Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
OpenVPN - Помогите, пожалуйста, мне, глупому, настроить.
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index Russian
View previous topic :: View next topic  
Author Message
FilimoniC
n00b
n00b


Joined: 13 Apr 2008
Posts: 6
Location: Russia

PostPosted: Wed Apr 23, 2008 9:48 am    Post subject: OpenVPN - Помогите, пожалуйста, мне, глупому, настроить. Reply with quote

Добрый день!
Прошу помощи в настройке OpenVPN, так как у самого уже кипят мозги от документации - может, кто подкинет готовый вариант. Проблема не только в настройке OpenVPN, но и в прописывании маршрутов и прочего.

С чего все началось:
На работе захотелось поиграть в WoW, но почти все порты закрыты, сижу за NATом. Тут возникла идея сделать туннель до домашнего компа и играть через него. Дома - "Стрим", стоит роутер Asus WL500g Deluxe, за роутером - компьютер с одним сетевым интерфейсом на Gentoo 2008. У роутера IP "Реальный", но "Динамический", то есть раз в сутки он меняется на другой реальный. Прописан DynDNS.

Что нужно-то:
Нужно чтобы весь траффик шел через VPN, а дальше - в интернет. То есть, по сути, нужно чтобы рабочий компьютер стал как-бы компьютером, подключенным к домашнему роутеру внутри сети. На роутере нет ни возможности, ни желания поднять OpenVPN. Хотелось бы чтобы рабочий компьютер получал адрес от DHCP-сервера роутера, а не компьютера с Gentoo, чтобы возможен был проброс портов средствами только одного роутера (т.е. в Virtual Server добавляю правило что Port 2020 -> 172.20.1.101:2020, где 172.20.1.101 - IP-адрес рабочего компьютера, полученный при коннекте по VPN). Также нужна возможность одновременного подключения нескольких рабочих компьютеров.
Вопрос безопасности волнует меньше всего (возможна передача трафика в открытом виде, авторизация по самому простому методу, но с защитой от непрошеных гостей). Желательно наличие сжатия траффика.
Т.Е. VPN используется только для обхода ограничения на загрытые порты.

Как хотелось решить:
Решить решил через OpenVPN (по tcp). Методом тыка (тыка, почти не понимая что я делаю) добился того, чтобы все коннектилось, сервер пингует клиента и наоборот, но вот траффик дальше сервера не идет.

Что я прошу от вас, уважаемые:
Прошу помочь с настройкой от начала и до конца, то есть, показать рабочие примеры подобных решений.
- Конфиги openVPN (клиента и сервера)
- Настройки iptaples
- Настройки винды на рабочей машине (маршруты, приоритеты соединений)

Хотелось бы начать "с нуля", чтобы более подробно углубиться во все, но к сожалению, нет сил уже читать man'ы. Примеров подходящих, увы, не нашел.

Заранее спасибо!
_________________
filik.ru
pegaspay.ru
Back to top
View user's profile Send private message
Alex-X
n00b
n00b


Joined: 13 Apr 2008
Posts: 11

PostPosted: Wed Apr 23, 2008 10:47 am    Post subject: Reply with quote

А где ты собираешься поднимать VPN сервер ?
а то если у тебя на домашнем роутере динамическая IP и ты хочешь на нем поднять VPN - это плохая идея :)
1. тебе для начала нужна реальная статическая IP на твой домашний роутер, и дальше на нем поднимать VPN сервер (только твой роутер ASUS WL 500g Delxe наверное такое не умеет) # LinkSys WRT54GL походу умеет (на него можно заливать линух - недавно цацкался с таким :) ) #
2. Тебе нужно на офисе иметь реальную статическую IP и там поднимать сервак и настраивать свой роутер как клиент # L2TP & PPTP #
3. Можно воспользоваться платными VPN серверами :) и только понастраивать свои машины как клиенты .
Back to top
View user's profile Send private message
FilimoniC
n00b
n00b


Joined: 13 Apr 2008
Posts: 6
Location: Russia

PostPosted: Wed Apr 23, 2008 10:59 am    Post subject: Reply with quote

Alex-X wrote:
А где ты собираешься поднимать VPN сервер ?

На домашнем сервере, который находится за роутером. У роутера реальный IP, но динамический (т.е. обращение к нему идет, чтобы узнать IP пользуюсь DynDNS). Роутер "мой", так что любые пробросы возможны
Alex-X wrote:

а то если у тебя на домашнем роутере динамическая IP и ты хочешь на нем поднять VPN - это плохая идея :)
1. тебе для начала нужна реальная статическая IP на твой домашний роутер, и дальше на нем поднимать VPN сервер (только твой роутер ASUS WL 500g Delxe наверное такое не умеет) # LinkSys WRT54GL походу умеет (на него можно заливать линух - недавно цацкался с таким :) ) #

Поясните, пожалуйста.
Как я понимаю, необходимости в статическом IP нет, тк соединение и сертификаты(ключи) на это никак не завязываются. IP своего роутера я всегда знаю благодаря DynDNS. Как я сказал, IP реальный, но динамический. В дисконнекте при смене IP проблемы нет - пусть дисконнектится - это раз в сутки происходит. Так как сервер с OpenVPN-сервером находится прямо за ним, не вижу проблемы в пробросе порта. Работа по tcp, поэтому проблемы в том, что клиенты за натом тоже нет.

