OpenVPN не заводиться :(

[J.Korvin]

Подскажите возможно настроить openvpn на сервере таким образом чтобы он конектился к выше стоящему серверу openvpn и в тоже время к нему могли крнектится другие клиенты (выди сервер to сервер). Вкратце основные опции (если такое возможно). Спасибо

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[alman]

Может кому пригодится.
Иногда такой сабж возникает из-за несинхронности часов на машинах. Я лично с такой проблемой столкнулся. Разница во времени составила 4 минуты. Подвел время под сервер - все заработало.

[Sanya0413]

сеть 172.16.0.0/24 <--->(172.16.0.1/24)VPNServer(10.1.0.1/24)<-VPN->(10.1.0.2/24)VPNClient(172.16.1.1/24) <--->сеть 172.16.1.0/24
с клиента за впн сервером пинг доходит до 172.16.1.1/24
с клиента за впн клиентом пинг доходит до 172.16.0.1/24

Server conf:

Код:

dev tun
local 10.1.0.1
port 1194
proto udp
server 10.0.0.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
route 172.16.0.0 255.255.255.0
ifconfig 10.1.0.1 10.1.0.2


ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem

#tls-timeout 120
#auth MD5
cipher BF-CBC
keepalive 10 120
comp-lzo

max-clients 100
user nobody
group nobody
persist-key
persist-tun


down /usr/local/etc/openvpn/openvpn_down.sh
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
up /usr/local/etc/openvpn/openvpn_up.sh
verb 3



/usr/local/etc/openvpn/openvpn_up.sh:
Код:

route add -net 172.16.1.0/24 10.1.0.2




client.conf:
Код:

dev tun
proto udp
remote 10.1.0.1
ifconfig 10.0.0.2 10.0.0.1
port 1194
tls-client
tls-auth keys/ta.key 1
resolv-retry infinite
ca keys/ca.crt
cert keys/client.crt
key keys/client.key
#auth MD5
#cipher BF-CBC
#ns-cert-type server
comp-lzo
persist-key
persist-tun
down /usr/local/etc/openvpn/openvpn_down.sh
up /usr/local/etc/openvpn/openvpn_up.sh
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3


/usr/local/etc/openvpn/openvpn_up.sh:
Код:

route add -net 172.16.0.0/24 10.1.0.1


наверно надо еще маршрут написать
подскажите пожалуйста

[Garreth]

Делал все по статье (не УК). Всё было хорошо пока не начал пинговать. Пинг из сетки за openvpn-клиентом в сеть за Openvpn-сервером не проходил. Конфиг был идентичный. Начал смотреть логи на ошибки и выявил следующую ошибку MULTI: bad source address from client ... packet dropped. После непродолжительных поисков, гугл выдал ссылку на оф сайт и там всё расписано.
ccd/client1
This file should contain the line:
iroute 192.168.4.0 255.255.255.0

This will tell the OpenVPN server that the 192.168.4.0/24 subnet should be routed to client2.
Next, add the following line to the main server config file (not the ccd/client2 file):
route 192.168.4.0 255.255.255.0

Why the redundant route and iroute statements, you might ask? The reason is that route controls the routing from the kernel to the OpenVPN server (via the TUN interface) while iroute controls the routing from the OpenVPN server to the remote clients. Both are necessary.
Всё просто и красиво. Я поправил конфиг. Всё заработало. И настроение моё улучшилось.

[QweЯty]

не запускается опенвпн, делал по статье, но с одним но:
вместо файла client.crt и server.crt были тока server.csr и client.csr

заменил в конфиге...
не запускается, в логе:

radist04ka# cat /var/log/openvpn/openvpn.log
Tue Mar 1 04:16:44 2011 OpenVPN 2.1.4 i386-portbld-freebsd8.1 [SSL] [LZO2] built on Mar 1 2011
Tue Mar 1 04:16:44 2011 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Tue Mar 1 04:16:44 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Mar 1 04:16:44 2011 Diffie-Hellman initialized with 1024 bit key
Tue Mar 1 04:16:44 2011 Cannot load certificate file /usr/local/etc/openvpn/keys/server.csr: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140AD009:SSL routines:SSL_CTX_use_certificate_file:PEM lib
Tue Mar 1 04:16:44 2011 Exiting

избитый вопрос, шо делать?

[QweЯty]

Код: Выделить всё

Thu Apr 28 08:35:14 2011 OpenVPN 2.2.0 Win32-MSVC++ [SSL] [LZO2] built on Apr 26 2011
Thu Apr 28 08:35:14 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Apr 28 08:35:14 2011 Cannot load certificate file client.crt: error:02001002:system library:fopen:No such file or directory: error:20074002:BIO routines:FILE_CTRL:system lib: error:140AD002:SSL routines:SSL_CTX_use_certificate_file:system lib
Thu Apr 28 08:35:14 2011 Exiting

ругается винда... что делать7


логи сервера:

Код: Выделить всё

# cat /var/log/openvpn/openvpn.log
Thu Apr 28 08:13:27 2011 OpenVPN 2.1.4 i386-portbld-freebsd8.1 [SSL] [LZO2] built on Mar  1 2011
Thu Apr 28 08:13:27 2011 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Thu Apr 28 08:13:27 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Apr 28 08:13:27 2011 Diffie-Hellman initialized with 1024 bit key
Thu Apr 28 08:13:27 2011 Control Channel Authentication: using 'keys/ta.key' as a OpenVPN static key file
Thu Apr 28 08:13:27 2011 Outgoing Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Thu Apr 28 08:13:27 2011 Incoming Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Thu Apr 28 08:13:27 2011 TLS-Auth MTU parms [ L:1538 D:162 EF:62 EB:0 ET:0 EL:0 ]
Thu Apr 28 08:13:27 2011 Socket Buffers: R=[42080->65536] S=[9216->65536]
Thu Apr 28 08:13:27 2011 ROUTE default_gateway=192.168.1.2
Thu Apr 28 08:13:27 2011 TUN/TAP device /dev/tun0 opened
Thu Apr 28 08:13:27 2011 /sbin/ifconfig tun0 192.168.200.1 192.168.200.2 mtu 1500 netmask 255.255.255.255 up
Thu Apr 28 08:13:27 2011 /sbin/route add -net 192.168.200.0 192.168.200.2 255.255.255.252
add net 192.168.200.0: gateway 192.168.200.2
Thu Apr 28 08:13:27 2011 /sbin/route add -net 192.168.200.0 192.168.200.2 255.255.255.0
add net 192.168.200.0: gateway 192.168.200.2
Thu Apr 28 08:13:27 2011 Data Channel MTU parms [ L:1538 D:1450 EF:38 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Apr 28 08:13:27 2011 GID set to nobody
Thu Apr 28 08:13:27 2011 UID set to nobody
Thu Apr 28 08:13:27 2011 UDPv4 link local (bound): [undef]:2000
Thu Apr 28 08:13:27 2011 UDPv4 link remote: [undef]
Thu Apr 28 08:13:27 2011 MULTI: multi_init called, r=256 v=256
Thu Apr 28 08:13:27 2011 IFCONFIG POOL: base=192.168.200.4 size=62
Thu Apr 28 08:13:27 2011 Initialization Sequence Completed

[QweЯty]

нашел... не так обозвал ключи на клиенте... исправил, поднялось... выдало ip 192.168.200.2 но пинги не ходят между интерфейсами:

на винде:

Код: Выделить всё

Обмен пакетами с 192.168.200.1 по 32 байт:

Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

на сервере:

Код: Выделить всё

# ping 192.168.200.2
PING 192.168.200.2 (192.168.200.2): 56 data bytes
^C
--- 192.168.200.2 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss

Код: Выделить всё

# tcpdump -i tun0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type NULL (BSD loopback), capture size 96 bytes
08:53:08.771407 IP 192.168.190.180.63236 > 192.168.2.1.6789: Flags [S], seq 1151645287, win 8192, options [mss 1356,nop,nop,sackOK], length 0
08:53:11.925365 IP 10.10.200.2 > 192.168.200.1: ICMP echo request, id 1024, seq 1536, length 40
08:53:14.776137 IP 192.168.190.180.63237 > 192.168.2.1.6789: Flags [S], seq 357134918, win 8192, options [mss 1356,nop,nop,sackOK], length 0
08:53:17.423785 IP 10.10.200.2 > 192.168.200.1: ICMP echo request, id 1024, seq 1792, length 40
08:53:17.774929 IP 192.168.190.180.63237 > 192.168.2.1.6789: Flags [S], seq 357134918, win 8192, options [mss 1356,nop,nop,sackOK], length 0
08:53:22.923881 IP 10.10.200.2 > 192.168.200.1: ICMP echo request, id 1024, seq 2048, length 40
08:53:23.775774 IP 192.168.190.180.63237 > 192.168.2.1.6789: Flags [S], seq 357134918, win 8192, options [mss 1356,nop,nop,sackOK], length 0
08:53:28.424998 IP 10.10.200.2 > 192.168.200.1: ICMP echo request, id 1024, seq 2304, length 40
08:53:29.777517 IP 192.168.190.180.63238 > 192.168.2.1.6789: Flags [S], seq 2007767275, win 8192, options [mss 1356,nop,nop,sackOK], length 0
08:53:32.782290 IP 192.168.190.180.63238 > 192.168.2.1.6789: Flags [S], seq 2007767275, win 8192, options [mss 1356,nop,nop,sackOK], length 0
^C
10 packets captured
11 packets received by filter
0 packets dropped by kernel

Код: Выделить всё

192.168.200.1      link#20            UHS         0        2    lo0
192.168.200.2      link#20            UH          0        4   tun0

что не так я прописал?

что то в маршрутах намудрил похоже, вот часть конфига:

Код: Выделить всё

#задаем IP-адрес сервера и маску подсети
# (виртуальной сети) - можно произвольную, (я выбрал такую)
server 192.168.200.0 255.255.255.0
#задаем МАРШРУТ который передаём клиентту
# и маску подсети для того чтобы он "видел"
# сеть за опенвпн сервером (сеть 192.168.1.0/24)
push "route 0.0.0.0 0.0.0.0"
# указываем где хранятся файлы с
# настройками IP-адресов клиентов
client-config-dir ccd
# добавляем маршрут сервер-клиент
route 192.168.200.0 255.255.255.252
# этой строкой описываем маршруты к сетям к которым ходить
# через тунель!!!!!(в данном случае к сети в филиале)
route 192.168.2.0 255.255.255.0

UPDv2.

так и есть, на винде с маршрутами беда:

Код: Выделить всё

===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1   192.168.0.101       20
      10.10.200.0  255.255.255.252      10.10.200.2     10.10.200.2       30
      10.10.200.2  255.255.255.255        127.0.0.1       127.0.0.1       30
   10.255.255.255  255.255.255.255      10.10.200.2     10.10.200.2       30
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0    255.255.255.0    192.168.0.101   192.168.0.101       20
    192.168.0.101  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.0.255  255.255.255.255    192.168.0.101   192.168.0.101       20
    192.168.200.1  255.255.255.255      10.10.200.1     10.10.200.2       1
        224.0.0.0        240.0.0.0      10.10.200.2     10.10.200.2       30
        224.0.0.0        240.0.0.0    192.168.0.101   192.168.0.101       20
  255.255.255.255  255.255.255.255      10.10.200.2     10.10.200.2       1
  255.255.255.255  255.255.255.255    192.168.0.101   192.168.0.101       1
Основной шлюз:         192.168.0.1
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
         10.0.0.0        255.0.0.0      192.168.0.1       1

