Страница 2 из 4
Re: Обединение сетей через интернет
Добавлено: 2009-11-28 14:05:06
RAGNAR
я создал все ключи как по статье лисы.
там ошибка ...
Код: Выделить всё
#sh
. ./vars всегда
и по такой схеме.
. ./vars
. ./clean-all
cd /usr/local/share/doc/openvpn/easy-rsa
. ./vars
./build-ca
./build-key-server server
./build-key client
./build-dh
openvpn --genkey --secret keys/server/ta.key
exit
скопировал все ключи в /usr/local/etc/openvpn/keys (ca.crt, dh1024.pem, server.crt, server.key, ta.key).
делал по примеру ниже
Код: Выделить всё
#порт на котором работает сервер
port 2009
# протокол - советую udp
proto udp
# - используемый тип устройства и номер
dev tun0 // ч тут поставил 1 и с 0 тоже пробывал.
у меня интернет поднемаеться с tun0 через adsl, с этим как быть?
#указываем файл CA
ca /usr/local/etc/openvpn/keys/ca.crt
#указываем файл с сертификатом сервера
cert /usr/local/etc/openvpn/keys/server.crt
#указываем файл с ключем сервера
key /usr/local/etc/openvpn/keys/server.key
#указываем файл Диффи Хельман
dh /usr/local/etc/openvpn/keys/dh1024.pem
#задаем IP-адрес сервера и маску подсети
# (виртуальной сети) - можно произвольную, (я выбрал такую)
server 10.10.200.0 255.255.255.0
#задаем МАРШРУТ который передаём клиентту
# и маску подсети для того чтобы он "видел"
# сеть за опенвпн сервером (сеть 192.168.1.0/24)
push "route 192.168.1.0 255.255.255.0"
# указываем где хранятся файлы с
# настройками IP-адресов клиентов
client-config-dir ccd
# добавляем маршрут сервер-клиент
route 10.10.200.0 255.255.255.252
# включаем TLS аутификацию
tls-server
# указываем tls-ключ, и указываем 0 для сервера, а 1 для клиента
tls-auth keys/ta.key 0
# таймаут до реконекта
tls-timeout 120
auth MD5 #
# включаем шифрацию пакетов
cipher BF-CBC
keepalive 10 120
# сжатие трафика
comp-lzo
# максимум клиентов
max-clients 100
user nobody
group nobody
# Не перечитывать ключи после получения
# SIGUSR1 или ping-restart
persist-key
# Не закрывать и переоткрывать TUN\TAP
# устройство, после получения
# SIGUSR1 или ping-restart
persist-tun
# логгирование (не забудьте создать эту дирректорию /var/log/openvpn/)
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
# Уровень информации для отладки
verb 3
В дирректории /usr/local/etc/openvpn/ccd/client
clieant
/etc/rc.conf
Код: Выделить всё
openvpn_enable="YES" # YES or NO
openvpn_if="tun"
openvpn_configfile="/usr/local/etc/openvpn/server.conf"
openvpn_dir="/usr/local/etc/openvpn"
нестартует зараза сервер...
Re: Обединение сетей через интернет
Добавлено: 2009-11-28 14:29:02
RAGNAR
мой конфиг
server.conf
Код: Выделить всё
port 2009
proto udp
dev tun1
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
server 10.10.200.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
client-config-dir ccd
route 10.10.200.0 255.255.255.252
tls-server
tls-auth /usr/local/etc/openvpn/keys/ta.key 0
tls-timeout 120
auth MD5
cipher BF-CBC
keepalive 10 120
comp-lzo
max-clients 5
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3
log /var/log/openvpn/openvpn.log
openvpn.log
Код: Выделить всё
Sat Nov 28 15:18:56 2009 OpenVPN 2.0.6 i386-portbld-freebsd7.2 [SSL] [LZO] built on Nov 21 2009
Sat Nov 28 15:18:56 2009 Diffie-Hellman initialized with 1024 bit key
Sat Nov 28 15:18:56 2009 Cannot load certificate file /usr/local/etc/openvpn/keys/server.crt: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140AD009:SSL routines:SSL_CTX_use_certificate_file:PEM lib
Sat Nov 28 15:18:56 2009 Exiting
openvpn-status.log этот файл ауст
что может быть? ему ключи ненравяться?
Re: Обединение сетей через интернет
Добавлено: 2009-11-28 16:54:43
reLax
Код: Выделить всё
ls -lh /usr/local/etc/openvpn/keys/
ls -lh /var/log/openvpn/
?
Re: Обединение сетей через интернет
Добавлено: 2009-11-28 16:58:28
RAGNAR
Вот
Код: Выделить всё
$ su
Password:
unix# ls -lh /usr/local/etc/openvpn/keys/
total 8
-rw-r--r-- 1 root wheel 1.2K Nov 22 18:54 ca.crt
-rw-r--r-- 1 root wheel 245B Nov 22 18:54 dh1024.pem
-rw-r--r-- 1 root wheel 0B Nov 22 18:54 server.crt
-rw------- 1 root wheel 891B Nov 22 18:54 server.key
-rw------- 1 root wheel 636B Nov 22 18:54 ta.key
Код: Выделить всё
unix#
unix# ls -lh /var/log/openvpn/
total 2
-rw------- 1 root wheel 0B Nov 28 15:18 openvpn-status.log
-rwxrwxrwx 1 root wheel 414B Nov 28 15:18 openvpn.log
Re: Обединение сетей через интернет
Добавлено: 2009-11-28 17:59:07
reLax
Код: Выделить всё
-rw------- 1 root wheel 891B Nov 22 18:54 server.key
-rw------- 1 root wheel 636B Nov 22 18:54 ta.key
Ну ? А в конфиге у тебя что ? У тебя же кроме рута никто прочитать не может эти ключи.
Меняй права
Код: Выделить всё
# chown -R nobody:nobody /usr/local/etc/openvpn/keys/ /var/log/openvpn/ && chmod -R 400 /usr/local/etc/openvpn/keys/
Re: Обединение сетей через интернет
Добавлено: 2009-11-29 12:02:08
RAGNAR
вот результат. может что то с ключами?
openvpn.log
Код: Выделить всё
Sun Nov 29 12:57:20 2009 OpenVPN 2.0.6 i386-portbld-freebsd7.2 [SSL] [LZO] built on Nov 21 2009
Sun Nov 29 12:57:20 2009 Diffie-Hellman initialized with 1024 bit key
Sun Nov 29 12:57:20 2009 Cannot load certificate file /usr/local/etc/openvpn/keys/server.crt: error:0906D06C:PEM routines:PEM_
Sun Nov 29 12:57:20 2009 Exiting
Re: Обединение сетей через интернет
Добавлено: 2009-11-29 14:09:43
rnd
попробуй снова создать ключи, а эти удали.
скорей всего при создании ключей и сертификатов что-то не сошлось.
Re: Обединение сетей через интернет
Добавлено: 2009-11-29 19:39:02
RAGNAR
СОЗДАЛ . в логе тоже самое. можно как небудь ключ автоматом создать?
Re: Обединение сетей через интернет
Добавлено: 2009-11-29 20:40:53
RAGNAR
Re: Обединение сетей через интернет
Добавлено: 2009-11-29 20:44:58
RAGNAR
вот после всех манипуляций
Код: Выделить всё
unix# ls -lh /usr/local/etc/openvpn/keys/
total 18
-rwxrwxrwx 1 nobody nobody 1.2K Nov 29 19:44 ca.crt
-rwxrwxrwx 1 nobody nobody 891B Nov 29 19:44 ca.key
-rwxrwxrwx 1 nobody nobody 0B Nov 29 19:47 client.crt
-rwxrwxrwx 1 nobody nobody 761B Nov 29 19:47 client.csr
-rwxrwxrwx 1 nobody nobody 887B Nov 29 19:47 client.key
-rwxrwxrwx 1 nobody nobody 245B Nov 29 19:49 dh1024.pem
-rwxrwxrwx 1 nobody nobody 0B Nov 29 19:44 index.txt
-rwxrwxrwx 1 nobody nobody 3B Nov 29 19:44 serial
-rwxrwxrwx 1 nobody nobody 0B Nov 29 19:46 server.crt
-rwxrwxrwx 1 nobody nobody 761B Nov 29 19:46 server.csr
-rwxrwxrwx 1 nobody nobody 887B Nov 29 19:46 server.key
-rwxrwxrwx 1 nobody nobody 636B Nov 29 19:52 ta.key
Re: Обединение сетей через интернет
Добавлено: 2009-11-30 4:34:37
RAGNAR
Вобщем забадал этот впн. дело было в неправельном создании ключей...
впн поднялся всё ок.
клиент нехочет конектиться...
вывод лога виндоус клиента
Код: Выделить всё
Options error: Unrecognized option or missing parameter(s) in openvpn.ovpn:5: clieant (2.0.6)
Use --help for more information.
что может быть?
Re: Обединение сетей через интернет
Добавлено: 2009-11-30 4:47:07
RAGNAR
была проблема в конфеге у клиента... решил.
