[ CoyoteKG @ 12.01.2018. 20:23 ] @
Videh par nekih uputstava, da podizem servis automatski, i preko scheduled taska prilikom startovanja računara da namestim tu konekciju.

Ali to bi znacilo onda da uvek idem na VPN.

Da li postoji način, recimo kao kod Windows-ovog VPN, da imam opciju da se povezem na VPN prvo, pa onda da se logujem na account?
Jer mi nekako bezveze, da se ostvaruje VPN konekcija, a računar bude u office u tom momentu kad mu vpn konekcija i ne treba...

Imam pfsense i lepo mi hendluje usere, klijente i konfiguracije za klijente, pa mi zao da dizem VPN na windowsu.

Ako postoji neki software za koji treba da se doplati neki dolar, nije problem.
[ bachi @ 12.01.2018. 22:31 ] @
Pa na firewallu u officu naznačiš da blokira konekcije ka vpn serveru i onda klijent ne može da uspostavi vpn vezu dok je na mreži u officeu.




Samo ga stavi da bude iznad pravila koje pušta korisnike na net.
[ CoyoteKG @ 12.01.2018. 22:54 ] @
sjajno, hvala :)
[ CoyoteKG @ 13.01.2018. 11:08 ] @
A sta ce se desiti kada ga firewall blokira prilikom konekcije iz LANa? Hoce li nastaviti da pokusava sve vreme da se konektuje?
[ bachi @ 13.01.2018. 14:35 ] @
Hoće, naravno, ali to je potpuno nebitno, nema ama baš nikakvog uticaja na performanse računara, niti na parametre mreže.

Ako te smara što puni log fajl na VPN klijentu, u config fajlu dodaj mute 20 i toEto. :D
[ CoyoteKG @ 13.01.2018. 17:52 ] @
Daj pls neki link, kako da podesim sa scheduled task.

Uradio sam to, i kad resetujem racunar, ostanem bez neta. sve mi pohebe :). Na kraju nisam znao kako da resim, nego brisao TAP adaptere i dodavao ponovo da bih dobio net.
A ovako, taj profil mi radi super, kad se manuelno konektujem.


Mada razmisljam da mi mozda i ne treba.
Pretpostavljam da ako sam vec bio ulogovan sa domenskim userom bar jednom, da posle mogu da se ulogujem dok nisam nakacen na mrezu, pa posle toga user da startuje OpenVPN?

U principu, namestio sam da su useri roaming sa folder redirekcijom, tako da kad se konektuju na OpenVPN posle logovanja, nadam se da ce se sinhronizovati sve sa serverom?
[ bachi @ 13.01.2018. 20:33 ] @
Šta sa scheduled tasks?

Na firewallu podesiš kao na slici

Samo što za from umesto single host or alias možeš da staviš network i tu staviš lokalni subnet od te kancelarije, tipa 192.168.2.0/24.

Na Windows računaru koji je OpenVPN klijent odeš u servise i ako ne 2.4 verzija OpenVPN klijenta, onda enabluješ OpenVPN legacy i staviš na automatic start. Ako je starija verzija onda OpenVPN servis enable i na automatic.

Nakon toga, zaposleni kada dođe u office i uključi komp neće moći da uspostavi vezu sa vpn serverom, samim tim ni da podesi rute, a ako je van kancelarije moći će.

Ne bi bilo loše da batališ hibernaciju na takvim računarima, jer mogu da naprave problem.
[ CoyoteKG @ 13.01.2018. 20:52 ] @
nene, moje pitanje je bilo kako da se racunar konektuje na openvpn i pre nego sto se user loguje.
To nisam uspeo. Video sam da postoje fore sa scheduled task, ali mi zapucaju TAP adapteri i nista nisam uradio.

Mada evo... Testirao sam, koliko vidim nece mi to biti potrebno. User moze da se loguje sa svojim profilom dok je offline, pa posle nek se zakaci manuelno na openvpn, to mu je 2 klika.
Vidim da se odmah sinhronizuju folderi sa fajl serverom, pa se cak i mapiraju naknadno diskovi koji se nisu mapirali zbog nedostatka konekcije, sto mi je zadivljujuce.
[ bachi @ 13.01.2018. 21:58 ] @
Kada pod services.msc namestiš da se OpenVPN (odnosno OpenVPN legacy ako je =>2.4) stavi na enable i na automatic, onda se veza ka VPN serveru uspostavlja čim se startuje Windows, odnosno pre nego što korisnik kuca lozinku.

U zavisnosti od mreže i performansi računara, najbolje je sačekati 30 sekundi nakon što se dobije login prozor, pa tek onda otkuca lozinka.

Ovako kod mene radi na više desetine računara i nikad nisam imao problema.

Takođe, pod services.msc za računare koji su u domenu, a šetaju, pod network location awarness umesto automatic, stavi automatic (delayed), na taj način se Windows neće zbuniti i staviće domain network za mrežni profil.
[ CoyoteKG @ 14.01.2018. 11:57 ] @
Ček, dovoljno je samo da enejblujem taj servis i to je to?
A šta oko profila? Samo da stavim u config neki profil, i openvpn ce da se zakaci na njega bez ikakvih podesavanja?
[ bachi @ 14.01.2018. 13:15 ] @
Da, samo enabluješ i to je to.

Config fajl staviš u config folder i to je sve.

Čim se startuje komp, startuje se openvpn servis i svi config fajlovi koji su u config folderu se aktiviraju.

Kako si na firewallu zabranio da se iz lana kači na openvpn server, ništa se neće desiti, jer klijent neće moći da uspostavi vezu.
[ CoyoteKG @ 14.01.2018. 14:19 ] @
haha, ladno sljaka.
Pa bem mu sunce, sto komplikuju po netu, milion nekih uputstava, te nesto u reg da se namesti, ili pomocu scheduled taskova, ili... bem li ga sve nisam nasao.
I na kraju dovoljno samo da se enejbule servis :D
Sjajno, hvala


Nego, još jedno pitanjce, što ti je na ovoj slici blokiran port range od 10000 do 10010. Kapirao sam da treba da blokiram 1194

[Ovu poruku je menjao CoyoteKG dana 14.01.2018. u 15:32 GMT+1]
[ bachi @ 15.01.2018. 09:13 ] @
Zato što *u mom slučaju* OpenVPN server sluša na tim portovima.

Kod tebe ako sluša na 1194, onda staviš 1194.

Takođe obrati pažnju da li treba TCP ili UDP ili both. :D

A komplikovanje je nešto što open source zajednica izuzetno obožava da radi. Valjda nisi dovoljno l33t ako samo sa dva klika enabluješ servis.