OpenVPN, лог ругается на проблему с маршрутами

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
spaRRowIt
проходил мимо
Сообщения: 4
Зарегистрирован: 2015-03-12 23:18:51

OpenVPN, лог ругается на проблему с маршрутами

Непрочитанное сообщение spaRRowIt » 2015-03-13 0:26:48

Доброго времени суток!
Помогите пожалуйста решить мою проблему:
имеется три компьютера, 2 телефона. iPad, роутер с openwrt и openVPN на борту.
Дом1
2 компьютера подключены (PC1 (192.168.1.238) PC2 (192.168.1.239))к рутеру (192.168.1.236) с openwrt по локальной сети. Рутер поднимает ppoe соединение в интернет.

Дом2
1 компьютер (PC3 (192.168.3.2) Smart на андройде (192.168.3.3) подключен к обычному huawey модему. Модем поднимает ppoe.
Надо что бы PC3 и Smart 2 ходили в интернет через рутер с openwrt.
В принципи все работает. Вот только лог забивается такими сообщениями.

Код: Выделить всё

Wed Mar 11 04:39:27 2015 us=441021 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)

Код: Выделить всё

Wed Mar 11 04:59:01 2015 us=136305 Smart/188.113.203.120:43739 MULTI: bad source address from client [10.98.91.35], packet dropped
Конфигурация сервера такая:

Код: Выделить всё

root@OpenWrt4300:~# cat /etc/openvpn/server.conf
###Config Server
mode server
tls-server
persist-key
persist-tun

### network options
#tcp-nodelay #Сейчас не использую. Пробовал для тестов.
port 1194
proto udp
dev tun0
keepalive 10 60
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450

### (optional) compression (Can be slow)
fast-io
#comp_lzo no # Вообще не нужно.

### Server options
server 192.168.2.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/ipp.txt
client-to-client
client-config-dir /etc/openvpn/ccd
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.2.1"
push "redirect-gateway def1"

### Log
mute 20
verb 4
status /var/log/openvpn-status.log
log /var/log/openvpn.log

### Certificate and key files
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/OpenVPNServer.crt
key /etc/openvpn/keys/OpenVPNServer.key
dh /etc/openvpn/keys/dh2048.pem
Конфиги пользователей на серевере выглядят так:
PC3

Код: Выделить всё

root@OpenWrt4300:~# cat /etc/openvpn/ccd/YulikaPc
#YulikaPc
iroute 192.168.3.0 255.255.255.0
Smart2

Код: Выделить всё

root@OpenWrt4300:~# cat /etc/openvpn/ccd/YulikaSmart
#YulikaSmart
iroute 192.168.3.0 255.255.255.0
А конфиг на клиенте Pc3 под управление winXP выглядит так

Код: Выделить всё

###Client YulikaPc
client
tls-client
dev tun
dev-node openvpn
proto udp
remote мой_роутер.no-ip.info 1194
resolv-retry infinite
ns-cert-type server
keepalive 10 60
route-method exe
route-delay 2
pull
verb 3
status "C:\\openvpn\\log\\openvpn-status.log"
log "C:\\openvpn\\log\\openvpn.log"
ca ca.crt
cert  YulikaPc.crt
key YulikaPc.key
dh dh2048.pem
Подключение поднимается, Pc3 может ходить через меня в интернет. Видеть расшаренные папки на Pc1 и Pc2.
Но лог на сервере забивается такими сообщениями.
это я вообще не знаю что такое. Оно выскакивает при отключении клиента от vpn

Код: Выделить всё

Wed Mar 11 04:39:27 2015 us=441021 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
а это выскакивает когда клиент подключился и начинает использоваться vpn. Я пытался сам решить проблему прежде чем написать. Нашел в сети что это из за того что в конфиге сервера указана подсеть сети за openVPN сервером, а подсеть сети за клиентом нет (которой кстати нет, клиент это конечное устройство). Мол пакеты не знают как им пройти на PC3 и отбрасываются.

Код: Выделить всё

Wed Mar 11 04:59:01 2015 us=136305 Smart/188.113.203.120:43739 MULTI: bad source address from client [10.98.91.35], packet dropped
Поэтому я каталоге ccd я создал файлы пользователей и прописал маршрут для сервера, якобы что за клиентом есть сеть в такой подсети 192.168.3.0 255.255.255.0
Но мне это ничего не дало.

Да и еще. Использовать pptp проще. Заморочек меньше. Он блокируется у нас из сетей 3g откуда будет подключаться Smart1 и iPad так что сразу отпадает.

как решить мою проблему?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Dmitriy_3206
рядовой
Сообщения: 44
Зарегистрирован: 2014-10-13 15:51:34

OpenVPN, лог ругается на проблему с маршрутами

Непрочитанное сообщение Dmitriy_3206 » 2015-03-15 14:15:10

Вам не нужны CCD
Практически iroute это добавление маршрута в виртуальный switch внутри openvpn- что бы он знал куда пакеты слать, какому клиенту отдавать. На счет refuse - возможно ваш модем huawey просто переподключился и получил по pppoe новый ip. И к серверу приходит пакет в рамках обмена трафика с "плохим" ip. И происходит "переподключение".

Еще у меня такая "беда" была когда у меня ДО поднятия PPPoE OpenVPN "поднимал" соединения, а потом поднимался PPPoe - и трафик весь заворачивался в него (без PPPoe была зарезана скорость)

spaRRowIt
проходил мимо
Сообщения: 4
Зарегистрирован: 2015-03-12 23:18:51

OpenVPN, лог ругается на проблему с маршрутами

Непрочитанное сообщение spaRRowIt » 2015-03-15 23:16:04

Здравствуйте, Дмитрий, спасибо от откликнулись.
Dmitriy_3206 писал(а): Вам не нужны CCD
Почему?
Dmitriy_3206 писал(а): Практически iroute это добавление маршрута в виртуальный switch внутри openvpn- что бы он знал куда пакеты слать, какому клиенту отдавать.
поэтому я и прописал iroute что бы сервер знал куда ему отсылать пакеты.
Dmitriy_3206 писал(а): возможно ваш модем huawey просто пере подключился и получил по pppoe новый ip.
ip адрес на моем рутере не менялся уже пол года или более, так как модем не выключается. даже когда нет света модем с рутером способно проработать сутки в автономном режиме.
Ip меняется у клиента частенько. Но на момент всех тестов. сервер openvpn перезагружается (на всякий случай и на освобождение лога от лишних записей.)
Процессе тестирования, это пару часов, реконекта со стороны сервера и клиента не происходит. Я об этому думал. Поэтому при тестах заставил клиента следить на DSL лампочкой (по другому клиенту не объяснить) И все равно с прописанными маршрутами до клиента, лог сервера сообщал о том что он не знает куда отправить пакет и он отброшен.
Dmitriy_3206 писал(а): Еще у меня такая "беда" была когда у меня ДО поднятия PPPoE OpenVPN "поднимал" соединения, а потом поднимался PPPoe - и трафик весь заворачивался в него (без PPPoe была зарезана скорость)
а как у вас без ppoe поднималось vpn соединения?

spaRRowIt
проходил мимо
Сообщения: 4
Зарегистрирован: 2015-03-12 23:18:51

OpenVPN, лог ругается на проблему с маршрутами

Непрочитанное сообщение spaRRowIt » 2015-03-16 7:34:12

еще такой момент, сообщение выходит только после отключения клиента.

Код: Выделить всё

Wed Mar 11 04:39:27 2015 us=441021 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Пока клиент подключен и активно пользуется vpn соединением, ничего не происходит, как только отключается выходит это сообщение.

spaRRowIt
проходил мимо
Сообщения: 4
Зарегистрирован: 2015-03-12 23:18:51

OpenVPN, лог ругается на проблему с маршрутами

Непрочитанное сообщение spaRRowIt » 2015-03-18 13:44:39

Вообщем вот что у меня получается. Если изменить порт с udp на tcp то все работает как часы. Ни каких ошибок, ни каких отброшенных пакетов.

На udp отброшенные пакеты, на одном из клиентов получилось решить таким образом, прописал в папке /etc/openvpn/ccd/client маршрут не только локальную подсети клиента, но и подсети провайдера.
Получилось:
iroute 10.1.0.0 255.255.255.0 # Это локальная сеть на моей работе.
iroute 192.168.73.0 255.255.255.0 # Это подсеть провайдера. Ip адрес почему то ни когда не меняется всегда присваивает один тот же!

Сообщение об отброшенных пакетах больше не появлялось. Но при отключении клиента, осталось сообщение: Connection refused (code=146)
что с ним делать и как?