LINUX.ORG.RU
ФорумAdmin

OpenVPN соединяется, но не ходит в Интернет


0

3

Конфиг сервера:

port 1194
proto udp
dev tap
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
ifconfig-pool-persist /etc/openvpn/ipp.txt
server-bridge 192.168.2.2 255.255.255.0 192.168.2.224 192.168.2.254
push "redirect-gateway def1 bypass-dhcp"
script-security 2
up /etc/openvpn/scripts/up.sh
learn-address /etc/openvpn/scripts/routes.sh
client-to-client
duplicate-cn
keepalive 10 60
comp-lzo
persist-key
persist-tun
verb 3
up.sh
/usr/sbin/sysctl -w net.link.ether.inet.proxyall=1
/usr/sbin/sysctl -w net.inet.ip.forwarding=1
/sbin/ifconfig bridge0 addm tap0

routes.sh Пока пустой

Конфиг клиента:

client
dev tap
proto udp
remote 65.105.72.140 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
comp-lzo
verb 3
Лог
Sun Jul 13 01:43:49 2014 C:\WINDOWS\system32\route.exe ADD 65.105.72.140 MASK 255.255.255.255 192.168.1.1
Sun Jul 13 01:43:49 2014 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Sun Jul 13 01:43:49 2014 Route addition via IPAPI succeeded [adaptive]
Sun Jul 13 01:43:49 2014 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 192.168.2.2
Sun Jul 13 01:43:49 2014 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Sun Jul 13 01:43:49 2014 Route addition via IPAPI succeeded [adaptive]
Sun Jul 13 01:43:49 2014 C:\WINDOWS\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 192.168.2.2
Sun Jul 13 01:43:49 2014 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Sun Jul 13 01:43:49 2014 Route addition via IPAPI succeeded [adaptive]
Sun Jul 13 01:43:49 2014 Initialization Sequence Completed

Соединение OpenVPN (GUI) у Windows 7 происходит без проблем, а вот в Интернет через сервер ходить не хочет!

ifconfig
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet 127.0.0.1 netmask 0xff000000
gif0: flags=8010<POINTOPOINT,MULTICAST> mtu 1280
stf0: flags=0<> mtu 1280
en0: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=10b<RXCSUM,TXCSUM,VLAN_HWTAGGING,AV>
        ether a8:13:11:1c:7b:a1
        inet 65.105.72.140 netmask 0xfffffc00 broadcast 65.105.75.255
        inet 65.105.75.185 netmask 0xfffffc00 broadcast 65.105.75.255
        inet 192.168.2.2 netmask 0xfffffc00 broadcast 192.168.3.255
        media: autoselect (100baseTX <full-duplex,flow-control>)
        status: active
-
-
-
-
-
-
bridge0: flags=8822<BROADCAST,SMART,SIMPLEX,MULTICAST> mtu 1500
        options=3<RXCSUM,TXCSUM>
        ether ab:30:33:a1:09:00
        Configuration:
                id 0:0:0:0:0:0 priority 0 hellotime 0 fwddelay 0
                maxage 0 holdcnt 0 proto stp maxaddr 100 timeout 1200
                root id 0:0:0:0:0:0 priority 0 ifcost 0 port 0
                ipfilter disabled flags 0x2
        member: en2 flags=3<LEARNING,DISCOVER>
                ifmaxaddr 0 port 6 priority 0 path cost 0
        member: tap0 flags=3<LEARNING,DISCOVER>
                ifmaxaddr 0 port 10 priority 0 path cost 0
        media: <unknown type>
        status: inactive
tap0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        ether 0f:f6:79:93:9a:1c
        open (pid 26491)
netstat -ran
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            65.105.72.1        UGSc           48        0     en0
5.255.253.147      65.105.72.1        UGHWIi          1       44     en0
23.43.133.163      65.105.72.1        UGHWIi          1        6     en0
37.46.242.108      65.105.72.1        UGHW3I          0       17     en0   3368
37.58.100.91       65.105.72.1        UGHW3I          0        3     en0   3260
37.58.100.140      65.105.72.1        UGHW3I          0       14     en0   3401
37.58.100.148      65.105.72.1        UGHW3I          0        6     en0   3289
37.58.100.154      65.105.72.1        UGHW3I          0       15     en0   3460
61.174.51.219      65.105.72.1        UGHWIi          3       89     en0
66.249.65.107      65.105.72.1        UGHW3I          0       36     en0   3461
66.249.67.33       65.105.72.1        UGHW3I          0       42     en0   3550
66.249.67.46       65.105.72.1        UGHW3I          0       53     en0   3368
66.249.67.59       65.105.72.1        UGHW3I          0       66     en0   3582
66.249.67.107      65.105.72.1        UGHW3I          0       56     en0   3434
74.82.47.25        65.105.72.1        UGHW3I          0        1     en0   3499
94.250.234.118     65.105.72.1        UGHW3I          0        6     en0   3256
95.211.37.197      65.105.72.1        UGHW3I          0        7     en0   3289
101.226.166.196    65.105.72.1        UGHW3I          0       20     en0   3374
101.226.166.204    65.105.72.1        UGHW3I          0        4     en0   3260
101.226.166.205    65.105.72.1        UGHW3I          0       12     en0   3379
101.226.166.206    65.105.72.1        UGHW3I          0        7     en0   3312
127                127.0.0.1          UCS             0        0     lo0
127.0.0.1          127.0.0.1          UH              8    10706     lo0
169.254            link#4             UCS             0        0     en0
180.76.5.71        65.105.72.1        UGHW3I          0       16     en0   3502
180.76.6.133       65.105.72.1        UGHW3I          0       16     en0   3325
182.118.20.224     65.105.72.1        UGHW3I          0       88     en0   3566
182.118.20.225     65.105.72.1        UGHW3I          0       70     en0   3558
182.118.20.227     65.105.72.1        UGHW3I          0       17     en0   3545
185.56.80.133      65.105.72.1        UGHW3I          0        7     en0   3423
185.56.80.137      65.105.72.1        UGHW3I          0       14     en0   3578
192.168.1.35       65.105.72.1        UGHW3I          0        1     en0   3502
192.227.245.117    65.105.72.1        UGHW3I          0        2     en0   3495
202.66.32.116      65.105.72.1        UGHW3I          0        1     en0   3377
208.115.113.85     65.105.72.1        UGHW3I          0        6     en0   3289
212.30.134.167     65.105.72.1        UGHW3I          0        9     en0   3582
212.30.134.174     65.105.72.1        UGHW3I          0        8     en0   3589
217.195.49.131     65.105.72.1        UGHWIi          1       46     en0
224.0.0.251        65.105.72.1        UGHmW3I         0        0     en0   3549

