imho.ws
IMHO.WS  

Вернуться   IMHO.WS > Интернет, Глобальные и Локальные сети > Сети
Опции темы
Старый 29.08.2016, 02:04     # 1
metrim
Full Member
 
Регистрация: 02.10.2003
Пол: Male
Сообщения: 869

metrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форуме
Question Вопрос по организации OpenVPN между серверами и клиентами

Собственно задача - организовать защищенный канал между физически разнесенными (находящимися в разных дата центрах) серверами предприятий и обеспечить безопасный доступ клиентам извне.

Почитал статейку https://habrahabr.ru/post/233971/ но там несмотря на то что на картинках рисуется (на сколько я понял) прописывается схема где один основной сервер, а все остальные устройства подключаются как клиенты

Мне же нужно, что был равнозначный канал между серваками, что бы по нему происходила репликация доменов, обмен данными и т.п. Ну а пользователи извне что бы подключались как клиенты к этой "облачной инфраструктуре"
__________________
Если ты никого не боишься, значит ты самый страшный
metrim вне форума  
Старый 29.08.2016, 03:47     # 2
Borland
СуперМод
IMHO Консультант 2005-2009
 
Аватар для Borland
 
Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 377

Borland - Гад и сволочь
metrim
В любом случае при установлении соединения один из компьютеров будет выступать в роли сервера, второй в роли клиента. It's by design.
Причём любой из компьютеров может выступать одновременно и как сервер, и как клиент (это определяется наличием и содержимым конфигов в папке программы).
Для межсерверного линка, в общем-то, без разницы кто сервер а кто клиент.
Для подключения пользователей тоже без разницы, но, как правило, всё-таки клиент на стороне пользователя, сервер на стороне сервера.
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила!
Распространенье наше по планете
Особенно заметно вдалеке:
В общественном парижском туалете
Есть надписи на русском языке

В. Высоцкий

Borland вне форума  
Старый 29.08.2016, 09:33     # 3
SinClaus
Котозавр
 
Аватар для SinClaus
 
Регистрация: 15.04.2003
Адрес: Russia, Tomsk
Пол: Male
Сообщения: 1 316

SinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех Гуру
BTW, openvpn не слишком любит пересылать широковещательные пакеты, которыми так любит разбрасываться винда, провайдер не умеет строить канал между ЦД?
__________________
Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении
SinClaus вне форума  
Старый 30.08.2016, 03:12     # 4
metrim
Full Member
 
Регистрация: 02.10.2003
Пол: Male
Сообщения: 869

metrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форуме
Цитата:
Сообщение от Borland Посмотреть сообщение
Для межсерверного линка, в общем-то, без разницы кто сервер а кто клиент.
Хорошо, а допустим что будет коли "сервер" отвалится?
Можно ли как то обеспечить что бы существовали резервные узлы?
__________________
Если ты никого не боишься, значит ты самый страшный
metrim вне форума  
Старый 30.08.2016, 10:21     # 5
Plague
Administrator
 
Аватар для Plague
 
Регистрация: 06.05.2003
Адрес: Московская Подводная Лодка
Пол: Male
Сообщения: 12 026

Plague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague Демиург
Plague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague Демиург
Цитата:
Сообщение от metrim Посмотреть сообщение
Хорошо, а допустим что будет коли "сервер" отвалится?
Какая-то странная постановка вопроса, имхо.
если сервер отвалится - работать не будет. Разве есть ещё какие-то варианты в аналогичном случае, например, с ftp, mail или smb? Так уж заведено. Есть устройство, которое подключается; и есть устройство к которому подключаются. другой схемы как-то не придумывается.

"облачная инфраструктура" о которой упоминается в первом сообщении, так же имеет свой сервер(ы), и если оный вдруг сдохнет, клиенты через некоторое время понятия иметь не будут о существовании друг друга.

ps. теоретически, само приложение OpenVPN может одновременно коннектиться к нескольким серверам, и так же само являться сервером. Можно нагородить перехлест друг на друга, но как оно будет вести себя в плане распределения сетевых адресов - самому интересно

добавлено:
вообще, в конфиге есть вот такая ремарка:
Код:
# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
;remote 10.152.199.133 1194
что как бы однозначно намекает на возможность использования нескольких адресов серверов (про одновременное использование одной и той же машины,службы и как сервер и как клиент, уже писалось). Непонятно что там будет в плане распределения локальных адресов. Хотя, раз есть возможность использования multiple-servers, значит и с распределением адресов как-то всё тоже должно устаканиваться.
__________________
все "спасибы" - в приват и в репутацию! не засоряйте форум!!!!
~~~~~~~~~~~~~~~~~~~~~~

The time has come it is quite clear, our antichrist is almost already here.
M.M.
Plague вне форума  
Старый 30.08.2016, 11:30     # 6
Borland
СуперМод
IMHO Консультант 2005-2009
 
Аватар для Borland
 
Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 377

Borland - Гад и сволочь
Цитата:
Сообщение от Plague Посмотреть сообщение
Можно нагородить перехлест друг на друга, но как оно будет вести себя в плане распределения сетевых адресов - самому интересно
Можно, но бессмысленно. Отпад сервиса OpenVPN на устройстве автоматом порвёт все его соединения: что клиентские, что серверные. Так же, к слову, как и обрыв канала связи провайдера. "Померла так померла"...
При этом ничто не мешает пользователям коннектиться одновременно к двум (и более) серверам, и отпад одного из серверов никоим образом не скажется на коннекте со вторым.
Цитата:
Сообщение от metrim Посмотреть сообщение
Можно ли как то обеспечить что бы существовали резервные узлы?
Если вы подразумеваете, что два сервера должны образовывать отказоустойчивый кластер - то OpenVPN здесь вообще не при делах, она только обеспечивает шифрованный канал связи (весьма, к слову, надёжный). Отказоустойчивость же серверов/кластера осуществляется совершенно другими средствами...
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила!
Распространенье наше по планете
Особенно заметно вдалеке:
В общественном парижском туалете
Есть надписи на русском языке

В. Высоцкий

Borland вне форума  
Старый 30.08.2016, 11:54     # 7
Plague
Administrator
 
Аватар для Plague
 
Регистрация: 06.05.2003
Адрес: Московская Подводная Лодка
Пол: Male
Сообщения: 12 026

Plague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague Демиург
Plague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague Демиург
Цитата:
Сообщение от Borland Посмотреть сообщение
Можно, но бессмысленно. Отпад сервиса OpenVPN на устройстве автоматом порвёт все его соединения: что клиентские, что серверные.
я имел в виду не "друг другу навстречу" (бессмысленность этого абсолютно очевидна), а "на соседа слева, справа, и напротив". Эдакая пентаграмма, даже похлеще.
__________________
все "спасибы" - в приват и в репутацию! не засоряйте форум!!!!
~~~~~~~~~~~~~~~~~~~~~~

The time has come it is quite clear, our antichrist is almost already here.
M.M.
Plague вне форума  
Старый 30.08.2016, 12:22     # 8
SinClaus
Котозавр
 
Аватар для SinClaus
 
Регистрация: 15.04.2003
Адрес: Russia, Tomsk
Пол: Male
Сообщения: 1 316

SinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех Гуру
Проще и надёжнее провайдерская L3 vpn для серверов и шлюзы в неё для клиентов. А в идеале - и сервера и клиенты в закрытой L3 vpn. Все доступны всем, и недоступны снаружи.
Полный mesh средствами openvpn дело довольно тёмное...
__________________
Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

Последний раз редактировалось SinClaus; 30.08.2016 в 12:24.
SinClaus вне форума  
Старый 30.08.2016, 12:29     # 9
metrim
Full Member
 
Регистрация: 02.10.2003
Пол: Male
Сообщения: 869

metrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форуме
Цитата:
Сообщение от Borland Посмотреть сообщение
Отпад сервиса OpenVPN на устройстве автоматом порвёт все его соединения
Ну Хамачи вроде конектила всех туннелями (как чего в ней щас - не знаю). выбыль из строя любой из машин не преводил к распаданию сети.

Меня просто не греет идея, что остановился "сервер" и все, больше коннекта в сети нема.

Еще такой вопрос: а как с точки зрения безопасности установка опенВПН сервера на контроллере домена?
__________________
Если ты никого не боишься, значит ты самый страшный
metrim вне форума  
Старый 30.08.2016, 12:39     # 10
Borland
СуперМод
IMHO Консультант 2005-2009
 
Аватар для Borland
 
Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 377

Borland - Гад и сволочь
Цитата:
Сообщение от Plague Посмотреть сообщение
пентаграмма, даже похлеще.
Тогда уж проще как SinClaus предлагает: всё хозяйство в облаке, включая клиентские рабочие места, а клиенты подключаются туда через VPN-гейт и работают по RDP. Резервирование всего хозяйства в целом и VPN-гейта в частности при этом обеспечивается провайдером, причём прозрачно для потребителя услуги...
Избыточные же соединения клиентов между собой надёжности нисколько не прибавляют (хотя схема и может быть реализована): как я уже говорил, "померла так померла". К "мёртвому" серверу никакие ухищрения с обходным роутингом добраться не позволят.
Скрытый текст (только для групп: Administrator :: 6):
У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.
Цитата:
Сообщение от metrim Посмотреть сообщение
Хамачи вроде конектила всех туннелями (как чего в ней щас - не знаю). выбыль из строя любой из машин не преводил к распаданию сети.
Через себя коннектила. Выпадение из сети VPN-гейта той же хамачи обрушит сеть ничуть не хуже, чем выпадение вашего собственного...
Цитата:
Сообщение от metrim Посмотреть сообщение
как с точки зрения безопасности установка опенВПН сервера на контроллере домена?
Точно так же, как подключение контроллера домена к дополнительной сети. Безопасность сервера снижается, ибо вы проделываете в его защите дополнительную "дырку" (открытый порт, проброшенный в интернет). Не очень существенно (если, конечно, всё правильно настроено), но снижается.
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила!
Распространенье наше по планете
Особенно заметно вдалеке:
В общественном парижском туалете
Есть надписи на русском языке

В. Высоцкий

Borland вне форума  
Старый 30.08.2016, 12:42     # 11
Plague
Administrator
 
Аватар для Plague
 
Регистрация: 06.05.2003
Адрес: Московская Подводная Лодка
Пол: Male
Сообщения: 12 026

Plague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague Демиург
Plague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague Демиург
SinClaus, провайдерская отдельных денег стоит
к тому же весьма не символических. Например я за провайдерский VLAN 10 мбит плачУ практически столько же, сколько ему же за просто интернет-канал 12 мбит.
Другое дело, что интернет в том конце, куда идёт VLAN, как таковой отдельно вообще не нужен (в "потребительских масштабах", по крайней мере), так что выбор между "кидаем в разные точки интернет, и потом городим всё сами" / "просто покупаем VLAN у провайдера" был очевиден. Если же во всех удалённых концах интернет заведен в силу других потребностей, то покупать ещё и поверх всего этого VLAN - умножать расходы почти вдвое. Хотя, с другой стороны, при этом толщина канала становится уже независима друг от друга.... ХЗ, тут надо смотреть на реальные задачи. У меня например, тот же VLAN работает на 40% канала всего час в сутки (в этот час оно критично), все остальное время юзается время от времени, и скорость 10 мбит там задарма не нужна. Ну, в смысле, мне как-то по-барабану: будет файл в 1 мегабайт туда пролетать за секунду или за 5, а больше в остальное время там не ходит.


Цитата:
Сообщение от Borland Посмотреть сообщение
К "мёртвому" серверу никакие ухищрения с обходным роутингом добраться не позволят.
дык если он помер, или линк на него у прова подох - его и VLAN не спасёт

Цитата:
Сообщение от metrim Посмотреть сообщение
Хамачи
точно такой же принцип, что и своей VPN, с той лишь разницей что на своей - конектимся к своему серверу, а с хамачи - куда-то в туево-кукуево.
Цитата:
Сообщение от Borland Посмотреть сообщение
открытый порт, проброшенный в интернет
VPN-сервер не обязательно ставить на тот же комп, что и контроллер домена, если они в одной локали.
__________________
все "спасибы" - в приват и в репутацию! не засоряйте форум!!!!
~~~~~~~~~~~~~~~~~~~~~~

The time has come it is quite clear, our antichrist is almost already here.
M.M.
Plague вне форума  
Старый 30.08.2016, 14:45     # 12
metrim
Full Member
 
Регистрация: 02.10.2003
Пол: Male
Сообщения: 869

metrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форуме
Цитата:
Сообщение от Plague Посмотреть сообщение
VPN-сервер не обязательно ставить на тот же комп, что и контроллер домена, если они в одной локали
Это был вероятно ответ на мой вопрос "высказанный в порядке бреда"
Просто есть компьютер с контроллером домена стоящий "в интернете" , вне организации, которая за NAT. Кроме того "снаружи" - еще несколько серверов.
__________________
Если ты никого не боишься, значит ты самый страшный
metrim вне форума  
Старый 30.08.2016, 15:07     # 13
Plague
Administrator
 
Аватар для Plague
 
Регистрация: 06.05.2003
Адрес: Московская Подводная Лодка
Пол: Male
Сообщения: 12 026

Plague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague Демиург
Plague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague Демиург
metrim, это был ответ на цитату там же выше мной приведённую, а именно, если брать полней:
Цитата:
Сообщение от Borland Посмотреть сообщение
Цитата:
Сообщение от metrim Посмотреть сообщение
как с точки зрения безопасности установка опенВПН сервера на контроллере домена?
Точно так же, как подключение контроллера домена к дополнительной сети. Безопасность сервера снижается, ибо вы проделываете в его защите дополнительную "дырку" (открытый порт, проброшенный в интернет). Не очень существенно (если, конечно, всё правильно настроено), но снижается.
---

Цитата:
Сообщение от metrim Посмотреть сообщение
есть компьютер с контроллером домена стоящий "в интернете" , вне организации, которая за NAT.
То есть, он имеет вообще прямой IP? тогда и никаких пробросов порта не нужно, разумеется.

Кстати говоря, ему ВСЁ РАВНО не обязательно быть сервером VPN. Он может быть и клиентом - и стучаться к любой другой машине, которая выступает в качестве vpn-сервера.
По-моему, не доходит главного: с точки зренья топологии VPN - пофиг где сервер, где клиент, в своей сети они имеют IP из одного сетевого сегмента (задается в конфиге сервера) и видят друг друга так, как будто они стоят в одном помещении на одном свиче (у нас с Борландом такое благополучно фунциклирует уж лет 5, а то и больше). А с точки зренья безопасности - я бы делал сервером менее нагруженную важными данными и трафиком машину, ибо сервер держит открытым порт для входящих соединений, клиент - нет. Но, разумеется, если сервер будет за NAT, то на него порт придется на роутере прописывать. И конечно, желательно сервером делать более энерго-защищённую машину. Такой вот баланс "за/против"
__________________
все "спасибы" - в приват и в репутацию! не засоряйте форум!!!!
~~~~~~~~~~~~~~~~~~~~~~

The time has come it is quite clear, our antichrist is almost already here.
M.M.
Plague вне форума  
Старый 30.08.2016, 16:13     # 14
Plague
Administrator
 
Аватар для Plague
 
Регистрация: 06.05.2003
Адрес: Московская Подводная Лодка
Пол: Male
Сообщения: 12 026

Plague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague Демиург
Plague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague Демиург
Чуть не упустил еще один момент про "провайдерский VLAN": это всё работает в случае если все наши точки сидят на одном провайдере и в одном населенном пункте. ХЗ, сможет ли например, какой-то гигант типа Билайна сгородить VLAN между разными своими филиалами/городами, но думается мне, что это будет стоять ещё более дополнительных денег
__________________
все "спасибы" - в приват и в репутацию! не засоряйте форум!!!!
~~~~~~~~~~~~~~~~~~~~~~

The time has come it is quite clear, our antichrist is almost already here.
M.M.
Plague вне форума  
Старый 30.08.2016, 17:09     # 15
metrim
Full Member
 
Регистрация: 02.10.2003
Пол: Male
Сообщения: 869

metrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форуме
Цитата:
Сообщение от Plague Посмотреть сообщение
По-моему, не доходит главного
Скорее ИМХО тут каждый о своей специфике говорит

У меня ситуация: есть сеть предприятия, в которой стоит сервер, контроллер домена ПК, оборудование и пр. Все это дело находится за несколькими NAT , с весьма недружелюбными сисадминами, которые препятствовать мне не будут ,но и помогать - отказываются. Прикидыываются валенками. Что тут, отчего и почему - особенности гиганской и слабо контролируемой организации. Резюме: никакой возможности прописать маршруты извне к "сети предприятия" - у меня нема, соответственно и сервер ОпенВПН внутри сети существовать просто не может, никто "извне" - к нему не достучится.
До кучи еще и весь канал "сети предприятия" в интернет - крайне неустойчив. Када угодно его могут просто по хотелке обрубить на неустановленное время

Так же, в рамках развития инфраструктуры я обзавелся:

Таким образом мне нужно обеспечить синхронизацию с "сетью предприятия" , а так же автономную работы и СП и "внешних" серверов в случае разрыва связи.

Разумеется, в случае контрактного провайдера и адекватного админа - не приходилось бы колхозить это вот непонятное, но имеем то чт оимеем и в течении уже многих лет ситуация никак не меняется.
__________________
Если ты никого не боишься, значит ты самый страшный
metrim вне форума  
Старый 31.08.2016, 00:17     # 16
Plague
Administrator
 
Аватар для Plague
 
Регистрация: 06.05.2003
Адрес: Московская Подводная Лодка
Пол: Male
Сообщения: 12 026

Plague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague Демиург
Plague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague Демиург
а, ну тогда да, если за NAT не пробиться, выход только один: внешний сервер, в который все остальные будут стучаться.

на всякий случай: для того чтоб поднять несколько серверов/клиентов на одной машине - не нужно ставить несколько экземпляров приложения. Сколько оно файлов *.ovpn (для виндового варианта) в своей директории config найдет - столько соответственно конфигов и будет обслуживать. Хоть десяток серверов и десяток клиентов.

ещё рекомендуется поднять ему приоритет на максимум:
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN]
"priority"="HIGH_PRIORITY_CLASS"
[HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN-GUI]
"priority"="HIGH_PRIORITY_CLASS"
для винды
Код:
openvpn_flags="--nice -20"
для никсы.
__________________
все "спасибы" - в приват и в репутацию! не засоряйте форум!!!!
~~~~~~~~~~~~~~~~~~~~~~

The time has come it is quite clear, our antichrist is almost already here.
M.M.
Plague вне форума  
Старый 31.08.2016, 04:44     # 17
metrim
Full Member
 
Регистрация: 02.10.2003
Пол: Male
Сообщения: 869

metrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форуме
Цитата:
Сообщение от Plague Посмотреть сообщение
на всякий случай: для того чтоб поднять несколько серверов/клиентов на одной машине - не нужно ставить несколько экземпляров приложения.
Я тоже так думал
Однака:
Цитата:
All TAP-Windows adapters on this system are currently in use.
Exiting due to fatal error
Типа програма цстановила ток один адаптер, а откедова дополнительные то брать?

добавлено через 10 минут
Кстати, а какими параметрами можно управлять присвоением айпи подключающихся к серверу клиентов, что бы хотя бы изобразить более-менее статическую адресацию?

добавлено через 11 минут
Ну и вообще: где почитать краткои нубо-доступно по настройкам ОпенВПН DHCP параметров, прописыванию DNS, маршрутов, изоляции клиентов и т.д.?
Что то совсем простое, доступное далекому от айти человеку, т.е. мне
__________________
Если ты никого не боишься, значит ты самый страшный
metrim вне форума  
Старый 31.08.2016, 11:32     # 18
Borland
СуперМод
IMHO Консультант 2005-2009
 
Аватар для Borland
 
Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 377

Borland - Гад и сволочь
Цитата:
Сообщение от metrim Посмотреть сообщение
откедова дополнительные то брать?
Пуск->Все программы->TAP-Windows->Utilities->Add a new TAP virtual ethernet adapter (от имени администратора под осями свежее чем 2003 сервер).
Рекомендую переименовать TAP-адаптеры из стандартного "Подглючение по локальной сети N" во что-нибудь типа "TAP_N". Для удобства. Используется в конфигах
Цитата:
# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel if you
# have more than one. On XP SP2 or higher,
# you may need to selectively disable the
# Windows firewall for the TAP adapter.
# Non-Windows systems usually don't need this.
dev-node Tap_0
На каждый клиентский и на каждый серверный конфиг требуется отдельный TAP-адаптер.

Цитата:
Сообщение от metrim Посмотреть сообщение
а какими параметрами можно управлять присвоением айпи подключающихся к серверу клиентов, что бы хотя бы изобразить более-менее статическую адресацию?
В конфиге сервера
Цитата:
# Maintain a record of client <-> virtual IP address
# associations in this file. If OpenVPN goes down or
# is restarted, reconnecting clients can be assigned
# the same virtual IP address from the pool that was
# previously assigned.
ifconfig-pool-persist ipp.txt
Файлик (в данном случае ipp.txt) будет сохранять соответствие IP клиенту.
Сервер будет использовать первый IP из сети, задаваемой параметром
Цитата:
# Configure server mode and supply a VPN subnet
# for OpenVPN to draw client addresses from.
# The server will take 10.8.0.1 for itself,
# the rest will be made available to clients.
# Each client will be able to reach the server
# on 10.8.0.1. Comment this line out if you are
# ethernet bridging. See the man page for more info.
server 192.168.11.0 255.255.255.0
Остальные будут выделяться клиентам.
Цитата:
Сообщение от metrim Посмотреть сообщение
где почитать
Например тут и тут.
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила!
Распространенье наше по планете
Особенно заметно вдалеке:
В общественном парижском туалете
Есть надписи на русском языке

В. Высоцкий

Borland вне форума  
Старый 03.09.2016, 06:45     # 19
metrim
Full Member
 
Регистрация: 02.10.2003
Пол: Male
Сообщения: 869

metrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форумеmetrim Популярный человек на этом форуме
Ок, спасибо всем откликнувшимя !
Разбираюсь, вроде работает, но подглючивает зверски.
Рытье в интернете натнуло еще на идею попытаться пролезть через ipv6, много многообещающих описаний по этому поводу с применением gogoCLIENT , только сам сервис уже вроде недостпен.
Какие есть варианты по данному поводу ?
__________________
Если ты никого не боишься, значит ты самый страшный
metrim вне форума  
Старый 03.09.2016, 10:27     # 20
Plague
Administrator
 
Аватар для Plague
 
Регистрация: 06.05.2003
Адрес: Московская Подводная Лодка
Пол: Male
Сообщения: 12 026

Plague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague Демиург
Plague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague Демиург
Цитата:
Сообщение от metrim Посмотреть сообщение
подглючивает зверски
оно не любит SMB-шары с большим к-вом файлов в них (причем именно читать. если копировать туда или оттуда "вслепую", то всё нормально вроде), да и как написал SinClaus, широковещательные пакеты, которыми страдает Netbios. Я бы посоветовал его вырубить, и юзать обращения по IP, если возможно.
__________________
все "спасибы" - в приват и в репутацию! не засоряйте форум!!!!
~~~~~~~~~~~~~~~~~~~~~~

The time has come it is quite clear, our antichrist is almost already here.
M.M.
Plague вне форума  

Теги (метки)
openvpn, vpn

Опции темы

Ваши права в разделе
Вы НЕ можете создавать новые темы
Вы не можете отвечать в темах.
Вы НЕ можете прикреплять вложения
Вы НЕ можете редактировать свои сообщения

BB код Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Часовой пояс GMT +4, время: 18:47.




Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.