ve-openvpn-server

[nucleon]

проблемка с установкой на школьный сервер...
сам пакет то ставится, но вот как его запустить и настроить...

по форуму поискал... не нашел...

[ruslandh]

http://www.altlinux.org/OpenVZ
http://freesource.info/wiki/AltLinux/Dokumentacija/OpenVZ?v=wcl&

[nucleon]

непонятно...
поясняю, собственно поставил этот сервер, он запустился, в альтераторе от ВЕ ничего нет
по SSH подключился, и что делать дальше непонятно...
установить новые пакеты не получается...
т.е. реально можно поставить только ve-openvpn-server который и так уже стоит...
а как его настроить?

[ruslandh]

Насчёт альтератора - лучше спросить в рассылке,  или поисакть в Google, а вот командную строку никто не отменял.

[nucleon]

да мне в любом варианте.. хотябы ...
проблема не в том, что сервер не запускается - проблема в том, что я не понимаю как его настроить
стандартные каталоги характерные для сервера openvpn отстутствуют...
альтератор тоже пуст... как сгенерировать ключи непонятно... ну и т.д....

[nucleon]

собственно проблему решил, вот что было предложено и что помогло...:

ve-openvpn-server - это пакет с зависимостями для установки всего
необходимого для OpenVPN в шаблон OpenVZ. Насколько я понимаю
последовательность, в Alterator'е при создании шаблона выбирается
данный пакет, далее создаётся шаблон, далее по готовому шаблону
создаётся VE.

Для VE следует проверить передачу в неё устройства net/tun
с правами на чтение и запись, а также, возможно, увеличить стандартные
значения лимитов tcpsndbuf/tcprcvbuf.

Перед запуском VE в HN должен быть загружен модуль tun. В VE должен
быть проброшен порт 1194/udp (ну или тот, который будет
использоваться).

Внутри VE сервер OpenVPN настраивается стандартно. Необходимый пакет -
openvpn, должен поставится по зависимостям ve-openvpn-server. В %doc
лежит пример файла конфигурации сервера и README.ALT.
Автоматической настройки из alterator'а, насколько я понимаю, нет.
здесь доки:
/usr/share/doc/openvpn-2.0.9/README
/usr/share/doc/openvpn-2.0.9/README.ALT.utf-8
Если нужен easy-rsa - ищите в openvpn-doc.
> > ./var/lib/vz/private/1/usr/share/doc

> Для VE следует проверить передачу в неё устройства net/tun
> с правами на чтение и запись, ...
> Перед запуском VE в HN должен быть загружен модуль tun.

1. - Вручную. Перед загрузкой udev
modprobe tun
2. Можно поместить в /erc/modules строчку
tun. Возможно есть и более язящные способы работы с модулем tun.

проверить это можно так:
HN# grep DEVNODES /etc/vz/conf/1234.conf
DEVNODES="net/tun:rw " - это нужный ответ...
а вот так добавить, если не прописано:
HN# vzctl set 1234 --save --devnodes net/tun:rw

собственно все... сам OpenVPN за работал, после создания ключей.., вот только почему-то у VE отвалились службы SSHd и ahttpd
...

осталось только понять что делает эта штука:
Port Forwarding Options в настройках VE?
все дело в том что я не понял ее смысл... ибо порт все равно прописывается в конфиге, а поскольку в альтераторе все равно нет средств создания ключей, и правки конфига... получается, что данная фишка в альтераторе или не нужна или делает что-то другое...
и собственно вопрос, что она тогда там делает?

[ruslandh]

http://linux-community.ru/e107_plugins/forum/forum_viewtopic.php?134.10
http://www.opennet.ru/base/sec/ssh_tunnel.txt.html
http://guruadmin.ru/page/ustanovka-i-ispolzovanie-openvz-v-debian-etch

[nucleon]

с этим более или менее разобрался...

вопрос возник немного другой:
вот подключается клиент по впн-у получает маршрутизацию, и на компьютерах с windows она реально получается...
а вот с клиентами на *unix (и аналогичных) нет...

в какую сторону копать нужно...

[ruslandh]

А как вы присылаете клиенту маршрутизацию ?

[nucleon]

видимо придется пояснить по другому:
10.10.10.0 255.255.255.240 - локалка - к которой требуется получить доступ
10.10.10.1 - шлюз в этой сети - имеет 2й внешний ip вида a.b.c.d
на VPN имеет адресацию 10.10.11.0 /24  и при подключении для клиентов сервер имеет ip 10.10.11.1
клиент имеет  адрес вида a.b.c.d (практически любой в интернете)
при подключении к VPN`у имеет ip 10.10.11.2
сам VE работает на ip 10.10.10.12 - реализован проброс порта с ip a.b.c.d (сервера)
вот конфиг VE-open-vpn:
правда я его немного перевел... ну думаю понятно...

# Which local IP address should OpenVPN
# listen on? (optional)
;local a.b.c.d
# задаем порт на котором работает наш сервер
port 1194
# задаем протокол TCP or UDP server? рекомендуется UDP  - он быстрее, но TCP более надежен
proto tcp
;proto udp
# тип виртуального интерфейса
;dev tap
dev tun
;dev-node MyTap
# ключи сервера
ca   /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key  /etc/openvpn/keys/server.key  # This file should be kept secret!
dh /etc/openvpn/keys/dh1024.pem
# задаем виртуальную сеть
server 10.10.11.0 255.255.255.0

ifconfig-pool-persist ipp.txt
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

# задаем МАРШРУТ который передаём клиенту
# и маску под сети для того чтобы он "видел"
# сеть за опенвпн сервером (сеть 192.168.0.0/24)
push "route 10.10.11.0 255.255.255.0 10.10.11.1"
# не верные варианты: (это я эксперементировал)
;push "route 192.168.10.0 255.255.255.0 192.168.10.1"
;push "route add 10.10.10.0/24 via 10.10.11.1 dev ath0"
;push "route 192.168.20.0 255.255.255.0"

# указываем где хранятся файлы с
# настройками IP-адресов клиентов
;client-config-dir /etc/openvpn/ccd 
# добавляем маршрут сервер-клиент
route 10.10.10.0 255.255.255.240 10.10.11.1 
;route 10.9.0.0 255.255.255.252

;learn-address ./script
;push "redirect-gateway def1"
;push "dhcp-option DNS 10.8.0.1"
;push "dhcp-option WINS 10.8.0.1"

# закомментируй это, если не хочешь, чтобы vpn клиенты видели друг друга
;client-to-client
;duplicate-cn

keepalive 10 120
;tls-auth /etc/openvpn/keys/ta.key 0 # This file is secret
;cipher BF-CBC        # Blowfish (default)
;cipher AES-128-CBC   # AES
;cipher DES-EDE3-CBC  # Triple-DES

# Enable compression on the VPN link.
comp-lzo
;max-clients 100
;user openvpn
;group openvpn

# Не перечитывать ключи после получения
# SIGUSR1 или ping-restart
persist-key
# Не закрывать и переоткрывать TUN\TAP
# устройство, после получения
# SIGUSR1 или ping-restart
persist-tun
status openvpn-status.log
;log         openvpn.log
;log-append  openvpn.log
verb 3
;mute 20
; management localhost 7505

[nucleon]

поскольку все клиенты будут подключаться к этой локальной сети
использовать настройку для каждого клиента не хочется...
а потому и строка
;client-config-dir /etc/openvpn/ccd 
закоментирована