client-config-dir

XMs ★★★★★
(27.11.18 17:46:49 MSK)

Ответ на: комментарий от XMs 27.11.18 17:46:49 MSK

Привет

cat /etc/openvpn/ccd/user2
ifconfig-push 10.8.2.1 10.8.2.2

Получается, если конченый пользователь подключится, то все первый коннект потеряют коннект(хотя явно это ни где в логах нет)

or_die
(27.11.18 17:54:33 MSK) автор топика

Ответ на: Привет от or_die 27.11.18 17:54:33 MSK

А ты не с первого выдавай, а, например, с пятого

XMs ★★★★★
(27.11.18 17:56:20 MSK)

Ответ на: комментарий от XMs 27.11.18 17:56:20 MSK

Неа, не получается.

Конфиг клиента в ccd на сервере

cat /etc/openvpn/ccd/cl2

ifconfig-push 10.8.2.5 10.8.2.6

А вот конфиг сервера

cat /etc/openvpn/server.conf

port 1194
proto udp
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
#topology subnet
client-config-dir ccd
duplicate-cn
server 10.8.0.0 255.255.255.0
route 10.8.2.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "redirect-gateway def1 bypass-dhcp"
dh none
ecdh-curve prime256v1
tls-crypt tls-crypt.key 0
crl-verify crl.pem
ca ca.crt
cert server_6BNZpOppAITVyiwM.crt
key server_6BNZpOppAITVyiwM.key
auth SHA256
cipher AES-128-GCM
ncp-ciphers AES-128-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
status /var/log/openvpn/status.log
verb 3

Когда последний пользователь подключается, у него все работает ,а у первого пропадает связь с внешней сетью.

or_die
(28.11.18 02:42:41 MSK) автор топика

Ответ на: комментарий от or_die 28.11.18 02:42:41 MSK

Если я правильно понял, у тебя в клиентских конфигах не указано, как определять, кто есть кто. Вангую, что проблема в этом. Сейчас не укажу, как это делается, но постараюсь не забыть сделать это днём

XMs ★★★★★
(28.11.18 02:46:12 MSK)

Ответ на: комментарий от XMs 28.11.18 02:46:12 MSK

Буду очень сильно благодарен ! )

or_die
(28.11.18 02:51:09 MSK) автор топика

Ответ на: комментарий от or_die 28.11.18 02:51:09 MSK

Как у тебя происходит авторизация пользователей? Логин/пароль, ключи, сертификаты?

XMs ★★★★★
(28.11.18 08:23:29 MSK)

Ссылка

Ответ на: комментарий от or_die 28.11.18 02:51:09 MSK

Просто в мане (ты же его читал?) сказано буквально следующее:

man openvpn
After a connecting client has been authenticated, OpenVPN will look in this directory for a file having the same name as the client's X509 common name

XMs ★★★★★
(28.11.18 08:29:45 MSK)

Ответ на: комментарий от XMs 28.11.18 08:29:45 MSK

Получается, нужно переделать авторизацию по логину и паролю ?

or_die
(28.11.18 08:50:00 MSK) автор топика

Ответ на: комментарий от XMs 28.11.18 08:29:45 MSK

На данный момент, я подключаюсь так

Файл cl2.ovpn

client
proto udp
remote %server_ip% 1194
dev tun
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
verify-x509-name server_6BNZpOppAITVyiwM name
auth SHA256
auth-nocache
cipher AES-128-GCM
tls-client
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
setenv opt block-outside-dns # Prevent Windows 10 DNS leak
verb 3
<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
MIGHAgEAMBMGByqGSM49AgEGCCqGSM49AwEHBG0wawIBAQQgfsWFMGorfJZSjY7p
j1GQox7JbPkw9/h77mbFakJqw9ihRANCAASIJchprgjUqF+ES17kmk9Yq9MVGX+9
OyuMDWoNFoF1VLOjqFtNJ7ztWPpaE43yNgOppJg5YJgplJMKGT4MER6D
-----END PRIVATE KEY-----
</key>
<tls-crypt>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
44fe792621730112843ee67c6ac24a10
9c85cdd080393af4f2c0326a2e759c1f
ac1ebfa0b53f236813fa93f2edecb69c
39434c8bfb4388fffa73b2317269d0c6
5ba6588a8f44bc3271b4fbd148bd447f
68f28775d2010a8de27b90d8eeef2ab9
fb12860d57d41065d4ba5c180e428b2e
f100e6e6a34082c5ef0e47ec93c45dfc
47d608f03e12a797901676cfd23c99b9
49b09b729be9b4417194c199e19b734b
df1737db480e8b752487582b8e59510e
714c8fbf3ea47dc7273ca1d577774897
d84fe4bc6af219acbf97442e0ee49da5
0d3096a4c9a4e78957f9acd36680543d
6ae1be4c2ca12522a368f0beaeafceda
60b78caf0247356522c756bed00a06ae
-----END OpenVPN Static key V1-----
</tls-crypt>

or_die
(28.11.18 09:13:33 MSK) автор топика

Ответ на: комментарий от or_die 28.11.18 09:13:33 MSK

А клиента создавал через этот скрипт

https://github.com/angristan/openvpn-install

or_die
(28.11.18 09:16:34 MSK) автор топика

Ссылка

Ответ на: комментарий от or_die 28.11.18 02:42:41 MSK

duplicate-cn

зачем?

conalex ★★★
(28.11.18 10:00:02 MSK)

Ответ на: комментарий от conalex 28.11.18 10:00:02 MSK

Пытаюсь сделать авторизацию более одного клиента по одному клиентскому конфигу. Можно сказать , пытаюсь пустить его в подгруппу пользователей, у которой должна быть своя подсеть.

И не могу понять , как это все реализовать

or_die
(28.11.18 10:09:43 MSK) автор топика

Ссылка

Ответ на: комментарий от or_die 28.11.18 08:50:00 MSK

Получается, нужно переделать авторизацию по логину и паролю ?

В смысле? Если ты сейчас подключаешься по сертификату — нет, ничего с этим делать не нужно.

-----BEGIN PRIVATE KEY-----

Вот именно поэтому не стоит пользоваться всякими говноскриптами, а стоит прочитать ман и делать всё руками. Ты засветил приватный ключ.

Добавь к конфигу сервера log /var/log/openvpn.log, перезапусти, попробуй подключиться. Как сделаешь — выложи получившийся лог

XMs ★★★★★
(28.11.18 11:20:08 MSK)

Ответ на: комментарий от XMs 28.11.18 11:20:08 MSK

Сначала подключаю одного клиента, потом другого.

root@ubuntu-2gb-hel1-1:/var/log# cat openvpn.log
Wed Nov 28 10:13:11 2018 OpenVPN 2.4.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Sep  5 2018
Wed Nov 28 10:13:11 2018 library versions: OpenSSL 1.1.0g  2 Nov 2017, LZO 2.08
Wed Nov 28 10:13:11 2018 WARNING: using --duplicate-cn and --client-config-dir together is probably not what you want
Wed Nov 28 10:13:11 2018 WARNING: --ifconfig-pool-persist will not work with --duplicate-cn
Wed Nov 28 10:13:11 2018 ECDH curve prime256v1 added
Wed Nov 28 10:13:11 2018 Outgoing Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
Wed Nov 28 10:13:11 2018 Outgoing Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Wed Nov 28 10:13:11 2018 Incoming Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
Wed Nov 28 10:13:11 2018 Incoming Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Wed Nov 28 10:13:11 2018 ROUTE_GATEWAY 172.31.1.1
Wed Nov 28 10:13:11 2018 TUN/TAP device tun0 opened
Wed Nov 28 10:13:11 2018 TUN/TAP TX queue length set to 100
Wed Nov 28 10:13:11 2018 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Wed Nov 28 10:13:11 2018 /sbin/ip link set dev tun0 up mtu 1500
Wed Nov 28 10:13:11 2018 /sbin/ip addr add dev tun0 local 10.8.0.1 peer 10.8.0.2
Wed Nov 28 10:13:11 2018 /sbin/ip route add 10.8.2.0/24 via 10.8.0.2
Wed Nov 28 10:13:11 2018 /sbin/ip route add 10.8.0.0/24 via 10.8.0.2
Wed Nov 28 10:13:11 2018 Could not determine IPv4/IPv6 protocol. Using AF_INET
Wed Nov 28 10:13:11 2018 Socket Buffers: R=[212992->212992] S=[212992->212992]
Wed Nov 28 10:13:11 2018 UDPv4 link local (bound): [AF_INET][undef]:1194
Wed Nov 28 10:13:11 2018 UDPv4 link remote: [AF_UNSPEC]
Wed Nov 28 10:13:11 2018 GID set to nogroup
Wed Nov 28 10:13:11 2018 UID set to nobody
Wed Nov 28 10:13:11 2018 MULTI: multi_init called, r=256 v=256
Wed Nov 28 10:13:11 2018 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Wed Nov 28 10:13:11 2018 IFCONFIG POOL LIST
Wed Nov 28 10:13:11 2018 Initialization Sequence Completed
Wed Nov 28 10:13:32 2018 178.90.196.90:61941 TLS: Initial packet from [AF_INET]178.90.196.90:61941, sid=a13ed6cc fbf43b0e
Wed Nov 28 10:13:32 2018 178.90.196.90:61941 VERIFY OK: depth=1, CN=cn_diwoGfYAyRF2fPBP
Wed Nov 28 10:13:32 2018 178.90.196.90:61941 VERIFY OK: depth=0, CN=cl2
Wed Nov 28 10:13:32 2018 178.90.196.90:61941 peer info: IV_VER=2.4.6
Wed Nov 28 10:13:32 2018 178.90.196.90:61941 peer info: IV_PLAT=win
Wed Nov 28 10:13:32 2018 178.90.196.90:61941 peer info: IV_PROTO=2
Wed Nov 28 10:13:32 2018 178.90.196.90:61941 peer info: IV_NCP=2
Wed Nov 28 10:13:32 2018 178.90.196.90:61941 peer info: IV_LZ4=1
Wed Nov 28 10:13:32 2018 178.90.196.90:61941 peer info: IV_LZ4v2=1
Wed Nov 28 10:13:32 2018 178.90.196.90:61941 peer info: IV_LZO=1
Wed Nov 28 10:13:32 2018 178.90.196.90:61941 peer info: IV_COMP_STUB=1
Wed Nov 28 10:13:32 2018 178.90.196.90:61941 peer info: IV_COMP_STUBv2=1
Wed Nov 28 10:13:32 2018 178.90.196.90:61941 peer info: IV_TCPNL=1
Wed Nov 28 10:13:32 2018 178.90.196.90:61941 peer info: IV_GUI_VER=OpenVPN_GUI_11
Wed Nov 28 10:13:32 2018 178.90.196.90:61941 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-ECDSA-AES128-GCM-SHA256, 256 bit EC, curve: prime256v1
