LINUX.ORG.RU
ФорумAdmin

OpenVPN соединяется, но не ходит в Интернет


0

3

Конфиг сервера:

port 1194
proto udp
dev tap
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
ifconfig-pool-persist /etc/openvpn/ipp.txt
server-bridge 192.168.2.2 255.255.255.0 192.168.2.224 192.168.2.254
push "redirect-gateway def1 bypass-dhcp"
script-security 2
up /etc/openvpn/scripts/up.sh
learn-address /etc/openvpn/scripts/routes.sh
client-to-client
duplicate-cn
keepalive 10 60
comp-lzo
persist-key
persist-tun
verb 3
up.sh
/usr/sbin/sysctl -w net.link.ether.inet.proxyall=1
/usr/sbin/sysctl -w net.inet.ip.forwarding=1
/sbin/ifconfig bridge0 addm tap0

routes.sh Пока пустой

Конфиг клиента:

client
dev tap
proto udp
remote 65.105.72.140 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
comp-lzo
verb 3
Лог
Sun Jul 13 01:43:49 2014 C:\WINDOWS\system32\route.exe ADD 65.105.72.140 MASK 255.255.255.255 192.168.1.1
Sun Jul 13 01:43:49 2014 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Sun Jul 13 01:43:49 2014 Route addition via IPAPI succeeded [adaptive]
Sun Jul 13 01:43:49 2014 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 192.168.2.2
Sun Jul 13 01:43:49 2014 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Sun Jul 13 01:43:49 2014 Route addition via IPAPI succeeded [adaptive]
Sun Jul 13 01:43:49 2014 C:\WINDOWS\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 192.168.2.2
Sun Jul 13 01:43:49 2014 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Sun Jul 13 01:43:49 2014 Route addition via IPAPI succeeded [adaptive]
Sun Jul 13 01:43:49 2014 Initialization Sequence Completed

Соединение OpenVPN (GUI) у Windows 7 происходит без проблем, а вот в Интернет через сервер ходить не хочет!

