Выполняю лабораторную работу.
ТЗ развернуть OpenVPN сервер и настроить канал между двумя удалёнными машинами.
В сети очень много подробных гайдов по настройке, но я столкнулся с проблемой. Конкретно — с файлом vars.bat. Не совсем понимаю, что с ним делать.
Далее опишу цепочку своих действий:
1) Скачал дистрибутив с официального сайта.
2) Пошел в C:Program FilesOpenVPN в поисках директории easy-rsa, не нашел её.
3) Скачал EasyRSA-3.0.8-win64.zip по этой ссылке — https://github.com/OpenVPN/easy-rsa/releases
4) Создал директорию EasyRSA-3.0.8
5) Пошел в C:Program FilesOpenVPNEasyRSA-3.0.8 искать vars.bat, но обнаружил vars.example.
6) Через Notepad++ отредактировал:
set KEY_COUNTRY=
set KEY_PROVINCE=
set KEY_CITY=
set KEY_ORG=
set KEY_EMAIL=
set KEY_CN=
set KEY_NAME=
set KEY_OU=
и изменил расширение на .bat
7) Запустил через командную строку с правами администратора vars. Выдал »# не является внутренней или внешней
OpenVPN — бесплатный VPN для компьютера, установка и настройка на Windows
командой, исполняемой программой или пакетным файлом.»
8) Подумал что «#» это символ, комментирующий строку. Убрал все лишние NOTE, README (хотя в них написано не трогать ничего) и #. Теперь пишет »set не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.». Так как там только строки set и остались
Подскажите пожалуйста, как правильно редактировать vars.bat? Что с ним делать или где можно про это почитать?
Заранее благодарю за ответы.
- Вопрос задан более двух лет назад
- 559 просмотров
4 комментария
Простой 4 комментария
А где собственно код?
wisgest, Доброго времени суток!
Сам файл выглядит вот так:
1 часть (всё не влезло)
# Easy-RSA 3 parameter settings
# NOTE: If you installed Easy-RSA from your distro’s package manager, don’t edit
# this file in place — instead, you should copy the entire easy-rsa directory
# to another location so future upgrades don’t wipe out your changes.
# HOW TO USE THIS FILE
#
# vars.example contains built-in examples to Easy-RSA settings. You MUST name
# this file ‘vars’ if you want it to be used as a configuration file. If you do
# not, it WILL NOT be automatically read when you call easyrsa commands.
#
# It is not necessary to use this config file unless you wish to change
# operational defaults. These defaults should be fine for many uses without the
# need to copy and edit the ‘vars’ file.
#
# All of the editable settings are shown commented and start with the command
# ‘set_var’ — this means any set_var command that is uncommented has been
# modified by the user. If you’re happy with a default, there is no need to
# define the value to its default.
# NOTES FOR WINDOWS USERS
#
# Paths for Windows *MUST* use forward slashes, or optionally double-escaped
Python не является внутренней или внешней командой… Исправление ошибки на Windows 10
# backslashes (single forward slashes are recommended.) This means your path to
# the openssl binary might look like this:
# «C:/Program Files/OpenSSL-Win32/bin/openssl.exe»
# A little housekeeping: DON’T EDIT THIS SECTION
#
# Easy-RSA 3.x doesn’t source into the environment directly.
# Complain if a user tries to do this:
if [ -z «$EASYRSA_CALLER» ]; then
echo «You appear to be sourcing an Easy-RSA ‘vars’ file.» >This is no longer necessary and is disallowed. See the section called» >’How to use this file’ near the top comments for more details.» >openssl»
#
# This sample is in Windows syntax — edit it for your path if not using PATH:
#set_var EASYRSA_OPENSSL «C:/Program Files/OpenSSL-Win32/bin/openssl.exe»
# Edit this variable to point to your soon-to-be-created key directory. By
# default, this will be «$PWD/pki» (i.e. the «pki» subdirectory of the
# directory you are currently in).
#
# WARNING: init-pki will do a rm -rf on this directory so make sure you define
# it correctly! (Interactive mode will prompt before acting.)
#set_var EASYRSA_PKI «$PWD/pki»
# Define directory for temporary subdirectories.
#set_var EASYRSA_TEMP_DIR «$EASYRSA_PKI»
# Define X509 DN mode.
# This is used to adjust what elements are included in the Subject field as the DN
# (this is the «Distinguished Name.»)
# Note that in cn_only mode the Organizational fields further below aren’t used.
#
# Choices are:
# cn_only — use just a CN value
# org — use the «traditional» Country/Province/City/Org/OU/email/CN format
#set_var EASYRSA_DN «cn_only»
Источник: qna.habr.com
OpenVPN на Mikrotik
- Сертификаты будем создавать на машине c win10. Скачиваем сам OpenVPN (в моем случае это версия 2.4.6) для генерации сертификатов.
