трафик в VPN

как можно ограничить трафик каждому юзеру в OpenVPN

В OpenVPN — никак, он не для этого предназначен, он нужен для поднятия шифрованного тоннеля.

Для нарезки канала используйте tc что ли?

ничем канал не режем, посоветуйте чем и зачем?

как можно ограничить трафик каждому юзеру

А ты чего хочешь? Чтоб компьютер мариванны мог передать компьютеру сергеяпетровича не более N MB трафика за рабочий день? А как они передают друг другу? Через вендовые шары, которые у вас транслируются вся и всем? А может сделать централизированное файловое хранилище и искоренять с него всё, что не касается работы?

я не понял ничего, в общем делить трафик тоже вариант, подскажите как?

я не понял ничего

аналогично

Сделали сеть между универами

Подняли OpenVPN тоннель? Верно?

люди начинают передавать фильмы

Каким образом они это делают?

как можно ограничить трафик каждому юзеру

Это чтоб фильмы не передавали через OpenVPN?

все верно, Ваше решение резать трафик возможно даже лучше подходит, подскажите как?

google://tc ограничение скорости

На самом деле не советую решать проблему ограничением скорости. Если я правильно телепатически определил, в вашей сети обмен файлами осуществляется через расшаренные в windows каталоги, следовательно для решения проблемы при которой сотрудники друг другу кидают фильмы, надо сделать так, чтобы компьютеров не были видны друг другу, а обмен файлами осуществлять через централизиванное файловое хранилище

посоветуйте tc мануал по проще, все мануалы что нашел - жесть.

ну... по форуму погугли, на xgu.ru почитай, на opennet'e...

а вот и не врунишка :)

«If you would like to password-protect your client keys, substitute the build-key-pass script.»

пароль как доп защита ключей, их наличие обязательно, а мне ключи только морока, подскажите.

врунишка-врунишка, до конца парси...

а мне ключи только морока

не осилил скрипты easy-rsa?

пароль как доп защита ключей, их наличие обязательно

-auth-user-pass-verify script method
    Require the client to provide a username/password (possibly in addition to a client certificate) for authentication. 

Ну?

осилил, надо возможность подключаться с разных мест, не нося с собой ключи, хранить их где-то, качать и т.д. это все только время, а супер защита не нужна.

написаноже (possibly in addition to a client certificate) как добавление к сертификатам, ладно, пойду проверю...

ага, что мне проверять...

-auth-user-pass-verify SCRIPT method

скрипт какой-то надо

А теперь открываем папочку с примерами ....

и ни нашел ничего интересного http://minus.com/mm3F3WwD3

а теперь подумай, с какой стати пример скрипта будет в папке с примерами конфигов? :)

а еще и клиент ругается, что нет ключей...

ну ты будешь до конца читать всё или нет? или наскоком хочешь? запарили нубы, которые хотят с полпинка с поддержкой форума настроить не разбираясь в доках и манах и не понимая как что работает.

--client-cert-not-required
    Don't require client certificate, client will authenticate using username/password only. Be aware that using this directive is less secure than requiring certificates from all clients.

    If you use this directive, the entire responsibility of authentication will rest on your --auth-user-pass-verify script, so keep in mind that bugs in your script could potentially compromise the security of your VPN.

    If you don't use this directive, but you also specify an --auth-user-pass-verify script, then OpenVPN will perform double authentication. The client certificate verification AND the --auth-user-pass-verify script will need to succeed in order for a client to be authenticated and accepted onto the VPN. 

На, кушай на здоровье

Крепко ты здесь влип.

а чё, что-то не так посоветовал и сейчас оправдываться придётся? или просто что долго в треде увяз?

Просто увяз. Фактически, вы ведь еще даже до темы треда не добрались.

когда человек задает вопросы на форуме, он ожидает помощи от знающего/настрающего такое ранее, а не от читающего маны, т.к. ОЧЕНЬ много особеностей, не все так просто как написанно в манах... например этот параметр надо прописать, но только вместе с другим, мана про который нету, даже по поиску... а пример скрипта это херня, на самом деле надо компилировать плагин из исходника к папке плагин и при этом посмотреть еще 3-4 параметра корые требует лог, сава богу лог информативен.

не надо злится когда помогаешь, не все так просто как кажется с первого взгляда или по постам !

да я надеюсь что он это сам разрешит, это он в другом треде спросил как без цертов туннели поднимать, а ответил на посыл в ман сюда зачем-то

Никто и не злится. Просто дистрибутив лучше сразу указывать, версии софта, цели и задачи.

А то «ограничить трафик». Какое именно надо ограничение - по объему, по скорости, по протоколу?

В итоге человек вон хочет тебе помочь, а не может.

А я голову ломаю, откуда «врунишка» и прочее.

нечайно,

вот например auth-user-pass-verify script надо скрипт указать,но ридми говорит надо скомпилить плагин и кинуть в папку и указать параметр plugin ляялля.so

[htym rfrftnj

про трафик в идеале нам бы делить скорость равномерно и лимитировать каждого, например на 100 Гиг но кажется tc еще та сложная штука...

