Автор Тема: OpenVPN - настройка сервера и клиента  (Прочитано 93361 раз)

Оффлайн tema

  • alt linux team
  • ***
  • Сообщений: 2 073
    • Email
Re: OpenVPN - настройка сервера и клиента
« Ответ #60 : 03.09.2016 11:44:35 »
Подскажите, пожалуйста, а как назначить самостоятельно статические ip адреса клиентам. Хочу назначить всем вручную, чтобы знать всегда кто есть кто и подключаться к ним по адресу.

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 246
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Re: OpenVPN - настройка сервера и клиента
« Ответ #61 : 03.09.2016 16:13:14 »
Так насколько я помню, используется стандартный dhcp сервер, ну а привязать ip к мак адресам не составляет никакого труда.
И потом - даже если вы вручную статически правильно назначили, то это никак не скажется на работу OpenVPN или я что-то не так понял?

Оффлайн Salomatin

  • Модератор
  • *****
  • Сообщений: 981
    • Пошаговые инструкции
    • Email
Re: OpenVPN - настройка сервера и клиента
« Ответ #62 : 03.09.2016 17:54:28 »
назначить самостоятельно статические ip адреса клиента 

Вы пропустили. В теме ранее это описал.
Ответ 44:
https://forum.altlinux.org/index.php?topic=8557.msg273223#msg273223
Хочешь понять сам, объясни другому.
"Если уже все испробовал и ничего не помогает - почитай инструкцию"

Оффлайн tema

  • alt linux team
  • ***
  • Сообщений: 2 073
    • Email
Re: OpenVPN - настройка сервера и клиента
« Ответ #63 : 03.09.2016 18:09:51 »
назначить самостоятельно статические ip адреса клиента 

Вы пропустили. В теме ранее это описал.
Ответ 44:
https://forum.altlinux.org/index.php?topic=8557.msg273223#msg273223
Спасибо! Теперь отлично!
Жалко что каждый клиент по два адреса забирает... У меня пользователей вагон. Больше трёх сотен...
Кстати, когда я подсоединяю по openvpn, компьютер продолжает пользоваться своим интернетом или пытается ходить через сервер?

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 099
Re: OpenVPN - настройка сервера и клиента
« Ответ #64 : 05.09.2016 12:10:11 »
Кстати, когда я подсоединяю по openvpn, компьютер продолжает пользоваться своим интернетом или пытается ходить через сервер?
Зависит от того, какие маршруты отдаются клиенту. Можно и так, и так.

Оффлайн tema

  • alt linux team
  • ***
  • Сообщений: 2 073
    • Email
Re: OpenVPN - настройка сервера и клиента
« Ответ #65 : 05.09.2016 12:29:03 »
Кстати, когда я подсоединяю по openvpn, компьютер продолжает пользоваться своим интернетом или пытается ходить через сервер?
Зависит от того, какие маршруты отдаются клиенту. Можно и так, и так.
Как настроить, чтобы не лез на сервер для выхода в интернет? Не нужна лишняя нагрузка...

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 246
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Re: OpenVPN - настройка сервера и клиента
« Ответ #66 : 05.09.2016 13:18:49 »
Не присылайте клиенту новый дефаултный route. Только route для обращения к сети vpn

Оффлайн tema

  • alt linux team
  • ***
  • Сообщений: 2 073
    • Email
Re: OpenVPN - настройка сервера и клиента
« Ответ #67 : 06.10.2016 06:25:03 »
Не могу ничего сделать. Уже измучился. Когда я вручную генерирую у меня эти сертификаты не принимаются альтератором.
В "Удостоверяющий Центр" просто пусто. Соответственно инструкция обрывается уже на втором пункте :-(
Как можно сделать это без модуля альтератора "Удостоверяющий Центр"?

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Re: OpenVPN - настройка сервера и клиента
« Ответ #68 : 06.10.2016 10:01:02 »
Не могу ничего сделать. Уже измучился. Когда я вручную генерирую у меня эти сертификаты не принимаются альтератором.
В "Удостоверяющий Центр" просто пусто. Соответственно инструкция обрывается уже на втором пункте :-(
Как можно сделать это без модуля альтератора "Удостоверяющий Центр"?
Вручную, увы.
Андрей Черепанов (cas@)

Оффлайн tema

  • alt linux team
  • ***
  • Сообщений: 2 073
    • Email
Re: OpenVPN - настройка сервера и клиента
« Ответ #69 : 06.10.2016 13:36:16 »
Не могу ничего сделать. Уже измучился. Когда я вручную генерирую у меня эти сертификаты не принимаются альтератором.
В "Удостоверяющий Центр" просто пусто. Соответственно инструкция обрывается уже на втором пункте :-(
Как можно сделать это без модуля альтератора "Удостоверяющий Центр"?
Вручную, увы.
Вручную увы не принимает он мои файлы. Я сгенерировал вручную, но он пишет мне всё время "неверный сертификат"

Оффлайн tema

  • alt linux team
  • ***
  • Сообщений: 2 073
    • Email
Re: OpenVPN - настройка сервера и клиента
« Ответ #70 : 06.10.2016 13:44:30 »
Шаг № 1:

Заходим в Центр управления сервера, Настройка - Режим эксперта

находим OpenVPN-сервер, нажимаем "Сертификат и ключ ssl.."

