OpenVPN 2.0.6 на FREEBSD 7ке

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
mak_v_
проходил мимо

Re: OpenVPN 2.0.6 на FREEBSD 7ке

Непрочитанное сообщение mak_v_ » 2010-06-09 13:24:16

Как автор статьи скажу.....УЖОС
Статью уже вылизал "донемогу", а тут такие вопросы.......
ПРОСЬБА: читайте ВНИМАТЕЛЬНО статью

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

tur
мл. сержант
Сообщения: 72
Зарегистрирован: 2010-04-18 19:37:35

Re: OpenVPN 2.0.6 на FREEBSD 7ке

Непрочитанное сообщение tur » 2010-06-09 19:28:24

Ребята , сделал по статье все на 8 ке. Работает запускается. Но чего то за сервером не вижу локалку. Перечитал все топики по 5 раз . Уже каша в голове.
структура

моя сеть (192.168.3.0) далее роутер далее инет далее роутер сеть в другом месте (192.168.0.0)

IP сервера в другой сети , где настроен сервер опен впн 192.168.0.3.

ВОт что у меня на виндовой машинке после подключения
C:\Documents and Settings\егор>route print
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 1d 60 da 81 82 ...... NVIDIA nForce Networking Controller - ?шэшяюЁЄ я
ырэшЁют?шър яръхЄют
0x3 ...00 ff 69 62 a5 d0 ...... TAP-Win32 Adapter V8 - ?шэшяюЁЄ яырэшЁют?шър яръ
хЄют
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.3.1 192.168.3.200 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.200.5 192.168.200.6 1
192.168.3.0 255.255.255.0 192.168.3.200 192.168.3.200 20
192.168.3.200 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.3.255 255.255.255.255 192.168.3.200 192.168.3.200 20
192.168.200.1 255.255.255.255 192.168.200.5 192.168.200.6 1
192.168.200.4 255.255.255.252 192.168.200.6 192.168.200.6 30
192.168.200.6 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.200.255 255.255.255.255 192.168.200.6 192.168.200.6 30
224.0.0.0 240.0.0.0 192.168.3.200 192.168.3.200 20
224.0.0.0 240.0.0.0 192.168.200.6 192.168.200.6 30
255.255.255.255 255.255.255.255 192.168.3.200 192.168.3.200 1
255.255.255.255 255.255.255.255 192.168.200.6 192.168.200.6 1
Основной шлюз: 192.168.3.1
===========================================================================
Постоянные маршруты:
Отсутствует

C:\Documents and Settings\егор>ping 192.168.0.3

Обмен пакетами с 192.168.0.3 по 32 байт:

Ответ от 192.168.0.3: число байт=32 время=38мс TTL=64
Ответ от 192.168.0.3: число байт=32 время=29мс TTL=64
Ответ от 192.168.0.3: число байт=32 время=37мс TTL=64

Статистика Ping для 192.168.0.3:
Пакетов: отправлено = 3, получено = 3, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 29мсек, Максимальное = 38 мсек, Среднее = 34 мсек
Control-C
^C
C:\Documents and Settings\егор>ping 192.168.0.1

Обмен пакетами с 192.168.0.1 по 32 байт:

Превышен интервал ожидания для запроса.

Статистика Ping для 192.168.0.1:
Пакетов: отправлено = 1, получено = 0, потеряно = 1 (100% потерь),
Control-C
^C

Теперь конфиг rc

openvpn_enable="YES" # YES or NO
openvpn_if="tun" # driver(s) to load, set to "tun", "tap" or "tun tap"
openvpn_configfile="/usr/local/etc/openvpn/server.conf" # --config file
openvpn_dir="/usr/local/etc/openvpn" # --cd directory.
gateway_enable="YES"

Конфиг сервера

#порт на котором работает сервер
port 2000
# протокол - советую udp
proto udp
# - используемый тип устройства и номер.
dev tun0
#указываем файл CA
ca /usr/local/etc/openvpn/keys/ca.crt
#указываем файл с сертификатом сервера
cert /usr/local/etc/openvpn/keys/server.crt
#указываем файл с ключем сервера
key /usr/local/etc/openvpn/keys/server.key
#указываем файл Диффи Хельман
dh /usr/local/etc/openvpn/keys/dh1024.pem
#задаем IP-адрес сервера и маску подсети
# (виртуальной сети) - можно произвольную, (я выбрал такую)
server 192.168.200.0 255.255.255.0
#задаем МАРШРУТ который передаём клиентту
# и маску подсети для того чтобы он "видел"
# сеть за опенвпн сервером (сеть 192.168.1.0/24)
push "route 192.168.0.0 255.255.255.0"
# указываем где хранятся файлы с
# настройками IP-адресов клиентов
client-config-dir ccd
# добавляем маршрут сервер-клиент
route 192.168.200.0 255.255.255.252
# включаем TLS аутификацию
tls-server
# указываем tls-ключ, и указываем 0 для сервера, а 1 для клиента
tls-auth keys/ta.key 0
# таймаут до реконекта
tls-timeout 120.
auth MD5 #
# включаем шифрацию пакетов
cipher BF-CBC
keepalive 10 120
# сжатие трафика
comp-lzo
# максимум клиентов
max-clients 100
user nobody.
group nobody
# Не перечитывать ключи после получения
# SIGUSR1 или ping-restart
persist-key
# Не закрывать и переоткрывать TUN\TAP
# устройство, после получения
# SIGUSR1 или ping-restart
persist-tun
# логгирование (не забудьте создать эту дирректорию /var/log/openvpn/)
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
# Уровень информации для отладки
verb 3

Теперь конфиг ccd

ifconfig-push 192.168.200.2 192.168.200.1
iroute 192.168.0.0 255.255.255.0

короче говоря , у меня что то не так с маршрутами, либо вероятнее всего NAT на сервере не работает.
Хотя енабле гатвай в РС.КОНФ прописал.
В общем при подключении далее сервера локалку не вижу...

a-zet
проходил мимо

Re: OpenVPN 2.0.6 на FREEBSD 7ке

Непрочитанное сообщение a-zet » 2010-07-15 12:27:43

Скорее всего, ни кто не ответит, но все же рискну задать вопрос, ответ которого может пригодиться многим.
Есть ли в природе web-морда для VPNopen для Freebsd? Нужны функции просмотра сертификатов и их удаления + создание (но это не принципиально)
Досталось от старого админа скрипты для создания, просмотра, копирования и удаления сертификатов. Они крутились на Linux proxy 2.6.24raid #2 SMP Wed Feb 6 15:19:22 SAMT 2008 i686 GNU/Linux пытался поставить на FreeBSD 8.0, но видать знании не хватает, может, подскажете, где моя ошибка.

Вот один из скриптов просмотра и копирования ключа с программой на флешку:

Код: Выделить всё

#! /bin/sh
: ${DIALOG=dialog}

tempfile=`tempfile 2>/dev/null` || tempfile=/tmp/test$$
#trap "rm -f $tempfile" 0 1 2 5 15
rezfile=`tempfile 2>/dev/null` || rezfile=/tmp/rez$$
trap "rm -f $rezfile $tempfile" 0 1 2 5 15


ls /etc/openvpn/easy-rsa/keys |sort| grep csr | grep -v server | awk '{print substr($1,1,index($1,".")-1)" ключи off"}' >$tempfile

listk=`cat $tempfile`


$DIALOG --backtitle "Выбор ключа" \
	--title "Копирование ключа" --clear \
        --radiolist "Выбранный ключ будет скопирован на флешку" 60 81 10 \
	$listk 2>$rezfile

retval=$?


choice=`cat $rezfile | awk '{print $1}'`

rm -f /tmp/$rezfile
rm -f /tmp/$tempfile


case $retval in
  0)
    echo "'$choice' chosen.";
    if mount -t vfat /dev/sdc1 /scripts/vpn/mnt ; then
    cp -r /scripts/vpn/skelet/* /scripts/vpn/mnt;
    cp /etc/openvpn/easy-rsa/keys/$choice.key /scripts/vpn/mnt/VPN/client.key;
    cp /etc/openvpn/easy-rsa/keys/$choice.crt /scripts/vpn/mnt/VPN/client.crt;
    cp /etc/openvpn/easy-rsa/keys/ca.crt /scripts/vpn/mnt/VPN/ca.crt;
    cp /etc/openvpn/easy-rsa/keys/ta.key /scripts/vpn/mnt/VPN/ta.key;
    umount /scripts/vpn/mnt;
    else 
    $DIALOG --title "ОШИБКА !!!" --clear \
        --msgbox "Система не смогла примонтировать флешку для копирования." 10 45;
    fi 
    ;;
  1)
    echo "Cancel pressed.";;
  255)
    echo "ESC pressed.";;
esac
При запуске ошибка:
tempfile: not found
tempfile: not found
ESC pressed.

mak_v_
проходил мимо

Re: OpenVPN 2.0.6 на FREEBSD 7ке

Непрочитанное сообщение mak_v_ » 2010-07-15 13:52:06

Думаю что админ знания шела (хотя бы первичные) не оставил :-)
почитайте на досуге и разберитесь - думаю очень не помешает.

a-zet
проходил мимо

Re: OpenVPN 2.0.6 на FREEBSD 7ке

Непрочитанное сообщение a-zet » 2010-07-15 14:07:58

Это и так ясно, что учить надо, чем и занимаюсь, но времени мало. Может подскажите почему в Линуксе скрипт работает, а во FreeBSD нет?
Про web-морда для OpenVPN я молчу, они есть но заточены только как ни странно под Линукс.

mak_v_
проходил мимо

Re: OpenVPN 2.0.6 на FREEBSD 7ке

Непрочитанное сообщение mak_v_ » 2010-07-15 14:16:16

разберитесь построчно что делает ваш скрипт и всё станет на свои места

Kim_Kalisto
проходил мимо

Re: OpenVPN 2.0.6 на FREEBSD 7ке

Непрочитанное сообщение Kim_Kalisto » 2010-08-04 12:36:00

Прошу помощи. Все настроил по статье все прекрасно работает, но вот скорость очень маловата у клиентов.
Вобщем сервер подключен к двум разным провайдерам, у одного провайдера канал достаточно хороший, вот вопрос можно ли как то
перенаправить весь трафик OpenVPN а на интерфейс определенный сетевой карты подключенной к интернету ?
Заранее прошу не ругать, если глупость написал, я еще новичок во всем этом деле.
Спасибо

mak_v_
проходил мимо

Re: OpenVPN 2.0.6 на FREEBSD 7ке

Непрочитанное сообщение mak_v_ » 2010-08-04 14:42:15

можно, без особых телодвижений
прописав роутинг на сервере и клиенте
например:
1) сервер 1.1.1.2->1.1.1.1 (быстрый провайдер ваш ип и шлюз к прову)
2) филиал-клиент 2.2.2.2->2.2.2.1

даём маршруты
на сервере route add 2.2.2.2 1.1.1.1
на на клиенте route add 1.1.1.2 2.2.2.1

При этом опенвпн-сервер должен слушать на интерфейсе 1.1.1.2 (ведь трафик через быстрый канал хотите через него терминировать)

Kim_Kalisto
проходил мимо

Re: OpenVPN 2.0.6 на FREEBSD 7ке

Непрочитанное сообщение Kim_Kalisto » 2010-08-09 14:47:47

Еще один вопрос, как ранее говорил все работает, но только сегодня заметил что не совсем правильно.
Клиенты видят только сервер, а все что за ним не видят, в чем подвох ? привожу конфиги

server.conf


[b][code]port 2000
proto udp
dev tun0

ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key

dh /usr/local/etc/openvpn/keys/dh1024.pem

server 10.10.200.0 255.255.255.0
route 10.10.200.0 255.255.255.0
push "route 192.168.200.0 255.255.255.0"
client-config-dir ccd
route 10.10.200.0 255.255.255.252
tls-server
tls-auth keys/ta.key 0
tls-timeout 120
auth MD5
cipher BF-CBC
keepalive 10 120
comp-lzo
max-clients 100
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3[/code]
[/b]


у клиента:

[b][code]dev tun
proto udp
remote X.X.X.X
port 2000
client
resolv-retry infinite
ca ca.crt
cert client1.crt
key client1.key
tls-client
tls-auth ta.key 1
auth MD5
cipher BF-CBC
comp-lzo
ns-cert-type server
persist-key
persist-tun
verb 3
[/code][/b]

файл CCD\client1

ifconfig-push 10.10.200.2 10.10.200.1

Клиент получает адрес верный (10.10.200.2) но сеть за сервером не видит.

