Артём, приветствую! Хочу выразить тебе свою искреннюю благодарность! Вошёл в IT через техписа, но по мере подключения к проектам начал расширять свои знания и навыки, и если навыки это производная знаний, то вот как раз за знаниями я обратился в великий и могучий интернет. В общем спасибо тебе за знания!
жаль раньше не нашел видео, так пытался сам разобраться, в чем разница между `route`, `route "push ..."` и `iroute`, а ты объяснил все быстро. благодарю!
как же ты круто изгалаешь! все четко, по делу, лаконично - ничего лишнего. Супер!) Было бы очень круто большой выпуск вцелом про сети: что такое OpenVPN, сертификаты, SSH, public\private ключи и пр. и как это все изнутри работает))
Артем как всегда красавчик, все по полочкам в свое время освоил гит по его большому разбору. Однозначный лайк всем советую. Многим организаторам платных курсов поучиться бы в подаче материала у него.
Артем, пожелание. В следующий раз предлагаю вам не быстренько пробегаться по инструкции давая краткое замечание, а делать все ручками на любой виртуальной машине. Со стороны кажется, что все элементарно и понятно, но на деле начинаешь сталкиваться с разными нюансами. Это пожелание. Это улучшит контент, а решать вам.
Доброго времени суток. Шикарное видео. Такое я планирую уже пару месяцев, только знаний не хватает)). Побольше бы таких видео. Благодарю за информацию 🙂👍
Артём спасибо большое! Очень помогла ваша инструкция в ситуации, когда микротик в роли клиента. Сервер правда у меня на openwrt, но настройка идентичеая! Неделю бился, а тут как подарок этот ролик!
Артём спасибо вам за видео полезное , совет хотя бы частично покажите DNS конфиг сервера и правила файрволла , понятно что не в ходит в тему но хоть с замыленными строками так наглядно многие будут признательны. Спасибо.
Настройки для клиента прописывал по-другому через iroute иначе сеть за микротом не видно было. Но всё равно спасибо за видео! Большая работа и мало кто может так разжевать. Ещё ссылки на файлы конфигов и скриптов в описании были, совсем хорошечно было бы.
Все хорошо, спасибо за информацию. Но вот если бы все это, да на win server, из серии: сервер win + ovpn + настройка маршрутизации, чтобы локальные сети за клиентом и сервером видели друг друга.
если новая и не большая инсталляция - наверное. но у клиента уже может быть большая инфраструктура, завязанная на openvpn, и таких еще много. тем более, что вайргард, например, в микротике, будет только в семёрке, а когда будет семёрка уже не первый год вообще не понятно.
апгрейд. семерка у микротика вышла, и вайргард работает. настройка сервера и клиента (первая и без подготовки) заняла в сумме минут десять-пятнадцать. и всё работает. оуительно.
Я понимаю что можно исходя из этого материала и самому сообразить, но все же думаю было бы полезно снять отдельное видео про поднятие OpenVPN на VPS с одной целью - обход блокировок и подмена IP. Я знаю что есть скрипты, но хотелось бы самому. Статьи на эту тему содержат ошибки.
Здравствуйте, Артём! Большое спасибо вам вам за ваши видео! У меня к вам вопрос, как к специалисту. Возможно ли настроить защищённое опенвпн соединение без докера и роутеров на двух физических ПК через интернет: сервер на убунту, а клиент на виндовс 10. ПК удалённые. Это нужно реализовать так, чтобы клиент мог подключаться к приложению на сервере (быть в одной сети). На сервере белый ай-пи.
@@LinuxbyDmitry Тут дело немного в другом. В реальной эксплуатации клиенты все разные, версии клиентов разные, алгоритмы шифрования разные. И это изменить не получится никогда. В небольших управляемых средах wireguaкв себя прекрасно чувствует, но как только появляются несколько десятков подрядчиков с доступами в разные регионы и страны мира - вот тут и начинаются интересные тонкости эксплуатации :) И дело тут не в микротиках.
Заморочился конечно круто. 👍 НО слишком сложно/громоздко. А учитывая что все на микротах то можно вообще купить лицуху микрота и все на них настроить, при этом выкинуть половину ненужного. Чем проще схема тем стабильнее она работает. 😊 А в общем видео классное.
Микротик просто железка, ради примера, у многих могут быть другие железки, тут исключительно потому что есть. Бесплатно. Масштабируемо. Заморочиться придется единожды, потом оно просто работает. В целом надежная технология.
@@MyNameIsChira ну роутеры брать придется все равно, а микроты сейчас стали недорогие, если не ошибаюсь в районе 2к и можно все на них и сделать. Плюс человеку придется изучить только настройку микрота, для тех кто не силен в IT это будет полегче. Хотя каждому свое, как говорится на вкус и цвет 😊 Респкт и уважение за проделанный труд 👍
Спасибо за видео. Артем, скажите, а Вы в реальности пользуетесь данной схемой или только показали ее для учебного примера? Есть ли неудобства от того, что VPS находится в США? (Весь траффик делает такой крюк, увеличивается время отклика, падает скорость, сайты выставляют неправильную локализацию?) У DigitalOcean ограниченный траффик на дешевых тарифах, стриммы с камер не попишешь. Каким тарифом Сами пользуетесь? Какой CPU достаточен для этой задачи? И еще один вопрос: если на одном клиенте установлен торрент клиент, как его траффик пустить мимо VPS напрямую?
спасибо за видео! несколько вопросов: зачем vpn-server, dns и центр сертификации делать на виртуальном сервере в облаке? это нужно только для стабильности? почему не сделать его на своем домашнем сервере который будет стоять в квартире. и если сделать vpn на домашнем сервере что примерно это поменяет в схеме?
