Самая лучшая how-to статья для типового решения (" Организовать между сервером и клиентом защищенный туннель для возможности безопасного выхода в интернет клиента с любых открытых и потенциально не безопасных точек доступа в интернет. На пример из различных кафе с открытым wifi."). Все заработало сразу. Единственная опечатка "sudo sevice openvpn start".
Вопрос:
"Настраиваем клиента"
и
"Настраиваем подключение к серверу через Network-Manager"
это две параллельные процедуры, как на мой склероз...
В общем случае при использовании НМ процедура "Настраиваем клиента" не нужна.
Во всяком случае, я ее не использовал.
разве что инсталляция собственно опенвпн на клиента
еще одно:
"Примечание: при загрузке системы автоматически поднимаются все VPN соединения, для которых в папке /etc/openvpn есть соответствующие файлы с расширением .conf."
это не так.
для понимания, советую заглянуть в /etc/default/openvpn :-)
там можно указать что нужно стартовать, а что не нужно стартовать.
Вопрос:
"Настраиваем клиента"
и
"Настраиваем подключение к серверу через Network-Manager"
это две параллельные процедуры, как на мой склероз.
В общем случае при использовании НМ процедура "Настраиваем клиента" не нужна.
Естественно, настраивать клиента нужно либо через НМ, либо через консоль.
"Примечание: при загрузке системы автоматически поднимаются все VPN соединения, для которых в папке /etc/openvpn есть соответствующие файлы с расширением .conf."
У меня кажется по умолчанию стартовались все конфиги с любыми названиями с расширением .conf
В любом случае, статья в подшивке и доступна для редактирования, если есть что исправить или добавить милости просим.
К слову, весьма удобно клиентам генерить файлы pkcs12. ./build-key-pkcs12
И клиенту отдаем уже контейнер, если надо, с паролем и конфиг.
Единственное в этом случае настройка средстами NM невозможна.
Я что имел в виду: то, что из текста непонятно, что нужно настраивать или клиента или через нм.
Может добавить фразу перед настройкой клиента "варианты настройки клиентской стороны"
и соответственно
"настройка клиента в консоли с автоматическим подьемом при старте"
"настройка клиента в GUI через нетворк манагер"
Разумеется - про установку опенвпн нужно вынести в выше описания вариантов
по вопросу старта конфигов:
файл /etc/default/openvpn # This is the configuration file for /etc/init.d/openvpn # # Start only these VPNs automatically via init script. # Allowed values are "all", "none" or space separated list of # names of the VPNs. If empty, "all" is assumed. # The VPN name refers to the VPN configutation file name. # i.e. "home" would be /etc/openvpn/home.conf # #AUTOSTART="all" #AUTOSTART="none" #AUTOSTART="home office"
Как написано белым по черному :-) если все закоментировано - то пускаются все, но можно ограничить автозапуск только указанными туннелями.
Я просто этим пользовался, когда были переезды точек подключения, и нужно было их отключать.
Подскажите пожалуйста, у меня 2 компьютера соединины пачкордом , у компа1 есть доступ в интернет через вай фай. Комп2 подключён пачкордом к компу1. Мне надо чтобы комп2 мог выходить в иннет через комп1. Делаю по вашему мануалу и комп2 не подключается по vpn вообще. Настраиваю на компе2 как у вас показано и не хочет подключаться. Я так понял шлюз ставить вместо 111.111.111.111 ип адрес компа1 с иннетом. ЧТо не так?
Вы меня конечно простите, но то, что Вам хочется - называется лечение гланд через задний проход.
Оно реализуемо, конечно, и я знаю, что именно надо сделать.
Но описывать извращения я не буду.
в Windows 7 нужно запускать OpenVPN клиент с правами администратора, тогда если на сервере настроено выдавать маршруты автоматически, то на клиенте маршруты прописывать не надо.
либо руками надо прописывать маршруты на клиенте такие же как вы выдаете на сервере, предварительно удалив имеющиеся командой route delete узел
либо использовать OpenVPN GUI, зайти в свойства значка, вкладка совместимость, запускать от имени администратора.
И затем запустив ее, выбирать в контекстном меню конфиг, который надо использовать.
либо запускать как в инструкции на http://openvpn.net/index.php/open-so...ion/howto.html только создать батник для этого примерно такого содержания:
runas /user:Администратор "\"C:\OpenVPN\bin\openvpn.exe\" --pause-exit --config \"%1\""
где вместо %1 путь к файлу конфига.
