VPN-концентратор на Simply [решено]

[george75]

В качестве дистрибутива рекомендую ALTLinux server-light

Я хотел узнать чем отличается simply от server-light? Платформа то одна и та же, репозиторий один и тот же, ядро в simply по умолчанию и так серверное (.config смотрел). Отличие только в наборе пакетов "из коробки"?

[ksa]

ядро в simply по умолчанию и так серверное

Ядро десктопное, серверным считается el-smp (2.6.32), которое и идёт по умолчанию в Кентавре, например.

Отличие только в наборе пакетов "из коробки"?

Точнее, в отсутствии многих пакетов в server-light :)

[george75]

Здравствуйте!

По настройке OpenVPN несколько вопросов:

1) Как сконфигурить сервер так, что бы он выдавал виртуальный ip-адреса из нескольких сетей/пулов ip-адресов? Например одному клиенту - адрес из первой сети, второму - из второй, третьему - из третьей.
2) Как сконфигурить сервер так, что бы он выдавал разным клиентам разные защищаемые сети? То есть первому клиенту будет доступна по VPN только одна из трех сетей в контуре (за OpenVPN-сервером), второму - только вторая, третьему - все три.
Пробовал раскомментировать client-config-dir ccd, создавать в ccd персональные конфигурации для каждого клиента - не помогает: клиенту выдается глобальная настройка из конфига сервера.

[george75]

Заработало.
Вопрос снят.

[george75]

Здравствуйте!

Настроил связку openvpn-сервер на linux и openvpn-клиент на Windows XP (cleint1) и Windows 7 (client2).
Аутентификация на сертификатах, хранящихся на eToken (который работает через PKI). В основном, все работает,
но появились еще вопросы. Гугл в их решении пока не сильно помог.
1) Клиент openvpn под windows работает только из-под учетной записи с администраторскими полномочиями. Из-под бесправного пользователя не может задать маршрут на VPN-сеть (не хватает полномочий). Есть ли возможность заставить работать openvpn из-под бесправного пользователя?
2) При добавлении на сервере конфигурации для нового пользователя сервер необходимо перезапускать, что приводит к разрыву имеющихся на тот момент туннелей. Есть ли способ заставить сервер принимать конфигурацию нового пользователя без разрыва уже существующих туннелей?

[speccyfan]

1) Клиент openvpn под windows работает только из-под учетной записи с администраторскими полномочиями. Из-под бесправного пользователя не может задать маршрут на VPN-сеть (не хватает полномочий). Есть ли возможность заставить работать openvpn из-под бесправного пользователя?

С openvpn устанавливается одноименная служба, можно пускать ее при старте системы. Или попробуйте добавить в конфиг клиента строчку:
script-security 3 system

2) При добавлении на сервере конфигурации для нового пользователя сервер необходимо перезапускать, что приводит к разрыву имеющихся на тот момент туннелей. Есть ли способ заставить сервер принимать конфигурацию нового пользователя без разрыва уже существующих туннелей?

так а

Код: [Выделить]

# service openvpn reload ведь не рвет соединения, разве нет? Это restart рвет.

[george75]

1) script-security 3 system не помог, маршрут по прежнему не задавался, я так понял потому, что маршрут задается запуском прямой команды route add.......
Помогло добавить пользователя в группу "операторы настройки сети".

2) после "service openvpn reload" туннель, похоже, действительно не рвется. Рвется связь, видимо, по другой причине: с клиента зашифрованные пакеты продолжают идти на сервер, а сервер клиенту не отвечает (проверялось на ping-е, из 174 пакетов потеряно 24 как раз после reload), но потом происходит ARP-запрос (сервер спрашивает MAC клиента) и после ответа связь по туннелю возобновляется.
Выдержа снифера ниже (снималось с интерфейса сервера, 192.168.1.254 - "железный" адрес сервера, 192.168.1.2 - "железный" адрес клиента). Сервер и клиент находятся в одной сети (стенд), сервер - simply на "железной" машине, клиент - винда XP на виртуалке, виртуалка vmware на той же машине что и сервер:

14:21:34.207731 IP 192.168.1.2.1035 > 192.168.1.254.openvpn: UDP, length 101
14:21:34.207831 IP 192.168.1.254 > 192.168.1.2: ICMP 192.168.1.254 udp port openvpn unreachable, length 137
14:21:39.425741 IP 192.168.1.2.1035 > 192.168.1.254.openvpn: UDP, length 101
14:21:39.425815 IP 192.168.1.254 > 192.168.1.2: ICMP 192.168.1.254 udp port openvpn unreachable, length 137
14:21:44.926327 IP 192.168.1.2.1035 > 192.168.1.254.openvpn: UDP, length 101
14:21:50.425555 IP 192.168.1.2.1035 > 192.168.1.254.openvpn: UDP, length 101
14:21:55.925689 IP 192.168.1.2.1035 > 192.168.1.254.openvpn: UDP, length 101
14:22:01.426214 IP 192.168.1.2.1035 > 192.168.1.254.openvpn: UDP, length 101
14:22:06.925808 IP 192.168.1.2.1035 > 192.168.1.254.openvpn: UDP, length 101
14:22:12.425615 IP 192.168.1.2.1035 > 192.168.1.254.openvpn: UDP, length 101
14:22:17.926354 IP 192.168.1.2.1035 > 192.168.1.254.openvpn: UDP, length 101
14:22:23.425947 IP 192.168.1.2.1035 > 192.168.1.254.openvpn: UDP, length 101
14:22:28.925745 IP 192.168.1.2.1035 > 192.168.1.254.openvpn: UDP, length 101
14:22:34.426478 IP 192.168.1.2.1035 > 192.168.1.254.openvpn: UDP, length 101
14:22:39.925282 IP 192.168.1.2.1035 > 192.168.1.254.openvpn: UDP, length 101
14:22:45.425188 IP 192.168.1.2.1035 > 192.168.1.254.openvpn: UDP, length 101
14:22:50.925636 IP 192.168.1.2.1035 > 192.168.1.254.openvpn: UDP, length 101
14:22:56.425826 IP 192.168.1.2.1035 > 192.168.1.254.openvpn: UDP, length 101
14:23:01.925931 IP 192.168.1.2.1035 > 192.168.1.254.openvpn: UDP, length 101
14:23:07.425344 IP 192.168.1.2.1035 > 192.168.1.254.openvpn: UDP, length 101
14:23:12.925648 IP 192.168.1.2.1035 > 192.168.1.254.openvpn: UDP, length 101
14:23:13.598881 IP 192.168.1.2.netbios-dgm > 192.168.1.255.netbios-dgm: NBT UDP PACKET(138)
14:23:13.598912 IP 192.168.1.2.netbios-dgm > 192.168.1.255.netbios-dgm: NBT UDP PACKET(138)
14:23:18.425369 IP 192.168.1.2.1035 > 192.168.1.254.openvpn: UDP, length 101
14:23:23.924991 IP 192.168.1.2.1035 > 192.168.1.254.openvpn: UDP, length 101
14:23:29.443266 IP 192.168.1.2.1035 > 192.168.1.254.openvpn: UDP, length 101
14:23:35.240772 IP 192.168.1.2.1045 > 192.168.1.254.openvpn: UDP, length 14
14:23:36.362177 IP 192.168.1.2.1045 > 192.168.1.254.openvpn: UDP, length 14
14:23:36.558836 ARP, Request who-has 192.168.1.2 tell 192.168.1.254, length 28
14:23:36.589536 ARP, Reply 192.168.1.2 is-at 00:0c:29:6e:90:40, length 28
14:23:36.589571 IP 192.168.1.254.openvpn > 192.168.1.2.1045: UDP, length 26
14:23:36.589588 IP 192.168.1.254.openvpn > 192.168.1.2.1045: UDP, length 22
14:23:36.612835 IP 192.168.1.2.1045 > 192.168.1.254.openvpn: UDP, length 22
14:23:36.614619 IP 192.168.1.2.1045 > 192.168.1.254.openvpn: UDP, length 114

Странно, что после reload-а VPN-процесса теряется МАС. Как это можно объяснить?

А вот с клиентом на Windows 7 даже группа "операторы настройки сети" не помогает, все равно маршрут не поднимается. Там даже если из-под учетки в группе администраторы поднимать, то все равно выдает предупреждение о необходимости поднятия полномочий.

[flint1975]

Так было же сказано:

С openvpn устанавливается одноименная служба, можно пускать ее при старте системы.

Под администратором установите для этой службы автозапуск, тогда она будет стартовать даже до логина пользователя! и автоматом добавлять нужные маршруты, если это указано в конфиге, по умолчанию этого нет :)

[george75]

Если я правильно понял, автоматический старт службы обеспечивает автоматически устанавливаемый перманентный VPN-туннель, а этот способ не подходит. Нужно ручное поднятие VPN-туннеля самим пользователем по мере необходимости.
К тому же сертификат аутентификации будет браться с ключа e-Token, а он может быть доступен только из-под пользователя, после его логина, после запуска PKI-клиента, который в свою очередь запускается после входа пользователя в систему (логина).
Отсюда и проблема неподнятия маршрутов из-под бесправного пользователя.

[oleg-it]

Насколько помню, клиент openvpn  можно запускать в любое удобное время. Проблема скорее в стороннем сертификате? IP-адресация не обязательно должна быть из одной подсети, главное чтобы был статичный IP на клиенте и на сервере. ping вообще может не работать, с целью безопасности его рекомендуют в маршрутизаторе вырубать