Перейти к содержимому
Калькуляторы

Mike84

Пользователи
 Просмотреть профиль  Активность

  • Публикации

    14

  • Зарегистрирован

  • Посещение

 Тип публикации 

Сообщения, опубликованные пользователем Mike84

  2. Опубликовано · Жалоба на ответ

    4 часа назад, dvb2000 сказал:

    Во первых нужны коммутаторы которые вменяемо поддерживают протокол который будет переключать линки между собой. Такой протокол это например MSTP или же в худшем случае RSTP. И это конечно же не могут быть микротики. Кроме того нужно два устройства которые создадут L2 шифрованной туннель, например OpenVPN в режиме TAP. Это могут быть два специализированных компьютера на которых установлен PFSense например. Есть конечно и другие опции как скажем MACSec, но они менее приемлемы.

    Спасибо, обязательно учту!

    3 часа назад, ShyLion сказал:

    PSK приличный сделайте. Или сертификаты используйте.

    Спасибо!

  4. Опубликовано · Жалоба на ответ

    Добрый день всем!

    Думаю создать вот такую сеть, которая включает два отдаленных здания. Между ними есть оптика, но обязательно нужно запасной беспроводной канал связи. все компьютеры (одного и второго зданий) находятся в одной сети (к примеру 192.168.0.0/24) (в сети до 10 пользователей - не так много). Что можно предпринять, чтобы если использовать беспроводное соединение, чтобы оно было достаточно защищенное? Конечно можно создать закрытое беспроводное соединение, скажем WPA2, использую пароль. Но этого маловато..., хотелось бы еще как-то защитить линию связи между коммутаторами (создать туннель vpn или...). Подскажите пожалуйста что-то дельное, лучше по инструкции.

    Коммутатор № 1 - D-Link DGS-1210-10, коммутатор № 2 - MikroTik RB260GS, маршрутизатор - MikroTik hEX RB750Gr3. Оборудование не панацея. 

    IMG_20190730_174024.jpg

  6. Опубликовано · Изменено пользователем Mike84 · Жалоба на ответ

    В 18.06.2019 в 15:44, Mike84 сказал:

    Спасибо, попробую!

     

    Отлично!!! Сделал вот так! image.png.8aed0b0b89ee1e3f26eb7436722a6d92.png и Все подключилось!!! СПАСИБО!!!

    Спасибо! Я это уже сделал и все пошло!

     

    Далее пробую решить проблему - нужно, чтобы все устройства (КлиентыVPN), подключаемые к СерверуVPN (ip на сетевой карте 192.168.1.102, внешний ip 31.31.18.138, ip vpn 10.10.10.1), находились в одной локальной сети 192.168.1.0 и выходили в internet только через машину-сервер (т.е. через ip 31.31.18.138). Пока этого не получается, т.к. у клиента после подключения к vpn так и остался его старый внешний ip адрес.

    Пробовал с командой push "redirect-gateway def1", но пока ничего не вышло...

    Приведу конфиги, может натолкнете на решение.

     

    Конфиг Сервера 

    dev-node "ServerVPN"
mode server
port 55555
dev tap
dev-node ServerVPN
proto udp
remote-cert-tls client
tls-server
tls-auth C:\\OpenVPN\\config\\ta.key 0
duplicate-cn
auth MD5
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
ca "C:\\OpenVPN\\config\\Server\\ca.crt"
cert "C:\\OpenVPN\\config\\Server\\ServerVPN.crt"
key "C:\\OpenVPN\\config\\Server\\ServerVPN.key"
dh "C:\\OpenVPN\\config\\Server\\dh2048.pem"
server-bridge 10.10.10.1 255.255.255.0 10.10.10.10 10.10.10.20
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
duplicate-cn
client-to-client
cipher AES-256-CBC
max-clients 100
comp-lzo
persist-key
persist-tun
log         openvpn.log
verb 3
explicit-exit-notify 1
route-delay 10
route-method exe
route 10.10.10.0 255.255.255.0
route-gateway 10.10.10.1

    Конфиг Клиента

      

    dev-node "ClientVPN"
remote 31.31.18.138 
proto udp
port 55555 
client
dev tap
tls-client
tls-auth C:\\OpenVPN\\config\\ta.key 1
remote-cert-tls server
route-delay 2
auth MD5
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
ca ca.crt
cert mike.crt
key mike.key
pull
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
verb 3
route-method exe
route-delay 3

    При подключении Сервер даёт эти строки, подсвеченные красным: 

    Thu Jun 20 14:34:37 2019 NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to
Thu Jun 20 14:34:37 2019 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Thu Jun 20 14:34:48 2019 Could not determine IPv4/IPv6 protocol. Using AF_INET6

    Тем не менее все подключается и горят зеленые мониторчики.

