Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Открыть новую тему     Написать ответ в эту тему

WarlockNT



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тема в Программах



OpenVPN - свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами находящимися за NAT-firewall без необходимости изменения его настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL.

Официальный сайт
Страница загрузки
OpenVPN GUI for Windows || The Windows installers are bundled with OpenVPN-GUI
Настройка OpenVPN сервера под Windows
Документация (на английском)
OpenVPN Windows HowTo (на английском)
OpenVPN HowTo (на русском)
Документация на русском
OpenVPN for PocketPC


FAQ
Генерация сертификатов и ключей - сертификаты и ключи нужны только при TLS-аутентификации (--tls-server или --tls-client)
Как прописать сертификаты прямо в конфиг клиента.
• Разрешить запуск и остановку службы openvpnservice обычным пользователям без прав администратора можно бесплатной утилитой svcadmin (см. "Демонстрационные программы", зеркало).

Всего записей: 210 | Зарегистр. 20-01-2003 | Отправлено: 07:48 01-08-2005 | Исправлено: shrmn, 11:53 29-05-2022
karavan



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
JMLabs
https://backreference.org/2010/05/02/controlling-client-to-client-connections-in-openvpn/
+ делаете уникального клиента уникальным с помощью уникального сертификата и именованного файла ccd с прописанным уникальным ip.
 
Добавлено:
Либо другой способ - создание еще одного конфига на другом порту для уникального клиента.
И так-же с помощью правил фаирвола разрешаете ему форвард в первую сеть.
Из первой сети форвард для новых пакетов необходимо запретить.
Не забыть добавить в обе сети нужные маршруты.

Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 03:01 20-03-2019
MACTEP



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
JMLabs

Цитата:
У меня нет на сервере iptables...

 
karavan

Цитата:
Либо другой способ - создание еще одного конфига на другом порту для уникального клиента.

 
Согласен. Самое безболезненное решение, особенно если не имеешь доступа к CA, которым выдавались сертификаты для действующей инфраструктуры.
 

Цитата:
И так-же с помощью правил фаирвола разрешаете ему форвард в первую сеть.
Из первой сети форвард для новых пакетов необходимо запретить.

 
А вот это зачем, ума не приложу. Можно ведь обойтись совсем без фильтрации пакетов на уровне системы. Мне кажется, что опция client-to-client работает в рамках подсети, используемой конкретным сервером OpenVPN. Второй сервер будет биндиться к своему интерфейсу и использовать свою подсеть. Или речь идет именно о форвардинге пакетов между интерфейсами, то бишь роутинге (в лине это вроде как net.ipv4.ip_forward = 1)?
 

Цитата:
Не забыть добавить в обе сети нужные маршруты.

 
Пушить маршрут до новой сети клиентам первого сервера и наоборот.

Всего записей: 928 | Зарегистр. 11-04-2002 | Отправлено: 17:18 23-03-2019
karavan



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
MACTEP

Цитата:
Или речь идет именно о форвардинге пакетов между интерфейсами, то бишь роутинге (в лине это вроде как net.ipv4.ip_forward = 1)?  

Именно об этом.
Я придерживаюсь практики вешать политику DROP на стандартные цепочки, чтоб работало только то, что явно разрешено, отсюда и советы даю соответствующие.

Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 17:45 23-03-2019
MACTEP



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2 karavan:

Цитата:
Я придерживаюсь практики вешать политику DROP на стандартные цепочки, чтоб работало только то, что явно разрешено

Очень правильная практика. Но трудоёмкая. Паранойя должна быть оправдана, иначе некогда будет есть, пить и спать. =)
Раз уж тема с OpenVPN и такой серьезный подход, то есть ли положительный опыт по обфускации его трафика?  

Всего записей: 928 | Зарегистр. 11-04-2002 | Отправлено: 18:28 23-03-2019
karavan



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
MACTEP

Цитата:
есть ли положительный опыт по обфускации его трафика?  

За себя могу сказать, что есть отрицательный опыт в поисках провайдера, который бы запрещал вэпээны.

Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 20:05 23-03-2019
MACTEP



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
karavan

Цитата:
что есть отрицательный опыт в поисках провайдера, который бы запрещал вэпээны

Мне пока тоже такие не попадались, но обещание появления в скором времени аналога великого китайского файрволла оптимизма не добавляет...  

