Обсуждение VPN сервера OpenVPN

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
mak_v_
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение mak_v_ » 2013-01-24 11:08:40

З.ы.
на сервере в конфиг включите строки

Код: Выделить всё

route 10.0.10.0 255.255.255.252
route 192.168.5.0 255.255.255.0

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

alexhondabeat
рядовой
Сообщения: 12
Зарегистрирован: 2013-01-24 7:00:01

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение alexhondabeat » 2013-01-24 11:09:00

Gamerman писал(а):А на ОВКлиент маршрутизация включена?

Код: Выделить всё

gateway_enable="YES"
да, пардон
включена на обоих маршрутизация. плюс nat

Аватара пользователя
Gamerman
капитан
Сообщения: 1723
Зарегистрирован: 2009-05-17 21:01:23
Откуда: Украина, Ужгород - Днепр
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Gamerman » 2013-01-24 11:10:21

По ходу. Если на ОВКлиенте стоит НАТ через который все ходят в инет, то скорее всего, что пакеты для другой сети он тоже шлет в инет, вместо ОВПН. Пропиши на нем статический маршрут без ната на свою сеть через ОВСервер.
Глюк глюком вышибают!

alexhondabeat
рядовой
Сообщения: 12
Зарегистрирован: 2013-01-24 7:00:01

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение alexhondabeat » 2013-01-24 11:12:22

mak_v_ писал(а):З.ы.
на сервере в конфиг включите строки

Код: Выделить всё

route 10.0.10.0 255.255.255.252
route 192.168.5.0 255.255.255.0
вторая строка уже и так была в конфиге
первую добавил, рестартнул сервисы на обоих машинках (сначала сервер, потом клиент) - не помогло

mak_v_
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение mak_v_ » 2013-01-24 11:12:41

Gamerman писал(а):По ходу. Если на ОВКлиенте стоит НАТ через который все ходят в инет, то скорее всего, что пакеты для другой сети он тоже шлет в инет, вместо ОВПН. Пропиши на нем статический маршрут без ната на свою сеть через ОВСервер.
При чем здесь нат к маршрутизации?

mak_v_
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение mak_v_ » 2013-01-24 11:13:35

Если сервера не ЦРУ-шные и ссх дать не проблема - стучи в аську, думаю дело 10-15 минут

alexhondabeat
рядовой
Сообщения: 12
Зарегистрирован: 2013-01-24 7:00:01

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение alexhondabeat » 2013-01-24 11:28:38

Gamerman писал(а):По ходу. Если на ОВКлиенте стоит НАТ через который все ходят в инет, то скорее всего, что пакеты для другой сети он тоже шлет в инет, вместо ОВПН. Пропиши на нем статический маршрут без ната на свою сеть через ОВСервер.
Да как бы табличка вроде правильная

Код: Выделить всё

Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            212.49.124.65      UGS         0  2445836    vr0
10.0.10.1/32       10.0.10.5          UGS         0        0   tun0
10.0.10.5          10.0.10.6          UH          2        0   tun0
127.0.0.1          127.0.0.1          UH          0       48    lo0
192.168.5.0/24     link#2             UC          0        0    rl0
192.168.6.0/24     192.168.5.99       UGS         0  1134384    rl0
192.168.7.0/24     192.168.5.99       UGS         0   508161    rl0
192.168.10.0/24    10.0.10.5          UGS         0        0   tun0
212.49.124.64/27   link#1             UC          0        0    vr0
Маршрут в ней для сети 192.168.10. прописан на 10.0.10.5, который посылает на интерфейс 10.0.10.6
не нравится мне только вторая строка здесь

mak_v_
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение mak_v_ » 2013-01-24 11:32:50

ПИЛЯТЬ...с машины ЗА СЕРВЕРОМ.
ПИЛЯТЬ ...с машины ЗА КЛИЕНТОМ.

Не с сервера, не с клиента и именно то, что не работает. И трассировку.

mak_v_
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение mak_v_ » 2013-01-24 11:43:08

Хотя прошу прощения, если на ОВК натится ВСЁ (в т.ч и пакеты к "своим" сетям и на тунельном интерфейсе), то вполне возможно.

alexhondabeat
рядовой
Сообщения: 12
Зарегистрирован: 2013-01-24 7:00:01

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение alexhondabeat » 2013-01-24 11:46:46

mak_v_ писал(а):ПИЛЯТЬ...с машины ЗА СЕРВЕРОМ.
ПИЛЯТЬ ...с машины ЗА КЛИЕНТОМ.

