LINUX.ORG.RU
ФорумAdmin

OpenVPN соединяется, но не ходит в Интернет


0

3

Конфиг сервера:

port 1194
proto udp
dev tap
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
ifconfig-pool-persist /etc/openvpn/ipp.txt
server-bridge 192.168.2.2 255.255.255.0 192.168.2.224 192.168.2.254
push "redirect-gateway def1 bypass-dhcp"
script-security 2
up /etc/openvpn/scripts/up.sh
learn-address /etc/openvpn/scripts/routes.sh
client-to-client
duplicate-cn
keepalive 10 60
comp-lzo
persist-key
persist-tun
verb 3
up.sh
/usr/sbin/sysctl -w net.link.ether.inet.proxyall=1
/usr/sbin/sysctl -w net.inet.ip.forwarding=1
/sbin/ifconfig bridge0 addm tap0

routes.sh Пока пустой

Конфиг клиента:

client
dev tap
proto udp
remote 65.105.72.140 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
comp-lzo
verb 3
Лог
Sun Jul 13 01:43:49 2014 C:\WINDOWS\system32\route.exe ADD 65.105.72.140 MASK 255.255.255.255 192.168.1.1
Sun Jul 13 01:43:49 2014 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Sun Jul 13 01:43:49 2014 Route addition via IPAPI succeeded [adaptive]
Sun Jul 13 01:43:49 2014 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 192.168.2.2
Sun Jul 13 01:43:49 2014 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Sun Jul 13 01:43:49 2014 Route addition via IPAPI succeeded [adaptive]
Sun Jul 13 01:43:49 2014 C:\WINDOWS\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 192.168.2.2
Sun Jul 13 01:43:49 2014 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Sun Jul 13 01:43:49 2014 Route addition via IPAPI succeeded [adaptive]
Sun Jul 13 01:43:49 2014 Initialization Sequence Completed

Соединение OpenVPN (GUI) у Windows 7 происходит без проблем, а вот в Интернет через сервер ходить не хочет!

ifconfig
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet 127.0.0.1 netmask 0xff000000
gif0: flags=8010<POINTOPOINT,MULTICAST> mtu 1280
stf0: flags=0<> mtu 1280
en0: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=10b<RXCSUM,TXCSUM,VLAN_HWTAGGING,AV>
        ether a8:13:11:1c:7b:a1
        inet 65.105.72.140 netmask 0xfffffc00 broadcast 65.105.75.255
        inet 65.105.75.185 netmask 0xfffffc00 broadcast 65.105.75.255
        inet 192.168.2.2 netmask 0xfffffc00 broadcast 192.168.3.255
        media: autoselect (100baseTX <full-duplex,flow-control>)
        status: active
-
-
-
-
-
-
bridge0: flags=8822<BROADCAST,SMART,SIMPLEX,MULTICAST> mtu 1500
        options=3<RXCSUM,TXCSUM>
        ether ab:30:33:a1:09:00
        Configuration:
                id 0:0:0:0:0:0 priority 0 hellotime 0 fwddelay 0
                maxage 0 holdcnt 0 proto stp maxaddr 100 timeout 1200
                root id 0:0:0:0:0:0 priority 0 ifcost 0 port 0
                ipfilter disabled flags 0x2
        member: en2 flags=3<LEARNING,DISCOVER>
                ifmaxaddr 0 port 6 priority 0 path cost 0
        member: tap0 flags=3<LEARNING,DISCOVER>
                ifmaxaddr 0 port 10 priority 0 path cost 0
        media: <unknown type>
        status: inactive
tap0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        ether 0f:f6:79:93:9a:1c
        open (pid 26491)
netstat -ran
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            65.105.72.1        UGSc           48        0     en0
5.255.253.147      65.105.72.1        UGHWIi          1       44     en0
23.43.133.163      65.105.72.1        UGHWIi          1        6     en0
37.46.242.108      65.105.72.1        UGHW3I          0       17     en0   3368
37.58.100.91       65.105.72.1        UGHW3I          0        3     en0   3260
37.58.100.140      65.105.72.1        UGHW3I          0       14     en0   3401
37.58.100.148      65.105.72.1        UGHW3I          0        6     en0   3289
37.58.100.154      65.105.72.1        UGHW3I          0       15     en0   3460
61.174.51.219      65.105.72.1        UGHWIi          3       89     en0
66.249.65.107      65.105.72.1        UGHW3I          0       36     en0   3461
66.249.67.33       65.105.72.1        UGHW3I          0       42     en0   3550
66.249.67.46       65.105.72.1        UGHW3I          0       53     en0   3368
66.249.67.59       65.105.72.1        UGHW3I          0       66     en0   3582
66.249.67.107      65.105.72.1        UGHW3I          0       56     en0   3434
74.82.47.25        65.105.72.1        UGHW3I          0        1     en0   3499
94.250.234.118     65.105.72.1        UGHW3I          0        6     en0   3256
95.211.37.197      65.105.72.1        UGHW3I          0        7     en0   3289
101.226.166.196    65.105.72.1        UGHW3I          0       20     en0   3374
101.226.166.204    65.105.72.1        UGHW3I          0        4     en0   3260
101.226.166.205    65.105.72.1        UGHW3I          0       12     en0   3379
101.226.166.206    65.105.72.1        UGHW3I          0        7     en0   3312
127                127.0.0.1          UCS             0        0     lo0
127.0.0.1          127.0.0.1          UH              8    10706     lo0
169.254            link#4             UCS             0        0     en0
180.76.5.71        65.105.72.1        UGHW3I          0       16     en0   3502
180.76.6.133       65.105.72.1        UGHW3I          0       16     en0   3325
182.118.20.224     65.105.72.1        UGHW3I          0       88     en0   3566
182.118.20.225     65.105.72.1        UGHW3I          0       70     en0   3558
182.118.20.227     65.105.72.1        UGHW3I          0       17     en0   3545
185.56.80.133      65.105.72.1        UGHW3I          0        7     en0   3423
185.56.80.137      65.105.72.1        UGHW3I          0       14     en0   3578
192.168.1.35       65.105.72.1        UGHW3I          0        1     en0   3502
192.227.245.117    65.105.72.1        UGHW3I          0        2     en0   3495
202.66.32.116      65.105.72.1        UGHW3I          0        1     en0   3377
208.115.113.85     65.105.72.1        UGHW3I          0        6     en0   3289
212.30.134.167     65.105.72.1        UGHW3I          0        9     en0   3582
212.30.134.174     65.105.72.1        UGHW3I          0        8     en0   3589
217.195.49.131     65.105.72.1        UGHWIi          1       46     en0
224.0.0.251        65.105.72.1        UGHmW3I         0        0     en0   3549

Естественно при соединении ничего из 192.168.2.0 не пингуется, кроме самого клиента



Последнее исправление: filatovdm (всего исправлений: 3)
Ответ на: комментарий от filatovdm

Посмотри access лог веб-сервера, когда идешь через vpn. Может у тебя там с 444 правило или с deny какое-нибудь правило с if, меня это уже не удивит. Ну и попробуй добавить push «route второй ip маска» в конфиг, openvpn server'а, Только это уже абсурд.

anonymous_sama ★★★★★
()
Последнее исправление: anonymous_sama (всего исправлений: 2)
Ответ на: комментарий от anonymous_sama

Вот что выдал access log

"OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.2.26 (Unix) DAV/2 PHP/5.4.24 mod_ssl/2.2.26 OpenSSL/0.9.8y (internal dummy connection)"

push «route второй ip маска» в конфиг, openvpn server'а - не помогло!

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

Покажи часть конфига apache, где он висит на порту для vhost'a. (начало). Более чем уверен, что он висит на том же порту, что и openvpn и трафик не доходит, так как он у нас «роутится» к локальному ip сервера.

anonymous_sama ★★★★★
()
Ответ на: комментарий от anonymous_sama

У меня есть 2 лога Apache в /var/log/apache2 это access_log и error_log

В access_log ничего с портами интересного нет!

А вот в error_log такое

[Wed Jul 23 21:33:55 2014] [notice] caught SIGTERM, shutting down
[Wed Jul 23 21:35:40 2014] [warn] RSA server certificate CommonName (CN) `server.net' does NOT match server name!?
httpd: apr_sockaddr_info_get() failed for server.net
httpd: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName
[Wed Jul 23 21:35:43 2014] [warn] RSA server certificate CommonName (CN) `server.net' does NOT match server name!?
[Wed Jul 23 21:35:44 2014] [notice] Apache/2.2.26 (Unix) DAV/2 PHP/5.4.24 mod_ssl/2.2.26 OpenSSL/0.9.8y configured -- resuming normal operations
[Wed Jul 23 21:35:47 2014] [notice] caught SIGTERM, shutting down
[Wed Jul 23 21:35:52 2014] [warn] RSA server certificate CommonName (CN) `server.net' does NOT match server name!?
httpd: apr_sockaddr_info_get() failed for server.net
httpd: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName
[Wed Jul 23 21:35:52 2014] [warn] RSA server certificate CommonName (CN) `server.net' does NOT match server name!?
[Wed Jul 23 21:35:52 2014] [notice] Apache/2.2.26 (Unix) DAV/2 PHP/5.4.24 mod_ssl/2.2.26 OpenSSL/0.9.8y configured -- resuming normal operations

Где еще можно посмотреть?

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

Вешаешь нормально свой apache на ip address и спокойно ходишь на свой сайт. Ну и сертификаты, тоже нормально сгенери заодно. Все это есть в google. На StartSSL можно сделать бесплатно и безопасно валидные, кстати.

anonymous_sama ★★★★★
()
Последнее исправление: anonymous_sama (всего исправлений: 1)
Ответ на: комментарий от anonymous_sama

«Вешаешь нормально свой apache на ip address» Как это сделать? Не совсем понял что имеется ввиду! У меня же на втором IP как раз и висят сайты которые доступны через Интернет, а не через OpenVPN!

filatovdm
() автор топика
Ответ на: комментарий от anonymous_sama

Сейчас еще 4 страницы будете апач настраивать.

xtraeft ★★☆☆
()
Ответ на: комментарий от anonymous_sama

Прописал, естественно перезапустил Апатч! Также не открывается с OpenVPN!

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

Посмотри в netstat на каком ip висит apache, убери с pf этот ip адрес(вдруг если у тебя все-таки теперь два правила), потом повесь apache верно на *:80 или 0.0.0.0:80.

anonymous_sama ★★★★★
()
Ответ на: комментарий от filatovdm

Нет, я уже объяснил в чем скорей всего проблема выше.

Более чем уверен, что он висит на том же порту, что и openvpn и трафик не доходит, так как он у нас «роутится» к локальному ip сервера.

anonymous_sama ★★★★★
()
Ответ на: комментарий от filatovdm

Нет, я уже объяснил в чем скорей всего проблема выше.

Более чем уверен, что он висит на том же порту, что и openvpn и трафик не доходит, так как он у нас «роутится» к локальному ip сервера.

anonymous_sama ★★★★★
()
Ответ на: комментарий от anonymous_sama

Я посмотрел в netstat, openvpn у меня крутится на 1194

filatovdm
() автор топика
Ответ на: комментарий от xtraeft

Да сделал, там ничего сложного!

Если повесить все сайты и OpenVPN на один IP адрес, то все открывается замечательно! Только мне нужно OpenVPN на отдельном IP

filatovdm
() автор топика
Ответ на: комментарий от anonymous_sama

Проблема решилась простой сменой с tun на tap и локальные сайты стали открываться, всем спасибо!

filatovdm
() автор топика
Ответ на: комментарий от anonymous_sama

Не могу пробиться через прокси. Подскажите, пожалуйста, в чем может быть проблема?

Thu Jul 30 11:28:07 2014 Send to HTTP proxy: 'CONNECT 65.105.72.140:443 HTTP/1.0'
Thu Jul 30 11:28:07 2014 Attempting NTLM Proxy-Authorization phase 1
Thu Jul 30 11:28:11 2014 HTTP proxy returned: 'HTTP/1.1 407 Proxy Authentication Required ( Access is denied.  )'
Thu Jul 30 11:28:11 2014 Proxy requires authentication
Thu Jul 30 11:28:11 2014 HTTP proxy returned: 'Via: 1.1 CMM-11'
Thu Jul 30 11:28:11 2014 HTTP proxy returned: 'Proxy-Authenticate: NTLM 
*Chop*
Thu Jul 30 11:28:11 2014 auth string:
 *Chop*
Thu Jul 30 11:28:11 2014 Received NTLM Proxy-Authorization phase 2 response
Thu Jul 30 11:28:16 2014 recv_line: TCP port read timeout expired
Thu Jul 30 11:28:16 2014 Send to HTTP proxy: 'CONNECT 65.105.72.140:443 HTTP/1.0'
Thu Jul 30 11:28:17 2014 Send to HTTP proxy: 'Host: 65.105.72.140'
Thu Jul 30 11:28:17 2014 Attempting NTLM Proxy-Authorization phase 3
Thu Jul 30 11:28:17 2014 NTLM Proxy-Authorization phase 3 failed: received corrupted data from proxy server
Thu Jul 30 11:28:17 2014 TCP/UDP: Closing socket
Thu Jul 30 11:28:17 2014 SIGTERM[soft,init_instance] received, process exiting
filatovdm
() автор топика
Ответ на: комментарий от anonymous_sama

А какие параметры нужно добавить в конфиг клиента о прокси?

У меня сейчас там такие строчка

http-proxy IP PORT userpass.txt ntlm

Вот что удалось поймать WireShark

Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
Proxy-Connection: Keep-Alive
HTTP/1.1
Group: Sequence
Response Phrase [truncated]: Proxy Authentication Required ( \357\277\275\357\277\275\357\277\275\357\277\275\357\277\275\357\277\275 \357\277\275\357\277\275\357\277\275\357\277\275\357\277\275\357\277\275\357\277\275\357\277\275\357\277\
HTTP/1.1 407 Proxy Authentication Required ( \320\224\320\273\321\217 \320\262\321\213\320\277\320\276\320\273\320\275\320\265\320\275\320\270\321\217 \320\267\320\260\320\277\321\200\320\276\321\201\320\260 \320\272\320\276\320\274\320\27
Via: 1.1 RNI-34\r\n
Proxy-Authenticate: Negotiate\r\n
Proxy-Authenticate: Kerberos\r\n
Proxy-Authenticate: NTLM\r\n
Connection: Keep-Alive\r\n
Proxy-Connection: Keep-Alive\r\n
Pragma: no-cache\r\n
Cache-Control: no-cache\r\n
[truncated]Proxy-Authorization: NTLM TlRMTVNTUAADAAAAGAAYAHoAAABKAUoBkgAAAAYABgBYAAAADgAOAF4AAAAOAA4AbAAAAAAAAADcAQAABYKIogYBsR0AAAAPUi4gAZ/VyuV+HwSNCzR6f1UATgBHAEIAaQBnAHUAbgBZAFkATgBDAC0AOQA4ADcAMQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABUJLi/1
NTLMSSP identifier: NTLMSSP
NTLM Message Type: NTLMSSP_AUTH (0x00000003)
Session Key: Empty
Version 6.1 (Build 7601); NTLM Current Revision 15
filatovdm
() автор топика
Ответ на: комментарий от anonymous_sama

У меня в userpass.txt так

login
password

всего 2 строчки как и положено, пробовал также указывать домен в начале через /

Как еще можно попробовать?

filatovdm
() автор топика
Ответ на: комментарий от anonymous_sama

Проблемы была в самом OpenVPN клиенте для Windows, поэтому вываливало эту ошибку в процессе авторизации, все решилось благодаря линуксу! =)

А где правильнее и лучше всего хранить ключи и сертификаты OpenVPN (в системе, на токене, на флешке с защищенным разделом)?

filatovdm
() автор топика
Ответ на: комментарий от filatovdm

Где удобней, тут уже каждый сам извращается как можно. Желательно только для каждого устройства свой отдельный сертификат.

anonymous_sama ★★★★★
()
Ответ на: комментарий от anonymous_sama

Решил озаботиться созданием Double OpenVPN чтобы трафик выходил из другого сервера!

Тоесть

Я -> OpenVPN Server 1 > OpenVPN Server 2 > Internet

Когда загружаю клиентский конфиг на OpenVPN Server 1 чтобы соединить его с OpenVPN Server 2, он перезаписывает все маршруты и даже сайты не работают! Как это исправить?

OpenVPN Server 2 не мой, а публичный сервер!

filatovdm
() автор топика
Ответ на: комментарий от xtraeft

Клиенский IP адрес у OpenVPN Server 1 может меняться при переподключении, поэтому вижу логичным сделать вместо роутов перенаправление на интерфейс который поднял клиент, меняю

nat on en0 from 10.8.0/24 to any -> utun0

Не работает, что может быть сделано не так?

filatovdm
() автор топика
Ответ на: комментарий от xtraeft

Еще дело в том, что не хотелось бы быть привязанным к клиентским конфигам на OpenVPN Server 1 и моментально их менять при необходимости

filatovdm
() автор топика
Ответ на: комментарий от anonymous_sama

Есть такой момент, у нее везде свои особенности! Так правильно ли у меня правило перенаправления трафика на этот интерфейс?

filatovdm
() автор топика
Ответ на: комментарий от anonymous_sama

Не работает, видимо что-то упустил! В OpenVPN Server 1 в конфиге клиента я добавляю route-nopull чтобы он не записывал маршруты полученные от OpenVPN Server 2 и сайты работали! Соответственно клиент OpenVPN Server 1 не знает куда ходить, смысл доблять route IP маска я не вижу, т.к при соединении апишник то всегда другой! И как прописать маршртур клиенту OpenVPN Server 1 до OpenVPN Server 2?

filatovdm
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.