При этом маршруты должны быть прописаны в конфиге сервера во всех случаях, тогда они корректно добавляются в таблицу маршрутизации клиента.
Для меня в случае Windows 7 наиболее предпочтительным оказался вариант с OpenVPN GUI, так как при одном и том же результате нужно выполнить меньше действий.
С восьмёркой не тестировались? (Каюсь, не искал/читал/делал с этим глюконафтом покачто ничего, поэтому и интерисуюсь, может и на будущее...)
Это пока все вопросы, ибо зоопарк большой, преимущественно на мастдае, в будущем планирую кое-что дурацкое... обязательно отпишусь. если не уволят раньше 8)
Вообще на венде после установки openvpn можно в настройках службы задать запуск автоматически. В этом случае при загрузке системы впн будет подниматься автоматически и необходимые маршруты уже прилетят при старте системы.
Ах, да, совсем забыл (или это не в эту тему? О_о) возможно ли используя OpenVPN "перекинуть" порты? В данном случае COM-порты 8) В данном случае именно для жёлтой бухгалтерской программы. Именно в случае если VPN-сервер на линуксе, а сервер программы крутиться на мастдае?
вот такой вот частный случай....
технологически - нет.
фактически - любой программой, передающей порт. вплоть до нетката.
опенвпн - это программа организации туннелирования, и ей все равно, что идет внутри туннеля
Хорошая статья.
Настроил, работает. Вот только мне надо чтобы VPN не был шлюзом по-умолчанию. Соответственно на сервере закомментил параметр: # push "redirect-gateway"
Если использовать консольный клиент, всё работает как надо, по дефолту используется не VPN шлюз. ivan@kubuntu-ivan:~$ route Таблица маршутизации ядра протокола IP Destination Gateway Genmask Flags Metric Ref Use Iface default 10.64.64.64 0.0.0.0 UG 0 0 0 ppp0 10.8.0.0 10.8.0.5 255.255.255.0 UG 0 0 0 tun0 10.8.0.5 * 255.255.255.255 UH 0 0 0 tun0 10.64.64.64 * 255.255.255.255 UH 0 0 0 ppp0
А вот если через NM, то всегда VPN шлюз по-умолчанию... ivan@kubuntu-ivan:~$ route Таблица маршутизации ядра протокола IP Destination Gateway Genmask Flags Metric Ref Use Iface default 10.8.0.5 0.0.0.0 UG 0 0 0 tun0 10.8.0.0 10.8.0.5 255.255.255.0 UG 0 0 0 tun0 10.8.0.5 * 255.255.255.255 UH 0 0 0 tun0 10.64.64.64 * 255.255.255.255 UH 0 0 0 ppp0 ip-83-246-152-1 10.64.64.64 255.255.255.255 UGH 0 0 0 ppp0 link-local * 255.255.0.0 U 1000 0 0 tun0
В принципе как-то не напрягает, но NM как обычно всё делает по-своему.
Существует ли софт с гуем для работы с большим количеством vpn-соединений.А точнее для работы с сервисом hidemy.ru?Неудобно каждый раз забивать в консоли новый коннект.
И ещё вопрос.Какая команда корректно останавливает openvpn и восстанавливает "родное" соединение?
И гуевый и соединений много сделать можно.
Значит не разобрался.
В архиве который высылает hidemy.ru,помимо сертификата/ключа имеется куча этих "vpn-проксиков".Как их прикрутить в нетворке-хз.
sudo service openvpn stop
Я читал эту тему.И пробовал эту команду.Ничего не изменяется после выполнения.
P.S.Нет возможности писать с акка,ибо не дома.
Попробуйте это:
Благодарю.
Сейчас внимательно просмотрел варианты подключения предлагаемые hidemy.ru.В списке оказался PPTP и L2TP.Через эти протоколы удобно подключаться в нетворке (ибо всё понятно).Но помучаю всё же OpenVPN.
Спасибо за пост. В некоторых случаях нужно быстро поднять тунель между двома точками. И самый быстрый способ с минимальной безопасностью, это общий ключ, как пишут, к примеру здесь - http://sysadm.pp.ua/linux/shifrovanie/openvpn-point-to-point.html . Генерацию ключей через OpenSSL никто не подскажет как делать?
В гугле инструкций вагон и маленькая тележка.
Большая часть - пошаговая.
Как сгенерить ключи, как их передать, все есть..
Причем номер версии роли не играет. Где то с 2001 года ничего не менялось ни в путях ни в генерации.
