Представляем ovpn-admin — веб-интерфейс для управления пользователями OpenVPN

[tocha4]

Pritunl — платный? Давно ли? Я не говорю про премиум услуги. Обычный сервер для визуального управления OpenVPN был и есть Free
Кстати, ваш интерфейс очень сильно похож на тот самый Printunl, как минимум цветовой гаммой)

[pashcovich]

тут речь про replicated или multihost режим

[rionnagel]

Ну на самом деле 50$ мало за притунл в отличии от того же openvpn access server, но без саппорта. Это почти бесплатно на много людей, даже не смотря на некоторые мои претензии. А некоторые вещи могут быть не достаточно очевидными. Мы делали с коллегами pritunl кластер из 2х нод, +арбирт, vxlan'ы и асинхронная маршрутизация (2 хоста работают одновременно на двух провайдерах на всех серверах). Пока вспомнишь, что вообще существует net.ipv4.conf.all.rp_filter посидеть можно). Также есть странные проблемы с таймаутами (подключается, связи нет, через минуту отключается и так раз 10, при включенном openvpn с идентичным конфигом проблем нет), есть проблемы в 2fa с gsuite, которые возникают рандомно. После попытки апдейтить и перезагружаться иногда приходиться лезть внутрь и чинить кластер mongodb. В документации описано очень мало нюансов, а отвечать на форуме они не очень желают бесплатно).

Этот вариант попробую посмотреть, интересно.

[Sadistto]

«простой» веб интерфейс для ovpn написанный на node/vue.js/Go + docker — СЕРЬЁЗНО?
надо было ещё java добавить…

[pashcovich]

можем и на Java)

[denaspireone]

del
сори, проглядел конфиг Dockerfile

[sergarcada]

Это все интересно. Наверное. Но с установкой справиться не смог.
Во-первых, непонятно, обязателен ли докер — я с этой технологией до сих пор незнаком. Во-вторых, скрипт ./build.sh выдал кучу ошибок, которые я не знаю как толковать. Например:
gyp ERR! node -v v10.19.0
gyp ERR! node-gyp -v v3.8.0
gyp ERR! not ok
Если не нравится версия, то какая должна быть?

[pashcovich]

docker в принципе не обязателен — но технология не сложнее, чем впн сервер

про nodejs — я использую такие версии:
$ node -v
v14.16.0
$ npm -v
6.14.11


позже в релиз будет приезжать собранный бинарник — можно будет использовать его

UPD: добавил в последний релиз собранный бинарь

[Calc]

обязателен ли докер — я с этой технологией до сих пор незнаком

Нет, не обязателен, но спасает вот от таких проблем

Если не нравится версия, то какая должна быть?

В первой строке всегда пишется на основе какого контейнера будет происходить сборка

FROM node:14.2-alpine3.11 ...

[pashcovich]

UPD: промахнулся тредом

[Fitrager]

VeeamPN — бесплатный OpenVPN сервер из коробки с приятным интерфейсом. Сам на него перешел с чистого openvpn сервера, так как сертификаты генерировать проще.

[pashcovich]

я бы посмотрел что это, но не нашел кнопку «Cкачать» без регистрации и смс

UPD: нашел, но не сразу

Спасибо, будем посмотреть

[AlexGluck]

В чём причина желания уйти от easyrsa?

[pashcovich]

сейчас мы из бинаря вызываем другой бинарь, хотим уйти именно от этого

[AlexGluck]

Так easyrsa это shell-скрипт, который вызывает openssl бинарник. Вы хотите работать напрямую с libopenssl?

[pashcovich]

да, была примерна такая мысль, но это не скоро

[pashcovich]

не думал об этом

[moriokii]

Когда будет на виндовс?

[pashcovich]

когда откажемся от использования вызовов bash и прочих линуксовых утилит

github.com/flant/ovpn-admin/issues/9

[nestyurkin]

не хватает статики для клиентов
свежих образов на hub.docker.com

[pashcovich]

про статику не понял
образы есть hub.docker.com/r/flant/ovpn-admin/tags

[nestyurkin]

я про назначение статических IP адресов для клиентов
ЗЫ картинки UI отличаются от того что есть в образах

[pashcovich]

управление ccd по умолчанию выключено, я уже писал ниже как включается

[ex_ineris]

Я попробую это дело на малинке, так как Притунл на малинке не заводится нет каких то зависимых пакетов под АРМ64.

[pashcovich]

отличный план, я не тестил на армах, под рукой конечно есть пара orange pi, но не знаю когда дойдут руки

если будут какие-то успехи или проблемы, будем ждать фидбека, например тут
github.com/flant/ovpn-admin/issues/9

[ZaitsXL]

Так у них же кажется уже есть фронтенд? openvpn.net/vpn-server-resources/how-to-configure-openvpn-as-with-admin-web-ui

[sergarcada]

Бесплатно только два подключения. И потом хорошо, когда есть выбор. Некоторые вообще ставят pfsense только из-за работы с впн.

[AlexGluck]

Вы можете взять openwrt или только морду от него, так же в контейнере или поставить с танцами на любой дистрибутив только морду.

[XXXandr84]

Не совсем разобрался. Где находятся метрики в веб интерфейсе и где прописывать маршруты. Запустил в докере.

[pashcovich]

в веб интерфейсе метрик нет, доступные метрики можно посмотреть по пути /metrics

для включения опции прописывания маршрутов нужно при запуске ovpn-admin добавить ключи

--ccd  --ccd.path="./ccd" 

в дополнении к уже имеющимся, указанная директория должна при этом существовать и быть персистентной, во избежании утери данных

[delfer]

Если переписывали, так лучше бы сразу для WireGuard. Как раз мечтаю сделать что-то подобное, да никак руки не доходят)

[borisovEvg]

Во время пандемии тоже написал свою вебадминку для openvpn, но заточенную под интеграцию с Active Directory. Все никак руки не дойдут статью написать. Но вижу что интерес к данной теме есть, это вдохнавляет

[werter78]

Спасибо.
У streisand (или algovpn?) вроде тоже вебка обещается (но это не точно).

[Lucky_Tiger]

приветствую!
было бы неплохо, ИМХО, манулальчик для разворачивания БЕЗ докера.
я понимаю, одинаковость, уход от проблем с совместимостью, универсальность, НО, бывает, что надо запускать подобное без докера.
а вообще респект и уважуха!
спасибо и удачи.

[pashcovich]

так есть же манчик
github.com/flant/ovpn-admin#2-building-from-source

[beneton2003]

Подскажите, а как сделать чтобы у клиентов появился доступ в интернет?
и можете ли предложить какие нибудь варианты настройки nginx чтобы запаролить доступ к управлению?

[pashcovich]

ваш вопрос про конфигурацию OpenVPN, и наверное вас интересует

redirect-gateway def1

это надо добавить в конфиг сервера

варианты настройки nginx чтобы запаролить доступ к управлению

docs.nginx.com/nginx/admin-guide/security-controls/configuring-http-basic-authentication

но вообще есть issue на это счет и возможно скоро можно будет обойтись без nginx

[pashcovich]

UPD: промах