Поставил OpenVPN 2.0 на Слаку и Фрю (5.3). Далее делаю на Слаке:
openssl req -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -day 3650
openssl req -nodes -new -x509 -keyout office1.key -out office1.csr
openssl req -nodes -new -x509 -keyout office2.key -out office2.csr
openssl x509 -out office1.crt -in office1.csr
openssl x509 -out office2.crt -in office2.csr
openssl dhparam -out dh1024.pem 1024
Создаю конфиги. Для сервера (Фря):
dev tun
port 5000
ifconfig 10.1.1.1 10.1.1.2
ns-cert-type server
tls-server
dh dh1024.pem
ca my-ca.crt
cert office1.crt
key office1.key
verb 3
Для Слаки:
dev tun
port 5000
remote 100.100.100.1
ifconfig 10.1.1.2 10.1.1.1
tls-client
dh dh1024.pem
ca my-ca.crt
cert office2.crt
key office2.key
verb 3
Запускаю:
openvpn --config конфиг_для_фри
Стартует нормально, Выдаёт только: WARNING: file '/etc/ssl/my/private/office1.key' is group or others accessible
А вот на слаке вообще куча ошибок:
# openvpn --config конфиг_дя_слаки
Tue Mar 29 21:37:55 2005 OpenVPN 2.0_rc17 i686-pc-linux [SSL] [LZO] built on Mar 20 2005
Tue Mar 29 21:37:55 2005 WARNING: file '/etc/ssl/my/private/office2.key' is group or others accessible
Tue Mar 29 21:37:55 2005 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Mar 29 21:37:55 2005 TUN/TAP device tun0 opened
Tue Mar 29 21:37:55 2005 /sbin/ifconfig tun0 10.1.1.2 pointopoint 10.1.1.1 mtu 1500
Tue Mar 29 21:37:55 2005 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Tue Mar 29 21:37:55 2005 Local Options hash (VER=V4): 'bed69dfd'
Tue Mar 29 21:37:55 2005 Expected Remote Options hash (VER=V4): 'dd105312'
Tue Mar 29 21:37:55 2005 UDPv4 link local (bound): [undef]:5000
Tue Mar 29 21:37:55 2005 UDPv4 link remote: 192.168.0.1:5000
Tue Mar 29 21:37:55 2005 TLS Error: Unroutable control packet received from 192.168.0.1:5000 (si=3 op=P_ACK_V1)
Tue Mar 29 21:37:57 2005 TLS Error: Unroutable control packet received from 192.168.0.1:5000 (si=3 op=P_CONTROL_V1)
Tue Mar 29 21:37:57 2005 TLS Error: Unroutable control packet received from 192.168.0.1:5000 (si=3 op=P_CONTROL_V1)
Tue Mar 29 21:37:57 2005 TLS Error: Unroutable control packet received from 192.168.0.1:5000 (si=3 op=P_CONTROL_V1)
Что я намудрил, подскажите. А то я уже &$$%*&ся
Куда копать хоть.
Ну чисто в тупую могу предположить что не настроен роутинг, вроде об этом говорят ошибки, т.е. там написано что то вроде: получен не роученный контрольный пакет.
Для сервера пропиши
local 10.1.1.1
remote 10.1.1.2
ето должно помочь.
А права на ключики поправь, ибо "group or others accessible" не есть
секурно. 0600 поставь от греха.
>Для сервера пропиши
>local 10.1.1.1
>remote 10.1.1.2
А куда прописать-то? Если в конфиг, то выдаёт:
# openvpn --config office1
Options error: --local and --remote addresses must be distinct from --ifconfig addresses
Use --help for more information.
Да и вроде как оно само нормально определяет кому какой адрес. Или я что-то неправильно понял?
