальбом : Личное Сообщение : E-mail : Сайт
myfreenet
Сообщение  08 Июл 2017, 15:29  Ссылка : Ответить с цитатой
Возраст: 41 Пол: Мужской  Доверенный пользователь
C нами с 19.04.2010
Репутация: 160.4

xen, вообще ничего не понятно. Откуда и куда пингуете, и тд. Настраивается все элементарно в этом опенвпн. И бриджи делал и маршруты, почти никогда проблем не было, а если и были то быстро решались
В начало
Профиль : Фотоальбом : Личное Сообщение
Показать сообщения:   
На страницу 1, 2, 3  »

Unsorted   ~  Software  ~  Linux and Unix  ~  OpenVPN

Ответить на тему

Перейти:  





Powered by phpBB   © Unsorted Team  support@unsorted.me  promo@unsorted.me  Полезные скрипты