Код: Выделить всё
Mon Nov 30 04:36:49 2009 OpenVPN 2.0.6 Win32-MinGW [SSL] [LZO] built on Apr 5 2006
Mon Nov 30 04:36:49 2009 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Nov 30 04:36:49 2009 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Mon Nov 30 04:36:49 2009 Outgoing Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Mon Nov 30 04:36:49 2009 Incoming Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Mon Nov 30 04:36:49 2009 LZO compression initialized
Mon Nov 30 04:36:49 2009 Control Channel MTU parms [ L:1538 D:162 EF:62 EB:0 ET:0 EL:0 ]
Mon Nov 30 04:36:49 2009 Data Channel MTU parms [ L:1538 D:1450 EF:38 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Nov 30 04:36:49 2009 Local Options hash (VER=V4): '03fa487d'
Mon Nov 30 04:36:49 2009 Expected Remote Options hash (VER=V4): '1056bce3'
Mon Nov 30 04:36:49 2009 UDPv4 link local (bound): [undef]:4000
Mon Nov 30 04:36:49 2009 UDPv4 link remote: 84.x.x.x:4000
Mon Nov 30 04:36:49 2009 TCP/UDP: Incoming packet rejected from 192.168.1.2:4000[2], expected peer address: 84.x.x.x:4000 (allow this incoming source address/port by removing --remote or adding --float)
Mon Nov 30 04:36:51 2009 TCP/UDP: Incoming packet rejected from 192.168.1.2:4000[2], expected peer address: 84.x.x.x:4000 (allow this incoming source address/port by removing --remote or adding --float)
// итак это повторяеться сообщение 31 раз , потом
Mon Nov 30 04:37:49 2009 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Nov 30 04:37:49 2009 TLS Error: TLS handshake failed
Mon Nov 30 04:37:49 2009 TCP/UDP: Closing socket
Mon Nov 30 04:37:49 2009 SIGUSR1[soft,tls-error] received, process restarting
Mon Nov 30 04:37:49 2009 Restart pause, 2 second(s)
Mon Nov 30 04:37:50 2009 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Nov 30 04:37:50 2009 Re-using SSL/TLS context
Mon Nov 30 04:37:50 2009 LZO compression initialized
Mon Nov 30 04:37:50 2009 Control Channel MTU parms [ L:1538 D:162 EF:62 EB:0 ET:0 EL:0 ]
Mon Nov 30 04:37:51 2009 Data Channel MTU parms [ L:1538 D:1450 EF:38 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Nov 30 04:37:51 2009 Local Options hash (VER=V4): '03fa487d'
Mon Nov 30 04:37:51 2009 Expected Remote Options hash (VER=V4): '1056bce3'
Mon Nov 30 04:37:51 2009 UDPv4 link local (bound): [undef]:4000
Mon Nov 30 04:37:51 2009 UDPv4 link remote: 84.x.x.x:4000
openvpn.ovpn
Код: Выделить всё
dev tun
proto udp
remote 84.x.x.x
port 4000
client
resolv-retry infinite
ca ca.crt
cert clieant.crt
key clieant.key
tls-client
tls-auth ta.key 1
auth MD5
cipher BF-CBC
ns-cert-type client
comp-lzo
persist-key
persist-tun
verb 3
может кто подскажет что это и почему рестартиться?
Re: Обединение сетей через интернет
Добавлено: 2009-11-30 14:29:11
bams
Доброго времени суток всем! Подскажите если сможете, поднял между серверами OPENVPN, проработало все 4 часа и отвалилось, при рестарте клиент выдает ошибку no buffer space available (code 55). В чем дело, где рыть? Настраивал по статье mak_v_
Re: Обединение сетей через интернет
Добавлено: 2009-11-30 15:27:19
RAGNAR
сам вот поднемаю... пока нечего хорошего
Re: Обединение сетей через интернет
Добавлено: 2009-11-30 16:19:43
RAGNAR
лог файл на сарваке
Код: Выделить всё
Mon Nov 30 17:14:17 2009 MULTI: multi_create_instance called
Mon Nov 30 17:14:17 2009 94.241.35.49:4000 Re-using SSL/TLS context
Mon Nov 30 17:14:17 2009 94.241.35.49:4000 LZO compression initialized
Mon Nov 30 17:14:17 2009 94.241.35.49:4000 Control Channel MTU parms [ L:1538 D:162 EF:62 EB:0 ET:0 EL:0 ]
Mon Nov 30 17:14:17 2009 94.241.35.49:4000 Data Channel MTU parms [ L:1538 D:1450 EF:38 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Nov 30 17:14:17 2009 94.241.35.49:4000 Local Options hash (VER=V4): '1056bce3'
Mon Nov 30 17:14:17 2009 94.241.35.49:4000 Expected Remote Options hash (VER=V4): '03fa487d'
Mon Nov 30 17:14:17 2009 94.241.35.49:4000 TLS: Initial packet from 94.241.35.49:4000, sid=c0218251 f7376a8a
Mon Nov 30 17:14:20 2009 94.241.35.49:4000 TLS: new session incoming connection from 94.241.35.49:4000
Mon Nov 30 17:14:22 2009 94.241.35.49:4000 TLS: new session incoming connection from 94.241.35.49:4000
Mon Nov 30 17:15:17 2009 94.241.35.49:4000 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Nov 30 17:15:17 2009 94.241.35.49:4000 TLS Error: TLS handshake failed
Mon Nov 30 17:15:17 2009 94.241.35.49:4000 SIGUSR1[soft,tls-error] received, client-instance restarting
у клиента
Код: Выделить всё
Mon Nov 30 15:54:17 2009 TLS Error: Unroutable control packet received from 84.x.x.x:4000 (si=3 op=P_ACK_V1)
все вроде правельно
Re: Обединение сетей через интернет
Добавлено: 2009-11-30 17:50:39
reLax
Фаерволл присутствует на сервере ?
И кстати лучше использовать TCP вместо UDP, хоть и на оф. сайте не советуют ввиду соображений безопасности (но это все ерунда по моему)
Re: Обединение сетей через интернет
Добавлено: 2009-11-30 18:28:19
RAGNAR
у меня стоит ipnat с правилом , может что то нужно добавить?
и виндовый сервак имеет сеть 192.168.0.0.24 а у меня фре 192.168.1.0/24, это нормально?
Код: Выделить всё
map tun0 192.168.1.0/24 -> 84.x.x.x/32 portmap tcp/udp auto
map tun0 192.168.1.0/24 -> 84.x.x.x/32
ipfw
Код: Выделить всё
#!/bin/sh
ipfw="/sbin/ipfw"
LanOut="tun0"
NetOut="0/32"
IpOut="84.x.x.x"
LanIn1="re0"
LanIn2="fxp0"
LanBR="bridge0"
NetIn="192.168.1.0/24"
${ipfw} -f flush
${ipfw} -f pipe flush
${ipfw} -f queue flush
${ipfw} pipe 1 config bw 2150Kbit/s mask dst-ip 0xffffffff
${ipfw} pipe 2 config bw 750Kbit/s mask src-ip 0xffffffff
${ipfw} add 10 check-state
${ipfw} add 130 deny ip from any to ${IpOut} 21,22,135-139,443,445 via ${LanOut}
${ipfw} add 200 allow ip from any to any via lo0
${ipfw} add 210 deny ip from any to 127.0.0.0/8
${ipfw} add 220 deny ip from 127.0.0.0/8 to any
# NetIn -> LanOut
${ipfw} add 300 deny ip from ${NetIn} to any in via ${LanOut}
${ipfw} add 420 deny ip from any to 192.168.0.0/16 in via ${LanOut}
${ipfw} add 440 deny ip from any to 224.0.0.0/4 in via ${LanOut}
${ipfw} add 450 deny ip from any to 240.0.0.0/4 in via ${LanOut}
${ipfw} add 460 deny ip from any to 0.0.0.0/8 in via ${LanOut}
${ipfw} add 510 deny icmp from any to 255.255.255.255 via ${LanOut}
${ipfw} add 520 deny icmp from any to any frag
${ipfw} add 620 deny ip from 192.168.0.0/16 to any out via ${LanOut}
${ipfw} add 640 deny ip from 224.0.0.0/4 to any out via ${LanOut}
${ipfw} add 650 deny ip from 240.0.0.0/4 to any out via ${LanOut}
${ipfw} add 660 deny ip from 0.0.0.0/8 to any out via ${LanOut}
${ipfw} add 662 allow ip from any to ${NetIn} iplen 0-500 src-port 80
${ipfw} add 663 allow ip from any to ${NetIn} tcpflags ack iplen 0-128
${ipfw} add 665 pipe 1 ip from not ${NetIn} to ${NetIn} out
${ipfw} add 667 pipe 2 ip from ${NetIn} to not me in
${ipfw} add 670 allow icmp from any to any icmptypes 0,8,11
${ipfw} add 1000 allow tcp from any to any established
${ipfw} add 1200 allow ip from any to any via ${LanIn1}
${ipfw} add 1210 allow ip from any to any via ${LanOut}
${ipfw} add 1220 allow ip from ${NetIn} to ${NetIn} via ${LanBR}
${ipfw} add 1230 allow ip from any to any via ${LanIn2}
${ipfw} add 65535 deny ip from any to any
а вот полный лог клиента.
я так понел непроходит какойто сертифекат проверки, да?
Код: Выделить всё
Mon Nov 30 16:37:35 2009 Restart pause, 2 second(s)
Mon Nov 30 16:37:37 2009 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Nov 30 16:37:37 2009 Re-using SSL/TLS context
Mon Nov 30 16:37:37 2009 LZO compression initialized
Mon Nov 30 16:37:37 2009 Control Channel MTU parms [ L:1538 D:162 EF:62 EB:0 ET:0 EL:0 ]
Mon Nov 30 16:37:37 2009 Data Channel MTU parms [ L:1538 D:1450 EF:38 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Nov 30 16:37:37 2009 Local Options hash (VER=V4): '03fa487d'
Mon Nov 30 16:37:37 2009 Expected Remote Options hash (VER=V4): '1056bce3'
Mon Nov 30 16:37:37 2009 UDPv4 link local (bound): [undef]:4000
Mon Nov 30 16:37:37 2009 UDPv4 link remote: 84.42.28.194:4000
Mon Nov 30 16:37:37 2009 TLS: Initial packet from 84.42.28.194:4000, sid=10edfc58 fdefe2f2
Mon Nov 30 16:37:37 2009 VERIFY OK: depth=1, /C=KG/ST=NA/L=BISHKEK/O=SERVER/OU=SERVER/CN=SERVER/emailAddress=me@myhost.mydomain
Mon Nov 30 16:37:37 2009 VERIFY nsCertType ERROR: /C=KG/ST=NA/O=SERVER/OU=SERVER/CN=SERVER/emailAddress=me@myhost.mydomain, require nsCertType=CLIENT
Mon Nov 30 16:37:37 2009 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Mon Nov 30 16:37:37 2009 TLS Error: TLS object -> incoming plaintext read error
Mon Nov 30 16:37:37 2009 TLS Error: TLS handshake failed
Mon Nov 30 16:37:37 2009 TCP/UDP: Closing socket
Mon Nov 30 16:37:37 2009 SIGUSR1[soft,tls-error] received, process restarting
Mon Nov 30 16:37:37 2009 Restart pause, 2 second(s)
ifconfig
Код: Выделить всё
re0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=3898<VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
ether 00:21:91:d4:d8:c2
inet 192.168.1.2 netmask 0xffffff00 broadcast 192.168.1.255
media: Ethernet 1000baseTX <full-duplex>
status: active
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:50:ba:00:7c:be
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
fxp0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=2009<RXCSUM,VLAN_MTU,WOL_MAGIC>
ether 00:90:27:e0:11:2e
inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
media: Ethernet 100baseTX <full-duplex>
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet 127.0.0.1 netmask 0xff000000
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
ether d6:6b:2e:ad:74:3c
id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200
root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0
member: fxp0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
ifmaxaddr 0 port 3 priority 128 path cost 55
member: re0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
ifmaxaddr 0 port 1 priority 128 path cost 55
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
inet 84.x.x.x --> 84.x.x.x netmask 0xffffffff
Opened by PID 448
tun1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
inet 10.10.200.1 --> 10.10.200.2 netmask 0xffffffff
Opened by PID 2530
Re: Обединение сетей через интернет
Добавлено: 2009-11-30 19:37:28
reLax
Ну смотри, если ты абсолютно уверен, что ipfw (все-таки укажи в нем хоть tun1) пропускает пакеты и ключи были сгенерированы по всем правилам, то:
1) для отладки поставить verb 5 хотя бы
2) посмотреть в сторону MTU (на обоих концах они должны быть одинаковы) link-mtu, tun-mtu
3) попробовать все-таки использовать TCP (ничего в этом страшного нету, объяснение с оф. сайта насчет протокола TCP сходится лишь к тому, что "типа кулхацкеры сканят как правило TCP-порты, поэтому обнаружить вас будет легче"). Я OpenVPN давно устанавливал уже, и помню была какая-то у меня веская причина использовать именно TCP.
Re: Обединение сетей через интернет
Добавлено: 2009-11-30 20:01:17
RAGNAR
с verb 5 сейчас попробую. и попробую добавить правило в конфиг.
я так тебя понел нужно мту выравнить с интернет каналом,так.
я пробую с tcp
вот смотри что выводит у клиента
Unable to connect because your certificate is not valid. Check that your sistem time is correct.
перевод гуглёвый
Не удается подключиться потому что ваш сертификат недействителен. Убедитесь, что время систем является правильным.
вот чего добился лог клиента
Код: Выделить всё
Mon Nov 30 19:51:41 2009 OpenVPN 2.0.6 Win32-MinGW [SSL] [LZO] built on Apr 5 2006
Mon Nov 30 19:51:41 2009 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Mon Nov 30 19:51:41 2009 Outgoing Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Mon Nov 30 19:51:41 2009 Incoming Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Mon Nov 30 19:51:41 2009 LZO compression initialized
Mon Nov 30 19:51:41 2009 Control Channel MTU parms [ L:1540 D:164 EF:64 EB:0 ET:0 EL:0 ]
Mon Nov 30 19:51:41 2009 Data Channel MTU parms [ L:1540 D:1450 EF:40 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Nov 30 19:51:41 2009 Local Options hash (VER=V4): 'e6beeeed'
Mon Nov 30 19:51:41 2009 Expected Remote Options hash (VER=V4): '9183b24b'
Mon Nov 30 19:51:41 2009 Attempting to establish TCP connection with 84.x.x.x:4000
Mon Nov 30 19:51:43 2009 TCP connection established with 84.x.x.x:4000
Mon Nov 30 19:51:43 2009 TCPv4_CLIENT link local: [undef]
Mon Nov 30 19:51:43 2009 TCPv4_CLIENT link remote: 84.x.x.x:4000
Mon Nov 30 19:51:44 2009 TLS: Initial packet from 84.x.x.x:4000, sid=e245170e 4ab0d541
Mon Nov 30 19:52:02 2009 VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=KG/ST=NA/L=BISHKEK/O=server/OU=server/CN=server/emailAddress=me@myhost.mydomain
Re: Обединение сетей через интернет
Добавлено: 2009-11-30 20:03:53
reLax
Погоди, а это что ?
CLIENT
Имена ключей должны быть идентичными тем, которые ты указывал при их генерации и в директории
ccd
clieAnt у тебя не прокатит.
Re: Обединение сетей через интернет
Добавлено: 2009-11-30 20:15:29
RAGNAR
вот лог с верб 5 . лог клиента. уменя уже мозг кипит... непонемаю что он от меня хочет
Код: Выделить всё
Mon Nov 30 20:10:44 2009 us=274111 Current Parameter Settings:
Mon Nov 30 20:10:44 2009 us=274162 config = 'openvpn.ovpn'
Mon Nov 30 20:10:44 2009 us=274176 mode = 0
Mon Nov 30 20:10:44 2009 us=274188 show_ciphers = DISABLED
Mon Nov 30 20:10:44 2009 us=274200 show_digests = DISABLED
Mon Nov 30 20:10:44 2009 us=274212 show_engines = DISABLED
Mon Nov 30 20:10:44 2009 us=274225 genkey = DISABLED
Mon Nov 30 20:10:44 2009 us=274237 key_pass_file = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=274248 show_tls_ciphers = DISABLED
Mon Nov 30 20:10:44 2009 us=274260 proto = 2
Mon Nov 30 20:10:44 2009 us=274271 local = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=274284 remote_list[0] = {'84.x.x.x', 4000}
Mon Nov 30 20:10:44 2009 us=274296 remote_random = DISABLED
Mon Nov 30 20:10:44 2009 us=274308 local_port = 4000
Mon Nov 30 20:10:44 2009 us=274320 remote_port = 4000
Mon Nov 30 20:10:44 2009 us=274331 remote_float = DISABLED
Mon Nov 30 20:10:44 2009 us=274342 ipchange = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=274353 bind_local = ENABLED
Mon Nov 30 20:10:44 2009 us=274365 dev = 'tun'
Mon Nov 30 20:10:44 2009 us=274375 dev_type = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=274387 dev_node = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=274398 tun_ipv6 = DISABLED
Mon Nov 30 20:10:44 2009 us=274410 ifconfig_local = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=274422 ifconfig_remote_netmask = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=274434 ifconfig_noexec = DISABLED
Mon Nov 30 20:10:44 2009 us=274445 ifconfig_nowarn = DISABLED
Mon Nov 30 20:10:44 2009 us=274456 shaper = 0
Mon Nov 30 20:10:44 2009 us=274468 tun_mtu = 1500
Mon Nov 30 20:10:44 2009 us=274480 tun_mtu_defined = ENABLED
Mon Nov 30 20:10:44 2009 us=274492 link_mtu = 1500
Mon Nov 30 20:10:44 2009 us=274503 link_mtu_defined = DISABLED
Mon Nov 30 20:10:44 2009 us=274515 tun_mtu_extra = 0
Mon Nov 30 20:10:44 2009 us=274526 tun_mtu_extra_defined = DISABLED
Mon Nov 30 20:10:44 2009 us=274537 fragment = 0
Mon Nov 30 20:10:44 2009 us=274549 mtu_discover_type = -1
Mon Nov 30 20:10:44 2009 us=274561 mtu_test = 0
Mon Nov 30 20:10:44 2009 us=274572 mlock = DISABLED
Mon Nov 30 20:10:44 2009 us=274584 keepalive_ping = 0
Mon Nov 30 20:10:44 2009 us=274595 keepalive_timeout = 0
Mon Nov 30 20:10:44 2009 us=274611 inactivity_timeout = 0
Mon Nov 30 20:10:44 2009 us=274624 ping_send_timeout = 0
Mon Nov 30 20:10:44 2009 us=274636 ping_rec_timeout = 0
Mon Nov 30 20:10:44 2009 us=274647 ping_rec_timeout_action = 0
Mon Nov 30 20:10:44 2009 us=274659 ping_timer_remote = DISABLED
Mon Nov 30 20:10:44 2009 us=274670 remap_sigusr1 = 0
Mon Nov 30 20:10:44 2009 us=274682 explicit_exit_notification = 0
Mon Nov 30 20:10:44 2009 us=274694 persist_tun = ENABLED
Mon Nov 30 20:10:44 2009 us=274705 persist_local_ip = DISABLED
Mon Nov 30 20:10:44 2009 us=274717 persist_remote_ip = DISABLED
Mon Nov 30 20:10:44 2009 us=274729 persist_key = ENABLED
Mon Nov 30 20:10:44 2009 us=274741 mssfix = 1450
Mon Nov 30 20:10:44 2009 us=274754 resolve_retry_seconds = 1000000000
Mon Nov 30 20:10:44 2009 us=274765 connect_retry_seconds = 5
Mon Nov 30 20:10:44 2009 us=274777 username = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=274789 groupname = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=274801 chroot_dir = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=274812 cd_dir = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=274823 writepid = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=274835 up_script = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=274846 down_script = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=274858 down_pre = DISABLED
Mon Nov 30 20:10:44 2009 us=274869 up_restart = DISABLED
Mon Nov 30 20:10:44 2009 us=274881 up_delay = DISABLED
Mon Nov 30 20:10:44 2009 us=274892 daemon = DISABLED
Mon Nov 30 20:10:44 2009 us=274903 inetd = 0
Mon Nov 30 20:10:44 2009 us=274914 log = DISABLED
Mon Nov 30 20:10:44 2009 us=274926 suppress_timestamps = DISABLED
Mon Nov 30 20:10:44 2009 us=274937 nice = 0
Mon Nov 30 20:10:44 2009 us=274948 verbosity = 5
Mon Nov 30 20:10:44 2009 us=463304 mute = 0
Mon Nov 30 20:10:44 2009 us=463325 gremlin = 0
Mon Nov 30 20:10:44 2009 us=463336 status_file = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=463347 status_file_version = 1
Mon Nov 30 20:10:44 2009 us=463360 status_file_update_freq = 60
Mon Nov 30 20:10:44 2009 us=463371 occ = ENABLED
Mon Nov 30 20:10:44 2009 us=463382 rcvbuf = 0
Mon Nov 30 20:10:44 2009 us=463393 sndbuf = 0
Mon Nov 30 20:10:44 2009 us=463404 socks_proxy_server = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=463421 socks_proxy_port = 0
Mon Nov 30 20:10:44 2009 us=463434 socks_proxy_retry = DISABLED
Mon Nov 30 20:10:44 2009 us=463445 fast_io = DISABLED
Mon Nov 30 20:10:44 2009 us=463455 comp_lzo = ENABLED
Mon Nov 30 20:10:44 2009 us=463466 comp_lzo_adaptive = ENABLED
Mon Nov 30 20:10:44 2009 us=463477 route_script = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=463488 route_default_gateway = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=463499 route_noexec = DISABLED
Mon Nov 30 20:10:44 2009 us=474936 route_delay = 0
Mon Nov 30 20:10:44 2009 us=474957 route_delay_window = 30
Mon Nov 30 20:10:44 2009 us=474969 route_delay_defined = ENABLED
Mon Nov 30 20:10:44 2009 us=474980 management_addr = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=474992 management_port = 0
Mon Nov 30 20:10:44 2009 us=475003 management_user_pass = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=475015 management_log_history_cache = 250
Mon Nov 30 20:10:44 2009 us=475027 management_echo_buffer_size = 100
Mon Nov 30 20:10:44 2009 us=475039 management_query_passwords = DISABLED
Mon Nov 30 20:10:44 2009 us=475051 management_hold = DISABLED
Mon Nov 30 20:10:44 2009 us=475063 shared_secret_file = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=475075 key_direction = 2
