Страница 1 из 9
Обсуждение VPN сервера OpenVPN
Добавлено: 2010-09-05 11:50:33
Cancer
Re: Обсуждение VPN сервера OpenVPN
Добавлено: 2010-09-05 19:14:46
Gamerman
Может нужно более детально описать виндовый клиент? У меня последняя версия никак заводиться не хотела. Они как-то логику переработали.
Re: Обсуждение VPN сервера OpenVPN
Добавлено: 2010-09-06 0:10:13
Cancer
Gamerman писал(а):Может нужно более детально описать виндовый клиент? У меня последняя версия никак заводиться не хотела. Они как-то логику переработали.
Какой у тебя Windows и какой версии OpenVPN?
Если Windows 7 или Vista, то нужно запускать gui от имени администратора запускать, все работает нормально (проверено)!
Re: Обсуждение VPN сервера OpenVPN
Добавлено: 2010-09-06 0:16:38
Gamerman
Windows XP. OpenVPN что-то из последних летних версий было. Сейчас откатил на более раннюю бета-версию.
http://forum.lissyara.su/viewtopic.php?f=6&t=27511 - здесь я вопрос этот поднимал.
Re: Обсуждение VPN сервера OpenVPN
Добавлено: 2010-09-06 9:12:17
Cancer
Вы случаем не про клиент для
OpenVPN Access Server говорите ?
Re: Обсуждение VPN сервера OpenVPN
Добавлено: 2010-09-06 9:26:51
pinger
Вот мой конфиг клиента, почему с машин находящихся за этим шлюзом я не могу пинговать ЦО?
dev tun
client
nobind
resolv-retry infinite
remote 80.xxx.xxx.xxx 1194
route 192.168.0.0 255.255.0.0
route 3.0.0.0 255.0.0.0
route 4.0.0.0 255.0.0.0
route 5.0.0.0 255.0.0.0
route 7.0.0.0 255.0.0.0
route 10.0.0.0 255.0.0.0
tls-client
route-method exe
route-delay 20
ca ca.crt
cert crt.crt
key key.key
proto tcp-client
comp-lzo
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 4
Re: Обсуждение VPN сервера OpenVPN
Добавлено: 2010-09-06 9:28:29
Gamerman
Нет, обыкновенный клиент. Хотел обновить, и обламался. Либо они перемудрили, либо я "мал еще".
Re: Обсуждение VPN сервера OpenVPN
Добавлено: 2010-09-06 9:48:52
Cancer
pinger писал(а):Вот мой конфиг клиента, почему с машин находящихся за этим шлюзом я не могу пинговать ЦО?
dev tun
client
nobind
resolv-retry infinite
remote 80.xxx.xxx.xxx 1194
route 192.168.0.0 255.255.0.0
route 3.0.0.0 255.0.0.0
route 4.0.0.0 255.0.0.0
route 5.0.0.0 255.0.0.0
route 7.0.0.0 255.0.0.0
route 10.0.0.0 255.0.0.0
tls-client
route-method exe
route-delay 20
ca ca.crt
cert crt.crt
key key.key
proto tcp-client
comp-lzo
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 4
трассировку показывайте и логи.
Re: Обсуждение VPN сервера OpenVPN
Добавлено: 2010-09-06 9:50:23
Cancer
Gamerman писал(а):
Нет, обыкновенный клиент. Хотел обновить, и обламался. Либо они перемудрили, либо я "мал еще".
Не знаю что у вас не работает, я вот последний OpenVPN под Windows XP поставил в качестве клиента на 22 филиалах, все работает!
Re: Обсуждение VPN сервера OpenVPN
Добавлено: 2010-09-06 10:19:55
pinger
Cancer писал(а):pinger писал(а):Вот мой конфиг клиента, почему с машин находящихся за этим шлюзом я не могу пинговать ЦО?
dev tun
client
nobind
resolv-retry infinite
remote 80.xxx.xxx.xxx 1194
route 192.168.0.0 255.255.0.0
route 3.0.0.0 255.0.0.0
route 4.0.0.0 255.0.0.0
route 5.0.0.0 255.0.0.0
route 7.0.0.0 255.0.0.0
route 10.0.0.0 255.0.0.0
tls-client
route-method exe
route-delay 20
ca ca.crt
cert crt.crt
key key.key
proto tcp-client
comp-lzo
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 4
трассировку показывайте и логи.
