Как и было обещано в предыдущей статье , сегодня речь пойдет о GUI оболочке для клиентской части OpenVPN на Windows. Запуск OpenVPN в консольном окне для конечных пользователей, работающих в ОС Windows - это нонсенс. Да и выглядит такое решение мягко говоря не законченным.

Для реализации нащей задачи существует open source проект под GPL лицензией - OpenVPN GUI . Последний стабильный выпуск: 1.0.3 с OpenVPN 2.0.9 (2006-10-17) (Русский выпуск еще не выходил) можно скачать здесь .

После установки OpenVPN GUI в системном трее (область на правой стороне панели задач) можно увидеть пиктограммку, похожую на подключение к сети. С её помощью получаем возможность управлять OpenVPN соединениями, запускать/останавливать туннели VPN, выполнять регистрацию, изменять пароль к ключу и массу других полезных вещей.

Возможности OpenVPN GUI

Показывает значок в области уведомлений, при помощи которого можно контролировать OpenVPN. Обработка нескольких одновременных соединений Прячет консольное окно OpenVPN Просмотр файлов журналов Редактирование настроек (в текстовом редакторе) Запуск/Останов/Перезапуск службы OpenVPN(см. install.txt для включения этих возможностей) Диалог ввода пароля ключа Диалог ввода учетных данных при аутентификации по логину/паролю Смена пароля секретного ключа(для PEM и PKCS #12 файлов) Настройка прокси из GUI Использование настроек прокси Internet Explorer (если установлено в ручную) Исполнение сценариев до/после подключения/отключения Опции командной строки для запуска соединения при старте Опции командной строки для перегрузки значений реестра Показывает информацию о соединении

Все настройки клиентской программы по умолчанию прописываются в файле C:\Program Files\OpenVPN\config\client.ovpn . Пример файла конфигурации:

client dev tap ;dev tun proto udp remote xxx.xxx.xxx.xxx 1194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert admin.crt key admin.key ;cipher x comp-lzo verb 3 ;mute 20

В этой же папке должны находиться файлы сертификатов. Если у Вас несколько туннелей, то нужно создать каталоги с их именами и в них поместить соответсвующие файлы конфигураций, например название_организации.ovpn . При клике правой кнопкой мышки по пиктограмме OpenVPN GUI у нас появится на выбор список VPN соединений.

[OpenVPN] Задание шлюза клиенту.

Господа! Уже который вечер бьюсь над настройкой OpenVPN. Сервер поднимается, клиенты подсоединяются, и в инет ходят, но только после ручного добавления Gateway.

Перепробовал много инструкций, читал маны.

Вот конфиг сервера:

mode server tls-server proto tcp-server dev tap port 5555 # Порт daemon tls-auth /etc/openvpn/vpnet/keys/ta.key 0 ca /etc/openvpn/vpnet/keys/ca.crt cert /etc/openvpn/vpnet/keys/vpsrv.crt key /etc/openvpn/vpnet/keys/vpsrv.key dh /etc/openvpn/vpnet/keys/dh1024.pem ifconfig 10.10.0.1 255.255.255.0 # Внутренний IP сервера ifconfig-pool 10.10.0.2 10.10.0.128 # Пул адресов. #push "redirect-gateway def1" # Перенаправлять default gateway на vpn-сервер. Если не нужно - закомментировать. push "route-gateway 10.10.0.1" #duplicate-cn verb 3 cipher DES-EDE3-CBC # Тип шифрования. persist-key log-append /var/log/openvpn.log # Лог-файл. persist-tun comp-lzo И конфиг клиента: tls-client proto tcp-client remote 192.168.100.2 dev tap port 5555 #cd /etc/openvpn/vpnet pull tls-auth ta.key 1 ca ca.crt cert vpclient.crt key vpclient.key cipher DES-EDE3-CBC #log-append /var/log/openvpn.log comp-lzo

Почему сервер не отдает клиенту шлюз через опцию «push „route-gateway 10.10.0.1“»?

Сервер - Debian «Squeeze» i686

Клиенты - Debian «Squeeze» i686 и Windows XP Professional SP3.

Два шлюза в Интернет и OpenVPN

Материал из Xgu.ru

ОС и ПО: Linux, OpenVPN

Автор: Игорь Чубин
Короткий URL: openvpn/gw

На странице описывается как с помощью OpenVPN и двух независимых интернет-каналов низкой надёжности организовать надёжное подключение удалённой сети (или системы) к центральной сети.

Приведённое решение может быть полезно и без использования VPN — для решения задачи автоматического выбора основного шлюза.

Есть два канала связи с Интернетом, через двух независимых провайдеров. Один из каналов является основным, второй — резервным. Резервный канал нужно использовать только тогда, когда недоступен основной.

Нужно сделать так, что бы как только Интернет становится недоступным через одно из соединений (не имеет значения из-за того что пропала связь с провайдером, или потому что проблемы у провайдера), автоматически менять маршрут по умолчанию и использовать другой канал.

Как только связь через основной канал восстанавливается, необходимо возвращаться на его использование.

Рассмотреть ситуацию, когда компьютер входит в другую сеть через OpenVPN:

OpenVPN должен перестартовывать после смены маршрута; (Важно!) когда OpenVPN-соединение установлено, маршрут по умолчанию направлен в частную сеть через OpenVPN.

Если OpenVPN не используется, ничего страшного — задача только упрощается.

Схема включения шлюза gw в Интернет и локальную сеть (LAN), показана ниже.

+-------+ |CENTRAL| | VPN | | HUB | +---+---+ | _____._ ____/ \___ __/ \ / \__ | \ \ Internet | | | \ _ . \ ___/ \___ _/ \_______/ GW1 GW2 * * || | IP1 || | IP2 [eth1] || | [eth2] +-------+ | | | gw | | | +---+---+ | [eth0] |- LAN CENTRAL VPN HUB — центральный VPN-концентратор, на который нужно держать VPN-канал; GW1 — шлюз первого провайдера, на интерфейсе с нашей стороны установлен IP-адрес IP1 (предпочитаемый канал, отмечен двойной линией); GW2 — шлюз второго провайдера, на интерфейсе с нашей стороны установлен IP-адрес IP2 .

На шлюзе gw работает VPN-клиент, который через Интернет должен устанавливать туннель на центральный VPN-сервер (CENTRAL VPN HUB).

OpenVPN client/ru

From DD-WRT Wiki

[ edit ] Введение

В DD-WRT в сборках с суффиксом -vpn включен демон openvpn. В GUI его настройки располагаются на странице "services" - "VPN", есть два раздела: "OpenVPN daemon" и "OpenVPN Client". В nvram им соответствую параметры, начинающиеся с "openvpn_" и "openvpncl_" соответственно.

Почему-то разработчики dd-wrt сделали так, что openvpn в режиме клиента создаёт маршрут по умолчанию через туннель: именно команды изменения маршрута помимо команд, разрешающих трафик через VPN, содержат скрипты route-down.sh и route-up.sh, указанные в командной строке запуска openvpn:

openvpn --config /tmp/openvpncl/openvpn.conf --route-up /tmp/openvpncl/route-up.sh --down /tmp/openvpncl/route-down.sh --daemon

Из-за этого, когда нужно просто связать две локальные сети или подключить дистанционного клиента к локальной сети, приходится мудрить. Причём типовые рекомендации заключаются в создании собственного "пользовательского" скрипта, который должен сформировать конфигурацию и запустить openvpn.

В этой статье описан способ сделать клиентское подключение средствами GUI-конфигуратора без дополнительных скриптов.

[ edit ] Условия

Для организации клиентского подключения openvpn используются настройки "openvpn daemon" Чтобы на страничке статуса openvpn ("Status"-"OpenVPN") была информация, а также для управления демоном, используется локальный порт 5001/TCP (см. файлы /etc/openvpnlog.sh, /etc/openvpnstate.sh и /etc/openvpnstatus.sh в файловой системе маршрутизатора). Используется особенность dd-wrt, что в режиме openvpn-сервера конфиг openvpn не генерируется, как в случае с openvpn-клиентом, а в явном виде хранится в nvram. Подключаемся, используя сертификаты (сертификат CA, свой сертификат клиента и свой секретный ключ, все в формате PEM) Настраиваем синхронизацию часов маршрутизатора с мировым временем (часовой пояс не важен, хотя и удобен при анализе протокола работы).