Jump to content
  • 0
Александр Ермоленко

Динамические адреса клиентов на OpenVPN сервере

Question

В конфиге OpenVPN сервера на Keenetic 4G стоит следующее (скопировано из статьи по настройке😞
 

# 10.1.0.1 is our local VPN endpoint (office).
# 10.1.0.2 is our remote VPN endpoint (home).
ifconfig 10.1.0.1 10.1.0.2

В конфиге клиента (оттуда же, из статьи) наоборот: ifconfig 10.1.0.2 10.1.0.1

Соответственно сервер ВСЕМ КЛИЕНТАМ выдает один и тот же 10.1.0.2 😥

Подскажите пожалуйста: что прописать в конфиге сервера и клиентов, чтобы они получали динамические адреса из пула 10.1.0.2-99?

Share this post


Link to post
Share on other sites

22 answers to this question

Recommended Posts

  • 0

Вы видимо используете соединение точка-точка. Делайте тогда отдельные подключения для каждого клиента. Для динамических адресов делайте сервер с сертификатами.

Share this post


Link to post
Share on other sites
  • 0

Да, я использовал инструкцию по настройке соединения между двумя Keenetic.

 

2 minutes ago, Кинетиковод said:

Делайте тогда отдельные подключения для каждого клиента.

Как это сделать, подскажите пожалуйста? Свой сервер для каждого клиента создавать?

3 minutes ago, Кинетиковод said:

Для динамических адресов делайте сервер с сертификатами.

Начинаю прозревать, спасибо ;-)

Хотя первый вариант меня больше устраивает свой простотой. Клиентов всего 3, поэтому может его и оставлю, когда пойму как. 

Share this post


Link to post
Share on other sites
  • 0
2 минуты назад, Александр Ермоленко сказал:

Свой сервер для каждого клиента создавать?

Соединение точка-точка трудно назвать сервером. Если вам нужно просто подключить три клиента, то создайте три соединения.

Например "10.1.0.1 10.1.0.2", "10.1.0.3 10.1.0.4" и "10.1.0.5 10.1.0.6". На каждое соединение лучше сделать свой ключ. 

Хотя вы можете получить динамический пул без лишних трудностей используя другой сервер, например L2TP.

Share this post


Link to post
Share on other sites
  • 0

Теперь почти все понятно, Благодарю!

Остался вопрос защищенности: чтобы  L2TP зашифровать, нужно еще поверх городить IPSec, правильно? Это сильно усложняет задачу?

Share this post


Link to post
Share on other sites
  • 0
14 минуты назад, Александр Ермоленко сказал:

чтобы  L2TP зашифровать, нужно еще поверх городить IPSec, правильно?

Если вы используете сервер Кинетика, то он работает в режиме L2TP/IPSec по умолчанию. От вас требуется только задать пароль для пользователей, если их несколько и привязать их адреса, если в этом есть необходимость. Также можно задать подсеть сервера. Кроме того, на Ультре L2TP будет летать, а OpenVPN ползать.

Но вот если у вас реально до сих пор стоит v2.06, то вам нужно будет обновиться. Перед обновлением сохраните старую прошивку и конфиг на всякий случай. Возможно на 2.16 вам придётся настроить всё с нуля.

Share this post


Link to post
Share on other sites
  • 0

Чтобы OpenVPN выдавал разные ip

на сервере конфиг вида

topology subnet
server 10.8.0.0 255.255.255.0

а не

ifconfig 10.1.0.1 10.1.0.2

Share this post


Link to post
Share on other sites
  • 0
14 минуты назад, r13 сказал:

topology subnet
server 10.8.0.0 255.255.255.0

С простым ключом получим:

Options error: --server and --secret cannot be used together (you must use SSL/TLS keys)

В доке для tls конфига.

Share this post


Link to post
Share on other sites
  • 0
9 минут назад, Кинетиковод сказал:

С простым ключом получим:


Options error: --server and --secret cannot be used together (you must use SSL/TLS keys)

В доке для tls конфига.

Да, secret это для точка-точка, для полноценного сервера ca, ключи, сертификаты...

Про это есть в - 2 Конфигурация с использованием двусторонней TLS аутентификации.

https://help.keenetic.com/hc/ru/articles/360000880359

Edited by r13

Share this post


Link to post
Share on other sites
  • 0

Это все настраиваю на Keenetic 4G (KN-1210)  Версия ОС3.1.10.

33 minutes ago, Кинетиковод said:

Если вы используете сервер Кинетика, то он работает в режиме L2TP/IPSec по умолчанию

Хорошо, вижу что когда выбирал какой VPN ставить, информации было недостаточно. Решено: ставлю L2TP/IPSec.

 

28 minutes ago, Кинетиковод said:

Но вот если у вас реально до сих пор стоит v2.06

Это все настраиваю клиенту на новом Keenetic 4G (KN-1210)  Версия ОС3.1.10.

А вот по поводу моего "старенького" Ultra: где взять прошивку поновее не подскажете? Можно бета. Автоматом не выдает :(  image.png.44176a5a0a0091d48aafb0e26cef8e58.png

 

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, Александр Ермоленко сказал:

А вот по поводу моего "старенького" Ultra: где взять прошивку поновее не подскажете? Можно бета. Автоматом не выдает

По этой доке https://forum.keenetic.net/announcement/5-где-взять-тестовые-прошивки/

можно перейти на 2.11 или 2.16

Share this post


Link to post
Share on other sites
  • 0
9 минут назад, r13 сказал:

можно перейти на 2.11 или 2.16

На 2.11 l2tp сервера в вебморде нет. Лучше сразу на 2.16. С памятью у Ультры проблем нет.

Share this post


Link to post
Share on other sites
  • 0
15 минут назад, Александр Ермоленко сказал:

KN-1210

С L2TP/IPSec c учетом KN-1210 тоже надо посмотреть.

В нем флеша мало, надопочти все выкидывать чтоб IPSec влез. Но если влезет, то и в настройке проще, и работает быстрее OpenVPN

 

Share this post


Link to post
Share on other sites
  • 0
15 hours ago, r13 said:

В нем флеша мало, надопочти все выкидывать чтоб IPSec влез.

Так и случалось. При чем как-то странно: когда было 53% (типа 35 из 64 Мбайт) ругался на нехватку памяти. Поудалял все что можно до 30/64 Мбайт и после установки получилось 48% (31/64 Мбайт). Т.е. вопрос был 1 мегабайта? 😯

Share this post


Link to post
Share on other sites
  • 0
4 минуты назад, Александр Ермоленко сказал:

Так и случалось. При чем как-то странно: когда было 53% (типа 35 из 64 Мбайт) ругался на нехватку памяти. Поудалял все что можно до 30/64 Мбайт и после установки получилось 48% (31/64 Мбайт). Т.е. вопрос был 1 мегабайта? 😯

Не, вопрос не в оперативке, а во флеше, которого 8МБ

Share this post


Link to post
Share on other sites
  • 0
On 11/6/2019 at 5:27 PM, Кинетиковод said:

вы можете получить динамический пул без лишних трудностей используя другой сервер, например L2TP.

Без трудностей видимо никак ;-) 

Настроил по инструкции легко, но подключится не могу. Такое чувство что не пропускает ADSL модем, который собственно и обеспечивает выход в интернет, не смотря на то, что Keenetic у него в DMZ. 

В общем снова нужна помощь, но поскольку проблема перешла в другую плоскость, стоит ли продолжать обсуждение здесь, или лучше создать новую тему?

Share this post


Link to post
Share on other sites
  • 0
57 минут назад, Александр Ермоленко сказал:

что не пропускает ADSL модем

На чьей стороне модем, сервера или клиента? Если сервера, то почитайте тут.

Share this post


Link to post
Share on other sites
  • 0
27 minutes ago, Кинетиковод said:

На чьей стороне модем, сервера или клиента? Если сервера, то почитайте тут.

Статья многое прояснила, благодарю!  Модем на стороне сервера, Keenetic у него в DMZ. OpenVPN работал без проблем. 

Теперь L2TP/IPSeс к которому Мобильный клиент  подключается, а Windows - нет. 

Остается я так понимаю PPTP, SSTP или снова OpenVPN😉 Правильно? 

Что выбрать? 

Share this post


Link to post
Share on other sites
  • 0
18 минут назад, Александр Ермоленко сказал:

Мобильный клиент  подключается, а Windows - нет. 

А коммент к статье не помог?

19 минут назад, Александр Ермоленко сказал:

Остается я так понимаю PPTP, SSTP или снова OpenVPN?

Если у вас ADSL 8/1, то конечно городить L2TP было не обязательно, да и память на 4G он всю сожрал. Тогда PPTP или  OpenVPN. Первый небезопасен, но прост в настройке, второй наоборот. SSTP ненадёжен, его лучше не надо и с мобильным клиентом там проблемы.

Share this post


Link to post
Share on other sites
  • 0
5 minutes ago, Кинетиковод said:

А коммент к статье не помог?

Если у вас ADSL 8/1, то конечно городить L2TP было не обязательно, да и память на 4G он всю сожрал. Тогда PPTP или  OpenVPN. Первый небезопасен, но прост в настройке, второй наоборот. SSTP ненадёжен, его лучше не надо и с мобильным клиентом там проблемы.

И какой тогда использовать? 😁

Share this post


Link to post
Share on other sites
  • 0
44 minutes ago, Кинетиковод said:

А коммент к статье не помог?

Мы комменты не читаем обычно: мы их сами пишем :)

RegValue: AssumeUDPEncapsulationContextOnSendRule = 2 в реестр на Windows 7 сотворил чудо! 

UPD: На Win 10 также работает.

Немного позже еще на Microtik тест предстоит.

Edited by Александр Ермоленко
Тест на Win10

Share this post


Link to post
Share on other sites
  • 0
47 minutes ago, Кинетиковод said:

Если у вас ADSL 8/1, то конечно городить L2TP было не обязательно, да и память на 4G он всю сожрал. Тогда PPTP или  OpenVPN. Первый небезопасен, но прост в настройке, второй наоборот. SSTP ненадёжен, его лучше не надо и с мобильным клиентом там проблемы.

Вы не Кинетиковод, нет, Вы КинетиковЕд! Просто кладезь знаний, я  в восхищении ;-)

И это был Ваш однатысячапервый пост, с юбилеем! 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...