Показать сообщение отдельно
Старый 03.11.2013, 17:21      #1 (ссылка на пост)
MiraMaX166
Инквизитор
 
Аватар для MiraMaX166
 
Регистрация: 29.01.2008
Адрес: Омск
Сообщений: 2,304
MiraMaX166 репутация неоспоримаMiraMaX166 репутация неоспоримаMiraMaX166 репутация неоспоримаMiraMaX166 репутация неоспоримаMiraMaX166 репутация неоспоримаMiraMaX166 репутация неоспоримаMiraMaX166 репутация неоспоримаMiraMaX166 репутация неоспоримаMiraMaX166 репутация неоспоримаMiraMaX166 репутация неоспоримаMiraMaX166 репутация неоспорима
Информация

Отправить сообщение для MiraMaX166 с помощью ICQ Отправить сообщение для MiraMaX166 с помощью AIM Отправить сообщение для MiraMaX166 с помощью MSN Отправить сообщение для MiraMaX166 с помощью Skype™
Стрелка Настройка VPN-сервера

Рассмотрю настройку VPN-Servera на примере объединения двух сетей:
1. Моя основная сетка под управлением роутера ASUS RT-N66U
2. Сеть родителей (100 км от города) под управлением ASUS RT-N16

Нужно объединить их средствами VPN, сервер будет развёрнут на базе ASUS RT-N66U.

Начнём с генерирования ключей и сертификатов, делать будем под виндой, так как рабочей лини у меня под рукой сейчас нет, да и разница в генерировании минимальна...
Для начала скачайте дистриб OpenVPN версии 2.1.4 или выше (на лини ставим с реп средствами апта, аптитюда и так далее).
Далее открываем CMD винды с правами администратора.
Вбиваем команду:
Код:
cd c:\Program Files (x86)\OpenVPN\easy-rsa
Думаю, разобраться не трудно, что в 32-х битной системе или в 64-х битной, при установке 64-х битного пакета, вместо Program Files (x86) нужно указать Program Files...

Далее вбиваем:
Код:
init-config
В папке c:\Program Files (x86)\OpenVPN\easy-rsa появятся два новых файлика, открываем в редакторе vars.bat
Пример моего отредактированного конфига
@echo off
rem Edit this variable to point to
rem the openssl.cnf file included
rem with easy-rsa.

set HOME=%ProgramFiles (x86)%\OpenVPN\easy-rsa
set KEY_CONFIG=openssl.cnf

rem Edit this variable to point to
rem your soon-to-be-created key
rem directory.
rem
rem WARNING: clean-all will do
rem a rm -rf on this directory
rem so make sure you define
rem it correctly!
set KEY_DIR=keys

rem Increase this to 2048 if you
rem are paranoid. This will slow
rem down TLS negotiation performance
rem as well as the one-time DH parms
rem generation process.
set KEY_SIZE=1024

rem These are the default values for fields
rem which will be placed in the certificate.
rem Change these to reflect your site.
rem Don't leave any of these parms blank.

set KEY_COUNTRY=RU
set KEY_PROVINCE=OMSK
set KEY_CITY=Omsk
set KEY_ORG=SkyNET
set KEY_EMAIL=miramax166@mail.ru

Далее в консоль вбиваем:
Код:
vars
Код:
clean-all
Код:
build-ca
Этим мы только что создали корневые ключ и сертификат.
Создадим тоже самое, но для сервера.
Вводим в консоль:
Код:
build-key-server server
где server - имя сервера (например, ASUS_RT-N66U).
Создадим тоже самое для клиента.
Вводим в консоль:
Код:
build-key client
где client - имя клиента (например, ASUS_RT-N16).
Теперь генерируем файл с ключем Диффи-Хелмана (dh1024.pem)
Вводим в консоль:
Код:
build-dh
Топаем в веб-морду роутера и производим настройки. Вкладка Basic.
Настраиваем тип подключения. Выбор типа устройства TUN/TAP зависит от целей создания туннеля. Основное различие, что TUN - это обычный туннель, который работает на ip уровне, а TAP - работает на канальном уровне, за счет того, что создается виртуальная сетевая карточка.
При использовании TAP генерируется значительно больше трафика из-за того же броадкаста и увеличивающихся "накладных расходов" по инкапсуляции большего количества данных. В целом, TAP используется для создания сетевого моста, а TUN для маршрутизации...
Click the image to open in full size.

Вкладка Advance.
Выставляем нужные флаги: разрешаем видеть друг друга (локальную сеть и vpn клиентов), разрешаем выходить в интернет через это vpn соединение, отвечать на DNS запросы, отдавать свои сервера DNS клиентам при подсоединении. Тут же можно казать тип шифрования трафика, его сжатие. Можно указать специфические параметры для расшаривания подсетей удалённых шлюзов (в моём случае актуально, поэтому я добавил подсеть за NAT'ом роутера).
Также для избежания проблем с пропусканием трафика лучше указать "родное" значение MTU для пакетов...
Click the image to open in full size.

Вкладка Keys.
Сюда вставляем содержимое файлов сгенерированных для сервера+корневой сертификат...
Click the image to open in full size.

После манипуляций сохраняем настройки и стартуем сервак, если уже есть настроенные клиенты, то увидим следующее:
Click the image to open in full size.

За роутером находятся несколько девайсов в отличной от VPN-сети диапазоне IP, но они без проблем пингуются из любой сети... О том, как настроить клиента на TomatoUSB, я напишу позже.
__________________
Хакер - это не профессия, а стиль жизни, в которой всё время идёшь вперёд, в которой испытываешь постоянный информационный голод и бросаешь вызов технологиям. Это путь бесконечной вереницы вопросов и ответов...


My PC: Fractal Design Define R6/ i9-9900K@5.00GHz/ ASUS MAXIMUS XI HERO (Wi-Fi)/ 64Gb RAM Dual DDR4 3000/ SSD Samsung EVO 860 250Gb + HDD WD Purple 4Tb/ nVidia GeForce RTX 2080 Ti FE 11Gb/ ASUS VG245Q 24" Full HD/ Sound Microlab Pro One
My Notebook: HP ENVY x360 15 (Ryzen 5 2500U@3,6GHz/ 16Gb RAM Dual DDR4 2400/ SSD M.2 Samsung CM871a 128Gb +HDD Seagate BarraCuda Pro 1Tb/ AMD Radeon Vega 8 1Gb/ FP 15.6" FHD / HP Pen)
My Server: HPE ProLiant MicroServer Gen8 (XEON E3-1265LV2@2.5~3.5GHz 8 threads/ 16Gb ECC RAM 1600/ HP P222 2Gb Cache FBWC 4x4TB Toshiba 4xRAID10/ ESXi 6.5U3/ iLO 4 v2.73)
My Phone: Samsung Galaxy Note 23 Ultra/ Android 13/ 256Gb + DeX Station + Galaxy Watch 46mm + Galaxy Buds Pro
My Tab: Samsung Galaxy Note 10.1 2014/ Android 5.1.1/ 32Gb/ Flash mSD 64Gb


Почему "Винда-отстой" кричат громче всех те, кто и в Линукс ничего не понимают...
Говорим спасибо и жмём на возле аватара или кнопочку
MiraMaX166 вне форума   Ответить с цитированием
Этот пользователь сказал Спасибо MiraMaX166 за это полезное сообщение:
maxigami (09.12.2013)
 
Время генерации страницы 0.08978 секунды с 16 запросами