Не с сервера, не с клиента и именно то, что не работает. И трассировку.
alexhondabeat писал(а): с клиента за OVC

Код: Выделить всё

Трассировка маршрута к 192.168.10.4 с максимальным ...
1. <1мс <1мс <1мс 192.168.5.4
2 * * *
3 * * *
...
трассировка из сети ovs - аналогично, отвечает только первый адрес шлюза 192.168.10.4
уже приводил
машины за шлюзами - все виндовые поэтому трассировка такая (для пример приведено tracert 192.168.10.4 из сети 192.168.5.0/24)


alexhondabeat
рядовой
Сообщения: 12
Зарегистрирован: 2013-01-24 7:00:01

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение alexhondabeat » 2013-01-24 11:57:57

mak_v_ писал(а):192.168.5.4 - ОВК клиент?
да

Аватара пользователя
Gamerman
капитан
Сообщения: 1723
Зарегистрирован: 2009-05-17 21:01:23
Откуда: Украина, Ужгород - Днепр
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Gamerman » 2013-01-24 12:16:34

Покажи на нем настройки маршрутизации и ната.
Глюк глюком вышибают!

alexhondabeat
рядовой
Сообщения: 12
Зарегистрирован: 2013-01-24 7:00:01

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение alexhondabeat » 2013-01-24 16:11:00

Gamerman писал(а):Покажи на нем настройки маршрутизации и ната.
Маршрутизацию выше показывал:
alexhondabeat писал(а):Да как бы табличка вроде правильная

Код: Выделить всё
Routing tables

Internet:
Destination Gateway Flags Refs Use Netif Expire
default шлюз_провайдера UGS 0 2445836 vr0
10.0.10.1/32 10.0.10.5 UGS 0 0 tun0
10.0.10.5 10.0.10.6 UH 2 0 tun0
127.0.0.1 127.0.0.1 UH 0 48 lo0
192.168.5.0/24 link#2 UC 0 0 rl0
192.168.6.0/24 192.168.5.99 UGS 0 1134384 rl0
192.168.7.0/24 192.168.5.99 UGS 0 508161 rl0
192.168.10.0/24 10.0.10.5 UGS 0 0 tun0
шлюз првайдера/27 link#1 UC 0 0 vr0

Код: Выделить всё

divert 8668 ip from 192.168.5.0/24 to any out xmit vr0
divert 8668 ip from 192.168.6.0/24 to any out xmit vr0
divert 8668 ip from 192.168.7.0/24 to any out xmit vr0
allow ip from $out_ip to any out via vr0
divert 8668 ip from any to $out_ip in recv vr0
allow ip from any to 192.168.0.0/16 in via vr0

Аватара пользователя
Gamerman
капитан
Сообщения: 1723
Зарегистрирован: 2009-05-17 21:01:23
Откуда: Украина, Ужгород - Днепр
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Gamerman » 2013-01-24 16:17:01

Что-то првык я до ядреного ната, ну то такое :)
Отключи нат на ОВКлиенте. Подсеть в инет не сможет выйти (логично), но сам ОВПКлиент же имеет реальный ЫР, и сможет в инет вийди и подключиться к ОВСерверу. Тогда и посмотри пройдут ли пакеты в другую сеть.
Глюк глюком вышибают!

mak_v_
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение mak_v_ » 2013-01-24 16:53:28

Помог я товарищу....обещал выложить чем....
ну то такое :)
Там на самом делеле было чуть поболее "такого" плюс товарищ шел по пути венды...нервно тыкал кнопки, правил конфы, удалял, копировал....Вобщем трабла оказалась в ccd и сертификатах,а именно в несовпадении "Common Name" и имени файла в ссd, в дублировании сертификатов по клиентам, кривом фаерволе, а самое главное, что это дело запилено на hyperv под вендой, у которой отваливались виртуальные интерфейсы.. Пришлось ссать, ой простите, срать, ой простите, слать пакеты от внутренних интерфейсов для эмуляции "сетей за опенвпн". Вот такая муть и жуть.
Ждем подтверждения от просившего помощи

alexhondabeat
рядовой
Сообщения: 12
Зарегистрирован: 2013-01-24 7:00:01

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение alexhondabeat » 2013-01-24 17:21:48