Mon Nov 30 20:10:44 2009 us=475086 ciphername_defined = ENABLED
Mon Nov 30 20:10:44 2009 us=475097 ciphername = 'BF-CBC'
Mon Nov 30 20:10:44 2009 us=475108 authname_defined = ENABLED
Mon Nov 30 20:10:44 2009 us=485180 authname = 'MD5'
Mon Nov 30 20:10:44 2009 us=485200 keysize = 0
Mon Nov 30 20:10:44 2009 us=485212 engine = DISABLED
Mon Nov 30 20:10:44 2009 us=485223 replay = ENABLED
Mon Nov 30 20:10:44 2009 us=485235 mute_replay_warnings = DISABLED
Mon Nov 30 20:10:44 2009 us=485246 replay_window = 0
Mon Nov 30 20:10:44 2009 us=485257 replay_time = 0
Mon Nov 30 20:10:44 2009 us=485268 packet_id_file = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=485279 use_iv = ENABLED
Mon Nov 30 20:10:44 2009 us=485290 test_crypto = DISABLED
Mon Nov 30 20:10:44 2009 us=485301 tls_server = DISABLED
Mon Nov 30 20:10:44 2009 us=485312 tls_client = ENABLED
Mon Nov 30 20:10:44 2009 us=485322 key_method = 2
Mon Nov 30 20:10:44 2009 us=485334 ca_file = 'ca.crt'
Mon Nov 30 20:10:44 2009 us=485344 dh_file = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=485355 cert_file = 'client.crt'
Mon Nov 30 20:10:44 2009 us=494020 priv_key_file = 'client.key'
Mon Nov 30 20:10:44 2009 us=494038 pkcs12_file = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=494050 cryptoapi_cert = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=494062 cipher_list = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=494073 tls_verify = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=494084 tls_remote = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=494096 crl_file = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=494107 ns_cert_type = 64
Mon Nov 30 20:10:44 2009 us=494118 tls_timeout = 2
Mon Nov 30 20:10:44 2009 us=494129 renegotiate_bytes = 0
Mon Nov 30 20:10:44 2009 us=494140 renegotiate_packets = 0
Mon Nov 30 20:10:44 2009 us=494151 renegotiate_seconds = 3600
Mon Nov 30 20:10:44 2009 us=494163 handshake_window = 60
Mon Nov 30 20:10:44 2009 us=494175 transition_window = 3600
Mon Nov 30 20:10:44 2009 us=494186 single_session = DISABLED
Mon Nov 30 20:10:44 2009 us=494198 tls_exit = DISABLED
Mon Nov 30 20:10:44 2009 us=503444 tls_auth_file = 'ta.key'
Mon Nov 30 20:10:44 2009 us=503477 server_network = 0.0.0.0
Mon Nov 30 20:10:44 2009 us=503491 server_netmask = 0.0.0.0
Mon Nov 30 20:10:44 2009 us=503504 server_bridge_ip = 0.0.0.0
Mon Nov 30 20:10:44 2009 us=503516 server_bridge_netmask = 0.0.0.0
Mon Nov 30 20:10:44 2009 us=503528 server_bridge_pool_start = 0.0.0.0
Mon Nov 30 20:10:44 2009 us=503541 server_bridge_pool_end = 0.0.0.0
Mon Nov 30 20:10:44 2009 us=503554 ifconfig_pool_defined = DISABLED
Mon Nov 30 20:10:44 2009 us=503567 ifconfig_pool_start = 0.0.0.0
Mon Nov 30 20:10:44 2009 us=503581 ifconfig_pool_end = 0.0.0.0
Mon Nov 30 20:10:44 2009 us=503594 ifconfig_pool_netmask = 0.0.0.0
Mon Nov 30 20:10:44 2009 us=503606 ifconfig_pool_persist_filename = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=503619 ifconfig_pool_persist_refresh_freq = 600
Mon Nov 30 20:10:44 2009 us=503630 ifconfig_pool_linear = DISABLED
Mon Nov 30 20:10:44 2009 us=503642 n_bcast_buf = 256
Mon Nov 30 20:10:44 2009 us=512655 tcp_queue_limit = 64
Mon Nov 30 20:10:44 2009 us=512672 real_hash_size = 256
Mon Nov 30 20:10:44 2009 us=512683 virtual_hash_size = 256
Mon Nov 30 20:10:44 2009 us=512695 client_connect_script = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=512707 learn_address_script = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=512719 client_disconnect_script = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=512731 client_config_dir = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=512742 ccd_exclusive = DISABLED
Mon Nov 30 20:10:44 2009 us=512753 tmp_dir = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=512765 push_ifconfig_defined = DISABLED
Mon Nov 30 20:10:44 2009 us=512778 push_ifconfig_local = 0.0.0.0
Mon Nov 30 20:10:44 2009 us=512791 push_ifconfig_remote_netmask = 0.0.0.0
Mon Nov 30 20:10:44 2009 us=512803 enable_c2c = DISABLED
Mon Nov 30 20:10:44 2009 us=512814 duplicate_cn = DISABLED
Mon Nov 30 20:10:44 2009 us=512825 cf_max = 0
