# OpenVPN - Помогите, пожалуйста, мне, глупому, настроить.

## FilimoniC

Добрый день!

Прошу помощи в настройке OpenVPN, так как у самого уже кипят мозги от документации - может, кто подкинет готовый вариант. Проблема не только в настройке OpenVPN, но и в прописывании маршрутов и прочего.

С чего все началось:

На работе захотелось поиграть в WoW, но почти все порты закрыты, сижу за NATом. Тут возникла идея сделать туннель до домашнего компа и играть через него. Дома - "Стрим", стоит роутер Asus WL500g Deluxe, за роутером - компьютер с одним сетевым интерфейсом на Gentoo 2008. У роутера IP "Реальный", но "Динамический", то есть раз в сутки он меняется на другой реальный. Прописан DynDNS.

Что нужно-то:

Нужно чтобы весь траффик шел через VPN, а дальше - в интернет. То есть, по сути, нужно чтобы рабочий компьютер стал как-бы компьютером, подключенным к домашнему роутеру внутри сети. На роутере нет ни возможности, ни желания поднять OpenVPN. Хотелось бы чтобы рабочий компьютер получал адрес от DHCP-сервера роутера, а не компьютера с Gentoo, чтобы возможен был проброс портов средствами только одного роутера (т.е. в Virtual Server добавляю правило что Port 2020 -> 172.20.1.101:2020, где 172.20.1.101 - IP-адрес рабочего компьютера, полученный при коннекте по VPN). Также нужна возможность одновременного подключения нескольких рабочих компьютеров.

Вопрос безопасности волнует меньше всего (возможна передача трафика в открытом виде, авторизация по самому простому методу, но с защитой от непрошеных гостей). Желательно наличие сжатия траффика.

Т.Е. VPN используется только для обхода ограничения на загрытые порты.

Как хотелось решить:

Решить решил через OpenVPN (по tcp). Методом тыка (тыка, почти не понимая что я делаю) добился того, чтобы все коннектилось, сервер пингует клиента и наоборот, но вот траффик дальше сервера не идет.

Что я прошу от вас, уважаемые:

Прошу помочь с настройкой от начала и до конца, то есть, показать рабочие примеры подобных решений.

- Конфиги openVPN (клиента и сервера)

- Настройки iptaples

- Настройки винды на рабочей машине (маршруты, приоритеты соединений)

Хотелось бы начать "с нуля", чтобы более подробно углубиться во все, но к сожалению, нет сил уже читать man'ы. Примеров подходящих, увы, не нашел.

Заранее спасибо!

----------

## Alex-X

А где ты собираешься поднимать VPN сервер ?

а то если у тебя на домашнем роутере динамическая IP и ты хочешь на нем поднять VPN - это плохая идея  :Smile: 

1. тебе для начала нужна реальная статическая IP на твой домашний роутер, и дальше на нем поднимать VPN сервер (только твой роутер ASUS WL 500g Delxe наверное такое не умеет) # LinkSys WRT54GL походу умеет (на него можно заливать линух - недавно цацкался с таким  :Smile:  ) #

2. Тебе нужно на офисе иметь реальную статическую IP и там поднимать сервак и настраивать свой роутер как клиент # L2TP & PPTP #

3. Можно воспользоваться платными VPN серверами  :Smile:  и только понастраивать свои машины как клиенты .

----------

## FilimoniC

 *Alex-X wrote:*   

> А где ты собираешься поднимать VPN сервер ?

 

На домашнем сервере, который находится за роутером. У роутера реальный IP, но динамический (т.е. обращение к нему идет, чтобы узнать IP пользуюсь DynDNS). Роутер "мой", так что любые пробросы возможны

 *Alex-X wrote:*   

> 
> 
> а то если у тебя на домашнем роутере динамическая IP и ты хочешь на нем поднять VPN - это плохая идея 
> 
> 1. тебе для начала нужна реальная статическая IP на твой домашний роутер, и дальше на нем поднимать VPN сервер (только твой роутер ASUS WL 500g Delxe наверное такое не умеет) # LinkSys WRT54GL походу умеет (на него можно заливать линух - недавно цацкался с таким  ) #

 

Поясните, пожалуйста.

Как я понимаю, необходимости в статическом IP нет, тк соединение и сертификаты(ключи) на это никак не завязываются. IP своего роутера я всегда знаю благодаря DynDNS. Как я сказал, IP реальный, но динамический. В дисконнекте при смене IP проблемы нет - пусть дисконнектится - это раз в сутки происходит. Так как сервер с OpenVPN-сервером находится прямо за ним, не вижу проблемы в пробросе порта. Работа по tcp, поэтому проблемы в том, что клиенты за натом тоже нет.

(Asus может, но опять-же через OpenVPN, плюс в него надо USB-диск втыкать тк своих кишок ему маловато - не хочу на роутере дабы не загружать его OpenVPN'ом)

upd:

Running an OpenVPN server on a dynamic IP address

While OpenVPN clients can easily access the server via a dynamic IP address without any special configuration, things get more interesting when the server itself is on a dynamic address. While OpenVPN has no trouble handling the situation of a dynamic server, some extra configuration is required.