ifconfig
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet 127.0.0.1 netmask 0xff000000
gif0: flags=8010<POINTOPOINT,MULTICAST> mtu 1280
stf0: flags=0<> mtu 1280
en0: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=10b<RXCSUM,TXCSUM,VLAN_HWTAGGING,AV>
        ether a8:13:11:1c:7b:a1
        inet 65.105.72.140 netmask 0xfffffc00 broadcast 65.105.75.255
        inet 65.105.75.185 netmask 0xfffffc00 broadcast 65.105.75.255
        inet 192.168.2.2 netmask 0xfffffc00 broadcast 192.168.3.255
        media: autoselect (100baseTX <full-duplex,flow-control>)
        status: active
-
-
-
-
-
-
bridge0: flags=8822<BROADCAST,SMART,SIMPLEX,MULTICAST> mtu 1500
        options=3<RXCSUM,TXCSUM>
        ether ab:30:33:a1:09:00
        Configuration:
                id 0:0:0:0:0:0 priority 0 hellotime 0 fwddelay 0
                maxage 0 holdcnt 0 proto stp maxaddr 100 timeout 1200
                root id 0:0:0:0:0:0 priority 0 ifcost 0 port 0
                ipfilter disabled flags 0x2
        member: en2 flags=3<LEARNING,DISCOVER>
                ifmaxaddr 0 port 6 priority 0 path cost 0
        member: tap0 flags=3<LEARNING,DISCOVER>
                ifmaxaddr 0 port 10 priority 0 path cost 0
        media: <unknown type>
        status: inactive
tap0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        ether 0f:f6:79:93:9a:1c
        open (pid 26491)
netstat -ran
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            65.105.72.1        UGSc           48        0     en0
5.255.253.147      65.105.72.1        UGHWIi          1       44     en0
23.43.133.163      65.105.72.1        UGHWIi          1        6     en0
37.46.242.108      65.105.72.1        UGHW3I          0       17     en0   3368
37.58.100.91       65.105.72.1        UGHW3I          0        3     en0   3260
37.58.100.140      65.105.72.1        UGHW3I          0       14     en0   3401
37.58.100.148      65.105.72.1        UGHW3I          0        6     en0   3289
37.58.100.154      65.105.72.1        UGHW3I          0       15     en0   3460
61.174.51.219      65.105.72.1        UGHWIi          3       89     en0
66.249.65.107      65.105.72.1        UGHW3I          0       36     en0   3461
66.249.67.33       65.105.72.1        UGHW3I          0       42     en0   3550
66.249.67.46       65.105.72.1        UGHW3I          0       53     en0   3368
66.249.67.59       65.105.72.1        UGHW3I          0       66     en0   3582
66.249.67.107      65.105.72.1        UGHW3I          0       56     en0   3434
74.82.47.25        65.105.72.1        UGHW3I          0        1     en0   3499
94.250.234.118     65.105.72.1        UGHW3I          0        6     en0   3256
95.211.37.197      65.105.72.1        UGHW3I          0        7     en0   3289
101.226.166.196    65.105.72.1        UGHW3I          0       20     en0   3374
101.226.166.204    65.105.72.1        UGHW3I          0        4     en0   3260
101.226.166.205    65.105.72.1        UGHW3I          0       12     en0   3379
101.226.166.206    65.105.72.1        UGHW3I          0        7     en0   3312
127                127.0.0.1          UCS             0        0     lo0
127.0.0.1          127.0.0.1          UH              8    10706     lo0
169.254            link#4             UCS             0        0     en0
180.76.5.71        65.105.72.1        UGHW3I          0       16     en0   3502
180.76.6.133       65.105.72.1        UGHW3I          0       16     en0   3325
182.118.20.224     65.105.72.1        UGHW3I          0       88     en0   3566
182.118.20.225     65.105.72.1        UGHW3I          0       70     en0   3558
182.118.20.227     65.105.72.1        UGHW3I          0       17     en0   3545
185.56.80.133      65.105.72.1        UGHW3I          0        7     en0   3423
185.56.80.137      65.105.72.1        UGHW3I          0       14     en0   3578
192.168.1.35       65.105.72.1        UGHW3I          0        1     en0   3502
192.227.245.117    65.105.72.1        UGHW3I          0        2     en0   3495
202.66.32.116      65.105.72.1        UGHW3I          0        1     en0   3377
208.115.113.85     65.105.72.1        UGHW3I          0        6     en0   3289
212.30.134.167     65.105.72.1        UGHW3I          0        9     en0   3582
212.30.134.174     65.105.72.1        UGHW3I          0        8     en0   3589
217.195.49.131     65.105.72.1        UGHWIi          1       46     en0
224.0.0.251        65.105.72.1        UGHmW3I         0        0     en0   3549

Естественно при соединении ничего из 192.168.2.0 не пингуется, кроме самого клиента



Последнее исправление: filatovdm (всего исправлений: 3)
Ответ на: комментарий от anonymous_sama

При попытке

ipfw add nat 1 all from 10.8.0.0/24 to any out via eth0

пишет что

ipfw: invalid action nat

Чего то не хватает или команда не правильно построена?

filatovdm
() автор топика
Ответ на: комментарий от anonymous_sama

Понял, добавил правило еще раз! Но всеравно не ходит через него! Я заметил что на клиенте в Windows 7 в команде ipconfig на интерфейсе где 10.8.0.2 нету шлюза, так и должно быть?

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

Так не должно быть, но вполне может быть по Windows, особенно если ты запускаешь openvpn от юзера без привелегий Администратора или UAC препятствует openvpn добавить роуты.

anonymous_sama ★★★★★
()
Ответ на: комментарий от anonymous_sama

OpenVPN всегда запускается с админскими правами, контроль учетных записей (UAC) давно отключен! А от куда Windows 7 знает через какой интерфейс ходить в Интернет? У меня же теперь как две локальный сети! Как исправить проблему с недобавлением шлюза? Сам шлюз ведь пингуется!

filatovdm
() автор топика
Ответ на: комментарий от anonymous_sama

Правильно ли я понимаю что в простейшей конфигурации которую я привел, 10.8.0.1 сервер (в том числе и DHCP), 10.8.0.2 клиент, а 10.8.0.0 просто зарезервирован?

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

А от куда Windows 7 знает через какой интерфейс ходить в Интернет?

Openvpn сам ставит default route.

route add 10.8.0.0 mask 255.255.255.0 10.8.0.2

Попробуй, вроде так, только там может быть с больших букв, оффтопик ведь.

anonymous_sama ★★★★★
()
Последнее исправление: anonymous_sama (всего исправлений: 1)
Ответ на: комментарий от filatovdm

Все, теперь пингуется с обоих сторон!!!!! Надо было выключить брандмаузер в Windows 7...

На ЛОРе не хватает отдельного раздела для дислексиков.

anonymous
()
Ответ на: комментарий от xtraeft
Wed Jul 16 18:38:40 2014 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Wed Jul 16 18:38:40 2014 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Wed Jul 16 18:38:40 2014 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Jul 16 18:38:40 2014 ******* WARNING *******: all encryption and authentication features disabled -- all data will be tunnelled as cleartext
Wed Jul 16 18:38:40 2014 TAP-WIN32 device [Подключение по локальной сети 2] opened: \\.\Global\{79881574-DFC0-4EFB-A0DB-FEA78E597C22}.tap
Wed Jul 16 18:38:40 2014 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.252 on interface {79881574-DFC0-4EFB-A0DB-FEA78E597C22} [DHCP-serv: 10.8.0.1, lease-time: 31536000]
Wed Jul 16 18:38:40 2014 Successful ARP Flush on interface [20] {79881574-DFC0-4EFB-A0DB-FEA78E597C22}
Wed Jul 16 18:38:40 2014 UDPv4 link local (bound): [undef]:1194
Wed Jul 16 18:38:40 2014 UDPv4 link remote: 65.105.72.140:1194
Wed Jul 16 18:38:41 2014 Peer Connection Initiated with 65.105.72.140:1194
Wed Jul 16 18:38:50 2014 Initialization Sequence Completed
Wed Jul 16 18:39:22 2014 SIGTERM[hard,] received, process exiting
filatovdm
() автор топика
Ответ на: комментарий от filatovdm

:( verb 4 в конфиг клиента, а то тут про роуты вообще ничего не видно.

Wed Jul 16 18:38:40 2014 ******* WARNING *******: all encryption and authentication features disabled — all data will be tunnelled as cleartext

Это что еще за хрень?

xtraeft ★★☆☆
()
Ответ на: комментарий от filatovdm

SIGTERM[hard,] received, process exiting

Удали/отключи всякую бяку типо антивирусов, вшивых firewall'ов на винде. После того как заработает, отпиши, что это такое наглое было.

anonymous_sama ★★★★★
()
Последнее исправление: anonymous_sama (всего исправлений: 1)
Ответ на: комментарий от anonymous_sama

Отключил Касперский! Теперь лог выглядит так:

Wed Jul 16 18:57:01 2014 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Wed Jul 16 18:57:01 2014 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Wed Jul 16 18:57:01 2014 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Jul 16 18:57:01 2014 ******* WARNING *******: all encryption and authentication features disabled -- all data will be tunnelled as cleartext
Wed Jul 16 18:57:01 2014 TAP-WIN32 device [Подключение по локальной сети 2] opened: \\.\Global\{79881574-DFC0-4EFB-A0DB-FEA78E597C22}.tap
Wed Jul 16 18:57:01 2014 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.252 on interface {79881574-DFC0-4EFB-A0DB-FEA78E597C22} [DHCP-serv: 10.8.0.1, lease-time: 31536000]
Wed Jul 16 18:57:01 2014 Successful ARP Flush on interface [20] {79881574-DFC0-4EFB-A0DB-FEA78E597C22}
Wed Jul 16 18:57:01 2014 UDPv4 link local (bound): [undef]:1194
Wed Jul 16 18:57:01 2014 UDPv4 link remote: 65.105.72.140:1194
Wed Jul 16 18:57:11 2014 Peer Connection Initiated with 65.105.72.140:1194
Wed Jul 16 18:57:17 2014 Initialization Sequence Completed
filatovdm
() автор топика
Ответ на: комментарий от anonymous_sama

