Jump to content
  • 0

Динамические адреса клиентов на OpenVPN сервере


Александр Ермоленко
 Share

Question

В конфиге OpenVPN сервера на Keenetic 4G стоит следующее (скопировано из статьи по настройке😞
 

# 10.1.0.1 is our local VPN endpoint (office).
# 10.1.0.2 is our remote VPN endpoint (home).
ifconfig 10.1.0.1 10.1.0.2

В конфиге клиента (оттуда же, из статьи) наоборот: ifconfig 10.1.0.2 10.1.0.1

Соответственно сервер ВСЕМ КЛИЕНТАМ выдает один и тот же 10.1.0.2 😥

Подскажите пожалуйста: что прописать в конфиге сервера и клиентов, чтобы они получали динамические адреса из пула 10.1.0.2-99?

Link to comment
Share on other sites

22 answers to this question

Recommended Posts

  • 0

Вы видимо используете соединение точка-точка. Делайте тогда отдельные подключения для каждого клиента. Для динамических адресов делайте сервер с сертификатами.

Link to comment
Share on other sites

  • 0

Да, я использовал инструкцию по настройке соединения между двумя Keenetic.

 

2 minutes ago, Кинетиковод said:

Делайте тогда отдельные подключения для каждого клиента.

Как это сделать, подскажите пожалуйста? Свой сервер для каждого клиента создавать?

3 minutes ago, Кинетиковод said:

Для динамических адресов делайте сервер с сертификатами.

Начинаю прозревать, спасибо ;-)

Хотя первый вариант меня больше устраивает свой простотой. Клиентов всего 3, поэтому может его и оставлю, когда пойму как. 

Link to comment
Share on other sites

  • 0
2 минуты назад, Александр Ермоленко сказал:

Свой сервер для каждого клиента создавать?

Соединение точка-точка трудно назвать сервером. Если вам нужно просто подключить три клиента, то создайте три соединения.

Например "10.1.0.1 10.1.0.2", "10.1.0.3 10.1.0.4" и "10.1.0.5 10.1.0.6". На каждое соединение лучше сделать свой ключ. 

Хотя вы можете получить динамический пул без лишних трудностей используя другой сервер, например L2TP.

Link to comment
Share on other sites

  • 0

Теперь почти все понятно, Благодарю!

Остался вопрос защищенности: чтобы  L2TP зашифровать, нужно еще поверх городить IPSec, правильно? Это сильно усложняет задачу?

Link to comment
Share on other sites

  • 0
14 минуты назад, Александр Ермоленко сказал:

чтобы  L2TP зашифровать, нужно еще поверх городить IPSec, правильно?

Если вы используете сервер Кинетика, то он работает в режиме L2TP/IPSec по умолчанию. От вас требуется только задать пароль для пользователей, если их несколько и привязать их адреса, если в этом есть необходимость. Также можно задать подсеть сервера. Кроме того, на Ультре L2TP будет летать, а OpenVPN ползать.

Но вот если у вас реально до сих пор стоит v2.06, то вам нужно будет обновиться. Перед обновлением сохраните старую прошивку и конфиг на всякий случай. Возможно на 2.16 вам придётся настроить всё с нуля.

Link to comment
Share on other sites

  • 0

Чтобы OpenVPN выдавал разные ip

на сервере конфиг вида

topology subnet
server 10.8.0.0 255.255.255.0

а не

ifconfig 10.1.0.1 10.1.0.2
Link to comment
Share on other sites

  • 0
9 минут назад, Кинетиковод сказал:

С простым ключом получим:


Options error: --server and --secret cannot be used together (you must use SSL/TLS keys)

В доке для tls конфига.

Да, secret это для точка-точка, для полноценного сервера ca, ключи, сертификаты...

Про это есть в - 2 Конфигурация с использованием двусторонней TLS аутентификации.

https://help.keenetic.com/hc/ru/articles/360000880359

Edited by r13
Link to comment
Share on other sites

  • 0

Это все настраиваю на Keenetic 4G (KN-1210)  Версия ОС3.1.10.

33 minutes ago, Кинетиковод said:

Если вы используете сервер Кинетика, то он работает в режиме L2TP/IPSec по умолчанию

Хорошо, вижу что когда выбирал какой VPN ставить, информации было недостаточно. Решено: ставлю L2TP/IPSec.

 

28 minutes ago, Кинетиковод said:

Но вот если у вас реально до сих пор стоит v2.06

Это все настраиваю клиенту на новом Keenetic 4G (KN-1210)  Версия ОС3.1.10.