не надо злится

инфа вся зачастую есть в доках, а ты ведь даже в доки и ман не заглянул перед тем как спросить здесь.

но только вместе с другим, мана про который нету, даже по поиску

ай да ну, пруф или GTFO!

а пример скрипта это херня

Ну по его содержанию непонятно, как проверить переданный логин и пароль?

на самом деле надо компилировать плагин из исходника к папке плагин

смешались в кучу люди, кони... Ты PAM-модуль собрался собирать? У тебя LDAP или RADIUS, зачем он тебе?

при этом посмотреть еще 3-4 параметра корые требует лог

Вот это сложно, особенно если бросаться запускать сломя голову, не читая ничего толком.

Ты сейчас путаешь и мешаешь всё в кучу. auth-pam и auth-pam.pl соответственно модуль и аутентификационный скрипт к этому модулю для аутентификации по стандартным учёткам, LDAP или RADIUS.

от тебя требуется найти готовый или состряпать за 10 минут свой скрипт, который примет логин и пароль, проверит их и вернёт 0 если всё ок.

в общем, в примерах есть исходник, его откомпилировал, закинул в папку с ВПН, дописал его в конфиг. Сервер запустился, пишет мол - осторожно, ключи отключены! Замечательно, теперь разобраться что в клиенте дописать, если просто закоментить ключи - ошибка, дайте ключи...

в логе сервера, при запуске, стало это меня тревожить: (я же не знаю что именно это имеется ввиду)

NOTE: the current --script-security setting may allow this configuration to call user-defined scripts

Я настоятельно тебе советую прочитать ман. Там было написано о client-cert-not-required, там было об auth-user-pass-verify, обо всём короче. Там же написано о script-security. Не строй из себя блондинку, что там нет и поиском не нашло, всё там есть, открывай маны и ищи

я сейчас читаю офф ман по настройке клиента, некоторые значения не понятны, если подставляю их в файл настроек - ошибка, Вы должны прописать путь к ключам.

некоторые значения не понятны

там подробные комментарии же! ты всё подряд подставляешь что ли? почти что перебором, методом тыка?

Иногда и так делаю, ведь не понятно что именно имеют ввиду. Вот наприме, судя по ману, надо просто добавить auth-user-pass и все, но не работает, просит ключи, еще до соединения с сервером, все лишние значения удалил...ищу дальше...

что непонятного то? если auth-user-pass file, то в file забрось логин пароль построчно и укажи enable-password-save, если нет, то спросит их при запуске.

И да, у тебя уже была сегодня ошибка, когда спрашивало ключи тогда, когда не хотелось. Ты не удалил client-cert-not-required из конфига?

да у меня клиент просит «Options error: You must define CA file » еще не доходит до соединения с сервером, в первой же строке лога пишет. я указал auth-user-pass видимо этого мало

ca или cert оставил значит.

я не на столько дурной:

client
auth-user-pass
dev tun
proto tcp
remote 193.169....
resolv-retry infinite
nobind
persist-tun
verb 3


ошибка http://minus.com/mDBnDnLnb

сервер выключен.

сервер выключен

что это значит выключен? а к кому коннектится и кто? и да, фу, венда, на венфак, затесался тут.

что? я на линуксе настраиваю сервер, винда клиент.

Серв выключил чтоб проверить, включен он или нет, клиент выдает эту ошибку, значит сервер не виноват.

Серв выключил чтоб проверить, включен он или нет

ты сейчас трезв и адекватен?

клиент выдает эту ошибку, значит ...

в конфиге сервера нет опции, разрешающей коннект без церта.

я трезв и адекватен, попробуй меня понять:

сервер не виноват, прописал например другой ip в клиенте, сам клиент выдаеш ошибку - дайте ключи.
и не важно винда это или линукс, в винде это файл конфига в линуксе это параметры для запуска, но они идентичны и один мануал.

какого-то параметра на стороне клиента не хватает.

А как по-твоему клиент узнает, что сервер для аутентификации не требует сертификаты у него опцией client-cert-not-required если сам сервер для клиента недоступен? как ты себе это представляешь?

я думаю какой-то параметр в конфиге клиента должен отключить подгрузку/запрос ключей для клиента, т.к. фаервол на винде молчит, соединение не происходит и не пытается. Счас попробую левые ключи создать и подсунуть клиенту.

и ты продолжаешь это проделывать с выключенным сервером и некорректным ip в конфиге клиента?

в данный момент дело до сервера не доходит, я знаю что в логе пишет если сервер недоступен, сейчас не тот случай. Клиент просит ключи и не начинает соединяться из-за их отсутствия.

http://forums.contribs.org/index.php?topic=41619.0


«„„„“
Client config file
port 1194
dev tap
remote vpn.yourdomain.com
tls-client
auth-user-pass
“„„„„“

якобы у них заработало, а тут ошибка и все...

PS: сервер включил, ИП вернул, толку нет.

немогу избавиться от сертиффиката CA «certificate verify failed» если давать левый сертиффикат

если даю нормальный, то соединяет и пароль PAM проверяет, но надо избавиться от CA сертиффиката...