Код: Выделить всё
pinger@pinger-laptop:~$ traceroute 192.168.1.29
traceroute to 192.168.1.29 (192.168.1.29), 30 hops max, 60 byte packets
1 1.0.0.1 (1.0.0.1) 1.800 ms 4.219 ms 5.554 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
11 * *^C
1.0.0.1 - шлюз сети дома.
Код: Выделить всё
[pinger@srv /usr/home/pinger]$ netstat -n -r
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 1.0.0.254 UGS 4 1797 rl0
1.0.0.0/24 link#1 U 2 483 rl0
1.0.0.1 link#1 UHS 0 0 lo0
3.0.0.0/8 10.70.2.133 UGS 0 0 tun2
4.0.0.0/8 10.70.2.133 UGS 0 0 tun2
5.0.0.0/8 10.70.2.133 UGS 0 0 tun2
7.0.0.0/8 10.70.2.133 UGS 0 0 tun2
10.0.0.0/8 10.70.2.133 UGS 0 254 tun2
10.70.0.0/16 10.70.2.133 UGS 0 0 tun2
10.70.2.133 link#8 UH 0 0 tun2
10.70.2.134 link#8 UHS 0 0 lo0
127.0.0.1 link#5 UH 0 84 lo0
172.20.0.0/16 10.70.2.133 UGS 0 0 tun2
172.21.0.0/16 10.70.2.133 UGS 0 0 tun2
192.168.0.0/24 link#2 U 0 0 rl1 =>
192.168.0.0/16 10.70.2.133 UGS 0 45 tun2
192.168.0.211 link#2 UHS 0 0 lo0
Internet6:
Destination Gateway Flags Netif Expire
::1 ::1 UH lo0
fe80::%lo0/64 link#5 U lo0
fe80::1%lo0 link#5 UHS lo0
ff01:5::/32 fe80::1%lo0 U lo0
ff02::%lo0/32 fe80::1%lo0 U lo0
Код: Выделить всё
[pinger@srv /usr/home/pinger]$ ifconfig tun2
tun2: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
inet 10.70.2.134 --> 10.70.2.133 netmask 0xffffffff
Opened by PID 69817
Код: Выделить всё
Mon Sep 6 13:11:13 2010 us=84817 Current Parameter Settings:
Mon Sep 6 13:11:13 2010 us=85164 config = '/usr/local/etc/openvpn/openvpn.conf'
Mon Sep 6 13:11:13 2010 us=85179 mode = 0
Mon Sep 6 13:11:13 2010 us=85191 show_ciphers = DISABLED
Mon Sep 6 13:11:13 2010 us=85203 show_digests = DISABLED
Mon Sep 6 13:11:13 2010 us=85214 show_engines = DISABLED
Mon Sep 6 13:11:13 2010 us=85225 genkey = DISABLED
Mon Sep 6 13:11:13 2010 us=85237 key_pass_file = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=85248 show_tls_ciphers = DISABLED
Mon Sep 6 13:11:13 2010 us=85260 Connection profiles [default]:
Mon Sep 6 13:11:13 2010 us=85272 proto = tcp-client
Mon Sep 6 13:11:13 2010 us=85283 local = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=85294 local_port = 0
Mon Sep 6 13:11:13 2010 us=85306 remote = '80.91.181.18'
Mon Sep 6 13:11:13 2010 us=85317 remote_port = 1194
Mon Sep 6 13:11:13 2010 us=85328 remote_float = DISABLED
Mon Sep 6 13:11:13 2010 us=85339 bind_defined = DISABLED
Mon Sep 6 13:11:13 2010 us=85350 bind_local = DISABLED
Mon Sep 6 13:11:13 2010 us=85362 connect_retry_seconds = 5
Mon Sep 6 13:11:13 2010 us=85373 connect_timeout = 10
Mon Sep 6 13:11:13 2010 us=85384 connect_retry_max = 0
Mon Sep 6 13:11:13 2010 us=85396 socks_proxy_server = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=85407 socks_proxy_port = 0
Mon Sep 6 13:11:13 2010 us=85418 socks_proxy_retry = DISABLED
Mon Sep 6 13:11:13 2010 us=85430 Connection profiles END
Mon Sep 6 13:11:13 2010 us=85441 remote_random = DISABLED
Mon Sep 6 13:11:13 2010 us=85452 ipchange = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=85463 dev = 'tun'
Mon Sep 6 13:11:13 2010 us=85475 dev_type = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=85486 dev_node = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=85498 lladdr = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=85509 topology = 1
Mon Sep 6 13:11:13 2010 us=85520 tun_ipv6 = DISABLED
Mon Sep 6 13:11:13 2010 us=85532 ifconfig_local = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=85543 ifconfig_remote_netmask = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=85572 ifconfig_noexec = DISABLED
Mon Sep 6 13:11:13 2010 us=85584 ifconfig_nowarn = DISABLED
Mon Sep 6 13:11:13 2010 us=85595 shaper = 0
Mon Sep 6 13:11:13 2010 us=85607 tun_mtu = 1500
Mon Sep 6 13:11:13 2010 us=85623 tun_mtu_defined = ENABLED
Mon Sep 6 13:11:13 2010 us=85636 link_mtu = 1500
Mon Sep 6 13:11:13 2010 us=85648 link_mtu_defined = DISABLED
Mon Sep 6 13:11:13 2010 us=85659 tun_mtu_extra = 0
Mon Sep 6 13:11:13 2010 us=85671 tun_mtu_extra_defined = DISABLED
Mon Sep 6 13:11:13 2010 us=85682 fragment = 0
Mon Sep 6 13:11:13 2010 us=85694 mtu_discover_type = -1
Mon Sep 6 13:11:13 2010 us=85706 mtu_test = 0
Mon Sep 6 13:11:13 2010 us=85717 mlock = DISABLED
Mon Sep 6 13:11:13 2010 us=85729 keepalive_ping = 0
Mon Sep 6 13:11:13 2010 us=85741 keepalive_timeout = 0
Mon Sep 6 13:11:13 2010 us=85752 inactivity_timeout = 0
Mon Sep 6 13:11:13 2010 us=85764 ping_send_timeout = 0
Mon Sep 6 13:11:13 2010 us=85775 ping_rec_timeout = 0
Mon Sep 6 13:11:13 2010 us=85786 ping_rec_timeout_action = 0
Mon Sep 6 13:11:13 2010 us=85798 ping_timer_remote = DISABLED
Mon Sep 6 13:11:13 2010 us=85809 remap_sigusr1 = 0
Mon Sep 6 13:11:13 2010 us=85820 explicit_exit_notification = 0
Mon Sep 6 13:11:13 2010 us=85832 persist_tun = DISABLED
Mon Sep 6 13:11:13 2010 us=85843 persist_local_ip = DISABLED
Mon Sep 6 13:11:13 2010 us=85854 persist_remote_ip = DISABLED
Mon Sep 6 13:11:13 2010 us=85865 persist_key = DISABLED
Mon Sep 6 13:11:13 2010 us=85877 mssfix = 1450
Mon Sep 6 13:11:13 2010 us=85888 passtos = DISABLED
Mon Sep 6 13:11:13 2010 us=85900 resolve_retry_seconds = 1000000000
Mon Sep 6 13:11:13 2010 us=85912 username = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=85923 groupname = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=85934 chroot_dir = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=85946 cd_dir = '/usr/local/etc/openvpn'
Mon Sep 6 13:11:13 2010 us=85957 writepid = '/var/run/openvpn.pid'
Mon Sep 6 13:11:13 2010 us=85969 up_script = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=85990 down_script = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86003 down_pre = DISABLED
Mon Sep 6 13:11:13 2010 us=86015 up_restart = DISABLED
Mon Sep 6 13:11:13 2010 us=86026 up_delay = DISABLED
Mon Sep 6 13:11:13 2010 us=86038 daemon = ENABLED
Mon Sep 6 13:11:13 2010 us=86049 inetd = 0
Mon Sep 6 13:11:13 2010 us=86061 log = ENABLED
Mon Sep 6 13:11:13 2010 us=86072 suppress_timestamps = DISABLED
Mon Sep 6 13:11:13 2010 us=86084 nice = 0
Mon Sep 6 13:11:13 2010 us=86095 verbosity = 4
Mon Sep 6 13:11:13 2010 us=86107 mute = 0
Mon Sep 6 13:11:13 2010 us=86118 gremlin = 0
Mon Sep 6 13:11:13 2010 us=86130 status_file = '/var/log/openvpn/openvpn-status.log'
Mon Sep 6 13:11:13 2010 us=86141 status_file_version = 1
Mon Sep 6 13:11:13 2010 us=86153 status_file_update_freq = 60
Mon Sep 6 13:11:13 2010 us=86165 occ = ENABLED
Mon Sep 6 13:11:13 2010 us=86176 rcvbuf = 65536
Mon Sep 6 13:11:13 2010 us=86187 sndbuf = 65536
Mon Sep 6 13:11:13 2010 us=86199 sockflags = 0
Mon Sep 6 13:11:13 2010 us=86210 fast_io = DISABLED
Mon Sep 6 13:11:13 2010 us=86222 lzo = 7
Mon Sep 6 13:11:13 2010 us=86233 route_script = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86245 route_default_gateway = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86257 route_default_metric = 0
Mon Sep 6 13:11:13 2010 us=86268 route_noexec = DISABLED
Mon Sep 6 13:11:13 2010 us=86280 route_delay = 20
Mon Sep 6 13:11:13 2010 us=86292 route_delay_window = 30
Mon Sep 6 13:11:13 2010 us=86303 route_delay_defined = ENABLED
Mon Sep 6 13:11:13 2010 us=86315 route_nopull = DISABLED
Mon Sep 6 13:11:13 2010 us=86326 route_gateway_via_dhcp = DISABLED
Mon Sep 6 13:11:13 2010 us=86339 max_routes = 100
Mon Sep 6 13:11:13 2010 us=86351 allow_pull_fqdn = DISABLED
Mon Sep 6 13:11:13 2010 us=86363 management_addr = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86374 management_port = 0
Mon Sep 6 13:11:13 2010 us=86386 management_user_pass = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86406 management_log_history_cache = 250
Mon Sep 6 13:11:13 2010 us=86419 management_echo_buffer_size = 100
Mon Sep 6 13:11:13 2010 us=86431 management_write_peer_info_file = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86442 management_client_user = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86453 management_client_group = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86465 management_flags = 0
Mon Sep 6 13:11:13 2010 us=86476 shared_secret_file = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86488 key_direction = 0
Mon Sep 6 13:11:13 2010 us=86500 ciphername_defined = ENABLED
Mon Sep 6 13:11:13 2010 us=86512 ciphername = 'BF-CBC'
Mon Sep 6 13:11:13 2010 us=86524 authname_defined = ENABLED
Mon Sep 6 13:11:13 2010 us=86536 authname = 'SHA1'
Mon Sep 6 13:11:13 2010 us=86547 prng_hash = 'SHA1'
Mon Sep 6 13:11:13 2010 us=86559 prng_nonce_secret_len = 16
Mon Sep 6 13:11:13 2010 us=86570 keysize = 0
Mon Sep 6 13:11:13 2010 us=86582 engine = DISABLED
Mon Sep 6 13:11:13 2010 us=86593 replay = ENABLED
Mon Sep 6 13:11:13 2010 us=86605 mute_replay_warnings = DISABLED
Mon Sep 6 13:11:13 2010 us=86617 replay_window = 64
Mon Sep 6 13:11:13 2010 us=86628 replay_time = 15
Mon Sep 6 13:11:13 2010 us=86640 packet_id_file = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86651 use_iv = ENABLED
Mon Sep 6 13:11:13 2010 us=86663 test_crypto = DISABLED
Mon Sep 6 13:11:13 2010 us=86675 tls_server = DISABLED
Mon Sep 6 13:11:13 2010 us=86686 tls_client = ENABLED
Mon Sep 6 13:11:13 2010 us=86697 key_method = 2
Mon Sep 6 13:11:13 2010 us=86709 ca_file = 'ca.crt'
Mon Sep 6 13:11:13 2010 us=86721 ca_path = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86732 dh_file = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86744 cert_file = 'kiz.crt'
Mon Sep 6 13:11:13 2010 us=86755 priv_key_file = 'kiz.key'
Mon Sep 6 13:11:13 2010 us=86767 pkcs12_file = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86778 cipher_list = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86790 tls_verify = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86801 tls_remote = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86821 crl_file = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=86833 ns_cert_type = 0
Mon Sep 6 13:11:13 2010 us=86845 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=86856 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=86868 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=86879 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=86891 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=86902 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=86914 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=86925 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=86937 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=86948 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=86959 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=86971 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=86982 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=86996 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=87008 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=87019 remote_cert_ku[i] = 0
Mon Sep 6 13:11:13 2010 us=87031 remote_cert_eku = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=87042 tls_timeout = 2
Mon Sep 6 13:11:13 2010 us=87054 renegotiate_bytes = 0
Mon Sep 6 13:11:13 2010 us=87066 renegotiate_packets = 0
Mon Sep 6 13:11:13 2010 us=87078 renegotiate_seconds = 3600
Mon Sep 6 13:11:13 2010 us=87089 handshake_window = 60
Mon Sep 6 13:11:13 2010 us=87101 transition_window = 3600
Mon Sep 6 13:11:13 2010 us=87112 single_session = DISABLED
Mon Sep 6 13:11:13 2010 us=87123 tls_exit = DISABLED
Mon Sep 6 13:11:13 2010 us=87135 tls_auth_file = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=87156 server_network = 0.0.0.0
Mon Sep 6 13:11:13 2010 us=87169 server_netmask = 0.0.0.0
Mon Sep 6 13:11:13 2010 us=87182 server_bridge_ip = 0.0.0.0
Mon Sep 6 13:11:13 2010 us=87194 server_bridge_netmask = 0.0.0.0
Mon Sep 6 13:11:13 2010 us=87206 server_bridge_pool_start = 0.0.0.0
Mon Sep 6 13:11:13 2010 us=87219 server_bridge_pool_end = 0.0.0.0
Mon Sep 6 13:11:13 2010 us=87239 ifconfig_pool_defined = DISABLED
Mon Sep 6 13:11:13 2010 us=87252 ifconfig_pool_start = 0.0.0.0
Mon Sep 6 13:11:13 2010 us=87264 ifconfig_pool_end = 0.0.0.0
Mon Sep 6 13:11:13 2010 us=87277 ifconfig_pool_netmask = 0.0.0.0
Mon Sep 6 13:11:13 2010 us=87288 ifconfig_pool_persist_filename = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=87299 ifconfig_pool_persist_refresh_freq = 600
Mon Sep 6 13:11:13 2010 us=87310 n_bcast_buf = 256
Mon Sep 6 13:11:13 2010 us=87321 tcp_queue_limit = 64
Mon Sep 6 13:11:13 2010 us=87333 real_hash_size = 256
Mon Sep 6 13:11:13 2010 us=87344 virtual_hash_size = 256
Mon Sep 6 13:11:13 2010 us=87356 client_connect_script = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=87367 learn_address_script = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=87378 client_disconnect_script = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=87390 client_config_dir = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=87401 ccd_exclusive = DISABLED
Mon Sep 6 13:11:13 2010 us=87412 tmp_dir = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=87423 push_ifconfig_defined = DISABLED
Mon Sep 6 13:11:13 2010 us=87435 push_ifconfig_local = 0.0.0.0
Mon Sep 6 13:11:13 2010 us=87448 push_ifconfig_remote_netmask = 0.0.0.0
Mon Sep 6 13:11:13 2010 us=87459 enable_c2c = DISABLED
Mon Sep 6 13:11:13 2010 us=87470 duplicate_cn = DISABLED
Mon Sep 6 13:11:13 2010 us=87482 cf_max = 0
Mon Sep 6 13:11:13 2010 us=87493 cf_per = 0
Mon Sep 6 13:11:13 2010 us=87504 max_clients = 1024
Mon Sep 6 13:11:13 2010 us=87516 max_routes_per_client = 256
Mon Sep 6 13:11:13 2010 us=87527 auth_user_pass_verify_script = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=87539 auth_user_pass_verify_script_via_file = DISABLED
Mon Sep 6 13:11:13 2010 us=87551 ssl_flags = 0
Mon Sep 6 13:11:13 2010 us=87562 port_share_host = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=87573 port_share_port = 0
Mon Sep 6 13:11:13 2010 us=87585 client = ENABLED
Mon Sep 6 13:11:13 2010 us=87596 pull = ENABLED
Mon Sep 6 13:11:13 2010 us=87616 auth_user_pass_file = '[UNDEF]'