А вот по поводу моего "старенького" Ultra: где взять прошивку поновее не подскажете? Можно бета. Автоматом не выдает :(  image.png.44176a5a0a0091d48aafb0e26cef8e58.png

 

Link to comment
Share on other sites

  • 0
1 минуту назад, Александр Ермоленко сказал:

А вот по поводу моего "старенького" Ultra: где взять прошивку поновее не подскажете? Можно бета. Автоматом не выдает

По этой доке https://forum.keenetic.net/announcement/5-где-взять-тестовые-прошивки/

можно перейти на 2.11 или 2.16

Link to comment
Share on other sites

  • 0
15 минут назад, Александр Ермоленко сказал:

KN-1210

С L2TP/IPSec c учетом KN-1210 тоже надо посмотреть.

В нем флеша мало, надопочти все выкидывать чтоб IPSec влез. Но если влезет, то и в настройке проще, и работает быстрее OpenVPN

 

Link to comment
Share on other sites

  • 0
15 hours ago, r13 said:

В нем флеша мало, надопочти все выкидывать чтоб IPSec влез.

Так и случалось. При чем как-то странно: когда было 53% (типа 35 из 64 Мбайт) ругался на нехватку памяти. Поудалял все что можно до 30/64 Мбайт и после установки получилось 48% (31/64 Мбайт). Т.е. вопрос был 1 мегабайта? 😯

Link to comment
Share on other sites

  • 0
4 минуты назад, Александр Ермоленко сказал:

Так и случалось. При чем как-то странно: когда было 53% (типа 35 из 64 Мбайт) ругался на нехватку памяти. Поудалял все что можно до 30/64 Мбайт и после установки получилось 48% (31/64 Мбайт). Т.е. вопрос был 1 мегабайта? 😯

Не, вопрос не в оперативке, а во флеше, которого 8МБ

Link to comment
Share on other sites

  • 0
On 11/6/2019 at 5:27 PM, Кинетиковод said:

вы можете получить динамический пул без лишних трудностей используя другой сервер, например L2TP.

Без трудностей видимо никак ;-) 

Настроил по инструкции легко, но подключится не могу. Такое чувство что не пропускает ADSL модем, который собственно и обеспечивает выход в интернет, не смотря на то, что Keenetic у него в DMZ. 

В общем снова нужна помощь, но поскольку проблема перешла в другую плоскость, стоит ли продолжать обсуждение здесь, или лучше создать новую тему?

Link to comment
Share on other sites

  • 0
27 minutes ago, Кинетиковод said:

На чьей стороне модем, сервера или клиента? Если сервера, то почитайте тут.

Статья многое прояснила, благодарю!  Модем на стороне сервера, Keenetic у него в DMZ. OpenVPN работал без проблем. 

Теперь L2TP/IPSeс к которому Мобильный клиент  подключается, а Windows - нет. 

Остается я так понимаю PPTP, SSTP или снова OpenVPN😉 Правильно? 

Что выбрать? 

Link to comment
Share on other sites

  • 0
18 минут назад, Александр Ермоленко сказал:

Мобильный клиент  подключается, а Windows - нет. 

А коммент к статье не помог?

19 минут назад, Александр Ермоленко сказал:

Остается я так понимаю PPTP, SSTP или снова OpenVPN?

Если у вас ADSL 8/1, то конечно городить L2TP было не обязательно, да и память на 4G он всю сожрал. Тогда PPTP или  OpenVPN. Первый небезопасен, но прост в настройке, второй наоборот. SSTP ненадёжен, его лучше не надо и с мобильным клиентом там проблемы.

Link to comment
Share on other sites

  • 0
5 minutes ago, Кинетиковод said:

А коммент к статье не помог?

Если у вас ADSL 8/1, то конечно городить L2TP было не обязательно, да и память на 4G он всю сожрал. Тогда PPTP или  OpenVPN. Первый небезопасен, но прост в настройке, второй наоборот. SSTP ненадёжен, его лучше не надо и с мобильным клиентом там проблемы.

И какой тогда использовать? 😁

Link to comment
Share on other sites

  • 0
44 minutes ago, Кинетиковод said:

А коммент к статье не помог?

Мы комменты не читаем обычно: мы их сами пишем :)

RegValue: AssumeUDPEncapsulationContextOnSendRule = 2 в реестр на Windows 7 сотворил чудо! 

UPD: На Win 10 также работает.

Немного позже еще на Microtik тест предстоит.

Edited by Александр Ермоленко
Тест на Win10
Link to comment
Share on other sites

  • 0
47 minutes ago, Кинетиковод said:

Если у вас ADSL 8/1, то конечно городить L2TP было не обязательно, да и память на 4G он всю сожрал. Тогда PPTP или  OpenVPN. Первый небезопасен, но прост в настройке, второй наоборот. SSTP ненадёжен, его лучше не надо и с мобильным клиентом там проблемы.

Вы не Кинетиковод, нет, Вы КинетиковЕд! Просто кладезь знаний, я  в восхищении ;-)

И это был Ваш однатысячапервый пост, с юбилеем! 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...