Динамические адреса клиентов на OpenVPN сервере

[Александр Ермоленко]

В конфиге OpenVPN сервера на Keenetic 4G стоит следующее (скопировано из статьи по настройке😞
 

# 10.1.0.1 is our local VPN endpoint (office).
# 10.1.0.2 is our remote VPN endpoint (home).
ifconfig 10.1.0.1 10.1.0.2

В конфиге клиента (оттуда же, из статьи) наоборот: ifconfig 10.1.0.2 10.1.0.1

Соответственно сервер ВСЕМ КЛИЕНТАМ выдает один и тот же 10.1.0.2 😥

Подскажите пожалуйста: что прописать в конфиге сервера и клиентов, чтобы они получали динамические адреса из пула 10.1.0.2-99?

[Кинетиковод]

Вы видимо используете соединение точка-точка. Делайте тогда отдельные подключения для каждого клиента. Для динамических адресов делайте сервер с сертификатами.

[Александр Ермоленко]

Да, я использовал инструкцию по настройке соединения между двумя Keenetic.

 

2 minutes ago, Кинетиковод said:

Делайте тогда отдельные подключения для каждого клиента.

Как это сделать, подскажите пожалуйста? Свой сервер для каждого клиента создавать?

3 minutes ago, Кинетиковод said:

Для динамических адресов делайте сервер с сертификатами.

Начинаю прозревать, спасибо

Хотя первый вариант меня больше устраивает свой простотой. Клиентов всего 3, поэтому может его и оставлю, когда пойму как. 

[Кинетиковод]

2 минуты назад, Александр Ермоленко сказал:

Свой сервер для каждого клиента создавать?

Соединение точка-точка трудно назвать сервером. Если вам нужно просто подключить три клиента, то создайте три соединения.

Например "10.1.0.1 10.1.0.2", "10.1.0.3 10.1.0.4" и "10.1.0.5 10.1.0.6". На каждое соединение лучше сделать свой ключ. 

Хотя вы можете получить динамический пул без лишних трудностей используя другой сервер, например L2TP.

[Александр Ермоленко]

Теперь почти все понятно, Благодарю!

Остался вопрос защищенности: чтобы  L2TP зашифровать, нужно еще поверх городить IPSec, правильно? Это сильно усложняет задачу?

[Кинетиковод]

14 минуты назад, Александр Ермоленко сказал:

чтобы  L2TP зашифровать, нужно еще поверх городить IPSec, правильно?

Если вы используете сервер Кинетика, то он работает в режиме L2TP/IPSec по умолчанию. От вас требуется только задать пароль для пользователей, если их несколько и привязать их адреса, если в этом есть необходимость. Также можно задать подсеть сервера. Кроме того, на Ультре L2TP будет летать, а OpenVPN ползать.

Но вот если у вас реально до сих пор стоит v2.06, то вам нужно будет обновиться. Перед обновлением сохраните старую прошивку и конфиг на всякий случай. Возможно на 2.16 вам придётся настроить всё с нуля.

[r13]

Чтобы OpenVPN выдавал разные ip

на сервере конфиг вида

topology subnet
server 10.8.0.0 255.255.255.0

а не

ifconfig 10.1.0.1 10.1.0.2

[r13]

В этой доке есть:

https://help.keenetic.com/hc/ru/articles/360003528840-Объединение-локальных-сетей-через-OpenVPN

[Кинетиковод]

14 минуты назад, r13 сказал:

topology subnet
server 10.8.0.0 255.255.255.0

С простым ключом получим:

Options error: --server and --secret cannot be used together (you must use SSL/TLS keys)

В доке для tls конфига.

[r13]

9 минут назад, Кинетиковод сказал:

С простым ключом получим:

Options error: --server and --secret cannot be used together (you must use SSL/TLS keys)

В доке для tls конфига.

Да, secret это для точка-точка, для полноценного сервера ca, ключи, сертификаты...

Про это есть в - 2 Конфигурация с использованием двусторонней TLS аутентификации.

https://help.keenetic.com/hc/ru/articles/360000880359

Edited November 6, 2019 by r13

[Александр Ермоленко]

Это все настраиваю на Keenetic 4G (KN-1210)  Версия ОС3.1.10.

33 minutes ago, Кинетиковод said:

Если вы используете сервер Кинетика, то он работает в режиме L2TP/IPSec по умолчанию

Хорошо, вижу что когда выбирал какой VPN ставить, информации было недостаточно. Решено: ставлю L2TP/IPSec.

 

28 minutes ago, Кинетиковод said:

Но вот если у вас реально до сих пор стоит v2.06

Это все настраиваю клиенту на новом Keenetic 4G (KN-1210)  Версия ОС3.1.10.

