LINUX.ORG.RU
ФорумAdmin

Непонятки с Openvpn и RDP


0

1

Есть домашний шлюз с openvpn. Есть комп на работе, где стоит openvpn клиент. Подключаю клиент на рабочей машине. Все подключается. Сеть есть. Пытаюсь подключиться с домашнего компа (за шлюзом) к рабочему по rdp и сразу рвется соединение. В логах клиента ничего. В логах сервера 

Thu Feb 13 11:51:37 2014 OpenVPN 2.2.1 i686-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Mar 30 2012
Thu Feb 13 11:51:37 2014 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Feb 13 11:51:37 2014 TLS-Auth MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Feb 13 11:51:37 2014 TUN/TAP device tun0 opened
Thu Feb 13 11:51:37 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Thu Feb 13 11:51:37 2014 /sbin/ifconfig tun0 10.10.90.1 netmask 255.255.255.0 mtu 1500 broadcast 10.10.90.255
Thu Feb 13 11:51:37 2014 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Feb 13 11:51:37 2014 GID set to nogroup
Thu Feb 13 11:51:37 2014 UID set to nobody
Thu Feb 13 11:51:37 2014 UDPv4 link local (bound): [undef]
Thu Feb 13 11:51:37 2014 UDPv4 link remote: [undef]
Thu Feb 13 11:51:37 2014 Initialization Sequence Completed
Thu Feb 13 11:58:44 2014 xxx.xxx.xxx.xxx:61696 Re-using SSL/TLS context
Thu Feb 13 11:58:44 2014 xxx.xxx.xxx.xxx:61696 LZO compression initialized
Thu Feb 13 11:58:44 2014 xxx.xxx.xxx.xxx:61696 Control Channel MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Feb 13 11:58:44 2014 xxx.xxx.xxx.xxx:61696 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Feb 13 11:58:44 2014 xxx.xxx.xxx.xxx:61696 Local Options hash (VER=V4): '691e95c7'
Thu Feb 13 11:58:44 2014 xxx.xxx.xxx.xxx:61696 Expected Remote Options hash (VER=V4): '66096c33'
Thu Feb 13 11:58:44 2014 xxx.xxx.xxx.xxx:61696 CRL CHECK OK: /C=RU/ST=RD/L=Max/O=Home/emailAddress=xxx@xxx.ru
Thu Feb 13 11:58:44 2014 xxx.xxx.xxx.xxx:61696 VERIFY OK: depth=1, /C=RU/ST=RD/L=Max/O=Home/emailAddress=xxx@xxx.ru
Thu Feb 13 11:58:44 2014 xxx.xxx.xxx.xxx:61696 CRL CHECK OK: /C=RU/ST=RD/L=Max/O=Home/OU=Office/CN=xxx/emailAddress=xxx@xxx.ru
Thu Feb 13 11:58:44 2014 xxx.xxx.xxx.xxx:61696 VERIFY OK: depth=0, /C=RU/ST=RD/L=Max/O=Home/OU=Office/CN=aslan/emailAddress=xxx@xxx.ru
Thu Feb 13 11:58:44 2014 xxx.xxx.xxx.xxx:61696 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Thu Feb 13 11:58:44 2014 xxx.xxx.xxx.xxx:61696 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Feb 13 11:58:44 2014 xxx.xxx.xxx.xxx:61696 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Thu Feb 13 11:58:44 2014 xxx.xxx.xxx.xxx:61696 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Feb 13 11:58:44 2014 xxx.xxx.xxx.xxx:61696 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Feb 13 11:58:44 2014 xxx.xxx.xxx.xxx:61696 [aslan] Peer Connection Initiated with [AF_INET]xxx.xxx.xxx.xxx:61696
Thu Feb 13 11:58:46 2014 aslan/xxx.xxx.xxx.xxx:61696 send_push_reply(): safe_cap=960
Thu Feb 13 12:00:12 2014 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Feb 13 12:00:13 2014 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Feb 13 12:00:13 2014 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Feb 13 12:00:13 2014 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Feb 13 12:00:13 2014 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Feb 13 12:00:14 2014 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Feb 13 12:00:14 2014 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Feb 13 12:00:14 2014 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Feb 13 12:00:14 2014 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Feb 13 12:00:14 2014 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Feb 13 12:00:14 2014 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Feb 13 12:00:14 2014 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Feb 13 12:00:14 2014 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Feb 13 12:00:15 2014 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Feb 13 12:00:15 2014 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Feb 13 12:00:16 2014 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Feb 13 12:00:17 2014 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Feb 13 12:00:20 2014 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Feb 13 12:00:24 2014 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Feb 13 12:00:34 2014 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)

