Полная версия этой страницы: OpenVPN-server и Traffpro
michail1958
Подскажите пожалуйста, кто нибудь сталкивался с проблемой соединения с сервером терминалов находящимся внутри сети из вне. OpenVPN-server установлен на той-же машине, что и ТРАФФПРО.
При старте Tpaffpto соединение с сервером по, RDP отваливаеться, при этом по ssh (putty ) -работает.
Пляски с бубном вокруг IP-TABLES не помогают.
Если кто-то решил эту проблему, прошу поделиться опытом
voler
А порты открыты? для терминального клиента?
michail1958
Похоже что порты закрыть. Но открыть их и мення не получаеться!
OpenVPN клиент коннектица к серверу по UDP порт 1194
Далее клиент получает ip c интерфейса tun0 сервера( у клиента -10.10.10.6)
Tracert на терминальный сервер со стороны клиента прходит(через шлюз 10.10.10.1) но соединения по RDP нет. Попытки пробросить порт 3389(Microsof RDP) c tun0 во внуреннюю сеть результатов не дали!
На клиенте порт 3389 открыт
Может кто эту проблемку решил? Считать ВПН трафик пока вопрос не стоит
Sly
Для клиента откройте все порты или только верхние зарезервированные для подключений динамически меняющихся при подключении
michail1958
Не помогает. Вот что интересно:
1. OpenVPN и Traffpro- запущены. Трасерт на терминальник идёт через
VPN --10.10.10.1--192.168.10.10 Сканируем порты терминальника с наружи, пишет открыты порты 110 и 25.
2. Останавливаем Traffpro, сканируем терминальник. Открыты порты 110, 25, 3389, 23(23 открыл для экспиримента).
Файлик traffpro_rule.cfg пустой.
Почему при запуске Traffpro порты 110 25 на терминальнике внутри сети открыты а до 3389 достучаться нельзя!
voler
А ты его прописал клиенту? И на терминале файрвол выключен?
michail1958
Да, порты прописаны. Файервол выключен. Админ терминальника прописан в клиентах Траффпро.
Из внутренней сетки по RDP можно законнектится к VPN-клиенту.
voler
Все проблему человек решил, сделал так.

iptables -I FORWARD 1 -i eth1 -o tun0 -j ACCEPT
iptables -I FORWARD 1 -o eth1 -i tun0 -j ACCEPT


eth1 - это локальная сеть.
tun0 - это OPENVPN клиенты.
michail1958
Подкиньте пжалуйста идейку насчёт OpenVPN.
Итак имеем сервер с Траффпро(+кэширующий DNS +Squid)
На нём-же поднят OpenVPN-сервер.
eth0 -внешняя сеть
eth1 -внутреняя
tun0 -интерфейс OpenVPN, Порт ВПН-а 1194, протокол UDP.  
Долго бился над задачей как пробросить Microsoft RDP или зашариться на внутреннюю сетку.
Voler решил мне задачку за пять минут(смотри выше)
 Задача считать трафик не стояла, но я решил её очень просто, включив защиту сервера.
На сервере из вне разрешил только порт 22 для ssh
Как я понимаю, Траффпро на сервере может открывать/закрывать порты только по протоколу TCP, 
поэтому ВПН-клиент коннектица на компьютеры внутри сети как по RDP, так и на расшаренные папки.
Сняв отчёт по серверу и сравнив его с объёмом файлов который я закачивал и скачивал с расшаренной папки, я получил довольно точный объем трафика по VPN-каналу.

Если посмотреть диаграмму \"Сервисы Сегодня\" то он отображаеться как \"Other\"

(При этом трафик у того компа к которому коннекился не прибавляется)


И вот возникли следующие вопросы: 
1. Как ограничить доступ к компам внутри сети, ну например разрешить коннект только к компам 192.168.124.2 и 192.168.124.3
2. Как ещё можно посчитать трафик VPN-соединения.
NicK
iptables -I FORWARD 1 -i eth1 -o tun0 -j ACCEPT
iptables -I FORWARD 1 -o eth1 -i tun0 -j ACCEPT

Как я понимаю, с такими правилами Traffpro не будет считать VPN трафик.

