на сервере в конфиг включите строки
Код: Выделить всё
route 10.0.10.0 255.255.255.252
route 192.168.5.0 255.255.255.0
Код: Выделить всё
route 10.0.10.0 255.255.255.252
route 192.168.5.0 255.255.255.0
да, пардонGamerman писал(а):А на ОВКлиент маршрутизация включена?Код: Выделить всё
gateway_enable="YES"
вторая строка уже и так была в конфигеmak_v_ писал(а):З.ы.
на сервере в конфиг включите строкиКод: Выделить всё
route 10.0.10.0 255.255.255.252 route 192.168.5.0 255.255.255.0
При чем здесь нат к маршрутизации?Gamerman писал(а):По ходу. Если на ОВКлиенте стоит НАТ через который все ходят в инет, то скорее всего, что пакеты для другой сети он тоже шлет в инет, вместо ОВПН. Пропиши на нем статический маршрут без ната на свою сеть через ОВСервер.
Да как бы табличка вроде правильнаяGamerman писал(а):По ходу. Если на ОВКлиенте стоит НАТ через который все ходят в инет, то скорее всего, что пакеты для другой сети он тоже шлет в инет, вместо ОВПН. Пропиши на нем статический маршрут без ната на свою сеть через ОВСервер.
Код: Выделить всё
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 212.49.124.65 UGS 0 2445836 vr0
10.0.10.1/32 10.0.10.5 UGS 0 0 tun0
10.0.10.5 10.0.10.6 UH 2 0 tun0
127.0.0.1 127.0.0.1 UH 0 48 lo0
192.168.5.0/24 link#2 UC 0 0 rl0
192.168.6.0/24 192.168.5.99 UGS 0 1134384 rl0
192.168.7.0/24 192.168.5.99 UGS 0 508161 rl0
192.168.10.0/24 10.0.10.5 UGS 0 0 tun0
212.49.124.64/27 link#1 UC 0 0 vr0
mak_v_ писал(а):ПИЛЯТЬ...с машины ЗА СЕРВЕРОМ.
ПИЛЯТЬ ...с машины ЗА КЛИЕНТОМ.
Не с сервера, не с клиента и именно то, что не работает. И трассировку.
уже приводилalexhondabeat писал(а): с клиента за OVCтрассировка из сети ovs - аналогично, отвечает только первый адрес шлюза 192.168.10.4Код: Выделить всё
Трассировка маршрута к 192.168.10.4 с максимальным ... 1. <1мс <1мс <1мс 192.168.5.4 2 * * * 3 * * * ...
даmak_v_ писал(а):192.168.5.4 - ОВК клиент?
Маршрутизацию выше показывал:Gamerman писал(а):Покажи на нем настройки маршрутизации и ната.
alexhondabeat писал(а):Да как бы табличка вроде правильная
Код: Выделить всё
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default шлюз_провайдера UGS 0 2445836 vr0
10.0.10.1/32 10.0.10.5 UGS 0 0 tun0
10.0.10.5 10.0.10.6 UH 2 0 tun0
127.0.0.1 127.0.0.1 UH 0 48 lo0
192.168.5.0/24 link#2 UC 0 0 rl0
192.168.6.0/24 192.168.5.99 UGS 0 1134384 rl0
192.168.7.0/24 192.168.5.99 UGS 0 508161 rl0
192.168.10.0/24 10.0.10.5 UGS 0 0 tun0
шлюз првайдера/27 link#1 UC 0 0 vr0
Код: Выделить всё
divert 8668 ip from 192.168.5.0/24 to any out xmit vr0
divert 8668 ip from 192.168.6.0/24 to any out xmit vr0
divert 8668 ip from 192.168.7.0/24 to any out xmit vr0
allow ip from $out_ip to any out via vr0
divert 8668 ip from any to $out_ip in recv vr0
allow ip from any to 192.168.0.0/16 in via vr0
Там на самом делеле было чуть поболее "такого" плюс товарищ шел по пути венды...нервно тыкал кнопки, правил конфы, удалял, копировал....Вобщем трабла оказалась в ccd и сертификатах,а именно в несовпадении "Common Name" и имени файла в ссd, в дублировании сертификатов по клиентам, кривом фаерволе, а самое главное, что это дело запилено на hyperv под вендой, у которой отваливались виртуальные интерфейсы.. Пришлось ссать, ой простите, срать, ой простите, слать пакеты от внутренних интерфейсов для эмуляции "сетей за опенвпн". Вот такая муть и жуть.ну то такое
Ага, мой опыт в помощь другим:mak_v_ писал(а):Помог я товарищу....обещал выложить чем....Там на самом делеле было чуть поболее "такого" плюс товарищ шел по пути венды...нервно тыкал кнопки, правил конфы, удалял, копировал....Вобщем трабла оказалась в ccd и сертификатах,а именно в несовпадении "Common Name" и имени файла в ссd, в дублировании сертификатов по клиентам, кривом фаерволе, а самое главное, что это дело запилено на hyperv под вендой, у которой отваливались виртуальные интерфейсы.. Пришлось ссать, ой простите, срать, ой простите, слать пакеты от внутренних интерфейсов для эмуляции "сетей за опенвпн". Вот такая муть и жуть.ну то такое
Ждем подтверждения от просившего помощи
Код: Выделить всё
# . ./vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /usr/local/share/easy-rsa/keys/server
# ./revoke-full dpr000
Using configuration from /usr/local/share/easy-rsa/openssl-0.9.8.cnf
unable to load certificate
29609:error:0906D06C:PEM routines:PEM_read_bio:no start line:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/pem/pem_lib.c:648:Expecting: TRUSTED CERTIFICATE
Using configuration from /usr/local/share/easy-rsa/openssl-0.9.8.cnf
unable to load certificate
29612:error:0906D06C:PEM routines:PEM_read_bio:no start line:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/pem/pem_lib.c:648:Expecting: TRUSTED CERTIFICATE
#
Код: Выделить всё
gate2# /usr/local/etc/rc.d/openvpn start
Starting openvpn.
/usr/local/etc/rc.d/openvpn: WARNING: failed to start openvpn
Код: Выделить всё
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
Код: Выделить всё
OFFICE1(192.168.10.105)
|
|
GW[192.168.10.1]
NAT(192.168.10.0/24)
|
|
OVPN( 192.168.10.200 )v2.2
TAP Bridge(to GW 192.168.10.1)
| |
(internet) (internet)
| |
CL1(192.168.10.30) CL2(192.168.10.20)
(Win7) (WinXP)
Код: Выделить всё
Tue Nov 26 17:40:39 2013 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.10.1,dhcp-option DNS xxx.xxx.xxx.1,dhcp-option DNS xxx.xxx.xxx.11,route-gateway 192.168.10.1,ping 10,ping-restart 120,route 192.168.10.0 255.255.255.0 192.168.10.1,ifconfig 192.168.10.20 255.255.255.0'
Tue Nov 26 17:40:39 2013 OPTIONS IMPORT: timers and/or timeouts modified
Tue Nov 26 17:40:39 2013 OPTIONS IMPORT: --ifconfig/up options modified
Tue Nov 26 17:40:39 2013 OPTIONS IMPORT: route options modified
Tue Nov 26 17:40:39 2013 OPTIONS IMPORT: route-related options modified
Tue Nov 26 17:40:39 2013 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Tue Nov 26 17:40:39 2013 ROUTE default_gateway=192.168.40.1
Tue Nov 26 17:40:39 2013 TAP-WIN32 device [OpenVPN] opened: \\.\Global\{3F28FB8A-238F-4247-BA79-D70A2D5512E5}.tap
Tue Nov 26 17:40:39 2013 TAP-Win32 Driver Version 9.9
Tue Nov 26 17:40:39 2013 TAP-Win32 MTU=1500
Tue Nov 26 17:40:39 2013 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.10.20/255.255.255.0 on interface {3F28FB8A-238F-4247-BA79-D70A2D5512E5} [DHCP-serv: 192.168.10.0, lease-time: 31536000]
Tue Nov 26 17:40:39 2013 Successful ARP Flush on interface [2] {3F28FB8A-238F-4247-BA79-D70A2D5512E5}
Tue Nov 26 17:40:42 2013 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Nov 26 17:40:42 2013 Route: Waiting for TUN/TAP interface to come up...
Tue Nov 26 17:40:45 2013 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up
Tue Nov 26 17:40:45 2013 C:\WINDOWS\system32\route.exe ADD XXX.XXX.XXX.XXX MASK 255.255.255.255 192.168.40.1
Tue Nov 26 17:40:45 2013 Route addition via IPAPI succeeded [adaptive]
Tue Nov 26 17:40:45 2013 C:\WINDOWS\system32\route.exe DELETE 0.0.0.0 MASK 0.0.0.0 192.168.40.1
Tue Nov 26 17:40:45 2013 Route deletion via IPAPI succeeded [adaptive]
Tue Nov 26 17:40:45 2013 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 0.0.0.0 192.168.10.1
Tue Nov 26 17:40:45 2013 Route addition via IPAPI succeeded [adaptive]
Tue Nov 26 17:40:45 2013 WARNING: potential route subnet conflict between local LAN [192.168.10.0/255.255.255.0] and remote VPN [192.168.10.0/255.255.255.0]
Tue Nov 26 17:40:45 2013 C:\WINDOWS\system32\route.exe ADD 192.168.10.0 MASK 255.255.255.0 192.168.10.1
Tue Nov 26 17:40:45 2013 Route addition via IPAPI succeeded [adaptive]
Tue Nov 26 17:40:45 2013 Initialization Sequence Completed
Код: Выделить всё
Tue Nov 26 17:33:02 2013 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.10.1,dhcp-option DNS xxx.xxx.xxx.1,dhcp-option DNS xxx.xxx.xxx.11,route-gateway 192.168.10.1,ping 10,ping-restart 120,route 192.168.10.0 255.255.255.0 192.168.10.1,ifconfig 192.168.10.50 255.255.255.0'
Tue Nov 26 17:33:02 2013 OPTIONS IMPORT: timers and/or timeouts modified
Tue Nov 26 17:33:02 2013 OPTIONS IMPORT: --ifconfig/up options modified
Tue Nov 26 17:33:02 2013 OPTIONS IMPORT: route options modified
Tue Nov 26 17:33:02 2013 OPTIONS IMPORT: route-related options modified
Tue Nov 26 17:33:02 2013 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Tue Nov 26 17:33:02 2013 ROUTE default_gateway=192.168.1.1
Tue Nov 26 17:33:02 2013 TAP-WIN32 device [OpenVPN] opened: \\.\Global\{6C48FC46-2C3B-4E57-B2A5-0672AFDCE1D9}.tap
Tue Nov 26 17:33:02 2013 TAP-Win32 Driver Version 9.9
Tue Nov 26 17:33:02 2013 TAP-Win32 MTU=1500
Tue Nov 26 17:33:02 2013 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.10.50/255.255.255.0 on interface {6C48FC46-2C3B-4E57-B2A5-0672AFDCE1D9} [DHCP-serv: 192.168.10.0, lease-time: 31536000]
Tue Nov 26 17:33:02 2013 Successful ARP Flush on interface [17] {6C48FC46-2C3B-4E57-B2A5-0672AFDCE1D9}
Tue Nov 26 17:33:05 2013 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up
Tue Nov 26 17:33:05 2013 C:\WINDOWS\system32\route.exe ADD XXX.XXX.XXX.XXX MASK 255.255.255.255 192.168.1.1
Tue Nov 26 17:33:05 2013 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Tue Nov 26 17:33:05 2013 Route addition via IPAPI succeeded [adaptive]
Tue Nov 26 17:33:05 2013 C:\WINDOWS\system32\route.exe DELETE 0.0.0.0 MASK 0.0.0.0 192.168.1.1
Tue Nov 26 17:33:05 2013 Route deletion via IPAPI succeeded [adaptive]
Tue Nov 26 17:33:05 2013 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 0.0.0.0 192.168.10.1
Tue Nov 26 17:33:05 2013 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Tue Nov 26 17:33:05 2013 Route addition via IPAPI succeeded [adaptive]
Tue Nov 26 17:33:05 2013 WARNING: potential route subnet conflict between local LAN [192.168.10.0/255.255.255.0] and remote VPN [192.168.10.0/255.255.255.0]
Tue Nov 26 17:33:05 2013 C:\WINDOWS\system32\route.exe ADD 192.168.10.0 MASK 255.255.255.0 192.168.10.1
Tue Nov 26 17:33:05 2013 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Tue Nov 26 17:33:05 2013 Route addition via IPAPI succeeded [adaptive]
Tue Nov 26 17:33:05 2013 Initialization Sequence Completed
Код: Выделить всё
port 1194
proto udp
dev tap
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
server 10.11.0.0 255.255.0.0
push "route 10.11.0.0 255.255.0.0"
push "route-gateway 10.11.0.1"
client-config-dir ccd
client-to-client
route 10.11.0.0 255.255.0.0
tls-server
tls-auth keys/ta.key 0
tls-timeout 120
auth MD5
cipher BF-CBC
keepalive 10 120
comp-lzo
max-clients 4000
user nobody
group nobody
persist-key
Код: Выделить всё
client
dev tap
dev-node MyTap
proto udp
remote xxx.xxx.xxx.xxx 1194
nobind
persist-key
persist-tun
ca ca.crt
cert ber.crt
key ber.key
dh dh1024.pem
tls-client
tls-auth ber.key
auth MD5
cipher BF-CBC
remote-cert-tls server
comp-lzo
на стороне сервераOpenVPN 2.1.3 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Aug 20 2010
NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Control Channel Authentication: using 'ber.key' as a free-form passphrase file
Outgoing Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Incoming Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
LZO compression initialized
Control Channel MTU parms [ L:1570 D:162 EF:62 EB:0 ET:0 EL:0 ]
Socket Buffers: R=[8192->8192] S=[8192->8192]
Data Channel MTU parms [ L:1570 D:1450 EF:38 EB:135 ET:32 EL:0 AF:3/1 ]
Local Options hash (VER=V4): 'd7af9020'
Expected Remote Options hash (VER=V4): 'b1d49974'
UDPv4 link local: [undef]
UDPv4 link remote: xxx.xxx.xxx.xxx:1194
Код: Выделить всё
Authenticate/Decrypt packet error: packet HMAC authentication failed
TLS Error: incoming packet authentication failed from zzz.zzz.zzz.zzz:53861
блин у меня тоже беда такая не могу решить никак..причем я не особо на опыте только считай обучаюсь всему этому, не знаю что делать...