Комментарии (24)
Самая лучшая how-to статья для типового решения (" Организовать между сервером и клиентом защищенный туннель для возможности безопасного выхода в интернет клиента с любых открытых и потенциально не безопасных точек доступа в интернет. На пример из различных кафе с открытым wifi."). Все заработало сразу. Единственная опечатка "sudo sevice openvpn start".
Поправил.
Вопрос:
"Настраиваем клиента"
и
"Настраиваем подключение к серверу через Network-Manager"
это две параллельные процедуры, как на мой склероз...
В общем случае при использовании НМ процедура "Настраиваем клиента" не нужна.
Во всяком случае, я ее не использовал.
разве что инсталляция собственно опенвпн на клиента
еще одно:
"Примечание: при загрузке системы автоматически поднимаются все VPN соединения, для которых в папке /etc/openvpn есть соответствующие файлы с расширением .conf."
это не так.
для понимания, советую заглянуть в /etc/default/openvpn :-)
там можно указать что нужно стартовать, а что не нужно стартовать.
Естественно, настраивать клиента нужно либо через НМ, либо через консоль.
У меня кажется по умолчанию стартовались все конфиги с любыми названиями с расширением .conf
В любом случае, статья в подшивке и доступна для редактирования, если есть что исправить или добавить милости просим.
К слову, весьма удобно клиентам генерить файлы pkcs12.
./build-key-pkcs12
И клиенту отдаем уже контейнер, если надо, с паролем и конфиг.
Единственное в этом случае настройка средстами NM невозможна.
Да, я знаю, но так как у себя клиента настраивал именно через НМ потому генерил раздельно.
Я что имел в виду: то, что из текста непонятно, что нужно настраивать или клиента или через нм.
Может добавить фразу перед настройкой клиента "варианты настройки клиентской стороны"
и соответственно
"настройка клиента в консоли с автоматическим подьемом при старте"
"настройка клиента в GUI через нетворк манагер"
Разумеется - про установку опенвпн нужно вынести в выше описания вариантов
по вопросу старта конфигов:
файл /etc/default/openvpn
# This is the configuration file for /etc/init.d/openvpn
#
# Start only these VPNs automatically via init script.
# Allowed values are "all", "none" or space separated list of
# names of the VPNs. If empty, "all" is assumed.
# The VPN name refers to the VPN configutation file name.
# i.e. "home" would be /etc/openvpn/home.conf
#
#AUTOSTART="all"
#AUTOSTART="none"
#AUTOSTART="home office"
Как написано белым по черному :-) если все закоментировано - то пускаются все, но можно ограничить автозапуск только указанными туннелями.
Я просто этим пользовался, когда были переезды точек подключения, и нужно было их отключать.
Подскажите пожалуйста, у меня 2 компьютера соединины пачкордом , у компа1 есть доступ в интернет через вай фай. Комп2 подключён пачкордом к компу1. Мне надо чтобы комп2 мог выходить в иннет через комп1. Делаю по вашему мануалу и комп2 не подключается по vpn вообще. Настраиваю на компе2 как у вас показано и не хочет подключаться. Я так понял шлюз ставить вместо 111.111.111.111 ип адрес компа1 с иннетом. ЧТо не так?
Вам, Гость, нужен не впн, а простой роутинг и маскарадинг.
в поиске вбить слова "раздача интернета"
Нет, мне нужен именно впн, такое уж задание... как мне сделать то чт мне нужно с помощью впн?
Вы меня конечно простите, но то, что Вам хочется - называется лечение гланд через задний проход.
Оно реализуемо, конечно, и я знаю, что именно надо сделать.
Но описывать извращения я не буду.
в Windows 7 нужно запускать OpenVPN клиент с правами администратора, тогда если на сервере настроено выдавать маршруты автоматически, то на клиенте маршруты прописывать не надо.
либо руками надо прописывать маршруты на клиенте такие же как вы выдаете на сервере, предварительно удалив имеющиеся командой route delete узел
либо использовать OpenVPN GUI, зайти в свойства значка, вкладка совместимость, запускать от имени администратора.
И затем запустив ее, выбирать в контекстном меню конфиг, который надо использовать.
либо запускать как в инструкции на http://openvpn.net/index.php/open-so...ion/howto.html только создать батник для этого примерно такого содержания:
runas /user:Администратор "\"C:\OpenVPN\bin\openvpn.exe\" --pause-exit --config \"%1\""
где вместо %1 путь к файлу конфига.
