Мы — долго запрягаем, быстро ездим, и сильно тормозим.
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
www.lissyara.su
—> главная
|
|
После чего генерим ключ:
|
И делаем такой конфиг /usr/local/etc/vpnd.conf
|
После чего добавляем пару строк в /etc/rc.conf и запускаем демона:
|
В итоге у нас появился новый интерфейс sl0, и слушаемый порт - tcp:599. Сразу разрешаем его в файрволле, строками типа (до natd!):
|
где ${IpOut} - внешний IP машины, ${LanOut} - внешняя сетевуха, ${LanTunnel} - имя туннельного интерфейса (sl0 - но я не уверен в необходимости этого правила, ибо без него работает, но по этому правилу ходят пакеты - подозреваю оно перекрывалось каким-то другим. Лучше добавить.)
Всё. Идём на другую машину, захватив с собой нагенерённый ключ - он должен быть одинаковым (я по ftp перенёс, хотя это несекурно :))). Для начала выставляем права на ключ:
|
Затем ставим vpnd из портов, как и на первой машине, и делаем такой конфиг:
|
Конфиги отличаются совсем немного - тремя строками. После чего запускаем vpnd:
|
Тут была засада - неверный путь в скрипте запуска. Поправил на тот, что в 4.11 (/usr/local/etc/rc.subr), и всё завелось:
|
Добавляем в файрволл такие правила:
|
и пробуем пингануть удалённую машину:
/usr/home/lissyara/>ping 192.168.10.254 PING 192.168.10.254 (192.168.10.254): 56 data bytes 64 bytes from 192.168.10.254: icmp_seq=0 ttl=64 time=140.558 ms 64 bytes from 192.168.10.254: icmp_seq=1 ttl=64 time=141.514 ms 64 bytes from 192.168.10.254: icmp_seq=2 ttl=64 time=139.954 ms 64 bytes from 192.168.10.254: icmp_seq=3 ttl=64 time=139.423 ms 64 bytes from 192.168.10.254: icmp_seq=4 ttl=64 time=139.855 ms 64 bytes from 192.168.10.254: icmp_seq=5 ttl=64 time=141.216 ms ^C --- 192.168.10.254 ping statistics --- 6 packets transmitted, 6 packets received, 0% packet loss round-trip min/avg/max/stddev = 139.423/140.420/141.514/0.751 ms /usr/home/lissyara/> |
Тока не надо пугаться временем ответа - в этом виноват не vpn а поганый провайдер...
Итак, все забегало, но пока лишь между этими машинами - надо добавить роутинг, чтобы можно было лазить между сетями - действия одинаковые для обоих машин, только будут разные в таблицах роутинга. Ввиду того, что скрипты в /usr/local/etc/rc.d запускаются в алфавитном порядке, у меня возникли проблемы - у меня уже был файл, заполнявший таблицу маршрутизации (кстати, её можно посмотреть командой netstat -r), и назывался он вполне логично - route.sh, и запускаться он должен был до vpn. Потому пришлось схитрить:
|
Теперь вначале будет запускаться VPN а потом мой скипт, такого содержания:
/usr/local/etc/rc.d/route.sh:
|
|
После чего делаем его выполняемым, и запускаем.
|
И становятся видны машины внутри сетей:
/usr/local/etc/rc.d/>ping 192.168.10.1 PING 192.168.10.1 (192.168.10.1): 56 data bytes 64 bytes from 192.168.10.1: icmp_seq=0 ttl=127 time=140.528 ms 64 bytes from 192.168.10.1: icmp_seq=1 ttl=127 time=140.671 ms 64 bytes from 192.168.10.1: icmp_seq=2 ttl=127 time=140.117 ms 64 bytes from 192.168.10.1: icmp_seq=3 ttl=127 time=140.556 ms 64 bytes from 192.168.10.1: icmp_seq=4 ttl=127 time=140.991 ms ^C --- 192.168.10.1 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 140.117/140.573/140.991/0.281 ms /usr/local/etc/rc.d/> |
P.S. Советую прочесть документацию на сайте разработчика и идущую в комплекте, возможности по конфигурированию гораздо шире - в частности, вторая машина (клиент) может иметь динамический адрес, можно определить время жизни ключа, и отключить компрессию (по дефолту она включена) и многое другое.
P.S.2 Решение не самое быстрое, на сетях между которыми большое время отклика. Поэтому мне придётся искать что-то другое... :(
|
lissyara, 2006-03-16 в 15:46:38
Чё-то там наверчено... Тут попроще решение надо. Хотя - тоже надо будет поразбираться - для больших сетей с большим количеством туннелей mpd больше подойдёт.
Видимо, буду racoon2 терзать. Тяжело быть первопроходцем, по нему вообще нигде ничего нет :)))
HOSTER, 2007-07-14 в 1:20:44
Круто !))) Мне понравилось !)))
Stan, 2007-08-09 в 11:49:30
БГГ... по опенвпн и невнятные доки??? БУГАГА...
Даже примеры конфигов есть...
А ко всему нуна голова... На которую не только шапку надевать можно...
Гость, 2010-05-19 в 13:18:54
Сегодня смотрел в репозиториях:
Port: security/vpnd
Moved:
Date: 2010-05-02
Reason: Has expired: This software is no longer developed
ufs, 2011-01-02 в 17:11:47
Интересно, а какой VPN не поднимается в течении 15 минут?)
2011-03-13, terminus
ng_nat
Описание работы ng_nat, практическое использование, достоинства и недостатки в сравнении с ipfw nat
2011-02-20, Капитан
Nagios+Digitemp
Статья описывает создание системы оповещения о превышении температуры в специальных помещениях на основе Nagios с использованием программы Digitemp.
2011-02-17, Le1
Zyxel Configuration
Скрипт для массового изменения конфига свичей Zyxel. Берет из файла iplist список ip-шек, заходит последовательно на каждый и выполняет комманды из файла commands, записывая происходящее в лог файл.
2011-02-16, fox
hast carp zfs ucarp cluster
HAST (Highly Available Storage), CARP, UCARP, ZFS, Cluster настройка и одаптация плюс личные размышления…
2011-02-04, BlackCat
Восстановление ZFS
История о том, как был восстановлен развалившийся RAIDZ ZFS-пул (перешедший в FAULTED) с помощью скотча и подручных средств. Или о том, какие приключения ожидают тех, кто не делает резервных копий.
2011-02-03, Капитан
1-Wire
Статья описывает самостоятельное изготовление контроллера DS9097 для съёма показаний с датчиков температуры DS1820 с помощью программы Digitemp.
2011-01-28, Капитан
Температура в серверной
Статья описывает построение системы наблюдения за температурой в помещении серверной с использованием программы Digitemp и выводом графиков в MRTG
2011-01-21, m4rkell
Syslog server
Как то буквально на днях, у нас завалилось, что то в еве) или не в еве не суть. Суть в том, что когда захотели снять логи с хостов esx обнаружили, что хранят эти негодяи логии только за последнии сутк
2011-01-11, Fomalhaut
cvs, svn, portsnap
Обновление сорцов системы через CVS и SVN, портов - CVS и portsnap. Обновление через Proxy-сервер.
2011-01-07, lissyara
Canon/gphotofs
Монтирование цифровых фотоаппаратов Canon (PTP) как файловой системы, автоматизация этого процесса через события devd и внешние скрипты.
2010-12-13, Al
IPSec
Описание принципов работы IPSEC и способов аутентификации.
2010-12-07, manefesto
FreeBSD on flash
Было принято решении переехать на USB Flash и установить минимальный джентельменский набор для работы своего роутера. Делаем =)
2010-12-05, Fomalhaut
root ZFS, GPT
Инструкция по установке FreeBSD с использованием в качестве таблицы разделов GPT и в качестве основной файловой системы - ZFS
2010-09-05, Cancer
Настройка аудиоплеера на ximp3
Цели: Простенький аудиоплеер, для того что бы тетя продавец в магазине утром пришла нажала на кнопку Power и заиграла в зале музыка, так же был доступ по сети, общая шара куда можно заливать музыку, к
2010-08-31, Cancer
Установка и настройка OpenVPN
На днях появилась задача - объединить головной офис и 3 филиала в одну сеть через интернет посредством OpenVPN, чтобы люди могли подключаться через RDP к базам 1С на серверах.
2010-08-25, manefesto
freebsd lvm
Использование linux_lvm для работы с LVM разделами из-под FreeBSD. Проблемы которые возники при монтирование lvm раздела
вверх
|
Этот информационный блок появился по той простой причине,
что многие считают нормальным, брать чужую информацию не уведомляя автора
(что не так страшно), и не оставляя линк на оригинал и автора — что более существенно.
Я не против распространения информации — только за. Только условие простое — извольте
подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой,
незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
Если соизволите поставить автора в известность — то вообще почёт вам и уважение.
© lissyara 2006-10-24 08:47 MSK
kelt, 2006-03-16 в 15:09:17
Советую глянуть ещё и MPD, уж больно гибко его можно настроить, и под разные , оч разные нужды.
/usr/ports/net/mpd/