OpenVPN 2.0.6 на FREEBSD 7ке

[gurov]

Вышел в Интернет от другого провайдера (через gprs) и подключился через tcp так что с этим проблема снята, однако пинг все равно нереальный. Проблема с завышенным пингом еще актуальна, буду признателен за помощь.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[mak_v_]

впервые такое вижу. локализируйте проблему:
1) сравните задержки до внешнего и тунельного адреса сервера.
2) Если присутствует разница - проверьте задержки между тунельным адресом сервера и машиной "за сервером"
3) на основе полученных результатов - выведите "область проблемы" и тогда уж задайте правильный вопрос

[gurov]

Спасибо за желание помочь. Сделал следующие действия, чтобы не грешить на PF , отключил его вовсе, нат поднял средствами самого ppp.conf. Пинг стабильный 50-57 мс как на внешнем так и на тунельном адресе сервера. VPN подключается быстро и без проблем при переподключениях или одновременных подключений нескольких клиентов тоже все остается в норме. Но как только хотя бы с одного клиента зайти по RDP на машину во внутренней сети и открыть на ней приложение содержащее графику пинг выростает до 300 мс и уже не падает даже после закрытия соединения клиента.
Задержки вырастают на внешнем интерфейсе и как следствие на тунельном адресе сервера, и на любом адресе в сети "за сервером". Закрытие всех соединений через впн не приводит к понижению задержек, пинг приходит в норму только после перезапуска сервера\переподключения ppp.conf. Проблема видимо не в OpenVpn, но в чем именно понять пока не могу...

[mak_v_]

тогда tcpdump, trafshow, netstat вам в руки - анализируйте.

Думаю проблема не в pf (у меня он и натит и фильтрует)
Возможно в ppp (альтернативно - mpd, я бы даже рекомендовал), возможно на RDP-сервере. Нужно детальное мзучение общей картины.

[gurov]

Еще раз спасибо за помощь. pf действительно не при чем, так как его отключение картины не поменяло. Буду пробовать mpd вместо ppp.

[Yucatan]

Не хочу показаться некропостером, настроил все по статье, все работает. В инструкции есть маленькая неточность, которая до сих пор не исправлена в статье. При ревоке сертификата

Копируем только что создавшийся crl.pem на место того, который уже есть (путь к нему нужно смотреть в файле openvpn.conf, параметр crl-verify) Если такого параметра нет - то добавляем его и указываем местоположение нового файла

Думаю, правильно не openvpn.conf, а все же server.conf, т.е. конфиг сервера из папки /usr/local/etc/openvpn/ Т.к. чуть раньше мы настраиваем именно конфиг с таким именем

Создаем конфигурационный файл server.conf следующего содержимого:

Может быть кому-то пригодится.

[mak_v_]

поправляю

[mak_v_]

исправлено

[Sindikat88]

Коллеги, добрый день.
А никто не задавался вопросом, как ограничить входящую/исходящую скорость для каждого VPN клиента?

[mak_v_]

Коллеги, добрый день.
А никто не задавался вопросом, как ограничить входящую/исходящую скорость для каждого VPN клиента?

правилами фаевола

[Sindikat88]

Коллеги, добрый день.
А никто не задавался вопросом, как ограничить входящую/исходящую скорость для каждого VPN клиента?

правилами фаевола

А поконкретнее можете подсказать?

[mak_v_]

забанили в гугле? - ключевое слово "шейпер"

[Sindikat88]

забанили в гугле? - ключевое слово "шейпер"

в Гугле не забанили
Про шейпер я искал, но не понял один момент, мне надо ограничить не всю скорость VPN, а именно сделать распределение, чтобы на каждого пользователя распределялось 64Kb/s

[mak_v_]

Благословляю, делайте!

[Sindikat88]

Очень смешно...
Я обратился за помощью, а не за Благословлением.

[mak_v_]

Ну если вам нужна помощь на тарелочке с "голубой каёмочкой" - то это не за "спасибо".

[Bugaev]

подскажите где ошибка ?