должно же быть по идее так(выделил сеть опенвпн):

Код: Выделить всё

Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
      10.10.200.0  255.255.255.252      10.10.200.1     10.10.200.2       30
      10.10.200.2  255.255.255.255        127.0.0.1       127.0.0.1       30
    192.168.200.1  255.255.255.255      10.10.200.1     10.10.200.2       1
        224.0.0.0        240.0.0.0      10.10.200.1     10.10.200.2       30
Основной шлюз:         192.168.200.1

[QweЯty]

хм... винда рулит:

Код: Выделить всё

Обмен пакетами с 192.168.200.2 по 32 байт:

Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

как это понимать?

файера нету винда открыта:)

[QweЯty]

поменял строку:

#задаем IP-адрес сервера и маску подсети
# (виртуальной сети) - можно произвольную, (я выбрал такую)
server 192.168.200.0 255.255.255.0
#задаем МАРШРУТ который передаём клиентту
# и маску подсети для того чтобы он "видел"
# сеть за опенвпн сервером (сеть 192.168.1.0/24)
push "route 192,168,200,0 255,255,255,0"

и все заработало... точнее шлюз опенвпн не пингуется, а выход в инет есть))

[rustamxp]

добрый день!

необходимо удалить сертификат. выполняю следующее:

Код: Выделить всё

# sh
# . ./vars
# ./revoke-full name

получаю:

Код: Выделить всё

Using configuration from /usr/local/etc/openvpn/easy-rsa/openssl.cnf
Revoking Certificate 2C.
Data Base Updated

все нормально, пользователь уже не может подключиться.
но остались файлы name.crt name.csr name.key name.p12
если бы сертификатов было 10, я бы потерпел, но у меня их почти 100.

можно ли удалить эти файлы после "./revoke-full name" ?

Заранее благодарен всем откликнувшимся!

[damir_madaga]

Друзья сломал голову! Создаю впн все заводиться без особых ошибок, со стороны клиента я внутреннюю сеть пингую, а вобратку ни как, начал разбираться и вот на что наткнулся!

Код: Выделить всё

tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
        inet 10.10.200.1 --> 10.10.200.2 netmask 0xffffffff 
        Opened by PID 1811

Это сервер!

Код: Выделить всё

tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
        inet 10.10.200.6 --> 10.10.200.5 netmask 0xffffffff 
        Opened by PID 1254

А это клиент! С какого перепугу у них разные ИП? и ни чего с этим поделать не могу! Хелп ми!

[rustamxp]

у меня больше 100 клиентов, поэтому я использую

Код: Выделить всё

topology		subnet

на сервере

Код: Выделить всё

tun0: flags=8043<UP,BROADCAST,RUNNING,MULTICAST> metric 0 mtu 1358
	options=80000<LINKSTATE>
	inet 10.168.100.1 netmask 0xffffff00 broadcast 10.168.100.255
	Opened by PID 44771

на клиенте

Код: Выделить всё

tun1: flags=8043<UP,BROADCAST,RUNNING,MULTICAST> metric 0 mtu 1358
	options=80000<LINKSTATE>
	inet 10.168.100.201 netmask 0xffffff00 broadcast 10.168.100.255
	Opened by PID 1136

может будет полезно....

[damir_madaga]

Народ методом научного тыка выяснил, что проблема именно в серваке! Что может так мешать OpenVPN, у него то зависимостей практически нет!

[iosium]

Доброй ночи уважаемые.
вот поимел после годиков стабильной работы
Wed Feb 11 23:20:50 2015 146.0.85.111:15845 TLS Error: TLS handshake failed
Wed Feb 11 23:20:50 2015 146.0.85.111:15845 SIGUSR1[soft,tls-error] received, client-instance restarting
Wed Feb 11 23:20:51 2015 37.73.241.194:33969 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
дам всю инфу
скажите что нужно

[Alex Keda]

А с сетью проблем нет?