On Wed, Jun 14, 2006 at 03:14:39PM +0300, Artem Grishin wrote:
Hi All!
Уже который день воюю с OpenVPN, пытаясь заставить его построить рабочий тунель на реальных адресах. Это вообще реально с ним сделать, или тока с НАТом? Стоит, работает. Но не бриджем. НАТ только для сзади-клиента стоящей сети. Если у кого есть опыт настроки простого бриджевания (не Ethernet), поделитесь пожалуйста. Пытаюсь подружить FreeBSD в качестве сервера и Винду в качестве клиента. Дружили, но накойто необходимость выдавать адреса с обеих сторон из одной подсети совсем не радовала (а вот FreeBSD->FreeBSD и адреса 10.xx.xx.xx->real IP - как раз то,что нужно). При этом конфиге тунель устранавливается, я вижу оба адреса тунеля и все. Ни дефолтгейтвей, ни ДНС не выдается А что-то я не вижу, откуда это опенвпн придумает что выдавать клиенту и надо ли вообще...
да и дальше этих двух адресов ничего никуда не ходит ( Естественно. На клиенте "route add чёто-там xxx.xxx.xxx.253" написать - и если сервер таки роутит - то всё начнёт работать. По идее(но не помню), со стороны сервера можно выдать "всё необходимое", но если нет - то нужно на стороне клиента это всё выставлять - или руками, или бат-файл, или в свойствах подключения openvpn.
вот конфиг сервера:
proto udp dev tun port 5001 ifconfig xxx.xxx.xxx.253 xxx.xxx.xxx.254 secret /etc/openvpn/key.key ping 30 verb 3 user openvpn group openvpn tun-mtu 1500 auth MD5 cipher DES-CBC Фантастычна шютка :). Возьмите хоть BF-CBC (кажись он дефолтный). Хотя в целом - "нафигнада"... Но если нужно - то что-то посерьёзнее DES/3DES. Ещё полезно shaper вписать - чтоб не засыпать клиентский канал непролазной кучей пакетов. comp-lzo log /var/log/openvpn.log persist-key persist-tun
Вот конфиг клинта:
remote xxx.xxx.xxx.xxx dev-node FreeBSD dev tun port 5001 ifconfig xxx.xxx.xxx.254 xxx.xxx.xxx.253 secret key.txt ping 30 verb 3 auth MD5 cipher DES-CBC comp-lzo
На сервере:
gateway_enable=YES
На циске сеть зароучена на сервер. "из кустов выкатился рояль". Но вот пакеты до него без попревленной таблицы маршрутизации - точно не доедут.
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message