    Проверив с машины клиента ее внешний ip не выдает внешний ip машины Сервера.

     

    Мне было бы желательно использовать tun, чтобы можно было подключаться с телефона, но тут точно пока не знаю как. Много инфы перевернул, но пока решения нет конкретного...
     

    Подскажите пожалуйста кто может!

  7. Опубликовано · Жалоба на ответ

    2 часа назад, DDR сказал:

    Заменить в конфиге клиента 

    
remote 31.31.18.138
proto tcp-server

    на 

    
remote 31.31.18.138 55555 tcp-client

    Простите не понял.., а что это даст/изменит? не понял к чему это написано?

  8. Опубликовано · Изменено пользователем Mike84
    забыл дописать     · Жалоба на ответ

    В режиме tun

    ip компьютера-сервера 192.168.1.102, его ip в vpn сети 10.10.10.1

    ip компьютера-клиента 192.168.0.254, его ip в vpn сети 10.10.10.6

     

    с обоих сторон мониторчики зеленые горят, т.е. vpn вроде как поднялся.

     

    Со стороны сервера 10.10.10.6 не пингуется и наоборот со стороны клиента сервер 10.10.10.1 тоже не пингуется...

    ---------------------------------------------------------------------------------------------------------------------------------------------

    В режиме tap

    ip компьютера-сервера 192.168.1.102, его ip в vpn сети 10.10.10.1

    ip компьютера-клиента 192.168.0.254, его ip в vpn сети 10.10.10.2

     

    с обоих сторон мониторчики зеленые горят, т.е. vpn вроде как поднялся.

     

    Со стороны сервера клиент 10.10.10.2 пингуется и наоборот со стороны клиента сервер 10.10.10.1 тоже пингуется...

  9. Опубликовано · Жалоба на ответ

    39 минут назад, jffulcrum сказал:

    Может что-то и поменялось, но на НЕ-рутованном телефоне режим TAP у OpenVPN не работает. Работает режим TUN

    Спасибо! изменил в обоих конфигах на tun и телефончик подключился!

    Но сколько не читал, толком не могу понять...

    1. Компьютер с клиентским VPN в режиме tun не видит сетевые папки компьютера-сервера... И также компьютер-клиент как был под одним внешним ip, и после подключения к vpn так под ним и сидит... Т.е получается, что у компьютера клиентского формируется два канала, тот, который и был до подключения и + vpn к компьютеру сервера. Т.е. клиент после подключения к vpn становится в локалке с компьютером-сервером? но почему тогда он не видит папки общего доступа?

    Т.е. Что происходит с компьютером (какие возможности открываются), когда он подключается в режиме tun к сети vpn? или также, но в режиме tap?

    2. Когда телефон подключается в режиме tun к сети vpn, какие возможности у него открываются?

     

    Мне изначально нужно, чтобы все устройства, подключаемые к Серверу VPN находились в одной локальной сети и выходили в сеть только через машину-сервер. Но пока этого не получается, т.к. у клиента так и остался после подключения к сети vpb тот его старый внешний ip адрес.

     

  10. Опубликовано · Жалоба на ответ

    Т.е. получается у меня сам Сервер находится на компьютере с Windows 10, Клиент на компьютере с Windows 7. Теперь Хочу подключится со Смартфона с Android. Для этого отключаю Клиента на компьютере, потом копирую файлы mike.key; mike.crt; ca.crt; СlientVPN.ovpn; ta.key с клиентского компьютера на телефон. Устанавливаю на телефоне программу OpenVPN Connect. 

    Дается на выбор: 1. Connect to VPNCloud. 2. Connect to VPN Server. 3. Connect with .ovpn file.

    Я выбираю последнее (Connect with .ovpn file), ищу и указываю на файл в телефоне СlientVPN.ovpn. Но программа не подключается... Не знаю и почему...

  11. Опубликовано · Жалоба на ответ

    8 минут назад, jffulcrum сказал:

    Панель управления - Администрирование - Брандумаэр Windows в режиме повышенной безопасности - Входящие . Должно быть правило для OpenVPN, либо для программы, либо просто разрешающее определенные соединения (в вашем случае - TCP, порт 55555)

    Такое правило я создал image.thumb.png.4febb7413fd175c6f21abf10f2b6b68c.pngimage.thumb.png.3b626e6510f0ccef72055b207ce50ffd.png.

     

    11 минут назад, jffulcrum сказал:

    Что-то мне подсказывает, что proto должно быть tcp-client или просто tcp

    Спасибо, попробую!

     

    Отлично!!! Сделал вот так! image.png.8aed0b0b89ee1e3f26eb7436722a6d92.png и Все подключилось!!! СПАСИБО!!!