Mon Sep 6 13:11:13 2010 us=87629 OpenVPN 2.1.1 amd64-portbld-freebsd8.0 [SSL] [LZO2] built on Jun 29 2010
Mon Sep 6 13:11:13 2010 us=87687 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Sep 6 13:11:13 2010 us=87698 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Sep 6 13:11:13 2010 us=88429 WARNING: file 'kiz.key' is group or others accessible
Mon Sep 6 13:11:13 2010 us=88885 LZO compression initialized
Mon Sep 6 13:11:13 2010 us=89009 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Mon Sep 6 13:11:13 2010 us=89082 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Sep 6 13:11:13 2010 us=89108 Local Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Mon Sep 6 13:11:13 2010 us=89118 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Mon Sep 6 13:11:13 2010 us=89147 Local Options hash (VER=V4): '69109d17'
Mon Sep 6 13:11:13 2010 us=89164 Expected Remote Options hash (VER=V4): 'c0103fa8'
Mon Sep 6 13:11:13 2010 us=89785 Attempting to establish TCP connection with 80.91.181.18:1194 [nonblock]
Mon Sep 6 13:11:14 2010 us=91321 TCP connection established with 80.91.181.18:1194
Mon Sep 6 13:11:14 2010 us=91354 Socket Buffers: R=[66792->65536] S=[33396->65536]
Mon Sep 6 13:11:14 2010 us=91370 TCPv4_CLIENT link local: [undef]
Mon Sep 6 13:11:14 2010 us=91395 TCPv4_CLIENT link remote: 80.91.181.18:1194
Mon Sep 6 13:11:14 2010 us=91839 TLS: Initial packet from 80.91.181.18:1194, sid=4d09c587 ac219956
Mon Sep 6 13:11:14 2010 us=359582 VERIFY OK: depth=1, /C=UA/ST=NA/L=Dnipropetrovsk/O=RUSH/OU=office/CN=server/emailAddress=maxi4@eva.dp.ua
Mon Sep 6 13:11:14 2010 us=359737 VERIFY OK: depth=0, /C=UA/ST=NA/O=RUSH/OU=office/CN=server/emailAddress=maxi4@eva.dp.ua
Mon Sep 6 13:11:15 2010 us=111454 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Sep 6 13:11:15 2010 us=111483 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Sep 6 13:11:15 2010 us=111537 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Sep 6 13:11:15 2010 us=111549 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Sep 6 13:11:15 2010 us=111628 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Mon Sep 6 13:11:15 2010 us=111658 [server] Peer Connection Initiated with 80.91.181.18:1194
Mon Sep 6 13:11:17 2010 us=508349 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Mon Sep 6 13:11:17 2010 us=670641 PUSH: Received control message: 'PUSH_REPLY,route 192.168.0.0 255.255.0.0,route 3.0.0.0 255.0.0.0,route 4.0.0.0 255.0.0.0,route 5.0.0.0 255.0.0.0,route 7.0.0.0 255.0.0.0,route 10.0.0.0 255.0.0.0,route 172.21.0.0 255.255.0.0,route 172.20.0.0 255.255.0.0,dhcp-option DNS 192.168.1.253,reneg-sec 38200,route 10.70.0.0 255.255.0.0,ping 30,ping-restart 360,ifconfig 10.70.2.134 10.70.2.133'
Mon Sep 6 13:11:17 2010 us=670765 Options error: option 'reneg-sec' cannot be used in this context
Mon Sep 6 13:11:17 2010 us=670800 OPTIONS IMPORT: timers and/or timeouts modified
Mon Sep 6 13:11:17 2010 us=670811 OPTIONS IMPORT: --ifconfig/up options modified
Mon Sep 6 13:11:17 2010 us=670820 OPTIONS IMPORT: route options modified
Mon Sep 6 13:11:17 2010 us=670830 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Mon Sep 6 13:11:17 2010 us=670924 ROUTE default_gateway=1.0.0.254
Mon Sep 6 13:11:17 2010 us=671234 TUN/TAP device /dev/tun2 opened
Mon Sep 6 13:11:17 2010 us=671292 /sbin/ifconfig tun2 10.70.2.134 10.70.2.133 mtu 1500 netmask 255.255.255.255 up
Mon Sep 6 13:11:37 2010 us=395414 /sbin/route add -net 192.168.0.0 10.70.2.133 255.255.0.0
add net 192.168.0.0: gateway 10.70.2.133
Mon Sep 6 13:11:37 2010 us=397059 /sbin/route add -net 3.0.0.0 10.70.2.133 255.0.0.0
add net 3.0.0.0: gateway 10.70.2.133
Mon Sep 6 13:11:37 2010 us=398690 /sbin/route add -net 4.0.0.0 10.70.2.133 255.0.0.0
add net 4.0.0.0: gateway 10.70.2.133
Mon Sep 6 13:11:37 2010 us=400222 /sbin/route add -net 5.0.0.0 10.70.2.133 255.0.0.0
add net 5.0.0.0: gateway 10.70.2.133
Mon Sep 6 13:11:37 2010 us=401658 /sbin/route add -net 7.0.0.0 10.70.2.133 255.0.0.0
add net 7.0.0.0: gateway 10.70.2.133
Mon Sep 6 13:11:37 2010 us=403144 /sbin/route add -net 10.0.0.0 10.70.2.133 255.0.0.0
add net 10.0.0.0: gateway 10.70.2.133
Mon Sep 6 13:11:37 2010 us=404597 /sbin/route add -net 172.21.0.0 10.70.2.133 255.255.0.0
add net 172.21.0.0: gateway 10.70.2.133
Mon Sep 6 13:11:37 2010 us=406086 /sbin/route add -net 172.20.0.0 10.70.2.133 255.255.0.0
add net 172.20.0.0: gateway 10.70.2.133
Mon Sep 6 13:11:37 2010 us=407674 /sbin/route add -net 10.70.0.0 10.70.2.133 255.255.0.0
add net 10.70.0.0: gateway 10.70.2.133
Mon Sep 6 13:11:37 2010 us=409181 Initialization Sequence Completed
хотя с самого шлюза
Код: Выделить всё
[pinger@srv /usr/home/pinger]$ ping 192.168.1.29
PING 192.168.1.29 (192.168.1.29): 56 data bytes
64 bytes from 192.168.1.29: icmp_seq=0 ttl=127 time=25.650 ms
64 bytes from 192.168.1.29: icmp_seq=1 ttl=127 time=25.466 ms
64 bytes from 192.168.1.29: icmp_seq=2 ttl=127 time=22.392 ms
^C
--- 192.168.1.29 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 22.392/24.503/25.650/1.494 ms
192.168.1.29 - некий хост в сети офиса
Re: Обсуждение VPN сервера OpenVPN
Добавлено: 2010-09-06 12:08:56
vlymar
Настроил по статье вс работает, но одна проблемка нужно на клиенте (WinXP) постоянно вручную добавлять маршрут:
Код: Выделить всё
route add 192.168.1.0 mask 255.255.255.0 10.10.100.1
куда его прописать, что б автоматом добавлялся впн сервером?
Re: Обсуждение VPN сервера OpenVPN
Добавлено: 2010-09-06 12:10:54
pinger
vlymar писал(а):Настроил по статье вс работает, но одна проблемка нужно на клиенте (WinXP) постоянно вручную добавлять маршрут:
Код: Выделить всё
route add 192.168.1.0 mask 255.255.255.0 10.10.100.1
куда его прописать, что б автоматом добавлялся впн сервером?
добавить в конфиг строку
Re: Обсуждение VPN сервера OpenVPN
Добавлено: 2010-09-06 12:27:10
vlymar
в server.conf у меня:
Код: Выделить всё
# Филиал 1
push "route 192.168.1.0 255.255.255.0"
# Филиал 1
route 192.168.1.0 255.255.255.0
Re: Обсуждение VPN сервера OpenVPN
Добавлено: 2010-09-06 13:13:08
vlymar
решил, нужно было прописать на стороне клиента в файле filial.ovpn:
Re: Обсуждение VPN сервера OpenVPN
Добавлено: 2010-09-06 15:57:18
Cancer
vlymar писал(а):в server.conf у меня:
Код: Выделить всё
# Филиал 1
push "route 192.168.1.0 255.255.255.0"
# Филиал 1
route 192.168.1.0 255.255.255.0
смотрите что у вас в логах при подключении, должно выдавать автоматом с сервера.
Re: Обсуждение VPN сервера OpenVPN
Добавлено: 2010-09-07 14:30:34
Shuba
Э... Тут как бы парочку вопросов. У меня порты обновлены и по /usr/ports/security/openvpn ставится openvpn-2.1.3. Соответсвенно в /usr/local/share/doc/openvpn/easy-rsa нет файла vars, зато есть 2 папки 1.0 и 2.0. В каждой из них по одному файлу vars, если в 1.0/vars имеется export KEY_DIR=$D/keys, то в 2.0/vars - export KEY_DIR="$EASY_RSA/keys". Это пока что устанавливая с ходу обнаружил. Смотрю и тестирую дальше.