Конфиг сервера 

port 33459
proto udp
dev tun0
ca keys/my.net/ca.crt
cert keys/my.net/home-server.crt
key keys/my.net/home-server.key
dh keys/my.net/dh1024.pem
server 10.10.90.0 255.255.255.0
crl-verify keys/my.net/crl.pem
cipher AES-128-CBC
user nobody
group nogroup
status servers/home/logs/openvpn-status.log
log-append servers/home/logs/openvpn.log
verb 2
mute 20
max-clients 100
keepalive 10 120
client-config-dir /etc/openvpn/servers/home/ccd
comp-lzo
persist-key
persist-tun
ccd-exclusive
mode server
push "route 192.168.1.0 255.255.255.0"
topology subnet

Конфиг клиента 

client
proto udp
dev tun
ca ca.crt
dh dh1024.pem
cert aslan.crt
key aslan.key
remote xxx.xxx.xxx.xxx 33459
cipher AES-128-CBC
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind

При этом с рабочего компа могу заходить на домашний, да и в общем сетка работает. Но вот зайти с домашнего на рабочий не получается. Система ubuntu 12.04.

Причины [ECONNREFUSED]: Connection refused (code=111) так и не могу понять. Все способы предлагаемые гуглом (проверить фаервол на сервере и клиенте, проверить системное время на обоих концах, адаптер) пробовал. Безрезультатно.

★★
Проброс портов в Xen
docker,virtualbox - проброс портов ?

Сообщение Connection refused (code=111) как бы намекает, что порт закрыт. Хорошо бы в tcpdump udp and port 33459 посмотреть, что происходит в момент коннекта и обрыва.

Если есть возможность, я бы попробовал proto tcp. Его пробросить проще и диагностировать проблемы тоже. Ну и verb 4 или 5 - будет больше логов.

TuxR ★★★★
()
Ответ на: комментарий от TuxR

Если бы порт был закрыт, как вообще клиент смог бы подключиться. Ведь сам коннект есть, и с рабочего компа в домашней сетке ходить могу, но вот зайти с домашнего в рабочий не могу, при попытке сразу рвется, то есть если не пытаться войти, то соединение может долго висеть активным, до момента попытки подключения.

Поменял на tcp Логи при verb 7. 