А вот по поводу моего "старенького" Ultra: где взять прошивку поновее не подскажете? Можно бета. Автоматом не выдает   

 

[r13]

1 минуту назад, Александр Ермоленко сказал:

А вот по поводу моего "старенького" Ultra: где взять прошивку поновее не подскажете? Можно бета. Автоматом не выдает

По этой доке https://forum.keenetic.net/announcement/5-где-взять-тестовые-прошивки/

можно перейти на 2.11 или 2.16

[Кинетиковод]

9 минут назад, r13 сказал:

можно перейти на 2.11 или 2.16

На 2.11 l2tp сервера в вебморде нет. Лучше сразу на 2.16. С памятью у Ультры проблем нет.

[r13]

15 минут назад, Александр Ермоленко сказал:

KN-1210

С L2TP/IPSec c учетом KN-1210 тоже надо посмотреть.

В нем флеша мало, надопочти все выкидывать чтоб IPSec влез. Но если влезет, то и в настройке проще, и работает быстрее OpenVPN

 

[Александр Ермоленко]

15 hours ago, r13 said:

В нем флеша мало, надопочти все выкидывать чтоб IPSec влез.

Так и случалось. При чем как-то странно: когда было 53% (типа 35 из 64 Мбайт) ругался на нехватку памяти. Поудалял все что можно до 30/64 Мбайт и после установки получилось 48% (31/64 Мбайт). Т.е. вопрос был 1 мегабайта? 😯

[r13]

4 минуты назад, Александр Ермоленко сказал:

Так и случалось. При чем как-то странно: когда было 53% (типа 35 из 64 Мбайт) ругался на нехватку памяти. Поудалял все что можно до 30/64 Мбайт и после установки получилось 48% (31/64 Мбайт). Т.е. вопрос был 1 мегабайта? 😯

Не, вопрос не в оперативке, а во флеше, которого 8МБ

[Александр Ермоленко]

On 11/6/2019 at 5:27 PM, Кинетиковод said:

вы можете получить динамический пул без лишних трудностей используя другой сервер, например L2TP.

Без трудностей видимо никак  

Настроил по инструкции легко, но подключится не могу. Такое чувство что не пропускает ADSL модем, который собственно и обеспечивает выход в интернет, не смотря на то, что Keenetic у него в DMZ. 

В общем снова нужна помощь, но поскольку проблема перешла в другую плоскость, стоит ли продолжать обсуждение здесь, или лучше создать новую тему?

[Кинетиковод]

57 минут назад, Александр Ермоленко сказал:

что не пропускает ADSL модем

На чьей стороне модем, сервера или клиента? Если сервера, то почитайте тут.

[Александр Ермоленко]

27 minutes ago, Кинетиковод said:

На чьей стороне модем, сервера или клиента? Если сервера, то почитайте тут.

Статья многое прояснила, благодарю!  Модем на стороне сервера, Keenetic у него в DMZ. OpenVPN работал без проблем. 

Теперь L2TP/IPSeс к которому Мобильный клиент  подключается, а Windows - нет. 

Остается я так понимаю PPTP, SSTP или снова OpenVPN?  😉 Правильно? 

Что выбрать? 

[Кинетиковод]

18 минут назад, Александр Ермоленко сказал:

Мобильный клиент  подключается, а Windows - нет. 

А коммент к статье не помог?

19 минут назад, Александр Ермоленко сказал:

Остается я так понимаю PPTP, SSTP или снова OpenVPN?

Если у вас ADSL 8/1, то конечно городить L2TP было не обязательно, да и память на 4G он всю сожрал. Тогда PPTP или  OpenVPN. Первый небезопасен, но прост в настройке, второй наоборот. SSTP ненадёжен, его лучше не надо и с мобильным клиентом там проблемы.

[Kazantsev]

5 minutes ago, Кинетиковод said:

А коммент к статье не помог?

Если у вас ADSL 8/1, то конечно городить L2TP было не обязательно, да и память на 4G он всю сожрал. Тогда PPTP или  OpenVPN. Первый небезопасен, но прост в настройке, второй наоборот. SSTP ненадёжен, его лучше не надо и с мобильным клиентом там проблемы.

И какой тогда использовать? 😁

[Александр Ермоленко]

44 minutes ago, Кинетиковод said:

А коммент к статье не помог?

Мы комменты не читаем обычно: мы их сами пишем

RegValue: AssumeUDPEncapsulationContextOnSendRule = 2 в реестр на Windows 7 сотворил чудо! 

UPD: На Win 10 также работает.

Немного позже еще на Microtik тест предстоит.

Edited November 8, 2019 by Александр Ермоленко
Тест на Win10

[Александр Ермоленко]

47 minutes ago, Кинетиковод said:

Если у вас ADSL 8/1, то конечно городить L2TP было не обязательно, да и память на 4G он всю сожрал. Тогда PPTP или  OpenVPN. Первый небезопасен, но прост в настройке, второй наоборот. SSTP ненадёжен, его лучше не надо и с мобильным клиентом там проблемы.

Вы не Кинетиковод, нет, Вы КинетиковЕд! Просто кладезь знаний, я  в восхищении

И это был Ваш однатысячапервый пост, с юбилеем!