Заранее благодарен за ответ.

mak_v_
проходил мимо

Re: OpenVPN 2.0.6 на FREEBSD 7ке

Непрочитанное сообщение mak_v_ » 2010-08-09 14:57:26

файл CCD\client1
ifconfig-push 10.10.200.2 10.10.200.1
iroute <сеть за сервером> 255.255.255.0

Kim_Kalisto
проходил мимо

Re: OpenVPN 2.0.6 на FREEBSD 7ке

Непрочитанное сообщение Kim_Kalisto » 2010-08-10 10:26:06

прописал эту строку в ccd/client1, но теперь клиент совсем ни чего не видит, даже сервер.
вот лог подключения у клиента:

Tue Aug 10 11:23:10 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.10.200.2/255.255.255.252 on interface {35BEA065-D4C9-4A45-AEDB-0D3B9429E4DE} [DHCP-serv: 10.10.200.1, lease-time: 31536000]
Tue Aug 10 11:23:10 2010 Successful ARP Flush on interface [3] {35BEA065-D4C9-4A45-AEDB-0D3B9429E4DE}
Tue Aug 10 11:23:10 2010 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Aug 10 11:23:10 2010 Route: Waiting for TUN/TAP interface to come up...
Tue Aug 10 11:23:12 2010 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Tue Aug 10 11:23:12 2010 OpenVPN ROUTE: omitted no-op route: 10.10.200.1/255.255.255.255 -> 10.10.200.1
Tue Aug 10 11:23:12 2010 Initialization Sequence Completed

mak_v_
проходил мимо

Re: OpenVPN 2.0.6 на FREEBSD 7ке

Непрочитанное сообщение mak_v_ » 2010-08-10 10:33:47

Проверьте маршуты на клиенте, на сервере, посмотрите недостающие.

З.Ы. Если хотите чтобы вам сразу помогли "готовым решением" научитесь описывать ситацию
1) опишите структуру сети (лучше графически), с указанием адресов, шлюзов и т.д
2) опишите настройки серверных и клиентсих частей
3) опишите что не работает

mak_v_
проходил мимо

Re: OpenVPN 2.0.6 на FREEBSD 7ке

Непрочитанное сообщение mak_v_ » 2010-08-10 10:40:13

думаю проблема максимум 10-15 минут, если дадите шелл и конфетку :-) - помогу

Гость
проходил мимо

Re: OpenVPN 2.0.6 на FREEBSD 7ке

Непрочитанное сообщение Гость » 2010-08-10 10:51:50

Прошу прощения что сразу не предоставил всю информацию.

Структура сети простая, сервер, за ним сеть с адресацией 192.168.200.0/24, на сервере так же работает samba, установил OpenVPN, все как по статье ни в шаг вправо ни шаг влево не отступал. Клиент без проблем соединяется с сервером, видит шары самбы, но все что за сервером не видит. на всякий случай привожу еще раз настройки сервера и клиента.

server.conf

Код: Выделить всё

port 2000
proto udp
dev tun0

ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key

dh /usr/local/etc/openvpn/keys/dh1024.pem

server 10.10.200.0 255.255.255.0
route 10.10.200.0 255.255.255.0
push "route 192.168.200.0 255.255.255.0"
client-config-dir ccd
route 10.10.200.0 255.255.255.252
tls-server
tls-auth keys/ta.key 0
tls-timeout 120
auth MD5
cipher BF-CBC
keepalive 10 120
comp-lzo
max-clients 100
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3
openvpn.ovpn

Код: Выделить всё

dev tun
proto udp
remote X.X.X.X
port 2000
client
resolv-retry infinite
ca ca.crt
cert client1.crt
key client1.key
tls-client
tls-auth ta.key 1
auth MD5
cipher BF-CBC
comp-lzo
ns-cert-type server
persist-key
persist-tun
verb 3
файл ccd/client1

Код: Выделить всё

ifconfig-push 10.10.200.2 10.10.200.1
по вашему совету добавлял строку iroute 192.168.200.0 255.255.255.0 в файл client1, но при соединении с сервером клиент уже не видит ни сервер ни сеть за ним.

Может я по не знанию что то упустил. Если возможно прошу помощи разобраться

mak_v_
проходил мимо

Re: OpenVPN 2.0.6 на FREEBSD 7ке

Непрочитанное сообщение mak_v_ » 2010-08-10 11:12:14

пример описания
1)сеть 192.168.200.0/24->192.168.200.1(gateway)-10.0.0.1(openvpnserver)--------------------2.2.2.2(openvpnclient)-192.168.1.1(gatway)<--192.168.1.0/24
2)соответственно на клиенте и на сервере конфиги
3)таблицу маршрутов на сервере и клиенте
и надеюсь в обеих сетях как шлюзы по умолчанию сервера с опнвпн? фаерволы пропускают?