The first step is to get a dynamic DNS address which can be configured to "follow" the server every time the server's IP address changes. There are several dynamic DNS service providers available, such as dyndns.org.

The next step is to set up a mechanism so that every time the server's IP address changes, the dynamic DNS name will be quickly updated with the new IP address, allowing clients to find the server at its new IP address. There are two basic ways to accomplish this:

Use a NAT router appliance with dynamic DNS support (such as the Linksys BEFSR41). Most of the inexpensive NAT router appliances that are widely available have the capability to update a dynamic DNS name every time a new DHCP lease is obtained from the ISP. This setup is ideal when the OpenVPN server box is a single-NIC machine inside the firewall.

Use a dynamic DNS client application such as ddclient to update the dynamic DNS address whenever the server IP address changes. This setup is ideal when the machine running OpenVPN has multiple NICs and is acting as a site-wide firewall/gateway. To implement this setup, you need to set up a script to be run by your DHCP client software every time an IP address change occurs. This script should (a) run ddclient to notify your dynamic DNS provider of your new IP address and (b) restart the OpenVPN server daemon.

The OpenVPN client by default will sense when the server's IP address has changed, if the client configuration is using a remote directive which references a dynamic DNS name. The usual chain of events is that (a) the OpenVPN client fails to receive timely keepalive messages from the server's old IP address, triggering a restart, and (b) the restart causes the DNS name in the remote directive to be re-resolved, allowing the client to reconnect to the server at its new IP address.

More information can be found in the FAQ.

 *Alex-X wrote:*   

> 2. Тебе нужно на офисе иметь реальную статическую IP и там поднимать сервак и настраивать свой роутер как клиент # L2TP & PPTP #
> 
> 3. Можно воспользоваться платными VPN серверами  и только понастраивать свои машины как клиенты .
> 
> 

 

Эти два варианта отпадают.

----------

## Alex-X

тогда возможен вариант :

сделать форвардинг портов роутера на домашний сервак (впн)

*******

мог бы показать топологию сети, а то сложно представить такую картину  :Smile: 

--------------------------------------------------------------------------------------------------

может проще настроить впн на роутере, а то как я понял нужно :

* - настроить VPN на клиентах по порту ХХХ

* - пустить через этот порт к твоему роутеру 

* - на роутере сделать форвардинг ХХХ порта на порт твоего VPN сервер

* - # dhcp , нафика он в таком случае ?  :Smile:  #

* - сделать на серваке виртуальный интерфей на него прикрутить VPN

* - и через iptables пустить с виртуального интерфейса обратно в иНет

-----------------------------------------------------------------------------------------------------

да это проще простого   :Wink:  

----------

## FilimoniC

Картинка топологии сети. http://img87.imageshack.us/img87/4976/99605148aa4.jpg

Суть такая: 

```
Зеленые линии - физический канал.

Желтые пунктирные - VPN-канал, от tap до tap

Компьютер "Workstation(Office)" справа, соединенный синим пунктиром - эффект, которого нужно добиться.  Также он должен получить на tap-устройстве IP-шник из разряда домашних (172.20.1.х)

ADSL-модем в данном случае особой роли не играет, тк является только транспортом, PPPoE поднимается на Asus Wl500g Deluxe, то есть "Реальный" IP висит на роутере.

DHCP-сервер стоит на роутере Asus WL500g Deluxe

OpenVPN-сервер стоит на Gentoo Server

Cisco 192.168.0.24 для настройки неподвластен, на нем же режутся все исходящие порты кроме "основных", на нем же стоит NAT.

```

 *Quote:*   

> * - настроить VPN на клиентах по порту ХХХ (Ну собсна, настроено. Хотелось бы настроить как можно проще, а остальные настройки отдавать через push с сервера. Думаю, не трудно)
> 
> * - пустить через этот порт к твоему роутеру (Сделано)
> 
> * - на роутере сделать форвардинг ХХХ порта на порт твоего VPN сервер (Сделано)
> ...

 

----------

## FilimoniC

Помогите, связь есть, IP получил.

Не пингует сервер по 172.20.8.x, соответственно ниче другого тоже не пингует.