По поводу прав. Просто я вчера поменял местами сервер
и клиент и забыл соответственно права на поменявшихся
ключах выставить. Сейчас выставил chmod рекурсивно и
клиент (слака) выдаёт следущее:
# openvpn --config office2
Wed Mar 30 11:11:15 2005 OpenVPN 2.0_rc17 i686-pc-linux [SSL] [LZO] built on Mar 20 2005
Wed Mar 30 11:11:15 2005 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Mar 30 11:11:15 2005 TUN/TAP device tun0 opened
Wed Mar 30 11:11:15 2005 /sbin/ifconfig tun0 10.1.1.2 pointopoint 10.1.1.1 mtu 1500
Wed Mar 30 11:11:15 2005 /sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.1.1.1
Wed Mar 30 11:11:15 2005 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Wed Mar 30 11:11:15 2005 Local Options hash (VER=V4): 'bed69dfd'
Wed Mar 30 11:11:15 2005 Expected Remote Options hash (VER=V4): 'dd105312'
Wed Mar 30 11:11:15 2005 UDPv4 link local (bound): [undef]:5000
Wed Mar 30 11:11:15 2005 UDPv4 link remote: 192.168.0.1:5000
Wed Mar 30 11:11:15 2005 TLS: Initial packet from 192.168.0.1:5000, sid=2e4f91f0 03b48718
Wed Mar 30 11:11:15 2005 VERIFY ERROR: depth=0, error=self signed certificate: /C=RU/ST=Rostov_Reg/L=Rostov/O=PSMD/CN=darkstar.example.net/emailAddress=patriot
ica@mail.ru
Wed Mar 30 11:11:15 2005 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Wed Mar 30 11:11:15 2005 TLS Error: TLS object -> incoming plaintext read error
Wed Mar 30 11:11:15 2005 TLS Error: TLS handshake failed
Wed Mar 30 11:11:15 2005 TCP/UDP: Closing socket
Wed Mar 30 11:11:15 2005 /sbin/route del -net 192.168.1.0 netmask 255.255.255.0
Wed Mar 30 11:11:16 2005 Closing TUN/TAP interface
Wed Mar 30 11:11:16 2005 SIGUSR1[soft,tls-error] received, process restarting
Wed Mar 30 11:11:16 2005 Restart pause, 2 second(s)
Wed Mar 30 11:11:18 2005 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Mar 30 11:11:18 2005 TUN/TAP device tun0 opened
Wed Mar 30 11:11:18 2005 /sbin/ifconfig tun0 10.1.1.2 pointopoint 10.1.1.1 mtu 1500
Wed Mar 30 11:11:18 2005 /sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.1.1.1
Wed Mar 30 11:11:18 2005 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Wed Mar 30 11:11:18 2005 Local Options hash (VER=V4): 'bed69dfd'
Wed Mar 30 11:11:18 2005 Expected Remote Options hash (VER=V4): 'dd105312'
Wed Mar 30 11:11:18 2005 UDPv4 link local (bound): [undef]:5000
Wed Mar 30 11:11:18 2005 UDPv4 link remote: 192.168.0.1:5000
Wed Mar 30 11:11:18 2005 TLS Error: Unroutable control packet received from 192.168.0.1:5000 (si=3 op=P_CONTROL_V1)
Wed Mar 30 11:11:18 2005 TLS Error: Unroutable control packet received from 192.168.0.1:5000 (si=3 op=P_CONTROL_V1)
Wed Mar 30 11:11:18 2005 TLS Error: Unroutable control packet received from 192.168.0.1:5000 (si=3 op=P_CONTROL_V1)
Wed Mar 30 11:11:18 2005 TLS Error: Unroutable control packet received from 192.168.0.1:5000 (si=3 op=P_CONTROL_V1)
Wed Mar 30 11:11:18 2005 TLS: Initial packet from 192.168.0.1:5000, sid=37fbfb01 3e2e93a2
Может всё же в ключах дело? Может потому что я задавал в обоих ключах одинаковый Common Name?
Sorry, local и remote - должны быть реальными адресами интерфейсов, через которые ты ВПН пробрасываешь. У тебя вот что смущает
UDPv4 link local (bound): [undef]:5000
Т.е. на одной стороне он не знает на каком интерфейсе будет линк ВПН-ский
Может с iptable что-то? В предыдущем посте я показал, что выводит слака, если пустить её в качестве сервера. Попробовал прописать ремув/локал на Фре и сервер стартовал. Запускаю клиента на слаке и пока не вижу различий в логах.... Всё те же local (bound): [undef]:5000
Спасибо!
Вы меня немножко с толку сбили ;) У меня нет подсети 192.168.1.0. Что интересно, я её менял на свою.... А потом по запарке вставил скопированное значение на клиент (с сервером всё ок).
Сейчас как увидел на клиенте:
/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.1.1.1
Сразу по голове себя дал ;)))
Теперь другая проблема, другой лог ;))
# openvpn --config office2
Wed Mar 30 12:50:56 2005 OpenVPN 2.0_rc17 i686-pc-linux [SSL] [LZO] built on Mar 20 2005
Wed Mar 30 12:50:56 2005 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Mar 30 12:50:56 2005 TUN/TAP device tun0 opened
Wed Mar 30 12:50:56 2005 /sbin/ifconfig tun0 10.1.1.2 pointopoint 10.1.1.1 mtu 1500
Wed Mar 30 12:50:56 2005 /sbin/route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.1.1.1
Wed Mar 30 12:50:56 2005 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Wed Mar 30 12:50:56 2005 Local Options hash (VER=V4): 'bed69dfd'
Wed Mar 30 12:50:56 2005 Expected Remote Options hash (VER=V4): 'dd105312'
Wed Mar 30 12:50:56 2005 UDPv4 link local (bound): [undef]:5000
Wed Mar 30 12:50:56 2005 UDPv4 link remote: 192.168.0.1:5000
Wed Mar 30 12:50:57 2005 TLS: Initial packet from 192.168.0.1:5000, sid=48f0a812 9dd19f27
Wed Mar 30 12:51:22 2005 TLS: new session incoming connection from 192.168.0.1:5000
Wed Mar 30 12:51:56 2005 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Mar 30 12:51:56 2005 TLS Error: TLS handshake failed
Wed Mar 30 12:51:56 2005 TCP/UDP: Closing socket
Wed Mar 30 12:51:56 2005 /sbin/route del -net 192.168.0.0 netmask 255.255.255.0
Wed Mar 30 12:51:56 2005 Closing TUN/TAP interface
Wed Mar 30 12:51:56 2005 SIGUSR1[soft,tls-error] received, process restarting
Wed Mar 30 12:51:56 2005 Restart pause, 2 second(s)
Wed Mar 30 12:51:58 2005 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Mar 30 12:51:59 2005 TUN/TAP device tun0 opened
Wed Mar 30 12:51:59 2005 /sbin/ifconfig tun0 10.1.1.2 pointopoint 10.1.1.1 mtu 1500
Wed Mar 30 12:51:59 2005 /sbin/route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.1.1.1
Wed Mar 30 12:51:59 2005 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Wed Mar 30 12:51:59 2005 Local Options hash (VER=V4): 'bed69dfd'
Wed Mar 30 12:51:59 2005 Expected Remote Options hash (VER=V4): 'dd105312'
Wed Mar 30 12:51:59 2005 UDPv4 link local (bound): [undef]:5000
Wed Mar 30 12:51:59 2005 UDPv4 link remote: 192.168.0.1:5000
Wed Mar 30 12:51:59 2005 TLS: Initial packet from 192.168.0.1:5000, sid=e5dadad0 b8597455
Wed Mar 30 12:52:25 2005 TLS: new session incoming connection from 192.168.0.1:5000
Wed Mar 30 12:53:00 2005 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Mar 30 12:53:00 2005 TLS Error: TLS handshake failed
Wed Mar 30 12:53:00 2005 TCP/UDP: Closing socket
>ЗЫ. И что то типа етого надо добавить в оба конфига route 192.168.1.0 255.255.255.0
Добавляется в конец клиенского (слаковского) конфига, но не добавляется во фрюшный :(
Пишет примерно след:
route add -net 192.168.0.0 10.1.1.2 255.255.255.0
route: writing to routing socket: File exists
add net 192.168.0.0: geteway 10.1.1.2: File exists
ERROE: FreeBSD route add command faild: shell command exited with error status
И при старте ещё выдает:
ifconfig tun0 10.1.1.1 10.1.1.2 mtu 1500 netmask 255.255.255.255 up
Маска правильная или тоже должна быть 255.255.255.0??
Кое-что поправил, новая трабла (сколько можно? ;))
# openvpn --config office1ll
Wed Mar 30 22:12:48 2005 OpenVPN 2.0_rc17 i686-pc-linux [SSL] [LZO] built on Mar 20 2005
Wed Mar 30 22:12:48 2005 Diffie-Hellman initialized with 1024 bit key
Wed Mar 30 22:12:48 2005 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Mar 30 22:12:48 2005 TUN/TAP device tun0 opened
Wed Mar 30 22:12:48 2005 /sbin/ifconfig tun0 10.1.1.1 pointopoint 10.1.1.2 mtu 1500
Wed Mar 30 22:12:48 2005 /sbin/route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.1.1.2
Wed Mar 30 22:12:48 2005 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Wed Mar 30 22:12:48 2005 Local Options hash (VER=V4): 'dd105312'
Wed Mar 30 22:12:48 2005 Expected Remote Options hash (VER=V4): 'bed69dfd'
Wed Mar 30 22:12:48 2005 UDPv4 link local (bound): 192.168.0.4:5000
Wed Mar 30 22:12:48 2005 UDPv4 link remote: 192.168.0.1:5000
Wed Mar 30 22:12:48 2005 write UDPv4 []: Operation not permitted (code=1)
Wed Mar 30 22:12:50 2005 write UDPv4 []: Operation not permitted (code=1)
Wed Mar 30 22:12:52 2005 write UDPv4 []: Operation not permitted (code=1)
Каких прав и куда ему не хватает?
А с правами кого ты openvpn запускаешь? У меня вот от nobody работает вроде неплохо. В конфиге есть user и group, копай туда. Хотя ето могут быть и не права, а че нить с фаерволом?
Поставил в конфиге:
proto tcp-server
Кажись всяё заработало:
# openvpn --config office1
OpenVPN 2.0_rc17 i686-pc-linux [SSL] [LZO] built on Mar 20 2005
WARNING: you are using user/group/chroot without persist-key/persist-tun -- this may cause restarts to fail
Diffie-Hellman initialized with 1024 bit key
Control Channel MTU parms [ L:1543 D:140 EF:40 EB:0 ET:0 EL:0 ]
TUN/TAP device tun0 opened
/sbin/ifconfig tun0 10.1.1.1 pointopoint 10.1.1.2 mtu 1500
/sbin/route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.1.1.2
Data Channel MTU parms [ L:1543 D:1450 EF:43 EB:4 ET:0 EL:0 ]
Local Options hash (VER=V4): '8596e55e'
Expected Remote Options hash (VER=V4): '18e46e78'
GID set to nobody
UID set to nobody
Listening for incoming TCP connection on 192.168.0.4:5000
Во время попытки подключения локальная сеть не пингуется.
$ ping 192.168.0.1
PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
Но не пингуется и создаваемая:
$ ping 10.1.1.1
PING 10.1.1.1 (10.1.1.1) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted