Обсуждение VPN сервера OpenVPN

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
neurobomman
сержант
Сообщения: 187
Зарегистрирован: 2008-02-04 19:40:49
Откуда: г. Мирный Арх.обл (который Космодром Плесецк)
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение neurobomman » 2010-09-18 17:56:22

Доброго времени суток!вопрос по сабжу
имею
1. Сервер на FreeBSD 7.4, OpenVPN сервер 2.0.9.
2. Сетевая re0 смотрит в городскую сеть, адрес 10.101.26.239/24.
3. Сетевая rl0 смотрит в сеть локальную офиса 192.168.0.0/24, адрес 192.168.0.1, на нем слушает клиентов BIND
4. Сетевая vr0 смотрит в инет, на этом интерфейсе kernel nat работает.
5. Есть клиент в городской сети с адресом 10.101.26.244/24, которому надо дать выход в инет через сервер.
Задача обычной маршутизацией не решиться, т.к. клиент после будет перемещен в другую сеть, а пока просто учусь.
Итак, сервер OpenVPN поднят, клиент под Windows 7 настроен, в ipfw разрешены любые пакеты из\в сеть 10.101.26.0/24 через интерефейс re0.

Конфиги:

а) сервер

Код: Выделить всё

less /usr/local/etc/openvpn/server.conf
port 2000
proto udp
dev tun0
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/router.crt
key /usr/local/etc/openvpn/keys/router.key
dh /usr/local/etc/openvpn/keys/dh1024.pem

server 10.1.1.0 255.255.255.0

push "dhcp-option DNS 192.168.0.1"
push "redirect-gateway def1"
push "route 192.168.0.0 255.255.255.0"


client-config-dir ccd

route 10.1.1.0 255.255.255.252

tls-server
tls-auth keys/ta.key 0
tls-timeout 120
auth MD5
cipher BF-CBC
keepalive 10 120
comp-lzo
max-clients 5
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3
б) в каталоге /usr/local/etc/openvpn/ccd/
создан файл с содержимым

Код: Выделить всё

 less /usr/local/etc/openvpn/ccd/proba
ifconfig-push 10.1.1.4 10.1.1.3
в) клиент

Код: Выделить всё

dev tun
proto udp
remote 10.101.26.239
port 2000
client
resolv-retry infinite
pkcs12 proba.p12
tls-client
tls-auth ta.key 1
auth MD5
cipher BF-CBC
comp-lzo
persist-key
persist-tun
verb 3
Сервер запущен, клиент при подключении получает адрес 10.1.1.6 от DHCP сервера 10.1.1.5, однако адрес ДНС и шлюз по умолчанию не получает.
Дальше хуже, пинг не проходит ни на 10.1.1.5 ни на 192.168.0.1 от клиента, хотя сервер 10.1.1.6 пингует.
Подскажите, где могут быть вилы? Заранее благодарен!
атсыпте man'офф.только их курю

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

neurobomman
сержант
Сообщения: 187
Зарегистрирован: 2008-02-04 19:40:49
Откуда: г. Мирный Арх.обл (который Космодром Плесецк)
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение neurobomman » 2010-09-19 12:44:27

После допила конфигов до следующего состояния

а) сервер

Код: Выделить всё

port 2000
proto udp
dev tun0
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/router.crt
key /usr/local/etc/openvpn/keys/router.key
dh /usr/local/etc/openvpn/keys/dh1024.pem

server 10.1.1.0 255.255.255.0

client-config-dir ccd

push "route 10.1.1.0 255.255.255.0"
push "route 0.0.0.0 0.0.0.0"
tls-server
tls-auth keys/ta.key 0
tls-timeout 120
auth MD5
cipher BF-CBC
keepalive 10 120
comp-lzo
max-clients 5
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3
б) в /ccd

Код: Выделить всё

push "route-method exe"
push "dhcp-option DNS 212.48.193.38"# если тут будет 192.168.0.1 то инета нету(((
push "route 192.168.0.0 255.255.255.0"
push "redirect-gateway def1"
в интернет клиент выходит.но почему то нет доступа от клиента к сервисам samba и named которые крутятся на маршрутизаторе и слушаю адрес 192.168.0.1, хотя пинг к этому адресу проходит без проблем. :unknown: ipfw открыт вообще уже...
атсыпте man'офф.только их курю

Leha
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Leha » 2010-10-25 15:46:38

Огромное спасибо за статью!!!
Собственно возникло пару вопросов.

Что есть:
Машина с двумя интерфейсами eth0 и еth1. Первый смотрит в инет и имеет внешний статический IP второй в сеть 172.16.0.0/24 которой по средствам NAT раздается интернет.
Также есть еще одна машина (обзовем ее клиентом), которая находиться в сети другого провайдера и имеет ip 192.168.0.10 ( вообщем находиться в сети 192.168.0.0/24).

Задача: организовать доступ клиенту в сеть 172.16.0.0/24 ( хочется чтоб клиент получал Ip из этого диапазона) и также имел доступ к интернету.

Теперь вопросы: автоматическое присвоение ip клиенту реализуется средствами openvpn или нужен отдельный DHCP сервер?? В конфиге увидел только автоматическое присвоение DNS и шлюза, как задать Ip?

mahn0
рядовой
Сообщения: 10
Зарегистрирован: 2009-12-04 16:16:55
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение mahn0 » 2010-10-28 8:07:52

Здравствуйте.
Спасибо за статью.
Возникла проблема, своими силами решить пока не получается..
VPN поднялся, все работает ок, однако возникает одна нериятная проблема. Когда один из серверов, держащих VPN, пытается залезть в удаленную сеть, он представляется не своим реальным внутренним адресом, а виртуальным (10.10.100.1):
vpn server center: 10.1.3.6
vpn server filial: 10.1.4.1

Код: Выделить всё

center# ping 10.1.4.1
filial# tcpdump -n  -i tun0 host "10.10.100.1"
09:01:54.560893 IP 10.10.100.1 > 10.1.4.2: ICMP echo request, id 44777, seq 0, length 64
09:01:54.560942 IP 10.1.4.2 > 10.10.100.1: ICMP echo reply, id 44777, seq 0, length 64
аналогично с любыми хостами во внешней сети:

Код: Выделить всё

center# ping 10.1.4.2
filial# tcpdump -n  -i tun0 host "10.10.100.1"
09:01:54.560893 IP 10.10.100.1 > 10.1.4.2: ICMP echo request, id 44777, seq 0, length 64
09:01:54.560942 IP 10.1.4.2 > 10.10.100.1: ICMP echo reply, id 44777, seq 0, length 64
Однако c остальными хостами все ок:

Код: Выделить всё

filial# tcpdump -n -i tun0
09:05:28.346532 IP 10.1.3.240.2652 > 10.1.4.36.3267: . ack 1484379375 win 65511
09:05:28.346800 IP 10.1.4.36.3267 > 10.1.3.240.2652: P 1:55(54) ack 0 win 65535
Не подскажите, как решить проблему, чтобы сервера выдавали свой нормальный внутренний ИП вместо виртуальных?
Заранее благодарю!

mahn0
рядовой
Сообщения: 10
Зарегистрирован: 2009-12-04 16:16:55
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение mahn0 » 2010-10-28 8:11:45

neurobomman,
кажется у вас такая же проблема, как у меня (см. пост выше).
Удалось решить?

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2010-10-28 8:23:55

mahn0 писал(а):neurobomman,
кажется у вас такая же проблема, как у меня (см. пост выше).
Удалось решить?

Вы совсем не о то говорите, ip выдаются руками тут

Код: Выделить всё

//> cat /usr/local/etc/openvpn/ccd/sysadmin
ifconfig-push 10.10.100.14 10.10.100.13
т.е виртуальный IP сисадмина будет 10.10.100.14

т.е пакет будет проходить из подсети клиента(192.168.0.0/24) в подсеть за OpenVPN (172.16.0.0/24) сервер через тунель.
делайте трасировку

Код: Выделить всё

//> traceroute 172.16.0.1
traceroute to 172.16.0.1 (172.16.0.1), 64 hops max, 40 byte packets
 1  10.10.100.1 (10.10.100.1)  28.550 ms  81.022 ms  80.970 ms
 2  172.16.0.1 (172.16.0.1)  80.915 ms  80.877 ms  80.831 ms

Рекомендую почитать доки или статью по внимательнее.

ail-man
рядовой
Сообщения: 16
Зарегистрирован: 2010-03-18 20:08:30

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение ail-man » 2010-10-28 8:35:49

У меня OpenVPN сначала работал на tcp. Вчера переделал на udp, время задержки сразу же уменьшилось (это критично, т.к. юзеры работают в терминалах), и колебания времени задержки также уменьшились до ~5% (после ~30% на tcp)... Но при этом стали теряться пакеты (~ 2% потерь)... Что посоветуете делать? Пробовал играться с tun-mtu - от потерь избавится не помогло.
PS: клиентами OpenVPN являются как шлюзы с маршрутизируемым IP-адресом, так и рабочие станции за NAT-ом провайдеров...

mahn0
рядовой
Сообщения: 10
Зарегистрирован: 2009-12-04 16:16:55
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение mahn0 » 2010-10-28 8:38:40

В том то и дело, что тут все ок.

Код: Выделить всё

center# traceroute 10.1.4.4
traceroute to 10.1.4.4 (10.1.4.4), 64 hops max, 40 byte packets
 1  10.10.100.2 (10.10.100.2)  199.459 ms  203.159 ms  205.181 ms
 2  10.1.4.4 (10.1.4.4)  204.258 ms  200.394 ms  141.952 ms

Но самба, named и другие сурвисы, пока им в allowed host не пропишешь виртуальный ип, не пустят клиента к себе..
Они видят, что соединение идет от него (пример для nrpe):

Код: Выделить всё

filial# dmesg -a
Oct 28 00:53:40 filial nrpe[18190]: Host 10.10.100.1 is not allowed to talk to us!

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2010-10-28 8:47:54

ну а вы чего ожидали ? пакеты же через тунель идут.

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2010-10-28 8:56:01

локальная сеть за сервером сможет увидеть реальные IP только если через

Код: Выделить всё

ifconfig-push 10.10.100.2 10.10.100.1
iroute 192.168.1.0 255.255.255.0
тогда компьютеры находящиеся за OpenVPN сервером на филиале, будут видны по реальным IP в Офисе.
Ну а сам филиальский сервер в сети офиса будут видеть под IP вида 10.10.100.x

mahn0
рядовой
Сообщения: 10
Зарегистрирован: 2009-12-04 16:16:55
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение mahn0 » 2010-10-28 9:04:38

>Ну а сам филиальский сервер в сети офиса будут видеть под IP вида 10.10.100.x
вот. а можно как-то от этого избавиться, чтобы его видели по внутреннему ипу?..

ail-man
рядовой
Сообщения: 16
Зарегистрирован: 2010-03-18 20:08:30

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение ail-man » 2010-10-28 10:51:52

ail-man писал(а):У меня OpenVPN сначала работал на tcp. Вчера переделал на udp, время задержки сразу же уменьшилось (это критично, т.к. юзеры работают в терминалах), и колебания времени задержки также уменьшились до ~5% (после ~30% на tcp)... Но при этом стали теряться пакеты (~ 2% потерь)... Что посоветуете делать? Пробовал играться с tun-mtu - от потерь избавится не помогло.
PS: клиентами OpenVPN являются как шлюзы с маршрутизируемым IP-адресом, так и рабочие станции за NAT-ом провайдеров...
Кто-нить что-нить ответит?!


ail-man
рядовой
Сообщения: 16
Зарегистрирован: 2010-03-18 20:08:30

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение ail-man » 2010-10-28 12:13:41

Cancer писал(а):Почитайте Why TCP Over TCP Is A Bad Idea и Tcp Over TCP Is Not So Bad-web
К сожалению, не нашел там решения проблемы

Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Burner » 2010-10-28 18:15:52

ail-man писал(а):
Cancer писал(а):Почитайте Why TCP Over TCP Is A Bad Idea и Tcp Over TCP Is Not So Bad-web
К сожалению, не нашел там решения проблемы
а в чем проблема?

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2010-10-28 21:10:00

В начале когда настроил все по UDP работало все отлично быстро, но когда больше филиалов начало появляться и интернет у них не всегда хороший от всяких говнопровайдеров пришлось переводится на TCP, так как на нем работает медленнее, но стабильнее.

Ну в общем выбирать вам!

Порт
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Порт » 2010-10-31 9:55:49

Что то не выходит каменный цветок :(
Делал все по статье, единственно только делал экспериментально, только как сисадмин

Код: Выделить всё

# порт на котором работает сервер
port 1194
# протокол -  UDP
proto udp
# используемый тип устройства и номер
dev tun0

# указываем по каким интерфейсам можно подключаться к OpenVPN по telnet
# указывать нужно IP адреса интерфейсов сервера
management localhost 8329
management 10.68.145.2 8329
management 1.1.1.1 8329

# указываем файл CA
ca /usr/local/etc/openvpn/keys/ca.crt

# указываем файл с сертификатом сервера
cert /usr/local/etc/openvpn/keys/server.crt

# указываем файл с ключем сервера
key /usr/local/etc/openvpn/keys/server.key

# указываем файл с генерированный алгоритмом Диффи Хеллмана
dh /usr/local/etc/openvpn/keys/dh1024.pem

# указываем где находится файл отозванных сертификатов
#crl-verify /usr/local/etc/openvpn/crl.pem

# задаем IP-адрес сервера и маску подсети (виртуальной сети)
server 10.10.100.0 255.255.255.0

# указываем внутренний DNS и WINS сервер (WIS-ов у меня нет,а ДНС сервера используются доменные)
push "dhcp-option DNS 10.68.145.254"
push "dhcp-option DNS 10.68.145.251"

# задаем МАРШРУТ который передаём клиенту
# и маску подсети для того чтобы он "видел"
# сеть за OpenVPN сервером
# Офис
push "route 10.68.145.0 255.255.255.0"

# указываем где хранятся файлы с
# настройками IP-адресов клиентов
client-config-dir ccd

# добавляем маршрут сервер-клиент
route 10.10.100.0 255.255.255.252

# делает сервер OpenVPN основным шлюзом
#push "redirect-gateway def1"

# разрешает видеть клиентам друг друга (по виртуальным IP)
#client-to-client

# разрешать подключаться с одинаковым сертификатом/ключом
#duplicate-cn

# включаем TLS аутентификацию
tls-server

# указываем tls-ключ, и указываем 0 для сервера, а 1 для клиента
tls-auth keys/ta.key 0

# TLS таймаут
tls-timeout 120

# выбираем алгоритм хеширования
# по умолчанию используется SHA1
# выбирать вам какой использовать (SHA1, MD5 итд итп)
# вывод полного списка openvpn --show-digests
auth SHA1

# выбираем алгоритм шифрования пакетов
# по умолчанию используется/рекомендуется BF-CBC
# вывод полного списка openvpn --show-ciphers
cipher BF-CBC

# проверяет активность подключения каждые 10 секунд,
# если в течении 120 сек. нет ответа, подключение закрывается
keepalive 10 120

# сжатия трафика с помощью библиотеки LZO
comp-lzo

# максимальное количество одновременных соединений/количество клиентов
max-clients 100

# от какого пользователя и группы работает OpenVPN
user nobody
group nobody

# не перечитывать ключи после получения
# SIGUSR1 или ping-restart
persist-key

# не закрывать и переоткрывать TUN\TAP
# устройство, после получения
# SIGUSR1 или ping-restart
persist-tun

# путь к файлу записи статуса OpenVPN в лог
status /var/log/openvpn/openvpn-status.log


# уровень информации для отладки
verb 3

# макс кол-во однотипных записей в лог
#mute 20
Сервер OpenVPN стартует

Конфа клиента:

Код: Выделить всё

dev tun
proto udp
remote 1.1.1.1
port 1194
client
resolv-retry infinite
pkcs12 sysadmin.p12
tls-client
tls-auth ta.key 1
auth SHA1
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
verb 3
Клиент (я) подключается, получаю IP 10.10.100.14
Лог:

Код: Выделить всё

Sun Oct 31 09:44:47 2010 OpenVPN 2.1.3 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Aug 20 2010
Sun Oct 31 09:44:47 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Oct 31 09:44:54 2010 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sun Oct 31 09:44:54 2010 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Sun Oct 31 09:44:54 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Oct 31 09:44:54 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Oct 31 09:44:54 2010 LZO compression initialized
Sun Oct 31 09:44:54 2010 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Sun Oct 31 09:44:54 2010 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Oct 31 09:44:54 2010 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Oct 31 09:44:54 2010 Local Options hash (VER=V4): '504e774e'
Sun Oct 31 09:44:54 2010 Expected Remote Options hash (VER=V4): '14168603'
Sun Oct 31 09:44:54 2010 UDPv4 link local (bound): [undef]:1194
Sun Oct 31 09:44:54 2010 UDPv4 link remote: 1.1.1.1:1194
Sun Oct 31 09:44:54 2010 TLS: Initial packet from 1.1.1.1:1194, sid=ab661f2d 6140bc87
Sun Oct 31 09:44:55 2010 VERIFY OK: depth=1, /C=RU/ST=Moscow/L=Moscow/O=server/OU=server/CN=server/name=server/emailAddress=root@localhost
Sun Oct 31 09:44:55 2010 VERIFY OK: nsCertType=SERVER
Sun Oct 31 09:44:55 2010 VERIFY OK: depth=0, /C=RU/ST=Moscow/L=Moscow/O=server/OU=server/CN=server/name=server/emailAddress=root@localhost
Sun Oct 31 09:44:55 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Oct 31 09:44:55 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Oct 31 09:44:55 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Oct 31 09:44:55 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Oct 31 09:44:55 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sun Oct 31 09:44:55 2010 [server] Peer Connection Initiated with 1.1.11.1:1194
Sun Oct 31 09:44:57 2010 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Sun Oct 31 09:44:57 2010 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 10.68.145.254,dhcp-option DNS 10.68.145.251,route 10.68.145.0 255.255.255.0,route 10.10.100.1,topology net30,ping 10,ping-restart 120,ifconfig 10.10.100.14 10.10.100.13'
Sun Oct 31 09:44:57 2010 OPTIONS IMPORT: timers and/or timeouts modified
Sun Oct 31 09:44:57 2010 OPTIONS IMPORT: --ifconfig/up options modified
Sun Oct 31 09:44:57 2010 OPTIONS IMPORT: route options modified
Sun Oct 31 09:44:57 2010 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sun Oct 31 09:44:57 2010 ROUTE default_gateway=192.168.0.1
Sun Oct 31 09:44:57 2010 TAP-WIN32 device [Подключение по локальной сети 3] opened: \\.\Global\{9FA9AEBE-06CA-456C-AD37-B6A5D16E6C97}.tap
Sun Oct 31 09:44:57 2010 TAP-Win32 Driver Version 9.7 
Sun Oct 31 09:44:57 2010 TAP-Win32 MTU=1500
Sun Oct 31 09:44:57 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.10.100.14/255.255.255.252 on interface {9FA9AEBE-06CA-456C-AD37-B6A5D16E6C97} [DHCP-serv: 10.10.100.13, lease-time: 31536000]
Sun Oct 31 09:44:57 2010 Successful ARP Flush on interface [16] {9FA9AEBE-06CA-456C-AD37-B6A5D16E6C97}
Sun Oct 31 09:45:02 2010 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Sun Oct 31 09:45:02 2010 C:\WINDOWS\system32\route.exe ADD 10.68.145.0 MASK 255.255.255.0 10.10.100.13
Sun Oct 31 09:45:02 2010 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Sun Oct 31 09:45:02 2010 Route addition via IPAPI succeeded [adaptive]
Sun Oct 31 09:45:02 2010 C:\WINDOWS\system32\route.exe ADD 10.10.100.1 MASK 255.255.255.255 10.10.100.13
Sun Oct 31 09:45:02 2010 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Sun Oct 31 09:45:02 2010 Route addition via IPAPI succeeded [adaptive]
Sun Oct 31 09:45:02 2010 Initialization Sequence Completed
Но!
Сети своей (10.68.145.0) не вижу и не пингуется она

Код: Выделить всё

C:\Users\sysadmin>ping 10.10.100.1

Обмен пакетами с 10.10.100.1 по с 32 байтами данных:
Ответ от 10.10.100.1: число байт=32 время=7мс TTL=64
Ответ от 10.10.100.1: число байт=32 время=7мс TTL=64
Ответ от 10.10.100.1: число байт=32 время=7мс TTL=64
Ответ от 10.10.100.1: число байт=32 время=7мс TTL=64

Статистика Ping для 10.10.100.1:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 7мсек, Максимальное = 7 мсек, Среднее = 7 мсек
В чем косяк мой?
Или из-за настроек ДНС (в качестве оных выступают два контроллера домена) или что то упустил

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2010-11-01 8:48:36

У того ПК который вы пингуете из дома, OpenVPN сервер основной шлюз?

и покажите route print на клиенте.

Порт
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Порт » 2010-11-01 12:11:58

Код: Выделить всё

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0               192.168.0.1    192.168.0.126     20
      10.10.100.1  255.255.255.255      10.10.100.13     10.10.100.14     30
     10.10.100.12  255.255.255.252         On-link      10.10.100.14    286
     10.10.100.14  255.255.255.255         On-link      10.10.100.14    286
     10.10.100.15  255.255.255.255         On-link      10.10.100.14    286
      10.68.145.0    255.255.255.0        10.10.100.13     10.10.100.14     30
        127.0.0.0        255.0.0.0             On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255     On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link     192.168.0.126    276
    192.168.0.126  255.255.255.255       On-link     192.168.0.126    276
    192.168.0.255  255.255.255.255         On-link     192.168.0.126    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.0.126    276
        224.0.0.0        240.0.0.0         On-link      10.10.100.14    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.0.126    276
  255.255.255.255  255.255.255.255         On-link      10.10.100.14    286
===========================================================================
Постоянные маршруты:
  Отсутствует
192.168.0.1 - это адрес моего домашнего ВПН-роутера
10.68.145.0 - подсетка на работе

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2010-11-01 12:30:07

В общем подсеть у вас роутиться нормально

Код: Выделить всё

10.68.145.0    255.255.255.0        10.10.100.13     10.10.100.14     30
на мой вопрос так и не ответили
У того ПК который на работе за OpenVPN, который вы пингуете из дома, OpenVPN сервер основной шлюз или нет ?

Порт
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Порт » 2010-11-01 12:51:54

Извините, задумался.
Нет, это просто персоналка, которая по задумке должна стать ВПН-шлюзам между мной (в дальнейшем с филиалом) и центральным офисом.
На нем поднята ОС, соответственно с двумя фейсами и стоит rinetd - пробросил RDP. Больше на ней ничего нет.

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2010-11-01 13:35:44

Порт писал(а):Извините, задумался.
Нет, это просто персоналка, которая по задумке должна стать ВПН-шлюзам между мной (в дальнейшем с филиалом) и центральным офисом.
На нем поднята ОС, соответственно с двумя фейсами и стоит rinetd - пробросил RDP. Больше на ней ничего нет.
В общем для того что бы вы смогли пингануть компьютер в офисе за OpenVPN сервером.
OpenVPN сервер в офисе должен быть основным шлюзом у всех ПК или хотя бы для теста у того ПК к которому хотите получить доступ.

Порт
проходил мимо

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Порт » 2010-11-01 13:54:38

ТО есть, если я пропишу айпишник второй сетевой карты (10.68.145.хх) на какой либо комп в локальной сети я буду иметь на него доступ?
А иначе никак нельзя сделать? У меня в качестве основного шлюза в локалке выступает циска.
Хочется предоставлять ресурсы центрального офиса филиалам. Какой вариант можно реализовать?

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение Cancer » 2010-11-01 14:57:43

Порт писал(а):ТО есть, если я пропишу айпишник второй сетевой карты (10.68.145.хх) на какой либо комп в локальной сети я буду иметь на него доступ?
А иначе никак нельзя сделать? У меня в качестве основного шлюза в локалке выступает циска.
Хочется предоставлять ресурсы центрального офиса филиалам. Какой вариант можно реализовать?
1.Вариант указать у компьютера в офисе основной шлюз сервер с OpenVPN
2.Вариант кажется делать как то можно через arp, но честно не пробовал.

стукани в ICQ или джаббер попробуем что нить сделать.

Аватара пользователя
JoyStick
ефрейтор
Сообщения: 55
Зарегистрирован: 2008-06-10 22:36:09
Откуда: One shot one hit
Контактная информация:

Re: Обсуждение VPN сервера OpenVPN

Непрочитанное сообщение JoyStick » 2010-11-01 18:50:51

OpenVPN-control
Вот такая фигня твориЦо, когда подключается программа.
Изображение

Код: Выделить всё

Nov  1 17:46:15 Free sshd[27877]: error: connect_to 127.0.0.1 port 4090: Connection refused
Nov  1 17:46:15 Free sshd[27877]: error: connect_to 127.0.0.1 port 4090: failed.
Nov  1 17:46:15 Free sshd[27877]: error: connect_to 127.0.0.1 port 4090: Connection refused
Nov  1 17:46:15 Free sshd[27877]: error: connect_to 127.0.0.1 port 4090: failed.
Nov  1 17:46:15 Free sshd[27877]: error: connect_to 127.0.0.1 port 4090: Connection refused
Nov  1 17:46:15 Free sshd[27877]: error: connect_to 127.0.0.1 port 4090: failed.