А как сделать, чтоб трафик VPN учитывался? Если вместо ACCEPT применять QUEUE, будет работать?

michail1958

Нет NicK. с QUEUE правило работать не будет, да и не работает я уже проверил...

В принципе трафик VPN-а отображаеться в  статистике сервера при включённой защите.  Может у польэователей Траффпро есть какие нибудь другие решения? Собираюсь написать небольшой FAQ по настройке OpenVPN при  совместной работе с Траффпро и для начала хочу проверить все возможные варианты.

Re-Master
Господа! Помогите пожалуйста с vpn-ом.

Топология:
локальная сеть(windows-домен)<--->сервер traffpro + OpenVPN<--->интернет

Задача:
Сделать так, чтобы сервер прозрачно пропускал людей из интернета в локальную сеть через VPN. На сервере поднят OpenVPN, на клиентах - OpenVPN client for Windows (и даже OpenVPN client for Windows Mobile PPC).

Сервер настроен (вроде всё по оффициальной инструкции), клиенты тоже. Клиент подключается к системе, внутренние айпишники пингуются, но доступа нет, даже порты не удается просканировать.

eth1 -внешняя сеть
eth0 -локалка
tun0 -интерфейс OpenVPN, Порт ВПН-а 1194, протокол UDP.

после вписывания
iptables -I FORWARD 1 -i eth0 -o tun0 -j ACCEPT
iptables -I FORWARD 1 -o eth0 -i tun0 -j ACCEPT

отвалился интернет. После его удаления, инет поднялся снова.

Подскажите, что делать!!!
 
michail1958

У меня при таких правилах ip-tables всё работает. Правда пока на тестовом сервере.

На сервере стоит SQUID, кэширующий DNS, OpenVPN-сервер.

Для начало я бы убрал все правила ip-tables из traffpro_rule.cfg. Оставил-бы только то что относиться к SQUID(если он у вас есть), к FTP , и к SSH, и эти две строчки для форвардинга tun0 во внутреннюю сеть и наружу. И после этого проверил есть ли интернет во внутренней сетке.

 

 

Re-Master
Сквида нет, traffpro_rule девстванно чист, в нем только 2 стандартных правила для traffpro. FTP нет, SSH работает без туннелей, и посему в правилах его тоже нет.
michail1958

Сегодня попробую отключить Сквид и проверю, о результатах напишу!

 

Re-Master
Еще раз попробовал прописать правила, которые посоветовал voler. Инет в локалке не отвалился, но и толку никакого. Прописал интерфейс tun0 в качестве сервера в traffpro, вроде что-то зашевелилось (получилось просканить порты), но на этом дело и встало. подключиться к открытым портам всё равно не смог. Подозреваю, что у меня не правильные конфиги от OpenVPN

Вот конфиг моего сервера:
port 1194
proto udp

dev tun0

ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key 
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem

server 192.168.2.0 255.255.255.0

ifconfig-pool-persist ipp.txt

push \\\"route 192.168.1.0 255.255.255.0\\\"
push \\\"dhcp-option DNS 192.168.1.1\\\"

client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
michail1958

Да, у тебя конфиг OpenVPN -сервер написан не правельно.

С такими конфигами интерфейс TUN работать не будет, пул адресов который ты выделил для VPN-клиентов будет работать только с TAP. Если хочешь оставить как есть, поменяй в конфиге сервера и клиента с \"tun\" на \"tap\".

Прописывать интерфейс tun0 на сервере не надо. Если интересно, постучись в Аську, я как раз собирался сделать FAQ по работе Traffpro с OpenVPN, вышлю рабочие конфиги...

Для просмотра полной версии этой страницы, пожалуйста, пройдите по ссылке.