LINUX.ORG.RU
решено ФорумGeneral

OPENVPN проблемы

 


0

2

Здравствуйте. Мой интернет-провайдер блокирует почти все порты, что даже wmk запустить нельзя. Я попробовал решить эту проблему, подняв VPN сервер на облаке от селектела в Питере. Всё прошло успешно, но со временем меня перестал устраивать пинг (начал играть в онлайн-игрушки). Т.к. сам я с Подмосковья, то решил взять VDS к себе поближе у FirstdVDS, но вот VPN там почему-то подниматься совсем не хочет...

Всё, как и с селектелом, делаю по этому ману - http://howitmake.ru/blog/ubuntu/110.html

Но получаю ошибку при коннекте: 

Sat Jun 14 21:48:10 2014 OpenVPN 2.3.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Jun  5 2014
Sat Jun 14 21:48:10 2014 library versions: OpenSSL 1.0.1h 5 Jun 2014, LZO 2.05
Sat Jun 14 21:48:10 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Sat Jun 14 21:48:10 2014 Need hold release from management interface, waiting...
Sat Jun 14 21:48:11 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Sat Jun 14 21:48:11 2014 MANAGEMENT: CMD 'state on'
Sat Jun 14 21:48:11 2014 MANAGEMENT: CMD 'log all on'
Sat Jun 14 21:48:11 2014 MANAGEMENT: CMD 'hold off'
Sat Jun 14 21:48:11 2014 MANAGEMENT: CMD 'hold release'
Sat Jun 14 21:48:11 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Jun 14 21:48:11 2014 Attempting to establish TCP connection with [AF_INET]180.120.253.239:1194
Sat Jun 14 21:48:11 2014 MANAGEMENT: >STATE:1402768091,TCP_CONNECT,,,
Sat Jun 14 21:48:32 2014 TCP: connect to [AF_INET]180.120.253.239:1194 failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)
Sat Jun 14 21:48:37 2014 MANAGEMENT: >STATE:1402768117,TCP_CONNECT,,,

Никакого понятия не имею, что не так... Просто не коннектит и всё! Конфиг сервера: 

#Порт для подключения, стандартный 1194, но вы можете выбрать тот который больше нравится
port 1194
#Тип соединения TCP или UDP
proto tcp
#Тин тоннеля
dev tun 
#Список сертификатов
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
# При подключении мы будем попадать в эту сеть
server 192.168.100.0 255.255.255.0
#Сохраняем выдаенные адреса клиентов в файл
ifconfig-pool-persist ipp.txt
#Проверяем состояние канала
keepalive 20 120 
#использовать сжатие
comp-lzo 
persist-key
persist-tun
#включаем логирование 
status openvpn-status.log 
#уровень логирования 
verb 3
#Определяем наш OpenVPN сервер в качестве шлюза по умолчанию
push "redirect-gateway" 
#Разрешаем соединения между клиентами
client-to-client
#добавляем маршруты
route 192.168.100.0 255.255.255.0
#Указываем DNS сервер
push "dhcp-option 8.8.8.8"

Конфиг клиента: 

##############################################
# Sample client-side OpenVPN 2.0 config file #
# for connecting to multi-client server.     #
#                                            #
# This configuration can be used by multiple #
# clients, however each client should have   #
# its own cert and key files.                #
#                                            #
# On Windows, you might want to rename this  #
# file so it has a .ovpn extension           #
##############################################

# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
client

# Use the same setting as you are using on
# the server.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
;dev tap
dev tun

# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one.  On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap

# Are we connecting to a TCP or
# UDP server?  Use the same setting as
# on the server.
proto tcp
;proto udp

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote 180.120.253.239 1194
;remote my-server-2 1194

# Choose a random host from the remote
# list for load-balancing.  Otherwise
# try hosts in the order specified.
;remote-random

# Keep trying indefinitely to resolve the
# host name of the OpenVPN server.  Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
resolv-retry infinite

# Most clients don't need to bind to
# a specific local port number.
nobind

# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nobody

# Try to preserve some state across restarts.
persist-key
persist-tun

# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here.  See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# Wireless networks often produce a lot
# of duplicate packets.  Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# SSL/TLS parms.
# See the server config file for more
# description.  It's best to use
# a separate .crt/.key file pair
# for each client.  A single ca
# file can be used for all clients.
ca ca.crt
cert ice.crt
key ice.key

# Verify server certificate by checking
# that the certicate has the nsCertType
# field set to "server".  This is an
# important precaution to protect against
# a potential attack discussed here:
#  http://openvpn.net/howto.html#mitm
#
# To use this feature, you will need to generate
# your server certificates with the nsCertType
# field set to "server".  The build-key-server
# script in the easy-rsa folder will do this.
ns-cert-type server

# If a tls-auth key is used on the server
# then every client must also have the key.
;tls-auth ta.key 1

# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
;cipher x

# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
comp-lzo

# Set log file verbosity.
verb 3

# Silence repeating messages
;mute 20



Последнее исправление: cetjs2 (всего исправлений: 1)
march, mtune для Intel Pentium 2020M
samba, права на изменение файла
1 2
Ответ на: комментарий от SWAROVSKI

Свой сервер поднимать? Или клиент? Если клиент, то настрой NAT.

В /etc/sysctl.conf добавляешь 

net.ipv4.ip_forward=1
, выполняешь sysctl -p, далее 

iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

eth0 — внешний интерфейс виртуалки, через который она в интернет ходит.

Делаешь правила постоянными. Либо iptables-save > файл и далее iptables-restore < файл (пихаешь её в /etc/rc.local, например), или ставишь iptables-persistent, и делаешь service iptables-persistent save.

Вроде ничего не забыл.

Если заработает, то в iptables лучше что-то типа такого:

iptables -P FORWARD DROP
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
Ttt ☆☆☆☆☆
()
Последнее исправление: Ttt (всего исправлений: 2)
Ответ на: комментарий от xtraeft

Ну о чём я и говорю, у него на клиенте будет локальный ip-адрес из той подсети, которую в openvpn указал.

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от Ttt

Это понятно все, тем более он уже настраивал на другом вдс.
Ждем лог клиента, будет понятно в чем там проблема.

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

А есть ли проблема? Если интернета нет, то, вероятно, маскарад не настроил. Вроде не писал про то, что настраивал.

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от xtraeft

Вот лог клиента:

Sun Jun 15 20:02:20 2014 OpenVPN 2.3.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Jun  5 2014
Sun Jun 15 20:02:20 2014 library versions: OpenSSL 1.0.1h 5 Jun 2014, LZO 2.05
Sun Jun 15 20:02:20 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Sun Jun 15 20:02:20 2014 Need hold release from management interface, waiting...
Sun Jun 15 20:02:20 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Sun Jun 15 20:02:20 2014 MANAGEMENT: CMD 'state on'
Sun Jun 15 20:02:20 2014 MANAGEMENT: CMD 'log all on'
Sun Jun 15 20:02:20 2014 MANAGEMENT: CMD 'hold off'
Sun Jun 15 20:02:20 2014 MANAGEMENT: CMD 'hold release'
Sun Jun 15 20:02:20 2014 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun Jun 15 20:02:20 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Jun 15 20:02:20 2014 Attempting to establish TCP connection with [AF_INET]188.120.253.239:443
Sun Jun 15 20:02:20 2014 MANAGEMENT: >STATE:1402848140,TCP_CONNECT,,,
Sun Jun 15 20:02:20 2014 TCP connection established with [AF_INET]188.120.253.239:443
Sun Jun 15 20:02:20 2014 TCPv4_CLIENT link local: [undef]
Sun Jun 15 20:02:20 2014 TCPv4_CLIENT link remote: [AF_INET]188.120.253.239:443
Sun Jun 15 20:02:20 2014 MANAGEMENT: >STATE:1402848140,WAIT,,,
Sun Jun 15 20:02:20 2014 MANAGEMENT: >STATE:1402848140,AUTH,,,
Sun Jun 15 20:02:20 2014 TLS: Initial packet from [AF_INET]188.120.253.239:443, sid=aa540600 edd826dc
Sun Jun 15 20:02:21 2014 VERIFY OK: depth=1, C=RU, ST=MS, L=Moscow, O=Isgaming, OU=changeme, CN=changeme, name=changeme, emailAddress=theicelander88@gmail.com
Sun Jun 15 20:02:21 2014 VERIFY OK: depth=0, C=RU, ST=MS, L=Moscow, O=Isgaming, OU=changeme, CN=changeme, name=changeme, emailAddress=theicelander88@gmail.com
Sun Jun 15 20:02:21 2014 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Jun 15 20:02:21 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Jun 15 20:02:21 2014 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Jun 15 20:02:21 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Jun 15 20:02:21 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sun Jun 15 20:02:21 2014 [changeme] Peer Connection Initiated with [AF_INET]188.120.253.239:443
Sun Jun 15 20:02:22 2014 MANAGEMENT: >STATE:1402848142,GET_CONFIG,,,
Sun Jun 15 20:02:23 2014 SENT CONTROL [changeme]: 'PUSH_REQUEST' (status=1)
Sun Jun 15 20:02:24 2014 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway,dhcp-option 8.8.8.8,route 192.168.100.0 255.255.255.0,topology net30,ping 20,ping-restart 120,ifconfig 192.168.100.6 192.168.100.5'
Sun Jun 15 20:02:24 2014 Options error: --dhcp-option: unknown option type '8.8.8.8' or missing parameter
Sun Jun 15 20:02:24 2014 OPTIONS IMPORT: timers and/or timeouts modified
Sun Jun 15 20:02:24 2014 OPTIONS IMPORT: --ifconfig/up options modified
Sun Jun 15 20:02:24 2014 OPTIONS IMPORT: route options modified
Sun Jun 15 20:02:24 2014 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sun Jun 15 20:02:24 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sun Jun 15 20:02:24 2014 MANAGEMENT: >STATE:1402848144,ASSIGN_IP,,192.168.100.6,
Sun Jun 15 20:02:24 2014 open_tun, tt->ipv6=0
Sun Jun 15 20:02:24 2014 TAP-WIN32 device [Подключение по локальной сети 2] opened: \\.\Global\{EE6BAF0A-915D-4805-A590-F2ED5893E719}.tap
Sun Jun 15 20:02:24 2014 TAP-Windows Driver Version 9.9 
Sun Jun 15 20:02:24 2014 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.100.6/255.255.255.252 on interface {EE6BAF0A-915D-4805-A590-F2ED5893E719} [DHCP-serv: 192.168.100.5, lease-time: 31536000]
Sun Jun 15 20:02:24 2014 Successful ARP Flush on interface [17] {EE6BAF0A-915D-4805-A590-F2ED5893E719}
Sun Jun 15 20:02:29 2014 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up
Sun Jun 15 20:02:29 2014 C:\Windows\system32\route.exe ADD 188.120.253.239 MASK 255.255.255.255 192.168.0.1
Sun Jun 15 20:02:29 2014 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Sun Jun 15 20:02:29 2014 Route addition via IPAPI succeeded [adaptive]
Sun Jun 15 20:02:29 2014 C:\Windows\system32\route.exe DELETE 0.0.0.0 MASK 0.0.0.0 192.168.0.1
Sun Jun 15 20:02:29 2014 Route deletion via IPAPI succeeded [adaptive]
Sun Jun 15 20:02:29 2014 C:\Windows\system32\route.exe ADD 0.0.0.0 MASK 0.0.0.0 192.168.100.5
Sun Jun 15 20:02:29 2014 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Sun Jun 15 20:02:29 2014 Route addition via IPAPI succeeded [adaptive]
Sun Jun 15 20:02:29 2014 MANAGEMENT: >STATE:1402848149,ADD_ROUTES,,,
Sun Jun 15 20:02:29 2014 C:\Windows\system32\route.exe ADD 192.168.100.0 MASK 255.255.255.0 192.168.100.5
Sun Jun 15 20:02:29 2014 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Sun Jun 15 20:02:29 2014 Route addition via IPAPI succeeded [adaptive]
Sun Jun 15 20:02:29 2014 Initialization Sequence Completed
Sun Jun 15 20:02:29 2014 MANAGEMENT: >STATE:1402848149,CONNECTED,SUCCESS,192.168.100.6,188.120.253.239
SWAROVSKI
() автор топика
Ответ на: комментарий от SWAROVSKI

Раньше мне присваивался тот IP, который и у VDS.

Что, в ipconfig был IP VDS? Что-то не сильно уверен, что такое возможно. Ты тогда просто до VDS не достучишься после поднятия туннеля, весь трафик будет идти на локалхост.

Да, если ты через vds зайдёшь на 2ip.ru, то у тебя будет там отображаться IP VDS-ки.

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от Ttt

Да, если ты через vds зайдёшь на 2ip.ru, то у тебя будет там отображаться IP VDS-ки.

Вот именно это мне сейчас и нужно.

Потому что сейчас, подключившись к OpenVPN, я даже не могу сёрфить по и-нету.

SWAROVSKI
() автор топика
Ответ на: комментарий от SWAROVSKI

Учись нормально задавать вопросы и описывать проблему.
Тебе нужно настроить маскарад трафика. Пример того, как это сделать - писал выше Ttt.

xtraeft ★★☆☆
()
Ответ на: комментарий от SWAROVSKI

Так я тебе расписал действия. sysctl, iptables. И убедись, что маршрут прописался (route -print вроде, у вас там всё не как у людей).

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от Ttt 
В /etc/sysctl.conf добавляешь

net.ipv4.ip_forward=1
, выполняешь sysctl -p, далее
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
eth0 — внешний интерфейс виртуалки, через который она в интернет ходит.

Вот это сделал. Перезапустил openvpn - всё равно присваивает не внешний айпи...

SWAROVSKI
() автор топика
Ответ на: комментарий от SWAROVSKI

Купи админа за 10 баксов уже или опиши проблему от и до ВНЯТНО и ПОДРОБНО.

xtraeft ★★☆☆
()
Ответ на: комментарий от SWAROVSKI

Тебе же уже сказали. Не должен присваиваться внешний айпи. В интернет сейчас можешь через VPN ходить? Зайди после поднятия vpn На 2ip.ru.

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от Ttt

Вот, в том-то и дело, что не могу. Не заходит ни куда.

OpenVPN GUI пишет, что подключение успешно, сне присвоено адресс 192.168.1.6

SWAROVSKI
() автор топика
Ответ на: комментарий от xtraeft

Ну вдруг маршрут не прописался или связи с сервером нет.

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от xtraeft

Да, он неправильно указал, для ТС объясняю, что вместо push «dhcp-option 8.8.8.8» нужно push «dhcp-option DNS 8.8.8.8»

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от Ttt

Ну скорее всего из за этого и не работает, может не резолвится ниче.
Ждем подробного описания проблемы =)

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

ifconfig

# ifconfig
eth0      Link encap:Ethernet  HWaddr 52:54:00:1a:45:1d
          inet addr:188.120.253.239  Bcast:188.120.253.255  Mask:255.255.255.0
          inet6 addr: fe80::5054:ff:fe1a:451d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3440368 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6170 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:208988277 (208.9 MB)  TX bytes:1236061 (1.2 MB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:192.168.100.1  P-t-P:192.168.100.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:179 errors:0 dropped:0 overruns:0 frame:0
          TX packets:173 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:82965 (82.9 KB)  TX bytes:37091 (37.0 KB)

iptables -t nat -L

# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  192.168.100.0/24     anywhere
MASQUERADE  all  --  anywhere             anywhere
MASQUERADE  all  --  anywhere             anywhere
SWAROVSKI
() автор топика
Ответ на: комментарий от SWAROVSKI

Всё норм пингуется. (при неподключенной VPN)

Ты издеваешься?:) Зачем делать при неподключенном впн? Подключи впн и пингани 8.8.8.8

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

ЗАРАБОТАЛО

Извиняюсь, что терзал Вас своими глупыми вопросами, ВСЁ ЗАРАБОТАЛО!

а, он неправильно указал, для ТС объясняю, что вместо push «dhcp-option 8.8.8.8» нужно push «dhcp-option DNS 8.8.8.8»

Вот это помогло.

Спасибо большое ребятам, которые помогли.

SWAROVSKI
() автор топика
Ответ на: ЗАРАБОТАЛО от SWAROVSKI

Да это мы как-то пропустили сразу эту ошибку в логе.

xtraeft ★★☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
march, mtune для Intel Pentium 2020M
General
samba, права на изменение файла