Thu Feb 13 14:25:58 2014 us=848173 MULTI TCP: multi_tcp_post TA_TUN_READ -> TA_SOCKET_WRITE
Thu Feb 13 14:25:58 2014 us=848225 MULTI TCP: multi_tcp_action a=TA_SOCKET_WRITE p=1
Thu Feb 13 14:25:58 2014 us=848274 MULTI TCP: multi_tcp_wait_lite a=TA_SOCKET_WRITE mi=0xb95b9258
Thu Feb 13 14:25:58 2014 us=848334 MULTI TCP: multi_tcp_dispatch a=TA_SOCKET_WRITE mi=0xb95b9258
Thu Feb 13 14:25:58 2014 us=848407 aslan/xxx.xxx.xxx.xxx:54630 TCPv4_SERVER WRITE [85] to [AF_INET]xxx.xxx.xxx.xxx:54630: P_DATA_V1 kid=0 DATA len=84
Thu Feb 13 14:25:58 2014 us=848571 MULTI TCP: multi_tcp_post TA_SOCKET_WRITE -> TA_UNDEF
Thu Feb 13 14:25:58 2014 us=955802 MULTI TCP: multi_tcp_action a=TA_SOCKET_READ p=0
Thu Feb 13 14:25:58 2014 us=955934 MULTI TCP: multi_tcp_dispatch a=TA_SOCKET_READ mi=0xb95b9258
Thu Feb 13 14:25:58 2014 us=956033 aslan/xxx.xxx.xxx.xxx:54630 TCPv4_SERVER READ [149] from [AF_INET]xxx.xxx.xxx.xxx:54630: P_DATA_V1 kid=0 DATA len=148
Thu Feb 13 14:25:58 2014 us=956100 aslan/xxx.xxx.xxx.xxx:54630 TLS: tls_pre_decrypt, key_id=0, IP=[AF_INET]xxx.xxx.xxx.xxx:54630
Thu Feb 13 14:25:58 2014 us=956220 aslan/xxx.xxx.xxx.xxx:54630 GET INST BY VIRT: 10.10.90.20 -> aslan/xxx.xxx.xxx.xxx:54630 via 10.10.90.20
Thu Feb 13 14:25:58 2014 us=956281 MULTI TCP: multi_tcp_post TA_SOCKET_READ -> TA_TUN_WRITE
Thu Feb 13 14:25:58 2014 us=956330 MULTI TCP: multi_tcp_action a=TA_TUN_WRITE p=1
Thu Feb 13 14:25:58 2014 us=956380 MULTI TCP: multi_tcp_wait_lite a=TA_TUN_WRITE mi=0xb95b9258
Thu Feb 13 14:25:58 2014 us=956440 MULTI TCP: multi_tcp_dispatch a=TA_TUN_WRITE mi=0xb95b9258
Thu Feb 13 14:25:58 2014 us=956489 aslan/xxx.xxx.xxx.xxx:54630 TUN WRITE [93]
Thu Feb 13 14:25:58 2014 us=956586 MULTI TCP: multi_tcp_post TA_TUN_WRITE -> TA_UNDEF
Thu Feb 13 14:25:58 2014 us=956877 MULTI TCP: multi_tcp_action a=TA_SOCKET_READ p=0
Thu Feb 13 14:25:58 2014 us=956932 MULTI TCP: multi_tcp_dispatch a=TA_SOCKET_READ mi=0xb95b9258
Thu Feb 13 14:25:58 2014 us=956986 aslan/xxx.xxx.xxx.xxx:54630 Connection reset, restarting [-1]
Thu Feb 13 14:25:58 2014 us=957038 aslan/xxx.xxx.xxx.xxx:54630 SIGUSR1[soft,connection-reset] received, client-instance restarting
Thu Feb 13 14:25:58 2014 us=957084 MULTI: multi_close_instance called
Thu Feb 13 14:25:58 2014 us=957265 PID packet_id_free
Thu Feb 13 14:25:58 2014 us=957662 PID packet_id_free
Thu Feb 13 14:25:58 2014 us=957718 PID packet_id_free
Thu Feb 13 14:25:58 2014 us=957767 PID packet_id_free
Thu Feb 13 14:25:58 2014 us=957840 PID packet_id_free
Thu Feb 13 14:25:58 2014 us=957889 PID packet_id_free
Thu Feb 13 14:25:58 2014 us=957934 PID packet_id_free
Thu Feb 13 14:25:58 2014 us=957979 PID packet_id_free
Thu Feb 13 14:25:58 2014 us=958029 TCP/UDP: Closing socket
Thu Feb 13 14:25:58 2014 us=958108 PID packet_id_free
Thu Feb 13 14:25:58 2014 us=958186 MULTI TCP: multi_tcp_post TA_SOCKET_READ -> TA_UNDEF
Thu Feb 13 14:25:59 2014 us=155381 MULTI: REAP range 64 -> 80
Thu Feb 13 14:25:59 2014 us=155519 MULTI TCP: multi_tcp_action a=TA_TUN_READ p=0
Thu Feb 13 14:25:59 2014 us=155574 MULTI TCP: multi_tcp_dispatch a=TA_TUN_READ mi=0x00000000
Thu Feb 13 14:25:59 2014 us=155651 GET INST BY VIRT: 10.10.90.20 [failed]

Клиент 

Thu Feb 13 14:32:56 2014 us=215126 MANAGEMENT: >STATE:1392287576,CONNECTED,SUCCESS,10.10.90.20,yyy.yyy.yyy.yyy
Thu Feb 13 14:32:56 2014 us=573926 TCPv4_CLIENT READ [245] from [AF_INET]yyy.yyy.yyy.yyy:33459: P_DATA_V1 kid=0 DATA len=244
Thu Feb 13 14:32:56 2014 us=573926 TCPv4_CLIENT WRITE [917] to [AF_INET]yyy.yyy.yyy.yyy:33459: P_DATA_V1 kid=0 DATA len=916
Thu Feb 13 14:32:56 2014 us=573926 TCPv4_CLIENT READ [421] from [AF_INET]yyy.yyy.yyy.yyy:33459: P_DATA_V1 kid=0 DATA len=420
Thu Feb 13 14:32:56 2014 us=589526 TCPv4_CLIENT WRITE [149] to [AF_INET]yyy.yyy.yyy.yyy:33459: P_DATA_V1 kid=0 DATA len=148
Thu Feb 13 14:32:56 2014 us=605126 TCPv4_CLIENT READ [181] from [AF_INET]yyy.yyy.yyy.yyy:33459: P_DATA_V1 kid=0 DATA len=180
Thu Feb 13 14:32:56 2014 us=605126 TCPv4_CLIENT WRITE [325] to [AF_INET]yyy.yyy.yyy.yyy:33459: P_DATA_V1 kid=0 DATA len=324
Thu Feb 13 14:32:56 2014 us=605126 TCPv4_CLIENT READ [885] from [AF_INET]yyy.yyy.yyy.yyy:33459: P_DATA_V1 kid=0 DATA len=884
Thu Feb 13 14:32:56 2014 us=605126 TCPv4_CLIENT WRITE [85] to [AF_INET]yyy.yyy.yyy.yyy:33459: P_DATA_V1 kid=0 DATA len=84
Thu Feb 13 14:32:57 2014 us=619128 TCPv4_CLIENT WRITE [133] to [AF_INET]yyy.yyy.yyy.yyy:33459: P_DATA_V1 kid=0 DATA len=132
Thu Feb 13 14:32:57 2014 us=619128 TCPv4_CLIENT READ [85] from [AF_INET]yyy.yyy.yyy.yyy:33459: P_DATA_V1 kid=0 DATA len=84
Thu Feb 13 14:32:57 2014 us=619128 TCPv4_CLIENT WRITE [85] to [AF_INET]yyy.yyy.yyy.yyy:33459: P_DATA_V1 kid=0 DATA len=84
Thu Feb 13 14:32:57 2014 us=619128 TCPv4_CLIENT WRITE [85] to [AF_INET]yyy.yyy.yyy.yyy:33459: P_DATA_V1 kid=0 DATA len=84
Thu Feb 13 14:33:00 2014 us=832734 TCPv4_CLIENT READ [101] from [AF_INET]yyy.yyy.yyy.yyy:33459: P_DATA_V1 kid=0 DATA len=100
Thu Feb 13 14:33:00 2014 us=832734 TCPv4_CLIENT WRITE [101] to [AF_INET]yyy.yyy.yyy.yyy:33459: P_DATA_V1 kid=0 DATA len=100
Thu Feb 13 14:33:00 2014 us=832734 TCPv4_CLIENT READ [85] from [AF_INET]yyy.yyy.yyy.yyy:33459: P_DATA_V1 kid=0 DATA len=84
Thu Feb 13 14:33:01 2014 us=35534 TCPv4_CLIENT READ [133] from [AF_INET]yyy.yyy.yyy.yyy:33459: P_DATA_V1 kid=0 DATA len=132
Thu Feb 13 14:33:01 2014 us=35534 TCPv4_CLIENT WRITE [117] to [AF_INET]yyy.yyy.yyy.yyy:33459: P_DATA_V1 kid=0 DATA len=116
Thu Feb 13 14:33:01 2014 us=35534 TCPv4_CLIENT READ [245] from [AF_INET]yyy.yyy.yyy.yyy:33459: P_DATA_V1 kid=0 DATA len=244
Thu Feb 13 14:33:01 2014 us=35534 TCPv4_CLIENT WRITE [917] to [AF_INET]yyy.yyy.yyy.yyy:33459: P_DATA_V1 kid=0 DATA len=916
Thu Feb 13 14:33:01 2014 us=35534 TCPv4_CLIENT READ [421] from [AF_INET]yyy.yyy.yyy.yyy:33459: P_DATA_V1 kid=0 DATA len=420
Thu Feb 13 14:33:01 2014 us=51134 NOTE: --mute triggered...
Thu Feb 13 14:33:02 2014 us=689137 122 variation(s) on previous 20 message(s) suppressed by --mute
Thu Feb 13 14:33:02 2014 us=689137 TCP/UDP: Closing socket
Thu Feb 13 14:33:02 2014 us=689137 C:\Windows\system32\route.exe DELETE 192.168.1.0 MASK 255.255.255.0 10.10.90.1
Thu Feb 13 14:33:02 2014 us=704737 Route deletion via IPAPI succeeded [adaptive]
Thu Feb 13 14:33:02 2014 us=704737 Closing TUN/TAP interface
Thu Feb 13 14:33:02 2014 us=704737 SIGTERM[hard,] received, process exiting
Thu Feb 13 14:33:02 2014 us=704737 MANAGEMENT: >STATE:1392287582,EXITING,SIGTERM,,
Thu Feb 13 14:33:02 2014 us=704737 PKCS#11: Removing providers
Thu Feb 13 14:33:02 2014 us=704737 PKCS#11: Releasing sessions
Thu Feb 13 14:33:02 2014 us=704737 PKCS#11: Terminating slotevent
Thu Feb 13 14:33:02 2014 us=704737 PKCS#11: Marking as uninitialized