(Asus может, но опять-же через OpenVPN, плюс в него надо USB-диск втыкать тк своих кишок ему маловато - не хочу на роутере дабы не загружать его OpenVPN'ом)
upd:
Running an OpenVPN server on a dynamic IP address

While OpenVPN clients can easily access the server via a dynamic IP address without any special configuration, things get more interesting when the server itself is on a dynamic address. While OpenVPN has no trouble handling the situation of a dynamic server, some extra configuration is required.

The first step is to get a dynamic DNS address which can be configured to "follow" the server every time the server's IP address changes. There are several dynamic DNS service providers available, such as dyndns.org.

The next step is to set up a mechanism so that every time the server's IP address changes, the dynamic DNS name will be quickly updated with the new IP address, allowing clients to find the server at its new IP address. There are two basic ways to accomplish this:
Use a NAT router appliance with dynamic DNS support (such as the Linksys BEFSR41). Most of the inexpensive NAT router appliances that are widely available have the capability to update a dynamic DNS name every time a new DHCP lease is obtained from the ISP. This setup is ideal when the OpenVPN server box is a single-NIC machine inside the firewall.

Use a dynamic DNS client application such as ddclient to update the dynamic DNS address whenever the server IP address changes. This setup is ideal when the machine running OpenVPN has multiple NICs and is acting as a site-wide firewall/gateway. To implement this setup, you need to set up a script to be run by your DHCP client software every time an IP address change occurs. This script should (a) run ddclient to notify your dynamic DNS provider of your new IP address and (b) restart the OpenVPN server daemon.

The OpenVPN client by default will sense when the server's IP address has changed, if the client configuration is using a remote directive which references a dynamic DNS name. The usual chain of events is that (a) the OpenVPN client fails to receive timely keepalive messages from the server's old IP address, triggering a restart, and (b) the restart causes the DNS name in the remote directive to be re-resolved, allowing the client to reconnect to the server at its new IP address.

More information can be found in the FAQ.


Alex-X wrote:
2. Тебе нужно на офисе иметь реальную статическую IP и там поднимать сервак и настраивать свой роутер как клиент # L2TP & PPTP #
3. Можно воспользоваться платными VPN серверами :) и только понастраивать свои машины как клиенты .

Эти два варианта отпадают.
_________________
filik.ru
pegaspay.ru
Back to top
View user's profile Send private message
Alex-X
n00b
n00b


Joined: 13 Apr 2008
Posts: 11

PostPosted: Wed Apr 23, 2008 3:52 pm    Post subject: Reply with quote

тогда возможен вариант :
сделать форвардинг портов роутера на домашний сервак (впн)
*******
мог бы показать топологию сети, а то сложно представить такую картину :)
--------------------------------------------------------------------------------------------------
может проще настроить впн на роутере, а то как я понял нужно :
* - настроить VPN на клиентах по порту ХХХ
* - пустить через этот порт к твоему роутеру
* - на роутере сделать форвардинг ХХХ порта на порт твоего VPN сервер
* - # dhcp , нафика он в таком случае ? :) #
* - сделать на серваке виртуальный интерфей на него прикрутить VPN
* - и через iptables пустить с виртуального интерфейса обратно в иНет
-----------------------------------------------------------------------------------------------------
да это проще простого :wink:
Back to top
View user's profile Send private message
FilimoniC
n00b
n00b


Joined: 13 Apr 2008
Posts: 6
Location: Russia

PostPosted: Thu Apr 24, 2008 7:47 am    Post subject: Reply with quote

Картинка топологии сети. http://img87.imageshack.us/img87/4976/99605148aa4.jpg

Суть такая:
Code:
Зеленые линии - физический канал.
Желтые пунктирные - VPN-канал, от tap до tap
Компьютер "Workstation(Office)" справа, соединенный синим пунктиром - эффект, которого нужно добиться.  Также он должен получить на tap-устройстве IP-шник из разряда домашних (172.20.1.х)
ADSL-модем в данном случае особой роли не играет, тк является только транспортом, PPPoE поднимается на Asus Wl500g Deluxe, то есть "Реальный" IP висит на роутере.
DHCP-сервер стоит на роутере Asus WL500g Deluxe
OpenVPN-сервер стоит на Gentoo Server
Cisco 192.168.0.24 для настройки неподвластен, на нем же режутся все исходящие порты кроме "основных", на нем же стоит NAT.


Quote:
* - настроить VPN на клиентах по порту ХХХ (Ну собсна, настроено. Хотелось бы настроить как можно проще, а остальные настройки отдавать через push с сервера. Думаю, не трудно)
* - пустить через этот порт к твоему роутеру (Сделано)
* - на роутере сделать форвардинг ХХХ порта на порт твоего VPN сервер (Сделано)
* - # dhcp , нафика он в таком случае ? # (DHCPD на Asus WL500g должен выдать IP подключившимуся VPN-шику.)
* - сделать на серваке виртуальный интерфей на него прикрутить VPN (Это TAP?)
* - и через iptables пустить с виртуального интерфейса обратно в иНет (Как? Я так понимаю, надо мост между eth1 и tap0 сделать? или нет?)

