настройка ОпенВПН

опиши задачу более развернуто

Я уже тут. Простите что замешкался :)

Перевожу: необходимо создать виртуальные интерфейсы tun1 tun2 tun3 в /dev/net, очевидно, для OpenVPN, чтоб запускать сервера (или p2p соединения, или что менее вероятно, клиенты) для каждого направления с разным интерфейсом в конфиге.

у тебя не отпуск разве?

спасибо за перевод, в 10-ку ! :)))

ip ro add default via 10.1.1.1 dev tun table user и такое дело пишет - нет устройства tun а надо.

что делать?

Пришлось прервать. Никакого тебе отдыха, ни в Тунисе, ни в Египте. А в Крыму холодновато.

To Averus: это неспроста второй раз за день. Сделай выводы.

man tunctl
lsmod | grep tun

И ответь на вопрос, все эти туннели должны быть изолированы друг от друга?

И ещё

mknod /dev/net/tun c 10 200
mknod /dev/net/tun1 c 10 201
mknod /dev/net/tun2 c 10 202


Попробуй, отпишешь резалт.

lsmod | grep tun
пишет - tun

но
ip ro add default via 10.1.1.1 dev tun table user

пишет - «не могу найти тюн»

так
mknod /dev/net/tun c 10 200
mknod /dev/net/tun1 c 10 201
mknod /dev/net/tun2 c 10 202

добавил все равно - «не могу найти тюн»

изолированны

Прямо таки бригадир телепатов :)

deterok! Ты что, не в курсе?
Бригадир телепатов - это maxcom.
А я сегодня дневальный. На тумбочке, так сказать...

А что, написать в конфигурационных файлах OpenVPN что-то вроде

--- /etc/openvpn/config1 ---
dev tun1
route 192.168.1.0 255.255.255.0
--- /etc/openvpn/config2 -- 
dev tun2
route 192.168.2.0 255.255.255.0
--- /etc/openvpn/config3 -- 
dev tun3
route 192.168.3.0 255.255.255.0

Прощенья прошу, а как OpenVPN узнает, что у него более одного конфига?

OpenVPN подхватывает _все_ конфиги с расширением .conf в директории /etc/openvpn (ну или какая там у тебя директория с конфигами)

а, ясно, спасибо. а то я накидал всё на один tun0, работает, но для наглядности хочется все-таки разбить.

кошмар как уже голова болит :)))
где назначаються адреса клиентов?
и почему на винде, в клиентской части надо писать два ip подряд? начальный и конечный? это где их смотреть?

спасибо.

'ifconfig' is present in local config but missing in remote config, local='ifconfig 192.168.1.1 192.168.1.2'

вот например, в каком конфиге не пропишу, все равно так вылазит!

> OpenVPN подхватывает _все_ конфиги с расширением .conf в директории /etc/openvpn

Нет. Это делает init-скрипт, который и стартует OpenVPN с найдеными в нужном месте конфигурационными файлами :-)

А разве сейчас кто-то стартует демоны руками без init-скриптов?

и почему на винде, в клиентской части надо писать два ip подряд?

Кто вам это сказал? При правильной настройке OpenVPN (если он у вас в клиент-серверной конфигурации), у вас всем (в том числе раздачей IP) будет заведовать OpenVPN-сервер, и конфигурационный файл для Windows-клиента будет выглядеть примерно так:

dev tun
tls-client
tls-remote virtual
remote vpn.domain.ru 5100 tcp-client
ca c:\\openvpn\\cacert.pem
dh c:\\openvpn\\dh1024.pem
cert c:\\openvpn\\client.crt
key c:\\openvpn\\client.key
comp-lzo
link-mtu 1544
pull

> А разве сейчас кто-то стартует демоны руками без init-скриптов?

Есть много обезьян-поьзователей, только что слезших с деревьев-windows :-)

я один из них и только счас узнал, что можно запускать не через инит скрипт :)

а теперь сложный вопросище, из-за которого реально уже голова болит, честно.

Как находясь на серве опенвпн, пустить скажем links через инет подключенного клиента. Такой себе бэк впн.


тоесть на сервере нет инета, надо подключится клиентом и вот так как-то отдать.


спасибо за пример конфига, теперь дхцп присваивает ИП.

10.8.4.2 * 255.255.255.255 UH 0 0 0 tun3
10.8.4.0 10.8.4.2 255.255.255.0 UG 0 0 0 tun3
192.168.0.1 * 255.255.255.0 U 0 0 0 eth0
default vg-603-6.s4y19. 0.0.0.0 UG 0 0 0 eth0


и клиент 10.8.4.6 через тюн3


все всех пингуют, но инета нет.

> Как находясь на серве опенвпн, пустить скажем links через инет подключенного клиента. Такой себе бэк впн.

Без проблем, но надо писать скрипты для этого, а мне лень. Проще поднять на подключившемся клиенте squid и использовать его как прокси.

нет, не подходит прокси, только впн. Я могу прислать свои попытки скриптов, но не работают, это реально сложно.

> это реально сложно.

Не обманывайте. Правильно передернуть таблицу маршрутизации перед запуском OpenVPN, возможно добить ее после подключения нужного клиента через скрипт, и добавить policy routing :-)

>это реально сложно
включить на клиенте роутинг и прописать маршрут, не?

на словах все легко, а на практике что не делаю второй день ни как.

Лучше пригласи кого-то по x11vnc, кому доверяешь из ЛОРовцев, и посмотришь как люди делают и всё при этом почему-то почти сразу получается.

Ну так маны кури, книжки умные по сетям почитай. Половина вопросов сразу отпадет...

>доверяешь из ЛОРовцев

доверять ЛОРовцам? Не хочу показаться параноиком, но по-моему ты поделил на ноль

Да я сам параноик, Pinkbyte. Сам бы не пустил, конечно. Но у меня и не возникает таких проблем.
Тем не менее, не вижу ничего страшного, если случился такой неосилятор, пустить кого подобрее по x11vnc в сессию свежесозданного пользователя, дать su, внимательно следить за действиями и держать руку на патч-корде на случай rm -rf /*

думаю просто нельзя писать, что это реально, не делавши такого никогда.

/me ходил в интернет через другой конец OpenVPN тоннеля.

ну подскажи как, вообще в голове не укладываетсья

мне повторить фразу про курение манов, включение роутинга на клиенте и прописывание маршрута? или ты перестанешь задавать абстрактные вопросы и поделишься уже конфигами и выкладками ip route и ifconfig на клиентской и серверной машине...

спасибо, разобрался, настроил, но я так понимаю и винду надо настроить?

Вот видишь, нет ничего невозможно)

На оффтопике нужно сделать маршрутом по умолчанию интерфейс туннеля или изменить у него MTU.
Не обижайся, но пройдись по man openvpn с поиском по «route» «route-method» «push» «windows». Надеюсь к тебе прийдёт просветление, что вписать в конфиг сервера чтоб у клиента маршрут верно установился. Правда могут быть траблы с включенным RRAS - сервисом и Windows7. Читай ман, там написано, какие опции попробовать (типа route-method etc)

да, спасибо, советы ценные, хорошо что РРАС не включен по умолчанию, ну и намучался я фух....

вопрос на засыпку:)
когда открываю netsh
как в него скриптом писать?
у него типо своя консоль...

Ну тут уж извини, на винфак с такими вопросиками. Но написать свой батник тебе никто не запрещает. Только ЕМНИП нет в оффтопике /etc/network/if.up.d в которую можно положить скриптик который выполниться при поднятии интерфейса.

ЕМНИП ? линукс уже отмучал, а вот винду, там батник не хочит...лады. Спасибо.