openvpn клиентам не присваивается шлюз!

а что лучше поставить ?

ну вроде тебе надо было только одну сеть клиенту дать, а не весь трафик на него заворачивать.

началось...
пришел домой, попробовал, и у меня вообще клиент не подключается, т.е. тупо болтается в клиенте вот это:
Thu Nov 18 19:45:51 2010 OpenVPN 2.1_rc4 Win32-MinGW [SSL] [LZO2] built on Apr 25 2007
Thu Nov 18 19:45:51 2010 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu Nov 18 19:45:51 2010 LZO compression initialized
Thu Nov 18 19:45:51 2010 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Nov 18 19:45:51 2010 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Nov 18 19:45:51 2010 Local Options hash (VER=V4): 'ed464ff7'
Thu Nov 18 19:45:51 2010 Expected Remote Options hash (VER=V4): '36a3722a'
Thu Nov 18 19:45:51 2010 UDPv4 link local: [undef]
Thu Nov 18 19:45:51 2010 UDPv4 link remote: 91.103.85.107:1194

ну что ему не хватает то ? (((((

А на серваке вот это:
Nov 18 19:45:54 2010 95.25.79.114:50425 Re-using SSL/TLS context
Thu Nov 18 19:45:54 2010 95.25.79.114:50425 LZO compression initialized
Thu Nov 18 19:45:54 2010 95.25.79.114:50425 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Nov 18 19:45:54 2010 95.25.79.114:50425 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Nov 18 19:45:54 2010 95.25.79.114:50425 Local Options hash (VER=V4): '36a3722a'
Thu Nov 18 19:45:54 2010 95.25.79.114:50425 Expected Remote Options hash (VER=V4): 'ed464ff7'
Thu Nov 18 19:45:57 2010 79.171.10.168:4717 Re-using SSL/TLS context
Thu Nov 18 19:45:57 2010 79.171.10.168:4717 LZO compression initialized
Thu Nov 18 19:45:57 2010 79.171.10.168:4717 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Nov 18 19:45:57 2010 79.171.10.168:4717 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Nov 18 19:45:57 2010 79.171.10.168:4717 Local Options hash (VER=V4): '36a3722a'
Thu Nov 18 19:45:57 2010 79.171.10.168:4717 Expected Remote Options hash (VER=V4): 'ed464ff7'
Thu Nov 18 19:46:03 2010 79.171.10.168:1941 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your networ
k connectivity)
Thu Nov 18 19:46:03 2010 79.171.10.168:1941 TLS Error: TLS handshake failed
Thu Nov 18 19:46:05 2010 79.171.10.168:1948 Re-using SSL/TLS context
Thu Nov 18 19:46:05 2010 79.171.10.168:1948 LZO compression initialized
Thu Nov 18 19:46:05 2010 79.171.10.168:1948 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Nov 18 19:46:05 2010 79.171.10.168:1948 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Nov 18 19:46:05 2010 79.171.10.168:1948 Local Options hash (VER=V4): '36a3722a'
Thu Nov 18 19:46:05 2010 79.171.10.168:1948 Expected Remote Options hash (VER=V4): 'ed464ff7'

Даже дело обстоит по другому...
Я приехал с работы домой, думаю дай проверю впн.
Запустил клиент, а фиг, получил то, что описывал выше !
Тем самым я на серваке впн выполнил service network restart
И меня клиент подключился, но МНЕ на ВИН семерке, не присвоился маршрут, что сейчас назначен на сервке, и мало того, на моем локальном (физическом) интерфейсе, удалился ШЛЮЗ и на компьютере отвалился интернет...
Я вот думаю, т.к. я на серваке прописал в Push
push «dhcp-option DNS 192.168.6.100»
push «redirect-gateway»
гетвей по умолчанию, получается что он становится в приаритете и забивает(затирает) старый.
И + ко всему, снова не подключается клиент.
Т.е. опять нужно рестарнуть интерфейсы, тогда подключусь..
Как быть ?

Это уже неприлично просто! Либо нанимай админа, либо перечитай внимательно весь тред - тут все ответы есть, просто ты не чайник в линуксе, ты ... не можешь помочь себе сам, попытаться, сесть и разобраться. Многие бравые линуксоиды, задосят гугл, пока не найдут ответа на свой вопрос, так как многие тему давно решены, надо было просто со школы еще усвоить навыки самостоятельной работы, а не у мамы решение задачи выпрашивать. Ты думаешь один с проблемами, чего-то не знаешь? все такие! все всё не могут знать. Но другие конопатят мануалы и документацию.

гетвей по умолчанию, получается что он становится в приаритете и забивает(затирает) старый.

Все правильно говоришь, ты же этого сам хотел!

Ну принципе оно так и получается, калашматю и пробую :)
а задачи у родителей не спрашивал ни когда, и все шишки всегда на своем горбу собираю, это раз. А два, если ты говоришь что ВСЕ не знают, и конопатят мануалы и инет, посмотри на форум ! раскрой глаза ?
Я еше раз повторяюсь, что уже давно не работает сервак, еслиб у меня было бы свободное время и мне лень было бы читать, это одно.
А тут друг другая петрушка, я обращаюсь на форум, чтобы спросить правильные ходы, чтобы не натыкатся на грабли которые люди уже прошли!

А есть возможность его сделать второстепенным ?

Хорошо, в чем-то согласен. Посмотрю, как ты шишки собираешь. Выложи конфиг сервера, конфиг клиента, ifconfig и ipconfig, route -n и route print после установления соединения (если оно устанавливается)

default route на то и default route, что бы быть default

Смотри, причину почему отваливался клиент, помоему решил, просто в конфиг забыл добавиьт local 91.103.85.107
Но пинг по прежнему не проходит от клиента серверу, но сервер клиента пингует нормально. Клиент при коннекте написал вот такие строки:
Warning: route gateway is ambiguous: 192.168.10.1 (3 matches)
ЋЉ
Thu Nov 18 21:21:06 2010 Warning: route gateway is ambiguous: 192.168.10.1 (3 matches)

Вполне возможно из-за этого не присвоился нормальный шлюз, а присвоился почему то 192.168.11.5.
А сейчас как просил...
Конфиг сервера:
local 91.103.85.107
port 1194
proto udp
dev tun
ca keys/steklonit/ca.crt
cert keys/steklonit/steklonit.crt
key keys/steklonit/steklonit.key
dh keys/steklonit/dh1024.pem
;server-bridge 192.168.6.135 255.255.255.0 192.168.6.206 192.168.6.236 #@@ br0 eth2
server 192.168.11.0 255.255.255.0
crl-verify keys/steklonit/crl.pem
cipher DES-CBC
user nobody
group adm
status servers/steklonit/logs/openvpn-status.log
log-append servers/steklonit/logs/openvpn.log
verb 2
mute 20
max-clients 100
keepalive 10 120
client-config-dir /etc/openvpn/servers/steklonit/ccd
comp-lzo
persist-key
persist-tun
ccd-exclusive
#up servers/steklonit/bin/steklonit.up
#plugin /usr/lib/openvpn/plugin/lib/openvpn-down-root.so «/etc/openvpn/servers/steklonit/bin/steklonit.down-root»
push «dhcp-option DNS 192.168.6.100»
push «redirect-gateway

Конфиг клиента:
конфиг клиента:
client
proto udp
dev tun
ca ca.crt
dh dh1024.pem
cert saisai.crt
key saisai.key
remote 91.103.85.107 1194
cipher DES-CBC
user nobody
group adm
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind


Ifconfig сервака:
[root@server2 openvpn]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:15:F2:D0:D4:B1
inet addr:91.103.85.107 Bcast:91.103.85.111 Mask:255.255.255.248
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:75008 errors:0 dropped:0 overruns:0 frame:0
TX packets:169 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
Interrupt:74

eth1 Link encap:Ethernet HWaddr 00:14:D1:10:82:08
inet addr:192.168.6.135 Bcast:192.168.6.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:300256 errors:0 dropped:0 overruns:0 frame:0
TX packets:483705 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
Interrupt:225 Base address:0xcc00

eth2 Link encap:Ethernet HWaddr 00:15:F2:D0:D7:9C
inet addr:192.168.6.252 Bcast:192.168.6.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:387495 errors:0 dropped:0 overruns:0 frame:0
TX packets:2888 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
Memory:e7ee0000-e7f00000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:727383 errors:0 dropped:0 overruns:0 frame:0
TX packets:727383 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:192.168.11.1 P-t-P:192.168.11.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:28 errors:0 dropped:0 overruns:0 frame:0
TX packets:7 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100

IPconfig с клиента:

Ethernet adapter Подключение по локальной сети 2:

DNS-суффикс подключения . . . . . :
Локальный IPv6-адрес канала . . . : fe80::48da:6627:1c89:be78%22
IPv4-адрес. . . . . . . . . . . . : 192.168.11.6
Маска подсети . . . . . . . . . . : 255.255.255.252
Основной шлюз. . . . . . . . . : 192.168.11.5

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
IPv4-адрес. . . . . . . . . . . . : 192.168.10.101
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.10.1

Ethernet adapter Подключение по локальной сети 3:

DNS-суффикс подключения . . . . . :
IPv4-адрес. . . . . . . . . . . . : 192.168.10.102
Маска подсети . . . . . . . . . . : 255.255.255.0


route -n с сервака:
[root@server2 openvpn]# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.11.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
91.103.85.104 0.0.0.0 255.255.255.248 U 0 0 0 eth0
192.168.6.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.6.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.11.0 192.168.11.2 255.255.255.0 UG 0 0 0 tun0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth2
0.0.0.0 192.168.6.254 0.0.0.0 UG 0 0 0 eth1



И route print после удачног соединения как и просил!

[root@server2 openvpn]# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.11.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
91.103.85.104 0.0.0.0 255.255.255.248 U 0 0 0 eth0
192.168.6.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.6.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.11.0 192.168.11.2 255.255.255.0 UG 0 0 0 tun0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth2
0.0.0.0 192.168.6.254 0.0.0.0 UG 0 0 0 eth1

Клиент под виндой? последний роут это не клиента.
Убери eth2, если он тебе не нужен.
Убери push «redirect-gateway» и поставь push «route 192.168.6.0 255.255.255.0»
Клиенту не нужен dh dh1024.pem, resolv-retry infinite и float тоже не нужно.
Серверу добавь client-to-client по желанию.
ccd-exclusive убери и client-config-dir /etc/openvpn/servers/steklonit/ccd если реально их не используешь.
Добавь серверу mode server и push «route 192.168.11.1 255.255.255.0»

да соррри, не то скопировал, вот роутинг в клиента на винде:
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрик
0.0.0.0 0.0.0.0 192.168.11.5 192.168.11.6 30
0.0.0.0 0.0.0.0 192.168.10.1 192.168.10.101 20
91.103.85.107 255.255.255.255 192.168.10.1 192.168.10.102 21
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.10.0 255.255.255.0 On-link 192.168.10.51 276
192.168.10.0 255.255.255.0 On-link 192.168.10.102 276
192.168.10.0 255.255.255.0 On-link 192.168.10.101 276
192.168.10.51 255.255.255.255 On-link 192.168.10.51 276
192.168.10.101 255.255.255.255 On-link 192.168.10.101 276
192.168.10.102 255.255.255.255 On-link 192.168.10.102 276
192.168.10.255 255.255.255.255 On-link 192.168.10.51 276
192.168.10.255 255.255.255.255 On-link 192.168.10.102 276
192.168.10.255 255.255.255.255 On-link 192.168.10.101 276
192.168.11.1 255.255.255.255 192.168.11.5 192.168.11.6 30
192.168.11.4 255.255.255.252 On-link 192.168.11.6 286
192.168.11.6 255.255.255.255 On-link 192.168.11.6 286
192.168.11.7 255.255.255.255 On-link 192.168.11.6 286
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.10.101 276
224.0.0.0 240.0.0.0 On-link 192.168.10.102 276
224.0.0.0 240.0.0.0 On-link 192.168.10.51 276
224.0.0.0 240.0.0.0 On-link 192.168.11.6 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.10.101 276
255.255.255.255 255.255.255.255 On-link 192.168.10.102 276
255.255.255.255 255.255.255.255 On-link 192.168.10.51 276
255.255.255.255 255.255.255.255 On-link 192.168.11.6 286

Угу, вот ты как шишки собираешь. ЧЕТВЕРТЫЙ раз говорю поставить вендовому клиенту route method чего то там.

Слушай, проделал почти все как ты сказал ( но не все ), вот конфиг, и вот на что стал похож.
local 91.103.85.107
port 1194
proto udp
dev tun
ca keys/steklonit/ca.crt
cert keys/steklonit/steklonit.crt
key keys/steklonit/steklonit.key
dh keys/steklonit/dh1024.pem
;server-bridge 192.168.6.135 255.255.255.0 192.168.6.206 192.168.6.236 #@@ br0 eth2
server 192.168.11.0 255.255.255.0
crl-verify keys/steklonit/crl.pem
cipher DES-CBC
user nobody
group adm
status servers/steklonit/logs/openvpn-status.log
log-append servers/steklonit/logs/openvpn.log
verb 2
mute 20
max-clients 100
keepalive 10 120
;client-config-dir /etc/openvpn/servers/steklonit/ccd
client-to-client
comp-lzo
persist-key
persist-tun
;ccd-exclusive
#up servers/steklonit/bin/steklonit.up
#plugin /usr/lib/openvpn/plugin/lib/openvpn-down-root.so «/etc/openvpn/servers/steklonit/bin/s
teklonit.down-root»
push «dhcp-option DNS 192.168.6.100»
push «route 192.168.6.0 255.255.255.0»
push «route 192.168.11.1 255.255.255.0»
mode server
;push «redirect-gateway»


Но пингую я только те адреса, где руками прописал во такой маршрут:
route -p add 192.168.11.0 mask 255.255.255.0 192.168.6.135
Его я еще прописывал, когда делал бридж.
А можно как то без него обойтись ? всмысле не прописывать его дальше на все серваки

А по поводу четвертый раз, и route method клиенту, это ты имеешь ввиду при создание ключа указать ?
И еще, ты сказал убрать клиенту dh1024, это надо будет править конфиг на каждом клиенте ? или можно в конфиге сервака пометить, чтобы не прописывался клиентам *?
А ваще уже БИИИИГ СПАСИБО !!!! впринципе часть серваков я уже вижу )))))
берегитесь заводы !!! завтра начнете работать !!!

В принципе можно оставить dh, хрен бы с ним. Да роут надо прописывать на всех, на которых должна видна быть сеть 192.168.11.0, но их у тебя два, поэтому не столь критично, но масштабируемость страдает. Чтоб не прописывать дальше называется динамической маршрутизацией. route method на до прописать на клиенте, но только если он на венде, посмотри в треде я тебе не раз писал эти строки. Пожалуйста)

))))))))))))) уговорил, пошел искать )

Не погоди, ты 192.168.11.0 прописывал на клиентах?? ты меня в дуб запутал уже. Это на компьютерах надо прописать, которые должны видеть впн сеть. У тебя что ВСЕ должны ее видеть. То есть рабочие станции в одном офисе должны должны ЧЕРЕЗ впн видеть другие станции в другом офисе?? Тогда бридж тебе нужен.

Опять же задаюсь вопросом:
route-method exe
route-delay 2
обязательно руками прописывать клиентам ?
объясню почему я постоянно спрашиваю про руки, не потаму что мне лень делать ) а потаму что у нас клиентов за сотню, и бывает что в запаре на работе могу кому то забыть прописать.

нет, 192.168.11.0 я прописывал на серваках.
А что надо для работы:
В Москве находятся все главные серваки, и надо чтобы Уфа и Тверь подключались через впн к сервакам.
Т.е. клиентские тачки Уфы, не должны видить тачки Москвы, но должны видить серваки в москве.

Ну тогда то что надо, а то с бриджем ты бы окончательно м-м-м..

route-method exe
route-delay 2

это надо прописать на всех клиентах. Советую сначала убедиться что без этого все работает - выдается КЛИЕНТАМ нужный маршрут в сеть в москве и ЕСЛИ нет, то уже прописать на ОДНОМ - попробовать.

ок сплинтер !)
СПАСИБО !

Слушай сплинтер, а почему такое может быть ?
В уфе есть 2 клиента, у которых стоит виндовс 7, у них клиент подключается, работает секунд 10 и отрубается...
У меня дома виндовс 7 и все нормально...
Вот лог с клиента, перед тем как снова подключатся:
Tue Nov 23 11:21:45 2010 Initialization Sequence Completed
Tue Nov 23 11:24:07 2010 [steklonit] Inactivity timeout (--ping-restart), restarting
Tue Nov 23 11:24:07 2010 TCP/UDP: Closing socket
Tue Nov 23 11:24:07 2010 SIGUSR1[soft,ping-restart] received, process restarting
Tue Nov 23 11:24:09 2010 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Tue Nov 23 11:24:09 2010 Re-using SSL/TLS context
Tue Nov 23 11:24:09 2010 LZO compression initialized
Tue Nov 23 11:24:09 2010 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Nov 23 11:24:09 2010 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Nov 23 11:24:09 2010 Local Options hash (VER=V4): '94012f71'
Tue Nov 23 11:24:09 2010 Expected Remote Options hash (VER=V4): 'f2dba00b'
Tue Nov 23 11:24:09 2010 UDPv4 link local: [undef]
Tue Nov 23 11:24:09 2010 UDPv4 link remote: 91.103.85.107:1194
Tue Nov 23 11:24:09 2010 VERIFY OK: depth=1, /C=RU/ST=MO/L=Moscow/O=steklonit/emailAddress=admin@steklonit.com
Tue Nov 23 11:24:09 2010 VERIFY OK: depth=0, /C=RU/ST=MO/L=Moscow/O=steklonit/OU=Office/CN=steklonit/emailAddress=admin@steklonit.com
Tue Nov 23 11:24:09 2010 Data Channel Encrypt: Cipher 'DES-CBC' initialized with 64 bit key
Tue Nov 23 11:24:09 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Nov 23 11:24:09 2010 Data Channel Decrypt: Cipher 'DES-CBC' initialized with 64 bit key
Tue Nov 23 11:24:09 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Nov 23 11:24:09 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Nov 23 11:24:09 2010 [steklonit] Peer Connection Initiated with 91.103.85.107:1194
Tue Nov 23 11:24:10 2010 Preserving previous TUN/TAP instance: Подключение по локальной сети 2
Tue Nov 23 11:24:10 2010 Initialization Sequence Completed

Ща скину лог на серваке...

> [steklonit] Inactivity timeout (--ping-restart), restarting

Это ответ.

Ну, тут написано что время ожидания вышло, перезапуск ( или типа того ).
Но он пингует сервак, подключаетс на несколько секунд начинается работать, пингует внутренние серваки и обрубается.

Как обычно в таких и во многих подобных ситуациях врубают логи поподробнее (ставь verb 5), анализируют и сопоставляют факторы, влияющие на эту проблему. Гуглят. Смотрят особенности работы под максемальненькой и т.д.