Да, для стабильности/надёжности. Если, например, произойдет фэйл на подстанции, питающей дом с домашней квартирой, то без системы резерва электроэнергии остановится чуть менее, чем всё взаимодействие в сети. Облако как ресурс намного стабильнее в доступе.
@@industwetrust96 может я не совсем понял вопрос. Но как я понял он спрашивал зачем вообще арендовать виртуальный сервер, если это так, то это нужно для проброса сайта в глобальную сеть, иначе он будет доступен только из подсети. Домашний глобальный сервер без аренды виртуального сделать намного сложнее чем инструкция из видео и работать оно будет значительно хуже.
@@industwetrust96 что мешает стабильность, надёжность организовать дома? Raid и бекапы создать проще простого и не нужно будет каждый месяц платить за облако
@@angel-astrocrafter но нужно будет платить за белый IP (или аналоги). VPS за частую дешевле (на некоторых cloud платформах так и вообще бесплатно) и проще.
@@nikolaivanov8312 не всегда. если взять роутер на борту с DDNS, далее проброс порта vpn на виртуалку - а на ней развернуть вовсе OpenVPN AS, далее баловаться на здоровье... вся схема рабочая. не понятно, что мусолят до сих пор старый опенвпн...
Привет Артем. Много интересного для себя нахожу в твоих видео ,Опенсервер ,Докер. Полезно знать и понимать логику действий. Еще одна интересующая была бы тема ,хотя и есть немало контента на просторах туба ,но все же мне кажется зайдет и у тебя. Темя языка программирования Пайтон. Вижу ты с ним дружишь хорошо. Сможешь сделать несколько уроков
55:00 с включённым на телефоне впн и подключеным к локалке сервера будут недоступны? Почему ты дома впн выключал на телефоне? Можно ли настроить так, чтобы не требовалось впн на телефоне дома выключать и иметь доступ ко всем сетям в ролике? Ты ещё Как-то настраивал, чтобы трафик только по локалке ходил (по кратчайшему пути).
@@matiashov так и я об этом, а, можно ли дома впн не выключать (вот мне так хочется), когда в локалке. У меня, если в локалке и включен впн на телефоне, то есть проблемы.
В той схеме, которая описана в ролике, можно не выключать клиент на мобильном устройстве и при этом еще будет клиент на самом маршрутизаторе. Все так же будет работать. Отличие в том, что устройство само будет перенаправлять трафик, а не клиент на роутере
@@maksymkushnir3154, нет это не только настройки сервера. Я имею в виду, что сложность сказать, в чем может быть проблема, пока не посмотришь на саму конфигурацию. Сравните конфигурацию сервера в ролике и свою, возможно там есть отличия. Также сравните клиентов
Здравствуйте! Один ключ на несколько сертификатов? Так не делал. Не думаю, что так можно… Максимальное количество клиентов зависит от подсети в конфигурации, от самого сервера. Точную цифру не подскажу.
@@matiashov Было бы интересно послушать и посмотреть в твоем объяснении на что способная данная железка: как настроить файрвол, сеть и многое другое, главное чтоб из этого можно было извлечь теоретические и практические навыки. Обычно при изучении определенных технологий в догонку заполняешь пробелы в знаниях разных мелочей и это очень круто. У тебя отлично получается обучать!
Артем, прошу подсказать. Есть разные проги типа анидеск, они на серых ip соединяют компы, которые подключены через wifi роутеры и не просят ввести вообще какой то белый ip. И не требуют настроек, все автоматически. А как можно подключиться удалено у моему интернету из другой страны? Задача - подключаться через домашний интернет и тем самым заходить на нужные сайты из интернета страны, где домашний интернет. Использовать какие то впн сервисы не хочется из-за узкого канала и платности сервисов. Все хочется сделать на базе постоянно включенного домашнего ноута. спасибо
Спасибо. Интересное видео. Попробую реализовать у себя. Вопрос: А зачем сервер сертификации? Немного не понимаю его предназначение. Ключи с putty можно генерировать.
Ключи SSH и сертификаты в рамках OpenVPN - разные вещи. Центр сертификации в OpenVPN один из важных моментов. В схеме с сертификатами нужно "лицо", которому все доверяют - это как раз и есть центр сертификации, который создает/отзывает сертификаты.
Большое спасибо за видео. Настраивал по нему свой сервер, всё работает отлично. Только появился вопрос, гугловые ответы на который у меня никак не вяжутся с порядком действий. Как настроить аутентификацию по логину и паролю в дополнение к сертификату?
Здравствуйте, в моей стране блокирует все Впн-и, как они умудряется блокировать впны? И как это работает? Они просто блокирует адресы vps серверов? И как противодействовать им?
И даже некоторые люди умудряются найти работающие впн или соксы , все равно примерно через 3-4 часа уже эти серверы не работает (блокирует). Это бесконечная война, и что вы в этой ситуации посоветуйте?
У меня тоже много точек соединено, все на микротик RB750Gr3. Достаточно одной точки с белым ip. Использую l2tp+ipsec+ospf, потому что он простой в настройке, для него не нужно дополнительно клиент ставить, по умолчанию поддерживается всеми устройствами. RB750Gr3 модель не дорогая и имеет поддержку аппаратного шифрования для ipsec, т.е. при шифровании вы не потеряете в скорости. Да, если смотреть таблицу сравнения всех vpn, то WearGuard вроде как побыстрее и вроде тоже не сложно настроить но на микротик его нет, для его надо отдельно сервер делать, так же есть ikev2 но он сложнее в настройке и под всё это клиент надо.
Здравствуйте подскажите как соединить 2 микротика через ovpn один сервер другой клиент и самое интересное у них серые ip адреса. слышал вроде как можно через no-ip но не понял как. нужен какой то скрипт. можете объяснить?
Если речь про OpenVPN и рассматриваем только два маршрутизатора (виртуальную машину не рассматриваем) и оба они находятся за NAT провайдера ("серые" адреса) - то никак. Динамический DNS в данном случае будет работать, если хотя бы у одного из маршрутизаторов (сервера) есть динамический "белый" IP.
Включаю разные кофигурации через клиентское приложение скачанное с оф сайта open vpn. Рвёт интернет соединение каждые 30 секунд. Ранее всё работало. Сейчас нет.
Артем привет, спасибо за видео, очень полезное! Не могли бы Вы изложить в небольшом видео как поднять на том же DO Samba сервер, что бы он работал только в частный сети, внешне был недоступен, и с некоторыми подсетями, например из «дома» он виден, а из «гаража» нет. Спасибо!
Нужна помощь! Установил на виртуальный сервер опенвпе с помощью pivpn. Клиенты Windows Android без проблем подключаются к впн, а вот клиент для микротика не запускается. Видимо дело в не поддерживающем tls-auth роутера. Как отключить tls-auth на сервере?
Вам стоит пересмотреть ролик. В конфигурации клиента прописаны, в том числе, параметры для подключения к серверу, одного клиента не достаточно. Ролик как раз про настройку сервера.
"Сертификат туда,сертификат сюда,запрос туда-сюда"-на белой доске бы это всё,с стрелочками, в голове картину целостную сложить не получается.А то получается перевод туториала для не знающих или слабознающих английский.
1. Если необходимо по какой-то причине отозвать сертификат только для одного клиента, то, если у каждого он один и тот же, отключатся все сразу. 2. В конфигурации можно прописать "одно соединение на один сертификат". Если кто-то еще подключится с этим же сертификатом, первый будет отключен. 3. Если у каждого свой сертификат, то можно гибко управлять каждым клиентов отдельно (назначить каждому свой ip, например, внутри сети)
А что по скорости? Если все клиенты по 100МБит/с к интернету подключены смогу я без лагов смотреть в FullHD кино с домашней файлопомойки? Сколько по факту максимум скорости соединения будет через opevpn сервер и от чего это зависит? Как максимизировать? Если сервер OpenVPN 2048 ядреный 6ГГц каждое, тогда будет 100 МБит/с между клиентами из разных подсетей? А почему не будет?
Как по мне, если есть Микротик, то easy-rsa не нужен. Просто поднять PKI на микроте. Всё равно все сертификаты руками генерируются. Или уже что-то более продвинутое и автоматизированное для PKI.
У меня на AWS ovpn, те как у вас на digital ocean Но для такого парка устройств трафик AWS/digital ocean будет дорого обходится ТК там есть видеонаблюдение. Такой вопрос Если поднять на домашнем компе или роутере то мой провайдер всё-таки сможет сниффить мой трафик? Спасибо
Вы скорее всего имели в виду OpenVPN Access Server, там есть ограничение в бесплатной версии, а консольный опенвпн целиком бесплатный и соответствует требуемым задачам, access server слишком избыточен для этих целей и сильно грузит сам впс, нет смысла в нем простому смертному если вы не знаете что это и для чего)
В целом отличная работа. Но хотелось бы посмотреть с точки зрения нагрузки. Ведь ovpn ресурсоёмок, я тяжел для любых не дорогих железок. При передаче трафика плотнее открытия страницы авторизации могут быть проблемы, задержки, отвалы. То же потоковое видео с нескольких камер, или торрент или IPTV сервер, при передаче видео в высоких исходных качествах. Как на счет IPsec и т.д. Он часто имеет аппаратную поддержку железом.
для этого есть OpenVPN Access Server - всё нормально с нагрузками. не понимаю почему многие не разворачивают AS в роли сервера... до сих порт темы мусолят про старый openvpn
@@Айтишниковскиебудни если есть микрот тебе в принципе больше ничего не надо, микрот с микротом через тот же l2tp за два нажатия, с vps канал можно голым ipsec поднять с маршрутизацией
Я тоже спросить хочу )) Все вот эти сети которые за роутерами они за Nat? То есть НАТ стоит на роутерах? Насколько я понял из видео, то нат-трансляции нет.
Спасибо за видео, отличный материал! Но есть вопрос по маршрутам на микротиках: прописывали ли вы маршруты для каждой удаленной подсети, через тоннель? Или просто отправили все через маршрут по умолчанию?
Годно! Осталось сделать дублирование серверов для отказоустойчивости в разные дц, CA сделать на базе hashicorp vault, чтоб сертификаты выпускать curl запросом из любого места, продумать ротацию сертификатов (и, возможно, полу/автовыпуск для новых клиентов) + мониторинг сертификатов(ocsp). И прям полупрофессиональное решение получится, вполне годное для статьи на хабре.
Не люблю общественные бесплатные сети, но порой хочется ими воспользоваться. Вот и думаю на своём ноутбуке под докером установить браузер с VPN-клиентом...
Привет.Можешь подсказать: Дома все устройства получают (проводной и безпроводной интернет) через роутер tplink1 .На балконе имею компьютер получающий интернет через роутер tp-link2 (то есть роутер как клиент с первого tplinka1 в квартире) всё работает и даже скорость не плохая.Хочу подключиться через удаленный рабочий стол с компа в квартире на комп стоящий на балконе.Пытался это сделать через iptables в роутере на балконе.Третий месяц сижу на линуксе - не могу сообразить как это сделать.Прошивка на роутере на балконе open-wrt.Может есть какие соображения?
Если у вас есть микротик, то зачем вам облачный VPN-сервер? Коннектить можно напрямую к нему. Если парит отказоустойчивость, то поднять сервер на втором микротике (ну раз уж мы их натыкали во все наши здания) и пусть все устройства коннектятся к 2-м микротикам. Там все намного проще получится.