При этом маршруты должны быть прописаны в конфиге сервера во всех случаях, тогда они корректно добавляются в таблицу маршрутизации клиента.
Для меня в случае Windows 7 наиболее предпочтительным оказался вариант с OpenVPN GUI, так как при одном и том же результате нужно выполнить меньше действий.
С восьмёркой не тестировались? (Каюсь, не искал/читал/делал с этим глюконафтом покачто ничего, поэтому и интерисуюсь, может и на будущее...)
Это пока все вопросы, ибо зоопарк большой, преимущественно на мастдае, в будущем планирую кое-что дурацкое... обязательно отпишусь. если не уволят раньше 8)
Вообще на венде после установки openvpn можно в настройках службы задать запуск автоматически. В этом случае при загрузке системы впн будет подниматься автоматически и необходимые маршруты уже прилетят при старте системы.
Ах, да, совсем забыл (или это не в эту тему? О_о) возможно ли используя OpenVPN "перекинуть" порты? В данном случае COM-порты 8) В данном случае именно для жёлтой бухгалтерской программы. Именно в случае если VPN-сервер на линуксе, а сервер программы крутиться на мастдае?
вот такой вот частный случай....
технологически - нет.
фактически - любой программой, передающей порт. вплоть до нетката.
опенвпн - это программа организации туннелирования, и ей все равно, что идет внутри туннеля
Хорошая статья.
Настроил, работает. Вот только мне надо чтобы VPN не был шлюзом по-умолчанию. Соответственно на сервере закомментил параметр:
# push "redirect-gateway"
Если использовать консольный клиент, всё работает как надо, по дефолту используется не VPN шлюз.
ivan@kubuntu-ivan:~$ route
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
default 10.64.64.64 0.0.0.0 UG 0 0 0 ppp0
10.8.0.0 10.8.0.5 255.255.255.0 UG 0 0 0 tun0
10.8.0.5 * 255.255.255.255 UH 0 0 0 tun0
10.64.64.64 * 255.255.255.255 UH 0 0 0 ppp0
А вот если через NM, то всегда VPN шлюз по-умолчанию...
ivan@kubuntu-ivan:~$ route
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
default 10.8.0.5 0.0.0.0 UG 0 0 0 tun0
10.8.0.0 10.8.0.5 255.255.255.0 UG 0 0 0 tun0
10.8.0.5 * 255.255.255.255 UH 0 0 0 tun0
10.64.64.64 * 255.255.255.255 UH 0 0 0 ppp0
ip-83-246-152-1 10.64.64.64 255.255.255.255 UGH 0 0 0 ppp0
link-local * 255.255.0.0 U 1000 0 0 tun0
В принципе как-то не напрягает, но NM как обычно всё делает по-своему.
А нет, наврал! Нашёл там галку - "Использовать для ресурсов только этого соединения". С ней, все как надо))
Существует ли софт с гуем для работы с большим количеством vpn-соединений.А точнее для работы с сервисом hidemy.ru?Неудобно каждый раз забивать в консоли новый коннект.
И ещё вопрос.Какая команда корректно останавливает openvpn и восстанавливает "родное" соединение?
А чем стандартный нетвок менеджер не устраивает? Он с опервпн работать умеет на сколько я помню. И гуевый и соединений много сделать можно.
Значит не разобрался.
В архиве который высылает hidemy.ru,помимо сертификата/ключа имеется куча этих "vpn-проксиков".Как их прикрутить в нетворке-хз.
Я читал эту тему.И пробовал эту команду.Ничего не изменяется после выполнения.
P.S.Нет возможности писать с акка,ибо не дома.
Попробуйте это:
sudo killall openvpn
Благодарю.
Сейчас внимательно просмотрел варианты подключения предлагаемые hidemy.ru.В списке оказался PPTP и L2TP.Через эти протоколы удобно подключаться в нетворке (ибо всё понятно).Но помучаю всё же OpenVPN.
Спасибо за пост. В некоторых случаях нужно быстро поднять тунель между двома точками. И самый быстрый способ с минимальной безопасностью, это общий ключ, как пишут, к примеру здесь - http://sysadm.pp.ua/linux/shifrovanie/openvpn-point-to-point.html . Генерацию ключей через OpenSSL никто не подскажет как делать?
В гугле инструкций вагон и маленькая тележка.
Большая часть - пошаговая.
Как сгенерить ключи, как их передать, все есть..
Причем номер версии роли не играет. Где то с 2001 года ничего не менялось ни в путях ни в генерации.