Именно когда делаешь запрос на дисконнект, добавляется запись как и сейчас

Wed Jul 16 18:59:57 2014 SIGTERM[hard,] received, process exiting

filatovdm
() автор топика
Ответ на: комментарий от xtraeft

Так я же подключаюсь без всяких ключей/файлов шифровая, простейшая конфигурация, вот он и пишет

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

Отключил Касперский! Теперь лог выглядит так:

verb какой в конфиге клиента стоит? Почему тебя нужно просить по несколько раз что-то сделать?

xtraeft ★★☆☆
()
Ответ на: комментарий от filatovdm

Короче дальше я только за валюту :>
После того, как ты отключил, работает?

anonymous_sama ★★★★★
()
Последнее исправление: anonymous_sama (всего исправлений: 1)
Ответ на: комментарий от anonymous_sama

сейчас откроется, что у него еще два антивируса, а Windows 7, на самом деле слитый Longhorn с трекера

Как у вас еще нервов хватает на это?

ТС'у прямой путь в раздел Job.

edigaryev ★★★★★
()
Ответ на: комментарий от filatovdm

Мдаа. А теперь покажи ТЕКУЩИЙ конфиг сервера. Залей на codeo.me, пожалуйста.

xtraeft ★★☆☆
()
Ответ на: комментарий от filatovdm

сервер в Дата Центре

На Windows 7?
Проверь openvpn на другом компьютере, в котором точно уверен, лучше с GNU/Linux. Можешь использовать live-cd. Чтобы быть уверенным в работе openvpn сервера. Потом если все нормально с openvpn server'ом, дай полный route table c Windows. (возможно он и сам что-то тебе подскажет). До и после vpn соединения. Возможно проблема, совсем на другом уровне. Вроде как здесь, но это уже гадание на бобовой гуще, без достаточной информации.

А дальше если все так останется неясно, то думаю обратиться в Job будет лучшей идей, где и я могу тоже взяться за твою проблему за символическую плату. (естественно понадобится доступ, к клиенту если с сервером все нормально, а если нет то и к серверу и к клиенту).

anonymous_sama ★★★★★
()
Ответ на: комментарий от anonymous_sama

Проверь openvpn на другом компьютере, в котором точно уверен, лучше с GNU/Linux.

Так у него сервер дефолт гв не пушит.

xtraeft ★★☆☆
()
Ответ на: комментарий от anonymous_sama

Говорить он может что угодно, а логи говорят совсем другое. Я подозреваю, что у него не серверный конфиг а черте что. Бридж, тап - тихий ужас.

xtraeft ★★☆☆
()
Последнее исправление: xtraeft (всего исправлений: 1)
Ответ на: комментарий от anonymous_sama

Наверное нужно учиться на простейшем конфиге, а потом усложнять по необходимости.

xtraeft ★★☆☆
()
Ответ на: комментарий от anonymous_sama

Сервер в Дата Центре на OS X Mavericks, это только клиент на Windows 7.

Конфиг сервера:

dev tun
ifconfig 10.8.0.1 10.8.0.2
push "redirect-gateway def1 bypass-dhcp"

http://codeo.me/5x1

Конфиг клиента:

verb 4
remote 65.105.72.140 1194
dev tun
ifconfig 10.8.0.2 10.8.0.1

Ок, попробую с GNU/Linux

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

Мда, ты и правда издеваешься. На тебе нормальный пример серверного конфига

port 1194
proto udp
dev tun

ca ca.crt
cert server.crt
key server.key
dh dh1024.pem

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"

keepalive 10 120
comp-lzo
max-clients 5
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
log         /var/log/openvpn.log
verb 3

Ключи убери, если хочешь без них проверять.

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

Не надо опускаться до оскорблений, я же сказал что я не технический специалист и пытаюсь разобраться и мне сложно. С вашим конфигом пробую, сообщение добавил уже после того как Вы написали.

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

Не надо опускаться до оскорблений, я же сказал что я не технический специалист и пытаюсь разобраться и мне сложно.

Достаточно просто нормально подойти к вопросу и слушать то, что советуют.

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

с Вашим конфигом выдает

Wed Jul 16 22:35:01 2014 us=726000 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)

Может в клиенте что-то изменить?

filatovdm
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.