Старый 29.10.2010, 01:21   #1
Stalingrad
 
Регистрация: 29.10.2010
Сообщений: 10
Репутация: 0
Red face Вопрос по настройке OpenVPN

Привет, настроил OpenVPN на домашнем и удаленном компьютере (версия 2.1). Все это делал так как на удаленном месте файрволл блокирует порты, а хочется поиграть в Counter-Strike (который использует UDP,и тунелировать через Socks не получается).

У меня несколько вопросов насчет роутинга траффика по VPN :

1) Мне надо сделать так чтобы когда я конектился к серверам CS (скажем для примера к 194.102.188.37:27015) , трафик должен идти через OpenVPN на домашнем компе и потом в интернет(тоесть комп будет как роутер/proxy сервер).
У меня полная неразбериха с командами "route" и в Windows и в OpenVPN.
Прочитав здесь - http://russianproxy.ru/route-add-mask-gateway-vpn-connection-settings , пытался повторить без результата. Мне бы всетаки понять как,а не просто copy/paste.

2) Также чисто для интереса хочу сделать Double VPN , подумав я предполагаю что трафик который попадает на адаптер OpenVPN надо еще раз туннелировать на другой компютер с OpenVPN. Подскажите как

3) У меня непонятки с DHCP OpenVPN,не разобрался как мне дать клиенту(тоесть себе) адрес после 10.8.0.1 (тоесть 10.8.0.2). Почемуто мне выдается 10.8.0.6.


SERVER

Код:
port 5050
proto tcp
dev tun
tls-server
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.key"
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"
server 10.8.0.0 255.255.255.0
push "route 10.8.0.1"
ifconfig-pool-persist ipp.txt
keepalive 20 120
auth SHA1
cipher rc2-40-cbc
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3



CLIENT

Код:
client
remote 12.12.12.12 5050
proto tcp
dev tun
tls-client
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\client.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\client.key"
ns-cert-type server
#ifconfig 10.8.0.2 10.8.0.1
keepalive 20 120
auth SHA1
cipher rc2-40-cbc
comp-lzo
persist-key
persist-tun
verb 3

Последний раз редактировалось Stalingrad; 03.11.2010 в 22:56.. Причина: :)
Stalingrad вне форума   Ответить с цитированием
Старый 29.10.2010, 08:31   #2
SpangeBoB
 
Аватар для SpangeBoB
 
Регистрация: 05.07.2010
Сообщений: 49
Репутация: 14
По умолчанию

1)На сервере должен быть настроен NAT.Тогда ,как указано в статье имеем 2 случая.
a)Указать в конфиге OpenVPN строку push "redirect-gateway",тогда любой трафик будет завертываться через VPN.
Или вручную без правки конфига:
Цитата:
route delete 0.0.0.0
route add 89.28.19.87 DEFAULT_GATEWAY
route add 0.0.0.0 mask 0.0.0.0 10.8.0.1
b)Или указать одиночный маршрут до 194.102.188.37
Цитата:
route add 194.102.188.37 10.8.0.1
3)А какая разница,что 2,6? Если уж очень надобность то в файле ifconfig-pool-persist ipp.txt(клиент <-> виртуальный IP адрес),указать:
Цитата:
client1,10.8.0.2

Последний раз редактировалось SpangeBoB; 29.10.2010 в 08:35..
SpangeBoB вне форума   Ответить с цитированием
Старый 29.10.2010, 13:18   #3
Stalingrad
 
Регистрация: 29.10.2010
Сообщений: 10
Репутация: 0
По умолчанию

Спасибо,сегодня потестю.Напишу. А с Double VPN какая фишка используется ? Тоже командами "route" перенаправлять трафик или какойто особый конфиг.ovpn ?

Да и еще, ты мне написал что на сервере должен стоять NAT. Какой мне поставить под Windows?
Stalingrad вне форума   Ответить с цитированием
Старый 29.10.2010, 14:21   #4
SpangeBoB
 
Аватар для SpangeBoB
 
Регистрация: 05.07.2010
Сообщений: 49
Репутация: 14
По умолчанию

Для серверной линейки - RRAS
Для XP - http://openvpn.net/archive/openvpn-users/2006-09/msg00031.html
Сторонние продукты типа-Tmertr,Kerio,TI

Последний раз редактировалось SpangeBoB; 29.10.2010 в 14:23..
SpangeBoB вне форума   Ответить с цитированием
Старый 03.11.2010, 23:12   #5
Stalingrad
 
Регистрация: 29.10.2010
Сообщений: 10
Репутация: 0
По умолчанию

Попробовал и не получилось.

Настроил на домашнем компе NAT вот так :
Код:
1) Modify Registry Entry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IPEnableRouter=1

2) net stop remoteaccess // Stop the RAS Service
3) netsh routing ip nat install
4) netsh routing ip nat add interface "Подключение по локальной сети" full
5) netsh routing ip nat add interface "VPN" private
6) netsh routing ip nat add interface Internal private
7) net start remoteaccess
После этого перезагрузил сервер.