mak_v_ писал(а):Помог я товарищу....обещал выложить чем....
ну то такое :)
Там на самом делеле было чуть поболее "такого" плюс товарищ шел по пути венды...нервно тыкал кнопки, правил конфы, удалял, копировал....Вобщем трабла оказалась в ccd и сертификатах,а именно в несовпадении "Common Name" и имени файла в ссd, в дублировании сертификатов по клиентам, кривом фаерволе, а самое главное, что это дело запилено на hyperv под вендой, у которой отваливались виртуальные интерфейсы.. Пришлось ссать, ой простите, срать, ой простите, слать пакеты от внутренних интерфейсов для эмуляции "сетей за опенвпн". Вот такая муть и жуть.
Ждем подтверждения от просившего помощи
Ага, мой опыт в помощь другим:
Настроил конфиг на клиенте ( у себя на компе) - все зашибись, работает. Для начала просто как точка-точка.
Сделал сертификат для себя, настроил видимость сети за ОВСервером - хорошо, работает. (клиент-винда)
Пошел шлюз настраивать, а он не хочет видеть сеть сервера и все тут. (Тут надо было все проверить, и живая сеть бы сразу заматерилась, а у меня виртуальная на винде, которая сама по себе упала)
Начал ломать голову, рыть, подсовывать "рабочие конфиги" со своим сертификатом и т.д. и т.п. в результате все запутано и не аккуратно прописано. (например несовпадение сертификата с которым подключаюсь с тем ccd который правлю. в голове держу одно, а сделал уже другое)
Так что не получается на одном шаге - дальше этого шага уходить не стоит, надо его отработать, все проверить, откатиться назад в крайнем случае.
Огромное спасибо mak_v_ за потраченное время и умственные усилия по разрешению проблемы

Аватара пользователя
Flakon
проходил мимо
Сообщения: 4
Зарегистрирован: 2013-08-01 15:15:46

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Flakon » 2013-08-01 15:22:43

уважаемые участники и знатоки. Прошу вашей помощи. Не удается отозвать сертификат dpr000 (на конечного клиента). Ставил по статье Установка и настройка OpenVPN с ключом pkcs12
единственный косяк - сертификат сам по себе еще и с весом 0 байт - имел глупость задать пароль при подготовлении сертификатов и теперь при подготовке еще одного сертификата он его спрашивает (ладно хоть помню). Но в данном серте ошибся при вводе - сертификат получился с весом 0 байт, не отзывается...
лог:

Код: Выделить всё

# . ./vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /usr/local/share/easy-rsa/keys/server
# ./revoke-full dpr000
Using configuration from /usr/local/share/easy-rsa/openssl-0.9.8.cnf
unable to load certificate
29609:error:0906D06C:PEM routines:PEM_read_bio:no start line:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/pem/pem_lib.c:648:Expecting: TRUSTED CERTIFICATE
Using configuration from /usr/local/share/easy-rsa/openssl-0.9.8.cnf
unable to load certificate
29612:error:0906D06C:PEM routines:PEM_read_bio:no start line:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/pem/pem_lib.c:648:Expecting: TRUSTED CERTIFICATE
#
дойти сам уже не могу, гугль шлет меня в лес.
"И лишь турбины поют по ночам, напоминая о доме.."
Сервер КрафтВ_й. С нашими кулерами вы не уснете!

Аватара пользователя
Flakon
проходил мимо
Сообщения: 4
Зарегистрирован: 2013-08-01 15:15:46

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Flakon » 2013-08-01 15:36:50

Нашел еще одну тему здесь же по данному вопросу http://forum.lissyara.su/viewtopic.php?f=3&t=22396 пока никто не победил....
"И лишь турбины поют по ночам, напоминая о доме.."
Сервер КрафтВ_й. С нашими кулерами вы не уснете!

Аватара пользователя
Flakon
проходил мимо
Сообщения: 4
Зарегистрирован: 2013-08-01 15:15:46

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Flakon » 2013-08-01 17:23:24

покопал http://www.openssl.org/docs/apps/pkcs12.html
попробовал ./build-key-pkcs12 -export -out dpr000.p12 -name "dpr000" - серт создался поверх, теперь у него ненулевой размер, отозвался нормально.... Однако, это не то - в файле index.txt (ведь там все выданные серты), исходный dpr000 (его номер 09) стоит как V - то есть нифига не отозванный.
Отозванных там три - и "подменка" идет под номером 0С
"И лишь турбины поют по ночам, напоминая о доме.."
Сервер КрафтВ_й. С нашими кулерами вы не уснете!

Zeral
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Zeral » 2013-10-21 11:26:35

Всепривет.

Статья отличная, почти все проходит как надо.
Возникла такая проблема: для начала поднял сервак на виртуалке, всё поднялось чин-чинарём.
Установил с портов на сервер, далее все как на виртуалке, ан нет! Не запускается!

Код: Выделить всё

gate2# /usr/local/etc/rc.d/openvpn start
Starting openvpn.
/usr/local/etc/rc.d/openvpn: WARNING: failed to start openvpn
Проблемка такая.. что почему-то НЕ пишет логи, чего уже только не переделал с правами. На данный момент оба файла rw

в server.conf место отвечающее за логи

Код: Выделить всё

status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log

mvd
рядовой
Сообщения: 16
Зарегистрирован: 2009-02-11 16:19:09

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение mvd » 2013-11-29 17:28:55

Столкнулся со странной проблемой.
Клиенты Windows 7 - Без проблем.
Клиенты Windows XP - Присутсвуют проблемы.

Суть проблемы - в том что TCP пакеты, от OFFICE1 к CL2 доходят но с проблемами, тоисть (TCP связь отсутствует, от OFFICE1 к CL2 ).

Ping(ICMP) летает без проблем от OFFICE1 к CL2.
Что самое интересное TCP связь от CL2 --> OFFICE1 работает без проблем.

В тоже время с Клиентами Windows 7 нет никаких проблем с TCP пакетами. Все ходит без проблем. OFFICE1 <-> CL1

Скорость Интернета Клиента роли тут не играет проверенно, фаерволы WinXP тоже не то.
Подозрение на TCPIP стек или маршрутизацию Windows XP. И в тоже время этот Клиент без проблем видит OFFICE1

На данный момент проанализировал Ход TCP пакета.
OFFICE1( 192.168.10.105:4545 ) -> CL2( 192.168.10.20:777 )
1. [OF1] Src( 0F1 ):4545 --> Dst( CL2 ):777 (TTL=127)
2. [GW-NAT] Я Не зафиксил
3. [OVPN] Src( 0F1 ):4545 --> Dst( CL2 ):777 (TTL=1)
4. [CL2] Src( 0F1 ):4545 --> Dst( CL2 ):777 (TTL=1)
5. [CL2] Src( CL2 ):777 --> Dst( 0F1 ):4545 (TTL=127)
6. [OVPN] Src( CL2 ):777 --> Dst( 0F1 ):4545 (TTL=127)
7. [GW-NAT] Я Не зафиксил
8. [OF1] Я Не зафиксил

Подключение со Шлюза[GW] на CL2 port 777 проходит без проблем.

Win7 - таких проблем не наблюдается.

[Пример работы сети]

Код: Выделить всё

					OFFICE1(192.168.10.105)
								  |
								  |
 					 GW[192.168.10.1]
					NAT(192.168.10.0/24)
								  |
								  |
				OVPN( 192.168.10.200 )v2.2
			TAP Bridge(to GW 192.168.10.1)
			|							      |
	 (internet)						(internet)
			|							      |
CL1(192.168.10.30)				CL2(192.168.10.20)
		(Win7)						 	(WinXP)
Логи клиентов.
WinXP

Код: Выделить всё

Tue Nov 26 17:40:39 2013 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.10.1,dhcp-option DNS xxx.xxx.xxx.1,dhcp-option DNS xxx.xxx.xxx.11,route-gateway 192.168.10.1,ping 10,ping-restart 120,route 192.168.10.0 255.255.255.0 192.168.10.1,ifconfig 192.168.10.20 255.255.255.0'
Tue Nov 26 17:40:39 2013 OPTIONS IMPORT: timers and/or timeouts modified
Tue Nov 26 17:40:39 2013 OPTIONS IMPORT: --ifconfig/up options modified
Tue Nov 26 17:40:39 2013 OPTIONS IMPORT: route options modified
Tue Nov 26 17:40:39 2013 OPTIONS IMPORT: route-related options modified
Tue Nov 26 17:40:39 2013 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Tue Nov 26 17:40:39 2013 ROUTE default_gateway=192.168.40.1
Tue Nov 26 17:40:39 2013 TAP-WIN32 device [OpenVPN] opened: \\.\Global\{3F28FB8A-238F-4247-BA79-D70A2D5512E5}.tap
Tue Nov 26 17:40:39 2013 TAP-Win32 Driver Version 9.9 
Tue Nov 26 17:40:39 2013 TAP-Win32 MTU=1500
Tue Nov 26 17:40:39 2013 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.10.20/255.255.255.0 on interface {3F28FB8A-238F-4247-BA79-D70A2D5512E5} [DHCP-serv: 192.168.10.0, lease-time: 31536000]
Tue Nov 26 17:40:39 2013 Successful ARP Flush on interface [2] {3F28FB8A-238F-4247-BA79-D70A2D5512E5}
Tue Nov 26 17:40:42 2013 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Nov 26 17:40:42 2013 Route: Waiting for TUN/TAP interface to come up...
Tue Nov 26 17:40:45 2013 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up
Tue Nov 26 17:40:45 2013 C:\WINDOWS\system32\route.exe ADD XXX.XXX.XXX.XXX MASK 255.255.255.255 192.168.40.1
Tue Nov 26 17:40:45 2013 Route addition via IPAPI succeeded [adaptive]
Tue Nov 26 17:40:45 2013 C:\WINDOWS\system32\route.exe DELETE 0.0.0.0 MASK 0.0.0.0 192.168.40.1
Tue Nov 26 17:40:45 2013 Route deletion via IPAPI succeeded [adaptive]
Tue Nov 26 17:40:45 2013 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 0.0.0.0 192.168.10.1
Tue Nov 26 17:40:45 2013 Route addition via IPAPI succeeded [adaptive]
Tue Nov 26 17:40:45 2013 WARNING: potential route subnet conflict between local LAN [192.168.10.0/255.255.255.0] and remote VPN [192.168.10.0/255.255.255.0]
Tue Nov 26 17:40:45 2013 C:\WINDOWS\system32\route.exe ADD 192.168.10.0 MASK 255.255.255.0 192.168.10.1
Tue Nov 26 17:40:45 2013 Route addition via IPAPI succeeded [adaptive]
Tue Nov 26 17:40:45 2013 Initialization Sequence Completed
Win7

Код: Выделить всё

Tue Nov 26 17:33:02 2013 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.10.1,dhcp-option DNS xxx.xxx.xxx.1,dhcp-option DNS xxx.xxx.xxx.11,route-gateway 192.168.10.1,ping 10,ping-restart 120,route 192.168.10.0 255.255.255.0 192.168.10.1,ifconfig 192.168.10.50 255.255.255.0'
Tue Nov 26 17:33:02 2013 OPTIONS IMPORT: timers and/or timeouts modified
Tue Nov 26 17:33:02 2013 OPTIONS IMPORT: --ifconfig/up options modified
Tue Nov 26 17:33:02 2013 OPTIONS IMPORT: route options modified
Tue Nov 26 17:33:02 2013 OPTIONS IMPORT: route-related options modified
Tue Nov 26 17:33:02 2013 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Tue Nov 26 17:33:02 2013 ROUTE default_gateway=192.168.1.1
Tue Nov 26 17:33:02 2013 TAP-WIN32 device [OpenVPN] opened: \\.\Global\{6C48FC46-2C3B-4E57-B2A5-0672AFDCE1D9}.tap
Tue Nov 26 17:33:02 2013 TAP-Win32 Driver Version 9.9 
Tue Nov 26 17:33:02 2013 TAP-Win32 MTU=1500
Tue Nov 26 17:33:02 2013 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.10.50/255.255.255.0 on interface {6C48FC46-2C3B-4E57-B2A5-0672AFDCE1D9} [DHCP-serv: 192.168.10.0, lease-time: 31536000]
Tue Nov 26 17:33:02 2013 Successful ARP Flush on interface [17] {6C48FC46-2C3B-4E57-B2A5-0672AFDCE1D9}
Tue Nov 26 17:33:05 2013 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up
Tue Nov 26 17:33:05 2013 C:\WINDOWS\system32\route.exe ADD XXX.XXX.XXX.XXX MASK 255.255.255.255 192.168.1.1
Tue Nov 26 17:33:05 2013 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Tue Nov 26 17:33:05 2013 Route addition via IPAPI succeeded [adaptive]
Tue Nov 26 17:33:05 2013 C:\WINDOWS\system32\route.exe DELETE 0.0.0.0 MASK 0.0.0.0 192.168.1.1
Tue Nov 26 17:33:05 2013 Route deletion via IPAPI succeeded [adaptive]
Tue Nov 26 17:33:05 2013 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 0.0.0.0 192.168.10.1
Tue Nov 26 17:33:05 2013 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Tue Nov 26 17:33:05 2013 Route addition via IPAPI succeeded [adaptive]
Tue Nov 26 17:33:05 2013 WARNING: potential route subnet conflict between local LAN [192.168.10.0/255.255.255.0] and remote VPN [192.168.10.0/255.255.255.0]
Tue Nov 26 17:33:05 2013 C:\WINDOWS\system32\route.exe ADD 192.168.10.0 MASK 255.255.255.0 192.168.10.1
Tue Nov 26 17:33:05 2013 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Tue Nov 26 17:33:05 2013 Route addition via IPAPI succeeded [adaptive]
Tue Nov 26 17:33:05 2013 Initialization Sequence Completed
Что может быть причиной проблемы для Клиентов WinXP ???
Куда копать?
NAT - ?
Маршрутизация - WinXP ?
Need Tweaks TCPIP - WinXP ?

Спасибо!

PSdok
ст. сержант
Сообщения: 359
Зарегистрирован: 2006-10-05 18:27:56
Откуда: Нижний НОвгород

Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение PSdok » 2015-10-05 9:59:26

У меня подобная схема работает.
Но возникла такая задача, нужно чтобы из локальной сети одного филиала был доступ в локальную сеть другого филиала.
т.е. (согласно данной статьи) из сети 192.168.1.0/24 в 192.168.2.0/24
Из сети головного офиса (192.168.0.0/24) доступ в сеть филиалов есть.
С маршрутизатора филиала1 доступ в сеть филиала2 есть. А вот из сети филиала1 в сеть филиала2 доступа нет.

anxy
проходил мимо

Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение anxy » 2015-10-08 20:10:13

Здравствуйте!
А у меня такая проблема: есть уже настроенный до меня сервер и несколько клиентов. Потребовалось подключить еще одного клиента. Старые работают на pfsense, поэтому там конфиг подсмотреть не получается. Вот что у меня получилось:
сервер

Код: Выделить всё

port 1194
proto udp
dev tap
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
server 10.11.0.0 255.255.0.0
push "route 10.11.0.0 255.255.0.0"
push "route-gateway 10.11.0.1"
client-config-dir ccd
client-to-client
route 10.11.0.0 255.255.0.0
tls-server
tls-auth keys/ta.key 0
tls-timeout 120
auth MD5
cipher BF-CBC
keepalive 10 120
comp-lzo
max-clients 4000 
user nobody
group nobody
persist-key
 
клиент

Код: Выделить всё

client
dev tap
dev-node MyTap
proto udp
remote xxx.xxx.xxx.xxx 1194
nobind
persist-key
persist-tun
ca ca.crt
cert ber.crt
key ber.key
dh dh1024.pem
tls-client
tls-auth ber.key
auth MD5
cipher BF-CBC
remote-cert-tls server
comp-lzo
лог клиента
OpenVPN 2.1.3 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Aug 20 2010
NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Control Channel Authentication: using 'ber.key' as a free-form passphrase file
Outgoing Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Incoming Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
LZO compression initialized
Control Channel MTU parms [ L:1570 D:162 EF:62 EB:0 ET:0 EL:0 ]
Socket Buffers: R=[8192->8192] S=[8192->8192]
Data Channel MTU parms [ L:1570 D:1450 EF:38 EB:135 ET:32 EL:0 AF:3/1 ]
Local Options hash (VER=V4): 'd7af9020'
Expected Remote Options hash (VER=V4): 'b1d49974'
UDPv4 link local: [undef]
UDPv4 link remote: xxx.xxx.xxx.xxx:1194
на стороне сервера

Код: Выделить всё

Authenticate/Decrypt packet error: packet HMAC authentication failed
TLS Error: incoming packet authentication failed from zzz.zzz.zzz.zzz:53861
Не подключается ни с новыми ни со старыми сертификатами.

stepwar715
рядовой
Сообщения: 13
Зарегистрирован: 2015-06-08 10:35:12

Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение stepwar715 » 2015-10-19 11:09:50

undefined писал(а): Не подключается ни с новыми ни со старыми сертификатами.
блин у меня тоже беда такая не могу решить никак..причем я не особо на опыте только считай обучаюсь всему этому, не знаю что делать...

еще такой вопрос может немного не по теме, обнаружил для себя программку VPNGate в этой статье вопрос: можно ли как то сделать что бы она автоматически меняла IP, а не каждый раз приходилось самому кликать?