Как сделать прокси на компе: модем->комп ->ADSL интернет

Mishka> Если не хочешь идти линуксовым путём, то OpenVPN GUI for Windows предоставляет GUI.
А ты сам видел то, что они называют GUI? Иконка в трее с пятью пунктами в меню.

Mishka> Если по-английски понимаешь, то сюда - http://openvpn.net/howto.html#windows — если нет, то будем помогать.
Попробую пока сам разобраться

GOGI> А ты сам видел то, что они называют GUI? Иконка в трее с пятью пунктами в меню.

Ну, дык. Конечно, видел и пробовал. Но пока стою вне его. А про пункты. Если ты сравнишь с чисто правкой файлов, то обнаружишь, что 5 файлов могут находится в 10 разных местах.

GOGI> Попробую пока сам разобраться

Хорошо. Молодец.

GOGI>> А ты сам видел то, что они называют GUI? Иконка в трее с пятью пунктами в меню.
Mishka> Ну, дык. Конечно, видел и пробовал. Но пока стою вне его. А про пункты. Если ты сравнишь с чисто правкой файлов, то обнаружишь, что 5 файлов могут находится в 10 разных местах.
GOGI>> Попробую пока сам разобраться
Mishka> Хорошо. Молодец.

Если сравнить с чисто правкой, то можно легко и просто обнаружить, что все это не работает, надо искать всякие левые патчи, читать форумы и смотреть исходные коды. Вот чтоб я сдох не вру - я все это делал устанавливаючи драйвер к принтеру в Линуксе. Честно говоря, правильная идея для начала - что-нибудь абсолютно автоматическое, Мишка правильно посоветовал. Или прокси. Прокси легче отконфигурить будет.

Блин, но неужели ключи командной строки и ручная правка конфиг файлов удобнее для профессионалов, чем нормальный графический интерфейс?

GOGI> Блин, но неужели ключи командной строки и ручная правка конфиг файлов удобнее для профессионалов, чем нормальный графический интерфейс?

Часто удобнее. Обычно бывает так - "снизу" ключи/правка, "сверху" для удобства потом одевается графический интерфейс. А иногда графический интерфейс писать лень. А иногда "снизу" такая мешанина недописанная/хреновонаписанная, что хрен разберешься. Какой тогда графический интерфейс? Если база неправильно работает, с чего надстройка заработает?

ЗЫ Можно сказать так - в линуксах очень часто можно сделать то, что вовсе нельзя сделать в виндовсах. Зато то, что легко и просто делается в виндовсе сплошь и рядом делается через жопу в линаксе. У меня на прошлом сервере так было, там загрузка прикольная, с левого диска через левую платку. Исторически повелось. Скажем, собираешь ты сервер из деталей, которые лежат кучей в углу третий год (как я делал ) - они просто не предназначены для совместного использования, но это же прикольное хобби.

На самом деле у Гоги надо смотреть. Там просто VPN не совсем поможет. Надо натировать. Все адреса реальные и провайдер знает как напрямую доступится до друга Гоги. Поэтому просто форвардингом не обойдешься. Надо обязательно, чтобы пакеты, приходящие обратно, попадали на Гогину машину. Единственный вариант — чтобы пакеты шли с адресом Гогиной машины. А она уже должна перенатить и отправить на машину друга.

ну так впн+прокси...с самого начала именно об этом был разговор...одного впн мало
обчно впн + нат но в данном случае оговорено что тока хттп трафик будет идти

Решил пока ничего не делать. Не думаю что местным УСИшникам есть хоть какое-то дело до халявщиков такого рода, тем более, что тут два человека будут приностить больше дохода, чем большая часть подключенных по ADSL. Кроме того, в связи с крайне непродуманной маркетинговой политикой УСИ, работы у их техперсонала столько, что наверное на всякую фигню вроде вычисления таких как я нету.
Да и отключатать вряд ли будут, в крайнем случае приостановят действие и предупредят, чтобы больше не шалил.
Халява любого рода на то и халява, чтобы пользовататься ей, дыша полной грудью, не прячась и не заметая следы, а при её окончании сказать: "Было зашибись" и пойти искать новую. Такая вот философия.
Еще небольшая зарисовка из жизни местных провайдеров.
ADSL появился у нас недавно, народ еще не привык после Dial-UP к скорости. А тут еще УСИ (чтоб их маркетологам повесится на витой паре) объявил акцию: кто за неделю наберет больше трафика (по 2 с чем-то рубля за метр), тому приз. Шла она около месяца.
И вот пошел я платить за телефон с интернетом. Отдаю деньги и очень вежливо (женщина-оператор тут явно не причем) возмущаюсь их грабительскими тарифами. А она мне говорит, что мои 2 с половиной тысячи фигня, незадолго до меня приходил мужик, у которого сын порнухи накачал на 17 тысяч (7 гигов с лишним) и мужик красочно описывал, что он уже сделал с ним и что еще сделает. Сыну 14 лет. И смех и грех.
Хорошо что у меня не было такого интернета в 14 лет (вообще никакого не было), а то хрен его знает, дожил ли бы я до своих лет.