iptables


Generated by iptables-save v1.4.12 on Thu Feb 13 14:36:38 2014
*filter
:INPUT DROP [773:254084]
:FORWARD ACCEPT [20417:21600081]
:OUTPUT ACCEPT [135198:17246160]
:UPNP - [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 33459 -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -j ACCEPT
COMMIT
# Completed on Thu Feb 13 14:36:38 2014
as_lan ★★
() автор топика
Ответ на: комментарий от dada

На винде фаервол вообще выключен.

as_lan ★★
() автор топика

1. Схему сети бы посмотреть, а то не очевидно все.

2. Про RDP пока забыть. Добиться хотя бы коннекта. Потом пинг. Потом rdp.

3. Получается, соединение разрывается сразу после того, как роутинг прописывается? По ошибке GET INST BY VIRT: 10.10.90.20 [failed] есть предположения, что надо прописывать iroute для клиента http://www.ossg.ru/docs/OpenVPN/faq.html http://community.openvpn.net/openvpn/ticket/161

4. временно закомментировать директивы float, ccd-exclusive, push route - посмотреть, что будет.

TuxR ★★★★
()
Ответ на: комментарий от as_lan

то есть если не пытаться войти, то соединение может долго висеть активным, до момента попытки подключения.

Попытка подключения как выглядит? Установка соединения и сразу обрыв, или предлагает залогиниться и только после этого кладёт vpn? Если валится сразу - от пинга тоже рвётся? А от telnet <винда> 3389? А от telnet <винда> 135? А если vnc на винду поставить?

NightSpamer
()
Ответ на: комментарий от NightSpamer

Узнал о проблеме еще больше.

До этого я подключался к своему компу так же по удаленику (из рабочей же сети к своему рабочему комп по rdp) и соединение рвалось в тот момент, когда я пытался подключиться с домашнего. Естественно в этот момент закрывалась сессия rdp, которая была запущена из локальной сети. Решил иначе попробовать. Установил на свой комп рабочий тимвиевер. Подключился с помощь него, запустил openvpn клиент, и подключился по rdp... И о чудо! Смог зайти и спокойно поработать. Решил выйти и еще раз попробовать. И вот тут то поймал «баг». Как только закрываю активную сессию rdp рвется openvpn. То есть второй раз уже подключиться не смог и в логе видно было, что клиент разорвал связь. Пока не понимаю почему. Встречал в интернете похожие случаи, но касались они vpn/pppoe соединений. Люди решали их расшариванием этого соединения. Завтра дальше копать стану.

as_lan ★★
() автор топика
Ответ на: комментарий от as_lan

Как посоветовали добрые люди, надо добавить ключик в реестр, чтоб винда не рвала соединение при logoff. Ну что за ось... Все через (_*_)

as_lan ★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Проброс портов в Xen
Admin
docker,virtualbox - проброс портов ?