Ничего кроме этого на системе не делал, подскажите, как настроить роутинг на сервере и клиенте, как прописать iptables

172.20.1.x - внутрення домашняя сеть (шлюз 172.20.1.1)

172.20.8.x - VPN-сеть

192.168.0 - рабочая сеть (шлюз 192.168.0.24)

server.conf

```
port 5190

proto tcp

;proto udp

dev tap

;dev tun

;dev-node MyTap

ca /etc/openvpn/config-myHomeLan/keys/ca.crt

cert /etc/openvpn/config-myHomeLan/keys/server.crt

key /etc/openvpn/config-myHomeLan/keys/server.key  # This file should be kept secret

dh /etc/openvpn/config-myHomeLan/keys/dh1024.pem

;server 172.20.8.0 255.255.255.0

ifconfig-pool-persist /etc/openvpn/config-myHomeLan/keys/ipp.txt

server-bridge 172.20.8.2 255.255.255.0 172.20.8.50 172.20.8.100

push "route 172.20.1.0 255.255.255.0"

push "route 172.20.2.0 255.255.255.0"

push "route 172.20.8.0 255.255.255.0"

;client-config-dir ccd

;route 192.168.40.128 255.255.255.248

;client-config-dir ccd

;route 10.9.0.0 255.255.255.252

;learn-address ./script

push "redirect-gateway"

push "dhcp-option DNS 172.20.1.1"

;push "dhcp-option WINS 10.8.0.1"

client-to-client

duplicate-cn

keepalive 10 120

;tls-auth ta.key 0 # This file is secret

cipher BF-CBC        # Blowfish (default)

;cipher AES-128-CBC   # AES

;cipher DES-EDE3-CBC  # Triple-DES

comp-lzo

max-clients 100

user nobody

group nobody

persist-key

persist-tun

status  /etc/openvpn/config-myHomeLan/keys/openvpn-status.log

log         /var/log/openvpn.log

;log-append  openvpn.log

verb 4

;mute 20

```

```
client

dev tap

proto tcp

remote xxx.homedns.org 5190

resolv-retry infinite

nobind

persist-key

persist-tun

ca ca.crt

cert filimonic-work.crt

key filimonic-work.key

cipher BF-CBC

comp-lzo

verb 3
```

openvpn.log

```
Fri Apr 25 12:13:54 2008 us=402737 Current Parameter Settings:

Fri Apr 25 12:13:54 2008 us=403434   config = '/etc/openvpn/config-myHomeLan/server.conf'

Fri Apr 25 12:13:54 2008 us=403483   mode = 1

Fri Apr 25 12:13:54 2008 us=403526   persist_config = DISABLED

Fri Apr 25 12:13:54 2008 us=403567   persist_mode = 1

Fri Apr 25 12:13:54 2008 us=403608   show_ciphers = DISABLED

Fri Apr 25 12:13:54 2008 us=403648   show_digests = DISABLED

Fri Apr 25 12:13:54 2008 us=403689   show_engines = DISABLED

Fri Apr 25 12:13:54 2008 us=403730   genkey = DISABLED

Fri Apr 25 12:13:54 2008 us=403773   key_pass_file = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=403814   show_tls_ciphers = DISABLED

Fri Apr 25 12:13:54 2008 us=403854   proto = 1

Fri Apr 25 12:13:54 2008 us=403894   local = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=403936   remote_list = NULL

Fri Apr 25 12:13:54 2008 us=403978   remote_random = DISABLED

Fri Apr 25 12:13:54 2008 us=404019   local_port = 5190

Fri Apr 25 12:13:54 2008 us=404060   remote_port = 5190

Fri Apr 25 12:13:54 2008 us=404100   remote_float = DISABLED

Fri Apr 25 12:13:54 2008 us=404141   ipchange = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=404181   bind_local = ENABLED

Fri Apr 25 12:13:54 2008 us=404222   dev = 'tap'

Fri Apr 25 12:13:54 2008 us=404263   dev_type = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=404304   dev_node = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=404345   tun_ipv6 = DISABLED

Fri Apr 25 12:13:54 2008 us=404386   ifconfig_local = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=404432   ifconfig_remote_netmask = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=404473   ifconfig_noexec = DISABLED

Fri Apr 25 12:13:54 2008 us=404513   ifconfig_nowarn = DISABLED

Fri Apr 25 12:13:54 2008 us=404554   shaper = 0

Fri Apr 25 12:13:54 2008 us=404595   tun_mtu = 1500

Fri Apr 25 12:13:54 2008 us=404635   tun_mtu_defined = ENABLED

Fri Apr 25 12:13:54 2008 us=404677   link_mtu = 1500

Fri Apr 25 12:13:54 2008 us=404718   link_mtu_defined = DISABLED

Fri Apr 25 12:13:54 2008 us=404758   tun_mtu_extra = 32

Fri Apr 25 12:13:54 2008 us=404799   tun_mtu_extra_defined = ENABLED

Fri Apr 25 12:13:54 2008 us=404840   fragment = 0

Fri Apr 25 12:13:54 2008 us=404880   mtu_discover_type = -1

Fri Apr 25 12:13:54 2008 us=404921   mtu_test = 0

Fri Apr 25 12:13:54 2008 us=404963   mlock = DISABLED

Fri Apr 25 12:13:54 2008 us=405003   keepalive_ping = 10

Fri Apr 25 12:13:54 2008 us=405044   keepalive_timeout = 120

Fri Apr 25 12:13:54 2008 us=405084   inactivity_timeout = 0

Fri Apr 25 12:13:54 2008 us=405124   ping_send_timeout = 10

Fri Apr 25 12:13:54 2008 us=405164   ping_rec_timeout = 240

Fri Apr 25 12:13:54 2008 us=405204   ping_rec_timeout_action = 2

Fri Apr 25 12:13:54 2008 us=405244   ping_timer_remote = DISABLED

Fri Apr 25 12:13:54 2008 us=405285   remap_sigusr1 = 0

Fri Apr 25 12:13:54 2008 us=405325   explicit_exit_notification = 0

Fri Apr 25 12:13:54 2008 us=405366   persist_tun = ENABLED

Fri Apr 25 12:13:54 2008 us=405406   persist_local_ip = DISABLED

Fri Apr 25 12:13:54 2008 us=405447   persist_remote_ip = DISABLED

Fri Apr 25 12:13:54 2008 us=405487   persist_key = ENABLED

Fri Apr 25 12:13:54 2008 us=405529   mssfix = 1450

Fri Apr 25 12:13:54 2008 us=405570   passtos = DISABLED

Fri Apr 25 12:13:54 2008 us=405612   resolve_retry_seconds = 1000000000

Fri Apr 25 12:13:54 2008 us=405652   connect_retry_seconds = 5

Fri Apr 25 12:13:54 2008 us=405694   username = 'nobody'

Fri Apr 25 12:13:54 2008 us=405734   groupname = 'nobody'

Fri Apr 25 12:13:54 2008 us=405774   chroot_dir = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=405815   cd_dir = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=405855   writepid = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=405895   up_script = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=405957   down_script = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=405997   down_pre = DISABLED

Fri Apr 25 12:13:54 2008 us=406037   up_restart = DISABLED

Fri Apr 25 12:13:54 2008 us=406077   up_delay = DISABLED

Fri Apr 25 12:13:54 2008 us=406117   daemon = DISABLED

Fri Apr 25 12:13:54 2008 us=406157   inetd = 0

Fri Apr 25 12:13:54 2008 us=406197   log = ENABLED

Fri Apr 25 12:13:54 2008 us=406237   suppress_timestamps = DISABLED

Fri Apr 25 12:13:54 2008 us=406381   nice = 0

Fri Apr 25 12:13:54 2008 us=406422   verbosity = 4

Fri Apr 25 12:13:54 2008 us=406462   mute = 0

Fri Apr 25 12:13:54 2008 us=406502   gremlin = 0

Fri Apr 25 12:13:54 2008 us=406545   status_file = '/etc/openvpn/config-myHomeLan/keys/openvpn-status.log'

Fri Apr 25 12:13:54 2008 us=406585   status_file_version = 1

Fri Apr 25 12:13:54 2008 us=406626   status_file_update_freq = 60

Fri Apr 25 12:13:54 2008 us=406666   occ = ENABLED

Fri Apr 25 12:13:54 2008 us=406706   rcvbuf = 65536

Fri Apr 25 12:13:54 2008 us=406746   sndbuf = 65536

Fri Apr 25 12:13:54 2008 us=406787   socks_proxy_server = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=406827   socks_proxy_port = 0

Fri Apr 25 12:13:54 2008 us=406870   socks_proxy_retry = DISABLED

Fri Apr 25 12:13:54 2008 us=406936   fast_io = DISABLED

Fri Apr 25 12:13:54 2008 us=406977   comp_lzo = ENABLED

Fri Apr 25 12:13:54 2008 us=407018   comp_lzo_adaptive = ENABLED

Fri Apr 25 12:13:54 2008 us=407061   route_script = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=407101   route_default_gateway = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=407141   route_noexec = DISABLED

Fri Apr 25 12:13:54 2008 us=407182   route_delay = 0

Fri Apr 25 12:13:54 2008 us=407222   route_delay_window = 30

Fri Apr 25 12:13:54 2008 us=407262   route_delay_defined = DISABLED

Fri Apr 25 12:13:54 2008 us=407309   management_addr = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=407349   management_port = 0

Fri Apr 25 12:13:54 2008 us=407390   management_user_pass = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=407432   management_log_history_cache = 250

Fri Apr 25 12:13:54 2008 us=407474   management_echo_buffer_size = 100

Fri Apr 25 12:13:54 2008 us=407515   management_query_passwords = DISABLED

Fri Apr 25 12:13:54 2008 us=407555   management_hold = DISABLED

Fri Apr 25 12:13:54 2008 us=407595   shared_secret_file = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=407637   key_direction = 0

Fri Apr 25 12:13:54 2008 us=407681   ciphername_defined = ENABLED

Fri Apr 25 12:13:54 2008 us=407722   ciphername = 'BF-CBC'

Fri Apr 25 12:13:54 2008 us=407764   authname_defined = ENABLED

Fri Apr 25 12:13:54 2008 us=407804   authname = 'SHA1'

Fri Apr 25 12:13:54 2008 us=407845   keysize = 0

Fri Apr 25 12:13:54 2008 us=407887   engine = DISABLED

Fri Apr 25 12:13:54 2008 us=407927   replay = ENABLED

Fri Apr 25 12:13:54 2008 us=407968   mute_replay_warnings = DISABLED

Fri Apr 25 12:13:54 2008 us=408009   replay_window = 0

Fri Apr 25 12:13:54 2008 us=408050   replay_time = 0

Fri Apr 25 12:13:54 2008 us=408091   packet_id_file = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=408131   use_iv = ENABLED

Fri Apr 25 12:13:54 2008 us=408172   test_crypto = DISABLED

Fri Apr 25 12:13:54 2008 us=408213   tls_server = ENABLED

Fri Apr 25 12:13:54 2008 us=408253   tls_client = DISABLED

Fri Apr 25 12:13:54 2008 us=408294   key_method = 2

Fri Apr 25 12:13:54 2008 us=408335   ca_file = '/etc/openvpn/config-myHomeLan/keys/ca.crt'

Fri Apr 25 12:13:54 2008 us=408377   dh_file = '/etc/openvpn/config-myHomeLan/keys/dh1024.pem'

Fri Apr 25 12:13:54 2008 us=408419   cert_file = '/etc/openvpn/config-myHomeLan/keys/server.crt'

Fri Apr 25 12:13:54 2008 us=408461   priv_key_file = '/etc/openvpn/config-myHomeLan/keys/server.key'

Fri Apr 25 12:13:54 2008 us=408502   pkcs12_file = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=408542   cipher_list = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=408582   tls_verify = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=408622   tls_remote = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=408662   crl_file = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=408705   ns_cert_type = 0