Всего записей: 928 | Зарегистр. 11-04-2002 | Отправлено: 20:16 23-03-2019
allhimik

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Камрады, ткните пожалуйста носом в настройку пересогласования tls ключей (по умолчанию раз в час), на туннеле ip-телефония завязана, бесит уже...пару раз в сутки хватило-бы, а так отваливается каждый час на пару секунд и как по закону подлости - во время разговора!

Всего записей: 46 | Зарегистр. 07-12-2006 | Отправлено: 22:27 31-03-2019
yuris

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
allhimik
 
тыкаю в man openvpn
 

Цитата:
--reneg-sec n
    Renegotiate data channel key after n seconds (default=3600).
 
    When using dual-factor authentication, note that this default value may cause the end user to be challenged to reauthorize once per hour.
 
    Also, keep in mind that this option can be used on both the client and server, and whichever uses the lower value will be the one to trigger the renegotiation. A common mistake is to set --reneg-sec to a higher value on either the client or server, while the other side of the connection is still using the default value of 3600 seconds, meaning that the renegotiation will still occur once per 3600 seconds. The solution is to increase --reneg-sec on both the client and server, or set it to 0 on one side of the connection (to disable), and to your chosen value on the other side.  


Всего записей: 382 | Зарегистр. 19-11-2001 | Отправлено: 08:00 01-04-2019
allhimik

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Спасибо! Посмотрел конфиги сервера и клиентов - не слова о --reneg-sec n ... значит умолчание в 3600 секунд, теперь хоть ясно что за отвалы...буду перетряхивать конфигурацию. )))

Всего записей: 46 | Зарегистр. 07-12-2006 | Отправлено: 14:47 12-04-2019
rsilin

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день. Подскажите пожалуйста, в логе клиента 2.4.7 при подключении появляются два предупреждения:
1. WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this  
В интернете по этому поводу предлагают заменить в файле client.ovpn параметр "auth SHA1" на "auth-nocache SHA1", но если так сделать, клиент вылетает с ошибкой "Options error: Unrecognized option or missing or extra parameter(s) in client.ovpn:12: auth-nocache (2.4.7)" , поэтому я просто добавил под строкой "auth SHA1" строку "auth-nocache". Ошибка ушла, но насколько это корректно?
2. WARNING: --ping should normally be used with --ping-restart or --ping-exit
Не совсем понятно, для чего нужен "ping-restart", заменяет ли он собой параметр "ping" и какое время выставлять для подключения к MikroTik ?

Всего записей: 11 | Зарегистр. 25-09-2017 | Отправлено: 11:30 18-04-2019
yuris

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
По-поводу первого варнинга - всё корректно сделали, в документации у опции auth-nocache не указывается никаких алгоритмов шифрования.

Цитата:
--auth-nocache
    Don't cache --askpass or --auth-user-pass username/passwords in virtual memory.

По поводу второго варнинга - я думаю им можно пренебречь,
ping-restart это не тоже самое, что ping. Он делает рестарт сервиса при неответе на пинг.
а ping он просто пингует при простое канала, чтобы фаерволы не расслаблялись.

Всего записей: 382 | Зарегистр. 19-11-2001 | Отправлено: 16:08 18-04-2019
rsilin

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yuris
Спасибо.
Ещё один вопрос касательно безопасности клиента OpenVPN для Windows. Все настройки и сертификаты для подключения к серверу лежат в папке Config, причем логин и пароль в открытом виде. И ничто не мешает постороннему человеку скачать эту папку, после чего он сможет настроить доступ на любом компьютере. Как можно обезопасить клиент на такой случай?

Всего записей: 11 | Зарегистр. 25-09-2017 | Отправлено: 15:23 19-04-2019
MACTEP



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2 rsilin:

Цитата:
Все настройки и сертификаты для подключения к серверу лежат в папке Config, причем логин и пароль в открытом виде.

Во-первых, непонятно о каком логине идет речь. Есть пара - сертификат и закрытый ключ. Есть пароль закрытого ключа. Установив пароль на закрытый ключ по фэшую (длинный, бессмысленный, буквы-цифры-спецсимволы, разные регистры) можно спать спокойно. Во-вторых, если паранойя зашкаливает, то веракрипт, скрытый контейнер, туда серт и ключ, второй пароль по фэншую уже на контейнер. В-третьих, никто не отменял всеразличные токены и pkcs11. В общем, было бы желание...  
 

