Názory k článku
OpenVPN - VPN jednoduše (2)

Statistika uz nerika, ze je prakticky protizakonne prodavat v USA notebook bez windows... Z velkych spolecnosti proda snad jen IBM (a stejne si je zaplatite, jen vam nedaji CD) a ostatni vas slusne poslou do prdele.

Ozkouseno osobne.

Ono je to stejne srandovni, lidi, co se pokouseji vratit Windows (at si ho vrati jako nebezpecny odpad treba, ale proc by jim nekdo musel vracet penize?), to jako kdybych si koupil auto a chtel vratit volant ze ho nechci a mam svuj lepsi, stejne dementni postup.

Neni pravda. Existuji vyrobci, co vam prodaji notebook bez Windows, s Linuxem, a ne ze ne. FujistuSiemens, Acer a ti co umoznuji konfiguraci jako Dell a dnes i HP snad taky ne?

Jenze si uvedomte, kolik je ty Windows stoji, asi ne 2500,- ale rekneme treba 800.- tak kolik by vam za ne meli vracet? Vic jak 500,- ne, ale to se nikomu nevyplati, vite co by s tim bylo papirovani? A komu se to nelibi, at si ten notebook nekupuje a posklada si vlastni, no ne? Je to jak s tim autem.

Kdyby byla poptavka, vyrobci by asi OS Linux nasadili do nabidky ve vetsim meritku.

Nevim, proc by melo byt srandovni chtit si koupit treba v Tescu chleba bez jejich uzasne pomazanky. Bohuzel je jednodussi koupit PC bez monitoru nez bez windows. Na druhou stranu myslim, ze ani v USA by mi nenutili k iBooku Windows.

Nevim, jestli je zrovna ten pozadavek srandovni, to asi neni, lec srandovni je chtit po prodavajicim neco, co prodavajici nenabizi nebo neni ochoten poskytnout, jiste, chtit to po muzes, ale platne se toho domoci asi ne-e, a ani v tom tescu je nebudes nutit k tomu, aby ti tu oplatku prodali bez te cokoladove polevy, ze jim ji jako seskrabnes a nechas jim ji tam :-)

Zkratka je to cele blbost, ledaze by byl nejaky zakon zakazujici bundlovat vic veci dohromady, jako treba tu susenku s cokoladovou polevou apod.

---

Pokud jde o koupi toho iboku, asi jde o to, ze nikdo neni schopen zakaznikovi predem zarucit, ze v tom linuxu jsou vsechny drajvry jak maj bejt (linux je zdarma a tak za nej nikdo konkretni nezodpovida), no a co se stane az by tam byl nekde vykricnik, zakaznik by jim to omlatil o hlavu a to jiste giga firmy produkujici tyto veci v statisicich nemohou dopustit.

Docela by mne zajimalo, kolik by prumernej prodejce slevnil za to kdyby ti prodal znackovy PC bez Woken, myslim skutecny pripad, ne spekulaci :-)

Nedelejte tady z toho prosim zive.cz, reagujte jen kdyz o problematice neco vite. Moc vam za sebe dekuji.

Ano, presne takovy zakon, zakazujici vazat prodej jedne veci na koupi veci jine existuje nejen u nas, ale napr. take v cele EU, protoze to omezuje hospodarskou soutez a konkurenci na trhu. Jenom se ho jaksi v danem pripade nechce nikomu vymahat. Procpak asi?

budte prosim konkretni, c.zakona, par., odst... citace.

Neumim si predstavit, proc HP a ostatni vedome porusuji zakon? Asi proto, ze to neni tak docela jak rikate, spise tak, jako ze kdyz si chci koupit tuhle Fabii za 190.000 tak si k tomu musim vzit i BMW za 790.000.

Připojil bych se k vyzyvateli, který výs již dříve vyzval, abyste se vyjadřoval pouze k věcem, kterým rozumíte.
Ten zákon skutečně existuje. Myslím, že pro vás nebude problém si ten zákon najít na libovolném serveru, který se touto problematikou zabývá, stejně, jako to není problém pro mne. Ovšem mě se to hledat nechce, protože já vím, že ten zákon tady je.
Děkuji vám.

našel jsem tohle, stojí to za to

http://www.zive.cz/h/Byznys/F.asp?ReplyToID=275792&ARI=115619&HID=&CAI=2034

, MS by dělal vazany prodej v pripade, ze by pribaloval Thunderbird (protoze jde o samostatny produkt), kdezto s WMP to je OK, neb WML slape jen na Win, to celkem dava i smysl :-)

Presto si dovolim pozadat zkusene o radu v ramci tematu clavku - VPN, viz nize proc mi to OpenVPN nejdee na Windoze :-/

Ohrožují vázané prodeje konkurenci na trhu? NE
www.libinst.cz/stranka.php?inc=clanek&no=5139&tisk=n

Ad prvni link: WMP samozrejme "free" soucast Windows _neni_. Jeho cena je soucasti ceny za licenci Windows, protoze ty naklady na vyvoj se nejak zaplatit musi. To si jenom vy nechate nabulikovat, ze vam to MS dava zadarmo.

Ad druhy link: Blablabla. Na tyhle nicnerikajici rodobyliberalni kydy je zbytecne reagovat. Autorovi v jeho liberalnim zapalu patrne zcela uniklo, ze Microsoft si jaksi prave pomoci takovychto nekalych praktik, ktere poskozuji hospodarskou soutez a konkurenci, udrzuje sve vicemene monopolni postaveni na trhu desktopovych OS. Ze trh monopol nezlikviduje, protoze na monopolnim trhu se jaksi nema trzni mechanismus sanci uplatnit, na to prisli v USA uz v predminulem stoleti (napr. Sherman Anti-Trust Act z roku 1890).

Tim tento OT exkurs koncim.

Zaprve zakon porusuje take (a predevsim) firma Microsoft, ktera takoveto smlouvy s vyrobci pocitacu uzavirala a uzavira.

Zadruhe: v tom vami uvadenem prikladu je nejaky rozdil? Teoreticky priklad: Kdyz chce nejaky obchod prodavat becherovku, tak si ke kazde palete musi vzit taky paletu toniku od spratelene firmy. Kdyz si jako zakaznik budu chtit koupit televizi, tak k tomu dostanu v cene i video, o ktere sice nemam vubec zajem, ale jinak mi tu televizi nikdo neproda.

K nahlednuti doporucuju zejm. § 3 odst. 2 pism. d/ a § 11 odst. 1 pism. b/ zakona o ochrane hospodarske souteze.

Tak si to predstav lebo je to zial fakt. To ze sa vo svete IT nejak serie na zakony nieje dokazom ze tu niesu. dokonca na slovensku a mam dojem ze i v cechach je zakon ktory PRIKAZUJE predavajucemu pridavat k produktom navod na pouzivanie v statnom jazyku co nelokalizovane verzie SW nedodrzuju.

p.s.
Fakt si daj tu namahu a nieco zisti kym otvoris usta ludia ta nebudu mat za idiota.

Wau. Nedovedu si predstavit navod k databazi od Oraclu v cestine. Nejspis bych tomu vubec nerozumel. To je jako kdyby doktori museli psat recepty cesky a ne latinsky. No maucta.

Tak to ja si ho predstavit dovedu. A to jak v spatnem smyslu, tak v dobrem. Ovsem druha varianta navodu (tedy jejich prekladu) se u nas vyskytuje opravdu pomalu. Ale to je tim, ze se najimaji prekladatele, kteri o danem tematu nemaji poneti, zato jsou pokud mozno, levni.

...to je tim, ze se najimaji prekladatele, kteri o danem tematu nemaji poneti, zato jsou pokud mozno, levni.

jj, a proto ti stejne nezbyde nez si prostudovat original protoze 90% prekladu / v podstate cehokoliv / se da pouzit maximalne jako hodne "louendovej" toaletak :D

no bandlovat nieje zakazane zakonom ale to ze licenciu ziskam az potom co otvorim CD ktore je potom nevratitelne je protizakonne rovnako ako je protizakonny viazany predaj co je pripad OEM windows. ci notebookou/pocitacou ktore ti odmietnu predat bez OS napriek tomu ze OS je fakturovany ako samostatna polozka.

tiez je protizakonne ze ti odmietnu to CD vziat spet a vratit peniaze.

OEM verzi SW bych nevidel jako nezakonnou, pokud mam moznost koupit dany HW i bez ni.

No, IBM Vam k notebooku zadne medium s win neda. Soucasti notebooku je OEM licence, tzn nalepka na spodni strane pristroje, bez ni se to bohuzel koupit neda. Veskere instalace jsou ve skryte 'recovery' partition. U vetsiny typu nedostanete s notebookem vubec zadne medium.

"současné statistiky použitých operačních systémů na noteboocích obchodních cestujících jsou přeci jenom nakloněny právě MS Windows"

Statistiky jakychkoliv desktopovych systemu (nejen na noteboocich a nejen u obchodniku) nejsou nakloneny, ale jsou v drtive prevaze pro Windows.

Jinak prinosny clanek, pokousim se to zprovoznit na Windows.

ako mozes porovnat auto a notebook v takomto zmysle to nepochopim , software nema nic spolocne s hardware , notebook bez windowsu ako auto bez volantu , asi moc kukas telku . Ja som kupil Acer bez windowsu a som s hardwarom spokojny velice ziaden volant som nevymienal :D

Ja mam HP notebook. A at si vyklada kdo chce co chce, bez windows ho nekoupite.

Nejde snad ani o to, jestli HP koupis nebo ne bez Win, ale o to, jestli to koupis, kdyz to tak vyrobce (HP) nebude nabizet, tj. zda o sve libovuli si budes na tom chudakovi prodejci (co za nic nemuze) vydupavat, ze mu ty Win chces proste vratiti a at on ti za ne vrati 3000,- - TO BY MNE ZAJIMALO, REALNA zkusenost.

Ale mas pravdu, ted jsem se dival na konfigurator HP a bez Win to tam navolit (desktopy dx dc) nejde. Notebooky si u HP customizovat nemuzes asi vubec, natozpak SW.

Vazne? Ja si idem kupovat notebook zrovna od HP (uz je zaplateny) a je bez Win prave preto, ze tam chcem Linux. BTW stoji o 1500 Sk menej ako verzia s WindowsXP Pro. Mozne je vsetko, aj kupovat notebook bez Windows, aj kupovat susienky bez cokolady, aj auta bez volantu,... :-)
inak fakt nechapem, preco je v diskusii k OpenVPN flame na temu windows/linux...

Pěkný den Vám všem,

nedávno jsem kupoval notebook (HP) a chtěli mi k tomu prodat Wokna XP, každopádně se s nima dalo mluvit, tak jsem WinXP a combo DVD+CDR vyměnil za DVD+-R.. Spokojenost.

Linux rulezz


PS:
Na začátku všeho bylo slovo, i Bůh oddělil jedničku od nuly a pronesl "Budiž data..."

bude pro vas mozna prekvapeni, ale nektere volanty uz maji ridici jednotky a jejich soucasti je software, podobnych ridicich jednotek se softwarem je v aute treba 60 (Phaeton).

Jestlis kupil notebook bez windowsu, tak asi proto, ze to vyrobce nabizel, anebo ti prodejce opravdu odlepil samolepku a odinstaloval Win?

Bud konkretni, co to bylo za zanacku?

Rad bych se dovedel o techto kecech a natlacich na prodejce neco vice, jenze on kazdy jen keca teorie a akce zadna.

Zdravim

Clanek pekny, to se musi nechat.

Jinak s tim volantem to bylo fakt spatny prirovnani. Lepsi je kdyby se ti snazili prodat auto s plnou nadrzi hodne drahyho a hodne nekvalitniho benzinu a jeste 4 barely k tomu. Pritom ty mas doma celou cisternu super kvalitniho benzinu uplne zdarma. Neuvazujeme situaci ze je kradenej.

Zdenek

Jestli prirovnavas Win k hodne drahymu a hodne nekvalitnimu produktu, tak to jsem se ale uprimne zasmal :-) I kdyby to bylo, jak rikas, nevim o zakonu a ti "odbornici" z agentury JPP take ne, ktery by ucinit takovou nabidku zakazoval, podle obchodniho zakoniku ani nahodou.

Ja chci videt, jestli mi tady tedy nekdo poradi s tim GNU zdarma kvalitnim OPENVPN (jiste dobrym, lec trochu slozitejsim na chapani, wizarda nemaje:-), viz dole, proc mi nejede P-P VPN (moc tot tu neznam, doufam ze tady jsou odbornici a ne pojidaci kolacu a akademicke diskuse).

Urcite je tu odborniku dost, ale s timhle pristupem k diskuzi se myslim odpovedi nedockas.

Bud muzes pozadat v diskuzi o pomoc a sdelit pokud mozno maximum relevantnich infomaci ke svemu problemu, nebo taky muzes za par dni odejit s tim, ze tu zadni odbornici nejsou a je tu jen uzavrena skupina zvanilu. Volba je na Tobe ;-)

Kvůli debatě některých "odborníků" (rozuměj BFU) kteří příliš neví jak věci fungují, jaksi zapadlo, že jde o pěkně napsaný a užitečný čĺanek (i když po prvním díle jsem byl k téhle technologii skeptický)

Ano, a ty víš jak to funguje? Ono je to strašně jednoduché ty GNU věci, akorát že to ne vždy nefunguje (to víš, jako komerční produkt v této podobě by si to nikdo nedovolil vydat, protože jen minumum zákazníků by si s tím poradilo), viz níže...

Tak se na to asi vypr* a zkusím www.ovislink.com.tw/9000intro.htm to už by mělo mít VPN server/klient v sobě a ono se dost pozná v účtech, jestli to má spotřebu 6W nebo 150W (velké hlučné PC), jen tak dál.

no, konkretne u tehle konfigurace server-client je jistej predpoklad, ze se potrebujes dostat do site, kde nejaky kompy bezi. a je nejakej dalsi predpoklad, ze na ty siti bude jeden z nich delat gateway, firewall, drzet dalsi sluzby a tedy pobezi porad, tak proc na tehle masine nerozjet i openvpn?

tady jo, ja resim predchozi - sit point-point

koukam na ROUTE PRINT na Wokna a koukam, ze tam OpenVPN nepridal routu (proste tam chybi) na druhou stranu, je to mozny?!

Mozno sa pletiem, ale ked Ti OpenVPN vytvori dalsi sietovy adapter, tak by to problem nemalo robit... Pokial tam bude aspon nejaka o defaultnom traffic na adapter...

RRK

hlaska z logu, posledni radek (na Windows jako service) - vite nekdo, cim to muze byt? Na obou stranach je 2b11 a na sebe si obe strany pingnou v pohode...

Mon Oct 18 09:24:11 2004 us=189261 NOTE: failed to obtain options consistency info from peer -- this could occur if the remote peer is running a version of OpenVPN before 1.5-beta8 or if there is a network connectivity problem, and will not necessarily prevent OpenVPN from running (0 bytes received from peer, 0 bytes authenticated data channel traffic) -- you can disable the options consistency check with --disable-occ.

Jestli ono by to nechtělo místo flamování spíš přemýšlet. Zkuste to co vám radí - přidejte do konfiguráku option disable-occ (nebo si upgradujte druhou stranu taky na dvojkovou verzi).
Autorovi díky za článek, o tomhle software jsem nevěděl a DOST se mi hodí, IPSEC (a další) byl pro mě kvůli firewallu nepoužitelný...

no jo, vy asi nectete "obou stranach je 2b11"

Ježišimarja

takze ak to spravne chapem, tak pomocou tohto riesenia mozme nahradit drahy VPN koncentrator od cisca. Moze niekto napisat nakolko je to narocne na procesor a pamat? vyuzivame cisco router,kde zakoncujeme IPsec spojenia s kontrolou hesla cez radius na inom servry. Je aj tu takato moznost? v clanku nieje spomanuta. dakujem.

pekny clanok,,,ale prosim vymazte diskusiu ..

dobry nazor ten na konci, to mi pripomina ty lidi nadavajici na komercni TV, co si neumi prepnout na jiny kanal / necist ty hrozne noviny apod . ;-)

Stale cekam, jestli se mi nekdo ozve, ze mu to na Windows slape P-P.

Šlape.
Ale přiznám se, že arogantnímu blbečkovi radit nemíním.

Anebo jo - pomohlo mi změnit typ rozhraní TAP na TUN.
Konfiguráky mojí aktuální funkční konfigurace najdete tady (jede to přes TCP skrz firewall, dvojková Win verze proti 1.5.0 verzi na Gentoo a už bez sdíleného klíče):
http://download.jerryweb.info/openvpn/

skor som cakal odpovede typu mame tuto konfiguraciu a zvlada tolko a tolko pripojeni.. v porovnani s ciscoVPN clientom je to tazsie/lahsie na konfiguraciu ... a bla bla.. DIk.

Bohužel jsem se nechal zlákat na tu podivnou existenci jménem "P", která svoje flamovací příspěvky á la zive.cz bez vazby na téma háže do všech threadů. Moje chyba - mělo to jít o thread výše; ptá se na konfiguraci čistě dvou Win klientů proti sobě, odpověděl jsem mu. S Ciscem to souvislost nemá.
Tímto se omlouvám, že jsem neodpovídal ve správném threadu.

:o)

P-P na woknech (dokonce i wokna-linux) mi funguji bez problemu (isnatalace cca 10 minut). Doporucuju si vzit konfiguraky z wokeniho instalacniho balicku a projet je, jsou vicemene pro zakladni P-P tunel.

ano, slape mi to na windows

Vzdalene overovani hesla v principu nefunguje. Pro client/server mod jsou potreba certifikaty, ty je sice mozno chranit heslem, ale heslo se potom nikam neprenasi, pouze se s nim rozsifruje certifikat na klientovi. Ale je mozne na serveru napsat skript, ktery pro konkretni certifikat urci, zda ho ma povolit nebo ne (to je v clanku zmineno).

BTW vcera vysla beta12 a citam tam ze:
* Added support for username/password-based authentication.
Clients can now authentication themselves with the server
using either a certificate, a username/password, or both.
New directives: --auth-user-pass, --auth-user-pass-verify,
--client-cert-not-required, and --username-as-common-name.

Takze uz to fici aj cez login/heslo, osobne som to este neskusal ale ked to tam pisu asi to bude pravda.
Inak celkom fajn clanok, sam to pouzivam na niekolko VPN (p2p, tls server+bridge) uz takmer rok. Este by bolo pekne popisat ako to nakonfigurovat s bridgom (na L2). Aj ked na oficialnom webe je dost vela rozumnych prikladov.

Jeste k te zatezi procesoru... Na nasi VIA EPIA8000 (800MHz C3 procesor) si dva aktualne pripojeni klienti sebrali cca 2-3% vykonu.

Super clanek,
hnedka jsem si OpenVPNku rozchodil (ale neni publicOpen :) a jsme naprosto spokojen.

Jen pro doplneni. Spojeni se navaze nejen pres UDP ale umi i pres TCP

A jeste jedna vec - v debianu (testing a stable) je verze 1.6 - pro verzi 2.0 (pouzijte)
deb http://cmeerw.org/files/debian woody openvpn


Funguje na testingu uplne v pohode :)

Diky za super clanek

UDP a TCP jsem zminoval v prnim dile a dokonce se o tom i chvili debatovalo... Jinak diky za pochvalu :)

Lze rozbehat OpenVPN s VPN klientem od Cisca? Kvuli praci ho stejne musim pouzivat, tak bych byl nerad aby se mi tu hromadili hornici (VPN klienti).

Ne, jedna se o uplne rozdilne technologie.

nie cisco VPN je postavena na IPsec

Zdravim,
dekuji autorovi za vyborny clanek.OpenVPN je bomba, akorat bych potreboval poradit jak se napojit z Win9X na OpenVPN na linuxu.V distribuci je uveden jenom klient pro WIndows2000/XP.Takze OpenVPN nejede po Win9X, coz je skoda, nebo lze to nejaky spusobem dosahnout.
Jeste jednou DIK

Obavam se, ze Win 9x podporovany nejsou. Nikdy jsem se tim nezabyval, ale rekl bych, ze problem bude s virtualnim sitovym zarizenim...

Pro pripojeni lidi s notebooky s Win pres GPRS pouzivame OpenVPN uz asi pul roku bez vetsich problemu. Ted jsem se ale pokousel postavit tunel z Linuxu (jinak k tomu pouzivam VTun http://vtun.sourceforge.net/), tunel na obou koncich nahodi zarizeni, komunikace z klienta na server na danem portu probiha, ale server hlasi "Authenticate/Decrypt packet error: packet HMAC authentication failed" a na /dev/tun (nebo tap) uz packety nedorazi. Google neporadil (neumim spanelsky), poradi nekdo jiny?

mam openvpn server,nanho su pripojeny klienti,vseci klienti pinguju server, ale chcem aby sa aj klienti videli navzajom tak som na server pridal parameter client-to-client ako som sa v clanku docital,ale klienti sa stale nepinguju:( co tam treba este nastavit?

Mám jen malý dotaz? Když se připojím klientem na server na 100 Mbit siti tak se mi připoji "jen rychlosti 10 Mbit". Mám něco špatně nastaveno nebo je to specifikace klienta?

Predpokladam, ze se jedna o Windows. Ty mi take hlasily 10Mbit, ale prenasel jsem 6MB/s (z meho noteboociho disku, takze proto tak malo :) ). Osobne si myslim, ze Virtual Tun Adapter vzdy vrati 10Mbit a dal to neresi...

No ja mam jeste vele OpenVPN v tray i KerioVPN a to hlasi 100Mbit(jedu venkem internetem pres 1Mbit linku :) ), takze asi to nejak jde nastavit u toho VTA de, ale myslim, ze nejaka aspon pribizna autodetekce skutecne rychlosti nehrozi : )

Vůbec nechápu ten konfig jak pro server tak klient, kde je napsané že komunikace ej na portu 5000 nebo že se děje přes UDP? když se mrknu na stránky openvpn http://openvpn.sourceforge.net/20notes.html#examples
tak je tam něco uplně jinýho...nezná někdo odpověď??
Diky

UDP port 5000 je defaultní, takže ho není třeba explicitně vypisovat. Viz parametry 'proto' a 'port' (resp. 'lport' a 'rport') na http://openvpn.sourceforge.net/man.html

take bych mel jeden maly dotaz - jak je to u OpenVPN s MTU? Pracuje jako vetsina VPN tak, ze omezuje MTU na hw MTU - hlavicka, nebo je schopne packet fragmentovat a nastavit MTU az na 1500?

Diky

...fragmentacia prebieha samostatne (uz od verzie 1.5) vid. http://openvpn.sourceforge.net/. BTW: vyborny clanok, uplne nahodou som sa s "tunelovanim" bavil posledne dva dni... velmi sikovne a po neprijemnych skusenostiach s IPSec/IKE vs. ET-CDMA, neporovnatelne jednoduhsie :)

Nemohl by mi nekdo poradit, jakym zpusobem postupovat pri generovani certifikatu pro openVPN? Vytvoril jsem si CA, vygeneroval certifkat i klic pro openVPN server i WIN klienta, ale openVPN mi po spojeni sype do logu tuhle hlasku: TLS ERROR: initial packet local/remote key_method mismatch, local key_method=1, op=P_CONTROL_HARD_RESET_CLIENT_V2, zkousel jsem uz vsechno mozne, prostudoval clanky "Jak na openSSL", ale uz fakt nevim. :-) Diky.

Tohle mi to dělalo, když na jedné straně bylo OpenVPN 1.5x a na druhé straně dvojková verze. Chtělo to oběma nastavit v konfiguráku (nebo na příkazovém řádku) "key-method 1" nebo "key-method 2". Viz popis těchto switchů na http://openvpn.sourceforge.net/man.html

OpenVPN pouzivam jiz par mesicu a nikdy jsem nemel problemy, az nedavno.
Za nekterymi firewally se mi nepodarilo spojeni vytvorit. Firewall byl asi od Cisca a NAT fungoval bez problemu. Mohl jsem pouzivat SSH i dalsi sluzby, avsak pri nahazovani spojeni openvpn pripravil interface, avsak vic nic a dals pojeni spadlo.
Zkousel jsem prehodit spojeni z UDP do TCP, prehazovat porty (napr 143, 443) avsak bez uspechu.
Bohuzel nevim nic blizsiho, ani uz nemam zaznam z logu. Potreboval bych to nahodit, ale jsem v koncich.
Ma nekdo nejaky 100% zpusob jak se dostat skrz opravdu vsechny firewally?
Diky

Mam rozbehane OpenVPN v rezime client/server. K servru sa pripaja zopar klientov s unikatnymi klucmi, spojenie smerom dnu a naopak, funguje bez problemov. Otazka znie: Je mozne routovat aj medzi jedn. klienmi medzi sebou ak su z toho isteho subnetu? napr. 10.10.1.0/29 Dik.

Klient bez problemu pripoji k OpenVPN, ziska IP adresu, ale to je vse, co dokaze. Pokud dam PING z klienta na server, tak sice ping dojde az na server (tcpdump ho bez problemu zobrazil), ale od serveru nedojde zadana odpoved. Pokud pridam na serveru routovani primo na IP adresu klienta, tak mi to zacne fungovat, ale pouze mezi klientem a serverem. Nedostanu se na zadne ostatni PC v siti. Ip_forwarding mam, zkousel jsem i echo 1 > .../tap0/arp_proxy (podle prispevku vyse). Firewall jsem zkusil vypnout a nic. Poradte, prosim, kterym smerem se mam vydat. Uz jsem zkousel snad vsechno co jsem nasel na webu. Dik.

Zrovna jsem to rozjel s obdobnymi problemy..figl je v tom to spravne naroutovat..vpnka musi mit vlastni subnet, paket nesmi chodit tam a zpet ruznou cestou, vpnsubnet musi mit na serveru svou route, pocitace z LAN musi do nej pristupovat vyhradne pres server atd atd. doporucuji vzit tuzku a papir a zacit si to kreslit, jinak je to na zblbnuti

Pokousel jsem se openVpn nainstalovat na linuxu a velice se mi zamlouvala moznost pouzit komprese na me pomale internetove lince, ale zjistil jsem, ze ma distribuce slackwaru nema potrebnou kompresni knihovnu, tak jsem si ji chtel nahrat, ale stranky projektu s touto LZO knihovnou "http://www.oberhumer.com/opensource/lzop/" nejsou funkcni, nevite nekdo, kde stahnout zdrojaky tohoto programu?

http://www.oberhumer.com/opensource/lzo/download/

Nemel by nekdo napad, jak pro ruzne klienty v road-warrior rezimu udelit ruzna pristupova prava ve fw? Podarilo se mi pomoci common name kazdemu uzivateli priradit jednoznacne ip a ty pak uz muzu konfigurovat podle potreby. Ma to vsak jednu zasadni chybu, pokud si uzivatel zmeni ip (a me se to povedlo zcela bez problemu), je cely model na houby. Nelze ip blokovat ke konkretnimu common name?

nechal bych ip adresy pridelovat dynamicky.
pouzil bych iptables a filtroval bych provoz pres MAC adresu.

napr:
iptables -A INPUT -m mac --mac-source <mac adresa> -j ACCEPT
iptables -A FORWARD -m mac --mac-source <mac adresa> -j ACCEPT

co se tyce ziskavani MAC adres od klientu, tak to je taky resitelne.
udelal jsem si utilitku, ktera mi odchytava zpravy z arpwatche a krmi mi nove pripojene sitove karty a jejich MAC adresy do mysql
z mysql pak generuju konfigurak pro iptables.
pak mam pro administraci udelany web-interface, kde muzu jednotlive mac uplne stopnout, nebo jim pres HTB priskrtit tunel na danou rychlost.

zdravim. mam problem s OpenVPN. dela jsem to podle spousty navodu, ale vzdy 
mi to skonci s tim ze klient nedostane ip adresu a system mu prideli buhvico. 
napr. delal jsem to i podle root.cz. vim ze na rootu chybi routovani a neco jsem 
tam pridal. ale ip se stejne nepriradi. domnivam se ze problem je porad v 
routovani ale nevim co s tim.

server.conf:

mode server
tls-server
dev tap
ifconfig 10.0.10.100 255.255.255.0
ifconfig-pool 10.0.10.1 10.0.10.90 255.255.255.0
duplicate-cn

ca /etc/openvpn/my-ca.crt
cert /etc/openvpn/office.crt
key /etc/openvpn/office.key
dh /etc/openvpn/dh1536.pem

log-append /var/log/openvpn
status /var/run/openvpn/vpn.status 10

up ./openvpn.up

mtu-test
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
ping 10
ping-restart 120

push "ping 10"
push "ping-restart 60"

push "route 10.0.0.0 255.255.255.0 10.0.10.1"

user openvpn
group openvpn
comp-lzo
verb 3

client.conf:

remote x.x.x.x
tls-client
dev tap
pull

ca my-ca.crt
cert home.crt
key home.key

mtu-test
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450

comp-lzo
verb 3


openvpn.up:

#!/bin/sh

route del -net 10.0.10.0 netmask 255.255.255.0 gw 10.0.0.1
route del -net 10.0.10.0 netmask 255.255.255.0 dev tap0
route add -net 10.0.10.0 netmask 255.255.255.0 gw 10.0.10.1


route tabulka:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
x.x.x.0     *               255.255.255.224 U     0      0        0 eth3
10.0.0.0        *               255.255.255.0   U     0      0        0 eth0
10.0.1.0        *               255.255.255.0   U     0      0        0 eth1
10.0.2.0        *               255.255.255.0   U     0      0        0 eth2
10.0.10.0       10.0.10.100     255.255.255.0   UG    0      0        0 tap0
loopback        *               255.0.0.0       U     0      0        0 lo
default         v50.b1.lib.vol. 0.0.0.0         UG    1      0        0 eth3


hlasky na strane klienta:

Wed Feb 16 20:18:35 2005 Route: Waiting for TUN/TAP interface to come up...
Wed Feb 16 20:18:36 2005 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Wed Feb 16 20:18:36 2005 Route: Waiting for TUN/TAP interface to come up...
Wed Feb 16 20:18:36 2005 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Wed Feb 16 20:18:36 2005 route ADD 10.0.0.0 MASK 255.255.255.0 10.0.10.100
Wed Feb 16 20:18:36 2005 Warning: route gateway is not reachable on any active n
etwork adapters: 10.0.10.100
Wed Feb 16 20:18:36 2005 Route addition via IPAPI failed
Wed Feb 16 20:18:36 2005 Initialization Sequence Completed With Errors

Ahoj, mam stejny problem s tim rozdilem, ze na jinych pocitacich to chodi. Ted jsem ale prisel k dalsimu zamestnanci a nechodi to, resp. chodilo to jedinkrat po instalaci klienta a pak uz ne. Problem zrejme bude ve firewallu Kerio, ale at delam, co delam, nedari se mi ho nastavit tak, aby se to rozebehlo. :(
Pokud uz ma nekdo nejake reseni, necht ho prosim posle, jinak z toho asi zesilim. Diky.

Pouzivam TAP a pomaha ked zariadenie pred nadviazanim spojenia rucne v sietovych spojeniach deaktivujem a aktivujem (disable/enable).

Díky, problemy po instalaci personal firewall kerio s openVPN mohu potvrdit (i po deaktivaci keria). Vypnutí a zapnutí TAP však zabralo a je to funkční i s aktivním keriem (verze sunbelt 4.2.3).

Je mi jasne ze uzivatelu na M$ je vic, ale precejen bych cekal ze se o instalaci klienta na linuxu zminite..

Ted jsem to sepsal. Kdyztak me opravte.

http://www.stud.fit.vutbr.cz/~xpagac02/index.php?akce=nezapamatovatelne#linux4d

Zdravím,
mohl by mi někdo, prosím poradit s nastavením OpenVPN? Když spusím VPN(v modu client) na Win XP, 2000, tak vypíše následující:

Options error: Unknown key direction 'files\openvpn\easy-rsa\keys\ta.key' -- mus
t be '0' or '1'
Use --help for more information.
Press any key to continue...

Nikde jsem nenašel proč a domovské stránce projektu mi také neporadili. Podle mě dělám vše, jak je napsáno v dokumentaci(resp. v HOWTO). A tady je config klienta:

# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
client

# Use the same setting as you are using on
# the server.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
;dev tap
dev tun

# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap

# Are we connecting to a TCP or
# UDP server? Use the same setting as
# on the server.
;proto tcp
proto udp

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote "IP mého serveru" 1194
;remote my-server-2 1194

# Choose a random host from the remote
# list for load-balancing. Otherwise
# try hosts in the order specified.
;remote-random

# Keep trying indefinitely to resolve the
# host name of the OpenVPN server. Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
resolv-retry infinite

# Most clients don't need to bind to
# a specific local port number.
nobind

# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nobody

# Try to preserve some state across restarts.
persist-key
persist-tun

# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here. See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# SSL/TLS parms.
# See the server config file for more
# description. It's best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
ca C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt
cert C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\klient.crt
key C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\klient.key

# Verify server certificate by checking
# that the certicate has the nsCertType
# field set to "server". This is an
# important precaution to protect against
# a potential attack discussed here:
# http://openvpn.net/howto.html#mitm
#
# To use this feature, you will need to generate
# your server certificates with the nsCertType
# field set to "server". The build-key-server
# script in the easy-rsa folder will do this.
;ns-cert-type server

# If a tls-auth key is used on the server
# then every client must also have the key.
tls-auth C:\\Program files\\openvpn\\easy-rsa\\keys\\ta.key 1

# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
;cipher x

# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
comp-lzo

# Set log file verbosity.
verb 5

# Silence repeating messages
;mute 20

uvozovky okolo jmen souboru, co v sobe obsahuji mezeru (ca, cert, key, tls-auth):
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"

jak mam nastavit aby kazdy klient mel po pripojeni k serveru stejnou ip adresu?

Ahoj nevim jestli jeste nekdo cte tento navod, jestli jo tak mi helfnete pls.
Mam problem s gateway na strane klienta(winxp), tady prikladam konfiguraci na strane serveru i klienta.

Jde mi jenom o prosty tunel mezi serverem a jednim klientem. Potrebuji aby klient nacetl gateway a dns plus ip a masku vse pres vpn

"na strane serveru linux suse10.1"
dev tun
ifconfig 192.168.2.1 192.168.2.2
secret static.key

"strana klienta winxp"
remote 10.0.0.1
dev tun
ifconfig 192.168.2.2 192.168.2.1
secret static.key

inicializace i sestaveni probehne v poradku ale klient obdrzi pouze IP,masku a adresu dhcp.

Jestli nekdo vite jak na to, byl bych vam vdecen diky

možná nehledáte toto, ale zkuste mrknout do konfiguráku...

push "redirect-gateway"

push "dhcp-option DNS 10.8.0.1"

push "dhcp-option WINS 10.8.0.1"

Diky uz jsem to vyresil, pres redirect gateway. Problem byl v tom, ze pokud chceme pushnout novou gateway klientovi tak mu musime nejprve smazat tu starou. Pak to fungje.
Nakonec jsem zustal "redirect gateway" vsechno jedu paradne. Akorat mam stale problemy s keriem nebo to dela SP2. Inicializace na strane klienta probehne vporadku, ale adresa se neprideli. Po vypnuti a zapnuti Virtualniho adapteru je vse v poradku.

Nevite jakej je rozdil pri HTB, zkousel jsem ho udelat pro vpn ale jede mi jenom na fyzickych adapterech na Virtualnim me to nechce fungovat

Nevíte o nějakém klientském appletu pro gnome? Nepotřebuji mít VPN pořád připojenou. Myslím něco podobného jako je GUI ve windows. :) Díky.

OpenVPN Admin

Asi mi z toho praskne hlava
Stále se mi nedaří přijít na to, jak získat tyto tři soubory.

ca /etc/openvpn/cacert.pem
cert /etc/openvpn/vpn.crt
key /etc/openvpn/vpn.key

Kamarád mi doporučuje použít secret /etc/openvpn/secret.key

ale to se mi zdá že nejde v režimu klient/server

napiště mi prosím někdo něco jiného, než RTFM man openssl a podobně, já potřebuju rozjet co nejrychleji vpnku a ne se dva dny učit základy šifrovacích algoritmů

Díky
zachráníte mi duševní zdraví

Už to mám

Taky by mne to zajímalo, jak ty soubory vytvořit. Nemohl by teda někdo poradit?

Koupí nového notebooku jsem přešel nechtěně na VISTY. Prosím o radu jak a co nainstalovat, aby mi OpenVPN běhala stejně jako na XPčkách. Díky za pomoc

Díky, těžko se tohle nastavení hledá.

http://martina.blog.lupa.cz/0709/openvpn-pod-windows-vista

Dobrý den,

Provozuji doma dva počítače - PC a Notebook. Oba počítače jsou připojeny přes můj router k místnímu poskytovateli sdíleného připojení k Internetu. Přes OpenVPN se připojuji k serveru na firmě pro kterou pracuji. Na notebooku OpenVPN funguje jako víno. Po instalaci téhož na PC se vše jeví jako funkční, avšak připojení neproběhne úspěšně. Logovací protokol uvádí, že: "Waiting for TUN/TAP interface to come up". Na notebooku cca po 1 vteřině tento TUN/TAP interface naběhne, avšak na PC nenaběhne. Pořád to píše "u/d=down" (cca po dobu jedné minuty asi 20krát). Nakonec ho to přestane bavit a spouštění ukončí hláškou:" Initialization Sequence Completed With Errors".

Rád bych požádal o radu, co prozkoumat či zkontrolovat. Přiznám se, že vůbec netuším, jak softwarový iterface funguje, takže nevím, co kde hledat.

Možná by vítr mohl foukat od toho, že každý počítač má jinou vlastní IP adresu (x.x.x.100 a x.x.x.101). Avšak vlivem použití Routeru a připojení přes poskytovatele sdíleného připojení je navenek IP adresa obou strojů asi shodná, že ? Zkrátka v tom plavu.

V případdě potřeby mám k dispozici obrázky znázorňující ipconfigy jednotlivých strojů, log-výpisy apod.

Předem děkuji za jakoukoli snahu pomoci.

Zdravím

Martin
Trutnov

Je na PC pouzit jiny klic a certfikat s odlisnym "Common Name" nez na Notebooku? Pokud ne a na serveru neni povoleno "duplicate-cn", je mozna soucasne jenom jedna instance tunelu a spojeni se navzajem shazuji.

Děkuji za příspěvek. Je to tak - není možné být připojen na jedno jméno a heslo z obou počítačů zároveň. Mám přihlašovací jméno a heslo na obou počítačích shodné. Již jsem to jakžtakž zprovoznil. Problém je v tom, že při restartu počítače firewall Kerio pochroumá virtuální TUN/TAP adaptér. Zavedl jsem tedy praxi, že po každém restartu musím virtuální TUN/TAP adaaptér odinstalovat a znovu nainstalovat. Je to sice krkolomné, ale zabere to pár vteřin a zatím to tak funguje. Ještě jednou děěkuji a zdravím.

Vše fungovalo jak má. Od jednoho okamžiku začal klient vypisovat toto:

Fri Nov 09 08:11:02 2007 us=530664 Local Options hash (VER=V4): 'd79ca330'
Fri Nov 09 08:11:02 2007 us=530697 Expected Remote Options hash (VER=V4): 'f7df56b8'
Fri Nov 09 08:11:02 2007 us=530754 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Nov 09 08:11:02 2007 us=530773 UDPv4 link local: [undef]
Fri Nov 09 08:11:02 2007 us=530806 UDPv4 link remote: 212.24.156.82:1194
Fri Nov 09 08:11:02 2007 us=554021 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Fri Nov 09 08:11:05 2007 us=6208 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Fri Nov 09 08:11:07 2007 us=459344 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Fri Nov 09 08:11:08 2007 us=694662 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Fri Nov 09 08:11:11 2007 us=147613 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)


a spojení se pochopitelně nenaváže. Chyba je pouze na internetu co mám doma. Při připojování přes WiFi kdekoliv jinde je vše OK. Poskytoval internetu tvrdí, že di konfigurace nezasahaoval, ale já vidím že zasahoval :-(.
Setkal jste se někdo už s touto chybou?

stalo sa to aj mne, chyba bola, ze sluzba na servri nebezala