Fri Apr 25 12:13:54 2008 us=408746   tls_timeout = 2

Fri Apr 25 12:13:54 2008 us=408787   renegotiate_bytes = 0

Fri Apr 25 12:13:54 2008 us=408828   renegotiate_packets = 0

Fri Apr 25 12:13:54 2008 us=408868   renegotiate_seconds = 3600

Fri Apr 25 12:13:54 2008 us=408909   handshake_window = 60

Fri Apr 25 12:13:54 2008 us=408950   transition_window = 3600

Fri Apr 25 12:13:54 2008 us=408991   single_session = DISABLED

Fri Apr 25 12:13:54 2008 us=409032   tls_exit = DISABLED

Fri Apr 25 12:13:54 2008 us=409127   tls_auth_file = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=409179   server_network = 0.0.0.0

Fri Apr 25 12:13:54 2008 us=409226   server_netmask = 0.0.0.0

Fri Apr 25 12:13:54 2008 us=409273   server_bridge_ip = 172.20.8.2

Fri Apr 25 12:13:54 2008 us=409320   server_bridge_netmask = 255.255.255.0

Fri Apr 25 12:13:54 2008 us=409368   server_bridge_pool_start = 172.20.8.50

Fri Apr 25 12:13:54 2008 us=409415   server_bridge_pool_end = 172.20.8.100

Fri Apr 25 12:13:54 2008 us=409460   push_list = 'route 172.20.1.0 255.255.255.0,route 172.20.2.0 255.255.255.0,route 172.20.8.0 255.255.255.0,redirect-gateway,dhcp-option DNS 172.20.1.1,route-gateway 172.20.8.2,ping 10,ping-restart 120'

Fri Apr 25 12:13:54 2008 us=409502   ifconfig_pool_defined = ENABLED

Fri Apr 25 12:13:54 2008 us=409549   ifconfig_pool_start = 172.20.8.50

Fri Apr 25 12:13:54 2008 us=409596   ifconfig_pool_end = 172.20.8.100

Fri Apr 25 12:13:54 2008 us=409644   ifconfig_pool_netmask = 255.255.255.0

Fri Apr 25 12:13:54 2008 us=409685   ifconfig_pool_persist_filename = '/etc/openvpn/config-myHomeLan/keys/ipp.txt'

Fri Apr 25 12:13:54 2008 us=409727   ifconfig_pool_persist_refresh_freq = 600

Fri Apr 25 12:13:54 2008 us=409767   ifconfig_pool_linear = DISABLED

Fri Apr 25 12:13:54 2008 us=409807   n_bcast_buf = 256

Fri Apr 25 12:13:54 2008 us=409848   tcp_queue_limit = 64

Fri Apr 25 12:13:54 2008 us=409888   real_hash_size = 256

Fri Apr 25 12:13:54 2008 us=409928   virtual_hash_size = 256

Fri Apr 25 12:13:54 2008 us=409969   client_connect_script = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=410010   learn_address_script = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=410050   client_disconnect_script = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=410091   client_config_dir = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=410131   ccd_exclusive = DISABLED

Fri Apr 25 12:13:54 2008 us=410171   tmp_dir = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=410211   push_ifconfig_defined = DISABLED

Fri Apr 25 12:13:54 2008 us=410258   push_ifconfig_local = 0.0.0.0

Fri Apr 25 12:13:54 2008 us=410304   push_ifconfig_remote_netmask = 0.0.0.0

Fri Apr 25 12:13:54 2008 us=410344   enable_c2c = ENABLED

Fri Apr 25 12:13:54 2008 us=410384   duplicate_cn = ENABLED

Fri Apr 25 12:13:54 2008 us=410424   cf_max = 0

Fri Apr 25 12:13:54 2008 us=410463   cf_per = 0

Fri Apr 25 12:13:54 2008 us=410503   max_clients = 100

Fri Apr 25 12:13:54 2008 us=410544   max_routes_per_client = 256

Fri Apr 25 12:13:54 2008 us=410584   client_cert_not_required = DISABLED

Fri Apr 25 12:13:54 2008 us=410625   username_as_common_name = DISABLED

Fri Apr 25 12:13:54 2008 us=410666   auth_user_pass_verify_script = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=410707   auth_user_pass_verify_script_via_file = DISABLED

Fri Apr 25 12:13:54 2008 us=410748   client = DISABLED

Fri Apr 25 12:13:54 2008 us=410787   pull = DISABLED

Fri Apr 25 12:13:54 2008 us=410827   auth_user_pass_file = '[UNDEF]'

Fri Apr 25 12:13:54 2008 us=410876 OpenVPN 2.0.7 i586-pc-linux-gnu [SSL] [LZO] [EPOLL] built on Apr 22 2008

Fri Apr 25 12:13:54 2008 us=411166 WARNING: --ifconfig-pool-persist will not work with --duplicate-cn

Fri Apr 25 12:13:54 2008 us=467812 Diffie-Hellman initialized with 1024 bit key

Fri Apr 25 12:13:54 2008 us=472063 TLS-Auth MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]

Fri Apr 25 12:13:54 2008 us=487574 TUN/TAP device tap0 opened

Fri Apr 25 12:13:54 2008 us=487871 TUN/TAP TX queue length set to 100