Оракул раздаёт беслатные сервера по две слабых машины и одну мощную с 24 рам и в общем на трёх 200гг памяти на аккаунт - Как раз мне для этого проекта.
Сервер, я вчера только узнал что есть что-то кроме xp и поставил себе redos, на работе у меня под виндой норм vpn работает, все эти файлы я забрал домой и при настройке vpn соединения через графический интерфейс просто подложил туда файл конфигурации vpn. Он показал что всё подтянул, но соединения так и нет. Может где кому какие-то права нужно дать, третью ночь я сижу на ютубе на форумах и в интернетах этих и нихрена я не пойму почему не едет? И это видио не спорю хорошее, но клиент у меня так и не поехал, чего-то там нет!
подписался Лайк прожал!! теперь подскажи пожалуйста у меня Опен впн на телефоне ключ я купил установил как надо через мобильный интернет подключаеться не проблема через другие вай фай сети тоже не проблема а вот у себя дома подключаешь то подключаеться но скорость стрелка который низ показывает сперва 3.59кб а потом снижаеться на 0 всегда и идет секунды на Packet Received.почему так может быть это от роутера или от чего хотя с этого телефона в других вай фаях подключает и работает норм без проблем
Благодарю) Если все работает в других сетях, а дома скорость падает, то можно предположить, что проблема либо в роутере, либо сам провайдер накладывает какие-то ограничения.
Артём, приветствую!
Хочу выразить тебе свою искреннюю благодарность!
Вошёл в IT через техписа, но по мере подключения к проектам начал расширять свои знания и навыки, и если навыки это производная знаний, то вот как раз за знаниями я обратился в великий и могучий интернет. В общем спасибо тебе за знания!
жаль раньше не нашел видео, так пытался сам разобраться, в чем разница между `route`, `route "push ..."` и `iroute`, а ты объяснил все быстро. благодарю!
как же ты круто изгалаешь! все четко, по делу, лаконично - ничего лишнего. Супер!) Было бы очень круто большой выпуск вцелом про сети: что такое OpenVPN, сертификаты, SSH, public\private ключи и пр. и как это все изнутри работает))
Большой выпуск по сети занял бы времени месяц.
Артем как всегда красавчик, все по полочкам в свое время освоил гит по его большому разбору. Однозначный лайк всем советую. Многим организаторам платных курсов поучиться бы в подаче материала у него.
Благодарю) Рад, что выпуск про git был полезен для вас 🙂
Артем, пожелание. В следующий раз предлагаю вам не быстренько пробегаться по инструкции давая краткое замечание, а делать все ручками на любой виртуальной машине. Со стороны кажется, что все элементарно и понятно, но на деле начинаешь сталкиваться с разными нюансами. Это пожелание. Это улучшит контент, а решать вам.
Содержательный и крайне полезный выпуск. Спасибо!
Спасибо большое вам за ваши старания❤
Доброго времени суток.
Шикарное видео. Такое я планирую уже пару месяцев, только знаний не хватает)). Побольше бы таких видео. Благодарю за информацию 🙂👍
Лучший обзор openvpn. Благодарю
Как же Вы всё это так хорошо знаете? Я вот смотрю, но очень мало что понимаю, особенно про серверы))) Тёмный лес))))
Артём, спасибо большое за подробное видео, в наше время полезно знать и использовать каждому, знания дорого стоят👍🤝
Специфекты в тему! Респект!!!
Артём спасибо большое! Очень помогла ваша инструкция в ситуации, когда микротик в роли клиента. Сервер правда у меня на openwrt, но настройка идентичеая! Неделю бился, а тут как подарок этот ролик!
Артем, благодарность за суперский контент!!! Продолжай!!!
Благодарю)
Артём спасибо вам за видео полезное , совет хотя бы частично покажите DNS конфиг сервера и правила файрволла , понятно что не в ходит в тему но хоть с замыленными строками так наглядно многие будут признательны. Спасибо.
Артем, ты гений!
Настройки для клиента прописывал по-другому через iroute иначе сеть за микротом не видно было. Но всё равно спасибо за видео! Большая работа и мало кто может так разжевать. Ещё ссылки на файлы конфигов и скриптов в описании были, совсем хорошечно было бы.
Все хорошо, спасибо за информацию. Но вот если бы все это, да на win server, из серии: сервер win + ovpn + настройка маршрутизации, чтобы локальные сети за клиентом и сервером видели друг друга.
Очень полезно, спасибо!
Человечище!!! Просто снимаю шляпу!
Отличное видео, спасибо! Подскажите пожалуйста, трафик ходит между клиентами, или через VPS? Схема сети тоже грамотная. В чем рисовали? Спасибо.
Я только не понял почему не вайр гуард, он вроде побыстрее и проще (по слухам).
если новая и не большая инсталляция - наверное. но у клиента уже может быть большая инфраструктура, завязанная на openvpn, и таких еще много. тем более, что вайргард, например, в микротике, будет только в семёрке, а когда будет семёрка уже не первый год вообще не понятно.
апгрейд. семерка у микротика вышла, и вайргард работает. настройка сервера и клиента (первая и без подготовки) заняла в сумме минут десять-пятнадцать. и всё работает. оуительно.
Я понимаю что можно исходя из этого материала и самому сообразить, но все же думаю было бы полезно снять отдельное видео про поднятие OpenVPN на VPS с одной целью - обход блокировок и подмена IP. Я знаю что есть скрипты, но хотелось бы самому. Статьи на эту тему содержат ошибки.