_________________
filik.ru
pegaspay.ru
Back to top
View user's profile Send private message
FilimoniC
n00b
n00b


Joined: 13 Apr 2008
Posts: 6
Location: Russia

PostPosted: Fri Apr 25, 2008 8:31 am    Post subject: Reply with quote

Помогите, связь есть, IP получил.
Не пингует сервер по 172.20.8.x, соответственно ниче другого тоже не пингует.
Ничего кроме этого на системе не делал, подскажите, как настроить роутинг на сервере и клиенте, как прописать iptables

172.20.1.x - внутрення домашняя сеть (шлюз 172.20.1.1)
172.20.8.x - VPN-сеть
192.168.0 - рабочая сеть (шлюз 192.168.0.24)



server.conf
Code:
port 5190
proto tcp
;proto udp
dev tap
;dev tun
;dev-node MyTap
ca /etc/openvpn/config-myHomeLan/keys/ca.crt
cert /etc/openvpn/config-myHomeLan/keys/server.crt
key /etc/openvpn/config-myHomeLan/keys/server.key  # This file should be kept secret
dh /etc/openvpn/config-myHomeLan/keys/dh1024.pem
;server 172.20.8.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/config-myHomeLan/keys/ipp.txt
server-bridge 172.20.8.2 255.255.255.0 172.20.8.50 172.20.8.100
push "route 172.20.1.0 255.255.255.0"
push "route 172.20.2.0 255.255.255.0"
push "route 172.20.8.0 255.255.255.0"
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
;learn-address ./script
push "redirect-gateway"
push "dhcp-option DNS 172.20.1.1"
;push "dhcp-option WINS 10.8.0.1"
client-to-client
duplicate-cn
keepalive 10 120
;tls-auth ta.key 0 # This file is secret
cipher BF-CBC        # Blowfish (default)
;cipher AES-128-CBC   # AES
;cipher DES-EDE3-CBC  # Triple-DES
comp-lzo
max-clients 100
user nobody
group nobody
persist-key
persist-tun
status  /etc/openvpn/config-myHomeLan/keys/openvpn-status.log
log         /var/log/openvpn.log
;log-append  openvpn.log
verb 4
;mute 20


Code:
client
dev tap
proto tcp
remote xxx.homedns.org 5190
resolv-retry infinite
nobind
persist-key
persist-tun