Kim_Kalisto
проходил мимо

Re: OpenVPN 2.0.6 на FREEBSD 7ке

Непрочитанное сообщение Kim_Kalisto » 2010-08-10 13:08:13

сеть 192.168.200.0/24->192.168.200.50(gateway)-10.10.200.0(openvpnserver)----------------------------------10.10.200.2(openvpnclient)-192.168.0.11(gateway)<--192.168.0.0/24

конфиги сервера

Код: Выделить всё

port 2000
proto udp
dev tun0

ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key

dh /usr/local/etc/openvpn/keys/dh1024.pem

server 10.10.200.0 255.255.255.0
route 10.10.200.0 255.255.255.0
push "route 192.168.200.0 255.255.255.0"
client-config-dir ccd
route 10.10.200.0 255.255.255.252
tls-server
tls-auth keys/ta.key 0
tls-timeout 120
auth MD5
cipher BF-CBC
keepalive 10 120
comp-lzo
max-clients 100
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3
клиента

Код: Выделить всё

dev tun
proto udp
remote X.X.X.X
port 2000
client
resolv-retry infinite
ca ca.crt
cert client1.crt
key client1.key
tls-client
tls-auth ta.key 1
auth MD5
cipher BF-CBC
comp-lzo
ns-cert-type server
persist-key
persist-tun
verb 3
файл ccd/client1

Код: Выделить всё

ifconfig-push 10.10.200.2  10.10.200.1
таблица маршрутов сервера

Код: Выделить всё

Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            85-218-32-149.stat UGS         0   332942   bce0
10.10.200.0/30     10.10.200.2        UGS         0        0   tun0 =>
10.10.200.0        10.10.200.2        UGS         0        0   tun0
10.10.200.2        10.10.200.1        UH          2        2   tun0
85.218.32.148/30   link#1             UC          0        0   bce0
85-218-32-149.stat 00:17:10:00:fe:b4  UHLW        2        0   bce0   1169
109.164.222.152/30 link#3             UC          0        0   bce2
ch.spsystemCH.loca 00:26:55:4b:fc:de  UHLW        1       16    lo0
localhost          localhost          UH          0     5401    lo0
192.168.200.0      link#2             UC          0        0   bce1
192.168.200.52     00:25:b3:11:3c:14  UHLW        1   115633   bce1   1197
192.168.200.255    ff:ff:ff:ff:ff:ff  UHLWb       1     2073   bce1

Internet6:
Destination        Gateway            Flags      Netif Expire
localhost          localhost          UHL         lo0
fe80::%lo0         fe80::1%lo0        U           lo0
fe80::1%lo0        link#5             UHL         lo0
ff01:5::           fe80::1%lo0        UC          lo0
ff02::%lo0         fe80::1%lo0        UC          lo0
таблица маршрутов клиента

Код: Выделить всё

===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     192.168.0.11   192.168.0.111       10
      10.10.200.0  255.255.255.252      10.10.200.2     10.10.200.2       30
      10.10.200.2  255.255.255.255        127.0.0.1       127.0.0.1       30
   10.255.255.255  255.255.255.255      10.10.200.2     10.10.200.2       30
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0    255.255.255.0    192.168.0.111   192.168.0.111       10
    192.168.0.111  255.255.255.255        127.0.0.1       127.0.0.1       10
    192.168.0.255  255.255.255.255    192.168.0.111   192.168.0.111       10
     192.168.85.0    255.255.255.0     192.168.85.1    192.168.85.1       20
     192.168.85.1  255.255.255.255        127.0.0.1       127.0.0.1       20
   192.168.85.255  255.255.255.255     192.168.85.1    192.168.85.1       20
    192.168.200.0    255.255.255.0      10.10.200.1     10.10.200.2       1
        224.0.0.0        240.0.0.0      10.10.200.2     10.10.200.2       30
        224.0.0.0        240.0.0.0    192.168.0.111   192.168.0.111       10
        224.0.0.0        240.0.0.0     192.168.85.1    192.168.85.1       20
  255.255.255.255  255.255.255.255      10.10.200.2     10.10.200.2       1
  255.255.255.255  255.255.255.255    192.168.0.111   192.168.0.111       1
  255.255.255.255  255.255.255.255     192.168.85.1    192.168.85.1       1
Основной шлюз:        192.168.0.11
===========================================================================
Постоянные маршруты:
  Отсутствует

C:\Documents and Settings\Администратор>


прошу пожайлуста помогите, увидеть сеть за впн сервером

:st: :st:

mak_v_
проходил мимо

Re: OpenVPN 2.0.6 на FREEBSD 7ке

Непрочитанное сообщение mak_v_ » 2010-08-10 14:19:40

Вы написали какой-то бред.
то у вас "всё по статье", видим какую то винду непонятную.
Из того что увидел:
1) на сервере нет маршрута к сети за клиентом
2) клиент - я имеюю ввиду клиент-опенвпн (сервер на котором установлнен опенвпн), а не машина за клиентом

Либо разберитесь и опишите грамотно, либо пишите в аську - может хоть что-то будет понятно

naker
проходил мимо
Сообщения: 4
Зарегистрирован: 2010-10-06 9:54:21

Re: OpenVPN 2.0.6 на FREEBSD 7ке

Непрочитанное сообщение naker » 2010-11-02 22:40:03

Подскажите кто чем может.

IPFW
${cmd} add allow all from any to any in via ${openvpn_if}
${cmd} add allow all from any to any out via ${openvpn_if}
${cmd} add allow ip from 10.0.200.0/24 to 192.168.1.0/24
${cmd} add allow ip from 192.168.1.0/24 to 10.0.200.0/24

openvpn.conf
port 1194
proto tcp
dev tun0
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
server 10.0.200.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
client-config-dir ccd
route 10.0.200.0 255.255.255.252
tls-server
tls-auth /usr/local/etc/openvpn/keys/ta.key 0
tls-timeout 120
auth MD5
cipher BF-CBC
keepalive 10 120
comp-lzo
max-clients 5
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3

client
ifconfig-push 10.0.200.2 10.0.200.1

openvpn.ovpn
dev tun
proto udp
remote 80.X.X.X
port 1194
client
resolv-retry infinite
ca ca.crt
cert client.crt
key client.key
tls-client
tls-auth ta.key 1
auth MD5
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
verb 3

все подключается, присваивается ip-10.0.200.2, ping проходит до 10.0.200.1 и все. Внутренняя подсеть (192.168.1.0/24) не отвечает.
Хотелось бы из любой точки, где есть интернет, подключаться к серверу и попадать в локальную сеть. Возможно ли это организовать?


naker
проходил мимо
Сообщения: 4
Зарегистрирован: 2010-10-06 9:54:21

Re: OpenVPN 2.0.6 на FREEBSD 7ке

Непрочитанное сообщение naker » 2010-11-02 23:29:28

Вот что у меня на сервере творится, меня это немного смущает

nestat -rn

Код: Выделить всё

default            80.XX.XX.XX        UGS         0  1067930    em0
10.0.200.0/30      10.0.200.2         UGS         0        0   tun0 =>
10.0.200.0/24      10.0.200.2         UGS         0        0   tun0
10.0.200.2         10.0.200.1         UH          2        0   tun0
больше по существу нет ничего.

mak_v_
проходил мимо

Re: OpenVPN 2.0.6 на FREEBSD 7ке

Непрочитанное сообщение mak_v_ » 2010-11-02 23:35:30

если вы отвечаете [quote]по существу[quote], то я вам по существу тоже отвечу
1) таблица маршрутизации на клиенте (касаемо сети за сервером и касаемо "тунеля")
2) аналогичная таблица на сервере
3) аналогичная на машине за сервером (надеюсь у неё шлюзом к сети 10.хххх является ваш сервер)

naker
проходил мимо
Сообщения: 4
Зарегистрирован: 2010-10-06 9:54:21

Re: OpenVPN 2.0.6 на FREEBSD 7ке

Непрочитанное сообщение naker » 2010-11-03 0:18:10

mak_v_ писал(а):если вы отвечаете
по существу
, то я вам по существу тоже отвечу
1) таблица маршрутизации на клиенте (касаемо сети за сервером и касаемо "тунеля")
2) аналогичная таблица на сервере
3) аналогичная на машине за сервером (надеюсь у неё шлюзом к сети 10.хххх является ваш сервер)
маршрутизации на клиенте

Код: Выделить всё

Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     192.168.10.1     192.168.10.2     20
       10.0.200.0  255.255.255.252         On-link        10.0.200.2    286
       10.0.200.2  255.255.255.255         On-link        10.0.200.2    286
       10.0.200.3  255.255.255.255         On-link        10.0.200.2    286
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
     192.168.10.0    255.255.255.0         On-link      192.168.10.2    276
     192.168.10.2  255.255.255.255         On-link      192.168.10.2    276
   192.168.10.255  255.255.255.255         On-link      192.168.10.2    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.10.2    276
        224.0.0.0        240.0.0.0         On-link        10.0.200.2    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.10.2    276
  255.255.255.255  255.255.255.255         On-link        10.0.200.2    286
таблица на сервере

Код: Выделить всё

Destination        Gateway            Flags    Refs      Use  Netif Expire
default            80.XX.XX.1        UGS         0  1069595    em0
10.0.200.0/30      10.0.200.2         UGS         0        0   tun0 =>
10.0.200.0/24      10.0.200.2         UGS         0        0   tun0
10.0.200.2         10.0.200.1         UH          2        0   tun0
80.XX.XX.0/24     link#1             UC          0        0    em0
80.XX.XX.1        00:13:d4:69:e3:76  UHLW        2        0    em0   1200
80.XX.XX.2        00:24:8c:da:03:30  UHLW        1    39934    em0   1200
80.XX.XX.5        00:30:84:24:72:36  UHLW        1        0    em0   1200
80.XX.XX.16       00:14:6c:b0:77:ab  UHLW        1        0    em0   1200
80.XX.XX.64       00:02:a4:04:fb:e3  UHLW        1        0    em0   1125
80.XX.XX.197      00:1d:60:13:f2:44  UHLW        1      127    em0   1195
80.XX.XX.226      00:14:2a:f6:40:ae  UHLW        1        0    em0   1097
127.0.0.1          127.0.0.1          UH          0    18630    lo0
192.168.1.0/24     link#2             UC          0        0    em1
192.168.1.1        00:1b:21:70:0b:f5  UHLW        1       60    lo0
192.168.1.2        00:1a:92:70:e1:9b  UHLW        1    64176    em1    686
192.168.1.5        00:24:8c:d9:6b:7e  UHLW        1    13332    em1   1038
192.168.1.7        00:1a:92:70:e1:5c  UHLW        1     5618    em1   1158
192.168.1.255      ff:ff:ff:ff:ff:ff  UHLWb       1      636    em1
машина за сервером

Код: Выделить всё

Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.5       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.1.0    255.255.255.0      192.168.1.5     192.168.1.5       20
      192.168.1.5  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.1.255  255.255.255.255      192.168.1.5     192.168.1.5       20
        224.0.0.0        240.0.0.0      192.168.1.5     192.168.1.5       20
  255.255.255.255  255.255.255.255      192.168.1.5     192.168.1.5       1
Основной шлюз:         192.168.1.1

mak_v_
проходил мимо

Re: OpenVPN 2.0.6 на FREEBSD 7ке

Непрочитанное сообщение mak_v_ » 2010-11-03 0:56:17

Ответ по существу - на клиенте нет маршрута к сети за сервером
соттветственно не отработала опция push (заданная в конфиге сервера) - маршрут не "протолкнулся" - причин много может быть, от нехватки прав на винде для добавления маршрута, "умных касперычей" до неправильной прописке конфига.
смотрите логи, почему не добавился маршрут на клиенте - в логах на сервере и клиенте
1) дайте маршрут вручную на клиенте \route add 192.168.1.0 netmask 255.255.255.0 10.0.200.1\ (после поднятия тунеля) и у вас появится пинг.
2) найдите почему у вас клиент не "кушает" маршрут, передаваемый сервером