Здравствуйте, Артём! Большое спасибо вам вам за ваши видео! У меня к вам вопрос, как к специалисту. Возможно ли настроить защищённое опенвпн соединение без докера и роутеров на двух физических ПК через интернет: сервер на убунту, а клиент на виндовс 10. ПК удалённые. Это нужно реализовать так, чтобы клиент мог подключаться к приложению на сервере (быть в одной сети). На сервере белый ай-пи.
Прошу прощения за возможно надоедливый вопрос.. почему не wireguard ?
Потому что wireguard не для кучи клиентов в неуправляеиой среде. Однако вы можете его где угодно использовать.
@@alexandrbaranov9693 WireGuard прекрасно работает с сетями типа 24 или 16
Потому что mikrotik'и пока не работают с wireguard, даже в бете только сервер.
@@Heymdale Я не люблю микротик, но всё же и там можно настроить правда в бета), об этом разговаривать с теми кто любит микроты).
@@LinuxbyDmitry Тут дело немного в другом. В реальной эксплуатации клиенты все разные, версии клиентов разные, алгоритмы шифрования разные. И это изменить не получится никогда. В небольших управляемых средах wireguaкв себя прекрасно чувствует, но как только появляются несколько десятков подрядчиков с доступами в разные регионы и страны мира - вот тут и начинаются интересные тонкости эксплуатации :)
И дело тут не в микротиках.
Заморочился конечно круто. 👍 НО слишком сложно/громоздко. А учитывая что все на микротах то можно вообще купить лицуху микрота и все на них настроить, при этом выкинуть половину ненужного. Чем проще схема тем стабильнее она работает. 😊 А в общем видео классное.
Микротик просто железка, ради примера, у многих могут быть другие железки, тут исключительно потому что есть. Бесплатно. Масштабируемо. Заморочиться придется единожды, потом оно просто работает. В целом надежная технология.
@@MyNameIsChira ну роутеры брать придется все равно, а микроты сейчас стали недорогие, если не ошибаюсь в районе 2к и можно все на них и сделать. Плюс человеку придется изучить только настройку микрота, для тех кто не силен в IT это будет полегче. Хотя каждому свое, как говорится на вкус и цвет 😊 Респкт и уважение за проделанный труд 👍
жирнейший лайк!
Какой же ты молодец!
Крутая тема. С первого раза никак не осознать.
Спасибо за видео. Артем, скажите, а Вы в реальности пользуетесь данной схемой или только показали ее для учебного примера? Есть ли неудобства от того, что VPS находится в США? (Весь траффик делает такой крюк, увеличивается время отклика, падает скорость, сайты выставляют неправильную локализацию?) У DigitalOcean ограниченный траффик на дешевых тарифах, стриммы с камер не попишешь. Каким тарифом Сами пользуетесь? Какой CPU достаточен для этой задачи?
И еще один вопрос: если на одном клиенте установлен торрент клиент, как его траффик пустить мимо VPS напрямую?
спасибо за видео! несколько вопросов: зачем vpn-server, dns и центр сертификации делать на виртуальном сервере в облаке? это нужно только для стабильности? почему не сделать его на своем домашнем сервере который будет стоять в квартире. и если сделать vpn на домашнем сервере что примерно это поменяет в схеме?
Да, для стабильности/надёжности. Если, например, произойдет фэйл на подстанции, питающей дом с домашней квартирой, то без системы резерва электроэнергии остановится чуть менее, чем всё взаимодействие в сети. Облако как ресурс намного стабильнее в доступе.
@@industwetrust96 может я не совсем понял вопрос. Но как я понял он спрашивал зачем вообще арендовать виртуальный сервер, если это так, то это нужно для проброса сайта в глобальную сеть, иначе он будет доступен только из подсети. Домашний глобальный сервер без аренды виртуального сделать намного сложнее чем инструкция из видео и работать оно будет значительно хуже.
@@industwetrust96 что мешает стабильность, надёжность организовать дома? Raid и бекапы создать проще простого и не нужно будет каждый месяц платить за облако
@@angel-astrocrafter но нужно будет платить за белый IP (или аналоги). VPS за частую дешевле (на некоторых cloud платформах так и вообще бесплатно) и проще.
@@nikolaivanov8312 не всегда. если взять роутер на борту с DDNS, далее проброс порта vpn на виртуалку - а на ней развернуть вовсе OpenVPN AS, далее баловаться на здоровье... вся схема рабочая. не понятно, что мусолят до сих пор старый опенвпн...
спасибо, Артем) лукас от легенды вам, от СЕООНЛИ
Я все не могу понять, как именно микротики подключаются друг к другу, нужен ли для этого белый ip?
в какой момент создаётся сетевой интерфейс tun0 ?
А все эти устройства из разных сетей будут светится в локальной сети компьютера? И что нужно сделать чтоб так было? Типа бродкаст
Привет Артем.
Много интересного для себя нахожу в твоих видео ,Опенсервер ,Докер.
Полезно знать и понимать логику действий.
Еще одна интересующая была бы тема ,хотя и есть немало контента на просторах туба ,но все же мне кажется зайдет и у тебя.
Темя языка программирования Пайтон.
Вижу ты с ним дружишь хорошо. Сможешь сделать несколько уроков
Благодарю за идею) Обязательно подумаю)
Привет, как можно сделать регистрацию в сети wifi. Например. для открытых точек доступа в кафе и тд, Ответь пожалуйста
В MikroTik есть Wi-Fi HotSpot. Можно посмотреть в эту сторону
55:00 с включённым на телефоне впн и подключеным к локалке сервера будут недоступны? Почему ты дома впн выключал на телефоне? Можно ли настроить так, чтобы не требовалось впн на телефоне дома выключать и иметь доступ ко всем сетям в ролике? Ты ещё Как-то настраивал, чтобы трафик только по локалке ходил (по кратчайшему пути).