Mon Nov 30 20:10:44 2009 us=520581 cf_per = 0
Mon Nov 30 20:10:44 2009 us=520600 max_clients = 1024
Mon Nov 30 20:10:44 2009 us=520612 max_routes_per_client = 256
Mon Nov 30 20:10:44 2009 us=520623 client_cert_not_required = DISABLED
Mon Nov 30 20:10:44 2009 us=520636 username_as_common_name = DISABLED
Mon Nov 30 20:10:44 2009 us=520648 auth_user_pass_verify_script = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=520661 auth_user_pass_verify_script_via_file = DISABLED
Mon Nov 30 20:10:44 2009 us=520672 client = ENABLED
Mon Nov 30 20:10:44 2009 us=520683 pull = ENABLED
Mon Nov 30 20:10:44 2009 us=520694 auth_user_pass_file = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=520709 show_net_up = DISABLED
Mon Nov 30 20:10:44 2009 us=520720 route_method = 0
Mon Nov 30 20:10:44 2009 us=520731 ip_win32_defined = DISABLED
Mon Nov 30 20:10:44 2009 us=520742 ip_win32_type = 3
Mon Nov 30 20:10:44 2009 us=520753 dhcp_masq_offset = 0
Mon Nov 30 20:10:44 2009 us=520765 dhcp_lease_time = 31536000
Mon Nov 30 20:10:44 2009 us=529366 tap_sleep = 0
Mon Nov 30 20:10:44 2009 us=529383 dhcp_options = DISABLED
Mon Nov 30 20:10:44 2009 us=529394 dhcp_renew = DISABLED
Mon Nov 30 20:10:44 2009 us=529406 dhcp_pre_release = DISABLED
Mon Nov 30 20:10:44 2009 us=529417 dhcp_release = DISABLED
Mon Nov 30 20:10:44 2009 us=529428 domain = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=529439 netbios_scope = '[UNDEF]'
Mon Nov 30 20:10:44 2009 us=529450 netbios_node_type = 0
Mon Nov 30 20:10:44 2009 us=529461 disable_nbt = DISABLED
Mon Nov 30 20:10:44 2009 us=529480 OpenVPN 2.0.6 Win32-MinGW [SSL] [LZO] built on Apr 5 2006
Mon Nov 30 20:10:44 2009 us=532252 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Mon Nov 30 20:10:44 2009 us=532283 Outgoing Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Mon Nov 30 20:10:44 2009 us=532300 Incoming Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Mon Nov 30 20:10:44 2009 us=542218 LZO compression initialized
Mon Nov 30 20:10:44 2009 us=542359 Control Channel MTU parms [ L:1540 D:164 EF:64 EB:0 ET:0 EL:0 ]
Mon Nov 30 20:10:44 2009 us=553241 Data Channel MTU parms [ L:1540 D:1450 EF:40 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Nov 30 20:10:44 2009 us=553299 Local Options String: 'V4,dev-type tun,link-mtu 1540,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,keydir 1,cipher BF-CBC,auth MD5,keysize 128,tls-auth,key-method 2,tls-client'
Mon Nov 30 20:10:44 2009 us=553315 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1540,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,keydir 0,cipher BF-CBC,auth MD5,keysize 128,tls-auth,key-method 2,tls-server'
Mon Nov 30 20:10:44 2009 us=553344 Local Options hash (VER=V4): 'e6beeeed'
Mon Nov 30 20:10:44 2009 us=553366 Expected Remote Options hash (VER=V4): '9183b24b'
Mon Nov 30 20:10:44 2009 us=553397 Attempting to establish TCP connection with 84.x.x.x:4000
Mon Nov 30 20:10:45 2009 us=813883 TCP connection established with 84.x.x.x:4000
Mon Nov 30 20:10:45 2009 us=813930 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Nov 30 20:10:45 2009 us=815897 TCPv4_CLIENT link local: [undef]
Mon Nov 30 20:10:45 2009 us=815921 TCPv4_CLIENT link remote: 84.x.x.x:4000
Mon Nov 30 20:10:47 2009 us=464648 TLS: Initial packet from 84.x.x.x:4000, sid=eab640c8 e4e29c73
Mon Nov 30 20:11:04 2009 us=735980 VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=KG/ST=NA/L=BISHKEK/O=server/OU=server/CN=server/emailAddress=me@myhost.mydomain
Re: Обединение сетей через интернет
Добавлено: 2009-11-30 20:17:43
RAGNAR
а это я там ошибся щас все нормально
Re: Обединение сетей через интернет
Добавлено: 2009-11-30 20:23:46
reLax
Попробуй и правда ключи заново сделать. vars заодно подправь, казах из Бишкека )))
Re: Обединение сетей через интернет
Добавлено: 2009-11-30 20:29:52
RAGNAR
ключи я создал правельно все 10 раз переправерил а казах непричем это так просто...
Re: Обединение сетей через интернет
Добавлено: 2009-11-30 20:32:42
RAGNAR
может сделаешь пару ключей для пробы ... что б до конца быть увереным что это не ключи