OpenVPN настройка

0

2

Добрый день! Не работает подключение к OpenVPN серверу? при подключении клиента Openvpn выдает ошибку:

 TLS Error: Unroutable control packet received from 85.93.53.125:19387 (si=3 op=P_CONTROL_V1)

Конфиг клиента

client
tls-client
tls-auth "c:\\Program Files (x86)\\OpenVPN\\config\\taserver.key"
dev tun
port 19387
proto udp

remote 85.93.53.127

pkcs12 "c:\\Program Files\\OpenVPN\\config\\user.p12"
comp-lzo
cipher AES-256-CBC 256

mssfix 1300

fragment 1300

float

verb 5

mute 10

Конфиг сервера

;Включаем tls-сервер
tls-server
tls-auth /etc/openvpn/taserver.key

;Режим работы сервера
dev tun
;crl-verify /etc/openvpn/easy-rsa/keys/crl.pem
dh   /etc/openvpn/dh1024.pem
ca   /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key  /etc/openvpn/server.key

;Включение сжатия данных
comp-lzo

;Шифрование
cipher AES-256-CBC 256

;dhcp-server - OpenVPN сеть
server 192.168.7.192 255.255.255.224

;От чьего имени работает сервер
group nogroup
user nobody

;На каком порту работает
proto udp
port 19387

;Объявление маршрутов на клиентские сети
route 192.168.7.0 255.255.255.240
#route 192.168.7.228 255.255.255.252
#route 192.168.7.34 255.255.255.252

;Фрагментация пакетов
mssfix 1300
fragment 1300

;Пингование и перезапуск серверной и клиентской части
keepalive 30 90

;Дополнительные опции загрузки клиентов
client-config-dir /etc/openvpn/clients
ccd-exclusive
client-to-client

persist-tun
persist-key

;Логирование
log /var/log/openvpn/server

verb 5
mute 20

Лог файл сервера

WWRMon Sep 24 14:51:20 2012 us=216858 89.254.252.37:19387 TLS Error: Cannot accept new session request from [AF_INET]89.254.252.37:19387 due to sessi$
RMon Sep 24 14:51:22 2012 us=416852 89.254.252.37:19387 TLS Error: Cannot accept new session request from [AF_INET]89.254.252.37:19387 due to session$
WMon Sep 24 14:51:25 2012 us=516024 89.254.252.37:19387 SIGTERM[soft,delayed-exit] received, client-instance exiting
Mon Sep 24 14:51:26 2012 us=816845 MULTI: multi_create_instance called
Mon Sep 24 14:51:26 2012 us=816876 89.254.252.37:19387 Re-using SSL/TLS context
Mon Sep 24 14:51:26 2012 us=816887 89.254.252.37:19387 LZO compression initialized
Mon Sep 24 14:51:26 2012 us=816919 89.254.252.37:19387 Control Channel MTU parms [ L:1562 D:166 EF:66 EB:0 ET:0 EL:0 ]
Mon Sep 24 14:51:26 2012 us=816932 89.254.252.37:19387 Data Channel MTU parms [ L:1562 D:1300 EF:62 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Sep 24 14:51:26 2012 us=816941 89.254.252.37:19387 Fragmentation MTU parms [ L:1562 D:1300 EF:61 EB:135 ET:1 EL:0 AF:3/1 ]
Mon Sep 24 14:51:26 2012 us=816959 89.254.252.37:19387 Local Options String: 'V4,dev-type tun,link-mtu 1562,tun-mtu 1500,proto UDPv4,comp-lzo,mtu-dyn$
Mon Sep 24 14:51:26 2012 us=816966 89.254.252.37:19387 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1562,tun-mtu 1500,proto UDPv4,comp-l$
Mon Sep 24 14:51:26 2012 us=816977 89.254.252.37:19387 Local Options hash (VER=V4): 'e9ad447f'
Mon Sep 24 14:51:26 2012 us=816987 89.254.252.37:19387 Expected Remote Options hash (VER=V4): 'cbcea534'
RMon Sep 24 14:51:26 2012 us=817006 89.254.252.37:19387 TLS: Initial packet from [AF_INET]89.254.252.35:19384, sid=9aca1b71 31b0fa34
WRRWRWRWWWWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRRRRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRMon Sep 24 14:51:28 2012 us=217075 89.254.252.37:1$
Mon Sep 24 14:51:28 2012 us=217170 89.254.252.37:19387 VERIFY OK: depth=0, /C=RU/ST=43/L=Kirov/O=OPS/OU=razdolje-strizhy/CN=razdolje/emailAddress=adm$
WRWRWRWRWWWWRWRWRWRWRWRWRWRWRWRRRRWRWRWRMon Sep 24 14:51:28 2012 us=717018 89.254.252.37:19387 TLS Auth Error: --client-config-dir authentication fai$
WWWRRRMon Sep 24 14:51:28 2012 us=916907 89.254.252.37:19387 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Mon Sep 24 14:51:28 2012 us=916928 89.254.252.37:19387 [user] Peer Connection Initiated with [AF_INET]89.254.252.37:19387
RMon Sep 24 14:51:31 2012 us=16869 89.254.252.37:19387 PUSH: Received control message: 'PUSH_REQUEST'
Mon Sep 24 14:51:31 2012 us=16884 89.254.252.37:19387 Delayed exit in 5 seconds
Mon Sep 24 14:51:31 2012 us=16899 89.254.252.37:19387 SENT CONTROL [razdolje]: 'AUTH_FAILED' (status=1)
WWWMon Sep 24 14:51:36 2012 us=157995 89.254.252.37:19387 SIGTERM[soft,delayed-exit] received, client-instance exiting

Лог файл клиента

ig = 'user.ovpn'
Mon Sep 24 14:40:49 2012 us=157000   mode = 0
Mon Sep 24 14:40:49 2012 us=157000   show_ciphers = DISABLED
Mon Sep 24 14:40:49 2012 us=157000   show_digests = DISABLED
Mon Sep 24 14:40:49 2012 us=157000   show_engines = DISABLED
Mon Sep 24 14:40:49 2012 us=157000   genkey = DISABLED
Mon Sep 24 14:40:49 2012 us=157000   key_pass_file = '[UNDEF]'
Mon Sep 24 14:40:49 2012 us=157000   show_tls_ciphers = DISABLED
Mon Sep 24 14:40:49 2012 us=157000 Connection profiles [default]:
Mon Sep 24 14:40:49 2012 us=157000 NOTE: --mute triggered...
Mon Sep 24 14:40:49 2012 us=157000 263 variation(s) on previous 10 message(s) suppressed by --mute
Mon Sep 24 14:40:49 2012 us=157000 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Mon Sep 24 14:40:49 2012 us=157000 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Mon Sep 24 14:40:49 2012 us=157000 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Sep 24 14:40:49 2012 us=266000 Control Channel Authentication: using 'c:\Program Files (x86)\OpenVPN\config\taserver.key' as a OpenVPN static key file
Mon Sep 24 14:40:49 2012 us=266000 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Sep 24 14:40:49 2012 us=266000 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Sep 24 14:40:49 2012 us=266000 LZO compression initialized
Mon Sep 24 14:40:49 2012 us=266000 Control Channel MTU parms [ L:1562 D:166 EF:66 EB:0 ET:0 EL:0 ]
Mon Sep 24 14:40:49 2012 us=266000 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Sep 24 14:40:49 2012 us=266000 Data Channel MTU parms [ L:1562 D:1300 EF:62 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Sep 24 14:40:49 2012 us=266000 Fragmentation MTU parms [ L:1562 D:1300 EF:61 EB:135 ET:1 EL:0 AF:3/1 ]
Mon Sep 24 14:40:49 2012 us=266000 Local Options String: 'V4,dev-type tun,link-mtu 1562,tun-mtu 1500,proto UDPv4,comp-lzo,mtu-dynamic,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-client'
Mon Sep 24 14:40:49 2012 us=266000 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1562,tun-mtu 1500,proto UDPv4,comp-lzo,mtu-dynamic,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-server'
Mon Sep 24 14:40:49 2012 us=266000 Local Options hash (VER=V4): 'cbcea534'
Mon Sep 24 14:40:49 2012 us=266000 Expected Remote Options hash (VER=V4): 'e9ad447f'
Mon Sep 24 14:40:49 2012 us=266000 UDPv4 link local (bound): [undef]:19384
Mon Sep 24 14:40:49 2012 us=266000 UDPv4 link remote: 85.93.53.122:19384
Mon Sep 24 14:40:51 2012 us=528000 TLS Error: Unroutable control packet received from 85.93.53.122:19384 (si=3 op=P_CONTROL_V1)
Mon Sep 24 14:40:55 2012 us=927000 TLS: Initial packet from 85.93.53.122:19384, sid=ba827fd2 f223cdb1
Mon Sep 24 14:40:56 2012 us=535000 VERIFY OK: depth=1, /C=RU/ST=44/L=ov/O=O/OU=Sty/CN=striv/name=str-srv/emailAddress=g@ki.ru
Mon Sep 24 14:40:56 2012 us=535000 VERIFY OK: depth=0, /C=RU/ST=44/L=Kv/O=OPS/OU=Str/CN=server/emailAddress=admin@ru
Mon Sep 24 14:40:57 2012 us=924000 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Mon Sep 24 14:40:57 2012 us=924000 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Sep 24 14:40:57 2012 us=924000 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Mon Sep 24 14:40:57 2012 us=924000 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Sep 24 14:40:57 2012 us=924000 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Mon Sep 24 14:40:57 2012 us=924000 [server] Peer Connection Initiated with 85.93.53.122:19384
Mon Sep 24 14:41:00 2012 us=45000 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Mon Sep 24 14:41:00 2012 us=123000 AUTH: Received AUTH_FAILED control message
Mon Sep 24 14:41:00 2012 us=123000 TCP/UDP: Closing socket
Mon Sep 24 14:41:00 2012 us=123000 SIGTERM[soft,auth-failure] received, process exiting

Ссылка

←	Есть альтернатива X, чтоб удаленно пробросить GUI.

nginx proxy

→

WWRMon Sep 24 14:51:20 2012 us=216858 89.254.252.37:19387 TLS Error: Cannot accept new session request from [AF_INET]89.254.252.37:19387 due to sessi$
RMon Sep 24 14:51:22 2012 us=416852 89.254.252.37:19387 TLS Error: Cannot accept new session request from [AF_INET]89.254.252.37:19387 due to session$

эти ошибки бы полностью увидеть.

;Объявление маршрутов на клиентские сети
route 192.168.7.0 255.255.255.240

по моему должно быть так:

push "route 192.168.7.0 255.255.255.240"

Acceptor ★★
(25.09.12 18:04:49 MSK)

Ответ на: комментарий от Acceptor 25.09.12 18:04:49 MSK

route я пока все за комментировал.

Лог сервера:

Tue Sep 25 17:07:28 2012 us=524335 Current Parameter Settings:
Tue Sep 25 17:07:28 2012 us=524387   config = '/etc/openvpn/server.conf'
Tue Sep 25 17:07:28 2012 us=524396   mode = 1
Tue Sep 25 17:07:28 2012 us=524403   persist_config = DISABLED
Tue Sep 25 17:07:28 2012 us=524410   persist_mode = 1
Tue Sep 25 17:07:28 2012 us=524417   show_ciphers = DISABLED
Tue Sep 25 17:07:28 2012 us=524424   show_digests = DISABLED
Tue Sep 25 17:07:28 2012 us=524430   show_engines = DISABLED
Tue Sep 25 17:07:28 2012 us=524437   genkey = DISABLED
Tue Sep 25 17:07:28 2012 us=524443   key_pass_file = '[UNDEF]'
Tue Sep 25 17:07:28 2012 us=524450   show_tls_ciphers = DISABLED
Tue Sep 25 17:07:28 2012 us=524456 Connection profiles [default]:
Tue Sep 25 17:07:28 2012 us=524463   proto = udp
Tue Sep 25 17:07:28 2012 us=524470   local = '[UNDEF]'
Tue Sep 25 17:07:28 2012 us=524476   local_port = 19384
Tue Sep 25 17:07:28 2012 us=524482   remote = '[UNDEF]'
Tue Sep 25 17:07:28 2012 us=524489   remote_port = 19384
Tue Sep 25 17:07:28 2012 us=524495   remote_float = DISABLED
Tue Sep 25 17:07:28 2012 us=524501   bind_defined = DISABLED
Tue Sep 25 17:07:28 2012 us=524508   bind_local = ENABLED
Tue Sep 25 17:07:28 2012 us=524514 NOTE: --mute triggered...
Tue Sep 25 17:07:28 2012 us=524527 246 variation(s) on previous 20 message(s) suppressed by --mute
Tue Sep 25 17:07:28 2012 us=524535 OpenVPN 2.1.3 x86_64-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Oct 22 2010
Tue Sep 25 17:07:28 2012 us=524638 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Sep 25 17:07:28 2012 us=525840 Diffie-Hellman initialized with 1024 bit key
Tue Sep 25 17:07:28 2012 us=526218 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Tue Sep 25 17:07:28 2012 us=594230 Control Channel Authentication: using '/etc/openvpn/taserver.key' as a OpenVPN static key file
Tue Sep 25 17:07:28 2012 us=594289 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Sep 25 17:07:28 2012 us=594301 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Sep 25 17:07:28 2012 us=594321 TLS-Auth MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Tue Sep 25 17:07:28 2012 us=594345 Socket Buffers: R=[124928->131072] S=[124928->131072]
Tue Sep 25 17:07:28 2012 us=594426 WARNING: potential TUN/TAP adapter subnet conflict between local LAN [192.168.7.0/255.255.255.0] and remote VPN [192.168.7.193/255.255.255.255]
Tue Sep 25 17:07:28 2012 us=594470 ROUTE default_gateway=192.168.7.226
Tue Sep 25 17:07:28 2012 us=594944 TUN/TAP device tun0 opened
Tue Sep 25 17:07:28 2012 us=594964 TUN/TAP TX queue length set to 100
Tue Sep 25 17:07:28 2012 us=594987 /sbin/ifconfig tun0 192.168.7.193 pointopoint 192.168.7.194 mtu 1500
Tue Sep 25 17:07:28 2012 us=595840 WARNING: potential route subnet conflict between local LAN [192.168.7.0/255.255.255.0] and remote VPN [192.168.7.192/255.255.255.224]
Tue Sep 25 17:07:28 2012 us=595873 /sbin/route add -net 192.168.7.192 netmask 255.255.255.224 gw 192.168.7.194
Tue Sep 25 17:07:28 2012 us=596344 Data Channel MTU parms [ L:1558 D:1300 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Sep 25 17:07:28 2012 us=596806 GID set to nogroup
Tue Sep 25 17:07:28 2012 us=596846 UID set to nobody
Tue Sep 25 17:07:28 2012 us=596871 UDPv4 link local (bound): [undef]
Tue Sep 25 17:07:28 2012 us=596883 UDPv4 link remote: [undef]
Tue Sep 25 17:07:28 2012 us=596899 MULTI: multi_init called, r=256 v=256
Tue Sep 25 17:07:28 2012 us=596959 IFCONFIG POOL: base=192.168.7.196 size=6
Tue Sep 25 17:07:28 2012 us=596981 Initialization Sequence Completed
Wed Sep 26 08:22:35 2012 us=500873 MULTI: multi_create_instance called
Wed Sep 26 08:22:35 2012 us=500917 89.254.193.104:19387 Re-using SSL/TLS context
Wed Sep 26 08:22:35 2012 us=500942 89.254.193.104:19387 LZO compression initialized
Wed Sep 26 08:22:35 2012 us=501050 89.254.193.104:19387 Control Channel MTU parms [ L:1562 D:166 EF:66 EB:0 ET:0 EL:0 ]
Wed Sep 26 08:22:35 2012 us=501079 89.254.193.104:19387 Data Channel MTU parms [ L:1562 D:1300 EF:62 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Sep 26 08:22:35 2012 us=501093 89.254.193.104:19387 Fragmentation MTU parms [ L:1562 D:1300 EF:61 EB:135 ET:1 EL:0 AF:3/1 ]
Wed Sep 26 08:22:35 2012 us=501121 89.254.193.104:19387 Local Options String: 'V4,dev-type tun,link-mtu 1562,tun-mtu 1500,proto UDPv4,comp-lzo,mtu-dynamic,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-server'
Wed Sep 26 08:22:35 2012 us=501129 89.254.193.104:19387 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1562,tun-mtu 1500,proto UDPv4,comp-lzo,mtu-dynamic,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-client'
Wed Sep 26 08:22:35 2012 us=501151 89.254.193.104:19387 Local Options hash (VER=V4): 'e9ad447f'
Wed Sep 26 08:22:35 2012 us=501161 89.254.193.104:19387 Expected Remote Options hash (VER=V4): 'cbcea534'
RWed Sep 26 08:22:35 2012 us=501200 89.254.193.104:19387 TLS: Initial packet from [AF_INET]89.254.193.102:19384, sid=26f27960 41586d12
WRRWRWRWWWWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRRRRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWed Sep 26 08:22:37 2012 us=101194 89.254.193.104:19387 VERIFY OK: depth=1, /C=RU/ST=43/L=Kirov/O=OPS/OU=Strizhy/CN=strizhy-srv/name=strizhy-srv/emailAddress=admin@kirov.rus.coop
Wed Sep 26 08:22:37 2012 us=101297 89.254.193.104:19387 VERIFY OK: depth=0, /C=RU/ST=43/L=Kirov/O=OPS/OU=razdolje-strizhy/CN=razdolje/emailAddress=admin@kirov.rus.coop
WRWRWRWRWWWWRWRWRWRWRWRWRWRWRWRRRRWRWRWRWed Sep 26 08:22:37 2012 us=700977 89.254.193.104:19387 TLS Auth Error: --client-config-dir authentication failed for common name 'razdolje' file='/etc/openvpn/clients/razdolje'
WWWRRRWed Sep 26 08:22:37 2012 us=900884 89.254.193.104:19387 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Sep 26 08:22:37 2012 us=900905 89.254.193.104:19387 [razdolje] Peer Connection Initiated with [AF_INET]89.254.193.104:19387
RWed Sep 26 08:22:40 2012 us=200869 89.254.193.104:19387 PUSH: Received control message: 'PUSH_REQUEST'
Wed Sep 26 08:22:40 2012 us=200884 89.254.193.104:19387 Delayed exit in 5 seconds
Wed Sep 26 08:22:40 2012 us=200899 89.254.193.104:19387 SENT CONTROL [razdolje]: 'AUTH_FAILED' (status=1)
WWRWed Sep 26 08:22:40 2012 us=500852 89.254.193.104:19387 TLS Error: Cannot accept new session request from [AF_INET]89.254.193.102:19384 due to session context expire or --single-session [2]
RWed Sep 26 08:22:42 2012 us=600867 89.254.193.104:19387 TLS Error: Cannot accept new session request from [AF_INET]89.254.193.104:19387 due to session context expire or --single-session [2]

captd
(26.09.12 11:08:08 MSK) автор топика

Ответ на: комментарий от captd 26.09.12 11:08:08 MSK

WRWRWRWRWWWWRWRWRWRWRWRWRWRWRWRRRRWRWRWRWed Sep 26 08:22:37 2012 us=700977 89.254.193.104:19387 TLS Auth Error: --client-config-dir authentication failed for common name 'razdolje' file='/etc/openvpn/clients/razdolje'

а что в /etc/openvpn/clients/razdolje ?

~~xtraeft~~ ★★☆☆
(26.09.12 11:35:11 MSK)

Ссылка

Ответ на: комментарий от captd 26.09.12 11:08:08 MSK

Еще стоит обратить внимание на

Tue Sep 25 17:07:28 2012 us=594426 WARNING: potential TUN/TAP adapter subnet conflict between local LAN [192.168.7.0/255.255.255.0] and remote VPN [192.168.7.193/255.255.255.255]

Acceptor ★★
(26.09.12 12:03:37 MSK)

Ответ на: комментарий от Acceptor 26.09.12 12:03:37 MSK

в razdolje прописаны route, но я их все закомментировал для проверки, ошибку победил отключив параметр ccd-exclusive в server.conf, после этого стало подключаться, но не идут пинги до сервера VPN пингуется только выданный клиенту ип адрес, пока разбираюсь.

captd
(26.09.12 12:22:37 MSK) автор топика

Ответ на: комментарий от captd 26.09.12 12:22:37 MSK

Еще раз хочу обратить внимание на то что у тебя подсети та в которую попадаешь подключившись к openvpn, и та в которой клиентский комп - одинаковые. При Подключении клиента надо посмотреть какие получаются ip route.

итого ip route после установления связи с openVPN в студию.

в razdolje прописаны route, но я их все закомментировал для проверки,

что за бред? в этом конфиге обычно прописывается статический ip адрес клиента. примерно в таком виде:

ifconfig-push xxx.xxx.xxx.xxx 255.255.255.0

Acceptor ★★
(26.09.12 13:18:28 MSK)

Ответ на: комментарий от captd 26.09.12 12:22:37 MSK

а еще лучше - изменить подсеть OpenVPN.

Acceptor ★★
(26.09.12 13:51:59 MSK)

Ссылка

Ответ на: комментарий от Acceptor 26.09.12 13:18:28 MSK

IP Route

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрик
          0.0.0.0          0.0.0.0     192.168.7.33     192.168.7.34     20
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.7.0    255.255.255.0         On-link      192.168.7.34    276
     192.168.7.34  255.255.255.255         On-link      192.168.7.34    276
    192.168.7.192  255.255.255.224    192.168.7.197    192.168.7.198     30
    192.168.7.196  255.255.255.252         On-link     192.168.7.198    286
    192.168.7.198  255.255.255.255         On-link     192.168.7.198    286
    192.168.7.199  255.255.255.255         On-link     192.168.7.198    286
    192.168.7.255  255.255.255.255         On-link      192.168.7.34    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.7.34    276
        224.0.0.0        240.0.0.0         On-link     192.168.7.198    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.7.34    276
  255.255.255.255  255.255.255.255         On-link     192.168.7.198    286
===========================================================================

Содержание файла razdolje:

ifconfig-push 192.168.7.197 192.168.7.198
push "route 192.168.7.0 255.255.255.224"
push "redirect-gateway"
push "dhcp-option DNS 192.168.78.250"

captd
(26.09.12 14:12:10 MSK) автор топика

Ответ на: комментарий от captd 26.09.12 14:12:10 MSK

При подключении к vpn ip адрес с маской назначается клиентской машине от «балды», хотя в файла razdolje указано ifconfig-push 192.168.7.197 192.168.7.198, может на это влияет опция ccd-exclusive?

captd
(26.09.12 16:37:39 MSK) автор топика

Ответ на: комментарий от captd 26.09.12 16:37:39 MSK

ну как-то так тут и написано https://sites.google.com/site/kirillrst/home/openvpn

Acceptor ★★
(27.09.12 08:22:36 MSK)

Ссылка

Ответ на: комментарий от captd 26.09.12 14:12:10 MSK

у тебя дефолтный gate, если не ошибаюсь:

 0.0.0.0          0.0.0.0     192.168.7.33     192.168.7.34     20

а должен быть 192.168.7.192, тода всё запингуется.

Acceptor ★★
(27.09.12 08:25:04 MSK)

Ссылка

Ответ на: комментарий от captd 26.09.12 14:12:10 MSK

В серверном конфиге в параметре server попробуй указать 'server 10.1.20.0 255.255.255.0' а в файле razdolje - ifconfig-push 10.1.20.54 255.255.255.0

должно все работать как часы.

Acceptor ★★
(27.09.12 08:28:42 MSK)

Ответ на: комментарий от Acceptor 27.09.12 08:28:42 MSK

Хорошо попробую, дело в том что похоже файлик razdolje не цепляется openvpn сервером, в нем я изменял ип адреса, но при подключении он всеравно ставит не те, которые указанны в файле razdolje ifconfig-push.

captd
(27.09.12 09:29:26 MSK) автор топика

Ответ на: комментарий от captd 27.09.12 09:29:26 MSK

пару раз с таким сталкивался, помогала повторная генерация пользовательского сертификата. только не следует генерировать сертификат с таким же именем пользователя, в твоём случае попробуй сгенерировать сертификат razdolje1, соответственно создай файл /etc/openvpn/clients/razdolje1.

Acceptor ★★
(27.09.12 10:56:24 MSK)

Ответ на: комментарий от Acceptor 27.09.12 10:56:24 MSK

Создал новый сертификат test и конфигурационный файл нему, настройки стали подключаться. Шлюз стал openvpn сервер, пинг до подсети 192.168.7.0 / 255.255.255.224 пошел. Но не идет пинг на другие подсети например 192.168.0.0 / 255.255.255.0.

В файле test2 указываю push route 192.168.0.0 255.255.255.0, в route print маршрут появляется, по команде tracert 192.168.0.1 1: идет шлюз openvpn, а далее идет превышение интервала ожидания.

Вывод команды route -n сервера OpenVPN

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.1.20.1       0.0.0.0         255.255.255.255 UH    0      0        0 tun0
172.31.254.34   0.0.0.0         255.255.255.255 UH    0      0        0 tun1
192.168.78.19   172.32.254.34   255.255.255.255 UGH   0      0        0 tun1
192.168.78.21   172.32.254.34   255.255.255.255 UGH   0      0        0 tun1
192.168.7.224   0.0.0.0         255.255.255.252 U     0      0        0 eth2
192.168.78.240  172.32.254.34   255.255.255.240 UG    0      0        0 tun1
192.168.7.0     0.0.0.0         255.255.255.224 U     0      0        0 eth0
192.168.7.0     10.1.20.1       255.255.255.0   UG    0      0        0 tun0
192.168.4.0     172.32.254.34   255.255.255.0   UG    0      0        0 tun1
192.168.0.0     172.32.254.34   255.255.255.0   UG    0      0        0 tun1
10.1.20.0       10.1.20.1       255.255.255.0   UG    0      0        0 tun0
172.32.254.0    172.32.254.34   255.255.254.0   UG    0      0        0 tun1
0.0.0.0         192.168.7.226   0.0.0.0         UG    0      0        0 eth2

captd
(28.09.12 13:17:27 MSK) автор топика

Ответ на: комментарий от captd 28.09.12 13:17:27 MSK

test2 - Это что за файл такой? (имя файла в директории /etc/openvpn/clients обязательно должно совпадать с названием сертификата)

Если ты хочешь передать клиенту маршруты автоматом, то пиши в конфиге сервера

push "route 192.168.0.0 255.255.255.0"

Acceptor ★★
(28.09.12 13:41:00 MSK)

Ответ на: комментарий от Acceptor 28.09.12 13:41:00 MSK

test2 это файл конфигурации клиента test2, я создал новый ключ, push route я указал, но пинги до указанной сети все равно не идут.

captd
(28.09.12 14:36:48 MSK) автор топика

Ответ на: комментарий от captd 28.09.12 14:36:48 MSK

Создал новый сертификат test и конфигурационный файл нему

test2 это файл конфигурации клиента test2

как то нескладно получается. Какое в результате имя у клиента?

push route я указал,

Где? в серверном конфиге?

а что за интерфейс tun1, кстати?

В sysctrl:

net.ipv4.ip_forward=1

установлено? :)

Acceptor ★★
(28.09.12 17:01:03 MSK)

Ответ на: комментарий от Acceptor 28.09.12 17:01:03 MSK

Да форвардинг установлен, tun1 это впн к другому серваку, подозреваю что в фаервал на сервере нужно правила добавлять, если выставляешь основным шлюзом впн, то перестает инет работать.

captd
(30.09.12 19:22:44 MSK) автор топика

Ответ на: комментарий от captd 30.09.12 19:22:44 MSK

да push route указан на сервере в файле test2

captd
(30.09.12 19:23:52 MSK) автор топика

Ответ на: комментарий от captd 30.09.12 19:23:52 MSK

Вообщем ситуация сейчас такая: Есть 2 Openvpn сервера, OpenVPN1 - сервер, за которым находится подсеть 192.168.0.0.24, OpenVPN2 - сервер за которым находится подключаемый клиент с подсетью 10.1.20.0/24

OpenVPN2 связывается с OpenVPN1 посредством впн туннеля (клиент-сервер) конфг файл клиента расположен на OpenVPN2, который подключается к OpenVPN1 серверу. Оба друг друга видят и подсети. При подключении клиента к OpenVPN2, он видит подсеть только OpenVPN2(192.168.7.0/27), а подсеть 192.168.0.0/24, которая находится за OpenVPN1, он не видит, подскажите куда копать, фаервал на сервере OpenVPN2 ?

captd
(01.10.12 12:57:04 MSK) автор топика

Ответ на: комментарий от captd 01.10.12 12:57:04 MSK

Всё разобрался, добавил нужный маршрут route на впн сервере 1 и пинги пошли. Теперь другая проблема, не пингуется сеть за клиентом, причем если клиент подключен через XP, то сеть пингуется, а если через Win7?, пинги не идут, брандмауэр отключил, все равно не помогло, кто-нибудь сталкивался с такой проблемой?

captd
(04.10.12 09:19:31 MSK) автор топика

Ответ на: комментарий от captd 04.10.12 09:19:31 MSK

Проблему решил, оказалось не была включена служба маршрутизации на клиентской машине.

captd
(11.10.12 07:45:01 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Есть альтернатива X, чтоб удаленно пробросить GUI.

Admin

nginx proxy

→

Похожие темы