Выделенный сервер своими руками

Уважаемый Админ.
Статья то хорошая!
Но, у меня тоже "service openvpn start" выдает ошибку:[FAILED]
вот что говорит лог
pitomnik openvpn[8419]: Options error: --server directive network/netmask combination is invalid
Oct 18 09:14:29 srv openvpn[8419]: Use --help for more information.
Oct 18 09:14:29 srv openvpn: failed

А у меня не получается выполнить это "service openvpn start" выдаёт ошибку: [FAILD]

Что делать подскажите?

Отличная статья, после некоторого шаманства установил OpenVPN на CENTOS 5. Единственное остался вопрос, каким образом отключить логи подключения? Я сделал так, (может этого не достаточно) прописав в конфигурацию сервера (server.conf) следующие строки
log /dev/nullы
status /dev/null
log-append /dev/null
verb 0

У меня после подключяение openVPN не открываются никакие сайты, кроме тех которые размещены на самом сервере. Пинг к серверу есть.

//Такая проблема часто возникает когда на сервера не настроен bind.
bind поставил, настроил, как описано тут - http://server-tuning.info/bind/setting-up.html не помогло.

// Если же нет, то проблема скорее всего в маршрутизации.
Тогда значит маршпутизацию нада настривать? У меня CentOS а клиент WinXP.

Отличная статья!
автору спасибо. установил с первого раза на старую федору.

Zakachkin, воспользуйтесь
openssl dhparam -out dh1024.pem 1024
полеченный файл (dh1024.pem) положите в config

Вроде всё по инструции делал, но все равно что-то ему не хватает дистр ASPLinux!
Thu Jan 8 14:23:27 2009 Cannot open dh1024.pem for DH parameters: error:02001002:system library:fopen:No such file or directory: error:2006D080:BIO routines:BIO_new_file:no such file

Очень хорошая статья, автору +1.
Настроил openvpn сервер на Mandriva 2009, клиенты коннектятся с виндовых машин. Очень пригодились дополнения dr.gopher'а. Правда есть одна небольшая проблема низкая скорость, но это позже...

Отличная статья, спасибо, установил с Вашей помощью ВПН-сервер на WinXP.
Правда, не могу понять, почему получается в итоге такая низкая скорость между компами - без ВПН скорость минимум 200кб/сек, а через ВПН - не более 40кб/сек(.
Производительность компов неплохая, на процессорах Core2Duo...

Салют, хорошая статья, хотя я всё сделал сам, но есть одно но! всё красиво коннектится, но когда я проверяю IP, то мне показывают IP моей тачки, а не сервака. Я так понял проблемы где то в NAT настройках, хотя как мог всё настроил. Может есть какие нить мысли по этому поводу?

Статья удачная ! !! Ставил на Mandrive и на SUSE все нормально стало, но наткнулся на проблемку: каждый клиент при конекте к серверу получает 1 и тот же IP и либо первого выкидует, либо второй войти неможет.
Подскажите в какую сторону смотреть
klient.log
Thu Jul 31 14:25:17 2008 [rud] Peer Connection Initiated with 111.111.111.111:5190
Thu Jul 31 14:25:18 2008 SENT CONTROL [rud]: 'PUSH_REQUEST' (status=1)
Thu Jul 31 14:25:18 2008 PUSH: Received control message: 'PUSH_REPLY,route 10.10.10.0 255.255.255.0,redirect-gateway def1,dhcp-option DNS,route 10.10.10.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 10.10.10.6 172.16.1.5'
Thu Jul 31 14:25:18 2008 Options error: --dhcp-option: unknown option type 'DNS' or missing parameter
Thu Jul 31 14:25:18 2008 OPTIONS IMPORT: timers and/or timeouts modified
Thu Jul 31 14:25:18 2008 OPTIONS IMPORT: --ifconfig/up options modified
Thu Jul 31 14:25:18 2008 OPTIONS IMPORT: route options modified
Thu Jul 31 14:25:18 2008 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Thu Jul 31 14:25:18 2008 netsh interface ip set address "VPN" static 10.10.10.6 255.255.255.252

Ставлю все это богатсво на дебиане/ статья классная? но наступил я на грабли/ Уже второй раз и на разные/ Первый раз был когда в своем дебиане в следствии своей новичковости я поставил опенвпн как написано в этой статье make install и т/д надо было apt-get юзфть а то ничего не запускается!!! так как ручками не умею чистить а make uninstall не проканало решил переставить систему благо нечего было терять кроме 3-4 часов :) теперь вот така я трабла!
SERVER5:/etc# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
SERVER5:/etc# iptables-save > /etc/sysconfig/iptables
bash: /etc/sysconfig/iptables: No such file or directory
Ну нету у меня такой папки::( да и chkconfig --list iptables не канает/+ в начале chkconfig --add openvpn тж не сканало!!! ПРи этом все время пишет что нет такой кманды chkconfig какие будут предложения!!! Буду оч признателен

А для UNIX-VPS какие настройки не подскажите?

спасибо, всё работает!

а вот если я куплю дополнительный IP к своей vps, то можно вся организовать так, чтобы я к впн коннектился на один IP, а на сайтах везде светился второй?

при генерации ключа ./build-key client получается файл client.crt размером 0 байт
вроде так не должно быть?
и при попытке запустить пишет что не может загругить этот сертификат.

den says:

каждый пятый пакет теряется. что бы это могло быть?

Возможно надо поиграться с tun-mtu 1500.
1. Цифра на сервере и на клиенте должна совпадать.
2. Проконсультируйтесь у провайдера, какой mtu лучше поставить. Как правило они называют рату тройку нужных вариантов.
Удачи.

К сожалению на данный момент не располагаю достаточным количеством времени, для того чтобы написать несколько заметок. Как только появится время, с удовольствием их продолжу.

Тут кто-то есть вообще?

Добрый день!

Когда следует ожидать решения упомянутого выше подхода?

> "...как сделать так чтоб вместо копирования клиенту 3 файлов с ключами, обходиться тока одним .p12 файлом?... "

каждый пятый пакет теряется. что бы это могло быть?

XP - моя машинка,
server - openvpn-сервер на Linux,
host - удаленная тачка за сервером

------ ping ------

1. XP -> host = пакет теряется
2. XP -> server = все ОК!
3. server -> host = все ОК!

------ tcpdump (при пинге 3) ------

tap0 - интерфейс на меня
xxx0 - интерфейс на инет

XP -1-> tap0 -2-> xxx0 -3-> host

host -4-> xxx0 -5-> tap0 -6-> XP

из 10 пакетов 2 (всегда!) не фиксируются в точке 6.
т.е. уходят ВСЕ пакеты, на обратном пути теряется пакет в точке 5.

openvpn и свою тачку перегружал, фаервол на себе выключал - ниче не помогает.

в kern.log при этом появляется:

kernel: [5113008.397000] Inbound IN=xxx0 OUT=tap0 SRC=host DST=172.10.10.4 LEN=60 TOS=0x00 PREC=0x00 TTL=251 ID=16518 PROTO=ICMP TYPE=0 CODE=0 ID=512 SEQ=46082

Уважаемый dr.gopher !!!
Меня очень радует что на мой сайт заходят такие люди как Вы!!! Я горд этим! Побольше бы таких посетителей! Спасибо Вам за ценные и совершенно верные дополнения к моей заметке.

У меня такая проблема, когда запускаю VPN:
Sat Jan 19 07:42:38 2008 Note: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Sat Jan 19 07:42:38 2008 Cannot allocate TUN/TAP dev dynamically

Когда modprobe tun вот что:
FATAL: Could not load /lib/modules/2.6.9-023stab040.1-smp/modules.dep: No such file or directory

Что делать??????

Хорошая статьтья. Спасибо!

Плохо только, что автор не дотянул статью до инструкции, а написал наполовину обзорную. :-)

Опишу грабли на которые наступил я. Тем самым отвечу на несколько вопросов которые задавались выше:
1. Примеры минимальных конфигов:

1.1 Сервер:
dev tap
proto tcp
server 10.0.3.0 255.255.255.0
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
proto tcp
port 15000
user openvpn
group openvpn
comp-lzo
verb 5

1.2 Клиент:
dev tap
proto tcp
remote 194.44.44.32
port 15000
client
dh "C:\\Program Files\\OpenVPN\\config\\ dh1024.pem "
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\client2.crt"
key "C:\\Program Files\\OpenVPN\\config\\client2.key"
comp-lzo
verb 3

2. Грабли 1 !!! - server 10.0.3.0 255.255.255.0 , последняя цифра IP адреса 0.
Иначе сервер не стартует! Следовательно IP сервера будет 10.0.3.1 клиентов последующие.

3. Грабли 2!!! - Конфиг в линксе server.conf Если он отсутствует в директории /etc/openvpn, либо случайно назван как на виндовом сервере server.ovpn, сервер при старте (service openvpn start) говорит ОК, но на самом деле он не стартует!
У меня при рабочем сервере –
[root@web openvpn]# service openvpn status
Status written to /var/log/messages

4. Грабли 3!!! Указание пути в винде вот в таком формате - "C:\\Program Files\\OpenVPN\\config\\client2.key"

5. Габли 4!!! Скрипты для генерации ключей тут - ./usr/share/openvpn/easy-rsa/2.0/, для вервии openvpn 2.09.

6. Єто уже для облегчени жизни. Добаляем в авто загрузку -
/sbin/chkconfig --level 345 openvpn on (Rad Hat, Fedora Core).

7. Если сервер не стартует. Смотрим tail –f /var/log/messages

8. Хорошая статья, но найти удалось только в кеш Гугла.
http://209.85.129.104/search?q=cache:1TqBAdRF7L0J:https://zloy.org/news_...

Вот пожалуй и все. Всем удачи.

очень хорошая, доходчивая статья. а я вот спросить хотел, мож кто посоветует где можно купить недорого дедик.

TCP/UDP: Socket bind failed on local address 100.100.100.100:1194: Cannot assign requested address

при запуске выдает такую вот ошибку.
уже задавали вопрос.. никто так и не объяснит? как это лечить

У вас не установлен компилятор языка C. Его необходимо поставить командой:
yum install gcc gcc-c++

[root@serv src]# cd openvpn-2.0.7
[root@serv openvpn-2.0.7]# ./configure
checking for ifconfig... /sbin/ifconfig
checking for ip... /sbin/ip
checking for route... /sbin/route
checking build system type... i686-pc-linuxoldld
checking host system type... i686-pc-linuxoldld
checking target system type... i686-pc-linuxoldld
checking for a BSD-compatible install... /usr/bin/install -c
checking whether build environment is sane... yes
checking for gawk... gawk
checking whether make sets $(MAKE)... no
checking for gcc... no
checking for cc... no
checking for cc... no
checking for cl... no
configure: error: no acceptable C compiler found in $PATH
See `config.log' for more details.
[root@serv openvpn-2.0.7]# make
-bash: make: command not found

в чем у меня может быть проблема?

Конечно же нет. Я указываю какие ошибки могут возникнуть при инсталляции наиболее часто. И как их решать.

Не совсем понял описанную хронологию установки:

> ./configure
> После чего получаем ошибку такого вида:
> LZO library available from http://www.oberhumer.com/opensource/lzo/
> configure: error: Or try ./configure –disable-lzo
> Это значит что у нас в системе нет библиотеки lzo с помощью которой происходит компрессия и декомпрессия нашего > трафика в реальном режиме времени. лезем на соответствующий сайт, качаем библиотеку и ставим:

Т.е сначала нужно добиться указаной ошибки, а потом ставить по нормальному, или как?

К сожалению с Firehol не разбирался. Поэтому не смогу Вам помочь. :-(

У меня для настройки IPTables стоит Firehol, то есть ручные правила для IPTables он игнорирует.
Достаточно ли одного этого правила
[b]iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE[/b]
для того чтобы пакеты от клиентской машины попадая на наш выделенный сервер
могли уйти в Интренет и соответственно возвращались назад.
Может кто знает как это правило правильно прописать в FIREHOL?
А то у меня коннект проходит, IP выдается, а запросы через сервер не идут.

млин не получается с xp зайти , на сервере все гуд установилось а вот дома не подключен кабель пишет ))) наверно ip какието неправильно вписал... не получается

И еще. У меня обратная ситуация. Т.е. серв. надо ставить на Windows, а клиент на Linux. Может поможете чем??? А то здесь все конечно подробно написано, но в моем случае я все таки без помощи обойтись не смогу)))

А у меня такой вопрос: А если сервер не подключен, то клиент постоянно будет пытаться достучаться до него?? и тратить много трафика?? (клиентов мне надо поставить на машины с gprs модемами)

на XP

винды XP-шные. Лан попробую сёня выкачать CentOS 4.
А ты на CentOS 5 не пробовал ставить?

На CentOS 4.x ставиться на ура без проблем. Людям на debian ставил тоже без проблем. А винды какие? XP или 2000?

у меня стоят 6 машин виндовых, на всех пробовал... всё равно пишет 10 мб/с. Ну не может чтобы на всех клиентах одинаково было. А можно каким нить образом изменить скорость tap0 адаптера. Если конектить две машины кабелем на одной скорость 10/100 а на второй 10/100/1000, то сеть будет максимум 100, так что я думаю дело не в виндовых клиентах. В инете находил намёки на это, но видимо это было на старые версии опенвпн. Там повышали скорость до гб.

З.Ы. sever.conf выучил наизусть, только вот про скорость там ничего нет. openvpn брал 2.0.9 и 2.1_rс4 ставил из rpm пакетов т.к. мандрива упоно не хотела переваривать исходники. Может посоветуешь систему какую нить на которой эта штука работает.

Смотрите тогда клиентские машины. С других машин не пробовали подключаться? Возможно на клиентской стороне проблема.

причём скорость 10 мб/с показывает на виндовых машинах у TAP-WIN32 virtual ethernet adapter-a, на linuxe сетевая реалтек 8139 встроенная

Сложно судить почему скорость маловата. Вариантов много. Например слабый компьютер.
Для примерной оценки скорости работы openvpn можно сделать следующее:
на сервере где установлен openvpn сервер выполняем команду:
openssl speed bf-cbc
где bf-cbc - это метод шифрования. По умолчанию шифрование производится с помощью blowfish алгоритма.
По результатам теста можно оценить максимальную скорость.
Это один из вариантов.

Поставил OpenVPN на Linux Mandriva соединение есть, файлики передаёт. только одна проблема, скорость подключения показывает 10Мб/с, при этом скорость скачивания файлов 94 кб/с. При такой скорости 1С вообще отказывается работать. Подскажите как увеличить скорость!

Такая проблема часто возникает когда на сервера не настроен bind. Попробуйте после установки соединения пропинговать сначала собственный сервер а потом к примеру google.com по одному из его ip адресов. Например:
ping 72.14.207.99
Если пинги проходят, то проблема явно в настройке bind на сервере. Если же нет, то проблема скорее всего в маршрутизации.

Что то страное. Вроде все поставилось, служба в линухе запускается, опенвпн-гуи присоединяется к серверу, но ни один сайт не грузится.

Возможно, не совсем в тему, но у меня в ходе выполнения установки по этому сценарию возникла проблема: сервер не стартует. Система centos. В чем может быть проблема?
dmesg |grep -i openvpn
ничего не выдает

пробовал ставить socks-сервер, но он при инсталяции ругается на отсутствие libsocket в системе. Может ли в этом быть причина проблемы с openvpn?

[...] одной из предыдущих заметок я описал простую установку OpenVPV. Судя по количеству комментариев - заметка реально [...]

Всегда пожалуйста! :)

Действительно "замкнутый круг":) Придется генерить заново. Спасибо за ответ!

ca.key не требуется для клиентов, он нужен только для сервера, но без него сгенерировать новые ключи никак не получится. А если сгенерировать новый ca.key, то опять же сгенерится новый ca.crt, который нужен всем. Вот такой замкнутый круг. :( Поэтому, если клиентов немного, то лучше все сгенерировать по новой.

Хорошая статья:) Вопрос у меня такой:
Достался мне в наследство уже настроеный openvpn. Кинулся я делать ключи для клиентов и обнаружил, что ca.crt у меня есть, а вот ca.key нет......
Он вообще участие при подключении пользователей принимает или только в создании сертификатов?
Можно ли как-то сформировать новый сa.key так что бы старые клиентские ключи продолжали действовать?