Обсуждение VPN сервера OpenVPN

[T_T]

Доброй ночи! дайте толчок в нужную сторону

Имеется:

server2003 ------ Freebsd1(vpn server) ------- Internet --------- Freebsd2(vpn client) ------- WinXP
(192.168.0.2) ------ (192.168.0.1, 9.9.9.9, ------- Internet --------- (6.6.6.6, 192.168.5.1, ------- (192.168.5.3)
------------------------- 10.10.100.1 ) ----------------- Internet ---------- 10.10.100.14)---------------------------------

server2003 и Freebsd1 соединены локальной сетью
Freebsd2 и WinXP соединены локальной сетью

Как мне с WinXp попасть на server2003 ? С Freebsd2 server2003 пингуется нормально

Маршруты писать? или натом что-то куда-то? или в настройках чего?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[mak_v_]

видимо натите ВСЁ.
Попробуйте нат оствить для ВСЕХ ко ВСЕМУ, КРОМЕ (192.168.0.0/24 192.168.5.0/24)
Ну и как всегда телепаты в отпусках....
Freebsd1: netstat -rn| grep 192.168.5
Freebsd1: - правила фаервола, касаемо натов и редиректов
Freebsd2: netstat -rn| grep 192.168.0
Freebsd2: - правила фаервола, касаемо натов и редиректов

[T_T]

при чем здесь телепаты?

я просил лишь указать напраление, потому что не мог понять как решается вопрос о переброске портов. Теперь я разобрался - нат не нужен. Нужна правильная настройка маршрутов в openvpn + в ipfw открыть хождение пакетов из одной подсети в другую, ну и по вирт сети.

Спасибо большое Вам за содействие. Помог разобраться slesarvm, у которого я понял чего мне не хватало в ipfw )

[Yeah!]

Столкнулся с такой проблемой:
Провайдер использует НАТ, и кто-то уже занял порт 1194. Клиент не может подцепиться к серверу если порты источника и получателя не совпадают.

Перерыл мануал и гугл, решения не нашел. Может кто-нибудь знает как с этим можно бороться?

Или может можно использовать другой порт, который 100% никто другой из абонентов провайдера использовать не будет?

[mak_v_]

на сервере можете настроить любой, подходящий вам порт, например 1198

[Yeah!]

В том то и вопрос: какой именно порт использовать, чтобы не менялся проходя через нат провайдера

[slesarvm]

Столкнулся с такой проблемой:
Провайдер использует НАТ, и кто-то уже занял порт 1194. Клиент не может подцепиться к серверу если порты источника и получателя не совпадают.

Перерыл мануал и гугл, решения не нашел. Может кто-нибудь знает как с этим можно бороться?

Или может можно использовать другой порт, который 100% никто другой из абонентов провайдера использовать не будет?

А причем тут NAT ???? это провайдер либо блокирует доступ фаером, либо стоит форвардинг порта 1194 не на Ваш ip
чтобы таких проблем не было берите public ip (белый статический ip) ...

[Yeah!]

А причем тут NAT ???? это провайдер либо блокирует доступ фаером, либо стоит форвардинг порта 1194 не на Ваш ip
чтобы таких проблем не было берите public ip (белый статический ip) ...

Ну да. Наверное не правильно выразился.
Просто суть в том, что клиент посылает запросы по порту udp 1194, при этом в логах сервера показывает ip-адрес клиента и порт например 1036 или какой либо другой и tls-handshake error.
Путем опытных экспериментов выяснил что эта ошибка из-за несовпадений портов клиента и сервера.
Общался с техподдержкой провайдера, сказали что 1194 udp уже кем-то используется.

Вот отсюда то и вопрос: какой порт можно использовать если с дефаултным траблы? или можно ли вообще заставить openvpn не обращать внимание на несовпадение портов клиента и сервера? Кроме белого айпишника.

[mak_v_]

1) соберитесь
2) опишите в чем именно у вас проблема
3) спрашивайте

У вас проблема с сервером или с клиентом? из-за ната клиенты отлично работают. Порт на сервере можете сделать произвольным
http://www.lissyara.su/articles/freebsd ... n_via_nat/ - тут у меня все работают по 2000 порту

[slesarvm]

OpenVPN CLIENT LIST
Updated,Fri Nov 2 11:37:10 2012
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
otdelitk-1,XX.72.236.121:57115,77182382,11823011,Fri Nov 2 08:14:05 2012
apteka462,XX.51.193.137:1027,296324,303822,Fri Nov 2 07:39:19 2012
4etagka,XXX.16.209.93:3598,284086179,2010534714,Wed Oct 31 15:43:09 2012
ROUTING TABLE

Если у тебя так пишет то все ровно главное чтобы в конфигах и на сервере и на клиенте был один порт...

[slesarvm]

http://openvpn.net/archive/openvpn-user ... 00010.html

Subject: RE: [Openvpn-users] error in tls handshake
From: "Van Hoorenbeeck, Peter (RST/Hammerstone EMEA)" <peter.van-hoorenbeeck@xxxxxx>
Date: Fri, 2 Jul 2004 09:15:50 +0200



Hello Suela,

Did you check the system date? I read Jan 2 2000? If the certificate
is generated to be valid somewhere this year, your handshake will fail.

The error also states error=certificate is not _yet_ valid.

Короче проверь чтобы на клиенте и на сервере было время правильное и соответственно время создания сертификатов, оно не может быть раньше чем у тебя стоит на сервере или клиенте)))

[Yeah!]

mak_v_
1) соберитесь
2) опишите в чем именно у вас проблема
3) спрашивайте

1) Собрался

2) Ок. Имею 4 филиала и головной офис.
В каждом стоит сервер FreeBSD 9.0, с установленным openvpn. Сеть соответственно 192.168.0.0, 192.168.1.0, 192.168.2.0 и т.д. использую порт 1194.
Во всех филиалах все было в порядке, т.е. все работало, с любой тачки из офиса, пинговал любую тачку, любого филиала и наоборот. До одного прекрасного момента. В одном филиале отвалился vpn. Приехал, посмотрел. Клиент openvpn работает и даже пытается подключиться к серверу, но в логах tls-handshake error.
Ок. Приезжаю в офис и вижу в логах openvpn сервера что клиент пытается подключиться, но не с того порта который я ему в конфиге прописал, а с другого. При этом на клиенте sockstat |grep openvpn показал все как надо, т.е. 1194
Звонил провайдеру, они сказали что 1194 уже занят.

3) Собственно вопрос: как с этим можно бороться?

slesarvm
Короче проверь чтобы на клиенте и на сервере было время правильное
Со временем все в порядке.

З.Ы. В том филиале, в котором была проблема сейчас все в порядке, проблема уже в другом филиале. Скорее всего она будет повторяться и в других.

[Yeah!]

В общем как обычно затупил - в ipfw на сервере самолично добавил правило allow udp from any to me 1194, а потом удивлялся - почему с других портов не работает

Спасибо всем кто отозвался, особенно slesarvm

[Alteron]

Объясните мне, как соотносится

Код: Выделить всё

# задаем IP-адрес сервера и маску подсети (виртуальной сети)
server 10.10.100.0 255.255.255.0

и

Код: Выделить всё

tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
        inet 10.10.100.1 --> 10.10.100.2 netmask 0xffffffff
        Opened by PID 29517

В конфиге маска /24, а на интерфейсе чудесным образом /32

[mak_v_]

Документация.
Т.к. это тунельный интерфейс
Для "изнутри" - это "точка входа-выхода" и на всех тунельных интерфейсах маска 0xffffffff, openvpn это или mpd или vtun или что-то другое.

[alexhondabeat]

Товарищи добрые, подскажите неразумному какого лешего происходит у меня в сети
Суть: OpenVPN сервер (OVS) за ним своя сеть, он дефолтный шлюз (натит траффик). OpenVPN клиент (OVC)- аналогично
Естественно хочу связать сетки.
Настроек перепробовал кучу, файрволл открыл. - однофигственно ситуация следующая:
OVC видит сеть за OVS, но его сетка (клиентская) сеть сервера не видит (вроде проблема в маршрутах, но...) Сеть сервера -не видит даже OVC, не говоря уже про его сеть.

tcpdump на tun0 на клиенте показывает (при пинге с клиента сети сервера)

Код: Выделить всё

10:42:31.349447 IP 192.168.10.100 > 10.0.10.6: ICMP echo request, id 1, seq 10, length 40
10:42:31.349478 IP 10.0.10.6 > 192.168.10.100: ICMP echo reply, id 1, seq 10, length 40

Симметричные пакеты я вижу и на tun0 сервера
а при попытке пингануть и сети клиента сеть сервера - на tun0 клиента вижу пакеты

Код: Выделить всё

10:52:40.626196 IP 192.168.5.103 > 192.168.10.100: ICMP echo request, id 768, seq 33281, length 40
10:52:45.763022 IP 192.168.5.103 > 192.168.10.100: ICMP echo request, id 768, seq 33537, length 40

а симметричные пакеты на tun0 сервера уже отсутствуют. Как так?
По идее получается клиент знает куда отправлять пакеты для сети 192.168.10.XXX и отправляет их в туннель, но блин куда они пропадают?

[mak_v_]

Трассировку с машины за сервером к машине за клиентом и обратную. Симетричные - классное слово.

[mak_v_]

http://www.ngpedia.ru/id240072p1.html это они?
К трассировке желательно ещё и таблицу маршрутизации с машин за сервером и за клиентом

[Gamerman]

А сетка, которая за ОВСерв знает куда пакеты слать для сети ОВКлиент?

[alexhondabeat]

За клиентом 192.168.5.0/24
конфиг уже перекроен на 10 раз.
Какой интересует? server.conf
сейчас привел к виду

Код: Выделить всё

daemon openvpn
port 2000
proto udp
dev tun0
ca XXX
cert XXX
key XXX
dh XXX
client-config-dir /usr/local/etc/openvpn/ccd
tls-server
tls-auth /usr/local/etc/openvpn/keys/ta.key 0
tls-timeout 120
auth MD5
cipher BF-CBC
keepalive 10 120
comp-lzo
max-clients 100
plugin /usr/local/lib/openvpn-auth-pam.so login
user nobody 
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3
server 10.0.10.0 255.255.255.0
push "route 192.168.10.0 255.255.255.0"
route 192.168.5.0 255.255.255.0

ccd/client

Код: Выделить всё

ifconfig-push 10.0.10.6 10.0.10.5
iroute 192.168.5.0 255.255.255.0
push "route-gateway 10.0.10.5"

client.conf

Код: Выделить всё

daemon openvpn
client
dev tun
proto udp
remote XXX
port 2000 #(PORT K KOTOROMU USTANAWLIWATX SOEDINENIE)
ifconfig 10.0.10.6 10.0.10.5
route 192.168.10.0 255.255.255.0
resolv-retry infinite
ca XXX
cert XXX
key XXX
tls-client
tls-auth XXX 1
auth MD5
auth-user-pass XXX
cipher BF-CBC
ns-cert-type server
user nobody
group nobody
comp-lzo
persist-key
persist-tun client
log  /var/log/openvpn/openvpn.log
verb 3

OVC to сеть сервера

Код: Выделить всё

traceroute to 192.168.10.100 (192.168.10.100), 64 hops max, 40 byte packets
 1  10.0.10.1 (10.0.10.1)  105.331 ms  104.742 ms  105.026 ms
 2  192.168.10.100 (192.168.10.100)  105.323 ms  105.452 ms  106.333 ms

С сервера не трассируется любой адрес сети OVC даже внутренний адрес шлюза

Код: Выделить всё

traceroute to 192.168.5.4 (192.168.5.4), 64 hops max, 40 byte packets
 1  * * *

трассируется только по впн-адресу

Код: Выделить всё

traceroute to 10.0.10.6 (10.0.10.6), 64 hops max, 40 byte packets
 1  10.0.10.6 (10.0.10.6)  107.317 ms  104.829 ms  104.523 ms

с клиента за OVC

Код: Выделить всё

Трассировка маршрута к 192.168.10.4 с максимальным ...
1. <1мс <1мс <1мс 192.168.5.4
2 * * *
3 * * *
...

трассировка из сети ovs - аналогично, отвечает только первый адрес шлюза 192.168.10.4

[alexhondabeat]

А сетка, которая за ОВСерв знает куда пакеты слать для сети ОВКлиент?

а она на дефолтный шлюз отправляет, он же ОВСерв

[alexhondabeat]

http://www.ngpedia.ru/id240072p1.html это они?
К трассировке желательно ещё и таблицу маршрутизации с машин за сервером и за клиентом

Еще раз, у них ничего не меняется. Они на дефолтный шлюз отправляют пакеты Соответственно на ОВСерв и на ОВКлиент каждая

[Gamerman]

А на ОВКлиент маршрутизация включена?

Код: Выделить всё

gateway_enable="YES"

[mak_v_]

Вы действительно не понимаете?
Трассировку с машины за сервером к машине за клиентом и обратную.

[alexhondabeat]

Трассировку с машины за сервером к машине за клиентом и обратную. Симетричные - классное слово.

Имел в виду что исходящие пакеты на tun0 клиента видны как входящие на tun0 сервера
А вот пакеты из сетки клиента - видны на его интерфейсе как исходящие, с заголовками адресов внутренних сетей и совсем не видны на tun0 сервера.
написал не совсем понятно в первом сообщении
пингую с ОВКлиента машину в сети ОВСервера - пакеты идут вида "Адрес виртуального интерфейса клиента (10.0...)- адрес машины сети сервера 192.168.10.." и все успешно
А при пинге из сети клиента - пакеты маркируются адресами соответственно сеток, вылетают из tun0 клиента и погибают смертью храбрых. получается сервер не понимает что за клиентом есть еще сетка, хотя знает внутренний адрес своего клиента

А на ОВКлиент маршрутизация включена?

Да, работает nat все машины ходят через него в интернет

Вы действительно не понимаете?
Трассировку с машины за сервером к машине за клиентом и обратную.

Видимо не понимаю