Windows-терминалы WTware

Товарищи плюсодины, попробуйте 5.1.14. Должна поехать openvpn. Свежие доки тоже надо посмотреть:
http://forum.wtware.ru/viewtopic.php?t=8434
http://wtware.ru/openvpn.html

Плюсодин нужно ВПН, тестить смогу.
Для сканеров надо, а не только для принтеров

Кстате да ВПН нужная штука, если терминалы стоят вне офиса...

el_angelo писал(а):На сколько мне известно, вообще пробем с OpenVPN особенно нет. Один раз настроил и что говорится забыл.

Да, я тоже не слышал о хронических проблемах втвари с openvpn. Просто втварь делается "по грамотному запросу". С начала 5.х версий запроса с готовностью тестировать до победы не было, вот и не прикрутили. Сделаем. Напиши мне письмо на aka@pxe.ru или на icq 89596217 чтоб быстрее контакт был.

el_angelo писал(а):второй сервер находится вне офиса. А для правильной работы нужно настроить печать. А сделать это можно как я понял только путем организации VPN.

...или функцией rdp_printer=.

el_angelo писал(а):Функция "rdp_printer" у меня не работает.

Так и пишет - "не работаю у тебя" русскими буквами? Давай ее починим, может не понадобится vpn поднимать. Загрузка по сети еще сильнее облегчает администрирование.

el_angelo писал(а):Единственное, что достаточно стабильно пашет, это "printer=usb", с настройкой на порт RAW 9100.

Механизм работы у rdp_printer= и printer= одинаковый. Если одно работает а второе не работает, то вероятно это наша ошибка. Логи давай - для начала лог после успешной отправки тестового задания на печать через printer= и лог со скриншотом проблемы с rdp_printer=.

Ну смотрте какая ситуация. На сколько мне известно, вообще пробем с OpenVPN особенно нет. Один раз настроил и что говорится забыл. Я готов потестировать и сообщать о появляющихся глюках, если в итоге они будут устранены.

Просто у меня много компов в разных организациях. большая часть используются как клиенты серверов терминалов.
Я хочу все эти компы перевести на wtware, предварительно снять с них жесткие диски и сделав загрузку с флешки. Это значительно облегчит задачу администрироания.
Но многие работаютодновоеменно с двумя серверами терминалов. И как правило, второй сервер находится вне офиса. А для правильной работы нужно настроить печать. А сделать это можно как я понял только путем организации VPN.

Функция "rdp_printer" у меня не работает.
Проброс порта на сервер средством usbip работает крайне не стабильно.
Единственное, что достаточно стабильно пашет, это "printer=usb", с настройкой на порт RAW 9100.
Но как на него будет печатать сервер, если находится в другой сети. Только, если бдет поднят VPN!
Или есть какие то другие решения?

OpenVPN и мне нужен будет на 5 версии.
Но не прямо сейчас, где-то через месяц доберусь до удаленных офисов.

В 4.6.х работал openvpn, в 5.х его так и не перенесли по причине отсутствия спроса

Сильно надо? С глюками отладоччной версии бороться будешь?

Привет всем. Есть такая проблема, никак не могу разобраться как правильно настроить OpenVPN на клиенте WTware 5.0.7. Загрузка с USB flash.

У меня работает сервак OpenVPN на статическом адресе.
Копирую файлы с ключами в каталог configs на флешке, это ясно. Но дальше где прописать адрес VPN сервера? если при загрузк нажать del, там нет такого пункта про котрый в инструкции написано.

Спасибо за ссылку

1. Принтер HP P1006 заработал - поиск по форуму рулит - USB 2.0 Disable

2. Если нет опыта настройки OpenVPN рекомендую ссылки в данном посте выше и очень полезна оказалась ветка форума на iXBT - http://forum.ixbt.com/topic.cgi?id=14:40906
Мы работаем на версии WtWare 4.6.9 на DHCP от Microsoft, ОС - Win Server 2003, OpenVPN 2.1
WtWare 5 пока не используем. Использование OpenVPN обусловленно наличием беспроводной сети в одном из офисов, соображениями безопасности - закрыт стандартный порт 3389, и самое важное в нашем случае возможность печати на принтеры клиентов в офисах при отсутствии драйверов на них самих, т.е. все драйвера на сервере.

k_quiet писал(а):Вобщем продолжение истории:

OpenVPN заработал! В версиях OpenVPN старше 2.1 появился параметр 'topology subnet', который заставляет работать OpenVPN в режиме 'tun' как мне надо. В итоге в трех разных удаленных офисах стоит по три терминала с WtWare которые грузятся с USB Flash, подключаются к серваку по OpenVPN через ADSL-роутер D-Link 2500, в один из терминалов в каждом офисе воткнут Samsung SCX-4220 на который могут печатать пользователи с любых(!!!!) терминалов любого офиса! Статический адрес только в офисе где стоит терминальный сервер, в остальных офисах адреса динамические. Машин кроме сервака с Windows в офисах нет вообще! Но! HP P1006 так запустить и не удалось. То есть задание на него отправляется, он моргает лампочкой, жужжит, и усе. Хотя при подключении к терминалу в локальной (не удаленной) сети с сервером он печатал.

А Вы могли бы подробнее объяснить как у вас построено?
А то моему руководству понравилась новая фича в ВТВаре5 (а именно переключение между несколькими рабочими столами ), и нужно эту фичу сделать на удаленных точках. Соответственно стандартный удаленный способ подключения отпадает.
OpenVPN еще настраивать мне не доводилось.
Может какую ссылку бросите, на описание с чего начать.

k_quiet писал(а):задание на него отправляется, он моргает лампочкой, жужжит, и усе. Хотя при подключении к терминалу в локальной (не удаленной) сети с сервером он печатал.

Может, таймауты и все такое? Принтер думает, что ему отвечает комп рядом. А тут пакеты ходят через Антарктиду, паузы между пакетами непонятной длины, но всегда большие...

Вобщем продолжение истории:

OpenVPN заработал! В версиях OpenVPN старше 2.1 появился параметр 'topology subnet', который заставляет работать OpenVPN в режиме 'tun' как мне надо. В итоге в трех разных удаленных офисах стоит по три терминала с WtWare которые грузятся с USB Flash, подключаются к серваку по OpenVPN через ADSL-роутер D-Link 2500, в один из терминалов в каждом офисе воткнут Samsung SCX-4220 на который могут печатать пользователи с любых(!!!!) терминалов любого офиса! Статический адрес только в офисе где стоит терминальный сервер, в остальных офисах адреса динамические. Машин кроме сервака с Windows в офисах нет вообще! Но! HP P1006 так запустить и не удалось. То есть задание на него отправляется, он моргает лампочкой, жужжит, и усе. Хотя при подключении к терминалу в локальной (не удаленной) сети с сервером он печатал.

k_quiet
Оттуда же, из второй твоей статьи:

Но если необходимо развернуть OpenVPN как VPN-концентратор для большого числа пользователей, то маршрутизация обеспечивает более высокую гибкость.

Т.е. либо можно таки зарулить через один интерфейс (попробуй наконец, а?), либо "большое число" интерфейсов не представляет никаких проблем кроме субъективно-эстетических.

Сейчас я по организационным обстоятельствам не могу собрать 4.6 версию. Через неделю-две выйдет наконец 4.9 со звуком (звуковой траффик уменьшится в восемь раз, еу суперкруто ), и если к тому времени не решишь задачу как-то иначе - подними еще раз эту тему. Попробуем как-нибудь выкрутиться.

k_quiet присмотрись к http://mikc.ru/product.php?id_catalog=2&id_position=193 (там и OpenVPN тоже есть) - не примите за рекламу просто у самого в эксплуатации таких штук 10 - 15 , не нарадуюсь там сетями можно крестиком вышивать !

to aka:
явно это написано здесь:
Затем с помощью меню «Пуск –> Программы –> Open –> VPNAdd a new TAP-win32 virtual ethernet adapter» создаем еще один виртуальный интерфейс и переименовываем его во FreeBSD.

и здесь:
Затем создаем конфигурационные файлы наших туннелей.

Файл windows-freebsd.ovpn:
remote 80.80.20.129
dev-node FreeBSD
dev tun
port 5001
ifconfig 10.3.0.2 10.3.0.1
secret static.txt
ping 10
verb 3
route 10.10.120.0 255.255.255.0 10.3.0.1
auth MD5
cipher DES-CBC
comp-lzo

Файл windows-linux.ovpn:
remote 80.80.20.131
dev tun
dev-node Linux
port 5002
ifconfig 10.3.0.5 10.3.0.6
secret static.txt
ping 10
verb 3
route 10.10.140.0 255.255.255.0 10.3.0.6
tun-mtu 1500
comp-lzo


Как мы видим подсеть одна, но два виртуальных адаптера и по одному конфигу для каждого, в каждом из которых прописан тунель точка-точка. Это особенность Open VPN при использовании режима tun.

to shdn777:
терминалов планируется 2-4, а самих удаленных точек 5-10. Вот такая заморочка.

k_quiet - в этом случае я точно за aka
Поясню - k_quiet что вам мешает поставить железяку(роутер) которая сделает нормальный закрытый туннель между сетями - это даст вам все , и защищенный туннель и не надо маяться с пробросом портов, не надо настраивать VPN на каждом терминале - да и много что еще !

VPN на терминальном клиенте имеет смысл если их 1-2шт на удаленной точке (ИМХО)

k_quiet писал(а):И еще. Про создание соединения и про добавление еще адаптеров подробно написано в статьях из моего предидущего поста. Хотя из фразы "соединение точка-точка" и так все понятно.

Пожалуйста, покажи мне, где это написано явно. Статьи я прочитал, такого смысла в них не нашел. И из фразы "соединение точка-точка" мне не понятно, почему звезда не может быть множеством соединений точка-точка.

Продолжение истории. Вернее начало.

Заморочка с Open VPN нужна мне для того чтобы заставить работать принтер в удаленной подсети и чтобы на него могли печатать остальные клиенты этой подсети, естественно все эти киенты - WtWare. И клиент к которому подключен принтер тоже. Все это безобразие попадает на сервер терминалов через ADSL-модем с проброшенным портом 3389, что само по себе очень хреново (плохо), т.к. сервер смотрит в инет через статику на ADSL-модеме портом 3389 и любой человек с любой точки зная статику попадает на вход терм.сервера и все, немного социальной инженерии и кирдык серваку. Вариант с использование Open VPN решил бы эту проблему, а заодно и проблему принтера тоже, но увы. Кофеварки.... мать их. Заставить принтер работать через usbip не удалось, т.к. при подключении к wtware-клиенту в локальной сети сервера все замечательно. А при подключении в удаленной подсети - болт. Не видит сервер принтер через два ADSL-модема. Может нам денег каких-нибудь заплатить за персональную доработку, за изменение tun на tap.

И еще. Про создание соединения и про добавление еще адаптеров подробно написано в статьях из моего предидущего поста. Хотя из фразы "соединение точка-точка" и так все понятно.

В описании WTware честно написано, что WTware это клиент службы терминалов Windows Terminal Services. Сейчас в планах - уменьшить задержку звука, сделать перенаправление микрофона, затем большая работа по перенаправлению USB. Это все функции клиента службы терминалов, которые никто не может заменить. Поддержка кофеварок, OpenVPN и подобного вторична и выполняется по остаточному принципу. Потому, что если клиенту нужно получить более функциональную поддержку кофеварок, OpenVPN и подобного, он всегда может поставить для этой задачи специальное устройство.

И покажи пожалуйста, где написано, что для второго tun соединения необходимо делать второй адаптер.

Тогда пожалуй будет честным написать в описании WtWare "поддержки OpenVPN нет и не будет", т.к. если у меня двадцать терминалов мне надо на Win-сервере создать 20 виртуальных сетевых адаптеров. А если 100 - то 100 адаптеров. Это просто бред.

P.S. Вот небольшой ликбез:
http://www.ru.kurlix.de/index.php?optio ... &Itemid=27
http://www.ru.kurlix.de/index.php?optio ... &Itemid=27

Никак не сделать. В конфиге openvpn по умолчанию написано tun. Поэтому так сложилось.

dev - тип виртуального устройства туннеля. Может принимать значение tun или tap. Тun позволяет создавать только соединения типа точка-точка, tap виртуальные сегменты Еthernet.

дело в том, что dev=tun не поддерживает широковещательные запросы и на нем не будет нормальной ethernet сети.

как сделать чтоб работало dev=tap?

Конфиг втвари никак не поменять. Меняй конфиг сервера.

проблема понятна. разный тип DEV. а как можно поменять конфиг? т.е. отредактировать ручками?

Разбираться. Я ничего не понимаю в OpenVPN.

WTware использует такой конфиг:

client
dev tun
proto udp
nobind
ca /etc/ca.crt
cert /etc/client.crt
key /etc/client.key
ns-cert-type server
comp-lzo
verb 1
daemon
remote 1.2.3.4 1194

Отдай этот конфиг клиенту vpn в виндовсе, который "все ок". Пути только к ключам правильные и вместо 1.2.3.4 IP сервера напиши. И смотри, что скажет сервер и что поменять в конфиге сервера, чтобы виндовс с таким конфигом подключилась. Потом расскажи

WTWare Pro 4.6.1
Установлена на жесткий. При попытке настроить Open VPN загружаясь долго висит прогрессбар потом говорит "Open VPN failed" и всё.... Из под Винды с этими же ключами все ок. Вот лог OpenVPN - сервера:

Mon Oct 11 11:37:13 2010 MULTI: multi_create_instance called
Mon Oct 11 11:37:13 2010 94.***.***.85:10540 Re-using SSL/TLS context
Mon Oct 11 11:37:13 2010 94.***.***.85:10540 LZO compression initialized
Mon Oct 11 11:37:13 2010 94.***.***.85:10540 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Oct 11 11:37:13 2010 94.***.***.85:10540 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Oct 11 11:37:13 2010 94.***.***.85:10540 Local Options hash (VER=V4): 'f7df56b8'
Mon Oct 11 11:37:13 2010 94.***.***.85:10540 Expected Remote Options hash (VER=V4): 'd79ca330'
Mon Oct 11 11:37:13 2010 94.***.***.85:10540 TLS: Initial packet from 94.***.***.85:10540, sid=d5459bea 358d2f77
Mon Oct 11 11:37:14 2010 94.***.***.85:10540 VERIFY OK: depth=1, /C=RU/ST=AST/L=Astrakhan/O=*******/emailAddress=k_quiet@mail.ru
Mon Oct 11 11:37:14 2010 94.***.***.85:10540 VERIFY OK: depth=0, /C=RU/ST=AST/O=*******/OU=Kirova_01/CN=Kirova_01/emailAddress=k_quiet@mail.ru
Mon Oct 11 11:37:14 2010 94.***.***.85:10540 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Oct 11 11:37:14 2010 94.***.***.85:10540 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Oct 11 11:37:14 2010 94.***.***.85:10540 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Oct 11 11:37:14 2010 94.***.***.85:10540 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Oct 11 11:37:14 2010 94.***.***.85:10540 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Mon Oct 11 11:37:14 2010 94.***.***.85:10540 [Kirova_01] Peer Connection Initiated with 94.***.***.85:10540
Mon Oct 11 11:37:17 2010 Kirova_01/94.***.***.85:10540 PUSH: Received control message: 'PUSH_REQUEST'
Mon Oct 11 11:37:17 2010 Kirova_01/94.***.***.85:10540 SENT CONTROL [Kirova_01]: 'PUSH_REPLY,route 192.168.168.0 255.255.255.0 10.1.0.1,ping 10,ping-restart 120,ifconfig 10.1.0.4 255.255.255.0' (status=1)
Mon Oct 11 11:37:19 2010 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Mon Oct 11 11:37:21 2010 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Mon Oct 11 11:37:22 2010 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
// и так еще примерно 30 строк ///
Mon Oct 11 11:40:40 2010 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Mon Oct 11 11:40:41 2010 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Mon Oct 11 11:40:41 2010 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Mon Oct 11 11:40:43 2010 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Mon Oct 11 11:41:17 2010 Kirova_01/94.***.***.85:10540 [Kirova_01] Inactivity timeout (--ping-restart), restarting
Mon Oct 11 11:41:17 2010 Kirova_01/94.***.***.85:10540 SIGUSR1[soft,ping-restart] received, client-instance restarting

Судя по логу авторизация проходит успешно, в чем дело не понятно. Что делать?