Полная версия

OSS Group


Авторизация

  

Навигация

Текущее местоположение:  OSS Group :: Wiki :: Admin :: Настройка OpenVPN
Главное меню:   Главная   Документация   Разработка   Контакты   Поиск   Карта сайта   Wiki   Блоги
Разделы Wiki:   Admin  APT  Sandbox

Настройка OpenVPN

OpenVPN - свободная реализация SSL VPN.

Общий порядок настройки OpenVPN

См. также:
Описание порядка настройки клиента в Windows.
Особенности установки в контейнер OpenVZ с интерфейсом venet.
Особенности установки OpenVPN в ALT Linux.

Возможные причины проблем

openssl verify -CAfile ca.cert -purpose sslclient client.cert
openssl verify -CAfile ca.cert -purpose sslserver server.cert

Разное

Управление пользователями

Подсчёт трафика

Периодическая проверка сертификатов клиентов

Интерфейс управления и мониторинга

Есть возможность включить встроенный интерфейс управления - директивой конфигурации сервера

  management <IP> <port>

При этом появляется возможность подключения через telnet к локальному интерфейсу с <IP> на указанный порт. Никакой авторизации не предусмотрено, т.е. в большинстве случаев следует указывать в качестве интерфейса localhost. Список доступных команд выдается по "help". Есть возможность просмотра текущих соединений, а также отправления серверу ряда команд.

Использование OpenVPN с несколькими внешними интерфейсами

OpenVPN 2.0 не умеет работать с несколькими внешними интерфейсами по протоколу UDP. Если есть необходимость запустить один сервер на несколько внешних интерфейсах, то требуется или переходить на TCP, или использовать версию 2.1.

Изменение маршрута по умолчанию

Есть возможность установить маршрут по умолчанию (default route) через созданный туннель OpenVPN. Для этого можно использовать директиву 'redirect-gateway', в т.ч. с автоматической передачей её клиенту через механизм push-pull. Однако при работе клиента под непривилегированным пользователем и в chroot-окружении возникают проблемы с восстановлением старого маршрута при закрытии соединения, т.к. клиенту не хватает прав внести изменения в таблицу маршрутизации. Для обхода этой ситуации следует использовать параметр 'def1' директивы 'redirect-gateway'. При этом на сервере в файле конфигурации (глобальном или конкретного клиента) переназначение маршрута задаётся строкой вида

  push "redirect-gateway def1"

Получив эту директиву (при наличии 'pull' в своей конфигурации), клиент не удаляет старый маршрут, а добавляет в таблицу маршрутизации записи вида:

 0.0.0.0/1 via 192.168.231.5 dev tun0 
 128.0.0.0/1 via 192.168.231.5 dev tun0 

Оригинальный маршрут по-умолчанию при этом не используется пока существует интерфейс tun0 канала.


Дата создания: 2006-05-24 15:18:16 (Фетисов Н. А. (naf))
Последнее изменение: 2008-04-22 23:08:59 (Фетисов Ф. А. (faf))
Владелец: Фетисов Н. А. (naf)
Версия: 15  Все версии


  Не показывать комментарии


Wiki::Admin   Карта раздела  Оглавление  Изменения за сутки  Изменения за неделю  Изменения за месяц



Быстрый поиск по Wiki:
И ИЛИ

На эту страницу ссылаются:

©2006-2024 OSS Group. All rights reserved. | Техническая поддержка: Открытые Информационные Технологии и Системы