сервер uname -a

Код: Выделить всё

FreeBSD a64x2.sapr.home 8.2-RELEASE FreeBSD 8.2-RELEASE #2: Mon Mar 12 01:53:22 SAMT 2012     do@a64x2.sapr.home:/usr/obj/usr/src/sys/new  i386

Код: Выделить всё

a64x2# cat server.conf
port 2000
proto tcp
dev tun0
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
server 10.2.3.0 255.255.255.0
push "route 10.2.3.0 255.255.255.0"
client-config-dir ccd
route 10.2.3.0 255.255.255.252
tls-server
tls-auth /usr/local/etc/openvpn/keys/ta.key 0
tls-timeout 120
comp-lzo
max-clients 100
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
log /var/log/openvpn.log
verb 3

Код: Выделить всё

cat /etc/rc.conf
# openvpn
openvpn_enable="YES"
openvpn_if="tun"
openvpn_configfile="/usr/local/etc/openvpn/server.conf"
openvpn_dir="/usr/local/etc/openvpn"

конфиг клиента

Код: Выделить всё

dev tun
proto tcp
remote 10.2.1.22
port 2000
client
resolv-retry infinite
ca ca.crt
cert client.crt
key client.key
tls-client
tls-auth ta.key 1
auth MD5
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
verb 3

лог на клиенте - "окнах"

Код: Выделить всё

Tue Mar 13 21:14:42 2012 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Tue Mar 13 21:14:42 2012 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Tue Mar 13 21:14:42 2012 Outgoing Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Tue Mar 13 21:14:42 2012 Incoming Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Tue Mar 13 21:14:42 2012 LZO compression initialized
Tue Mar 13 21:14:42 2012 Control Channel MTU parms [ L:1540 D:164 EF:64 EB:0 ET:0 EL:0 ]
Tue Mar 13 21:14:42 2012 Data Channel MTU parms [ L:1540 D:1450 EF:40 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Mar 13 21:14:42 2012 Local Options hash (VER=V4): 'e6beeeed'
Tue Mar 13 21:14:42 2012 Expected Remote Options hash (VER=V4): '9183b24b'
Tue Mar 13 21:14:42 2012 Attempting to establish TCP connection with 10.2.1.22:2000
Tue Mar 13 21:14:42 2012 TCP connection established with 10.2.1.22:2000
Tue Mar 13 21:14:42 2012 TCPv4_CLIENT link local: [undef]
Tue Mar 13 21:14:42 2012 TCPv4_CLIENT link remote: 10.2.1.22:2000
Tue Mar 13 21:14:42 2012 Connection reset, restarting [0]
Tue Mar 13 21:14:42 2012 TCP/UDP: Closing socket
Tue Mar 13 21:14:42 2012 SIGUSR1[soft,connection-reset] received, process restarting
Tue Mar 13 21:14:42 2012 Restart pause, 5 second(s)
Tue Mar 13 21:14:47 2012 Re-using SSL/TLS context
Tue Mar 13 21:14:47 2012 LZO compression initialized
Tue Mar 13 21:14:47 2012 Control Channel MTU parms [ L:1540 D:164 EF:64 EB:0 ET:0 EL:0 ]
Tue Mar 13 21:14:47 2012 Data Channel MTU parms [ L:1540 D:1450 EF:40 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Mar 13 21:14:47 2012 Local Options hash (VER=V4): 'e6beeeed'
Tue Mar 13 21:14:47 2012 Expected Remote Options hash (VER=V4): '9183b24b'
Tue Mar 13 21:14:47 2012 Attempting to establish TCP connection with 10.2.1.22:2000
Tue Mar 13 21:14:47 2012 TCP connection established with 10.2.1.22:2000
Tue Mar 13 21:14:47 2012 TCPv4_CLIENT link local: [undef]
Tue Mar 13 21:14:47 2012 TCPv4_CLIENT link remote: 10.2.1.22:2000
Tue Mar 13 21:14:47 2012 Connection reset, restarting [0]
Tue Mar 13 21:14:47 2012 TCP/UDP: Closing socket
Tue Mar 13 21:14:47 2012 SIGUSR1[soft,connection-reset] received, process restarting
Tue Mar 13 21:14:47 2012 Restart pause, 5 second(s)
Tue Mar 13 21:14:52 2012 Re-using SSL/TLS context
Tue Mar 13 21:14:52 2012 LZO compression initialized
Tue Mar 13 21:14:52 2012 Control Channel MTU parms [ L:1540 D:164 EF:64 EB:0 ET:0 EL:0 ]
Tue Mar 13 21:14:52 2012 Data Channel MTU parms [ L:1540 D:1450 EF:40 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Mar 13 21:14:52 2012 Local Options hash (VER=V4): 'e6beeeed'
Tue Mar 13 21:14:52 2012 Expected Remote Options hash (VER=V4): '9183b24b'
Tue Mar 13 21:14:52 2012 Attempting to establish TCP connection with 10.2.1.22:2000
Tue Mar 13 21:14:52 2012 TCP connection established with 10.2.1.22:2000
Tue Mar 13 21:14:52 2012 TCPv4_CLIENT link local: [undef]
Tue Mar 13 21:14:52 2012 TCPv4_CLIENT link remote: 10.2.1.22:2000
Tue Mar 13 21:14:52 2012 Connection reset, restarting [0]
Tue Mar 13 21:14:52 2012 TCP/UDP: Closing socket
Tue Mar 13 21:14:52 2012 SIGUSR1[soft,connection-reset] received, process restarting
Tue Mar 13 21:14:52 2012 Restart pause, 5 second(s)
Tue Mar 13 21:14:57 2012 Re-using SSL/TLS context
Tue Mar 13 21:14:57 2012 LZO compression initialized
Tue Mar 13 21:14:57 2012 Control Channel MTU parms [ L:1540 D:164 EF:64 EB:0 ET:0 EL:0 ]
Tue Mar 13 21:14:57 2012 Data Channel MTU parms [ L:1540 D:1450 EF:40 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Mar 13 21:14:57 2012 Local Options hash (VER=V4): 'e6beeeed'
Tue Mar 13 21:14:57 2012 Expected Remote Options hash (VER=V4): '9183b24b'
Tue Mar 13 21:14:57 2012 Attempting to establish TCP connection with 10.2.1.22:2000
Tue Mar 13 21:14:57 2012 TCP connection established with 10.2.1.22:2000
Tue Mar 13 21:14:57 2012 TCPv4_CLIENT link local: [undef]
Tue Mar 13 21:14:57 2012 TCPv4_CLIENT link remote: 10.2.1.22:2000
Tue Mar 13 21:14:57 2012 Connection reset, restarting [0]
Tue Mar 13 21:14:57 2012 TCP/UDP: Closing socket
Tue Mar 13 21:14:57 2012 SIGUSR1[soft,connection-reset] received, process restarting
Tue Mar 13 21:14:57 2012 Restart pause, 5 second(s)
Tue Mar 13 21:15:02 2012 Re-using SSL/TLS context
Tue Mar 13 21:15:02 2012 LZO compression initialized
Tue Mar 13 21:15:02 2012 Control Channel MTU parms [ L:1540 D:164 EF:64 EB:0 ET:0 EL:0 ]
Tue Mar 13 21:15:02 2012 Data Channel MTU parms [ L:1540 D:1450 EF:40 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Mar 13 21:15:02 2012 Local Options hash (VER=V4): 'e6beeeed'
Tue Mar 13 21:15:02 2012 Expected Remote Options hash (VER=V4): '9183b24b'
Tue Mar 13 21:15:02 2012 Attempting to establish TCP connection with 10.2.1.22:2000
Tue Mar 13 21:15:02 2012 TCP connection established with 10.2.1.22:2000
Tue Mar 13 21:15:02 2012 TCPv4_CLIENT link local: [undef]
Tue Mar 13 21:15:02 2012 TCPv4_CLIENT link remote: 10.2.1.22:2000
Tue Mar 13 21:15:02 2012 Connection reset, restarting [0]
Tue Mar 13 21:15:02 2012 TCP/UDP: Closing socket
Tue Mar 13 21:15:02 2012 SIGUSR1[soft,connection-reset] received, process restarting
Tue Mar 13 21:15:02 2012 Restart pause, 5 second(s)
Tue Mar 13 21:15:07 2012 Re-using SSL/TLS context
Tue Mar 13 21:15:07 2012 LZO compression initialized
Tue Mar 13 21:15:07 2012 Control Channel MTU parms [ L:1540 D:164 EF:64 EB:0 ET:0 EL:0 ]
Tue Mar 13 21:15:07 2012 Data Channel MTU parms [ L:1540 D:1450 EF:40 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Mar 13 21:15:07 2012 Local Options hash (VER=V4): 'e6beeeed'
Tue Mar 13 21:15:07 2012 Expected Remote Options hash (VER=V4): '9183b24b'
Tue Mar 13 21:15:07 2012 Attempting to establish TCP connection with 10.2.1.22:2000
Tue Mar 13 21:15:07 2012 TCP connection established with 10.2.1.22:2000
Tue Mar 13 21:15:07 2012 TCPv4_CLIENT link local: [undef]
Tue Mar 13 21:15:07 2012 TCPv4_CLIENT link remote: 10.2.1.22:2000
Tue Mar 13 21:15:07 2012 Connection reset, restarting [0]
Tue Mar 13 21:15:07 2012 TCP/UDP: Closing socket
Tue Mar 13 21:15:07 2012 SIGUSR1[soft,connection-reset] received, process restarting
Tue Mar 13 21:15:07 2012 Restart pause, 5 second(s)
Tue Mar 13 21:15:12 2012 Re-using SSL/TLS context
Tue Mar 13 21:15:12 2012 LZO compression initialized
Tue Mar 13 21:15:12 2012 Control Channel MTU parms [ L:1540 D:164 EF:64 EB:0 ET:0 EL:0 ]
Tue Mar 13 21:15:12 2012 Data Channel MTU parms [ L:1540 D:1450 EF:40 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Mar 13 21:15:12 2012 Local Options hash (VER=V4): 'e6beeeed'
Tue Mar 13 21:15:12 2012 Expected Remote Options hash (VER=V4): '9183b24b'
Tue Mar 13 21:15:12 2012 Attempting to establish TCP connection with 10.2.1.22:2000
Tue Mar 13 21:15:12 2012 TCP/UDP: Closing socket
Tue Mar 13 21:15:12 2012 SIGTERM[hard,init_instance] received, process exiting

лог на сервере

Код: Выделить всё

a64x2# cat openvpn.log
Tue Mar 13 20:13:51 2012 OpenVPN 2.2.2 i386-portbld-freebsd8.2 [SSL] [LZO2] [eurephia] built on Mar 11 2012
Tue Mar 13 20:13:51 2012 WARNING: --keepalive option is missing from server config
Tue Mar 13 20:13:51 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Mar 13 20:13:51 2012 Diffie-Hellman initialized with 1024 bit key
Tue Mar 13 20:13:51 2012 Control Channel Authentication: using '/usr/local/etc/openvpn/keys/ta.key' as a OpenVPN static key file
Tue Mar 13 20:13:51 2012 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Mar 13 20:13:51 2012 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Mar 13 20:13:51 2012 TLS-Auth MTU parms [ L:1544 D:168 EF:68 EB:0 ET:0 EL:0 ]
Tue Mar 13 20:13:51 2012 Socket Buffers: R=[65536->65536] S=[32768->65536]
Tue Mar 13 20:13:51 2012 ROUTE default_gateway=10.2.1.2
Tue Mar 13 20:13:51 2012 TUN/TAP device /dev/tun0 opened
Tue Mar 13 20:13:51 2012 /sbin/ifconfig tun0 10.2.3.1 10.2.3.2 mtu 1500 netmask 255.255.255.255 up
Tue Mar 13 20:13:51 2012 /sbin/route add -net 10.2.3.0 10.2.3.2 255.255.255.252
add net 10.2.3.0: gateway 10.2.3.2
Tue Mar 13 20:13:51 2012 /sbin/route add -net 10.2.3.0 10.2.3.2 255.255.255.0
add net 10.2.3.0: gateway 10.2.3.2
Tue Mar 13 20:13:51 2012 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Mar 13 20:13:51 2012 GID set to nobody
Tue Mar 13 20:13:51 2012 UID set to nobody
Tue Mar 13 20:13:51 2012 Listening for incoming TCP connection on [undef]:2000
Tue Mar 13 20:13:51 2012 TCPv4_SERVER link local (bound): [undef]:2000
Tue Mar 13 20:13:51 2012 TCPv4_SERVER link remote: [undef]
Tue Mar 13 20:13:51 2012 MULTI: multi_init called, r=256 v=256
Tue Mar 13 20:13:51 2012 IFCONFIG POOL: base=10.2.3.4 size=62
Tue Mar 13 20:13:51 2012 MULTI: TCP INIT maxclients=100 maxevents=104
Tue Mar 13 20:13:51 2012 Initialization Sequence Completed
Tue Mar 13 20:14:43 2012 MULTI: multi_create_instance called
Tue Mar 13 20:14:43 2012 Re-using SSL/TLS context
Tue Mar 13 20:14:43 2012 LZO compression initialized
Tue Mar 13 20:14:43 2012 Control Channel MTU parms [ L:1544 D:168 EF:68 EB:0 ET:0 EL:0 ]
Tue Mar 13 20:14:43 2012 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Mar 13 20:14:43 2012 Local Options hash (VER=V4): 'bd577cd1'
Tue Mar 13 20:14:43 2012 Expected Remote Options hash (VER=V4): 'ee93268d'
Tue Mar 13 20:14:43 2012 TCP connection established with 10.2.1.12:2642
Tue Mar 13 20:14:43 2012 TCPv4_SERVER link local: [undef]
Tue Mar 13 20:14:43 2012 TCPv4_SERVER link remote: 10.2.1.12:2642
Tue Mar 13 20:14:43 2012 10.2.1.12:2642 TLS: Initial packet from 10.2.1.12:2642, sid=17635107 1cab644d
Tue Mar 13 20:14:43 2012 10.2.1.12:2642 Authenticate/Decrypt packet error: packet HMAC authentication failed
Tue Mar 13 20:14:43 2012 10.2.1.12:2642 TLS Error: incoming packet authentication failed from 10.2.1.12:2642
Tue Mar 13 20:14:43 2012 10.2.1.12:2642 Fatal TLS error (check_tls_errors_co), restarting
Tue Mar 13 20:14:43 2012 10.2.1.12:2642 SIGUSR1[soft,tls-error] received, client-instance restarting
Tue Mar 13 20:14:43 2012 TCP/UDP: Closing socket
Tue Mar 13 20:14:48 2012 MULTI: multi_create_instance called
Tue Mar 13 20:14:48 2012 Re-using SSL/TLS context
Tue Mar 13 20:14:48 2012 LZO compression initialized
Tue Mar 13 20:14:48 2012 Control Channel MTU parms [ L:1544 D:168 EF:68 EB:0 ET:0 EL:0 ]
Tue Mar 13 20:14:48 2012 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Mar 13 20:14:48 2012 Local Options hash (VER=V4): 'bd577cd1'
Tue Mar 13 20:14:48 2012 Expected Remote Options hash (VER=V4): 'ee93268d'
Tue Mar 13 20:14:48 2012 TCP connection established with 10.2.1.12:2720
Tue Mar 13 20:14:48 2012 TCPv4_SERVER link local: [undef]
Tue Mar 13 20:14:48 2012 TCPv4_SERVER link remote: 10.2.1.12:2720
Tue Mar 13 20:14:48 2012 10.2.1.12:2720 TLS: Initial packet from 10.2.1.12:2720, sid=f04b9233 361b1691
Tue Mar 13 20:14:48 2012 10.2.1.12:2720 Authenticate/Decrypt packet error: packet HMAC authentication failed
Tue Mar 13 20:14:48 2012 10.2.1.12:2720 TLS Error: incoming packet authentication failed from 10.2.1.12:2720
Tue Mar 13 20:14:48 2012 10.2.1.12:2720 Fatal TLS error (check_tls_errors_co), restarting
Tue Mar 13 20:14:48 2012 10.2.1.12:2720 SIGUSR1[soft,tls-error] received, client-instance restarting
Tue Mar 13 20:14:48 2012 TCP/UDP: Closing socket
Tue Mar 13 20:14:53 2012 MULTI: multi_create_instance called
Tue Mar 13 20:14:53 2012 Re-using SSL/TLS context
Tue Mar 13 20:14:53 2012 LZO compression initialized
Tue Mar 13 20:14:53 2012 Control Channel MTU parms [ L:1544 D:168 EF:68 EB:0 ET:0 EL:0 ]
Tue Mar 13 20:14:53 2012 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Mar 13 20:14:53 2012 Local Options hash (VER=V4): 'bd577cd1'
Tue Mar 13 20:14:53 2012 Expected Remote Options hash (VER=V4): 'ee93268d'
Tue Mar 13 20:14:53 2012 TCP connection established with 10.2.1.12:2841
Tue Mar 13 20:14:53 2012 TCPv4_SERVER link local: [undef]
Tue Mar 13 20:14:53 2012 TCPv4_SERVER link remote: 10.2.1.12:2841
Tue Mar 13 20:14:53 2012 10.2.1.12:2841 TLS: Initial packet from 10.2.1.12:2841, sid=ba387493 58343644
Tue Mar 13 20:14:53 2012 10.2.1.12:2841 Authenticate/Decrypt packet error: packet HMAC authentication failed
Tue Mar 13 20:14:53 2012 10.2.1.12:2841 TLS Error: incoming packet authentication failed from 10.2.1.12:2841
Tue Mar 13 20:14:53 2012 10.2.1.12:2841 Fatal TLS error (check_tls_errors_co), restarting
Tue Mar 13 20:14:53 2012 10.2.1.12:2841 SIGUSR1[soft,tls-error] received, client-instance restarting
Tue Mar 13 20:14:53 2012 TCP/UDP: Closing socket
Tue Mar 13 20:14:58 2012 MULTI: multi_create_instance called
Tue Mar 13 20:14:58 2012 Re-using SSL/TLS context
Tue Mar 13 20:14:58 2012 LZO compression initialized
Tue Mar 13 20:14:58 2012 Control Channel MTU parms [ L:1544 D:168 EF:68 EB:0 ET:0 EL:0 ]
Tue Mar 13 20:14:58 2012 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Mar 13 20:14:58 2012 Local Options hash (VER=V4): 'bd577cd1'
Tue Mar 13 20:14:58 2012 Expected Remote Options hash (VER=V4): 'ee93268d'
Tue Mar 13 20:14:58 2012 TCP connection established with 10.2.1.12:2946
Tue Mar 13 20:14:58 2012 TCPv4_SERVER link local: [undef]
Tue Mar 13 20:14:58 2012 TCPv4_SERVER link remote: 10.2.1.12:2946
Tue Mar 13 20:14:58 2012 10.2.1.12:2946 TLS: Initial packet from 10.2.1.12:2946, sid=727d9355 0c13cc4b
Tue Mar 13 20:14:58 2012 10.2.1.12:2946 Authenticate/Decrypt packet error: packet HMAC authentication failed
Tue Mar 13 20:14:58 2012 10.2.1.12:2946 TLS Error: incoming packet authentication failed from 10.2.1.12:2946
Tue Mar 13 20:14:58 2012 10.2.1.12:2946 Fatal TLS error (check_tls_errors_co), restarting
Tue Mar 13 20:14:58 2012 10.2.1.12:2946 SIGUSR1[soft,tls-error] received, client-instance restarting
Tue Mar 13 20:14:58 2012 TCP/UDP: Closing socket
Tue Mar 13 20:15:03 2012 MULTI: multi_create_instance called
Tue Mar 13 20:15:03 2012 Re-using SSL/TLS context
Tue Mar 13 20:15:03 2012 LZO compression initialized
Tue Mar 13 20:15:03 2012 Control Channel MTU parms [ L:1544 D:168 EF:68 EB:0 ET:0 EL:0 ]
Tue Mar 13 20:15:03 2012 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Mar 13 20:15:03 2012 Local Options hash (VER=V4): 'bd577cd1'
Tue Mar 13 20:15:03 2012 Expected Remote Options hash (VER=V4): 'ee93268d'
Tue Mar 13 20:15:03 2012 TCP connection established with 10.2.1.12:3025
Tue Mar 13 20:15:03 2012 TCPv4_SERVER link local: [undef]
Tue Mar 13 20:15:03 2012 TCPv4_SERVER link remote: 10.2.1.12:3025
Tue Mar 13 20:15:03 2012 10.2.1.12:3025 TLS: Initial packet from 10.2.1.12:3025, sid=6875839a 4782c065
Tue Mar 13 20:15:03 2012 10.2.1.12:3025 Authenticate/Decrypt packet error: packet HMAC authentication failed
Tue Mar 13 20:15:03 2012 10.2.1.12:3025 TLS Error: incoming packet authentication failed from 10.2.1.12:3025
Tue Mar 13 20:15:03 2012 10.2.1.12:3025 Fatal TLS error (check_tls_errors_co), restarting
Tue Mar 13 20:15:03 2012 10.2.1.12:3025 SIGUSR1[soft,tls-error] received, client-instance restarting
Tue Mar 13 20:15:03 2012 TCP/UDP: Closing socket
Tue Mar 13 20:15:08 2012 MULTI: multi_create_instance called
Tue Mar 13 20:15:08 2012 Re-using SSL/TLS context
Tue Mar 13 20:15:08 2012 LZO compression initialized
Tue Mar 13 20:15:08 2012 Control Channel MTU parms [ L:1544 D:168 EF:68 EB:0 ET:0 EL:0 ]
Tue Mar 13 20:15:08 2012 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Mar 13 20:15:08 2012 Local Options hash (VER=V4): 'bd577cd1'
Tue Mar 13 20:15:08 2012 Expected Remote Options hash (VER=V4): 'ee93268d'
Tue Mar 13 20:15:08 2012 TCP connection established with 10.2.1.12:3099
Tue Mar 13 20:15:08 2012 TCPv4_SERVER link local: [undef]
Tue Mar 13 20:15:08 2012 TCPv4_SERVER link remote: 10.2.1.12:3099
Tue Mar 13 20:15:08 2012 10.2.1.12:3099 TLS: Initial packet from 10.2.1.12:3099, sid=031221ee 68fd6bb5
Tue Mar 13 20:15:08 2012 10.2.1.12:3099 Authenticate/Decrypt packet error: packet HMAC authentication failed
Tue Mar 13 20:15:08 2012 10.2.1.12:3099 TLS Error: incoming packet authentication failed from 10.2.1.12:3099
Tue Mar 13 20:15:08 2012 10.2.1.12:3099 Fatal TLS error (check_tls_errors_co), restarting
Tue Mar 13 20:15:08 2012 10.2.1.12:3099 SIGUSR1[soft,tls-error] received, client-instance restarting
Tue Mar 13 20:15:08 2012 TCP/UDP: Closing socket
Tue Mar 13 20:15:13 2012 MULTI: multi_create_instance called
Tue Mar 13 20:15:13 2012 Re-using SSL/TLS context
Tue Mar 13 20:15:13 2012 LZO compression initialized
Tue Mar 13 20:15:13 2012 Control Channel MTU parms [ L:1544 D:168 EF:68 EB:0 ET:0 EL:0 ]
Tue Mar 13 20:15:13 2012 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Mar 13 20:15:13 2012 Local Options hash (VER=V4): 'bd577cd1'
Tue Mar 13 20:15:13 2012 Expected Remote Options hash (VER=V4): 'ee93268d'
Tue Mar 13 20:15:13 2012 TCP connection established with 10.2.1.12:3215
Tue Mar 13 20:15:13 2012 TCPv4_SERVER link local: [undef]
Tue Mar 13 20:15:13 2012 TCPv4_SERVER link remote: 10.2.1.12:3215
Tue Mar 13 20:15:13 2012 10.2.1.12:3215 Connection reset, restarting [0]
Tue Mar 13 20:15:13 2012 10.2.1.12:3215 SIGUSR1[soft,connection-reset] received, client-instance restarting
Tue Mar 13 20:15:13 2012 TCP/UDP: Closing socket

Код: Выделить всё

a64x2# cat openvpn-status.log
OpenVPN CLIENT LIST
Updated,Tue Mar 13 20:23:03 2012
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
GLOBAL STATS
Max bcast/mcast queue length,0
END

[mak_v_]

Код: Выделить всё

Tue Mar 13 20:14:43 2012 10.2.1.12:2642 Authenticate/Decrypt packet error: packet HMAC authentication failed
Tue Mar 13 20:14:43 2012 10.2.1.12:2642 TLS Error: incoming packet authentication failed from 10.2.1.12:2642
Tue Mar 13 20:14:43 2012 10.2.1.12:2642 Fatal TLS error (check_tls_errors_co), restarting
Tue Mar 13 20:14:43 2012 10.2.1.12:2642 SIGUSR1[soft,tls-error] received, client-instance restarting
Tue Mar 13 20:14:43 2012 TCP/UDP: Closing socket [undef]

[Bugaev]

как исправить эту TLS ошипку ?

[Bugaev]

чего это не смотрели какой у меня конфиг? я недобавил

Код: Выделить всё

auth MD5 #
# включаем шифрацию пакетов
cipher BF-CBC
keepalive 10 120

лог на клиенте.

Код: Выделить всё

Wed Mar 14 00:39:54 2012 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Wed Mar 14 00:39:54 2012 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Wed Mar 14 00:39:54 2012 Outgoing Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Wed Mar 14 00:39:54 2012 Incoming Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Wed Mar 14 00:39:54 2012 LZO compression initialized
Wed Mar 14 00:39:54 2012 Control Channel MTU parms [ L:1540 D:164 EF:64 EB:0 ET:0 EL:0 ]
Wed Mar 14 00:39:54 2012 Data Channel MTU parms [ L:1540 D:1450 EF:40 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Mar 14 00:39:54 2012 Local Options hash (VER=V4): 'e6beeeed'
Wed Mar 14 00:39:54 2012 Expected Remote Options hash (VER=V4): '9183b24b'
Wed Mar 14 00:39:54 2012 Attempting to establish TCP connection with 10.2.1.22:2000
Wed Mar 14 00:39:54 2012 TCP connection established with 10.2.1.22:2000
Wed Mar 14 00:39:54 2012 TCPv4_CLIENT link local: [undef]
Wed Mar 14 00:39:54 2012 TCPv4_CLIENT link remote: 10.2.1.22:2000
Wed Mar 14 00:39:54 2012 TLS: Initial packet from 10.2.1.22:2000, sid=565e4027 824c63cf
Wed Mar 14 00:39:54 2012 VERIFY OK: depth=1, /C=RU/ST*censor*
Wed Mar 14 00:39:54 2012 VERIFY OK: nsCertType=SERVER
Wed Mar 14 00:39:54 2012 VERIFY OK: depth=0, /C=RU/ST*censor*
Wed Mar 14 00:39:54 2012 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Mar 14 00:39:54 2012 Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
Wed Mar 14 00:39:54 2012 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Mar 14 00:39:54 2012 Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
Wed Mar 14 00:39:54 2012 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Mar 14 00:39:54 2012 [a64x2] Peer Connection Initiated with 10.2.1.22:2000
Wed Mar 14 00:39:56 2012 SENT CONTROL [a64x2]: 'PUSH_REQUEST' (status=1)
Wed Mar 14 00:39:56 2012 PUSH: Received control message: 'PUSH_REPLY,route 10.2.3.0 255.255.255.0,route 10.2.3.1,topology net30,ping 10,ping-restart 120,ifconfig 10.2.3.151 10.2.3.152'
Wed Mar 14 00:39:56 2012 Options error: Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:3: topology (2.0.9)
Wed Mar 14 00:39:56 2012 OPTIONS IMPORT: timers and/or timeouts modified
Wed Mar 14 00:39:56 2012 OPTIONS IMPORT: --ifconfig/up options modified
Wed Mar 14 00:39:56 2012 OPTIONS IMPORT: route options modified
Wed Mar 14 00:39:56 2012 There is a problem in your selection of --ifconfig endpoints [local=10.2.3.151, remote=10.2.3.152].  The local and remote VPN endpoints must exist within the same 255.255.255.252 subnet.  This is a limitation of --dev tun when used with the TAP-WIN32 driver.  Try 'openvpn --show-valid-subnets' option for more info.
Wed Mar 14 00:39:56 2012 Exiting

[Bugaev]

ура заработало, сам нашол все ошибки - всем спасибо!!!!!

[dms]

При попытке подключиться наблюдаю в логах такое: UDPv4: Connection reset by peer (WSAECONNRESET)(code=10054).
Как решить это проблему?

[mak_v_]

Connection reset by peer.
An existing connection was forcibly closed by the remote host. This normally results if the peer application on the remote host is suddenly stopped, the host is rebooted, the host or remote network interface is disabled, or the remote host uses a hard close (see setsockopt for more information on the SO_LINGER option on the remote socket). This error may also result if a connection was broken due to keep-alive activity detecting a failure while one or more operations are in progress. Operations that were in progress fail with WSAENETRESET. Subsequent operations fail with WSAECONNRESET.

Фаервол. Маршрутизация. Маловероятно, но так же регистр имен сертификатов, время на сервере\клиенте.

[fitter]

приподниму темку.

возникла необходимость настроить опенвпн. Установил. Долго не мог соединиться с сервером от клиента под windows 7, ругался на порт. Как оказалось, под семеркой порт в конф файле openvpn.ovpnйле надо указывать так: remote 194.233.252.211 2000
Может кому принодится.

И еще. В таблицу маршрутизации на windows 7 пришлось вручную добавлять маршрут к сети за опенвпн сервером. Так как трассировка показала, что пинги на опенвпн сервер ломятся не через туннель, а через провайдера и интернет.
То есть функция push "route 192.168.0.0 255.255.255.0" не сработала
iroute 192.168.0.0 255.255.255.0 тоже не работает.

После добавления маршрута стал пинговаться опенвпн сервер, но сеть за ним так и осталась невидна. Пинги не проходили до тех пор, пока на машине в сети за опенвпн сервером я не поставил в качестве шлюза IP опенвпн сервера (у меня шлюз с прокси и опенвпн сервер на разных машинах и имеют разные белые IP). Пинги стали проходить.
Думаю, что здесь (на удаленных машинах) также надо править таблицу маршрутизации, иначе "они" не понимают куда отправлять ответ при пришедших пингах (мое мнение)

Но что же это получается:
1. Надо руками прописывать маршрут. (по крайней мере на семерке)
2. Надо менять шлюз на удаленных компьютерах, чтобы их можно было увидеть.


mpd в этом плане намного проще и удобнее.
Или неправильно что-то настроеноо у меня. Вполне может быть...

[mak_v_]

1) Это на команду route дать права на вашей Симьорке илои старотовать из под админа (openvpn client)
2) либо шлюз по дефолту, либо на ПК "за сервером" прописывать маршрут через openvpn-сервер к "удаленным", а как иначе?