Естественно при соединении ничего из 192.168.2.0 не пингуется, кроме самого клиента



Последнее исправление: filatovdm (всего исправлений: 3)
После обновления до Wheezy не работает DNS
как изменить размер encrypted LVM раздела в virtualbox?

1 2 3 4 5
Ответ на: комментарий от filatovdm

Мне это надоело. Не хочешь/не можешь думать - иди в Jobs и купи админа за деньги.

Разберись сначала со своей серверной частью и поотключай свои чудо фаерволы и Касперские, потом учись логи читать.

Ты решаешь задачу, которая решается за 15 минут - трое суток. https://openvpn.net/index.php/open-source/documentation/howto.html#examples

Мы тут гадать что ли должны, почему у тебя udp от клиента до сервера не ходит?

xtraeft ★★☆☆
()
Последнее исправление: xtraeft (всего исправлений: 3)
Ответ на: комментарий от xtraeft

Три дня тут выясняли что у тебя в винде фаервол включен, теперь опять по тем же граблям будем ходить?

xtraeft ★★☆☆
()
Ответ на: комментарий от filatovdm

Значит это кара небесная и udp просто так не доходит до твоего сервера, угу.

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

Так сделал, тоже самое что и с udp. Разбираюсь сейчас на самом сервере что конкретно может мешать проходу

filatovdm
() автор топика
Ответ на: комментарий от xtraeft

Подскажите пожалуйста, в какую сторону еще можно копать и смотреть чтобы избавиться от ошибки?

read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
filatovdm
() автор топика
Ответ на: комментарий от anonymous_sama

Все фаерволы, антивирусы, как на сервере, так и на клиенте выключены. Поменял на 24653, та же ошибка!

xtraeft, со старыми конфигами соединяется без проблем

filatovdm
() автор топика
Ответ на: комментарий от anonymous_sama

А есть команда которая проверяет состояние порта на сервер и на клиенте?

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

xtraeft, со старыми конфигами соединяется без проблем

Если протокол и порт одинаковы и там и там, то магия - не иначе.

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

Естественно одинаковые, яж не полный идиот, уж простите!

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

Победил предыдущую проблему

Разумеется, о том, как ты ее победил, нам знать не нужно.

теперь вышла совсем экзотичная

Лог не полный

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

Не стыдно вести себя как гондон? Я же объяснил по русски, что я не технический специалист и пытаюсь разобраться

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

Пятый день морочишь людям голову. Первые 4 дня я честно пытался тебе помочь.
На будущее - научись нормально описывать стартовые условия и задавать техничские вопросы. Какой порт кербероса, что ты несешь вобще? Порты у него закрыты, епт, и фаерволы все выключены. Хватит чушь пороть.

xtraeft ★★☆☆
()
Последнее исправление: xtraeft (всего исправлений: 1)
Ответ на: комментарий от xtraeft

В OS X Mavericks есть такая программа как Сетевая утилита, в ней вкладка Port Scan, и при сканировании открытых портов выдает это

Open TCP Port: 21 ftp 
Open TCP Port: 22 ssh 
Open TCP Port: 80 http 
Open TCP Port: 88 kerberos 
Open TCP Port: 443 https

Или это тоже чушь по твоему?