да..неанлимная выделенка - это или разорение или само-удушение
а вообще подход правильный

yarblc> оговорено что тока хттп трафик будет идти

Вот этому я и не верю.

А чего сдесь странного? У меня у самого только http да почтовый трафик.

GOGI> А чего сдесь странного? У меня у самого только http да почтовый трафик.
Ничего не слушаешь, ничего не качаешь, ничего не смотришь? Какие-нибудь ICQ, IM есть? Приложения в письмах приходят?

а чего верю\неверю...раз тока хттп - ставим прокси..без хттпс..и всё

Мишка, а вложения в письмах причем?
Но основная идея в том, что даже если есть другие протоколы, то их общая доля в траффике не велика и хрен с ним, пусть идут напрямую.
А про потоковое аудио через разделяемый на двоих канал 128 кбит это ты зря так издеваешься!

Как это причём? Вот скажем, ходишь ты на POP/SMTP — это два других порта. Фотографии отослать-получить — вот тебе и мегабайты траффика на письмо. На одном из российских серверов кино раздают по мылу. Так что очень даже причём и вложения и всё другое. И слушать можно на 128 кбпс — качество плохое, но можно. А уж интернет телефония проходит просто на ура.

Вообще, у меня даже при одном пользователе прокси стоит.
Ибо:
1) файрвол выпускает наружу только его
2) там есть фильтрация и кеширование.

Начинаем серию OpenVPN для ADSL туннеля через Windows XP Professional для идиотов (чур без обид — так у нас книжки простые называются).

Задача: Есть ADSL подсоединение у двух клиентов. Разница в том, что у первого низкая скорость, но безлимитное соединение, у второго — быстрое, но есть ограничение по траффику. Хочется присоединится второму клиенту через первого. Оба клиента у одного провайдера и траффик между клиентами бесплатный.

Предположения:
1. Первый клиент, назовём его Вася, имеет XP Professional или OS такого же уровня — 2000, 2003, не Home Edition и не Personal Edition. Это нужно для того, чтобы организовать бриджинг. Имеет низкоскоростной безлимитный канал.
2. Второй клиент имеет просто винды, на которых можно запустить OpenVPN. Имеет высокоскоростное подсоединение (но не обязательно) и ограничение по траффику. Назовём его Петя.
3. У Васи ADSL модем подсоединён к раутеру. Это предположение немного условное, но у меня такая конфигурация и все испытания я проводил на ней. Раутер обеспечивает NAT и не позволяет провайдеру видеть, сколько компов подсоединено. Плюс, раутер обычно раздаёт динамические адреса — что удобно для нас. Очень часто ADSL модем является заодно и раутером. Обычно это достаточно легко проверить — запустите ДОС окно и наберите команду ipconfig. Если вы там увидите что-то вроде

1. C:\Program Files\OpenVPN\config>ipconfig
2.  
3. Windows IP Configuration
4.  
5.  
6. Ethernet adapter Local Area Connection:
7.  
8.         Connection-specific DNS Suffix  . :
9.         IP Address. . . . . . . . . . . . : 192.168.1.11
10.         Subnet Mask . . . . . . . . . . . : 255.255.255.0
11.         Default Gateway . . . . . . . . . : 192.168.1.1
12.  
13. C:\Program Files\OpenVPN\config>

Значит у вас раутер — 192.168.ххх.ууу — частные адреса, где ххх и ууу любые номера между 0 и 255.
Из выше приведённого текста надо запомнить адрес Default GateWay — 192.168.1.1 — это будет важно для Пети.


