Messages

1

Russian / Re: OpenVPN и объединение двух сетей

« on: May 16, 2013, 06:16:37 am »

Вопрос решился так: в конфигурации каждого сервака нужно объявить сети 10.20.30.0 и 10.20.31.0

2

Russian / OpenVPN и объединение двух сетей

« on: May 04, 2013, 10:05:33 am »

Здравствуйте. Имеется 2 Zentyal'a (А и В). На сервере А имеется 2 OpenVPN сервака. Первый для подключения клиентов из вне, второй для объединения сетей А и В (сети в разный частях города). Пинг между сетями А и В есть, обмен работает.
Сеть А: ip 192.168.113.0 (внутр), первый openVPN 10.20.30.0 (клиенты из вне), второй openVPN 10.20.31.0 (связь Zentyal-Zentyal).
Сеть В: ip 192.168.112.0. OpenVPN тут только клиент (10.20.31.4).
Если я подключаюсь к серву А из вне - то получаю доступ только в сеть А. Необходимо чтобы клиенты, подключенные из вне, могли получать доступ как к сети А, так и к сети В.
Серв А внешний ip статика, Серв В внешний ip динамика.

3

Russian / Re: openVPN

« on: March 24, 2013, 01:06:41 pm »

Путем проб и ошибок  я частично разобрался в этом вопросе. Вот инструкция для чайников вроде меня.
1) Создать на каждого клиента отдельный сертификат. Например:
"VPN-client-1"
"VPN-client-2"
"VPN-client-DB"
2) Создать еще один сертификат, в данном примере "VPN-client".
3) При создании VPN-сервера (с именем "vpn-server" ) выбрать использовать клиентский сертификат (Client authorization by common name) "VPN-client", а при создании новых клиентов (Download client bundle) выбирать сертификат с именами, удовлетворяющими условию "VPN-client*", где *-любой набор символов, разрешенный при создании новой лицензии (например "VPN-client-1"). Клиент с сертификатом "VPN_cl" подключится к конкретному VPN-серверу уже не сможет.
4) После подключения VPN-клиентов к Zeyntyal,  в настройках  VPN-сервера снять галочку Enable, и сохранить изменения. (Без этого не обойтись, иначе все дальнейшие изменения не сохранятся) После этого залезть в файл /etc/openvpn/vpn-server.d/vpn-server-ipp.txt и там указать какой ip-адрес присвоить клиенту с определенным сертификатом. Можно и самому в ручную вписать еще не подключившихся клиентов. В этом примере файл выглядит так:
VPN-client-1, 192.168.160.101
VPN-client-2, 192.168.160.102
VPN-client-DB, 192.168.160.100
5)Теперь можно запустить VPN-сервер и вы увидите, что все клиенты получили указанные вами ip-адреса.
6) Те, кто использует OpenVPN-installer под Windows и хочет, чтоб подключение к VPN было в автозагрузке, могут сделать так. Создаем в "\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка" ярлык OpenvpnGUI (как правило можно скопировать с Рабочего стола). Вместо папки "All Users" можно указать папку определенного пользователя, если вы не хотите давать другим доступ к этому VPN-каналу. Далее открываем свойства этого ярлыка, и в строчке Объект дописать "--connect" и имя вашего *.ovpn файла (или путь к этому файлу, если вы его не положили в папку "OpenVPN\config"). В моем случае это выглядит так:
"C:\Program Files\OpenVPN\bin\openvpn-gui-1.0.3.exe" --connect vpn-server-client.ovpn
7)При выборе протокола для vpn-канала следует руководствоваться качеством канала. Для хорошего канала можно использовать UDP, для плохого только TCP.
В моем случае сеть через которую я пробрасывал VPN-канал поддерживает скорость 100Мбит/с, а VPN подключение открывается всего на 10Мбит/с (независимо от выбранного протокола).

И всё таки я не могу понять КАК сделать каждому пользователю свой сертификат. Сейчас создан сертификат сервера (в центре сертификации), создан VPN сервер. В VPN сервере указан сертификат сервера (тут кстати тоже непонятно какой сертификат указывать). Так же есть в настройке сервера строка "Авторизация клиента по имени:" - это что такое?
В Веб морде так же есть VPN - клиенты. Вот в них можно создать клиента, НО: там нужно указывать сертификаты и ключ. Если подставить туда сертификаты и ключ сервера - то Веб морда принимает это, но при подключении по openVPN я не вижу что кто-то подключен (в смысле подключился я с Windows по openVPN к Zentyal'у и в веб морде не вижу что я сижу по ВПН).
Извиняюсь что непонятно расписал свою проблему =(
Надеюсь на помощь