Fri Apr 25 12:13:54 2008 us=488077 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]

Fri Apr 25 12:13:54 2008 us=490549 GID set to nobody

Fri Apr 25 12:13:54 2008 us=490876 UID set to nobody

Fri Apr 25 12:13:54 2008 us=491007 Listening for incoming TCP connection on [undef]:5190

Fri Apr 25 12:13:54 2008 us=491196 Socket Buffers: R=[87380->131072] S=[16384->131072]

Fri Apr 25 12:13:54 2008 us=491258 TCPv4_SERVER link local (bound): [undef]:5190

Fri Apr 25 12:13:54 2008 us=491299 TCPv4_SERVER link remote: [undef]

Fri Apr 25 12:13:54 2008 us=491363 MULTI: multi_init called, r=256 v=256

Fri Apr 25 12:13:54 2008 us=491525 IFCONFIG POOL: base=172.20.8.50 size=51

Fri Apr 25 12:13:54 2008 us=491732 IFCONFIG POOL LIST

Fri Apr 25 12:13:54 2008 us=491816 MULTI: TCP INIT maxclients=100 maxevents=104

Fri Apr 25 12:13:54 2008 us=491980 Initialization Sequence Completed

Fri Apr 25 12:14:02 2008 us=840397 MULTI: multi_create_instance called

Fri Apr 25 12:14:02 2008 us=840585 Re-using SSL/TLS context

Fri Apr 25 12:14:02 2008 us=840740 LZO compression initialized

Fri Apr 25 12:14:02 2008 us=841622 Control Channel MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]

Fri Apr 25 12:14:02 2008 us=841877 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]

Fri Apr 25 12:14:02 2008 us=842029 Local Options String: 'V4,dev-type tap,link-mtu 1576,tun-mtu 1532,proto TCPv4_SERVER,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'

Fri Apr 25 12:14:02 2008 us=842072 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1576,tun-mtu 1532,proto TCPv4_CLIENT,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'

Fri Apr 25 12:14:02 2008 us=842204 Local Options hash (VER=V4): '3e6d1056'

Fri Apr 25 12:14:02 2008 us=842293 Expected Remote Options hash (VER=V4): '31fdf004'

Fri Apr 25 12:14:02 2008 us=842465 TCP connection established with 84.21.76.131:2177

Fri Apr 25 12:14:02 2008 us=842532 Socket Buffers: R=[131072->131072] S=[131072->131072]

Fri Apr 25 12:14:02 2008 us=842601 TCPv4_SERVER link local: [undef]

Fri Apr 25 12:14:02 2008 us=842650 TCPv4_SERVER link remote: 84.21.76.131:2177

Fri Apr 25 12:14:02 2008 us=843829 84.21.76.131:2177 TLS: Initial packet from 84.21.76.131:2177, sid=aa3b07b3 624f22e2

Fri Apr 25 12:14:04 2008 us=316838 84.21.76.131:2177 VERIFY OK: depth=1, /C=RU/ST=MOSCOW/L=ZELENOGRAD/O=FilimoniC_Home/CN=FilimoniC_Home_CA/emailAddress=xxx@gmail.com

Fri Apr 25 12:14:04 2008 us=318368 84.21.76.131:2177 VERIFY OK: depth=0, /C=RU/ST=MOSCOW/L=ZELENOGRAD/O=FilimoniC_Home/CN=filimonic-work/emailAddress=xxx@gmail.com

Fri Apr 25 12:14:04 2008 us=689985 84.21.76.131:2177 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key

Fri Apr 25 12:14:04 2008 us=690179 84.21.76.131:2177 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication

Fri Apr 25 12:14:04 2008 us=690554 84.21.76.131:2177 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key

Fri Apr 25 12:14:04 2008 us=690611 84.21.76.131:2177 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication

Fri Apr 25 12:14:05 2008 us=90045 84.21.76.131:2177 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA

Fri Apr 25 12:14:05 2008 us=94334 84.21.76.131:2177 [filimonic-work] Peer Connection Initiated with 84.21.76.131:2177

Fri Apr 25 12:14:06 2008 us=30964 filimonic-work/84.21.76.131:2177 PUSH: Received control message: 'PUSH_REQUEST'

Fri Apr 25 12:14:06 2008 us=31345 filimonic-work/84.21.76.131:2177 SENT CONTROL [filimonic-work]: 'PUSH_REPLY,route 172.20.1.0 255.255.255.0,route 172.20.2.0 255.255.255.0,route 172.20.8.0 255.255.255.0,redirect-gateway,dhcp-option DNS 172.20.1.1,route-gateway 172.20.8.2,ping 10,ping-restart 120,ifconfig 172.20.8.50 255.255.255.0' (status=1)

Fri Apr 25 12:14:11 2008 us=943422 filimonic-work/84.21.76.131:2177 MULTI: Learn: 00:ff:b6:6c:6c:0b -> filimonic-work/84.21.76.131:2177

Fri Apr 25 12:19:09 2008 us=107303 TCP/UDP: Closing socket

Fri Apr 25 12:19:09 2008 us=108255 TCP/UDP: Closing socket

Fri Apr 25 12:19:09 2008 us=108376 Closing TUN/TAP interface

Fri Apr 25 12:19:09 2008 us=136772 SIGINT[hard,] received, process exiting