1. Сгрузить OpenVPN [b]и Васе, и Пете[b] — OpenVPN - Open Source VPN — я взял версию 2.0.9 — http://openvpn.net/download.html — Windows Installer.
2. Установить его обоим как администратор. И запомнить куда его установили. Стандартно это c:\Program Files\OpenVPN.
3. Вася должен запустить ДОС окно — Start/Programs/Accessories/Command Prompt
4. И сгенерить ключевой файл, запустив выполнив в строке следующую командочку
openvpn --genkey --secret static.key
5. Вася, выдав команду dir должен увидеть файл static.key:

1. C:\Program Files\OpenVPN>dir
2.  Volume in drive C has no label.
3.  Volume Serial Number is BCD7-1678
4.  
5.  Directory of C:\Program Files\OpenVPN
6.  
7. 02/25/2007  07:04 PM    <DIR>          .
8. 02/25/2007  07:04 PM    <DIR>          ..
9. 02/25/2007  06:12 PM    <DIR>          bin
10. 02/25/2007  06:13 PM    <DIR>          config
11. 02/25/2007  06:12 PM    <DIR>          driver
12. 02/25/2007  06:12 PM    <DIR>          easy-rsa
13. 10/01/2006  07:37 AM                83 INSTALL-win32.txt
14. 10/01/2006  07:37 AM            27,827 license.txt
15. 02/25/2007  06:12 PM    <DIR>          log
16. 10/01/2006  07:37 AM               766 openvpn.ico
17. 02/25/2007  07:06 PM                31 passwd.txt
18. 02/25/2007  06:12 PM    <DIR>          sample-config
19. 02/25/2007  04:19 PM               657 [b]static.key[/b]
20. 02/25/2007  06:12 PM            72,557 Uninstall.exe
21.                8 File(s)        104,339 bytes
22.                8 Dir(s)  21,135,441,920 bytes free
23.  
24. C:\Program Files\OpenVPN>

6. Вася должен передать Пете этот файл. Петя должен его положить в ту же директорию. Этот файл и есть пароль, который позволит Пете подсоединятся к Васе. Петя не должен сам генерить этот файл. Хотя можно сделать и наоборот — Петя сгенерит и передаст Васе — важно, чтобы он был один и тот же у обоих.
7. Далее, оба — Вася и Петя должны перейти в директорию config:
cd config
и создать там два файл. Вася должен создать файл server.ovpn и написать в нём такие строчки:

1. port 443
2. proto tcp-server
3.  
4. dev tap
5.  
6. secret static.key
7.  
8. verb 3
9.  
10. keepalive 10 60
11. ping-timer-rem
12. persist-tun
13. persist-key
14.  
15. comp-lzo
16. status ../log/openvpn-status.log
17. log         ../log/openvpn.log
18. log-append  ../log/openvpn.log

А Петя должен создать client.ovpn файл и прописать в него:

1. remote 72.73.74.75
2. port 443
3. proto tcp-client
4.  
5. dev tap
6.  
7. secret static.key
8.  
9. verb 3
10.  
11. keepalive 10 60
12. ping-timer-rem
13. persist-tun
14. persist-key
15.  
16. comp-lzo
17. status ../log/openvpn-status.log
18. log         ../log/openvpn.log
19. log-append  ../log/openvpn.log

Я использовал порт 443. Вы может выбрать другой порт. Изменения нужно сделать у обоих — у Васи и у Пети в соотвествующих файлах.

В качестве remote у Пети должен выступать IP адрес Васи — но не врутренний, а тот, который ему дал провайдер. Поэтому 73.74.75.76 надо заменить на реальный.

8. Теперь Васина очередь немного поиграть с компом. Сражу предупрежу — если у Васи статический адрес, то он должен его запомнить. Если он подключён напрямую к инету — это пока не для него. Вася, должен пойти в Start/Settings/Control Panel/Administrative tools/Services и найти сервис OpenVPN — смотри картинку, кликнуть на него дважды и заменить Startup Type на Automatic — это позволит Васе не заботится о том, когда Петя может коннектится к нему.

9. Вася должен запустить и остановить сервис. В результате, у него должен появиться новый network interface.

Mishka> Начинаем серию OpenVPN для ADSL туннеля через Windows XP Professional для идиотов (чур без обид — так у нас книжки простые называются).
У нас такие книжки называются "Для чайников". А так здорово, жду окончания.

Хорошо, пусть будет для чайников.

Я там немножко меняю — поэтому перечитывай.

И пишу продолжение.

