Author Topic: openVPN  (Read 20406 times)

Shadow1308

  • Zen Apprentice
  • *
  • Posts: 3
  • Karma: +0/-0
    • View Profile
Re: openVPN
« Reply #45 on: March 24, 2013, 01:06:41 pm »
Путем проб и ошибок  я частично разобрался в этом вопросе. Вот инструкция для чайников вроде меня.
1) Создать на каждого клиента отдельный сертификат. Например:
"VPN-client-1"
"VPN-client-2"
"VPN-client-DB"
2) Создать еще один сертификат, в данном примере "VPN-client".
3) При создании VPN-сервера (с именем "vpn-server" ;)) выбрать использовать клиентский сертификат (Client authorization by common name) "VPN-client", а при создании новых клиентов (Download client bundle) выбирать сертификат с именами, удовлетворяющими условию "VPN-client*", где *-любой набор символов, разрешенный при создании новой лицензии (например "VPN-client-1"). Клиент с сертификатом "VPN_cl" подключится к конкретному VPN-серверу уже не сможет.
4) После подключения VPN-клиентов к Zeyntyal,  в настройках  VPN-сервера снять галочку Enable, и сохранить изменения. (Без этого не обойтись, иначе все дальнейшие изменения не сохранятся) После этого залезть в файл /etc/openvpn/vpn-server.d/vpn-server-ipp.txt и там указать какой ip-адрес присвоить клиенту с определенным сертификатом. Можно и самому в ручную вписать еще не подключившихся клиентов. В этом примере файл выглядит так:
VPN-client-1, 192.168.160.101
VPN-client-2, 192.168.160.102
VPN-client-DB, 192.168.160.100
5)Теперь можно запустить VPN-сервер и вы увидите, что все клиенты получили указанные вами ip-адреса.
6) Те, кто использует OpenVPN-installer под Windows и хочет, чтоб подключение к VPN было в автозагрузке, могут сделать так. Создаем в "\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка" ярлык OpenvpnGUI (как правило можно скопировать с Рабочего стола). Вместо папки "All Users" можно указать папку определенного пользователя, если вы не хотите давать другим доступ к этому VPN-каналу. Далее открываем свойства этого ярлыка, и в строчке Объект дописать "--connect" и имя вашего *.ovpn файла (или путь к этому файлу, если вы его не положили в папку "OpenVPN\config"). В моем случае это выглядит так:
"C:\Program Files\OpenVPN\bin\openvpn-gui-1.0.3.exe" --connect vpn-server-client.ovpn
7)При выборе протокола для vpn-канала следует руководствоваться качеством канала. Для хорошего канала можно использовать UDP, для плохого только TCP.
В моем случае сеть через которую я пробрасывал VPN-канал поддерживает скорость 100Мбит/с, а VPN подключение открывается всего на 10Мбит/с (независимо от выбранного протокола).
И всё таки я не могу понять КАК сделать каждому пользователю свой сертификат. Сейчас создан сертификат сервера (в центре сертификации), создан VPN сервер. В VPN сервере указан сертификат сервера (тут кстати тоже непонятно какой сертификат указывать). Так же есть в настройке сервера строка "Авторизация клиента по имени:" - это что такое?
В Веб морде так же есть VPN - клиенты. Вот в них можно создать клиента, НО: там нужно указывать сертификаты и ключ. Если подставить туда сертификаты и ключ сервера - то Веб морда принимает это, но при подключении по openVPN я не вижу что кто-то подключен (в смысле подключился я с Windows по openVPN к Zentyal'у и в веб морде не вижу что я сижу по ВПН).
Извиняюсь что непонятно расписал свою проблему =(
Надеюсь на помощь

Artless

  • Zen Apprentice
  • *
  • Posts: 12
  • Karma: +0/-0
    • View Profile
Re: openVPN
« Reply #46 on: March 25, 2013, 07:12:22 am »
В центре сертификации создавай сертификаты, они все одинаковые, но один указывается в настройках сервера (это сертификат сервера), а остальные выбираются при создании клиента (сертификаты клиентов)

shpakser

  • Zen Apprentice
  • *
  • Posts: 3
  • Karma: +0/-0
    • View Profile
Re: openVPN
« Reply #47 on: August 07, 2013, 08:58:41 pm »
Подскажите почему openvpn в файле ipp.txt назначает одному тому же клиенту (ключу) разные ip адреса???

Russian_Ivan

  • Zen Apprentice
  • *
  • Posts: 12
  • Karma: +2/-0
    • View Profile
Re: openVPN
« Reply #48 on: August 29, 2013, 03:01:25 am »
при создании сервера будет создан собственный сертификат сервера. при желании его можно заменить на любой другой, но лучше не стоит.
не забудьте в пункте "Interfaces to listen on" указать тот интерфейс, через который будут подключатся клиенты.
теперь с сертификатами клиентов. для создания сертификатов зайди в закладку Certification Authority.
вот мой пример. у меня 4 vpn-клиента. я создал 5 сертификатов:
vpn-client
vpn-client-1
vpn-client-2
vpn-client-3
vpn-client-4
при создании сервера в пункте "Авторизация клиента по имени:" укажите сертификат "vpn-client" . теперь к этому серверу могут подключится только клиенты с сертификатами, имена которых начинаются на "vpn-client.."

 пункт vpn-client на WEB-морде нужен только при создании клиента для подключения Zentyal->Zentyal.
если же у вас один сервер,  а остальные компы обычных пользователей, то все действия выполняются через закладку VPN server. для того чтоб получить файлы конфигурации клиента нужно открыть пункт "Download client bundle".
 
далее по пунктам
Client's type - "windows"
Client's certificate - "vpn-client-1(..2,..3,..4)" (каждому клиенту свой сертификат)
галочку Add installer
Server address - лучше указать  фактический   IP-адресс того интерфейса вашего сервера, через который организован VPN.
Нажимаем Download.
копируем на клиента полученый zip. распаковываем. а далее читаем мое предыдущее сообщение.
« Last Edit: August 29, 2013, 06:13:51 am by Russian_Ivan »

Russian_Ivan

  • Zen Apprentice
  • *
  • Posts: 12
  • Karma: +2/-0
    • View Profile
Re: openVPN
« Reply #49 on: August 29, 2013, 05:46:47 am »
Подскажите почему openvpn в файле ipp.txt назначает одному тому же клиенту (ключу) разные ip адреса???
попробуй очистить этот фаил. перед этим не забудь сначало убрать галочку "Enable" в настройках сервера. а после исправления снова запусти.   иначе изменения не пройдут.

logdog

  • Zen Hero
  • *****
  • Posts: 623
  • Karma: +29/-2
    • View Profile
Re: openVPN
« Reply #50 on: December 25, 2013, 07:34:37 pm »
Подскажите, пожалуйста, в 3.0 в VPN Server configuration для вкладки Interface to listen on - можно выбрать либо 1 определенный интерфейс, либо all. В версии 3.3 все осталось по старому?
Так как у меня есть eth0,eth1,eth3 и мне нужно только 2 указать, а не 3.

Sand_man

  • Zen Samurai
  • ****
  • Posts: 280
  • Karma: +24/-0
    • View Profile
Re: openVPN
« Reply #51 on: December 26, 2013, 05:32:48 am »
Версия 3.3, интерфейсы можно выбирать.

logdog

  • Zen Hero
  • *****
  • Posts: 623
  • Karma: +29/-2
    • View Profile
Re: openVPN
« Reply #52 on: January 02, 2014, 02:29:07 am »
Версия 3.3, интерфейсы можно выбирать.

Обманули вы меня  :-[

зы мне нужно было выбрать eth0 и eth1, а не eth0 или все (

logdog

  • Zen Hero
  • *****
  • Posts: 623
  • Karma: +29/-2
    • View Profile
Re: openVPN
« Reply #53 on: January 07, 2014, 11:31:47 pm »
1. в файле ipp.txt указан ip-адрес/30 ?
т.е. строка client,192.168.160.4, означает, что client получит ip 192.168.160.4-192.168.160.6
А как сделать ip-адрес/32?

2. По всей видимости баг, но не могу заблокировать в версии 3.3 доступ по портам и ip-шникам.
- в vpn server заданы List of Advertised Networks  - 10.0.0.4
Задачи:
2.1 заблокировать доступ по порту 3389 на 10.0.0.4
-Правило, созданное в Filtering rules for internal networks не отрабатывает.
2.2 заблокировать доступ ip 192.168.160.16 на 10.0.0.4
-Правило, созданное в Filtering rules for internal networks не отрабатывает.

yodaxxxx

  • Zen Apprentice
  • *
  • Posts: 34
  • Karma: +0/-0
    • View Profile
Re: openVPN
« Reply #54 on: January 14, 2014, 01:08:48 pm »
Люди может тут кто подскажет у меня через vpn мой комп ни видит компы за zentyal по имени только по Ip в чем причина