Посмотрите, пожалуйста, внимательнее - на 55:00 на iPhone выключен WiFI и включен LTE
@@matiashov так и я об этом, а, можно ли дома впн не выключать (вот мне так хочется), когда в локалке.
У меня, если в локалке и включен впн на телефоне, то есть проблемы.
В той схеме, которая описана в ролике, можно не выключать клиент на мобильном устройстве и при этом еще будет клиент на самом маршрутизаторе. Все так же будет работать. Отличие в том, что устройство само будет перенаправлять трафик, а не клиент на роутере
@@matiashov это из-за правильных настроек овпн сервера и только его?
@@maksymkushnir3154, нет это не только настройки сервера. Я имею в виду, что сложность сказать, в чем может быть проблема, пока не посмотришь на саму конфигурацию. Сравните конфигурацию сервера в ролике и свою, возможно там есть отличия. Также сравните клиентов
Спасибо за материал. Но очень общë. Без базы про работу сетей, смотреть без толку. Интересно , конечно.
Здравствуйте Артём. Подскажите. Можно ли организовать один общий ключ? И какое максимальное количество одновременных подключений?
Здравствуйте! Один ключ на несколько сертификатов? Так не делал. Не думаю, что так можно…
Максимальное количество клиентов зависит от подсети в конфигурации, от самого сервера. Точную цифру не подскажу.
а есть скрипт с установкой и добавлением клиентов
здравствуйте , я тут новенкий. вопрос как подключились к серверу openvpn на 19-59 тайминг. можете описать?
Молодец !!!
Сильное, полезное видео, спасибо!
на AWS можно реализовать ? либо на digital ocean принципиально ?
Нет, не принципиально
как я понял OpenVPN Server не устанавливается на windows server 201..., если это не для Windows Hyper-V/?
Сделай пожалуйста видео про настройку микротика. Очень уж хорошо получается у тебя объяснять
Вы имеете в виду в целом про работу с микротик или настройку чего-то конкретного?
@@matiashov Было бы интересно послушать и посмотреть в твоем объяснении на что способная данная железка: как настроить файрвол, сеть и многое другое, главное чтоб из этого можно было извлечь теоретические и практические навыки. Обычно при изучении определенных технологий в догонку заполняешь пробелы в знаниях разных мелочей и это очень круто. У тебя отлично получается обучать!
Артем, прошу подсказать. Есть разные проги типа анидеск, они на серых ip соединяют компы, которые подключены через wifi роутеры и не просят ввести вообще какой то белый ip. И не требуют настроек, все автоматически. А как можно подключиться удалено у моему интернету из другой страны? Задача - подключаться через домашний интернет и тем самым заходить на нужные сайты из интернета страны, где домашний интернет. Использовать какие то впн сервисы не хочется из-за узкого канала и платности сервисов. Все хочется сделать на базе постоянно включенного домашнего ноута. спасибо
В идеале для этого нужен статический IP. Его можно арендовать у провайдера
Спасибо. Интересное видео. Попробую реализовать у себя.
Вопрос: А зачем сервер сертификации? Немного не понимаю его предназначение. Ключи с putty можно генерировать.
Ключи SSH и сертификаты в рамках OpenVPN - разные вещи. Центр сертификации в OpenVPN один из важных моментов. В схеме с сертификатами нужно "лицо", которому все доверяют - это как раз и есть центр сертификации, который создает/отзывает сертификаты.
покажи как на TrueNas настроить OpenVpn
Отличная подача и за ссылочки спасибо!
Большое спасибо за видео. Настраивал по нему свой сервер, всё работает отлично. Только появился вопрос, гугловые ответы на который у меня никак не вяжутся с порядком действий. Как настроить аутентификацию по логину и паролю в дополнение к сертификату?
Длиннющего ключа мало?) Хотя если в дополнение ставить то еще ок
Здравствуйте, в моей стране блокирует все Впн-и, как они умудряется блокировать впны? И как это работает? Они просто блокирует адресы vps серверов? И как противодействовать им?
И даже некоторые люди умудряются найти работающие впн или соксы , все равно примерно через 3-4 часа уже эти серверы не работает (блокирует). Это бесконечная война, и что вы в этой ситуации посоветуйте?
Китай? Что за страна?
@@prana6854 Туркменистан.
@@HajimeTime1 Действительно. Печально всё это конечно..
Автор, пиши еще!
Первый раз вижу четкую схему!
что такое виртуальные машины?
У меня тоже много точек соединено, все на микротик RB750Gr3. Достаточно одной точки с белым ip. Использую l2tp+ipsec+ospf, потому что он простой в настройке, для него не нужно дополнительно клиент ставить, по умолчанию поддерживается всеми устройствами. RB750Gr3 модель не дорогая и имеет поддержку аппаратного шифрования для ipsec, т.е. при шифровании вы не потеряете в скорости. Да, если смотреть таблицу сравнения всех vpn, то WearGuard вроде как побыстрее и вроде тоже не сложно настроить но на микротик его нет, для его надо отдельно сервер делать, так же есть ikev2 но он сложнее в настройке и под всё это клиент надо.
Здравствуйте подскажите как соединить 2 микротика через ovpn один сервер другой клиент и самое интересное у них серые ip адреса. слышал вроде как можно через no-ip но не понял как. нужен какой то скрипт. можете объяснить?
Если речь про OpenVPN и рассматриваем только два маршрутизатора (виртуальную машину не рассматриваем) и оба они находятся за NAT провайдера ("серые" адреса) - то никак.
Динамический DNS в данном случае будет работать, если хотя бы у одного из маршрутизаторов (сервера) есть динамический "белый" IP.
@@matiashov Здравствуйте первый вариант. через no-ip ни как нельзя объединить?