9. Теперь Васе настало время создать ethernet bridge — в этом случае не надо делать никакого NAT-а дополнительного на виндах — всё обойдётся NAT-ом в раутере.
Если интерфейса не появилось, то надо посмотреть, что там в файле логов — строчки в server.ovpn файле "log ../log/openvpn.log" показывают куда положен весь вывод — надо открыть этот файл и посмотреть на жалобы. Мы предположимя, что жалоб нет — смотри первый рисунок. И пойдем дальше. Замечание — у меня на машинах есть дополнительные интерфейсы с названиями VMware Virtual adapter и 1394 Net Adapter — не обращайте на них внимание.
Для создания бриджа надо зайти в Network Connections (Start/Settings/Control Panel) и левым кликом мыша с клавишой Ctrl выбрать два интерфейса, которые надо бриджать — смотри рисунок второй. И на последнем выбранном интерфейсе надо сделать правый клик и выбрать Bridge. То что получится — смотри на картинке три.

Внимание — в этот момент Вася может потерять связь с инетом. Если у Васи был статический адрес на интерфейсе, то надо его запомнить и присвоить его уже бриджу — отныне бридж будет выступать в качестве сетевого интерфейса, а сам интерфейс Васи и интерфейс TAP-Win32, через который будет работать Петя — будут под зонтиком этого бриджа. Если интерфейс был динамический, то он сам выберет себе адрес. Единственное на что надо ещё обратить внимание — на то, что, если динамический адрес был другим, то надо подстроить дырки в файерволе. Да, ещё — если у вас разрешён ХР файервол, то вы должны разрешить траффик на MS TAP интерфейсе.

10. Надо запустить OpenVPN сервис. И Вася готов к бою.

Вот пример моего лог файла:

1. Tue Feb 27 20:53:22 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
2. Tue Feb 27 20:53:22 2007 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
3. Tue Feb 27 20:53:22 2007 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
4. Tue Feb 27 20:53:22 2007 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
5. Tue Feb 27 20:53:22 2007 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
6. Tue Feb 27 20:53:22 2007 LZO compression initialized
7. Tue Feb 27 20:53:22 2007 TAP-WIN32 device [Local Area Connection 4] opened: \\.\Global\{35C43CD8-796C-4CD3-B507-333432B98494}.tap
8. Tue Feb 27 20:53:22 2007 TAP-Win32 Driver Version 8.4
9. Tue Feb 27 20:53:22 2007 TAP-Win32 MTU=1500
10. Tue Feb 27 20:53:22 2007 Successful ARP Flush on interface [6] {35C43CD8-796C-4CD3-B507-333432B98494}
11. Tue Feb 27 20:53:22 2007 Data Channel MTU parms [ L:1579 D:1450 EF:47 EB:135 ET:32 EL:0 AF:3/1 ]
12. Tue Feb 27 20:53:22 2007 Local Options hash (VER=V4): '810a7623'
13. Tue Feb 27 20:53:22 2007 Expected Remote Options hash (VER=V4): '30b1d7b8'
14. Tue Feb 27 20:53:22 2007 Listening for incoming TCP connection on [undef]:443
15. Tue Feb 27 21:01:05 2007 TCP connection established with 72.25.60.206:54227
16. Tue Feb 27 21:01:05 2007 TCPv4_SERVER link local (bound): [undef]:443
17. Tue Feb 27 21:01:05 2007 TCPv4_SERVER link remote: 72.25.60.206:54227
18. Tue Feb 27 21:01:05 2007 Connection reset, restarting [0]
19. Tue Feb 27 21:01:05 2007 TCP/UDP: Closing socket
20. Tue Feb 27 21:01:05 2007 SIGUSR1[soft,connection-reset] received, process restarting
21. Tue Feb 27 21:01:05 2007 Restart pause, 1 second(s)
22. Tue Feb 27 21:01:06 2007 Re-using pre-shared static key
23. Tue Feb 27 21:01:06 2007 LZO compression initialized
24. Tue Feb 27 21:01:06 2007 Preserving previous TUN/TAP instance: Local Area Connection 4
25. Tue Feb 27 21:01:06 2007 Data Channel MTU parms [ L:1579 D:1450 EF:47 EB:135 ET:32 EL:0 AF:3/1 ]
26. Tue Feb 27 21:01:06 2007 Local Options hash (VER=V4): '810a7623'
27. Tue Feb 27 21:01:06 2007 Expected Remote Options hash (VER=V4): '30b1d7b8'
28. Tue Feb 27 21:01:06 2007 Listening for incoming TCP connection on [undef]:443
29. Tue Feb 27 21:02:56 2007 TCP connection established with 220.130.149.223:43883
30. Tue Feb 27 21:02:56 2007 TCPv4_SERVER link local (bound): [undef]:443
31. Tue Feb 27 21:02:56 2007 TCPv4_SERVER link remote: 220.130.149.223:43883
32. Tue Feb 27 21:02:56 2007 WARNING: Bad encapsulated packet length from peer (32838), which must be > 0 and <= 1579 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attemping restart...]
33. Tue Feb 27 21:02:56 2007 Connection reset, restarting [0]
34. Tue Feb 27 21:02:56 2007 TCP/UDP: Closing socket
35. Tue Feb 27 21:02:56 2007 SIGUSR1[soft,connection-reset] received, process restarting
36. Tue Feb 27 21:02:56 2007 Restart pause, 1 second(s)
37. Tue Feb 27 21:02:57 2007 Re-using pre-shared static key
38. Tue Feb 27 21:02:57 2007 LZO compression initialized
39. Tue Feb 27 21:02:57 2007 Preserving previous TUN/TAP instance: Local Area Connection 4
40. Tue Feb 27 21:02:57 2007 Data Channel MTU parms [ L:1579 D:1450 EF:47 EB:135 ET:32 EL:0 AF:3/1 ]
41. Tue Feb 27 21:02:57 2007 Local Options hash (VER=V4): '810a7623'
42. Tue Feb 27 21:02:57 2007 Expected Remote Options hash (VER=V4): '30b1d7b8'
43. Tue Feb 27 21:02:57 2007 Listening for incoming TCP connection on [undef]:443
44. Tue Feb 27 21:03:51 2007 TCP connection established with 222.90.142.192:58827
45. Tue Feb 27 21:03:51 2007 TCPv4_SERVER link local (bound): [undef]:443
46. Tue Feb 27 21:03:51 2007 TCPv4_SERVER link remote: 222.90.142.192:58827
47. Tue Feb 27 21:03:51 2007 WARNING: Bad encapsulated packet length from peer (32838), which must be > 0 and <= 1579 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attemping restart...]
48. Tue Feb 27 21:03:51 2007 Connection reset, restarting [0]
49. Tue Feb 27 21:03:51 2007 TCP/UDP: Closing socket
50. Tue Feb 27 21:03:51 2007 SIGUSR1[soft,connection-reset] received, process restarting
51. Tue Feb 27 21:03:51 2007 Restart pause, 1 second(s)

Как видно, куча народу сразу стала сканнировать порт (72.25.60.206, 220.130.149.223, 222.90.142.192). Но получают отлуп. Поэтому, если Вася ожидает соединение только от Пети, то он может добавить правило в файервол — пропускать соединение только с Петеного IP адреса. Я у себя добавлю попозже — с работы не хочу, т.к., если завалю сеть, то придётся ехать домой и править, а то моя жена скушает меня вместе с какашками.

11. Теперь черёд Петра. Надо перейти в директорию "c:\Program Files\OpenVPN" в ДОС окне, выдав команды:
c:
cd "\Program Files\OpenVPN"

А потом выполнить команду
C:\Program Files\OpenVPN>openvpn config\client.ovpn

При этом, Петя не должен увидеть в окне подсказку — если он её увидел, значит соединения не произошло и в самое время смотреть лог файл. Но, если он её не увидел, то всё равно надо его посмотреть. Выглядеть он должен так:

1. Wed Feb 28 10:27:21 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
2. Wed Feb 28 10:27:21 2007 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
3. Wed Feb 28 10:27:21 2007 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
4. Wed Feb 28 10:27:21 2007 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
5. Wed Feb 28 10:27:21 2007 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
6. Wed Feb 28 10:27:21 2007 LZO compression initialized
7. Wed Feb 28 10:27:21 2007 TAP-WIN32 device [Local Area Connection 3] opened: \\.\Global\{B6768A82-47A8-4F43-91D8-4B9FF6D09C09}.tap
8. Wed Feb 28 10:27:21 2007 TAP-Win32 Driver Version 8.4
9. Wed Feb 28 10:27:21 2007 TAP-Win32 MTU=1500
10. Wed Feb 28 10:27:21 2007 Successful ARP Flush on interface [5] {B6768A82-47A8-4F43-91D8-4B9FF6D09C09}
11. Wed Feb 28 10:27:21 2007 Data Channel MTU parms [ L:1579 D:1450 EF:47 EB:135 ET:32 EL:0 AF:3/1 ]
12. Wed Feb 28 10:27:21 2007 Local Options hash (VER=V4): '30b1d7b8'
13. Wed Feb 28 10:27:21 2007 Expected Remote Options hash (VER=V4): '810a7623'
14. Wed Feb 28 10:27:21 2007 Attempting to establish TCP connection with 141.202.248.209:80
15. Wed Feb 28 10:27:21 2007 TCP connection established with ***.***.***.***:80
16. Wed Feb 28 10:27:21 2007 Send to HTTP proxy: 'CONNECT ***.***.***.***:443 HTTP/1.0'
17. Wed Feb 28 10:27:21 2007 Attempting Basic Proxy-Authorization
18. Wed Feb 28 10:27:23 2007 HTTP proxy returned: 'HTTP/1.0 200 Connection established'
19. Wed Feb 28 10:27:23 2007 TCPv4_CLIENT link local: [undef]
20. Wed Feb 28 10:27:23 2007 TCPv4_CLIENT link remote: ***.***.***.***:80
21. Wed Feb 28 10:27:23 2007 Peer Connection Initiated with ***.***.***.***:80
22. Wed Feb 28 10:27:25 2007 TEST ROUTES: 0/0 succeeded len=-1 ret=1 a=0 u/d=up
23. Wed Feb 28 10:27:25 2007 Initialization Sequence Completed

Я заменил мои реальные адреса на *. И у меня с работы идёт прокси аутетификация. У вас такого не должно быть.

Надо отметить одну вещь — я использовал слово append в конфигурационных файлах — это значит, что OpenVPN будет в логи добавлять. Это, в свою очередь, означает, что эти файлы будут расти и их надо периодически чистить. Но я люблю всю инфу иметь под рукой. Вы можете не использовать append и тогда на каждый запуск OpenVPN лог будет создаваться заново.

Если Петя видит фразу Initialization Sequence Completed, то соединение установлено. Пора его проверить. Для этого надо открыть ещё одно ДОС окно. Первое окно занято программкой OpenVPN — оно держит соединение. Закроете его — конец связи. Поэтому в новом окне набираем командочку "ipconfig /all" и видим:

1. C:\Program Files\OpenVPN>ipconfig
2.  
3. Windows IP Configuration
4.  
5.  
6. Ethernet adapter VMware Network Adapter VMnet8:
7.  
8.         Connection-specific DNS Suffix  . :
9.         IP Address. . . . . . . . . . . . : 192.168.223.1
10.         Subnet Mask . . . . . . . . . . . : 255.255.255.0
11.         Default Gateway . . . . . . . . . :
12.  
13. Ethernet adapter VMware Network Adapter VMnet1:
14.  
15.         Connection-specific DNS Suffix  . :
16.         IP Address. . . . . . . . . . . . : 192.168.145.1
17.         Subnet Mask . . . . . . . . . . . : 255.255.255.0
18.         Default Gateway . . . . . . . . . :
19.  
20. Ethernet adapter Local Area Connection:
21.  
22.         Connection-specific DNS Suffix  . : ca.com
23.         IP Address. . . . . . . . . . . . : 138.42.153.105
24.         Subnet Mask . . . . . . . . . . . : 255.255.255.0
25.         Default Gateway . . . . . . . . . :
26.  
27. Ethernet adapter Local Area Connection 3:
28.  
29.         Connection-specific DNS Suffix  . :
30.         IP Address. . . . . . . . . . . . : 192.168.1.11
31.         Subnet Mask . . . . . . . . . . . : 255.255.255.0
32.         Default Gateway . . . . . . . . . : 192.168.1.1
33.  
34. C:\Program Files\OpenVPN>ipconfig/all
35.  
36. Windows IP Configuration
37.  
38.         Host Name . . . . . . . . . . . . : evsmi01-xppro-8
39.         Primary Dns Suffix  . . . . . . . : ca.com
40.         Node Type . . . . . . . . . . . . : Hybrid
41.         IP Routing Enabled. . . . . . . . : No
42.         WINS Proxy Enabled. . . . . . . . : No
43.         DNS Suffix Search List. . . . . . : ca.com
44.                                             ca.com
45.  
46. Ethernet adapter VMware Network Adapter VMnet8:
47.  
48.         Connection-specific DNS Suffix  . :
49.         Description . . . . . . . . . . . : VMware Virtual Ethernet Adapter for VMnet8
50.         Physical Address. . . . . . . . . : 00-50-56-C0-00-08
51.         Dhcp Enabled. . . . . . . . . . . : No
52.         IP Address. . . . . . . . . . . . : 192.168.223.1
53.         Subnet Mask . . . . . . . . . . . : 255.255.255.0
54.         Default Gateway . . . . . . . . . :
55.  
56. Ethernet adapter VMware Network Adapter VMnet1:
57.  
58.         Connection-specific DNS Suffix  . :
59.         Description . . . . . . . . . . . : VMware Virtual Ethernet Adapter for VMnet1
60.         Physical Address. . . . . . . . . : 00-50-56-C0-00-01
61.         Dhcp Enabled. . . . . . . . . . . : No
62.         IP Address. . . . . . . . . . . . : 192.168.145.1
63.         Subnet Mask . . . . . . . . . . . : 255.255.255.0
64.         Default Gateway . . . . . . . . . :
65.  
66. Ethernet adapter Local Area Connection:
67.  
68.         Connection-specific DNS Suffix  . : ***.***.***.***
69.         Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
70.         Physical Address. . . . . . . . . : 00-0D-56-EF-E2-1F
71.         Dhcp Enabled. . . . . . . . . . . : Yes
72.         Autoconfiguration Enabled . . . . : Yes
73.         IP Address. . . . . . . . . . . . : ***.***.***.***
74.         Subnet Mask . . . . . . . . . . . : 255.255.255.0
75.         Default Gateway . . . . . . . . . :
76.         DHCP Server . . . . . . . . . . . : ***.***.***.***
77.         DNS Servers . . . . . . . . . . . : ***.***.***.***
78.                                             ***.***.***.***
79.                                             ***.***.***.***
80.         Primary WINS Server . . . . . . . : ***.***.***.***
81.         Secondary WINS Server . . . . . . : ***.***.***.***
82.                                             ***.***.***.***
83.         Lease Obtained. . . . . . . . . . : Wednesday, February 28, 2007 10:21:29 AM
84.         Lease Expires . . . . . . . . . . : Thursday, March 01, 2007 10:21:29 AM
85.  
86. Ethernet adapter Local Area Connection 3:
87.  
88.         Connection-specific DNS Suffix  . :
89.         Description . . . . . . . . . . . : TAP-Win32 Adapter V8
90.         Physical Address. . . . . . . . . : 00-FF-B6-76-8A-82
91.         Dhcp Enabled. . . . . . . . . . . : No
92.         IP Address. . . . . . . . . . . . : 192.168.1.11
93.         Subnet Mask . . . . . . . . . . . : 255.255.255.0
94.         Default Gateway . . . . . . . . . : 192.168.1.1
95.         DNS Servers . . . . . . . . . . . : 192.168.1.1
96.  
97. C:\Program Files\OpenVPN>

Я заменил мои адреса на звёздочки. Но ищем мы адаптер, у которого в описании стоит строчка "TAP-Win32 Adapter" — у меня это "Ethernet adapter Local Area Connection 3:". Это мой рабочий комп — он Петя. Смотрим на его адрес. Он должен быть из той же подсети, что и у Васи.

В данном случае Вася — мой домашний комп и на нём данные такие:

1. Ethernet adapter Network Bridge:
2.  
3.         Connection-specific DNS Suffix  . :
4.         Description . . . . . . . . . . . : MAC Bridge Miniport
5.         Physical Address. . . . . . . . . : 02-11-5B-F6-30-86
6.         Dhcp Enabled. . . . . . . . . . . : No
7.         IP Address. . . . . . . . . . . . : 192.168.2.20
8.         Subnet Mask . . . . . . . . . . . : 255.255.255.0
9.         IP Address. . . . . . . . . . . . : 192.168.1.20
10.         Subnet Mask . . . . . . . . . . . : 255.255.255.0
11.         Default Gateway . . . . . . . . . : 192.168.1.1
12.         DNS Servers . . . . . . . . . . . : 192.168.1.1

Помним, что у Васи бридж, поэтому у Васи это не MS TAP, "MAC Bridge Miniport". IP адрес здесь 192.168.1.20 (не обращайте внимания на второй адрес у меня — 192.168.2.20 — у вас его не должно быть — это просто я страдаю фигней и у меня два раутера подключены к одной карточке и я разнёс их по разным логическим сетям — но это мои заморочки), а маска 255.255.255.0 — что означает, что первые три номер в адресе должы быть одинаковы у Пети и у Васи. Т.е. они должны быть 192.168.1, а вот четвёроте число — разное.

Посмотрим:
Васин адрес 192.168.1.20
Петин адрес 192.168.1.11
Выглядит всё правильно — последнее число разное, а три предыдущих — одинаковые.

12. Теперь Петя может проверить соединение. Для этого он должен пингануть Васю по внутреннему адресу — т.е. по адресу 192.168.1.20:

1. C:\Program Files\OpenVPN>ping 192.168.1.20
2.  
3. Pinging 192.168.1.20 with 32 bytes of data:
4.  
5. Reply from 192.168.1.20: bytes=32 time=614ms TTL=128
6. Reply from 192.168.1.20: bytes=32 time=487ms TTL=128
7. Reply from 192.168.1.20: bytes=32 time=366ms TTL=128
8. Reply from 192.168.1.20: bytes=32 time=459ms TTL=128
9.  
10. Ping statistics for 192.168.1.20:
11.     Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
12. Approximate round trip times in milli-seconds:
13.     Minimum = 366ms, Maximum = 614ms, Average = 481ms
14.  
15. C:\Program Files\OpenVPN>

Всё выглядит нормально. И время переходить к тому, как разворачивать траффик на этот интерфейс.

Промежуточный вопрос. А что такое этот самый default gateway?

12. Тут у Пети мы не далаем никаких перманентных соединений. Поэтому этот пункт надо будет выполнять каждый раз после перезагрузки. И, если что-то поломается сейчас, в процессе настройки, то можно просто перезагрузится и начать с начала (не полного, а с установления связи, т.е. с запуска OpenVPN с параметром config\client.ovpn.

Мы помним какой у Васи был Default Gateway на бридже — 192.168.1.1. Кстати, у меня он же и DNS сервер. Тут можно играться по разному.

Вариант первый. Петя не хочет, чтобы всё шло через Васю. А только некоторые сайты.
Тогда в ДОС окне он должен потрудится. Например, Петя хочет ходить на базу через Васю. В ДОС окне он набирает команду:
nslookup balancer.ru и получает:

1. C:\Program Files\OpenVPN\log>nslookup balancer.ru
2. Server:  Wireless_Broadband_Router.home
3. Address:  192.168.1.1
4.  
5. Non-authoritative answer:
6. Name:    balancer.ru
7. Address:  [b]89.108.87.120[/b]
8.  
9.  
10. C:\Program Files\OpenVPN\log>

Ага, IP адрес balancer.ru — 89.108.87.120, тогда Петя должен выдать следующую команду:
route add 89.108.87.120 mask 255.255.255.255 192.168.1.1
Теперь все запросы к базе пойдут через Васю.

Что делать, если хочется вернуться опять к своему каналу и ходить не через Васю? Очень просто — выдаем команду:
route delete 89.108.87.120 mask 255.255.255.255 192.168.1.1
И вуаля — всё взад.


Некоторые сайты имеют более одного адреса — например Google:

1. C:\Program Files\OpenVPN\log>nslookup www.google.com
2. Server:  Wireless_Broadband_Router.home
3. Address:  192.168.1.1
4.  
5. Non-authoritative answer:
6. Name:    www.l.google.com
7. Addresses:  [b]64.233.161.104, 64.233.161.147, 64.233.161.99[/b]
8. Aliases:  www.google.com

Целых три. Придется выдать команду route add три раза, чтобы попадать на него каждый раз через Васю:
route add 64.233.161.104 mask 255.255.255.255 192.168.1.1
route add 64.233.161.147 mask 255.255.255.255 192.168.1.1
route add 64.233.161.99 mask 255.255.255.255 192.168.1.1

Соотвественно, чтобы удалить — опять три раза:
route delete 64.233.161.104 mask 255.255.255.255 192.168.1.1
route delete 64.233.161.147 mask 255.255.255.255 192.168.1.1
route delete 64.233.161.99 mask 255.255.255.255 192.168.1.1


Я думаю, что идея понятна.

Теперь, нам захотелось направить весь трафик через Васю. Тут надо переопределить default gateway. Про это в следующем посте.

GOGI> Промежуточный вопрос. А что такое этот самый default gateway?

Таблица маршрутов (routing table) это набор адресов хостов или подсетей. Каждая строчка описывает один хост или подсеть и как к ней добраться. Поэтому, когда посылается запрос на соединение или пакет, то у пакета есть адрес доставки. TCP/IP стэк просматривает эту таблицу в надежде найти строчку, которая описывает, куда пакет отправить. Но в инете хостов и сетей очень много. А на домашней машине входов в таблицу мало — можно посмотреть выдав в ДОС окне команду "route print" (widows way) или "netstat -r" (unix way, но в виндах тоже работает). Что делать, если не нашли куда посылать? Очень просто — есть специальный адрес (но он есть не всегда), куда можно посылать пакеты, если не нашёл по таблице куда же его послать. Т.е. это чистой воды работа по умолчанию — не знаем куда — значит туда.