Re: Обсуждение VPN сервера OpenVPN
Добавлено: 2010-09-14 8:39:29
Cancer
Shuba писал(а):Э... Тут как бы парочку вопросов. У меня порты обновлены и по /usr/ports/security/openvpn ставится openvpn-2.1.3. Соответсвенно в /usr/local/share/doc/openvpn/easy-rsa нет файла vars, зато есть 2 папки 1.0 и 2.0. В каждой из них по одному файлу vars, если в 1.0/vars имеется export KEY_DIR=$D/keys, то в 2.0/vars - export KEY_DIR="$EASY_RSA/keys". Это пока что устанавливая с ходу обнаружил. Смотрю и тестирую дальше.
Статью переписал под новую версию!
Re: Обсуждение VPN сервера OpenVPN
Добавлено: 2010-09-14 10:14:29
pinger
можно ли на уровне OpenVPN поднять NAT?
Re: Обсуждение VPN сервера OpenVPN
Добавлено: 2010-09-14 10:44:22
zeus4all
здорово, нужно попробовать как нито, пока мне хватало соединения двух локалок через фряшные гейты, но ето тоже интересный вариант, единственно что имхо нужно кпомянуть фаерволы, как правило многие и я сам долго почемутоне мог добавить правила для порта сервера и на собственно девайс tun, ну или у кого что...изза етого ничего не поднималось.
Re: Обсуждение VPN сервера OpenVPN
Добавлено: 2010-09-14 13:05:34
Cancer
Для
pf нужно правила в скобки заключать, если не заключить, то
pf не будет работать при перезагрузке системы.
Код: Выделить всё
# TUN (Виртуальный интерфейс OpenVPN 10.10.100.1)
ext_if_ovpn="tun0"
# Виртуальная подсеть OpenVPN
vpnhost_table="{10.10.100.0/24}"
# Подсети Филиалов
filials_subnet="{192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24}"
# Для того что бы из подсети могли ходить друг на друга
nat pass on $ext_if_ovpn from $vpnhost_table to $filials_subnet -> ($ext_if_ovpn)
Re: Обсуждение VPN сервера OpenVPN
Добавлено: 2010-09-14 13:20:33
pinger
Вот мой пример, как настроить NAT на клиентской машине, для доступа в сеть офиса:
Код: Выделить всё
srv# cat /etc/rc.conf
....
openvpn_enable="YES"
gateway_enable="YES"
##IPFW
firewall_enable="NO"
firewall_type="open"
ipnat_enable="YES"
ipnat_rules="/etc/ipfw/ipnat"
......
Код: Выделить всё
srv# cat /etc/ipfw/ipnat
map tun0 10.222.0.0/24 -> 10.70.2.134/32
10.222.0.0/24 - домашняя сеть
10.70.2.134 - выдаваемый сервером клиентский IP
Re: Обсуждение VPN сервера OpenVPN
Добавлено: 2010-09-14 15:49:37
Shuba
Cancer писал(а):Статью переписал под новую версию!
Опять неточности: в файле /usr/local/share/doc/openvpn/easy-rsa/2.0/vars нет такой строчки,
, там есть
, зато имеется в /usr/local/share/doc/openvpn/easy-rsa/1.0/vars. Я ставил почти полностью по старой статье, за исклюбчением добавлением в путях скриптов папки 1.0
Re: Обсуждение VPN сервера OpenVPN
Добавлено: 2010-09-14 15:57:14
Cancer
Shuba писал(а):Cancer писал(а):Статью переписал под новую версию!
Опять неточности: в файле /usr/local/share/doc/openvpn/easy-rsa/2.0/vars нет такой строчки,
, там есть
, зато имеется в /usr/local/share/doc/openvpn/easy-rsa/1.0/vars. Я ставил почти полностью по старой статье, за исклюбчением добавлением в путях скриптов папки 1.0
переписал на
KEY_DIR="$EASY_RSA/keys"
не заметил этого сразу
Re: Обсуждение VPN сервера OpenVPN
Добавлено: 2010-09-15 23:46:00
Jah
Как избавиться от ввода пароля при соединении?
Re: Обсуждение VPN сервера OpenVPN
Добавлено: 2010-09-17 22:19:59
Cancer
Jah писал(а):Как избавиться от ввода пароля при соединении?
изменить можно через гуи на венде на пустой.