  12. Опубликовано · Изменено пользователем Mike84 · Жалоба на ответ

    8 минут назад, jffulcrum сказал:

    проверьте, что брандмауэр Windows разрешает трафик, как на сервере, так и на клиенте.

    как это правильно сделать?

     

    8 минут назад, jffulcrum сказал:

    На клиенте выключите IPv6.

    Отключил, путем снятия галочки image.thumb.png.e364b2ffd52eecb79792441400e46c0d.png

    Пока тоже самое...

  13. Опубликовано · Жалоба на ответ

    Если можно, помогите

    Конфиг сервера 

    dev-node "ServerVPN"
mode server
port 55555
dev tap
proto tcp-server
tls-server
tls-auth C:\\OpenVPN\\config\\ta.key 0
duplicate-cn
auth MD5
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
ca "C:\\OpenVPN\\config\\Server\\ca.crt"
cert "C:\\OpenVPN\\config\\Server\\ServerVPN.crt"
key "C:\\OpenVPN\\config\\Server\\ServerVPN.key"
dh "C:\\OpenVPN\\config\\Server\\dh2048.pem"
server 10.10.10.0 255.255.255.0
client-to-client
keepalive 10 120
cipher AES-128-CBC
comp-lzo
persist-key
persist-tun
verb 3
route-delay 10
route-method exe
route 10.10.10.0 255.255.255.0
route 192.168.0.0 255.255.255.0
route-gateway 10.10.10.1
push "route 192.168.2.0 255.255.255.0"

    конфиг клиента 

    dev-node "ClientVPN"
remote 31.31.18.138
client
port 55555
dev tap
proto tcp-server
tls-client
tls-auth C:\\OpenVPN\\config\\ta.key 1
remote-cert-tls server
route-delay 2
auth MD5
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
ca ca.crt
cert mike.crt
key mike.key
pull
cipher AES-128-CBC
comp-lzo
persist-key
persist-tun
verb 3
route-method exe
route-delay 3

    лог сервера 

    Tue Jun 18 15:02:08 2019 OpenVPN 2.4.7 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 25 2019
Tue Jun 18 15:02:08 2019 Windows version 6.2 (Windows 8 or greater) 64bit
Tue Jun 18 15:02:08 2019 library versions: OpenSSL 1.1.0j  20 Nov 2018, LZO 2.10
Enter Management Password:
Tue Jun 18 15:02:08 2019 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Tue Jun 18 15:02:08 2019 Need hold release from management interface, waiting...
Tue Jun 18 15:02:08 2019 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Tue Jun 18 15:02:08 2019 MANAGEMENT: CMD 'state on'
Tue Jun 18 15:02:08 2019 MANAGEMENT: CMD 'log all on'
Tue Jun 18 15:02:08 2019 MANAGEMENT: CMD 'echo all on'
Tue Jun 18 15:02:08 2019 MANAGEMENT: CMD 'bytecount 5'
Tue Jun 18 15:02:08 2019 MANAGEMENT: CMD 'hold off'
Tue Jun 18 15:02:08 2019 MANAGEMENT: CMD 'hold release'
Tue Jun 18 15:02:08 2019 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Tue Jun 18 15:02:08 2019 Diffie-Hellman initialized with 2048 bit key
Tue Jun 18 15:02:08 2019 Outgoing Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Tue Jun 18 15:02:08 2019 Incoming Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Tue Jun 18 15:02:08 2019 interactive service msg_channel=0
Tue Jun 18 15:02:08 2019 ROUTE_GATEWAY 192.168.1.1/255.255.255.0 I=6 HWADDR=14:da:e9:01:1d:e2
Tue Jun 18 15:02:08 2019 open_tun
Tue Jun 18 15:02:08 2019 TAP-WIN32 device [ServerVPN] opened: \\.\Global\{203643F4-60F8-40F4-A281-94B5A6DE297A}.tap
Tue Jun 18 15:02:08 2019 TAP-Windows Driver Version 9.23 
Tue Jun 18 15:02:08 2019 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.10.10.1/255.255.255.0 on interface {203643F4-60F8-40F4-A281-94B5A6DE297A} [DHCP-serv: 10.10.10.0, lease-time: 31536000]
Tue Jun 18 15:02:08 2019 Sleeping for 10 seconds...
Tue Jun 18 15:02:18 2019 Successful ARP Flush on interface [5] {203643F4-60F8-40F4-A281-94B5A6DE297A}
Tue Jun 18 15:02:18 2019 MANAGEMENT: >STATE:1560859338,ASSIGN_IP,,10.10.10.1,,,,
Tue Jun 18 15:02:18 2019 MANAGEMENT: >STATE:1560859338,ADD_ROUTES,,,,,,
Tue Jun 18 15:02:18 2019 C:\Windows\system32\route.exe ADD 10.10.10.0 MASK 255.255.255.0 10.10.10.1
Tue Jun 18 15:02:18 2019 env_block: add PATH=C:\Windows\System32;C:\Windows;C:\Windows\System32\Wbem
Tue Jun 18 15:02:18 2019 C:\Windows\system32\route.exe ADD 192.168.0.0 MASK 255.255.255.0 10.10.10.1
Tue Jun 18 15:02:18 2019 env_block: add PATH=C:\Windows\System32;C:\Windows;C:\Windows\System32\Wbem
Tue Jun 18 15:02:18 2019 Could not determine IPv4/IPv6 protocol. Using AF_INET6
Tue Jun 18 15:02:18 2019 Socket Buffers: R=[65536->65536] S=[65536->65536]
Tue Jun 18 15:02:18 2019 setsockopt(IPV6_V6ONLY=0)
Tue Jun 18 15:02:18 2019 Listening for incoming TCP connection on [AF_INET6][undef]:55555
Tue Jun 18 15:02:18 2019 TCPv6_SERVER link local (bound): [AF_INET6][undef]:55555
Tue Jun 18 15:02:18 2019 TCPv6_SERVER link remote: [AF_UNSPEC]
Tue Jun 18 15:02:18 2019 MULTI: multi_init called, r=256 v=256
Tue Jun 18 15:02:18 2019 IFCONFIG POOL: base=10.10.10.2 size=253, ipv6=0
Tue Jun 18 15:02:18 2019 MULTI: TCP INIT maxclients=60 maxevents=64
Tue Jun 18 15:02:18 2019 Initialization Sequence Completed
Tue Jun 18 15:02:18 2019 MANAGEMENT: >STATE:1560859338,CONNECTED,SUCCESS,10.10.10.1,,,,

    Сервер подключается все в порядке! Внизу зеленым горит мониторчик.

     

    лог клиента 

    Tue Jun 18 15:04:35 2019 OpenVPN 2.4.7 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 25 2019
Tue Jun 18 15:04:35 2019 Windows version 6.1 (Windows 7) 64bit
Tue Jun 18 15:04:35 2019 library versions: OpenSSL 1.1.0j  20 Nov 2018, LZO 2.10
Enter Management Password:
Tue Jun 18 15:04:35 2019 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Tue Jun 18 15:04:35 2019 Need hold release from management interface, waiting...
Tue Jun 18 15:04:36 2019 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Tue Jun 18 15:04:36 2019 MANAGEMENT: CMD 'state on'
Tue Jun 18 15:04:36 2019 MANAGEMENT: CMD 'log all on'
Tue Jun 18 15:04:36 2019 MANAGEMENT: CMD 'echo all on'
Tue Jun 18 15:04:36 2019 MANAGEMENT: CMD 'bytecount 5'
Tue Jun 18 15:04:36 2019 MANAGEMENT: CMD 'hold off'
Tue Jun 18 15:04:36 2019 MANAGEMENT: CMD 'hold release'
Tue Jun 18 15:04:36 2019 Outgoing Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Tue Jun 18 15:04:36 2019 Incoming Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Tue Jun 18 15:04:36 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]31.31.18.138:55555
Tue Jun 18 15:04:36 2019 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue Jun 18 15:04:36 2019 Listening for incoming TCP connection on [AF_INET6][undef]:55555

    И все, больше ничего не происходит...

    На клиенте мониторчик остается желтым...

     

    Подскажите пожалуйста что это может быть за ошибка?

     

    На стороне сервера на роутере, который подключается к оператору связи пробросил порт 55555. В Брандмауэре сделал исключение для программы openvpn.exe и на стороне сервера и на стороне клиента.

  14. Опубликовано · Жалоба на ответ

    Всем доброго времени суток!

    Прошу сразу не сердиться и не пинать ибо я только начинаю исследовать данный вопрос.

    В настоящее время сложилась вот такая конфигурация (указана на схеме). Получается что существует отдельно 4 здания со своими АТС, которые подключены к одному оператору связи. в Офисе № 3 очень древняя АТС и постоянно с ней одни проблемы... Наименования Panasonic-ов в других Офисах так не помню на вскидку...

    Хотел рассмотреть альтернативную схему, при которой скажем будет одна единая программная АТС, а в других Офисах размещаться VOIP-шлюзы или VOIP-адаптеры. Хотелось бы так и оставить все аналоговые телефоны как есть, потому как покупать такое количество IP телефонов это полный кошмар...

    Подскажите пожалуйста как можно объединить всех абонентов в этих офисах при помощи одной программной АТС и какое для этого необходимо оборудование (хотя бы какие-то примеры). Понимаю, что трудности наверняка с таким большим числом аналоговых абонентов, но иначе ни как...

    Благодарю всех за разъяснения! 

    IMG_20190103_211453.jpg