Обсуждение VPN сервера OpenVPN

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
koklushkin
мл. сержант
Сообщения: 85
Зарегистрирован: 2010-06-12 11:45:07

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение koklushkin » 2011-06-10 16:40:04

Ситация такая:
Надо получить доступ к 1С по терминалу через BSD8.1(pf+squid+openvpn(в качестве сервера на внешку)
WinXP OpenVPN client------>>Internet------->>FreeBSD + OpenVPN server+pf+squid+NAT--->>1C
192.168.20.8 -внешний
10.48.245.254 -внутренний (указан в качестве шлюза у локальных пользователей )

Связь по VPN устанавливается все ОК, машины пингуються но не все и в обозревателе сети ничего нет!
Через putty могу приконектиться к 10.48.245.254
route print с клиента:

Код: Выделить всё

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0   93.180.239.206  93.180.239.206       1
      10.10.100.0    255.255.255.0     10.10.100.13    10.10.100.14       1
     10.10.100.12  255.255.255.252     10.10.100.14    10.10.100.14       30
     10.10.100.14  255.255.255.255        127.0.0.1       127.0.0.1       30
      10.48.245.0    255.255.255.0     10.10.100.13    10.10.100.14       1
   10.255.255.255  255.255.255.255     10.10.100.14    10.10.100.14       30
   93.180.239.206  255.255.255.255        127.0.0.1       127.0.0.1       50
   93.255.255.255  255.255.255.255   93.180.239.206  93.180.239.206       50
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
   195.128.182.33  255.255.255.255   93.180.239.206  93.180.239.206       1
        224.0.0.0        240.0.0.0     10.10.100.14    10.10.100.14       30
        224.0.0.0        240.0.0.0   93.180.239.206  93.180.239.206       1
  255.255.255.255  255.255.255.255     10.10.100.14    10.10.100.14       1
  255.255.255.255  255.255.255.255   93.180.239.206  93.180.239.206       1
Основной шлюз:      93.180.239.206


pf.conf

Код: Выделить всё

ext_if="rl0"
int_if="re0"

icmp_types="{0,3,8,13,14,30}"
admin="10.48.245.200"


int_net="{10.0.0.0/8}"
tcp_out="25, 110, 443, 465, 3128, 21845, 5025, 5110, 995, 21555, 37777"

table <bruteforce> persist file "/var/log/bruteforce"

set block-policy drop
set skip on  { lo,tun0}
set timeout { frag 10, tcp.established 3600 }
set fingerprints "/etc/pf.os"
scrub in all fragment reassemble


nat on $ext_if from $int_net to !(self) -> ($ext_if)
block all
pass in quick on $ext_if inet proto {udp} from any to self port 1194
antispoof log quick for { lo0, $int_if, $ext_if }

block drop quick from <bruteforce>

pass in on $int_if  proto udp from $int_net  to any   port domain   queue qdns keep state

pass in quick on $int_if inet proto tcp from $int_net to any port { $tcp_out } keep state

pass in on $int_if proto tcp from { $admin } to $int_if  port ssh  queue ( qssh, qack ) synproxy state ( max-src-conn-rate 5/360, overload <bruteforce> flush

pass quick inet  proto icmp all icmp-type $icmp_types keep state

pass out on $ext_if   modulate state


пинговать получилось после того как добавил в

Код: Выделить всё

set skip on  { lo, tun0}
tun0!
Подскажите где у меня затуп?

ZemT
рядовой
Сообщения: 15
Зарегистрирован: 2011-05-05 9:56:39

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение ZemT » 2011-06-28 14:11:09

вопрос по askpass прозвучал, но ответа не было, пишите пожалуйста решения проблем которые озвучивали.
Автору огромное уважение и поклон! Я только учу FreeBSD, потому этот ресурс моя домашняя страница. Если кто сталкивался с проблемой ввода пароля на клиенте установленной FreeBSD в этом месте +--------------------------------------------------------------------+
| Options for openvpn 2.1.4 |
| +----------------------------------------------------------------+ |
| | [Х] PW_SAVE Interactive passwords may be read from a file | |
| | [ ] PKCS11 Use security/pkcs11-helper | |
| | | |
| | | |
| | | |
| | | |
| | | |
+-+------v(+)------------------------------------------------------+-+
| [ OK ] Cancel |
+--------------------------------------------------------------------+
ставьте галку, тогда в конфиге askpass будет работать, иначе 0. На линукс машинах при конфигурации ставим ./configure -enable-password-save, если ошибился, поправьте, я не русский.

ZemT
рядовой
Сообщения: 15
Зарегистрирован: 2011-05-05 9:56:39

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение ZemT » 2011-06-30 13:18:02

Помогите решить проблему. ip ЦО 192.168.0.0, ip Филиала 192.168.10.0, из ЦО все видно и пингуется, а вот из филиала только внутренный ip шлюза Цо, т.е 192.168.0.1. Я так понимаю не в роутингах дело, ведь пинг проходит на внутренний ip, на обоих шлюза gateway_enable="YES" стоит. У кого есть мысли отпишитесь пожалуйста. Кстати, с шлюза филиала 192.168.10.1 пинги в сторону ЦО тоже не идут, только на 192,168,0,1.

ZemT
рядовой
Сообщения: 15
Зарегистрирован: 2011-05-05 9:56:39

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение ZemT » 2011-06-30 15:44:53

ZemT писал(а):Помогите решить проблему. ip ЦО 192.168.0.0, ip Филиала 192.168.10.0, из ЦО все видно и пингуется, а вот из филиала только внутренный ip шлюза Цо, т.е 192.168.0.1. Я так понимаю не в роутингах дело, ведь пинг проходит на внутренний ip, на обоих шлюза gateway_enable="YES" стоит. У кого есть мысли отпишитесь пожалуйста. Кстати, с шлюза филиала 192.168.10.1 пинги в сторону ЦО тоже не идут, только на 192,168,0,1.

Тут отбой, пошел выспался, вымылся, нормально поел, и на свежую голову проследил пути в сети. То что описывал естественно тестовый вариант, в реальных офисах пытать никто не даст, а у меня все просто, ПК в ЦО просто стоял за роутером.

koklushkin
мл. сержант
Сообщения: 85
Зарегистрирован: 2010-06-12 11:45:07

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение koklushkin » 2011-08-02 10:05:15

в статью можно добавить :

Код: Выделить всё

auth-nocache SHA1 вместо auth SHA1
в этом пункте

Код: Выделить всё

dev tun
proto udp
remote 86.86.ххx.x
port 1194
client
resolv-retry infinite
pkcs12 sysadmin.p12
tls-client
tls-auth ta.key 1
[u]auth SHA1[/u]
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
verb 3

что бы не попадало в кэш и не сыпалось сообщение

Код: Выделить всё

"WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this"

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2011-08-02 10:11:52

Так а с чем это связанно ?

koklushkin
мл. сержант
Сообщения: 85
Зарегистрирован: 2010-06-12 11:45:07

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение koklushkin » 2011-08-02 10:31:20

изменяем конфиговый файл с расширением ovpn
вот этот пунтк

Код: Выделить всё

Далее создаем конфиг C:\Program Files\OpenVPN\config\sysadmin.ovpn

Код: Выделить всё

dev tun
proto udp
remote 86.86.ххx.x
port 1194
client
resolv-retry infinite
pkcs12 sysadmin.p12
tls-client
tls-auth ta.key 1
auth SHA1----->на---->>> auth-nocache SHA1
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
verb 3

при следующем конекте сообщение не выпадает

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2011-08-02 10:46:46

http://ru-macosx.livejournal.com/221082.html
Сталкивался, вроде.
Шел читать маилинг листы и мануалы от опенвпна.
Для начала стоит сверить время на сервере и машинке.
Проверяйте наличие всего барахла(ключей и сертификатов в дирах) которые указали.
И еще конфиги давайте
И с сервера и с клиента.
Но перед тем как писать сюда еще раз, настоятельно рекомендую прочитать то, что Вам предлагает сам опенвпн:http://openvpn.net/howto.html#mitm

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2011-08-02 11:24:48

Да и дайте пожалуйста больше лога посмотреть хочется что он пишет

koklushkin
мл. сержант
Сообщения: 85
Зарегистрирован: 2010-06-12 11:45:07

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение koklushkin » 2011-08-02 11:42:40

auth SHA1:

Код: Выделить всё

Tue Aug 02 11:30:51 2011 OpenVPN 2.2.0 Win32-MSVC++ [SSL] [LZO2] built on Apr 26 2011
Tue Aug 02 11:30:51 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Aug 02 11:30:58 2011 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue Aug 02 11:30:58 2011 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Tue Aug 02 11:30:58 2011 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Aug 02 11:30:58 2011 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Aug 02 11:30:58 2011 LZO compression initialized
Tue Aug 02 11:30:58 2011 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Tue Aug 02 11:30:58 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue Aug 02 11:30:58 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Aug 02 11:30:58 2011 Local Options hash (VER=V4): '504e774e'
Tue Aug 02 11:30:58 2011 Expected Remote Options hash (VER=V4): '14168603'
Tue Aug 02 11:30:58 2011 UDPv4 link local (bound): [undef]:1194
Tue Aug 02 11:30:58 2011 UDPv4 link remote: xx.x.x.x.x.x.:1194
Tue Aug 02 11:30:58 2011 TLS: Initial packet from x.x.x.x.x.x:1194, sid=efe54761 883daf90
Tue Aug 02 11:31:00 2011 VERIFY OK: depth=1, /C=UA/ST=xxx/L=xxx/O=server/OU=server/CN=server/name=server/emailAddress=root@localhost
Tue Aug 02 11:31:00 2011 VERIFY OK: nsCertType=SERVER
Tue Aug 02 11:31:00 2011 VERIFY OK: depth=0, /C=UA/ST=xxx/L=xxx/O=server/OU=server/CN=server/name=server/emailAddress=root@localhost
Tue Aug 02 11:31:03 2011 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Aug 02 11:31:03 2011 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Aug 02 11:31:03 2011 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Aug 02 11:31:03 2011 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Aug 02 11:31:03 2011 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Tue Aug 02 11:31:03 2011 [server] Peer Connection Initiated with x.x.x.x.x.x.x:1194
Tue Aug 02 11:31:05 2011 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Tue Aug 02 11:31:05 2011 PUSH: Received control message: 'PUSH_REPLY,route 10.48.245.0 255.255.255.0,route 10.10.100.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.10.100.14 10.10.100.13'
Tue Aug 02 11:31:05 2011 OPTIONS IMPORT: timers and/or timeouts modified
Tue Aug 02 11:31:05 2011 OPTIONS IMPORT: --ifconfig/up options modified
Tue Aug 02 11:31:05 2011 OPTIONS IMPORT: route options modified
Tue Aug 02 11:31:05 2011 ROUTE default_gateway=x.x.x.x.x.x.x
Tue Aug 02 11:31:05 2011 TAP-WIN32 device [Подключение по локальной сети 3] opened: \\.\Global\{1DFB42F2-6926-4FCD-8ADD-9326B08F11A2}.tap
Tue Aug 02 11:31:05 2011 TAP-Win32 Driver Version 9.8
Tue Aug 02 11:31:05 2011 TAP-Win32 MTU=1500
Tue Aug 02 11:31:05 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.10.100.14/255.255.255.252 on interface {1DFB42F2-6926-4FCD-8ADD-9326B08F11A2} [DHCP-serv: 10.10.100.13, lease-time: 31536000]
Tue Aug 02 11:31:05 2011 Successful ARP Flush on interface [2] {1DFB42F2-6926-4FCD-8ADD-9326B08F11A2}
Tue Aug 02 11:31:10 2011 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Tue Aug 02 11:31:10 2011 C:\WINDOWS\system32\route.exe ADD 10.48.245.0 MASK 255.255.255.0 10.10.100.13
Tue Aug 02 11:31:10 2011 Route addition via IPAPI succeeded [adaptive]
Tue Aug 02 11:31:10 2011 C:\WINDOWS\system32\route.exe ADD 10.10.100.0 MASK 255.255.255.0 10.10.100.13
Tue Aug 02 11:31:10 2011 Route addition via IPAPI succeeded [adaptive]
Tue Aug 02 11:31:10 2011 Initialization Sequence Completed

auth-nocache SHA1:

Код: Выделить всё

Tue Aug 02 11:28:57 2011 OpenVPN 2.2.0 Win32-MSVC++ [SSL] [LZO2] built on Apr 26 2011
Tue Aug 02 11:28:57 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Aug 02 11:29:08 2011 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Tue Aug 02 11:29:08 2011 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Aug 02 11:29:08 2011 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Aug 02 11:29:08 2011 LZO compression initialized
Tue Aug 02 11:29:08 2011 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Tue Aug 02 11:29:08 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue Aug 02 11:29:08 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Aug 02 11:29:08 2011 Local Options hash (VER=V4): '504e774e'
Tue Aug 02 11:29:08 2011 Expected Remote Options hash (VER=V4): '14168603'
Tue Aug 02 11:29:08 2011 UDPv4 link local (bound): [undef]:1194
Tue Aug 02 11:29:08 2011 UDPv4 link remote: x.x.x.x.x.x:1194
Tue Aug 02 11:29:10 2011 TLS: Initial packet from x.x.x.x.x.x:1194, sid=000ae1d9 b6d56be2
Tue Aug 02 11:29:12 2011 VERIFY OK: depth=1, /C=UA/ST=xxx/L=xxx/O=xxx/OU=xxx/CN=server/name=server/emailAddress=root@localhost
Tue Aug 02 11:29:12 2011 VERIFY OK: nsCertType=SERVER
Tue Aug 02 11:29:12 2011 VERIFY OK: depth=0, /C=UA/ST=xxx/L=xxx/O=server/OU=server/CN=server/name=server/emailAddress=root@localhost
Tue Aug 02 11:29:15 2011 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Aug 02 11:29:15 2011 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Aug 02 11:29:15 2011 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Aug 02 11:29:15 2011 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Aug 02 11:29:15 2011 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Tue Aug 02 11:29:15 2011 [server] Peer Connection Initiated with x.x.x.x.x.x:1194
Tue Aug 02 11:29:18 2011 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Tue Aug 02 11:29:18 2011 PUSH: Received control message: 'PUSH_REPLY,route 10.48.245.0 255.255.255.0,route 10.10.100.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.10.100.14 10.10.100.13'
Tue Aug 02 11:29:18 2011 OPTIONS IMPORT: timers and/or timeouts modified
Tue Aug 02 11:29:18 2011 OPTIONS IMPORT: --ifconfig/up options modified
Tue Aug 02 11:29:18 2011 OPTIONS IMPORT: route options modified
Tue Aug 02 11:29:18 2011 ROUTE default_gateway=x.x.x.x.x.x
Tue Aug 02 11:29:18 2011 TAP-WIN32 device [Подключение по локальной сети 3] opened: \\.\Global\{1DFB42F2-6926-4FCD-8ADD-9326B08F11A2}.tap
Tue Aug 02 11:29:18 2011 TAP-Win32 Driver Version 9.8
Tue Aug 02 11:29:18 2011 TAP-Win32 MTU=1500
Tue Aug 02 11:29:18 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.10.100.14/255.255.255.252 on interface {1DFB42F2-6926-4FCD-8ADD-9326B08F11A2} [DHCP-serv: 10.10.100.13, lease-time: 31536000]
Tue Aug 02 11:29:18 2011 Successful ARP Flush on interface [2] {1DFB42F2-6926-4FCD-8ADD-9326B08F11A2}
Tue Aug 02 11:29:23 2011 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Tue Aug 02 11:29:23 2011 Route: Waiting for TUN/TAP interface to come up...
Tue Aug 02 11:29:28 2011 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Tue Aug 02 11:29:28 2011 C:\WINDOWS\system32\route.exe ADD 10.48.245.0 MASK 255.255.255.0 10.10.100.13
Tue Aug 02 11:29:28 2011 Route addition via IPAPI succeeded [adaptive]
Tue Aug 02 11:29:28 2011 C:\WINDOWS\system32\route.exe ADD 10.10.100.0 MASK 255.255.255.0 10.10.100.13
Tue Aug 02 11:29:28 2011 Route addition via IPAPI succeeded [adaptive]
Tue Aug 02 11:29:28 2011 Initialization Sequence Completed

Все отлично работает !

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2011-08-02 11:51:07

попробуйте клента обновить до последней версии
http://swupdate.openvpn.net/community/r ... nstall.exe

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2011-08-02 11:53:59

Вы используете topology ?

ZemT
рядовой
Сообщения: 15
Зарегистрирован: 2011-05-05 9:56:39

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение ZemT » 2011-08-18 7:15:23

Помогите пожалуйста, возникла проблема, рвется vpn сеть, в сети только сервер и 1 клиент, на клиенте примерно 1-2 раза в день рвется соединение, потом в логах идет попытка подключения, ошибки, хотя пинги и телнеты по портам на сервер идут. На сервере вообще тишина, в логах чисто, а tcpdump говорит что нет запросов на порт опенвпн. Помогает перезагрузка модема на клиенте, и пользователи обнаружили что еще и перезагрузка шлюза. Есть у кого идеи?

Аватара пользователя
Gamerman
капитан
Сообщения: 1715
Зарегистрирован: 2009-05-17 21:01:23
Откуда: Украина, Ужгород - Днепр
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Gamerman » 2011-08-18 9:01:22

Похоже, что устаревает НАТ. В параметрах укажите, чтобы клиент пакеты слал на сервер постоянно через определенное время.
Глюк глюком вышибают!

ZemT
рядовой
Сообщения: 15
Зарегистрирован: 2011-05-05 9:56:39

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение ZemT » 2011-08-18 18:25:25

Проверка проходит раз в час, по логам видно. Но если это критично, то ipfw нат в ядро не вкомпилен, исправил недавно, был глюк, грешу на телефонную сеть.

ZemT
рядовой
Сообщения: 15
Зарегистрирован: 2011-05-05 9:56:39

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение ZemT » 2011-09-14 11:55:09

Проблема с разрывами осталась, интернет есть, но vpn рвется. логи сервера-клиента на протоколе tcp:
сервер

Код: Выделить всё

Wed Sep 14 14:30:04 2011 MULTI: multi_create_instance called
Wed Sep 14 14:30:04 2011 Re-using SSL/TLS context
Wed Sep 14 14:30:04 2011 LZO compression initialized
Wed Sep 14 14:30:04 2011 Control Channel MTU parms [ L:1544 D:168 EF:68 EB:0 ET:0 EL:0 ]
Wed Sep 14 14:30:04 2011 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Sep 14 14:30:04 2011 Local Options hash (VER=V4): 'bd577cd1'
Wed Sep 14 14:30:04 2011 Expected Remote Options hash (VER=V4): 'ee93268d'
Wed Sep 14 14:30:04 2011 TCP connection established with 95.57.147.206:25559
Wed Sep 14 14:30:04 2011 TCPv4_SERVER link local: [undef]
Wed Sep 14 14:30:04 2011 TCPv4_SERVER link remote: 95.57.147.206:25559
Wed Sep 14 14:30:05 2011 95.57.147.206:25559 TLS: Initial packet from 95.57.147.206:25559, sid=f130115d a590a92a
Wed Sep 14 14:30:06 2011 95.57.147.206:25559 VERIFY OK: depth=1, /C=KZ/ST=KZ/L=kostanay/O=kostanay/OU=server/CN=server/name=server/emailAddress=root@localhost
Wed Sep 14 14:30:06 2011 95.57.147.206:25559 VERIFY OK: depth=0, /C=KZ/ST=KZ/L=kostanay/O=kostanay/OU=filial1/CN=filial1/name=filial1/emailAddress=filial1@localhost
Wed Sep 14 14:30:07 2011 95.57.147.206:25559 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 14 14:30:07 2011 95.57.147.206:25559 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 14 14:30:07 2011 95.57.147.206:25559 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 14 14:30:07 2011 95.57.147.206:25559 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 14 14:30:07 2011 95.57.147.206:25559 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Sep 14 14:30:07 2011 95.57.147.206:25559 [filial1] Peer Connection Initiated with 95.57.147.206:25559
Wed Sep 14 14:30:07 2011 filial1/95.57.147.206:25559 TCP/UDP: Closing socket
Wed Sep 14 14:30:07 2011 MULTI: new connection by client 'filial1' will cause previous active sessions by this client to be dropped.  Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
Wed Sep 14 14:30:07 2011 OPTIONS IMPORT: reading client specific options from: ccd/filial1
Wed Sep 14 14:30:07 2011 MULTI: Learn: 10.10.100.2 -> filial1/95.57.147.206:25559
Wed Sep 14 14:30:07 2011 MULTI: primary virtual IP for filial1/95.57.147.206:25559: 10.10.100.2
Wed Sep 14 14:30:07 2011 MULTI: internal route 192.168.10.0/24 -> filial1/95.57.147.206:25559
Wed Sep 14 14:30:07 2011 MULTI: Learn: 192.168.10.0/24 -> filial1/95.57.147.206:25559
Wed Sep 14 14:30:07 2011 REMOVE PUSH ROUTE: 'route 192.168.10.0 255.255.255.0'
Wed Sep 14 14:30:08 2011 sysadmin/178.90.131.135:45451 MULTI: Learn: 192.168.10.1 -> filial1/95.57.147.206:25559
Wed Sep 14 14:30:09 2011 filial1/95.57.147.206:25559 PUSH: Received control message: 'PUSH_REQUEST'
Wed Sep 14 14:30:09 2011 filial1/95.57.147.206:25559 SENT CONTROL [filial1]: 'PUSH_REPLY,dhcp-option DNS 192.168.0.1,dhcp-option DNS 192.168.0.10,dhcp-option WINS 192.168.0.1,route 192.168.0.0 255.255.255.0,route 192.168.2.0 255.255.255.0,route 192.168.3.0 255.255.255.0,route 10.10.100.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.10.100.2 10.10.100.1' (status=1)

в это время на клиенте:

Код: Выделить всё

Wed Sep 14 14:19:33 2011 Initialization Sequence Completed
Wed Sep 14 14:29:52 2011 [server] Inactivity timeout (--ping-restart), restarting
Wed Sep 14 14:29:52 2011 TCP/UDP: Closing socket
Wed Sep 14 14:29:52 2011 SIGUSR1[soft,ping-restart] received, process restarting
Wed Sep 14 14:29:52 2011 Restart pause, 5 second(s)
Wed Sep 14 14:29:57 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Sep 14 14:29:57 2011 Re-using SSL/TLS context
Wed Sep 14 14:29:57 2011 LZO compression initialized
Wed Sep 14 14:29:57 2011 Control Channel MTU parms [ L:1544 D:168 EF:68 EB:0 ET:0 EL:0 ]
Wed Sep 14 14:29:57 2011 Socket Buffers: R=[65536->65536] S=[32768->65536]
Wed Sep 14 14:29:57 2011 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Sep 14 14:29:57 2011 Local Options hash (VER=V4): 'ee93268d'
Wed Sep 14 14:29:57 2011 Expected Remote Options hash (VER=V4): 'bd577cd1'
Wed Sep 14 14:29:57 2011 Attempting to establish TCP connection with 95.57.140.241:1194 [nonblock]
Wed Sep 14 14:29:58 2011 TCP connection established with 95.57.140.241:1194
Wed Sep 14 14:29:58 2011 TCPv4_CLIENT link local: [undef]
Wed Sep 14 14:29:58 2011 TCPv4_CLIENT link remote: 95.57.140.241:1194
Wed Sep 14 14:29:58 2011 TLS: Initial packet from 95.57.140.241:1194, sid=cde22704 221ebcc8
Wed Sep 14 14:29:59 2011 VERIFY OK: depth=1, /C=KZ/ST=KZ/L=kostanay/O=kostanay/OU=server/CN=server/name=server/emailAddress=root@localhost
Wed Sep 14 14:29:59 2011 VERIFY OK: nsCertType=SERVER
Wed Sep 14 14:29:59 2011 VERIFY OK: depth=0, /C=KZ/ST=KZ/L=kostanay/O=kostanay/OU=server/CN=server/name=server/emailAddress=server@localhost
Wed Sep 14 14:30:00 2011 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 14 14:30:00 2011 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 14 14:30:00 2011 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 14 14:30:00 2011 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 14 14:30:00 2011 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Sep 14 14:30:00 2011 [server] Peer Connection Initiated with 95.57.140.241:1194
Wed Sep 14 14:30:02 2011 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Sep 14 14:30:02 2011 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 192.168.0.1,dhcp-option DNS 192.168.0.10,dhcp-option WINS 192.168.0.1,route 192.168.0.0 255.255.255.0,route 192.168.2.0 255.255.255.0,route 192.168.3.0 255.255.255.0,route 10.10.100.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.10.100.2 10.10.100.1'
Wed Sep 14 14:30:02 2011 OPTIONS IMPORT: timers and/or timeouts modified
Wed Sep 14 14:30:02 2011 OPTIONS IMPORT: --ifconfig/up options modified
Wed Sep 14 14:30:02 2011 OPTIONS IMPORT: route options modified
Wed Sep 14 14:30:02 2011 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Wed Sep 14 14:30:02 2011 Preserving previous TUN/TAP instance: tun0
Wed Sep 14 14:30:02 2011 Initialization Sequence Completed

если пробовать на udp то на сервере:

Код: Выделить всё

Wed Sep 14 12:58:02 2011 95.59.149.119:1194 Expected Remote Options hash (VER=V4): '504e774e'
Wed Sep 14 12:58:02 2011 95.59.149.119:1194 TLS: Initial packet from 95.59.149.119:1194, sid=f4270e49 dca24f15
Wed Sep 14 12:59:02 2011 95.59.149.119:1194 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Sep 14 12:59:02 2011 95.59.149.119:1194 TLS Error: TLS handshake failed
Wed Sep 14 12:59:02 2011 95.5:9.149.119:1194 SIGUSR1[soft,tls-error] received, client-instance restarting
Wed Sep 14 12:59:04 2011 MULTI: multi_create_instance called
Wed Sep 14 12:59:04 2011 95.59.149.119:1194 Re-using SSL/TLS context
Wed Sep 14 12:59:04 2011 95.59.149.119:1194 LZO compression initialized
Wed Sep 14 12:59:04 2011 95.59.149.119:1194 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Wed Sep 14 12:59:04 2011 95.59.149.119:1194 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Sep 14 12:59:04 2011 95.59.149.119:1194 Local Options hash (VER=V4): '14168603'
Wed Sep 14 12:59:04 2011 95.59.149.119:1194 Expected Remote Options hash (VER=V4): '504e774e'
Wed Sep 14 12:59:04 2011 95.59.149.119:1194 TLS: Initial packet from 95.59.149.119:1194, sid=02701c53 3baf3f45

на клиенте:

Код: Выделить всё

Wed Sep 14 12:55:51 2011 UDPv4 link remote: 95.57.140.241:1194
Wed Sep 14 12:56:51 2011 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Sep 14 12:56:51 2011 TLS Error: TLS handshake failed
Wed Sep 14 12:56:51 2011 TCP/UDP: Closing socket
Wed Sep 14 12:56:51 2011 SIGUSR1[soft,tls-error] received, process restarting
Wed Sep 14 12:56:51 2011 Restart pause, 2 second(s)
Wed Sep 14 12:56:53 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Sep 14 12:56:53 2011 Re-using SSL/TLS context
Wed Sep 14 12:56:53 2011 LZO compression initialized
Wed Sep 14 12:56:53 2011 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Wed Sep 14 12:56:53 2011 Socket Buffers: R=[42080->65536] S=[9216->65536]
Wed Sep 14 12:56:53 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Sep 14 12:56:53 2011 Local Options hash (VER=V4): '504e774e'Wed Sep 14 12:56:53 2011 Expected Remote Options hash (VER=V4): '14168603'
Wed Sep 14 12:56:53 2011 UDPv4 link local (bound): [undef]:1194
Wed Sep 14 12:56:53 2011 UDPv4 link remote: 95.57.140.241:1194

перешел на tcp так как переподключается, с udp если произошел разрыв переподключение тугое. Тут из логов видно что через udp вообще не удалось, а файрволах все разрешено, сервер клиент freebsd 8.1+ipfw. Еще пинги в стороне сервера есть, а вот за клиентским гейтом ничего не видно. конфиги слизаны со статьи. Я сижу на ubuntu linux vpn не рвется, все отлично. на всякий случай конфиг клиента и сервера.
сервер

Код: Выделить всё

cat /letc/openvpn/server.conf
port 1194
proto tcp
dev tun0
management localhost 8329
management 192.168.0.1 8329
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh2048.pem
server 10.10.100.0 255.255.255.0
push "dhcp-option DNS 192.168.0.1"
push "dhcp-option DNS 192.168.0.10"
push "dhcp-option WINS 192.168.0.1"
push "route 192.168.0.0 255.255.255.0"
push "route 192.168.10.0 255.255.255.0"
push "route 192.168.3.0 255.255.255.0"
client-config-dir ccd
route 10.10.100.0 255.255.255.252
route 192.168.10.0 255.255.255.0
client-to-client
tls-server
tls-auth keys/ta.key 0
tls-timeout 120
auth SHA1
cipher BF-CBC
keepalive 10 120
comp-lzo
max-clients 100
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3
#mute 20

клиент:

Код: Выделить всё

cat /letc/openvpn/filial1.conf
dev tun
proto tcp
remote ххх.ххх.ххх.ххх
port 1194
client
resolv-retry infinite
pkcs12 keys/filial1.p12
tls-client
tls-auth keys/ta.key 1
auth SHA1
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3
askpass /usr/local/pass

Помогите мыслями, сам не могу победить, может у кого была такая проблема

ZemT
рядовой
Сообщения: 15
Зарегистрирован: 2011-05-05 9:56:39

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение ZemT » 2011-09-14 12:26:37

замечание по выше написанному вопросу, при попытке подключить 1С на терминальном сервере через Remote App пропадает vpn, впн на 1194 tcp, терминал на стандартном rdp если поможет видео http://www.youtube.com/watch?v=9u5gQMFvbmc

ZemT
рядовой
Сообщения: 15
Зарегистрирован: 2011-05-05 9:56:39

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение ZemT » 2011-10-24 21:13:27

Знающие люди, и те кто мысли думает, опять прошу помощи, рвется опенвпн. почемуто ближе к 14 часам дня, несколько раз, бывает за час раз 5-6. Ночью все как часы, в логах полный порядок. Днем проблем много. Мои догадки, клиент шлет пакеты (keepalive 10 120) но сервер молчит, не отвечает

Код: Выделить всё

Mon Oct 24 17:19:44 2011 us=349852 TCPv4_CLIENT WRITE [197] to 92.47.37.168:1194: P_DATA_V1 kid=2 DATA len=196
Mon Oct 24 17:19:44 2011 us=392943 TCPv4_CLIENT READ [77] from 92.47.37.168:1194: P_DATA_V1 kid=2 DATA len=76
Mon Oct 24 17:19:44 2011 us=392973 TUN WRITE [40]
Mon Oct 24 17:19:44 2011 us=893784 TUN READ [93]
Mon Oct 24 17:19:44 2011 us=893865 TCPv4_CLIENT WRITE [133] to 92.47.37.168:1194: P_DATA_V1 kid=2 DATA len=132
Mon Oct 24 17:19:45 2011 us=77795 TUN READ [125]
Mon Oct 24 17:19:45 2011 us=77872 TCPv4_CLIENT WRITE [165] to 92.47.37.168:1194: P_DATA_V1 kid=2 DATA len=164
Mon Oct 24 17:19:45 2011 us=106454 TCPv4_CLIENT READ [77] from 92.47.37.168:1194: P_DATA_V1 kid=2 DATA len=76
Mon Oct 24 17:19:45 2011 us=106510 TUN WRITE [40]
Mon Oct 24 17:19:45 2011 us=189788 TUN READ [157]
Mon Oct 24 17:19:45 2011 us=189885 TCPv4_CLIENT WRITE [197] to 92.47.37.168:1194: P_DATA_V1 kid=2 DATA len=196
Mon Oct 24 17:19:45 2011 us=301843 TUN READ [173]
Mon Oct 24 17:19:45 2011 us=301903 TCPv4_CLIENT WRITE [213] to 92.47.37.168:1194: P_DATA_V1 kid=2 DATA len=212
Mon Oct 24 17:19:45 2011 us=405739 TUN READ [173]
Mon Oct 24 17:19:45 2011 us=405820 TCPv4_CLIENT WRITE [213] to 92.47.37.168:1194: P_DATA_V1 kid=2 DATA len=212
Mon Oct 24 17:19:45 2011 us=525868 TUN READ [173]
Mon Oct 24 17:19:45 2011 us=525925 TCPv4_CLIENT WRITE [213] to 92.47.37.168:1194: P_DATA_V1 kid=2 DATA len=212
Mon Oct 24 17:19:45 2011 us=629842 TUN READ [157]
Mon Oct 24 17:19:45 2011 us=629904 TCPv4_CLIENT WRITE [197] to 92.47.37.168:1194: P_DATA_V1 kid=2 DATA len=196
Mon Oct 24 17:19:45 2011 us=733863 TUN READ [141]
Mon Oct 24 17:19:45 2011 us=733935 TCPv4_CLIENT WRITE [181] to 92.47.37.168:1194: P_DATA_V1 kid=2 DATA len=180
Mon Oct 24 17:19:45 2011 us=747958 TUN READ [774]
Mon Oct 24 17:19:45 2011 us=748032 TCPv4_CLIENT WRITE [813] to 92.47.37.168:1194: P_DATA_V1 kid=2 DATA len=812
Mon Oct 24 17:19:45 2011 us=845759 TUN READ [125]
Mon Oct 24 17:19:45 2011 us=845796 TCPv4_CLIENT WRITE [165] to 92.47.37.168:1194: P_DATA_V1 kid=2 DATA len=164
Mon Oct 24 17:19:45 2011 us=957758 TUN READ [93]
Mon Oct 24 17:19:45 2011 us=957789 TCPv4_CLIENT WRITE [133] to 92.47.37.168:1194: P_DATA_V1 kid=2 DATA len=132[size=85][/size]

после 120 сек реконект, хотя в это время на сервере

Код: Выделить всё

Mon Oct 24 17:19:52 2011 us=125865  read from TUN/TAP returned 433
Mon Oct 24 17:19:52 2011 us=125887 GET INST BY VIRT: 10.10.100.10 -> sysadmin/95.57.140.184:46539 via 10.10.100.10
Mon Oct 24 17:19:52 2011 us=125900 sysadmin/95.57.140.184:46539 TUN READ [433]
Mon Oct 24 17:19:52 2011 us=125912 sysadmin/95.57.140.184:46539 lzo_adaptive_compress_test: comp=248 total=243
Mon Oct 24 17:19:52 2011 us=125927 sysadmin/95.57.140.184:46539 compress 433 -> 439
Mon Oct 24 17:19:52 2011 us=125938 sysadmin/95.57.140.184:46539 TLS: tls_pre_encrypt: key_id=0
Mon Oct 24 17:19:52 2011 us=125962 sysadmin/95.57.140.184:46539 ENCRYPT IV: b8e98406 e66fba7f
Mon Oct 24 17:19:52 2011 us=126088 sysadmin/95.57.140.184:46539 ENCRYPT FROM: 0000091d fa450001 b1682d40 004006a2 5cc0a800 010a0a64 0a1466dd 7c34020[more...]
Mon Oct 24 17:19:52 2011 us=126226 sysadmin/95.57.140.184:46539 ENCRYPT TO: b8e98406 e66fba7f a4a068fc 39b3b8cd 647daef3 4cb4e537 1e8ef579 8d23cd4[more...]
Mon Oct 24 17:19:52 2011 us=126247 MULTI TCP: multi_tcp_post TA_TUN_READ -> TA_SOCKET_WRITE
Mon Oct 24 17:19:52 2011 us=126257 MULTI TCP: multi_tcp_action a=TA_SOCKET_WRITE p=1
Mon Oct 24 17:19:52 2011 us=126268 MULTI TCP: multi_tcp_wait_lite a=TA_SOCKET_WRITE mi=0x28488300
Mon Oct 24 17:19:52 2011 us=126279 PO_CTL rwflags=0x0002 ev=6 arg=0x080be2cc
Mon Oct 24 17:19:52 2011 us=126289 PO_CTL rwflags=0x0001 ev=5 arg=0x080bd068
Mon Oct 24 17:19:52 2011 us=126303 I/O WAIT TR|Tw|Sr|SW [0/0]
Mon Oct 24 17:19:52 2011 us=126316 PO_WAIT[0,0] fd=6 rev=0x00000004 rwflags=0x0002 arg=0x080be2cc
Mon Oct 24 17:19:52 2011 us=126327  event_wait returned 1
Mon Oct 24 17:19:52 2011 us=126337 I/O WAIT status=0x0002
Mon Oct 24 17:19:52 2011 us=126347 MULTI TCP: multi_tcp_dispatch a=TA_SOCKET_WRITE mi=0x28488300
Mon Oct 24 17:19:52 2011 us=126486 sysadmin/95.57.140.184:46539 TCPv4_SERVER WRITE [469] to 95.57.140.184:46539: P_DATA_V1 kid=0 DATA 86750868 c16804ff 2b749858 711013a9 b6d087b3 b8e98406 e66fba7f a4a068f[more...]
Mon Oct 24 17:19:52 2011 us=126496 sysadmin/95.57.140.184:46539 STREAM: WRITE 469 offset=151
Mon Oct 24 17:19:52 2011 us=126515 sysadmin/95.57.140.184:46539 TCPv4_SERVER write returned 471
Mon Oct 24 17:19:52 2011 us=126529 STREAM: SET NEXT, buf=[180,0] next=[180,1544] len=-1 maxlen=1544
Mon Oct 24 17:19:52 2011 us=126539 MULTI TCP: multi_tcp_post TA_SOCKET_WRITE -> TA_UNDEF

как я понял пакеты доходят, но клиент их не видит и потому реконект. почему так может быть?

ZemT
рядовой
Сообщения: 15
Зарегистрирован: 2011-05-05 9:56:39

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение ZemT » 2011-10-24 21:24:16

разница во времени 44 сек, сервер отстает от клиента

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2011-10-24 22:25:26

Врубай отладку на 9

ZemT
рядовой
Сообщения: 15
Зарегистрирован: 2011-05-05 9:56:39

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение ZemT » 2011-11-05 5:10:55

Пришло время на ответы по моим вопросам. Если у кого будет такое может и поможет. Разрывы vpn у меня были из-за сертификатов, они у меня с паролями и в конфиге клиента прописан askpass и файл с паролем, через некоторое время на сервере в логах выходит Fatal erorr по поводу сертификатов, и он посылает команду restart на клиента, решение: поставил сертификат без пароля, не рвется. Еще, провайдер "Казахтелеком", в целях защиты меняет ip раз в сутки на стороне клиента, то есть разрыв соединения adsl , в результате 2 разрыва в день. Решение: круглосуточная работа модемов, и перезагрузка их в не рабочее время. По поводу видео, vpn рвется при высокой нагрузке канала, проблема не решена, просто нагрузка 1-2% на канал.

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1280
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение dekloper » 2012-02-09 1:15:32

а возможно "упростить" задачу?
тоесть, надо убрать филиалы с их внутренними сетками (192.168.1-3.0/24), доступ нужен только в корпоративку (192.168.0.0/24)?
что вобщем то, я сделал
но грабля в следующем, я "сделал" еще одного одмина, с такими настройками в ccd:

Код: Выделить всё

#cat /usr/local/etc/openvpn/ccd/admin1
ifconfig-push 10.10.100.2 10.10.100.1
#cat /usr/local/etc/openvpn/ccd/admin2
ifconfig-push 10.10.100.6 10.10.100.5

с первым всё хорошо, всё ходит и туда-сюда и сюда-туда
ок, отключаемся первым, цепляемся вторым
пинг сервака по 10.10.100.5 не идет..

Код: Выделить всё

C:\Users\user>tracert 10.10.100.5

Трассировка маршрута к 10.10.100.5 с максимальным числом прыжков 30

  1    93 ms    87 ms    88 ms  10.10.100.1
  2     *        *        *     Превышен интервал ожидания для запроса.

с сервера 2-го одмина тоже не видать по 10.10.100.6

Код: Выделить всё

%traceroute 10.10.100.6
traceroute to 10.10.100.6 (10.10.100.6), 64 hops max, 52 byte packets
 1  10.10.100.6 (10.10.100.6)  91.313 ms *  1207.100 ms
%ping 10.10.100.6
PING 10.10.100.6 (10.10.100.6): 56 data bytes

чота с обратным маршрутом и на клиенте и на сервере..
подскажите, плз, где чего дописать?
все конфиги как в статье, ток без филиалов, ну и сеток за одминами не значатся.
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1280
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение dekloper » 2012-02-09 16:59:38

логи прицепил
Вложения
tmp.zip
тут логи всей беды
(5.86 КБ) 29 скачиваний
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1280
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение dekloper » 2012-02-09 18:34:41

да у меня всё так же, как и у вас, так и у тов.ГлавногоКастратора (даж чуть проще)
я вот оп чом поразмышлял
у большинства "первопроходцев", основная проблема - нельзя увидеть юзеров в корпоративке за впном, по причине, что он (впн) - не дефолтный шлюз для этой корпоративке (у меня 10.0.0.0/24)..
с этой проблемой я тоже столкнулся, но решил я ее несколько оригинально..
на дефолт.шлюзе 10.0.0.1 (не впн) я настраиваю еще одну таблицу маршрутизации, в которой для сети 10.10.100.0/24 дефолтным шлюзом является впн с серым адресом в корпоративной сетке (у меня 10.0.0.9)
возможно тут и кроется моя проблема
вся конструкция прекрасно работает только при подключении клиентом "одмин1"
на впне виртуальным интерфейсом является только 10.10.100.1

Код: Выделить всё

tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
        options=80000<LINKSTATE>
        inet 10.10.100.1 --> 10.10.100.2 netmask 0xffffffff
        Opened by PID 94047

при подключении клиентом "одмин2", ему бы "хотелось" видеть адрес впн сервера как 10.10.100.5, но.. он его почему то не "видит", о чем и рапортует со своего туннельного интерфейса..

Код: Выделить всё

C:\Users\user>tracert 10.10.100.5

Трассировка маршрута к 10.10.100.5 с максимальным числом прыжков 30

  1   149 ms   178 ms   179 ms  10.10.100.1
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
  5     *        *        *     Превышен интервал ожидания для запроса.


Вопрос, где не так в маршрутизации, на впн-е (10.0.0.9), на моем деф.роутере (10.0.0.1)?
Надо,чтобы новый подключившийся одмин2,3,4 и т.п. видел адрес впн сервера из "своей" пары, тобишь 5, 9, 13, 17 и т.п., на основании того, что прописано в клиент_конфиг_директори
подозреваю, что так оно и есть "у нормальных людей", когда впн одновременно является деф.шлюзом..
:crazy: :crazy: :crazy:
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!


Вернуться в «Софт»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 9 гостей