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

Все понятно, вопросов больше нет. Удачи вытрахать мозг кому-нибудь другому.

в ней вкладка Port Scan, и при сканировании открытых портов выдает это

Что сканируешь, как сканируешь - это все мы как обычно должны угадывать или выпытывать из тебя, да? Фаерволы у него выключены, дурдом какой то.

xtraeft ★★☆☆
()
Последнее исправление: xtraeft (всего исправлений: 2)
Ответ на: комментарий от filatovdm

Рекомендую подчистить ip адрес с треда. А то мало ли, может кто из школьников на лоре решит подшутить. Ну и наконец перевесить ssh на другой порт.
Про ключи, я уже молчу, а то закроешь себе же доступ случайно. (из вышеперечисленных сообщений, вероятность такого очень высока для тебя).

anonymous_sama ★★★★★
()
Ответ на: комментарий от anonymous_sama

Спасибо большое, так и сделаю! Придется удалять свои сообщения, хотя смысла нет, тк они всеравно видны, а редактировать сообщения как я понял здесь нельзя

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

Ты вобще понимаешь, что такое ОТКРЫТЫЕ ПОРТЫ? Это значит, что какой то процесс сейчас слушает этот порт.

Удачи приконнектиться опенвпн клиентом к керберосу или что там у тебя на самом деле.

Для приличия мог бы хотя бы использовать актуальные версии Openvpn и на клиенте, и на сервере.

xtraeft ★★☆☆
()
Последнее исправление: xtraeft (всего исправлений: 2)
Ответ на: комментарий от anonymous_sama

А то мало ли, может кто из школьников на лоре решит подшутить.

И как он подшутит? Ты чересчур параноидален.

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

Я уже молчу о том, что доступность портов надо проверять с той точки, откуда коннектишься. А не с того же сервера.

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

Не без этого.

И как он подшутит?

Гидру там зарядит, или еще что. Ну в любом случае, боты хоть меньше долбить его будут, если порт перевесит.

anonymous_sama ★★★★★
()
Ответ на: комментарий от anonymous_sama

Разобрался с этой проблемой, оказалось что с той конфигурацией что у меня была на сервере, он запускался с ошибками, свою роль еще сыграла корявость beta версии Tunnelblick, поэтому даже порт не открывался и возникала эта ошибка соединения. Установил OpenVPN с помощью macports, все встало по человечески

filatovdm
() автор топика
Ответ на: комментарий от xtraeft

Кажется все настроено правильно, пинг в обе стороны идет!

Конфиг сервера достаточно стандартный http://codeo.me/5z6

Клиента тоже http://codeo.me/5z7

NAT вроде настроен, смотрим 

/usr/sbin/sysctl net.inet.ip.forwarding
net.inet.ip.forwarding: 1

/usr/sbin/sysctl net.link.ether.inet.proxyall
net.link.ether.inet.proxyall: 1
ipfw list
00100 divert 8668 bbn-rcc from any to any via en0

Проверяем куда он ходит, тоже все вроде верно: 

sudo /opt/local/sbin/openvpn2 --show-gateway
Sun Jul 20 20:00:56 2014 ROUTE_GATEWAY 65.105.72.1/255.255.252.0 IFACE=en0 HWADDR=a8:11:33:3a:3f:f3

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

Судя по логам, все хорошо. А как ты проверяешь, доступен ли выход в интернет через vpn на клиенте? Просто возможно что все хорошо, просто ты ходишь через обычное соединение, а не через vpn на самом клиенте.

У тебе скажем браузер подвисает и показывает, что сеть не доступна, через vpn? (так и должно быть, если проблемы с маскардингом) Или все-таки ты просто открываешь все через первоначальное соединение?

anonymous_sama ★★★★★
()
Ответ на: комментарий от anonymous_sama

Никак не проверяю доступен ли выход в интернет через vpn на клиенте, как это сделать? Я так понимаю что я открываю через первоначальное соединение, потому что после соединения с сервером просто открываю браузер и у меня не загружается ни один сайт! А что нужно настроить в браузере чтобы ходить в интернет через VPN?

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

потому что после соединения с сервером просто открываю браузер и у меня не загружается ни один сайт!

