несколько примеров настройки.
Отличие от типичной конфигурации что – из одной сети доступен 2-й офис или магазин и с точностью до наоборот тоже.
Если не работает то читаем здесь и делаем еще раз.
В 3-м примере клиент openvpn это просто отдельная машинка с FreeBSD 13 используется как сервер и серьезный веб сайт. она в подземном хранилище.
Да , тип соединения openvpn shared key то есть ключ одинаковый у всех.
Если не получается ни в какую – тут есть связь офисов просто через 2 сервера виндоуз. Работает так же надежно, полгода вообще не трогал было дело. Но я считаю что FreeBSD надежнее. Диск жесткий только магнитный например Hitachi 7200 4tb. Да ssd побыстрее но чаще дохнут.
Все начинается с установки системы. Два варианта – виртуалбокс (в настройках сети разрешить все) или гипер-ви . да еще и третий = поставить на выделенный сервер. Скачать тогда не образ dvd а образ флешки – сейчас система FreeBSD а она в основе сборки ставится как windows 10 с usb флешки. Записать ее из линукса или через Rufus например.
статья исправляется
Сначала результат а не как лазить по меню и какую кнопку нажимать. Ключ на устройстве заменил но его можно и оставить а лучше сделать новый..
Есть 2 рабочих места в офисе и 2 в другом и
они работают как будто в одной комнате и с одним сервером. А между ними 800 км. (Первый рабочий вариант делал Москва Минск и это был 2000 сервер и потом 2003 ). На роутере microsoft windows server. Routing (Firewall) Remote Access (server 2003 – 2008 -2012 – 2016 2019) / там то же самое настраивается и работает. Смотрим здесь запись.
Блок настроек сервера (/cf/conf/config.xml)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 |
<?xml version="1.0"?> <pfsense> <version>22.0</version> <lastchange></lastchange> <system> <optimization>normal</optimization> <hostname>pfSense</hostname> <domain>home.arpa</domain> <dnsserver></dnsserver> <dnsallowoverride></dnsallowoverride> <group> <name>all</name> <description><![CDATA[All Users]]></description> <scope>system</scope> <gid>1998</gid> </group> <group> <name>admins</name> <description><![CDATA[System Administrators]]></description> <scope>system</scope> <gid>1999</gid> <member>0</member> <priv>page-all</priv> </group> <user> <name>admin</name> <descr><![CDATA[System Administrator]]></descr> <scope>system</scope> <groupname>admins</groupname> ... <ssh> <enable>enabled</enable> <sshdagentforwarding>enabled</sshdagentforwarding> <port>429</port> </ssh> ** 429 port not 22 .. <pkg_repo_conf_path>/usr/local/share/pfSense/pkg/repos/pfSense-repo-devel. conf</pkg_repo_conf_path> ** pkg install mc (update all first) Enable Freebsd - disable before update .. <interfaces> <wan> <enable></enable> <if>em0</if> <descr><![CDATA[WAN]]></descr> <spoofmac></spoofmac> <ipaddr>192.168.0.250</ipaddr> <subnet>24</subnet> <gateway>WANGW</gateway> </wan> <lan> <descr><![CDATA[LAN1]]></descr> <if>ovpns1</if> <spoofmac></spoofmac> <enable></enable> </lan> </interfaces> <staticroutes></staticroutes> .. <filter> <rule> <id></id> <tracker>1630599946</tracker> <type>pass</type> <interface>wan</interface> <ipprotocol>inet</ipprotocol> <tag></tag> <tagged></tagged> <max></max> <max-src-nodes></max-src-nodes> <max-src-conn></max-src-conn> <max-src-states></max-src-states> <statetimeout></statetimeout> <statetype><![CDATA[keep state]]></statetype> <os></os> <protocol>tcp</protocol> <source> <any></any> </source> <destination> <any></any> </destination> <descr></descr> <created> .. </created> </rule> <rule> <id></id> <tracker>0100000101</tracker> <type>pass</type> <interface>wan</interface> <ipprotocol>inet</ipprotocol> <tag></tag> <tagged></tagged> <max></max> <max-src-nodes></max-src-nodes> <max-src-conn></max-src-conn> <max-src-states></max-src-states> <statetimeout></statetimeout> <statetype><![CDATA[keep state]]></statetype> <os></os> <source> <any></any> </source> <destination> <any></any> </destination> <descr><![CDATA[Default allow LAN to any rule]]></descr> ** <rule> <id></id> <tracker>1630599992</tracker> <type>pass</type> <interface>openvpn</interface> <ipprotocol>inet</ipprotocol> <tag></tag> <tagged></tagged> <max></max> <max-src-nodes></max-src-nodes> <max-src-conn></max-src-conn> <max-src-states></max-src-states> <statetimeout></statetimeout> <statetype><![CDATA[keep state]]></statetype> <os></os> <protocol>tcp</protocol> <source> <any></any> </source> <destination> <any></any> </destination> <descr></descr> <updated> <separator> <wan></wan> <openvpn></openvpn> <lan></lan> </separator> </filter> ** исправлено все на * any to any ... <openvpn> <openvpn-server> <vpnid>1</vpnid> <mode>p2p_shared_key</mode> <protocol>TCP4</protocol> <dev_mode>tun</dev_mode> <interface>wan</interface> <ipaddr></ipaddr> <local_port>62317</local_port> <description><![CDATA[meow]]></description> <custom_options>push "route 10.13.13.0 255.255.255.0"pus h "route 192.168.0.0 255.255.255.0"</custom_options> <shared_key>Iw0KIyAyMDQ4IGJpdCBPcGVuVlBOIHN0YXRpYyBrZXkNCiMNCi0tLS 0tQkVHSU4gT3BlblZQTiBTdGF0aWMga2V5IFYxLS0tLS0NCjkzY2FiOGExOWYyZDQ5ZWNlYjZiYzEyM2UxNDk0MmRi DQoxYTQzODExZTI3YjQ5NmU5Nzg4MGZiNDlmZTA3ZDg5Mg0KMGQ2YjM5YmFkODA2MWEzNmEyZWZjNzE5YmEwOGY4Nz gNCjQwMjRmNzFkN2NmNWY5MGZiOGQxZDQyMTNlMTY4MzE5DQowZmVlN2FlYzRiOTQ5MjRiZDZkOWRlMzA1MWY0YWRj MA0KODE5YTQzZTZmZGFmNjk0MjdkZDQ1Mjg3ZmU0MTIwZjYNCjA0MDgzNmI2NzM2ZjYyNWVmYjhjYWZiNDU5YTEyZD I5DQphODUwYmQ5ZDg4NjI5OGNmNmRjNDg2NWFiZWZlYTVhOA0KYzkxZTkzMzY4M2UyYWNiMzJkYjJiOTFiMWY2NWUw ZWINCmMyMGY5NDM3YmY3OThmMTUzNWY1MjNiZGY5OWU5ZjA2DQoyNDk0ZmZmZWU1NTkyOWNjOGZkODg1NjE0M2Y0MG I1ZQ0KOThjZDQ0OGIyZWUwYzdmYzgwMjA0YzgyZjY1YmZiNTgNCjZlNDg4MDQ3Yjk2ZDIyYzY2YjkxN2U5MzA1NGRh YmFlDQplYzZiZGY5MjM3NjYxYTE3MGUyMDgyODlhODJhMmVkNA0KNGI5NzhkYmQwZWU3NGQ5MTdhNTA5NzEzOWUyYj JiMjINCmNmMDcwZWZhMDAzZGNkM2NiYzg2YzI4YzhkMmNhM2VlDQotLS0tLUVORCBPcGVuVlBOIFN0YXRpYyBrZXkg VjEtLS0tLQ0M</shared_key> <data_ciphers_fallback>AES-256-CBC</data_ciphers_fallback> <digest>SHA256</digest> <engine>none</engine> <tunnel_network>10.13.13.0/24</tunnel_network> <tunnel_networkv6></tunnel_networkv6> <remote_network>192.168.178.0/24,192.168.40.0/24</remote_network> <remote_networkv6></remote_networkv6> <gwredir></gwredir> <gwredir6></gwredir6> <local_network></local_network> <local_networkv6></local_networkv6> <maxclients>3</maxclients> <allow_compression>asym</allow_compression> <compression>lz4-v2</compression> <compression_push></compression_push> <passtos>yes</passtos> <client2client>yes</client2client> <dynamic_ip></dynamic_ip> <topology>subnet</topology> <serverbridge_dhcp></serverbridge_dhcp> <serverbridge_interface>none</serverbridge_interface> <serverbridge_routegateway></serverbridge_routegateway> <serverbridge_dhcp_start></serverbridge_dhcp_start> <serverbridge_dhcp_end></serverbridge_dhcp_end> <username_as_common_name><![CDATA[disabled]]></username_as_common_ name> <sndrcvbuf>2097152</sndrcvbuf> <netbios_enable></netbios_enable> <netbios_ntype>0</netbios_ntype> <netbios_scope></netbios_scope> <create_gw>v4only</create_gw> <verbosity_level>5</verbosity_level> <data_ciphers>AES-256-GCM,AES-128-CBC,CHACHA20-POLY1305</data_ciph ers> <ncp_enable>enabled</ncp_enable> <ping_method>keepalive</ping_method> <keepalive_interval>10</keepalive_interval> <keepalive_timeout>60</keepalive_timeout> <ping_seconds>10</ping_seconds> <ping_push></ping_push> <ping_action>ping_restart</ping_action> <ping_action_seconds>60</ping_action_seconds> <ping_action_push></ping_action_push> <inactive_seconds>0</inactive_seconds> </openvpn-server> ** добавлен маршрут и client2client адрес внутренней сети у известного модема Акадо телеком ** дополнительные команды прописываются в окошке через веб конфигуратор, при настройке можно напрямую в файл --------- напрямую настройка сервера удаленного доступа (FreeBSD 12 - 13 или Ubuntu 20+) openvpn server ... config.ovpn chmod 644 dev ovpns1 verb 5 dev-type tun dev-node /dev/tun1 writepid /var/run/openvpn_server1.pid #user nobody #group nobody script-security 3 daemon keepalive 10 60 ping-timer-rem persist-tun persist-key proto tcp4-server auth SHA256 up /usr/local/sbin/ovpn-linkup down /usr/local/sbin/ovpn-linkdown local 192.168.178.34 ifconfig 10.11.11.1 10.11.11.2 lport 62319 management /var/etc/openvpn/server1/sock unix max-clients 3 route 192.168.0.0 255.255.255.0 route 192.168.40.0 255.255.255.0 secret /var/etc/openvpn/server1/secret data-ciphers AES-256-GCM:AES-128-CBC:CHACHA20-POLY1305:AES-256-CBC data-ciphers-fallback AES-256-CBC allow-compression asym compress lz4-v2 passtos sndbuf 2097152 rcvbuf 2097152 push "route 10.11.11.0 255.255.255.0" push "route 192.168.178.0 255.255.255.0" #client-connect /usr/local/sbin/openvpn.attributes.sh #client-disconnect /usr/local/sbin/openvpn.attributes.sh #tls-server #server 10.11.11.0 255.255.255.0 #client-config-dir /var/etc/openvpn/server1/csc #username-as-common-name #plugin /usr/local/lib/openvpn/plugins/openvpn-plugin-auth-script.so /usr/local/sbin/ovpn_auth_verify_async user XXX= false server2 51094 #tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'MEOOW' 1" #duplicate-cn #capath /var/etc/openvpn/server1/ca #cert /var/etc/openvpn/server1/cert. #key /var/etc/openvpn/server1/key. #dh /etc/dh-parameters.2048 #tls-auth /var/etc/openvpn/server1/tls-auth 0 #persist-remote-ip #float #topology subnet это настройка по паролю - shared key - и соединяется только 1 клиент - другой сервер строки снизу # - настройка по ключам и сертификатам, может подключаться много клиентов (remote access server) |
1 |
этот блок на втором сервере – он клиент
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 |
<openvpn-client> <auth_user></auth_user> <auth_pass></auth_pass> <proxy_user></proxy_user> <proxy_passwd></proxy_passwd> <vpnid>1</vpnid> <protocol>TCP4</protocol> <dev_mode>tun</dev_mode> <interface>wan</interface> <ipaddr></ipaddr> <local_port></local_port> <server_addr>194.85.15.198</server_addr> <server_port>62317</server_port> <proxy_addr></proxy_addr> <proxy_port></proxy_port> <proxy_authtype>none</proxy_authtype> <description><![CDATA[bridge-site2]]></description> <mode>p2p_shared_key</mode> <topology>subnet</topology> <custom_options></custom_options> <shared_key>Iw0KIyAyMDQ4IGJpdCBPcGVuVlBOIHN0YXRpYyBrZXkNCiMNCi0tLS0tQkVHSU4gT3BlblZQTiBTdGF0aWMga2V5IFYxLS0tLS0NCjkzY2FiOGExOWYyZDQ5ZWNlYjZiYzEyM2UxNDk0MmRiDQoxYTQzODExZTI3YjQ5NmU5Nzg4 MGZiNDlmZTA3ZDg5Mg0KMGQ2YjM5YmFkODA2MWEzNmEyZWZjNzE5YmEwOGY4NzgNCjQwMjRmNzFkN2NmNWY5MGZiOGQxZDQyMTNlMTY4MzE5DQowZmVlN2FlYzRiOTQ5MjRiZDZkOWRlMzA1MWY0YWRjMA0KODE5YTQzZTZmZGFmNjk0MjdkZDQ1Mjg3ZmU0MTIwZjYNCjA0MDgz NmI2NzM2ZjYyNWVmYjhjYWZiNDU5YTEyZDI5DQphODUwYmQ5ZDg4NjI5OGNmNmRjNDg2NWFiZWZlYTVhOA0KYzkxZTkzMzY4M2UyYWNiMzJkYjJiOTFiMWY2NWUwZWINCmMyMGY5NDM3YmY3OThmMTUzNWY1MjNiZGY5OWU5ZjA2DQoyNDk0ZmZmZWU1NTkyOWNjOGZkODg1NjE0 M2Y0MGI1ZQ0KOThjZDQ0OGIyZWUwYzdmYzgwMjA0YzgyZjY1YmZiNTgNCjZlNDg4MDQ3Yjk2ZDIyYzY2YjkxN2U5MzA1NGRhYmFlDQplYzZiZGY5MjM3NjYxYTE3MGUyMDgyODlhODJhMmVkNA0KNGI5NzhkYmQwZWU3NGQ5MTdhNTA5NzEzOWUyYjJiMjINCmNmMDcwZWZhMDAz ZGNkM2NiYzg2YzI4YzhkMmNhM2VlDQotLS0tLUVORCBPcGVuVlBOIFN0YXRpYyBrZXkgVjEtLS0tLQ0M</shared_key> <data_ciphers_fallback>AES-256-CBC</data_ciphers_fallback> <digest>SHA256</digest> <engine>none</engine> <tunnel_network>10.13.13.0/24</tunnel_network> <tunnel_networkv6></tunnel_networkv6> <remote_network>192.168.0.0/24</remote_network> <remote_networkv6></remote_networkv6> <use_shaper></use_shaper> <allow_compression>asym</allow_compression> <compression>lz4-v2</compression> <auth-retry-none></auth-retry-none> <passtos>yes</passtos> <udp_fast_io></udp_fast_io> <exit_notify></exit_notify> <sndrcvbuf>2097152</sndrcvbuf> <route_no_pull></route_no_pull> <route_no_exec></route_no_exec> <dns_add></dns_add> <verbosity_level>5</verbosity_level> <create_gw>v4only</create_gw> <data_ciphers>AES-256-CBC,AES-128-CBC,CHACHA20-POLY1305</data_ciphers> <ncp_enable>enabled</ncp_enable> <ping_method>keepalive</ping_method> <keepalive_interval>10</keepalive_interval> <keepalive_timeout>60</keepalive_timeout> <ping_seconds>10</ping_seconds> <ping_action>ping_restart</ping_action> <ping_action_seconds>60</ping_action_seconds> <inactive_seconds>0</inactive_seconds> </openvpn-client> ** any to any pass * все интерфейсы добавлены и там прописано то же самое! |
pFirewall
это обозначает отключить к **#@@%* *@$%* <beep>
Но не перестараться – именно firewall управляет маршрутами.
еще один комп (freebsd) – только одновременно 2 компьютера соединены сервер и клиент – если надо 3 то можно на 3-м еще прописать сервер и на 2-м еще один клиент. Адреса внутренние изменить на вторых записях. (а на винде – маршрутизация и удаленный доступ система понимает 3 точки.. но встречные соединения надо)
. Это просто установлен Openvpn и скопирована пара скриптов от pfsense – не обязательно и дописано 2 для запуска. ./pusk .. соединение .. killall openvpn разъединение.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 |
openvpn-client config.ovpn (это содержимое файла pusk) chmod 777 (+X) ./openvpn-client config (команда) ... #!/bin/sh exec /usr/local/sbin/openvpn --script-security 2 \ --up /usr/local/libexec/openvpn-client.up \ --plugin openvpn-plugin-down-root.so /usr/local/libexec/openvpn-client.down \ --config "$@" ... в файл openvpn-client chmod +X igb0 (в файл interface) исправить правильно какой там на компе ... config.ovpn #dev ovpnc1 dev tun1 verb 7 log /var/log/openvpn.log dev-type tun dev-node /dev/tun1 #dev-node /dev/ovpnc1 writepid /var/run/openvpn_client1.pid #user nobody #group nobody script-security 3 daemon keepalive 10 60 ping-timer-rem persist-tun persist-key proto tcp4-client auth SHA256 up /usr/local/sbin/ovpn-linkup down /usr/local/sbin/ovpn-linkdown local 192.168.178.34 lport 0 management /var/etc/openvpn/client1/sock unix remote 194.85.15.198 62317 tcp4-client ifconfig 10.13.13.3 10.13.13.1 #route 192.168.40.0 255.255.255.0 route 192.168.0.0 255.255.255.0 secret /var/etc/openvpn/client1/secret data-ciphers AES-128-GCM:AES-256-CBC data-ciphers-fallback AES-256-CBC allow-compression asym compress lz4-v2 passtos resolv-retry infinite sndbuf 2097152 rcvbuf 2097152 ... config.ovpn xwost /var/etc/openvpn/client1/secret 657/657 100% # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- 93cab8a19f2d49eceb6bc123e14942db 1a43811e27b496e97880fb49fe07d892 0d6b39bad8061a36a2efc719ba08f878 4024f71d7cf5f90fb8d1d4213e168319 0fee7aec4b94924bd6d9de3051f4adc0 819a43e6fdaf69427dd45287fe4120f6 040836b6736f625efb8cafb459a12d29 a850bd9d886298cf6dc4865abefea5a8 c91e933683e2acb32db2b91b1f65e0eb c20f9437bf798f1535f523bdf99e9f06 2494fffee55929cc8fd8856143f40b5e 98cd448b2ee0c7fc80204c82f65bfb58 6e488047b96d22c66b917e93054dabae ec6bdf9237661a170e208289a82a2ed4 4b978dbd0ee74d917a5097139e2b2b22 cf070efa003dcd3cbc86c28c8d2ca3ae -----END OpenVPN Static key V1----- v fail secret |
с настройкой через ssh ну да там в линуксе вот такая команда – ( ssh user@host -p 422 ) это уже может подходить под заголовок сайта. Не просто подсказка сисадмину – изучить на английском соединение через командную строку, а там и с одного на другой совсем просто соединиться и есть ключ и пароль или только ключ или только пароль.