Новый конфиг поставил так :

Client
Код:
client
remote 12.12.12.12 5050
proto tcp
dev tun
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\client.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\client.key"
ns-cert-type server
keepalive 20 120
auth SHA1
cipher rc2-40-cbc
comp-lzo
persist-key
persist-tun
verb 3
Server :
Код:
port 5050
proto tcp
dev tun
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.key"
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"
push "redirect-gateway"
push "dhcp-option DNS 10.8.0.1"
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 20 120
auth SHA1
cipher rc2-40-cbc
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
Лог клиента при подключении :

Код:
  OpenVPN 2.1.3 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Aug 20  
  NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
  LZO compression initialized
  Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
  Socket Buffers: R=[516096->516096] S=[172032->172032]
  Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
  Local Options hash (VER=V4): 'eb16d97a'
  Expected Remote Options hash (VER=V4): 'a7bbe300'
  Attempting to establish TCP connection with 12.12.12.12:5050
  TCP connection established with 12.12.12.12:5050
  TCPv4_CLIENT link local: [undef]
  TCPv4_CLIENT link remote: 12.12.12.12:5050
  TLS: Initial packet from 12.12.12.12:5050, sid=5e7ca7b3 933dd1cc
    VERIFY OK: depth=1, /C=RU/ST=CA/L=Stalingrad/O=home/OU=home/CN=home/emailAddress=home@mail.ru
    VERIFY OK: nsCertType=SERVER
    VERIFY OK: depth=0, /C=RU/ST=CA/O=home/OU=home/CN=home/emailAddress=home@mail.ru
  Data Channel Encrypt: Cipher 'RC2-40-CBC' initialized with 40 bit key
  Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
  Data Channel Decrypt: Cipher 'RC2-40-CBC' initialized with 40 bit key
  Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
  Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
  [home] Peer Connection Initiated with 12.12.12.12:5050
  SENT CONTROL [home]: 'PUSH_REQUEST' (status=1)
  PUSH: Received control message: 'PUSH_REPLY,redirect-gateway,dhcp-option DNS 10.8.0.1,route 10.8.0.1,topology net30,ping 20,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
  OPTIONS IMPORT: timers and/or timeouts modified
  OPTIONS IMPORT: --ifconfig/up options modified
  OPTIONS IMPORT: route options modified
  OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
  ROUTE default_gateway=172.27.72.254
  TAP-WIN32 device [VPN] opened: \\.\Global\{807149F1-92C4-4923-BB3B-539F494653B2}.tap
  TAP-Win32 Driver Version 9.7 
  TAP-Win32 MTU=1500
  Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {807149F1-92C4-4923-BB3B-539F494653B2} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
  NOTE: FlushIpNetTable failed on interface [65542] {807149F1-92C4-4923-BB3B-539F494653B2} (status=259) : Дополнительные данные отсутствуют.  
    TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up
    C:\WINDOWS\system32\route.exe ADD 12.12.12.12 MASK 255.255.255.255 172.27.72.254
    Route addition via IPAPI succeeded [adaptive]
    C:\WINDOWS\system32\route.exe DELETE 0.0.0.0 MASK 0.0.0.0 172.27.72.254
    Route deletion via IPAPI succeeded [adaptive]
    C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 0.0.0.0 10.8.0.5
    Route addition via IPAPI succeeded [adaptive]
    C:\WINDOWS\system32\route.exe ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
    Route addition via IPAPI succeeded [adaptive]
    Initialization Sequence Completed

После этого пропадает соединение (тоесть вроде мой трафик редиректится на VPN) с интернетом. Значит я думаю мой NAT на WindowsXP (на сервере) хреново работает. Что предложите делать ?
Stalingrad вне форума   Ответить с цитированием
Старый 04.11.2010, 03:01   #6
j0ker
 
Регистрация: 18.10.2010
Сообщений: 7
Репутация: 0
По умолчанию

после подключения впна сервер пингуется?
и по внешнему ипу и по внутреннему?
или днсы неправильно прописаны
j0ker вне форума   Ответить с цитированием
Старый 04.11.2010, 04:14   #7
Stalingrad
 
Регистрация: 29.10.2010
Сообщений: 10
Репутация: 0
По умолчанию

после подключения пропадает коннект , так как удаляется route.exe DELETE 0.0.0.0 MASK 0.0.0.0 172.27.72.254, поидее должен весь трафик идти через VPN, я подозреваю что на WinXP сервере чтото не работает с NAT-ом.
Stalingrad вне форума   Ответить с цитированием
Старый 04.11.2010, 09:36   #8
SpangeBoB
 
Аватар для SpangeBoB
 
Регистрация: 05.07.2010
Сообщений: 49
Репутация: 14
По умолчанию

Для NAT ,какие интерфейсы были указаны при настройке?

Последний раз редактировалось SpangeBoB; 04.11.2010 в 09:44..
SpangeBoB вне форума   Ответить с цитированием
Старый 04.11.2010, 16:42   #9
Stalingrad
 
Регистрация: 29.10.2010
Сообщений: 10
Репутация: 0
По умолчанию

Цитата:
Сообщение от SpangeBoB Посмотреть сообщение
Для NAT ,какие интерфейсы были указаны при настройке?
4) netsh routing ip nat add interface "Подключение по локальной сети" full
5) netsh routing ip nat add interface "VPN" private

Тоесть мой реальный сетевой адаптер "Подключение по локальной сети" , а также адаптер под именем "VPN" (TAP-Driver).

Если я конечно правильно понел вопрос.
Stalingrad вне форума   Ответить с цитированием
Старый 05.11.2010, 10:56   #10
SpangeBoB
 
Аватар для SpangeBoB
 
Регистрация: 05.07.2010
Сообщений: 49
Репутация: 14
По умолчанию

Цитата:
Сообщение от Stalingrad Посмотреть сообщение
4) netsh routing ip nat add interface "Подключение по локальной сети" full
5) netsh routing ip nat add interface "VPN" private

Тоесть мой реальный сетевой адаптер "Подключение по локальной сети" , а также адаптер под именем "VPN" (TAP-Driver).

Если я конечно правильно понел вопрос.
На вопросы j0ker ,какие результаты?

ping 12.12.12.12
ping 10.8.0.1
ping 8.8.8.8
nslookup ya.ru
SpangeBoB вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot