Re: OpenVPN

[Nicholas <spam@networkgate.us>]

Sergey Suleymanov wrote:

>      Если-бы записи `push "route 192.168.1.0 255.255.255.0"` небыло:

Извините что вмешиваюсь, но обнаружил у себя вот такую конфигурацию:
push "route-gateway 192.168.2.5"
push "ifconfig default gw 192.168.2.5"
видимо команды либо дублируют друг друга, либо одна не верная, либо обе. 
При этом работает.
Можете прокомментировать ?

>
>           Если требуются соединения с сервера к клиенту, то тогда
>           еще client-config-dir ... с соответствующим файликом в
>           этой директории.

Всегда думал что этот файлик нужен для предоставления клиенту одного и 
того же внешнего IP.
А для того что бы устанавливались соединения от клиента к серверу нужно 
в iptables добавить:

-A POSTROUTING -s 192.168.2.10 -j SNAT --to-source yyy.yyy.yyy.10 (для 
клиента 10 с постоянным внешним IP - внутренний ip привязан к 
сертификату и прописан как раз в lient-config-dir ccd строкой 
ifconfig-push 192.168.2.10 255.255.255.0)

#### SPOOL ####

-A POSTROUTING -s 192.168.xxx.0/255.255.255.0 -j SNAT --to-source 
yyy.yyy.yyy.20-yyy.yyy.yyy.30 (для клиентов с динамическим внешним IP)

#### PORT FORWARD ####

-A PREROUTING -d yyy.yyy.yyy.10 -p tcp -j DNAT --to-destination 192.168.2.10
-A PREROUTING -d yyy.yyy.yyy.10 -p icmp -j DNAT --to-destination 
192.168.2.10
(для клиента 10 с постоянным внешним IP, для того, что бы к нему можно 
было обратиться из сети)

Что скажете ?


В догонку вопрос - кто нибудь настривал EJBCA для управления сертификатами ?
http://sourceforge.net/projects/ejbca/
Можно использовать при >50 клиентах ?

--
Best regards,
	    Nicholas