Заранее ставлю 👍🏻
Включаю разные кофигурации через клиентское приложение скачанное с оф сайта open vpn. Рвёт интернет соединение каждые 30 секунд. Ранее всё работало. Сейчас нет.
Подскажи, пожалуйста, какие модели микротов тут использованы
951Ui-2HnD
Артем привет, спасибо за видео, очень полезное! Не могли бы Вы изложить в небольшом видео как поднять на том же DO Samba сервер, что бы он работал только в частный сети, внешне был недоступен, и с некоторыми подсетями, например из «дома» он виден, а из «гаража» нет. Спасибо!
если я всё верно понял, то такое организуется средствами того же iptables, разрешаем подключение только из нужной подсети
Вопрос возник, если ЦА и OpenVPN ставить на одной машине, шаги для OpenVPN которые почти совпадают с шагами ЦА надо повторять?
Тут можно ответить так, что если это один и тот же шаг (например, настройка ssh), то дважды выполнять не нужно
Нужна помощь! Установил на виртуальный сервер опенвпе с помощью pivpn. Клиенты Windows Android без проблем подключаются к впн, а вот клиент для микротика не запускается. Видимо дело в не поддерживающем tls-auth роутера. Как отключить tls-auth на сервере?
В видео об этом говорил. 24:19
Подскажите пожалуйста установил я опен впн а где мне брать конфиги для него ну что бы подключиться допустим к Германии
Вам стоит пересмотреть ролик. В конфигурации клиента прописаны, в том числе, параметры для подключения к серверу, одного клиента не достаточно. Ролик как раз про настройку сервера.
"Сертификат туда,сертификат сюда,запрос туда-сюда"-на белой доске бы это всё,с стрелочками, в голове картину целостную сложить не получается.А то получается перевод туториала для не знающих или слабознающих английский.
Как с языка снял
А зачем разные ovpn файлы для разных клиентов?
1. Если необходимо по какой-то причине отозвать сертификат только для одного клиента, то, если у каждого он один и тот же, отключатся все сразу.
2. В конфигурации можно прописать "одно соединение на один сертификат". Если кто-то еще подключится с этим же сертификатом, первый будет отключен.
3. Если у каждого свой сертификат, то можно гибко управлять каждым клиентов отдельно (назначить каждому свой ip, например, внутри сети)
@@matiashov кстати а как отзывается сертификат у клиента? Просто удаляется файл?
Нет. Нужно обновить данные в certificate authority и в конфигурации сервера прописать специальный файл со списком отозванных сертификатов
А что по скорости? Если все клиенты по 100МБит/с к интернету подключены смогу я без лагов смотреть в FullHD кино с домашней файлопомойки? Сколько по факту максимум скорости соединения будет через opevpn сервер и от чего это зависит? Как максимизировать? Если сервер OpenVPN 2048 ядреный 6ГГц каждое, тогда будет 100 МБит/с между клиентами из разных подсетей? А почему не будет?
Правильно ли я понимаю, что весь трафик идет по через vpn? Мне вот нужно подключаться к дачной сети из города.
Это зависит от настройки сервера/клиента
Конфиги клиентов в папке ccd без расширения? В конфиге клиента писать iroute или route?
Все есть в ролике:
>>> Конфиги клиентов в папке ccd без расширения? 42:35
>>> В конфиге клиента писать iroute или route? 42:50
@@matiashov Спасибо! Уже настроил.
Как по мне, если есть Микротик, то easy-rsa не нужен. Просто поднять PKI на микроте. Всё равно все сертификаты руками генерируются. Или уже что-то более продвинутое и автоматизированное для PKI.
У меня на AWS ovpn, те как у вас на digital ocean Но для такого парка устройств трафик AWS/digital ocean будет дорого обходится ТК там есть видеонаблюдение. Такой вопрос Если поднять на домашнем компе или роутере то мой провайдер всё-таки сможет сниффить мой трафик? Спасибо
Вопрос в том, каким возможностями и технологиями он располагает)
Добрый день! А разве у Open VPN нет ограничений на бесплатной версии на подключение всего двух клиентов?
Вы скорее всего имели в виду OpenVPN Access Server, там есть ограничение в бесплатной версии, а консольный опенвпн целиком бесплатный и соответствует требуемым задачам, access server слишком избыточен для этих целей и сильно грузит сам впс, нет смысла в нем простому смертному если вы не знаете что это и для чего)
Спасибо, понравилось видео! А маршрутизатор Cisco может выступать в роли клиента сервера open-vpn?
Благодарю) Нужно посмотреть в интерфейсе самого роутера, поддерживает ли он это или нет
Есть встроенная возможность автоматизировать генерацию и подпись ключей для разных пользователей? Или только свой скрипт?
можно развернуть pfSense там всё это делается через мышка-тыканье
@@moscowstyle6978 pfSense это скучно, я люблю все руками делать.
Привет, тебе можно как то задать вопросы/пообщаться по openvpn в личку ?
В целом отличная работа. Но хотелось бы посмотреть с точки зрения нагрузки. Ведь ovpn ресурсоёмок, я тяжел для любых не дорогих железок. При передаче трафика плотнее открытия страницы авторизации могут быть проблемы, задержки, отвалы. То же потоковое видео с нескольких камер, или торрент или IPTV сервер, при передаче видео в высоких исходных качествах. Как на счет IPsec и т.д. Он часто имеет аппаратную поддержку железом.
для этого есть OpenVPN Access Server - всё нормально с нагрузками. не понимаю почему многие не разворачивают AS в роли сервера... до сих порт темы мусолят про старый openvpn
@@mryamakasi может потому что он денЯк стоит?
в микротиках опенвпн кастрированный) если будет время покажи как шить микрот в опенврт и настроить типа этой схемы) очень интересно. шаришь чувак
Не надо в микрот шить openwrt! Для этого есть куча других и более дешёвых железок
@@Ixxtiander согласен. но опенврт расширяет возможности даже микрота, где опенвпн реализован через попу
@@Айтишниковскиебудни если есть микрот тебе в принципе больше ничего не надо, микрот с микротом через тот же l2tp за два нажатия, с vps канал можно голым ipsec поднять с маршрутизацией
@@moscowstyle6978 да что ты) а если мне нужен конкретно опенапн и через udp?)
@@Айтишниковскиебудни значит нужно обновить routeros
Я тоже спросить хочу )) Все вот эти сети которые за роутерами они за Nat? То есть НАТ стоит на роутерах? Насколько я понял из видео, то нат-трансляции нет.
В данном случае это не важно. Но, на даче стоит LTE модем. В нем есть свой NAT. В микротик, в который он вставлен, также есть свой NAT
А чем вы рисуете такие красивые картинки?
app.diagrams.net
@@matiashov Спасибо!
Спасибо за видео, отличный материал!
Но есть вопрос по маршрутам на микротиках: прописывали ли вы маршруты для каждой удаленной подсети, через тоннель? Или просто отправили все через маршрут по умолчанию?
Маршруты для каждой сети прописываются в самом конфигурационном файле сервера. Он уже отправляет их клиентам.
Годно!
Осталось сделать дублирование серверов для отказоустойчивости в разные дц, CA сделать на базе hashicorp vault, чтоб сертификаты выпускать curl запросом из любого места, продумать ротацию сертификатов (и, возможно, полу/автовыпуск для новых клиентов) + мониторинг сертификатов(ocsp). И прям полупрофессиональное решение получится, вполне годное для статьи на хабре.
все реализовано в openvpn access server.
Не люблю общественные бесплатные сети, но порой хочется ими воспользоваться.
Вот и думаю на своём ноутбуке под докером установить браузер с VPN-клиентом...
что за чушь, просто впн поднимаешь и все , твой трафик не прочитать.
Привет.Можешь подсказать: Дома все устройства получают (проводной и безпроводной интернет) через роутер tplink1 .На балконе имею компьютер получающий интернет через роутер tp-link2 (то есть роутер как клиент с первого tplinka1 в квартире) всё работает и даже скорость не плохая.Хочу подключиться через удаленный рабочий стол с компа в квартире на комп стоящий на балконе.Пытался это сделать через iptables в роутере на балконе.Третий месяц сижу на линуксе - не могу сообразить как это сделать.Прошивка на роутере на балконе open-wrt.Может есть какие соображения?
Здравствуйте! Да, тут есть несколько вариантов, как это можно решить. Напишите, пожалуйста, мне в соц сети. Ссылки есть в описании ролика
Можно ли обойтись без VPS?
Можно все на виртуальной машине сделать.
Если у вас есть микротик, то зачем вам облачный VPN-сервер? Коннектить можно напрямую к нему.
Если парит отказоустойчивость, то поднять сервер на втором микротике (ну раз уж мы их натыкали во все наши здания) и пусть все устройства коннектятся к 2-м микротикам.
Там все намного проще получится.
А можно ли без CA?
И возможно ли сделать логин/пароль только по логин/паролю
Насколько знаю, можно
Смысл овпн на хосте держать, если уже докер на нем же стоит?
Это разные технологии, решают разные задачи
@@matiashov он имел ввиду почему бы не поднять все на одном сервере в докер контейнерах, чтобы нагрузка распределялась автоматически...
Прописываем в конфиге "dh none" и получаем ошибку при запуске сервера ......
Спасибо за труд. Для общего развития пойдет. Но если в офисах RouterOS проще все реализовать по ipsec (шифрование или без это уже от мощей железа)
А как можно при подключении client-to-client скрыть сервер, но позволить клиентам работать между собой?
Даже когда клиент делает запрос на другой клиент, то "общение" идет все равно через сервер. Поэтому скорее нет.
А тень мы будем страдать… Микротик.
микротик и openvpn.......Это излишество....Есть ведь L2TP+IPSec
Дай ключ активатия если можно пожалуйста
Оракул раздаёт беслатные сервера по две слабых машины и одну мощную с 24 рам и в общем на трёх 200гг памяти на аккаунт - Как раз мне для этого проекта.
Лучший!
Сервер, я вчера только узнал что есть что-то кроме xp и поставил себе redos, на работе у меня под виндой норм vpn работает, все эти файлы я забрал домой и при настройке vpn соединения через графический интерфейс просто подложил туда файл конфигурации vpn. Он показал что всё подтянул, но соединения так и нет. Может где кому какие-то права нужно дать, третью ночь я сижу на ютубе на форумах и в интернетах этих и нихрена я не пойму почему не едет? И это видио не спорю хорошее, но клиент у меня так и не поехал, чего-то там нет!
Отлично!!!! Спасибо большое!!!!
Как раз во время
что значит уже на сам сервере openvpn?это что очевидные вещи? чего ты так делаешь?????
подписался Лайк прожал!!
теперь подскажи пожалуйста у меня Опен впн на телефоне ключ я купил установил как надо через мобильный интернет подключаеться не проблема через другие вай фай сети тоже не проблема а вот у себя дома подключаешь то подключаеться но скорость стрелка который низ показывает сперва 3.59кб а потом снижаеться на 0 всегда и идет секунды на Packet Received.почему так может быть это от роутера или от чего хотя с этого телефона в других вай фаях подключает и работает норм без проблем
Благодарю) Если все работает в других сетях, а дома скорость падает, то можно предположить, что проблема либо в роутере, либо сам провайдер накладывает какие-то ограничения.