Важно, при установке выбрать все галочки. - Открываем папку “C:Program filesOpenVPNeasy-rsa“, запускаем init-config.bat, появится файл vars.bat.sample, открываем его и редактируем такие строки:
cd C:Program FilesOpenVPNeasy-rsa vars.bat clean-all.bat
«Скопировано файлов: 1». Значит, процедура успешна. Если выдало сообщение ” vars.bat не является внутренней или внешней командой, исполняемой программой или пакетным файлом.” То отредактируйте в этом файле правильные, полные пути до команды. Далее поочередно вбиваем команды для создания ключей:
build-dh build-ca
Если опять выдало сообщение об ошибке – редактируем полный путь до команды openssl. (В моем случает нужно было указать полный адрес с пробелом, указав его в двойных кавычках). Все вопросы подтверждаем Enter. Дальше набираем:
build-key-server server
Все вопросы подтверждаем Enter, а на последние два соглашаемся “Y” Далее создаем сертификат клиента:
build-key client
При ошибке, редактируем путь. На вопрос Common Name – ввести client.
В конце два раза подтвердить “Y”. С сертификатами готово. Забираем их из папки C:Program FilesOpenVPNeasy-rsakeys : ca.crt, server.crt, server.key
Настройка сервера OpenVPN на mikrotik
Теперь можно подключаться к нашему OVPN серверу.
Настройка Mikrotik в качестве клиента OpenVPN сервера
- Сначала необходимо добавить сертификаты клиента на роутер (client.crt и client.key). Не передавайте никому закрытый ключ сертификата – “ca.key”, имея его можно создавать сертификаты подписанные данным ключом.
- Делаем импорт сертификатов, идём в раздел System – Certificates, выбираем поочередно сертификаты client.crt->client.key.
- Само соединение OpenVPN настраивается в меню PPP-> добавить OVPN Client
- Указываем адрес сервера, логин/пароль, порт, клиентский сертификат и тип шифрования:
Готово! Можем пользоваться.
Источник: disnetern.ru
Openvpn не является внутренней или внешней командой исполняемой программой или пакетным файлом
Код:
| Dec 12 10:12:25 hostname kernel: openvpn[790]: segfault at 0 ip 00007f94ec6fe6b2 sp 00007fff173e8800 error 4 in openvpn-auth-ldap.so[7f94ec6eb000+1a000] Dec 12 10:12:25 hostname /etc/init.d/openvpn[789]: start-stop-daemon: failed to start `/usr/sbin/openvpn’ Dec 12 10:12:25 hostname /etc/init.d/openvpn[765]: ERROR: openvpn failed to start |
под рукой была еще и бубунта попробовал на ней
Код:
| Dec 12 09:17:01 proxy CRON[2269]: (root) CMD ( cd / run-parts —report /etc/cron.hourly) Dec 12 09:22:02 proxy ovpn-auth-ldap[2620]: Options error: Unrecognized option or missing parameter(s) in /etc/openvpn/auth-ldap.conf:2: LDAP (2.2.1) Dec 12 09:22:02 proxy ovpn-auth-ldap[2620]: Use —help for more information. Dec 12 09:22:02 proxy kernel: [22839.087684] openvpn[2634]: segfault at 0 ip 00007f04f64711c4 sp 00007fffb98d5170 error 4 in openvpn-auth-ldap.so[7f04f645e000+19000] |
local xx.xx.xx.xx
proto udp
dev tun
port 1194
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
server 10.133.1.0 255.255.255.0
push «route 192.168.180.1 255.255.255.0»
#tls-server
#tls-auth /etc/openvpn/keys/ta.key 1
#tls-timeout 120
persist-key
persist-tun
route-gateway 192.168.xx.xx
push «route-gateway 192.168.xx.xx»
keepalive 10 120
comp-lzo
max-clients 30
client-cert-not-required
username-as-common-name
plugin /usr/lib64/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf
client-to-client
verb 6
user nobody
group nobody
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
Сегодня попробовал подменить имя дистра и через apt поставить пакет от более новой, а потом и от более старой версии. Проблема одна и та же вылазиет такое ощущение что проблема все таки не в пакете, вот только понять бы в чем?
Добавлено:
До тех пор пока в конфиге плагина не появляется секция
Теперь после service openvpn start пишет что как будто запущено два сервера один с именем server второй auth-ldap но все запускается и работает без каких либо segfault.
Добавлено:
[q]Поборол таки AD может кому-то поможет
segfault прекратился сразу же как только я переименовал конфиг файл в auth-ldap.conf и положил его в папку /etc/openvpn/
Теперь после service openvpn start пишет что как будто запущено два сервера один с именем server второй auth-ldap но все запускается и работает без каких либо segfault.
каталог
/etc/openvpn
если в нём есть хоть какой то файл с расширением conf он(сервис/демон openvpn) будет его пытаться запустить с параметрами этого conf файла
Код:
| port 1194 proto tcp dev tun tls-server ca /etc/openvpn/ca.crt cert /etc/openvpn/server.crt key /etc/openvpn/server.key dh /etc/openvpn/dh1024.pem tls-auth ta.key 0 cipher AES-256-CBC server 10.8.0.0 255.255.255.0 ifconfig-pool-persist /etc/openvpn/ipp.txt 0 push «route 10.8.0.0 255.255.255.0» keepalive 10 90 comp-lzo max-clients 10 client-cert-not-required user nobody group nogroup persist-key persist-tun verb 4 mute 5 duplicate-cn client-to-client client-config-dir /etc/openvpn/ccd status openvpn-status.log status /var/log/openvpn/openvpn-status.log 2 status-version 2 log-append /var/log/openvpn/openvpn.log auth-user-pass-verify /etc/openvpn/verify.sh via-file username-as-common-name tmp-dir /dev/shm script-security 2 |
Клиент (Windows 7 x64 в моём случае)
#необходимо для DynDNS
resolv-retry infinite
nobind
# раньше сертификат лежал отдельно, теперь не нужно
#ca «C:\Program Files\OpenVPN\config\ca.crt»
——BEGIN CERTIFICATE——
код сертификата
——END CERTIFICATE——
# Установка маршрутов Windows
route-method exe
route-delay 4
#Для ByFly — Списки сетей РУП «Белтелеком»
#http://datacenter.by/ip/local.txt
route 100.64.0.0 255.192.0.0
и т.д.
#Для Peering — Списки белорусских подсетей
#http://datacenter.by/ip/bynets.txt
route 109.126.128.0 255.255.192.0
и т.д.
Вопрос. Если сервер перевести в udp протокол, то при подключении к серверу со стороны клиента в диспетчере задач, сетевой адаптер OpenVPN загружен на 99%. Перевод в TCP решает проблему. Также, не могу не как добиться более-менее адекватной скорости от OpenVPN при использовании его на трекерах (скачивание/раздача файлов). Может быть кто из вас подскажет чего путного?
OpenVPN — 2.2.2
DrWeb 10.0
win7
Поставил для openvpn.exe и openvpnserv.exe — разрешать все.
Клиент цепляется к серверу нормально. Клиент и сервер видят друг друга.
Но клиент не видит инета. Если выключить фаервол, то клиент видит инет нормально.
Что нужно еще настроить в фаерволе?
В cmd делаю это. Всё производится на главном сервере
C:1ovpneasy-rsa>copy vars.bat.sample vars.bat
Скопировано файлов: 1.
C:1ovpneasy-rsa>build-key
C:1ovpneasy-rsa
«openssl» не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
«openssl» не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
Не удается найти C:*.old
C:1ovpneasy-rsa>build-key -user20
C:1ovpneasy-rsa
«openssl» не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
«openssl» не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
Не удается найти C:*.old
Есть за роутером сервак 2012 R2, на нем спец ПО которое разрабам нужно подебажить посредством Вижуал Студио 2013. Процесс дебага якобы слушает порт 4018. Ясень пень разрабы удаленно. Дебагер этот хочет искать дебажируемых только с локалки, так устроен интерфейс файндера дебагера. Ну ясен пень опенвпн вам в помощь и все дела. Установил версию 2.2.2 сконфигурил:
На тестовой тачке стоит вин 7х64 сконфигурил ту же версию само собой вот так:
Подрубаю серверную часть:
Подключаюсь на тестовой тачке к нему же:
Все хорошо, но в сетевых окружениях сервера и клиента овпн нет соседей по впн.
Проверил все службы включены, ибо на обеих сторонах есть соседние тачки и они видны. То есть у сервера по соседству с роутером тоже есть сервер и он в сетевом окружении виден, и у клиента овпн тож есть по соседству компы которые тоже видны
AD нет, группа на сервере и клиенте workgroup.
ipconfig /all на клиенте:
ipconfig /all на сервере:
Источник: forum.ru-board.com