ca ca.crt
cert filimonic-work.crt
key filimonic-work.key

cipher BF-CBC
comp-lzo
verb 3

openvpn.log
Code:
Fri Apr 25 12:13:54 2008 us=402737 Current Parameter Settings:
Fri Apr 25 12:13:54 2008 us=403434   config = '/etc/openvpn/config-myHomeLan/server.conf'
Fri Apr 25 12:13:54 2008 us=403483   mode = 1
Fri Apr 25 12:13:54 2008 us=403526   persist_config = DISABLED
Fri Apr 25 12:13:54 2008 us=403567   persist_mode = 1
Fri Apr 25 12:13:54 2008 us=403608   show_ciphers = DISABLED
Fri Apr 25 12:13:54 2008 us=403648   show_digests = DISABLED
Fri Apr 25 12:13:54 2008 us=403689   show_engines = DISABLED
Fri Apr 25 12:13:54 2008 us=403730   genkey = DISABLED
Fri Apr 25 12:13:54 2008 us=403773   key_pass_file = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=403814   show_tls_ciphers = DISABLED
Fri Apr 25 12:13:54 2008 us=403854   proto = 1
Fri Apr 25 12:13:54 2008 us=403894   local = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=403936   remote_list = NULL
Fri Apr 25 12:13:54 2008 us=403978   remote_random = DISABLED
Fri Apr 25 12:13:54 2008 us=404019   local_port = 5190
Fri Apr 25 12:13:54 2008 us=404060   remote_port = 5190
Fri Apr 25 12:13:54 2008 us=404100   remote_float = DISABLED
Fri Apr 25 12:13:54 2008 us=404141   ipchange = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=404181   bind_local = ENABLED
Fri Apr 25 12:13:54 2008 us=404222   dev = 'tap'
Fri Apr 25 12:13:54 2008 us=404263   dev_type = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=404304   dev_node = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=404345   tun_ipv6 = DISABLED
Fri Apr 25 12:13:54 2008 us=404386   ifconfig_local = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=404432   ifconfig_remote_netmask = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=404473   ifconfig_noexec = DISABLED
Fri Apr 25 12:13:54 2008 us=404513   ifconfig_nowarn = DISABLED
Fri Apr 25 12:13:54 2008 us=404554   shaper = 0
Fri Apr 25 12:13:54 2008 us=404595   tun_mtu = 1500
Fri Apr 25 12:13:54 2008 us=404635   tun_mtu_defined = ENABLED
Fri Apr 25 12:13:54 2008 us=404677   link_mtu = 1500
Fri Apr 25 12:13:54 2008 us=404718   link_mtu_defined = DISABLED
Fri Apr 25 12:13:54 2008 us=404758   tun_mtu_extra = 32
Fri Apr 25 12:13:54 2008 us=404799   tun_mtu_extra_defined = ENABLED
Fri Apr 25 12:13:54 2008 us=404840   fragment = 0
Fri Apr 25 12:13:54 2008 us=404880   mtu_discover_type = -1
Fri Apr 25 12:13:54 2008 us=404921   mtu_test = 0
Fri Apr 25 12:13:54 2008 us=404963   mlock = DISABLED
Fri Apr 25 12:13:54 2008 us=405003   keepalive_ping = 10
Fri Apr 25 12:13:54 2008 us=405044   keepalive_timeout = 120
Fri Apr 25 12:13:54 2008 us=405084   inactivity_timeout = 0
Fri Apr 25 12:13:54 2008 us=405124   ping_send_timeout = 10
Fri Apr 25 12:13:54 2008 us=405164   ping_rec_timeout = 240
Fri Apr 25 12:13:54 2008 us=405204   ping_rec_timeout_action = 2
Fri Apr 25 12:13:54 2008 us=405244   ping_timer_remote = DISABLED
Fri Apr 25 12:13:54 2008 us=405285   remap_sigusr1 = 0
Fri Apr 25 12:13:54 2008 us=405325   explicit_exit_notification = 0
Fri Apr 25 12:13:54 2008 us=405366   persist_tun = ENABLED
Fri Apr 25 12:13:54 2008 us=405406   persist_local_ip = DISABLED
Fri Apr 25 12:13:54 2008 us=405447   persist_remote_ip = DISABLED
Fri Apr 25 12:13:54 2008 us=405487   persist_key = ENABLED
Fri Apr 25 12:13:54 2008 us=405529   mssfix = 1450
Fri Apr 25 12:13:54 2008 us=405570   passtos = DISABLED
Fri Apr 25 12:13:54 2008 us=405612   resolve_retry_seconds = 1000000000
Fri Apr 25 12:13:54 2008 us=405652   connect_retry_seconds = 5
Fri Apr 25 12:13:54 2008 us=405694   username = 'nobody'
Fri Apr 25 12:13:54 2008 us=405734   groupname = 'nobody'
Fri Apr 25 12:13:54 2008 us=405774   chroot_dir = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=405815   cd_dir = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=405855   writepid = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=405895   up_script = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=405957   down_script = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=405997   down_pre = DISABLED
Fri Apr 25 12:13:54 2008 us=406037   up_restart = DISABLED
Fri Apr 25 12:13:54 2008 us=406077   up_delay = DISABLED
Fri Apr 25 12:13:54 2008 us=406117   daemon = DISABLED
Fri Apr 25 12:13:54 2008 us=406157   inetd = 0
Fri Apr 25 12:13:54 2008 us=406197   log = ENABLED
Fri Apr 25 12:13:54 2008 us=406237   suppress_timestamps = DISABLED
Fri Apr 25 12:13:54 2008 us=406381   nice = 0
Fri Apr 25 12:13:54 2008 us=406422   verbosity = 4
Fri Apr 25 12:13:54 2008 us=406462   mute = 0
Fri Apr 25 12:13:54 2008 us=406502   gremlin = 0
Fri Apr 25 12:13:54 2008 us=406545   status_file = '/etc/openvpn/config-myHomeLan/keys/openvpn-status.log'
Fri Apr 25 12:13:54 2008 us=406585   status_file_version = 1
Fri Apr 25 12:13:54 2008 us=406626   status_file_update_freq = 60
Fri Apr 25 12:13:54 2008 us=406666   occ = ENABLED
Fri Apr 25 12:13:54 2008 us=406706   rcvbuf = 65536
Fri Apr 25 12:13:54 2008 us=406746   sndbuf = 65536
Fri Apr 25 12:13:54 2008 us=406787   socks_proxy_server = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=406827   socks_proxy_port = 0
Fri Apr 25 12:13:54 2008 us=406870   socks_proxy_retry = DISABLED
Fri Apr 25 12:13:54 2008 us=406936   fast_io = DISABLED
Fri Apr 25 12:13:54 2008 us=406977   comp_lzo = ENABLED
Fri Apr 25 12:13:54 2008 us=407018   comp_lzo_adaptive = ENABLED
Fri Apr 25 12:13:54 2008 us=407061   route_script = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=407101   route_default_gateway = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=407141   route_noexec = DISABLED
Fri Apr 25 12:13:54 2008 us=407182   route_delay = 0
Fri Apr 25 12:13:54 2008 us=407222   route_delay_window = 30
Fri Apr 25 12:13:54 2008 us=407262   route_delay_defined = DISABLED
Fri Apr 25 12:13:54 2008 us=407309   management_addr = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=407349   management_port = 0
Fri Apr 25 12:13:54 2008 us=407390   management_user_pass = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=407432   management_log_history_cache = 250
Fri Apr 25 12:13:54 2008 us=407474   management_echo_buffer_size = 100
Fri Apr 25 12:13:54 2008 us=407515   management_query_passwords = DISABLED
Fri Apr 25 12:13:54 2008 us=407555   management_hold = DISABLED
Fri Apr 25 12:13:54 2008 us=407595   shared_secret_file = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=407637   key_direction = 0
Fri Apr 25 12:13:54 2008 us=407681   ciphername_defined = ENABLED
Fri Apr 25 12:13:54 2008 us=407722   ciphername = 'BF-CBC'
Fri Apr 25 12:13:54 2008 us=407764   authname_defined = ENABLED
Fri Apr 25 12:13:54 2008 us=407804   authname = 'SHA1'
Fri Apr 25 12:13:54 2008 us=407845   keysize = 0
Fri Apr 25 12:13:54 2008 us=407887   engine = DISABLED
Fri Apr 25 12:13:54 2008 us=407927   replay = ENABLED
Fri Apr 25 12:13:54 2008 us=407968   mute_replay_warnings = DISABLED
Fri Apr 25 12:13:54 2008 us=408009   replay_window = 0
Fri Apr 25 12:13:54 2008 us=408050   replay_time = 0
Fri Apr 25 12:13:54 2008 us=408091   packet_id_file = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=408131   use_iv = ENABLED
Fri Apr 25 12:13:54 2008 us=408172   test_crypto = DISABLED
Fri Apr 25 12:13:54 2008 us=408213   tls_server = ENABLED
Fri Apr 25 12:13:54 2008 us=408253   tls_client = DISABLED
Fri Apr 25 12:13:54 2008 us=408294   key_method = 2
Fri Apr 25 12:13:54 2008 us=408335   ca_file = '/etc/openvpn/config-myHomeLan/keys/ca.crt'
Fri Apr 25 12:13:54 2008 us=408377   dh_file = '/etc/openvpn/config-myHomeLan/keys/dh1024.pem'
Fri Apr 25 12:13:54 2008 us=408419   cert_file = '/etc/openvpn/config-myHomeLan/keys/server.crt'
Fri Apr 25 12:13:54 2008 us=408461   priv_key_file = '/etc/openvpn/config-myHomeLan/keys/server.key'
Fri Apr 25 12:13:54 2008 us=408502   pkcs12_file = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=408542   cipher_list = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=408582   tls_verify = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=408622   tls_remote = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=408662   crl_file = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=408705   ns_cert_type = 0
Fri Apr 25 12:13:54 2008 us=408746   tls_timeout = 2
Fri Apr 25 12:13:54 2008 us=408787   renegotiate_bytes = 0
Fri Apr 25 12:13:54 2008 us=408828   renegotiate_packets = 0
Fri Apr 25 12:13:54 2008 us=408868   renegotiate_seconds = 3600
Fri Apr 25 12:13:54 2008 us=408909   handshake_window = 60
Fri Apr 25 12:13:54 2008 us=408950   transition_window = 3600
Fri Apr 25 12:13:54 2008 us=408991   single_session = DISABLED
Fri Apr 25 12:13:54 2008 us=409032   tls_exit = DISABLED
Fri Apr 25 12:13:54 2008 us=409127   tls_auth_file = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=409179   server_network = 0.0.0.0
Fri Apr 25 12:13:54 2008 us=409226   server_netmask = 0.0.0.0
Fri Apr 25 12:13:54 2008 us=409273   server_bridge_ip = 172.20.8.2
Fri Apr 25 12:13:54 2008 us=409320   server_bridge_netmask = 255.255.255.0
Fri Apr 25 12:13:54 2008 us=409368   server_bridge_pool_start = 172.20.8.50
Fri Apr 25 12:13:54 2008 us=409415   server_bridge_pool_end = 172.20.8.100
Fri Apr 25 12:13:54 2008 us=409460   push_list = 'route 172.20.1.0 255.255.255.0,route 172.20.2.0 255.255.255.0,route 172.20.8.0 255.255.255.0,redirect-gateway,dhcp-option DNS 172.20.1.1,route-gateway 172.20.8.2,ping 10,ping-restart 120'
Fri Apr 25 12:13:54 2008 us=409502   ifconfig_pool_defined = ENABLED
Fri Apr 25 12:13:54 2008 us=409549   ifconfig_pool_start = 172.20.8.50
Fri Apr 25 12:13:54 2008 us=409596   ifconfig_pool_end = 172.20.8.100
Fri Apr 25 12:13:54 2008 us=409644   ifconfig_pool_netmask = 255.255.255.0
Fri Apr 25 12:13:54 2008 us=409685   ifconfig_pool_persist_filename = '/etc/openvpn/config-myHomeLan/keys/ipp.txt'
Fri Apr 25 12:13:54 2008 us=409727   ifconfig_pool_persist_refresh_freq = 600
Fri Apr 25 12:13:54 2008 us=409767   ifconfig_pool_linear = DISABLED
Fri Apr 25 12:13:54 2008 us=409807   n_bcast_buf = 256
Fri Apr 25 12:13:54 2008 us=409848   tcp_queue_limit = 64
Fri Apr 25 12:13:54 2008 us=409888   real_hash_size = 256
Fri Apr 25 12:13:54 2008 us=409928   virtual_hash_size = 256
Fri Apr 25 12:13:54 2008 us=409969   client_connect_script = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=410010   learn_address_script = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=410050   client_disconnect_script = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=410091   client_config_dir = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=410131   ccd_exclusive = DISABLED
Fri Apr 25 12:13:54 2008 us=410171   tmp_dir = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=410211   push_ifconfig_defined = DISABLED
Fri Apr 25 12:13:54 2008 us=410258   push_ifconfig_local = 0.0.0.0
Fri Apr 25 12:13:54 2008 us=410304   push_ifconfig_remote_netmask = 0.0.0.0
Fri Apr 25 12:13:54 2008 us=410344   enable_c2c = ENABLED
Fri Apr 25 12:13:54 2008 us=410384   duplicate_cn = ENABLED
Fri Apr 25 12:13:54 2008 us=410424   cf_max = 0
Fri Apr 25 12:13:54 2008 us=410463   cf_per = 0
Fri Apr 25 12:13:54 2008 us=410503   max_clients = 100
Fri Apr 25 12:13:54 2008 us=410544   max_routes_per_client = 256
Fri Apr 25 12:13:54 2008 us=410584   client_cert_not_required = DISABLED
Fri Apr 25 12:13:54 2008 us=410625   username_as_common_name = DISABLED
Fri Apr 25 12:13:54 2008 us=410666   auth_user_pass_verify_script = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=410707   auth_user_pass_verify_script_via_file = DISABLED
Fri Apr 25 12:13:54 2008 us=410748   client = DISABLED
Fri Apr 25 12:13:54 2008 us=410787   pull = DISABLED
Fri Apr 25 12:13:54 2008 us=410827   auth_user_pass_file = '[UNDEF]'
Fri Apr 25 12:13:54 2008 us=410876 OpenVPN 2.0.7 i586-pc-linux-gnu [SSL] [LZO] [EPOLL] built on Apr 22 2008
Fri Apr 25 12:13:54 2008 us=411166 WARNING: --ifconfig-pool-persist will not work with --duplicate-cn
Fri Apr 25 12:13:54 2008 us=467812 Diffie-Hellman initialized with 1024 bit key
Fri Apr 25 12:13:54 2008 us=472063 TLS-Auth MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Fri Apr 25 12:13:54 2008 us=487574 TUN/TAP device tap0 opened
Fri Apr 25 12:13:54 2008 us=487871 TUN/TAP TX queue length set to 100
Fri Apr 25 12:13:54 2008 us=488077 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Fri Apr 25 12:13:54 2008 us=490549 GID set to nobody
Fri Apr 25 12:13:54 2008 us=490876 UID set to nobody
Fri Apr 25 12:13:54 2008 us=491007 Listening for incoming TCP connection on [undef]:5190
Fri Apr 25 12:13:54 2008 us=491196 Socket Buffers: R=[87380->131072] S=[16384->131072]
Fri Apr 25 12:13:54 2008 us=491258 TCPv4_SERVER link local (bound): [undef]:5190
Fri Apr 25 12:13:54 2008 us=491299 TCPv4_SERVER link remote: [undef]
Fri Apr 25 12:13:54 2008 us=491363 MULTI: multi_init called, r=256 v=256
Fri Apr 25 12:13:54 2008 us=491525 IFCONFIG POOL: base=172.20.8.50 size=51
Fri Apr 25 12:13:54 2008 us=491732 IFCONFIG POOL LIST
Fri Apr 25 12:13:54 2008 us=491816 MULTI: TCP INIT maxclients=100 maxevents=104
Fri Apr 25 12:13:54 2008 us=491980 Initialization Sequence Completed
Fri Apr 25 12:14:02 2008 us=840397 MULTI: multi_create_instance called
Fri Apr 25 12:14:02 2008 us=840585 Re-using SSL/TLS context
Fri Apr 25 12:14:02 2008 us=840740 LZO compression initialized
Fri Apr 25 12:14:02 2008 us=841622 Control Channel MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Fri Apr 25 12:14:02 2008 us=841877 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Fri Apr 25 12:14:02 2008 us=842029 Local Options String: 'V4,dev-type tap,link-mtu 1576,tun-mtu 1532,proto TCPv4_SERVER,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Fri Apr 25 12:14:02 2008 us=842072 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1576,tun-mtu 1532,proto TCPv4_CLIENT,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Fri Apr 25 12:14:02 2008 us=842204 Local Options hash (VER=V4): '3e6d1056'
Fri Apr 25 12:14:02 2008 us=842293 Expected Remote Options hash (VER=V4): '31fdf004'
Fri Apr 25 12:14:02 2008 us=842465 TCP connection established with 84.21.76.131:2177
Fri Apr 25 12:14:02 2008 us=842532 Socket Buffers: R=[131072->131072] S=[131072->131072]
Fri Apr 25 12:14:02 2008 us=842601 TCPv4_SERVER link local: [undef]
Fri Apr 25 12:14:02 2008 us=842650 TCPv4_SERVER link remote: 84.21.76.131:2177
Fri Apr 25 12:14:02 2008 us=843829 84.21.76.131:2177 TLS: Initial packet from 84.21.76.131:2177, sid=aa3b07b3 624f22e2
Fri Apr 25 12:14:04 2008 us=316838 84.21.76.131:2177 VERIFY OK: depth=1, /C=RU/ST=MOSCOW/L=ZELENOGRAD/O=FilimoniC_Home/CN=FilimoniC_Home_CA/emailAddress=xxx@gmail.com
Fri Apr 25 12:14:04 2008 us=318368 84.21.76.131:2177 VERIFY OK: depth=0, /C=RU/ST=MOSCOW/L=ZELENOGRAD/O=FilimoniC_Home/CN=filimonic-work/emailAddress=xxx@gmail.com
Fri Apr 25 12:14:04 2008 us=689985 84.21.76.131:2177 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Apr 25 12:14:04 2008 us=690179 84.21.76.131:2177 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Apr 25 12:14:04 2008 us=690554 84.21.76.131:2177 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Apr 25 12:14:04 2008 us=690611 84.21.76.131:2177 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Apr 25 12:14:05 2008 us=90045 84.21.76.131:2177 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Apr 25 12:14:05 2008 us=94334 84.21.76.131:2177 [filimonic-work] Peer Connection Initiated with 84.21.76.131:2177
Fri Apr 25 12:14:06 2008 us=30964 filimonic-work/84.21.76.131:2177 PUSH: Received control message: 'PUSH_REQUEST'
Fri Apr 25 12:14:06 2008 us=31345 filimonic-work/84.21.76.131:2177 SENT CONTROL [filimonic-work]: 'PUSH_REPLY,route 172.20.1.0 255.255.255.0,route 172.20.2.0 255.255.255.0,route 172.20.8.0 255.255.255.0,redirect-gateway,dhcp-option DNS 172.20.1.1,route-gateway 172.20.8.2,ping 10,ping-restart 120,ifconfig 172.20.8.50 255.255.255.0' (status=1)
Fri Apr 25 12:14:11 2008 us=943422 filimonic-work/84.21.76.131:2177 MULTI: Learn: 00:ff:b6:6c:6c:0b -> filimonic-work/84.21.76.131:2177
Fri Apr 25 12:19:09 2008 us=107303 TCP/UDP: Closing socket
Fri Apr 25 12:19:09 2008 us=108255 TCP/UDP: Closing socket
Fri Apr 25 12:19:09 2008 us=108376 Closing TUN/TAP interface
Fri Apr 25 12:19:09 2008 us=136772 SIGINT[hard,] received, process exiting


Логи клиента
Code:
Fri Apr 25 12:13:49 2008 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Fri Apr 25 12:13:49 2008 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Fri Apr 25 12:13:49 2008 WARNING: No server certificate verification method hasbeen enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri Apr 25 12:13:49 2008 LZO compression initialized
Fri Apr 25 12:13:49 2008 Control Channel MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Fri Apr 25 12:13:49 2008 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Fri Apr 25 12:13:49 2008 Local Options hash (VER=V4): '31fdf004'
Fri Apr 25 12:13:49 2008 Expected Remote Options hash (VER=V4): '3e6d1056'
Fri Apr 25 12:13:49 2008 Attempting to establish TCP connection with 91.78.239.93:5190
Fri Apr 25 12:13:49 2008 TCP connection established with 91.78.239.93:5190
Fri Apr 25 12:13:49 2008 TCPv4_CLIENT link local: [undef]
Fri Apr 25 12:13:49 2008 TCPv4_CLIENT link remote: 91.78.239.93:5190
Fri Apr 25 12:13:49 2008 TLS: Initial packet from 91.78.239.93:5190, sid=fe0026ae 8ab084ec
Fri Apr 25 12:13:50 2008 VERIFY OK: depth=1, /C=RU/ST=MOSCOW/L=ZELENOGRAD/O=FilimoniC_Home/CN=FilimoniC_Home_CA/emailAddress=xxx@gmail.com
Fri Apr 25 12:13:50 2008 VERIFY OK: depth=0, /C=RU/ST=MOSCOW/L=ZELENOGRAD/O=FilimoniC_Home/CN=server/emailAddress=xxx@gmail.com
Fri Apr 25 12:13:51 2008 Data Channel Encrypt: Cipher 'BF-CBC' initialized with128 bit key
Fri Apr 25 12:13:51 2008 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Apr 25 12:13:51 2008 Data Channel Decrypt: Cipher 'BF-CBC' initialized with128 bit key
Fri Apr 25 12:13:51 2008 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Apr 25 12:13:51 2008 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Apr 25 12:13:51 2008 [server] Peer Connection Initiated with 91.78.239.93:5190
Fri Apr 25 12:13:52 2008 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Fri Apr 25 12:13:53 2008 PUSH: Received control message: 'PUSH_REPLY,route 172.20.1.0 255.255.255.0,route 172.20.2.0 255.255.255.0,route 172.20.8.0 255.255.255.0,redirect-gateway,dhcp-option DNS 172.20.1.1,route-gateway 172.20.8.2,ping 10,ping-restart 120,ifconfig 172.20.8.50 255.255.255.0'
Fri Apr 25 12:13:53 2008 OPTIONS IMPORT: timers and/or timeouts modified
Fri Apr 25 12:13:53 2008 OPTIONS IMPORT: --ifconfig/up options modified
Fri Apr 25 12:13:53 2008 OPTIONS IMPORT: route options modified
Fri Apr 25 12:13:53 2008 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Fri Apr 25 12:13:53 2008 TAP-WIN32 device [TAP-TUN] opened: \\.\Global\{B66C6C0B-5CB0-4C77-B042-EBA592D0E59C}.tap
Fri Apr 25 12:13:53 2008 TAP-Win32 Driver Version 8.4
Fri Apr 25 12:13:53 2008 TAP-Win32 MTU=1500
Fri Apr 25 12:13:53 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 172.20.8.50/255.255.255.0 on interface {B66C6C0B-5CB0-4C77-B042-EBA592D0E59C} [DHCP-serv: 172.20.8.0, lease-time: 31536000]
Fri Apr 25 12:13:53 2008 NOTE: FlushIpNetTable failed on interface [3] {B66C6C0B-5CB0-4C77-B042-EBA592D0E59C} (status=259) : ─юяюыэшЄхы№э√х фрээ√х юЄёєЄёЄтє■Є.
Fri Apr 25 12:13:53 2008 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Fri Apr 25 12:13:53 2008 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 25 12:13:54 2008 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Fri Apr 25 12:13:54 2008 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 25 12:13:55 2008 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Fri Apr 25 12:13:55 2008 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 25 12:13:56 2008 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Fri Apr 25 12:13:56 2008 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 25 12:13:57 2008 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Fri Apr 25 12:13:57 2008 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 25 12:13:58 2008 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Fri Apr 25 12:13:58 2008 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 25 12:13:59 2008 TEST ROUTES: 4/4 succeeded len=3 ret=1 a=0 u/d=up
Fri Apr 25 12:13:59 2008 route ADD 91.78.239.93 MASK 255.255.255.255 192.168.0.24
Fri Apr 25 12:13:59 2008 Route addition via IPAPI succeeded
Fri Apr 25 12:13:59 2008 route DELETE 0.0.0.0 MASK 0.0.0.0 192.168.0.24
Fri Apr 25 12:13:59 2008 Route deletion via IPAPI succeeded
Fri Apr 25 12:13:59 2008 route ADD 0.0.0.0 MASK 0.0.0.0 172.20.8.2
Fri Apr 25 12:13:59 2008 Route addition via IPAPI succeeded
Fri Apr 25 12:13:59 2008 route ADD 172.20.1.0 MASK 255.255.255.0 172.20.8.2
Fri Apr 25 12:13:59 2008 Route addition via IPAPI succeeded
Fri Apr 25 12:13:59 2008 route ADD 172.20.2.0 MASK 255.255.255.0 172.20.8.2
Fri Apr 25 12:13:59 2008 Route addition via IPAPI succeeded
Fri Apr 25 12:13:59 2008 route ADD 172.20.8.0 MASK 255.255.255.0 172.20.8.2
Fri Apr 25 12:13:59 2008 Route addition via IPAPI succeeded
Fri Apr 25 12:13:59 2008 Initialization Sequence Completed

_________________
filik.ru
pegaspay.ru
Back to top
View user's profile Send private message
Alex-X
n00b
n00b


Joined: 13 Apr 2008
Posts: 11

PostPosted: Fri Apr 25, 2008 10:05 am    Post subject: Reply with quote

У себя поднимал таким скриптом:
с iptables еще толком не разобрался :oops: , но
расшаривал иНет с eth0 на 192.168.1.254 через eth1 :
Code:
iptables -A POSTROUTING -j MASQUERADE -t nat -s 192.168.1.254
iptables -L -t nat
iptables -L FORWARD -nv
iptables -I FORWARD -s 192.168.1.254 -j ACCEPT
echo "1" > /proc/sys/net/ipv4/ip_forward
ifconfig eth1 192.168.1.1
Back to top
View user's profile Send private message
FilimoniC
n00b
n00b


Joined: 13 Apr 2008
Posts: 6
Location: Russia

PostPosted: Fri Apr 25, 2008 10:17 am    Post subject: Reply with quote

Нащел неплохую, как мне кажется, книжку. Ботаню
http://rs48.rapidshare.com/files/21322950/OpenVPN_Building_And_Integrating_Virtual_Private_Networks.rar
_________________
filik.ru
pegaspay.ru
Back to top
View user's profile Send private message
_Sir_
Guru
Guru


Joined: 17 Jan 2005
Posts: 337
Location: Russia, Togliatti

PostPosted: Sun May 04, 2008 2:46 pm    Post subject: Reply with quote

FilimoniC wrote:
Нащел неплохую, как мне кажется, книжку. Ботаню
http://rs48.rapidshare.com/files/21322950/OpenVPN_Building_And_Integrating_Virtual_Private_Networks.rar
Что за мерзкая привычка размещать что-либо на платных ресурсах? Что, мало наших бесплатных? Веб-файл, яндекс, и прочие чем не угодили? Нет я должен 15 минут коды с кошками вводить, чтобы меня каждый раз посылали... за деньгами. Когда уже думать люди научатся не о том, что удобно им, а о том, что удобно другим, для кого, собственно эта ссылка по идее и была положена.

PS Книжка неплохая, на английском :) берется здесь простым скачиванием, без заморочек и рекламы. Правда, у кого, как и у меня, нет яндекс-бара во фраер-фоксе, придется ввести число с рисунка.
_________________
(Sir) * Life is placeholder for Love *
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Russian All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum