У кого OpenVPN работает под Linux отзовитесь!

[vniias]

Есть несколько вопросов по настройке

[vasilich]

Проверил openVPN для Win32 работает,
ASPlinux10 kenel 2.6.12.asp
интерфейс тюнера поднят
установлен openvpn-2.0
скопирован ключи в /etc/openvpn/conf/
скопирован openvpn.init в /etc/init.d/
не нашол инструкций на данную тему, что делать дальше?

[s00r]

Проверил openVPN для Win32 работает,
ASPlinux10 kenel 2.6.12.asp
интерфейс тюнера поднят
установлен openvpn-2.0
скопирован ключи в /etc/openvpn/conf/
скопирован openvpn.init в /etc/init.d/
не нашол инструкций на данную тему, что делать дальше?

ну у мну все скопировано в /etc/openvpn/
т.е. :
ca.crt
.crt
.csr
.key
client.ovpn


сам client.ovpn такой:

client
dev tap
#dev tun
#dev-node /dev/net/tun
#dev-node /dev/tap
;proto tcp
proto udp
remote 80.81.208.66 55448
resolv-retry infinite
nobind
# Downgrade privileges after initialization (non-Windows only)
user root
group root
persist-key
persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;mute-replay-warnings
ca /etc/openvpn/ca.crt
cert /etc/openvpn/DepositI9040312.crt
key /etc/openvpn/DepositI9040312.key
ns-cert-type server
;tls-auth ta.key 1
;cipher x
#comp-lzo
verb 3
;mute 20

и робит
пускаем как
openvpn --config /etc/openvpn/client.ovpn

[Oleg Reva]

Есть несколько вопросов по настройке

Конфиги для linux:

904ый linux:

dev tap
port ?
proto udp
remote 80.81.208.66

comp-lzo
comp-noadapt

ifconfig ? 255.255.255.0

route-noexec
tun-mtu 1400
tls-client

ca ca.crt
cert ?.crt
key ?.key

ns-cert-type server
user nobody
group nobody
verb 4

AM22 linux:

dev tap
port ?
proto udp
remote 80.92.193.170

comp-lzo
comp-noadapt

ifconfig ? 255.255.255.0

route-noexec
tun-mtu 1400
tls-client

ca ca.crt
cert ?.crt
key ?.key

ns-cert-type server
user nobody
group nobody
verb 4

[vasilich]

Настроил, работает, иногда...
Теперь хочеться что б только прокси SQUID работающий на этой же машине ходил на спутник, а все и все остальное было по земле, потому как много пользователей играет в онлайне
таблица маршрутизации выглядит так:
[root@router ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
195.46.X16.X39  0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
80.81.208.66    195.46.X16.X39  255.255.255.255 UGH   0      0        0 ppp0
192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
195.46.X99.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
10.250.2X.0     0.0.0.0         255.255.255.0   U     0      0        0 tap0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth0
10.0.0.0        0.0.0.0         255.0.0.0       U     0      0        0 dvb0_0
0.0.0.0         195.46.X16.X39  0.0.0.0         UG    0      0        0 ppp0
после старта openvpn
route del default
ip route add default via 10.250.2X.1 src 10.250.2X.YYY и весь трафик начинает ходить по спутнику, перестает работать yahoo,ICQ,MSN,AIM, IRc-клиенты не соединяються, в онлайне игры с большоей задержкой, веб отлично, скорость приемлимая, по этому и такое желание, выхожу из положения, временно, дабовляя статичные маршруты к конккретным серверам через наземный шлюз, но все же не добавить....

[Oleg Reva]

Настроил, работает, иногда...
Теперь хочеться что б только прокси SQUID работающий на этой же машине ходил на спутник, а все и все остальное было по земле, потому как много пользователей играет в онлайне
....

В squid.conf:

udp_outgoing_address IP_адрес_своей_подписки
tcp_outgoing_address IP_адрес_своей_подписки

[vasilich]

так не получаеться, при дефолтном маршруте на землю, и такими опциями в сквиде, веб перестает ходить, если удалить дефолтный маршут и вставить на спутник, все начинает работать, но опять же только ко спутнику

[Oleg Reva]

так не получаеться, при дефолтном маршруте на землю, и такими опциями в сквиде, веб перестает ходить, если удалить дефолтный маршут и вставить на спутник, все начинает работать, но опять же только ко спутнику

default маршрут остается свой - наземный.
ip route add 10.250.2X.1 dev tap0 - командой прописать шлюз для спутникового инета.

Squid должен заработать.

[vasilich]

С такими опциями в SQUID-е и дефолтным маршрутом по земле, веб перестает работать.

[vasilich]

default маршрут остается свой - наземный.
ip route add 10.250.2X.1 dev tap0 - командой прописать шлюз для спутникового инета.
Squid должен заработать.

Предположим 10.250.20.1 это шлюз
тогда правльно было писать ip route add via 10.250.20.1 dev tap0
в конфиге Squid 2.5S14 после объявления acl дабовляем tcp_outgoing_address 10.250.20.222 mmm и udp_outgoing_address 10.250.20.222 mmm , где 10.250.20.222 адрес источника (интерфейса tap0) переконфигурируем squid и по идее все должно работать, но tcpdump -i tap0 -n молчит. А прокси сервер заявляет что не может получить ответ от сервера. В каких-то версиях Squid-а был баг с outgoing, решил проверить прописываю свой ип адрес наземного провайдера, работает. Так как загнать Squid в тунель OpenVPN?

[Rumba]

Конфиги для linux:

904ый linux:

dev tap
port ?
proto udp
remote 80.81.208.66

comp-lzo
comp-noadapt

ifconfig ? 255.255.255.0

route-noexec
tun-mtu 1400
tls-client

ca ca.crt
cert ?.crt
key ?.key

ns-cert-type server
user nobody
group nobody
verb 4

AM22 linux:

dev tap
port ?
proto udp
remote 80.92.193.170

comp-lzo
comp-noadapt

ifconfig ? 255.255.255.0

route-noexec
tun-mtu 1400
tls-client

ca ca.crt
cert ?.crt
key ?.key

ns-cert-type server
user nobody
group nobody
verb 4

А для Ямала неподскажешь? А то уже замучилсо. И если можно - пошагово. А то я на мандриве недавно

[Morozov]

А для Ямала неподскажешь? А то уже замучилсо. И если можно - пошагово. А то я на мандриве недавно

 
 
remote 80.81.208.66 55448
и есть Ямал  :hi:

[Rumba]

remote 80.81.208.66 55448
и есть Ямал  :hi:

 :eek:  :super:
На канал иди давай

[dmiceman]

блин, а что, что-то сегодня поломали? имею два тарифа -- ни под один не могу openvpn-ом зайти, при том что пол-года работало как часы (ямал).

в логах:

Dec  6 13:09:42 vvdm openvpn[16798]: TCP/UDP: Incoming packet rejected from 80.81.208.66:55448[2], expected peer address: 80.81.208.66:55464 (allow this incoming source address/port by removing --remote or adding --float)

а если добавить float -- начинает ругаться с уровня tls -- сеансовые ключи не совпадают (что кажется правильно).

[dmiceman]

поправка. может быть это была какя-то хитрая проблема с моей стороны, с libssl, будь она неладна. сейчас -- работает.