Comments 27
Критика номер раз: весь текст до хабраката не о чем. Абсолютно не понятно о чем статья.
Хорошая была бы инструкция, если бы у пунктов были ясно читаемые заголовки и фраз вида «со всеми параметрами можно согласиться» было бы поменьше. Расписывать параметры — так расписывать, чтобы человек не оказался в облаке непонятных символов, открыв файл.
Вот это пожалуйста выделите:
Все нижесказанное будет касаться исключительно компьютеров под управлением различных версий Windows.
Незнаю как остальные, но мне статья понравилась.Все более менее понятно, занес в закладки.Думаю это пошаговое руководство как отправная точка для поднятия VPN.
Про оформление
Стоит сделать заголовки не цифрами, а именно «заголовками» <Hn> — так лучше будет видна структура документа. Пока что это просто портянка с текстом.
Кроме того, воды чересчур много. Подробно писать — это не значит лить воду. Вы очень много написали слов, а в то же время ни одного конкретного примера полного рабочего конфигурационного файла нет. Очень долго будет ковыряться человек, если что-то пропустит — а пропустит он наверняка, ведь заголовков нет и зацепиться глазу не за что.
По существу темы
Про сертификаты вы пишете чуть ли не прямо противоположное тому, что написано в документации OpenVPN. Да, можно купить сертификаты, можно приготовить самому, и рекомендуется именно второе и не потому, что бесплатно, а потому, что OpenVPN рассчитан на работу с собственным самоподписанным CA.
Если взбредёт в голову использовать купленные сертификаты — нужно иметь ввиду, что запросто можете поиметь себе геморрой. Без специальной нетривиальной настройки, любой сертификат, выданный тем же самым CA, будет подходить к вашему VPN.
Да и вообще, для указанных вами примеров я вообще не очень понимаю, зачем нужны сертификаты — для соединений точка-точка вообще идеально подходит PSK. Ключи имеет смысл использовать только для серверов доступа с многими клиентами.
По поводу путей и бэкслешей: если вы ovpn-файл помещаете в той же директории, что и ключи-сертификаты (по умолчанию — C:\Program Files\OpenVPN\config), то вообще полный путь к файлам писать необязательно. Учитывая, что автоматически создаваемый сервис OpenVPN стартует все ovpn-файлы из этой директории, там всё это и надо размещать, и не париться с путями.
Про DHCP-клиент: какой кошмар, есть ещё люди, которые до сих пор конфигурируют все адреса руками? Или вам лишние 20 килобайт ОЗУ, а точнее — свопа, жалко?
Стоит сделать заголовки не цифрами, а именно «заголовками» <Hn> — так лучше будет видна структура документа. Пока что это просто портянка с текстом.
Кроме того, воды чересчур много. Подробно писать — это не значит лить воду. Вы очень много написали слов, а в то же время ни одного конкретного примера полного рабочего конфигурационного файла нет. Очень долго будет ковыряться человек, если что-то пропустит — а пропустит он наверняка, ведь заголовков нет и зацепиться глазу не за что.
По существу темы
Про сертификаты вы пишете чуть ли не прямо противоположное тому, что написано в документации OpenVPN. Да, можно купить сертификаты, можно приготовить самому, и рекомендуется именно второе и не потому, что бесплатно, а потому, что OpenVPN рассчитан на работу с собственным самоподписанным CA.
Если взбредёт в голову использовать купленные сертификаты — нужно иметь ввиду, что запросто можете поиметь себе геморрой. Без специальной нетривиальной настройки, любой сертификат, выданный тем же самым CA, будет подходить к вашему VPN.
Да и вообще, для указанных вами примеров я вообще не очень понимаю, зачем нужны сертификаты — для соединений точка-точка вообще идеально подходит PSK. Ключи имеет смысл использовать только для серверов доступа с многими клиентами.
По поводу путей и бэкслешей: если вы ovpn-файл помещаете в той же директории, что и ключи-сертификаты (по умолчанию — C:\Program Files\OpenVPN\config), то вообще полный путь к файлам писать необязательно. Учитывая, что автоматически создаваемый сервис OpenVPN стартует все ovpn-файлы из этой директории, там всё это и надо размещать, и не париться с путями.
Про DHCP-клиент: какой кошмар, есть ещё люди, которые до сих пор конфигурируют все адреса руками? Или вам лишние 20 килобайт ОЗУ, а точнее — свопа, жалко?
За оформление не кидайте помидорами, я и сам вижу. Изначально текст писался в ворде и был толково структурирован отступами и нагляден, при переносе это все потерялось. Буду приспосабливаться.
Про DHCP не согласен. У меня фирма на 15 компов. Зачем мне DHCP, лишние системные службы на каждой машине, лишний трафик в сети (пусть и небольшой), более медленное сетевое подключение при старте, лишняя роль сервера? Я один раз прошел по компам, выдал адреса и все. Вот если бы парк насчитывал многие десятки, сотни и более машин — тут я соглашусь, удобство неоспоримое.
Прочее Вами сказанное приму к сведению, благодарю за замечания.
Про DHCP не согласен. У меня фирма на 15 компов. Зачем мне DHCP, лишние системные службы на каждой машине, лишний трафик в сети (пусть и небольшой), более медленное сетевое подключение при старте, лишняя роль сервера? Я один раз прошел по компам, выдал адреса и все. Вот если бы парк насчитывал многие десятки, сотни и более машин — тут я соглашусь, удобство неоспоримое.
Прочее Вами сказанное приму к сведению, благодарю за замечания.
А, т.е. вы предпочитаете наизусть помнить все адреса машин? Хорошая у вас память.
Ещё вы, видимо, на каждой машине обслуживаете статический файлик hosts, также, вероятно, lmhosts?
(Пока не научился, именно так и делал. Но лень сделала своё — проще настроить DHCP-сервер, чем вбивать адреса вручную. Сейчас я даже в сеточке на три компа обычно связку настраиваю DHCP+DDNS. А в сетях, связанных VPN, вообще динамическая маршрутизация — опять же, чтобы не думать, пусть OSPF думает за меня.)
Про лишние службы и трафик вы несомненно загнули — от DHCP насколько незначительная нагрузка по сравнению с другими, куда менее полезными, службами, что на его отключение нужно смотреть в последнюю очередь, а точнее — вообще не нужно смотреть никогда. Например, вы в курсе, сколько трафика генерирует любимое виндовское «сетевое окружение», и насколько всё лучше становится, когда в сети работает WINS? Хотя и это мизер, всё равно, NetBIOS в сотни и тысячи раз больше ресурсов потребляет, чем DHCP.
Ещё вы, видимо, на каждой машине обслуживаете статический файлик hosts, также, вероятно, lmhosts?
(Пока не научился, именно так и делал. Но лень сделала своё — проще настроить DHCP-сервер, чем вбивать адреса вручную. Сейчас я даже в сеточке на три компа обычно связку настраиваю DHCP+DDNS. А в сетях, связанных VPN, вообще динамическая маршрутизация — опять же, чтобы не думать, пусть OSPF думает за меня.)
Про лишние службы и трафик вы несомненно загнули — от DHCP насколько незначительная нагрузка по сравнению с другими, куда менее полезными, службами, что на его отключение нужно смотреть в последнюю очередь, а точнее — вообще не нужно смотреть никогда. Например, вы в курсе, сколько трафика генерирует любимое виндовское «сетевое окружение», и насколько всё лучше становится, когда в сети работает WINS? Хотя и это мизер, всё равно, NetBIOS в сотни и тысячи раз больше ресурсов потребляет, чем DHCP.
На вкус и цвет, как говорится… Меня учили, что любая лишняя запущенная служба на сервере — лишний расход ресурсов, лишний риск для стабильности и лишняя потенциальная уязвимость. Стараюсь придерживаться этой идеологии во всем. Границу между удобством и надежностью/безопасностью каждый находит для себя сам. Имхо, DHCP+DDNS на три машины — это тоже слишком:) Хотя при современных компо-мощностях и пропускных способностях сетей я Ваше мнение тоже понимаю.
блин жесть, хоть бы пример конфига привел. не объяснил в чем разница между tun/tup, tcp/udp. установка ovpn на винде (как сервер) по-моему это большие грабли :) вообщем тема ovpn не раскрыта, а за картинку спасибо заюзаю ее на своем сайте :)
да ну вас, никаких граблей на винде нет, просто понимать надо, что делаешь и как это работает
Частично ответил в UPD. Конфиг не привожу, потому как мой конфиг в Вашей сети работать все равно не будет, у нас разные топологии сетей, соединяемые туннелем, разные настройки брендмауэров, маршрутизаторов и т.д.
блять, таких статей полный интернет
и все равно поднять, впн, настроить потом отдельную маршрутизацию ему — это надо час промудохаться.
и все равно поднять, впн, настроить потом отдельную маршрутизацию ему — это надо час промудохаться.
«2. Ставим. Сперва на стороне будущего сервера. Потом повторим на стороне клиента (это немного проще), хотя последовательность не принципиальна. Я, как существо ленивое, согласился с путями установки по умолчанию (C:\Program Files\OpenVPN\), за что поплатился первыми граблями.
Проблема: при работе софт некорректно отрабатывает пути к конфигурационным файлам, которые содержат пробелы. „
Уж не знаю где вы там нашли грабли, но у меня на куче машин восхитительно работает именно по этому пути)
Насчет “Конфиг не привожу, потому как мой конфиг в Вашей сети работать все равно не будет, у нас разные топологии сетей, соединяемые туннелем, разные настройки брендмауэров, маршрутизаторов и т.д.»
Причем тут топологии вообще? В общем случае при установке соединения с удаленным сервером, внутренняя топология нас не особо интересует… Да и конфиг сервера не будет сильно отличаться, а «настройки брендмауэров, маршрутизаторов» это отдельная песня не имеющая непосредственного отношения к настройке самого ОпенВПН)
А так получился небольшой теоретический экскурс в опенвпн.
Проблема: при работе софт некорректно отрабатывает пути к конфигурационным файлам, которые содержат пробелы. „
Уж не знаю где вы там нашли грабли, но у меня на куче машин восхитительно работает именно по этому пути)
Насчет “Конфиг не привожу, потому как мой конфиг в Вашей сети работать все равно не будет, у нас разные топологии сетей, соединяемые туннелем, разные настройки брендмауэров, маршрутизаторов и т.д.»
Причем тут топологии вообще? В общем случае при установке соединения с удаленным сервером, внутренняя топология нас не особо интересует… Да и конфиг сервера не будет сильно отличаться, а «настройки брендмауэров, маршрутизаторов» это отдельная песня не имеющая непосредственного отношения к настройке самого ОпенВПН)
А так получился небольшой теоретический экскурс в опенвпн.
>Уж не знаю где вы там нашли грабли, но у меня на куче машин восхитительно работает именно по этому пути)
Точно под виндой? У меня под ХР bat-файлы с пробелами в путях к ним категорически не хотят запускаться и это касается не только OpenVPN. Поэтому честно предупреждаю. Возможно, эти грабли только мои. Нет проблемы — и хорошо. Но все же избегать нелатинских символов в путях при настройке чего-либо, как мне кажется, хорошая практика.
>Причем тут топологии вообще? В общем случае при установке соединения с удаленным сервером, внутренняя топология нас не особо интересует… Да и конфиг сервера не будет сильно отличаться, а «настройки брендмауэров, маршрутизаторов» это отдельная песня не имеющая непосредственного отношения к настройке самого ОпенВПН)
Отчасти Вы правы, но все же. Имелся в виду, например, режим «мост» на уровне ethernet. Или чтобы достучаться к «серым» сетям за клиентом/сервером, нужны специфические настройки.
Точно под виндой? У меня под ХР bat-файлы с пробелами в путях к ним категорически не хотят запускаться и это касается не только OpenVPN. Поэтому честно предупреждаю. Возможно, эти грабли только мои. Нет проблемы — и хорошо. Но все же избегать нелатинских символов в путях при настройке чего-либо, как мне кажется, хорошая практика.
>Причем тут топологии вообще? В общем случае при установке соединения с удаленным сервером, внутренняя топология нас не особо интересует… Да и конфиг сервера не будет сильно отличаться, а «настройки брендмауэров, маршрутизаторов» это отдельная песня не имеющая непосредственного отношения к настройке самого ОпенВПН)
Отчасти Вы правы, но все же. Имелся в виду, например, режим «мост» на уровне ethernet. Или чтобы достучаться к «серым» сетям за клиентом/сервером, нужны специфические настройки.
Класс, спасибо за инструкцию. Прочел -> сделал -> у меня все работает, а что еще надо?
А зачем сохранять openssl.cnf.sample в виде openssl.cnf, если init-config.bat делает это сама? (тоже самое она делает с vars.bat.sample)
Sign up to leave a comment.
Рецепт простого приготовления OpenVPN. Пошаговая инструкция