Wed Nov 28 10:13:32 2018 178.90.196.90:61941 [cl2] Peer Connection Initiated with [AF_INET]178.90.196.90:61941
Wed Nov 28 10:13:32 2018 cl2/178.90.196.90:61941 OPTIONS IMPORT: reading client specific options from: ccd/cl2
Wed Nov 28 10:13:32 2018 cl2/178.90.196.90:61941 MULTI: Learn: 10.8.2.5 -> cl2/178.90.196.90:61941
Wed Nov 28 10:13:32 2018 cl2/178.90.196.90:61941 MULTI: primary virtual IP for cl2/178.90.196.90:61941: 10.8.2.5
Wed Nov 28 10:13:34 2018 cl2/178.90.196.90:61941 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 28 10:13:34 2018 cl2/178.90.196.90:61941 SENT CONTROL [cl2]: 'PUSH_REPLY,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,redirect-gateway def1 bypass-dhcp,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.2.5 10.8.2.6,peer-id 0,cipher AES-128-GCM' (status=1)
Wed Nov 28 10:13:34 2018 cl2/178.90.196.90:61941 Outgoing Data Channel: Cipher 'AES-128-GCM' initialized with 128 bit key
Wed Nov 28 10:13:34 2018 cl2/178.90.196.90:61941 Incoming Data Channel: Cipher 'AES-128-GCM' initialized with 128 bit key
Wed Nov 28 10:15:01 2018 178.90.196.90:37914 TLS: Initial packet from [AF_INET]178.90.196.90:37914, sid=0cdd5bfa be5c2840
Wed Nov 28 10:15:01 2018 178.90.196.90:37914 VERIFY OK: depth=1, CN=cn_diwoGfYAyRF2fPBP
Wed Nov 28 10:15:01 2018 178.90.196.90:37914 VERIFY OK: depth=0, CN=cl2
Wed Nov 28 10:15:01 2018 178.90.196.90:37914 peer info: IV_VER=2.4.4
Wed Nov 28 10:15:01 2018 178.90.196.90:37914 peer info: IV_PLAT=linux
Wed Nov 28 10:15:01 2018 178.90.196.90:37914 peer info: IV_PROTO=2
Wed Nov 28 10:15:01 2018 178.90.196.90:37914 peer info: IV_NCP=2
Wed Nov 28 10:15:01 2018 178.90.196.90:37914 peer info: IV_LZ4=1
Wed Nov 28 10:15:01 2018 178.90.196.90:37914 peer info: IV_LZ4v2=1
Wed Nov 28 10:15:01 2018 178.90.196.90:37914 peer info: IV_LZO=1
Wed Nov 28 10:15:01 2018 178.90.196.90:37914 peer info: IV_COMP_STUB=1
Wed Nov 28 10:15:01 2018 178.90.196.90:37914 peer info: IV_COMP_STUBv2=1
Wed Nov 28 10:15:01 2018 178.90.196.90:37914 peer info: IV_TCPNL=1
Wed Nov 28 10:15:01 2018 178.90.196.90:37914 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-ECDSA-AES128-GCM-SHA256, 256 bit EC, curve: prime256v1
Wed Nov 28 10:15:01 2018 178.90.196.90:37914 [cl2] Peer Connection Initiated with [AF_INET]178.90.196.90:37914
Wed Nov 28 10:15:01 2018 cl2/178.90.196.90:37914 OPTIONS IMPORT: reading client specific options from: ccd/cl2
Wed Nov 28 10:15:01 2018 cl2/178.90.196.90:37914 MULTI: Learn: 10.8.2.5 -> cl2/178.90.196.90:37914
Wed Nov 28 10:15:01 2018 cl2/178.90.196.90:37914 MULTI: primary virtual IP for cl2/178.90.196.90:37914: 10.8.2.5
Wed Nov 28 10:15:02 2018 cl2/178.90.196.90:37914 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 28 10:15:02 2018 cl2/178.90.196.90:37914 SENT CONTROL [cl2]: 'PUSH_REPLY,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,redirect-gateway def1 bypass-dhcp,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.2.5 10.8.2.6,peer-id 1,cipher AES-128-GCM' (status=1)
Wed Nov 28 10:15:02 2018 cl2/178.90.196.90:37914 Outgoing Data Channel: Cipher 'AES-128-GCM' initialized with 128 bit key
Wed Nov 28 10:15:02 2018 cl2/178.90.196.90:37914 Incoming Data Channel: Cipher 'AES-128-GCM' initialized with 128 bit key

or_die
(28.11.18 12:20:12 MSK) автор топика

Ответ на: комментарий от or_die 28.11.18 09:13:33 MSK

Я надеюсь, ты не вывалил сюда настоящие ключи?

По теме: какой адрес какому клиенту выдать у тебя в ipp.txt сохраняется. Можешь там указать кому какой адрес выдать.

Сервер сидящий на 10.8.0.1/24 тебе клиентам отдать адреса из 10.9.0.0/24.не сможет.

Либо два сервера поднимай, либо через iptables\nftables ограничивай доступ, если цель разграничить доступ.

Либо я неправильно понял задачу.

mogwai ★★★★★
(28.11.18 12:35:40 MSK)

Ответ на: комментарий от or_die 28.11.18 12:20:12 MSK

Wed Nov 28 10:13:11 2018 WARNING: using --duplicate-cn and --client-config-dir together is probably not what you want

Сервер тоже намекает, что ты что-то не так пытаешься сделать. Опиши изначальную задачу.

mogwai ★★★★★
(28.11.18 12:36:49 MSK)

Ответ на: комментарий от mogwai 28.11.18 12:36:49 MSK

Помогите настроить OpenVPN

XMs ★★★★★
(28.11.18 12:44:40 MSK)

Ответ на: комментарий от XMs 28.11.18 12:44:40 MSK

Зачем для этого два клиента поднимать на сервере? Сервер к бабушкам и дедушкам должен подключаться? У сервера динамический IP, а у бабушек\дедушек - статический? or_die, проясни.

mogwai ★★★★★
(28.11.18 12:57:49 MSK)

Ответ на: комментарий от mogwai 28.11.18 12:35:40 MSK

Спасибо за ответ. Пытаюсь решить следующую задачу

Помогите настроить OpenVPN

Есть VPS с Ubuntu в Германии, не ней крутится OpenVPN сервер, работает отлично, на выходе IP из Германии. Но хотелось бы на этот сервер поставить два OpenVPN клиента (с разными VPN провайдерами, который предоставляют ovpn конфиг, например 1 клиент - RU, 2 - клиент US), так вот, хотелось бы например бабушек из моей семьи перенаправить с сервера на 1 клиента (RU), а дедушек отправить на 2 клиента OpenVPN (US) и самое главное, что бы они ходили через один сервер, который расположен в Германии.

Получается хочу сделать, что то на подобии групп для пользователей

Пару вопросов по OpenVPN

Как сделать, разных пользователей(группы) на разные подсети ? (group_user1 - 10.8.0.0 /24, group_user2 - 10.9.0.0)

Чтобы уже в свою очередь, подсеть завернуть на нужный мне tun1 или tun2 которыми являются openvpn клиентами к vpn провайдерам

or_die
(28.11.18 12:59:42 MSK) автор топика

Ответ на: комментарий от mogwai 28.11.18 12:57:49 MSK

Вот схема, что я пытаюсь сделать.

https://ibb.co/SPh7qbw

or_die
(28.11.18 13:21:57 MSK) автор топика

Ответ на: комментарий от or_die 28.11.18 12:59:42 MSK

Как я понял, тебе надо, чтобы клиенты ходили друг к другу и могли ходить в интернет через твой сервер.

Конфиг сервера примерно такой

port 1194
proto udp
dev tun

key-direction 0
tls-server
tls-timeout 120

cipher AES-256-CBC

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

client-config-dir ccd
client-to-client
topology subnet

keepalive 10 120
comp-lzo

persist-key
persist-tun

mute 20

<ca>
…
</cert>
<key>
…
</key>
<tls-auth>
…
</tls-auth>
<dh>
…
</dh>

клиентский по аналогии

client
dev tun
proto udp

remote <serveraddr> 1194
resolv-retry infinite
float

nobind

keepalive 10 120

persist-key
persist-tun

comp-lzo

cipher AES-256-CBC

tls-client
key-direction 1
remote-cert-tls server

<ca>
…
</ca>
<cert>
…
</cert>
<key>
…</key>
<tls-auth>
…
</tls-auth>

В подсеть 10.8.0.0/24 у тебя клиенты ходить смогут. Если нужно пускать в подсети за клиентами, в конфиг сервера добавляешь по строчке route <subnet> <netmask> на каждую подсеть, которая прячется за клиентами. В ccd файл каждого клиента прописываешь по push "route <subnet> <netmask>" на каждую подсеть, в которую клиент должен ходить через это подключение и по iroute <clientsubnet> <netmask> на каждую подсеть, которая «сидит» за этим клиентом.

Со стороны OpenVPN настройки кончились. Теперь разрешаешь форвард пакетов в ядре sysctl -w net.ipv4.ip_forward=1 (как персистентно сделать нагуглишь). Дальше iptables тебе в руки. Нужно описать какие пакеты от кого и куда принимать, перенаправлять, а какие отбрасывать.

При подключении можно на клиенте, по крайней мере в nm-applet, указать перенаправлять ли весь трафик в vpn, или шлюз по умолчанию не трогать. Но можешь это дело в конфиг сервера или в ccd запихать (нагуглишь, надеюсь).

PS если ты хочешь, чтобы запросы DNS не «утекали», тебе пушить не гугл надо, а поднять свой Bind и пушить его.

mogwai ★★★★★
(28.11.18 13:26:26 MSK)

Ссылка

Ответ на: комментарий от or_die 28.11.18 13:21:57 MSK

Как бабушек с дедушками подключить я тебе написал. Раздаёшь им в ipp.txt адреса. грубо говоря, отдаёшь 51-150 бабушкам, 151-250 — дедушкам.

Дальше файерволу говоришь, что пакеты от бабушек в глобал перенаправлять в tunUS, от дедушек — в tunRU (или кого куда там тебе надо). Можешь отдавать как есть, можешь маскарадить, если нужно спрятать бабушка это, или дедушка.

upd: в твоём случае маскарадить проще. Не потребуется на удалённых VPN серверах настраивать маршруты, для них пакеты будут приходить от их клиента.

mogwai ★★★★★
(28.11.18 13:33:46 MSK)
Последнее исправление: mogwai 28.11.18 13:35:06 MSK (всего исправлений: 1)

Ответ на: комментарий от mogwai 28.11.18 13:33:46 MSK

Спасибо за развернутый ответ! Примерно понял, куда двигаться.

Теперь проблема: не могу сохранить ipp.txt

Редактирую, сохраняю с таким содержанием

cl3,10.8.0.51
cl2,10.8.0.151

после рестарта openvpn сервера, ipp.txt меняется

cl3,10.8.0.2
cl2,10.8.0.3

и при коннекте cl3 IP выдается 10.8.0.2

or_die
(28.11.18 14:12:50 MSK) автор топика

Ответ на: комментарий от or_die 28.11.18 14:12:50 MSK

Либо клиентов отключи, либо сервер останови перед сохранением файла. Не сталкивался с подобной проблемой.

mogwai ★★★★★
(28.11.18 14:23:54 MSK)

Ответ на: комментарий от mogwai 28.11.18 14:23:54 MSK

Помогла остановка сервера.

Теперь ipp.txt

cl3,10.8.0.51
cl2,10.8.0.151

Пытаюсь подключиться одновременно с 2 компьютеров через cl3.ovpn. И та же сама проблема, первый когда подключается - все работает, когда подключается второй, у первого пропадает выход в интернет через OpenVPN , у второго все работает. Явного обрыва соединения у первого клиента не наблюдается.

Вот лог сервера

Wed Nov 28 12:40:59 2018 MULTI_sva: pool returned IPv4=10.8.0.51, IPv6=(Not enabled)
Wed Nov 28 12:40:59 2018 MULTI: Learn: 10.8.0.51 -> cl3/178.90.196.90:63219
Wed Nov 28 12:40:59 2018 MULTI: primary virtual IP for cl3/178.90.196.90:63219: 10.8.0.51
Wed Nov 28 12:41:00 2018 cl3/178.90.196.90:63219 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 28 12:41:00 2018 cl3/178.90.196.90:63219 SENT CONTROL [cl3]: 'PUSH_REPLY,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,redirect-gateway def1 bypass-dhcp,route-gateway 10.8.0.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.8.0.51 255.255.255.0,peer-id 1,cipher AES-128-GCM' (status=1)
Wed Nov 28 12:41:00 2018 cl3/178.90.196.90:63219 Outgoing Data Channel: Cipher 'AES-128-GCM' initialized with 128 bit key
Wed Nov 28 12:41:00 2018 cl3/178.90.196.90:63219 Incoming Data Channel: Cipher 'AES-128-GCM' initialized with 128 bit key
Wed Nov 28 12:43:01 2018 178.90.196.90:50891 TLS: Initial packet from [AF_INET]178.90.196.90:50891, sid=83b900f3 fb83871d
Wed Nov 28 12:43:01 2018 178.90.196.90:50891 VERIFY OK: depth=1, CN=cn_diwoGfYAyRF2fPBP
Wed Nov 28 12:43:01 2018 178.90.196.90:50891 VERIFY OK: depth=0, CN=cl3
Wed Nov 28 12:43:01 2018 178.90.196.90:50891 peer info: IV_VER=2.4.4
Wed Nov 28 12:43:01 2018 178.90.196.90:50891 peer info: IV_PLAT=linux
Wed Nov 28 12:43:01 2018 178.90.196.90:50891 peer info: IV_PROTO=2
Wed Nov 28 12:43:01 2018 178.90.196.90:50891 peer info: IV_NCP=2
Wed Nov 28 12:43:01 2018 178.90.196.90:50891 peer info: IV_LZ4=1
Wed Nov 28 12:43:01 2018 178.90.196.90:50891 peer info: IV_LZ4v2=1
Wed Nov 28 12:43:01 2018 178.90.196.90:50891 peer info: IV_LZO=1
Wed Nov 28 12:43:01 2018 178.90.196.90:50891 peer info: IV_COMP_STUB=1
Wed Nov 28 12:43:01 2018 178.90.196.90:50891 peer info: IV_COMP_STUBv2=1
Wed Nov 28 12:43:01 2018 178.90.196.90:50891 peer info: IV_TCPNL=1
Wed Nov 28 12:43:01 2018 178.90.196.90:50891 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-ECDSA-AES128-GCM-SHA256, 256 bit EC, curve: prime256v1
Wed Nov 28 12:43:01 2018 178.90.196.90:50891 [cl3] Peer Connection Initiated with [AF_INET]178.90.196.90:50891
Wed Nov 28 12:43:01 2018 MULTI: new connection by client 'cl3' will cause previous active sessions by this client to be dropped.  Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
Wed Nov 28 12:43:01 2018 MULTI_sva: pool returned IPv4=10.8.0.51, IPv6=(Not enabled)
Wed Nov 28 12:43:01 2018 MULTI: Learn: 10.8.0.51 -> cl3/178.90.196.90:50891
Wed Nov 28 12:43:01 2018 MULTI: primary virtual IP for cl3/178.90.196.90:50891: 10.8.0.51
Wed Nov 28 12:43:02 2018 cl3/178.90.196.90:50891 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 28 12:43:02 2018 cl3/178.90.196.90:50891 SENT CONTROL [cl3]: 'PUSH_REPLY,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,redirect-gateway def1 bypass-dhcp,route-gateway 10.8.0.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.8.0.51 255.255.255.0,peer-id 0,cipher AES-128-GCM' (status=1)
Wed Nov 28 12:43:02 2018 cl3/178.90.196.90:50891 Outgoing Data Channel: Cipher 'AES-128-GCM' initialized with 128 bit key
Wed Nov 28 12:43:02 2018 cl3/178.90.196.90:50891 Incoming Data Channel: Cipher 'AES-128-GCM' initialized with 128 bit key
Wed Nov 28 12:45:13 2018 cl2/178.90.196.90:42687 [cl2] Inactivity timeout (--ping-restart), restarting
Wed Nov 28 12:45:13 2018 cl2/178.90.196.90:42687 SIGUSR1[soft,ping-restart] received, client-instance restarting

or_die
(28.11.18 14:52:03 MSK) автор топика

Ответ на: комментарий от or_die 28.11.18 14:52:03 MSK

под одним и тем же сертификатом двоих хочешь? А ты весёлый) Для этого конфиг другой нужен.

mogwai ★★★★★
(28.11.18 18:12:19 MSK)

Ответ на: комментарий от mogwai 28.11.18 18:12:19 MSK

Да я вообще полный ноль в этом )

Мне нужно по одному конфигу всех клиентов пускать. Авторизация по логину и паролю решит это ? Тогда какие ключи на сервере в конфиге оставлять ? У клиента в конфиге должен быть только основной сертификат сервера ?

ca ca.crt

or_die
(28.11.18 18:53:27 MSK) автор топика

Ответ на: комментарий от or_die 28.11.18 18:53:27 MSK

Конфиг один. Ключи индивидуальные. RTFM

mogwai ★★★★★
(28.11.18 19:14:12 MSK)

Ответ на: комментарий от mogwai 28.11.18 19:14:12 MSK

Спасибо за помощь ! Пошел читать.

or_die
(28.11.18 19:33:37 MSK) автор топика

Ссылка

Привет

Похожие темы