Оказываемся в Управление ключами SSL, заполняем графу Страна (С) RU большими буквами и нажимаем "Забрать запрос на подпись".

Предлагает сохранить файл openvpn-server.csr Сохраняем у себя.

В разделе Управление ключами SSL появился новый ключ openvpn-server(Нет сертификата)


Шаг № 2:

Переходим в Удостоверяющий Центр   -  Управление сертификатами, чтобы подписать сертификат нажимаем "Обзор", показываем дорогу до полученного openvpn-server.csr и Загружаем запрос.

Выскакивают две группы цифр с кнопкой в конце "Подписать"

Опять предлагает сохранить на нашем компьютере. Сохраняем файл output.pem Это и есть подписанный сертификат.
Шаг 1 выполняю.
Далее мне нужно подписать сертификат. Т.к. Удостоверяющий Центр не работает, то я создаю сертификат удостоверяющего цента с именем, указанным в шаге 4
openssl req -new -x509 -keyout ca-root.pem -out ca-root.crtЭтот сертификат альтератором принимается.
openssl ca -cert my-ca.crt -keyfile my-ca.pem -days 3650 -in openvpn-server.csr -out openvpn-server.crtне генерируется пишет ошибку в поле country. Поэтому я сам перегенерирую запрос и ключ:
openssl req -new -nodes -keyout openvpn-server.pem -out openvpn-server.csr и подменяю эти файлы в /var/lib/ssl/cert и private
Вроде всё в порядке: они видны в альтераторе и все поля видны как я заполнил.
openssl ca -cert my-ca.crt -keyfile my-ca.pem -days 3650 -in openvpn-server.csr -out openvpn-server.crt
openssl gendh -out openvpn-server.dh 2048
теперь подписывается, но итоговый сертификат альтератор говорит "неверный сертификат"

Оффлайн Dmytro

  • Мастер
  • ***
  • Сообщений: 1 001
Re: OpenVPN - настройка сервера и клиента
« Ответ #71 : 06.10.2016 13:45:31 »
Не могу ничего сделать. Уже измучился. Когда я вручную генерирую у меня эти сертификаты не принимаются альтератором.
В "Удостоверяющий Центр" просто пусто. Соответственно инструкция обрывается уже на втором пункте :-(
Как можно сделать это без модуля альтератора "Удостоверяющий Центр"?
Вручную, увы.
Сертификат рута тоже через альтератор поэтому не цепляется?

Оффлайн tema

  • alt linux team
  • ***
  • Сообщений: 2 073
    • Email
Re: OpenVPN - настройка сервера и клиента
« Ответ #72 : 06.10.2016 14:24:08 »
В поддержке альта надо мной поиздевались:
Цитировать
Для создания сертификатов и ключей для openvpn рекомендуем воспользоваться графическим приложением tinyca2.
apt-get install tinyca2

Оффлайн tema

  • alt linux team
  • ***
  • Сообщений: 2 073
    • Email
Re: OpenVPN - настройка сервера и клиента
« Ответ #73 : 08.10.2016 06:36:45 »
Всё сделал по инструкции, теперь на клиенте не открывается ни один сайт, когда включён tun0  :-(
Куда копать?
Вот какой получился конфиг у клиента:
client
dev-type tun
proto tcp-client
remote 1.2.3.4 1194
resolv-retry infinite
nobind
user openvpn
group openvpn
persist-key
persist-tun
ca   /var/lib/ssl/certs/ca-root.pem
cert /var/lib/ssl/certs/tema.cert
key  /var/lib/ssl/private/tema.key
script-security 2
tmp-dir /tmp
verb 3
« Последнее редактирование: 08.10.2016 06:39:21 от tema »

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Re: OpenVPN - настройка сервера и клиента
« Ответ #74 : 08.10.2016 06:49:45 »
ip rou небось показывает два маршрута default? VPN-ный нужно удалить. Как временная мера, чтобы заработало.
Подключение к VPN в Альтераторе делалось?
Андрей Черепанов (cas@)