```

Логи клиента

```
Fri Apr 25 12:13:49 2008 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006

Fri Apr 25 12:13:49 2008 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.

Fri Apr 25 12:13:49 2008 WARNING: No server certificate verification method hasbeen enabled.  See http://openvpn.net/howto.html#mitm for more info.

Fri Apr 25 12:13:49 2008 LZO compression initialized

Fri Apr 25 12:13:49 2008 Control Channel MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]

Fri Apr 25 12:13:49 2008 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]

Fri Apr 25 12:13:49 2008 Local Options hash (VER=V4): '31fdf004'

Fri Apr 25 12:13:49 2008 Expected Remote Options hash (VER=V4): '3e6d1056'

Fri Apr 25 12:13:49 2008 Attempting to establish TCP connection with 91.78.239.93:5190

Fri Apr 25 12:13:49 2008 TCP connection established with 91.78.239.93:5190

Fri Apr 25 12:13:49 2008 TCPv4_CLIENT link local: [undef]

Fri Apr 25 12:13:49 2008 TCPv4_CLIENT link remote: 91.78.239.93:5190

Fri Apr 25 12:13:49 2008 TLS: Initial packet from 91.78.239.93:5190, sid=fe0026ae 8ab084ec

Fri Apr 25 12:13:50 2008 VERIFY OK: depth=1, /C=RU/ST=MOSCOW/L=ZELENOGRAD/O=FilimoniC_Home/CN=FilimoniC_Home_CA/emailAddress=xxx@gmail.com

Fri Apr 25 12:13:50 2008 VERIFY OK: depth=0, /C=RU/ST=MOSCOW/L=ZELENOGRAD/O=FilimoniC_Home/CN=server/emailAddress=xxx@gmail.com

Fri Apr 25 12:13:51 2008 Data Channel Encrypt: Cipher 'BF-CBC' initialized with128 bit key

Fri Apr 25 12:13:51 2008 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication

Fri Apr 25 12:13:51 2008 Data Channel Decrypt: Cipher 'BF-CBC' initialized with128 bit key

Fri Apr 25 12:13:51 2008 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication

Fri Apr 25 12:13:51 2008 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA

Fri Apr 25 12:13:51 2008 [server] Peer Connection Initiated with 91.78.239.93:5190

Fri Apr 25 12:13:52 2008 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)

Fri Apr 25 12:13:53 2008 PUSH: Received control message: 'PUSH_REPLY,route 172.20.1.0 255.255.255.0,route 172.20.2.0 255.255.255.0,route 172.20.8.0 255.255.255.0,redirect-gateway,dhcp-option DNS 172.20.1.1,route-gateway 172.20.8.2,ping 10,ping-restart 120,ifconfig 172.20.8.50 255.255.255.0'

Fri Apr 25 12:13:53 2008 OPTIONS IMPORT: timers and/or timeouts modified

Fri Apr 25 12:13:53 2008 OPTIONS IMPORT: --ifconfig/up options modified

Fri Apr 25 12:13:53 2008 OPTIONS IMPORT: route options modified

Fri Apr 25 12:13:53 2008 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified

Fri Apr 25 12:13:53 2008 TAP-WIN32 device [TAP-TUN] opened: \\.\Global\{B66C6C0B-5CB0-4C77-B042-EBA592D0E59C}.tap

Fri Apr 25 12:13:53 2008 TAP-Win32 Driver Version 8.4

Fri Apr 25 12:13:53 2008 TAP-Win32 MTU=1500

Fri Apr 25 12:13:53 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 172.20.8.50/255.255.255.0 on interface {B66C6C0B-5CB0-4C77-B042-EBA592D0E59C} [DHCP-serv: 172.20.8.0, lease-time: 31536000]

Fri Apr 25 12:13:53 2008 NOTE: FlushIpNetTable failed on interface [3] {B66C6C0B-5CB0-4C77-B042-EBA592D0E59C} (status=259) : ─юяюыэшЄхы№э√х фрээ√х юЄёєЄёЄтє■Є.

Fri Apr 25 12:13:53 2008 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down

Fri Apr 25 12:13:53 2008 Route: Waiting for TUN/TAP interface to come up...

Fri Apr 25 12:13:54 2008 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down

Fri Apr 25 12:13:54 2008 Route: Waiting for TUN/TAP interface to come up...

Fri Apr 25 12:13:55 2008 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down

Fri Apr 25 12:13:55 2008 Route: Waiting for TUN/TAP interface to come up...

Fri Apr 25 12:13:56 2008 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down

Fri Apr 25 12:13:56 2008 Route: Waiting for TUN/TAP interface to come up...

Fri Apr 25 12:13:57 2008 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down

Fri Apr 25 12:13:57 2008 Route: Waiting for TUN/TAP interface to come up...

Fri Apr 25 12:13:58 2008 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down

Fri Apr 25 12:13:58 2008 Route: Waiting for TUN/TAP interface to come up...

Fri Apr 25 12:13:59 2008 TEST ROUTES: 4/4 succeeded len=3 ret=1 a=0 u/d=up

Fri Apr 25 12:13:59 2008 route ADD 91.78.239.93 MASK 255.255.255.255 192.168.0.24

Fri Apr 25 12:13:59 2008 Route addition via IPAPI succeeded

Fri Apr 25 12:13:59 2008 route DELETE 0.0.0.0 MASK 0.0.0.0 192.168.0.24

Fri Apr 25 12:13:59 2008 Route deletion via IPAPI succeeded

Fri Apr 25 12:13:59 2008 route ADD 0.0.0.0 MASK 0.0.0.0 172.20.8.2

Fri Apr 25 12:13:59 2008 Route addition via IPAPI succeeded

Fri Apr 25 12:13:59 2008 route ADD 172.20.1.0 MASK 255.255.255.0 172.20.8.2

Fri Apr 25 12:13:59 2008 Route addition via IPAPI succeeded

Fri Apr 25 12:13:59 2008 route ADD 172.20.2.0 MASK 255.255.255.0 172.20.8.2

Fri Apr 25 12:13:59 2008 Route addition via IPAPI succeeded

Fri Apr 25 12:13:59 2008 route ADD 172.20.8.0 MASK 255.255.255.0 172.20.8.2

Fri Apr 25 12:13:59 2008 Route addition via IPAPI succeeded

Fri Apr 25 12:13:59 2008 Initialization Sequence Completed
```

----------

## Alex-X

У себя поднимал таким скриптом:

с iptables еще толком не разобрался   :Embarassed:  , но

расшаривал иНет с eth0 на 192.168.1.254 через eth1 :

```
iptables -A POSTROUTING -j MASQUERADE -t nat -s 192.168.1.254

iptables -L -t nat

iptables -L FORWARD -nv

iptables -I FORWARD -s 192.168.1.254 -j ACCEPT

echo "1" > /proc/sys/net/ipv4/ip_forward

ifconfig eth1 192.168.1.1

```

----------

## FilimoniC

Нащел неплохую, как мне кажется, книжку. Ботаню

http://rs48.rapidshare.com/files/21322950/OpenVPN_Building_And_Integrating_Virtual_Private_Networks.rar

----------

## _Sir_

 *FilimoniC wrote:*   

> Нащел неплохую, как мне кажется, книжку. Ботаню
> 
> http://rs48.rapidshare.com/files/21322950/OpenVPN_Building_And_Integrating_Virtual_Private_Networks.rar

 Что за мерзкая привычка размещать что-либо на платных ресурсах? Что, мало наших бесплатных? Веб-файл, яндекс, и прочие чем не угодили? Нет я должен 15 минут коды с кошками вводить, чтобы меня каждый раз посылали... за деньгами. Когда уже думать люди научатся не о том, что удобно им, а о том, что удобно другим, для кого, собственно эта ссылка по идее и была положена.

PS Книжка неплохая, на английском  :Smile:  берется здесь простым скачиванием, без заморочек и рекламы. Правда, у кого, как и у меня, нет яндекс-бара во фраер-фоксе, придется ввести число с рисунка.

----------