Тогда все нормально, на клиенте проблем быть не должно. Да странно, что 

int_if = "en0"

tun_if = "tun0"

nat on $int_if inet from { $tun_if/24 $int_if:network } to any -> ($int_if)
Преобразуется в 
00100 divert 8668 bbn-rcc from any to any via en0
Если конечно ты пользовался pf.conf c https://discussions.apple.com/thread/5538749?start=0&tstart=0 Да смотри вместо 10.0.0.0/8 , там должно быть 10.8.0.0/24! Учитывая твой более стандартный конфиг сервера. Вообще если упростить, то как-то так:
# Мои интерфейсы
tun="tun0"  # твой tunX интерфейс 
internet="en0" # enX сетевая карта или интерфейс откуда у тебя идет интернет на сервер, чаще всего будет en0 по DHCP
# Делаем SNAT
nat on $internet from { $tun/24 $internet:network } to any -> internet
# $tun/24 получается 10.8.0.0/24, т.е получается аналог 'iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source 65.105.x.x' только более универсальный.

anonymous_sama ★★★★★
()
Ответ на: комментарий от anonymous_sama

Результат 

00100 divert 8668 bbn-rcc from any to any via en0
получился в следствии забивания правила руками, посмотрел сейчас на pf.conf, обнаружил что у меня он не стартует, пишет:

sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -f

No ALTQ support in kernel
ALTQ related functions disabled
pfctl: Anchor or Ruleset does not exist.
pfctl: Use of -f option, could result in flushing of rules
present in the main ruleset added by the system at startup.
See /etc/pf.conf for further details.

No ALTQ support in kernel
ALTQ related functions disabled
/private/etc/pf.conf:6: syntax error
/private/etc/pf.conf:8: syntax error
/private/etc/pf.conf:9: syntax error
/private/etc/pf.conf:10: syntax error
/private/etc/pf.conf:11: syntax error
/private/etc/pf.conf:15: syntax error
/private/etc/pf.conf:20: syntax error
/private/etc/pf.conf:30: syntax error
/private/etc/pf.conf:31: syntax error
/private/etc/pf.conf:33: syntax error
/private/etc/pf.conf:34: syntax error
/private/etc/pf.conf:35: syntax error
/private/etc/pf.conf:36: syntax error
/private/etc/pf.conf:37: syntax error
/private/etc/pf.conf:40: syntax error
/private/etc/pf.conf:43: syntax error
/private/etc/pf.conf:46: syntax error
/private/etc/pf.conf:50: syntax error
/private/etc/pf.conf:53: syntax error
/private/etc/pf.conf:56: syntax error
no IP address found for 10.0.1.3:network
/private/etc/pf.conf:59: could not parse host specification
/private/etc/pf.conf:62: syntax error
/private/etc/pf.conf:63: syntax error
/private/etc/pf.conf:66: syntax error
/private/etc/pf.conf:68: syntax error
/private/etc/pf.conf:69: syntax error
/private/etc/pf.conf:70: syntax error
/private/etc/pf.conf:73: syntax error
/private/etc/pf.conf:74: syntax error
/private/etc/pf.conf:75: syntax error
/private/etc/pf.conf:76: syntax error
pfctl: Syntax error in config file: pf rules not loaded

Что там за ошибка такая если я просто копирую-вставляю как указано в ссылке?

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

Так ты думай, а не вставляй тупо. На почти каждой строчки ошибка синтаксиса.
Можешь попробовать мой упрошенный пример. Я тебе же привел выше, все очень разжевано.

anonymous_sama ★★★★★
()
Ответ на: комментарий от filatovdm

Что там за ошибка такая если я просто копирую-вставляю как указано в ссылке?

Может переносы строк? Убедись, что pf.conf имеет перевод строки LF, а не CRLF или CR.
Любой нормальный текстовый редактор это покажет, я пользуюсь TextWrangler. Если нужно консольное средство - можно dos2unix прогнать, в brew он есть (в портах скорее всего тоже).

xtraeft ★★☆☆
()
Ответ на: комментарий от anonymous_sama

Извините, но в этих конфигурациях я такой нуб. Я так понимаю получается так

# Мои интерфейсы
tun="utun0"  # твой tunX интерфейс 
internet="en0" # enX сетевая карта или интерфейс откуда у тебя идет интернет на сервер, чаще всего будет en0 по DHCP
# Делаем SNAT
nat on en0 from { 10.8.0.0/24 en0:network } to any -> internet
# $tun/24 получается 10.8.0.0/24, т.е получается аналог 'iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source 65.105.x.x' только более универсальный.

utun0 и en0 взяты из ifconfig

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

Да. Просто ты же говорил, что у тебя там не один интерфейс. Я дал только как для дефолтных. Поэтому ты уже сам определяйся, что у тебя там откуда.

anonymous_sama ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2 3 4 5
После обновления до Wheezy не работает DNS
Admin
как изменить размер encrypted LVM раздела в virtualbox?