попробуйте персонально указать клиенту маршрут с помощью опции iroute в файле client

naker
проходил мимо
Сообщения: 4
Зарегистрирован: 2010-10-06 9:54:21

Re: OpenVPN 2.0.6 на FREEBSD 7ке

Непрочитанное сообщение naker » 2010-11-04 3:03:14

mak_v_ писал(а):Ответ по существу - на клиенте нет маршрута к сети за сервером
соттветственно не отработала опция push (заданная в конфиге сервера) - маршрут не "протолкнулся" - причин много может быть, от нехватки прав на винде для добавления маршрута, "умных касперычей" до неправильной прописке конфига.
смотрите логи, почему не добавился маршрут на клиенте - в логах на сервере и клиенте
1) дайте маршрут вручную на клиенте \route add 192.168.1.0 netmask 255.255.255.0 10.0.200.1\ (после поднятия тунеля) и у вас появится пинг.
2) найдите почему у вас клиент не "кушает" маршрут, передаваемый сервером


попробуйте персонально указать клиенту маршрут с помощью опции iroute в файле client
Спасибо самое огромное.
С конфигом еще не разобрался почему push не работает, но iroute помог.
Еще раз самое огроменое спасибо!!!

gurov
проходил мимо
Сообщения: 4
Зарегистрирован: 2010-11-06 11:20:36

Re: OpenVPN 2.0.6 на FREEBSD 7ке

Непрочитанное сообщение gurov » 2010-11-06 11:48:33

Доброго времени суток всем. Прошу помочь советом. Делал все по статье http://www.lissyara.su/articles/freebsd ... y/openvpn/ и все запустилось сразу, большое спасибо автору! Но есть проблема которую пока не могу решить. Сервер построен на FreeBSD 8.0, на нем поднят NAT с помощью PF. Подкючение к Интернету происходит через ppoe соединение которое висит на tun0 , в конфиге сервера server.conf для VPN указал tun1, в качестве протокола выбрал рекомендованный udp. Все клиенты подключаются с первого раза пинги идут во все стороны, то есть клиенты видят внутреннюю сеть, из сети видно клиентов, в общем врде все ок, но заметил следующее - при первом подключении клиента пинг до сервера или внутреннего ресурса состовляет не более 58 мс все прекрасно, но если разорвать соединение и подключиться по новой пинг может доходить до 400 и ниже 200 мс не опускается. С таким пингом ни работать по RDP ни даже нормально по SSH работать не получается. Подскажите в чем может быть причина. Пробовал менять протокол с udp на tcp теперь даже подключиться не могу придется ехать через весь город. Вот лог с клиента при переходе на tcp

Код: Выделить всё

Sat Nov 06 10:07:14 2010 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Sat Nov 06 10:07:14 2010 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Sat Nov 06 10:07:14 2010 Outgoing Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Sat Nov 06 10:07:14 2010 Incoming Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Sat Nov 06 10:07:14 2010 LZO compression initialized
Sat Nov 06 10:07:14 2010 Control Channel MTU parms [ L:1540 D:164 EF:64 EB:0 ET:0 EL:0 ]
Sat Nov 06 10:07:14 2010 Data Channel MTU parms [ L:1540 D:1450 EF:40 EB:135 ET:0 EL:0 AF:3/1 ]
Sat Nov 06 10:07:14 2010 Local Options hash (VER=V4): 'e6beeeed'
Sat Nov 06 10:07:14 2010 Expected Remote Options hash (VER=V4): '9183b24b'
Sat Nov 06 10:07:14 2010 Attempting to establish TCP connection with ip:2010
Sat Nov 06 10:07:15 2010 TCP connection established with ip:2010
Sat Nov 06 10:07:15 2010 TCPv4_CLIENT link local: [undef]
Sat Nov 06 10:07:15 2010 TCPv4_CLIENT link remote: ip:2010
Sat Nov 06 10:07:16 2010 TLS: Initial packet from ip:2010, sid=42e381e5 ffd5371f
Sat Nov 06 10:07:27 2010 VERIFY OK: depth=1, /C=UA/ST=Region/L=Region/O=serverVPN/OU=serverVPN/CN=soprano/emailAddress=me@myhost.mydomain
Sat Nov 06 10:07:27 2010 VERIFY OK: nsCertType=SERVER
Sat Nov 06 10:07:27 2010 VERIFY OK: depth=0, /C=UA/ST=Region/O=serverVPN/OU=serverVPN/CN=soprano/emailAddress=me@myhost.mydomain
Sat Nov 06 10:07:33 2010 Connection reset, restarting [0]

После рестарт подключения и так по кругу. При udp все подключается но повышенный пинг не дает возможности работать.
P.S. Фильтрующие настройки фаервола отключил оставил только NAT.