Всего записей: 928 | Зарегистр. 11-04-2002 | Отправлено: 17:09 19-04-2019 | Исправлено: MACTEP, 17:10 19-04-2019
rsilin

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Во-первых, непонятно о каком логине идет речь.

имеется ввиду логин и пароль из файла auth.cfg

Всего записей: 11 | Зарегистр. 25-09-2017 | Отправлено: 17:43 19-04-2019
MACTEP



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2 rsilin:
Тфу, блин, ни разу не приходило в голову использовать опенвпн с авторизацией по логину/паролю через внешний скрипт... И не буду! =) В Вашем варианте - либо запомнить авторизационные данные, либо хранить их в каком-нибудь пасскипере, а файл auth.cfg прибить и в параметре auth-user-pass конфига клиента удалить путь к этому файлу. Как-то так...

Всего записей: 928 | Зарегистр. 11-04-2002 | Отправлено: 18:14 19-04-2019
YuraseK

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В последнее время наблюдается странная проблема при использовании OpenVPN.
В качестве сервера выступает виртуальная машина на базе Ubuntu и 3-и удалённые машины на базе Windows 7, 2008 R2 и 2012 R2. Всё работает на базе UDP протокола в режиме TAP. Проблема проявляется в следующем: в произвольный момент времени и на произвольное время отваливается доступ к этим 3-м машинам, при этом всё, что за машинами, работает бесперебойно. С проблемных машин при этом доходит только ARP трафик, а к ним никакой.
Есть вероятность, что проблема связана с каким-либо из обновлений Windows или ESXi, но это пока только догадки.
Может кто сталкивался с такой проблемой или может подсказать направление в её решении?

Всего записей: 527 | Зарегистр. 12-12-2003 | Отправлено: 13:40 06-05-2019 | Исправлено: YuraseK, 13:40 06-05-2019
MACTEP



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2 YuraseK:
Для начала я бы посоветовал обновиться на всех машинах до последней версии 2.4.7. Затем включить максимально подробные логи и смотреть, что туда пишется в периоды, когда приходят глюки. Странно звучит вот эта фраза
Цитата:
при этом всё, что за машинами, работает бесперебойно
С одной стороны, Вы используете бридж, собирая таким соединением все машины в одну бродкаст-сеть, с другой, исходя из цитируемой фразы, какая-то винда еще и роутит другие сети. Не очень понятная мне топология, так как для роутинга обычно за глаза хватает net30 или subnet. И последнее. Если на гипервизоре в виртуальной Ubuntu бридж-интерфейс есть эмулируемый  физический интерфейс (например vmx0), включенный в бридж и который воткнут в виртуальный свитч, то promiscuous mode должен быть accept (по умолчанию всегда reject). Как-то так...

Всего записей: 928 | Зарегистр. 11-04-2002 | Отправлено: 18:01 06-05-2019 | Исправлено: MACTEP, 18:09 06-05-2019
karavan



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
MACTEP
Цитата:
то promiscuous mode должен быть accept  
Справедливости ради, этот параметр не влияет на установившееся соединение, только на возможность установления оного.

Цитата:
Не очень понятная мне топология
Присоединяюсь к вопросу о топологии, домыслы будут неуместны.

Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 00:29 07-05-2019 | Исправлено: karavan, 02:34 07-05-2019
YuraseK

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MACTEP, karavan
Топология простая: удалённые машины и центральный сервер выступают мостами в одну бродкаст-сеть.
Скорее всего мне удалось локализовать источник всех бед: Microsoft впервые за 10 лет решили обновить драйвер bridge.sys, который используется при работе моста. Попробую откатить обновления, которые затрагивают этот драйвер (для Windows 7 и 2008 R2 - это KB4489878, KB4489885, KB4489892, KB4493472), и чуть позже сообщу о результате. Вариант с обновлением OpenVPN также проверю.

Всего записей: 527 | Зарегистр. 12-12-2003 | Отправлено: 09:47 07-05-2019 | Исправлено: YuraseK, 10:11 07-05-2019
karavan



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
YuraseK
Цитата:
удалённые машины и центральный сервер выступают мостами в одну бродкаст-сеть
Исходя из описания, мне почему-то представляется знатная петля в сети.

Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 11:36 07-05-2019
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru