Сообщения Ilianapro

Перестали ходить пинги с одной сети в другую

Форум — Admin

Всем привет. Ранее создавал сеть описанную в данном посте Помогите разобраться с организацией сети net2net

Не давно перестали ходить пинги с одной сети в другую, хотя с другой стороны пинги ходя нормально.

К примеру все хосты из сети 192.168.37.x могут пинговать хосты в сети 192.168.7.x, но пинги и сеть не видна из сети 192.168.7.x

Уже перепровил настройки - все вроде выглядит нормально. Может я что-то упустил. Может на тот момент я выполнил настройки и не сохранил таблицу iptables и после первой перезагрузки у меня все слетело.

Уважаемые знатоки подскажите что нужно проверить?

Спасибо!

admin, network, openvpn, vpn

Ilianapro
(25.04.16 05:57:14 MSK)

16 комментариев

Помогите разобраться с организацией сети net2net

Форум — Admin

Физическое подключение

LAN <=> TP-Link Router <=> INTERNET <=> TP-Link Router <=> LAN

IP карта сети

192.168.7.1 (TP-Link Router)	<== INTERNET ==>	192.168.37.253 (TP-Link Router)
192.168.7.10 (CentOS - OpenVPN)	<== VPN Tunnel ==>	192.168.37.2 (CentOS - OpenVPN)
192.168.7.55 (Windows)					192.168.37.53 (Windows)
192.168.7.x (Others)					192.168.37.x (Others)

OpenVPN SERVER 192.168.37.2 (CentOS - OpenVPN)

/etc/openvpn/server.conf

port 1194
proto udp
dev tun

ca .key/ca.crt
cert .key/server-02.crt
key .key/server-02.key  # This file should be kept secret
dh .key/dh2048.pem

server 10.10.3.0 255.255.255.0

ifconfig-pool-persist ipp.txt
push "route 192.168.37.0 255.255.255.0"
client-config-dir ccd
route 192.168.7.0 255.255.255.0
client-to-client
keepalive 10 120

mode server
tls-server
tls-auth .tls/ta.key 0 # This file is secret

cipher AES-256-CBC
auth SHA512
comp-lzo

user nobody
group nobody

persist-key
persist-tun

status openvpn-status.log

verb 5

/etc/openvpn/ccd/client

push "route 192.168.37.0 255.255.255.0"
iroute 192.168.7.0 255.255.255.0

/etc/sysctl.conf

net.ipv4.ip_forward = 1

/etc/sysconfig/iptables

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 10.10.3.0/24 -o eth0 -j MASQUERADE
COMMIT
*filter
:INPUT ACCEPT [764:63992]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [553:112968]
COMMIT

OpenVPN CLIENT 192.168.7.10 (CentOS - OpenVPN)

/etc/openvpn/vpn.conf

client
tls-client
dev tun
proto udp
remote xx.xx.xx.xx 1194
route-delay 2
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
ca ca.crt
dh dh2048.pem
cert client.crt
key client.key
key-direction 1
tls-auth ta.key 1
tun-mtu 1500
tun-mtu-extra 32
cipher AES-256-CBC
auth SHA512

verb 5
mute 20
log-append openvpn_client.log
status status_client.log

ROUTING Настройки маршрутов между сетями прописал в роутере TP-Link

192.168.37.253 (Server Side)

Destination Network: 192.168.7.0
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.37.2

192.168.7.1 (Client Side)

Destination Network: 192.168.37.0
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.7.10

OpenVPN клиент успешно подключается к серверу OpenVPN! :)

ПИНГИ: Сеть клиента - 192.168.7.10

# ping 192.168.37.53
PING 192.168.37.53 (192.168.37.53) 56(84) bytes of data.
64 bytes from 192.168.37.53: icmp_seq=1 ttl=127 time=6.53 ms
64 bytes from 192.168.37.53: icmp_seq=2 ttl=127 time=6.92 ms

Сеть клиента - 192.168.7.55

>ping 192.168.37.53 -t
Обмен пакетами с 192.168.37.53 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Сеть сервера - 192.168.37.2

# ping 192.168.7.55
PING 192.168.7.55 (192.168.7.55) 56(84) bytes of data.
64 bytes from 192.168.7.55: icmp_seq=1 ttl=127 time=4.20 ms
64 bytes from 192.168.7.55: icmp_seq=2 ttl=127 time=5.25 ms

Сеть сервера - 192.168.37.53

>ping 192.168.7.55
Обмен пакетами с 192.168.7.55 по с 32 байтами данных:
Ответ от 192.168.7.55: число байт=32 время=3мс TTL=126
Ответ от 192.168.7.55: число байт=32 время=4мс TTL=126

ПРОБЛЕМА: Почему сеть клиента не видит сеть сервера хотя сеть сервера видит сеть клиента? Что надо сделать для того чтобы сеть клиента могла видеть сеть сервера?

Дополнение: Например если я вручную добавляю маршрут в сети сервера, например на машине 192.168.37.53

route add 192.168.7.0 mask 255.255.255.0 192.168.37.2

то пинги начинают ходить из сети клиента в сеть сервера. Моя задача решить проблему доступности между сетями на уровне роутера и OpenVPN серверов, т.е. не добавляя маршруты вручную на машинах в сети сервера.

Если нужно предоставить дополнительную информацию - напишите.

Заранее благодарен за вашу помощь!

linux, openvpn, vpn

Ilianapro
(19.02.16 18:47:31 MSK)

1 комментарий

OpenVPN => cat: /dev/net/tun: Operation not permitted

Форум — Admin

Приобрел VPS у InfoBox. Хотел установить и настрить OpenVPN - но на первом же шаге возникла трабла:

cat: /dev/net/tun: Operation not permitted

Подскажите как побороть эту проблему.

Спасибо!

openvpn vpn

Ilianapro
(13.08.14 09:34:45 MSK)

8 комментариев

ping есть, ssh подключения нет - через OpenVPN

Форум — Admin

Имеется сеть: Office: 192.168.21.0/24 Remote Hosts: 10.77.77.0/24

Между офисом и удаленной сетью постороен VPN туннель посредством OpenVPN: 10.10.30.0/24

Пинги с офисной сети 192.168.21.0/24 ходят до удаленных машин в сети 10.77.77.0/24

Могу подключиться по SSH только с OpenVPN клиента.

При попытке подключиться по SSH с одного их хостов из сети 192.168.21.0/24 - не получается.

Подскажите где затык?

Ilianapro
(06.03.14 11:31:23 MSK)

15 комментариев

не работает маршрутизация через OpenVPN

Форум — Admin

Схема:

LAN1: 192.168.21.0/24 LAN2: 10.77.77.0/24

OpenVPN сервер: eth0:10.77.77.11, tun1:10.10.30.1 OpenVPN клиент: eth0:192.168.21.30, tun1:10.10.30.25

VPN сеть: 10.10.30.0/24

Конфиг сервера:

local 10.77.77.11
port 1194
proto udp
dev tun1
tun-mtu 1500
ca /etc/openvpn/.key/ca.crt
cert /etc/openvpn/.key/server.crt
key /etc/openvpn/.key/server.key
dh /etc/openvpn/.key/dh2048.pem
server 10.10.30.0 255.255.255.0
daemon
mode server
tls-server
ifconfig-pool-persist /etc/openvpn/ip.sv
client-to-client
push "route 10.77.77.0 255.255.255.0"
client-config-dir ccd
keepalive 10 120
tls-auth /etc/openvpn/.tls/ta.key 0
cipher AES-256-CBC
auth SHA512
comp-lzo
max-clients 20
user openvpn
group openvpn
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 8
mute 20

Конфиг клиента:

client
tls-client
dev tun1
proto udp
remote 10.77.77.11 1194
route-delay 2
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
dh dh2048.pem
cert gws_client.crt
key gws_client.key
key-direction 1
tls-auth ta.key
tun-mtu 1500
tun-mtu-extra 32
cipher AES-256-CBC
auth SHA512
comp-lzo
verb 4
mute 20
log-append openvpn_client.log
status status_client.log

Логи клиент при подключении:

Tue Mar  4 21:53:53 2014 us=409683 Current Parameter Settings:
Tue Mar  4 21:53:53 2014 us=409854   config = 'gws_client.ovpn'
Tue Mar  4 21:53:53 2014 us=409893   mode = 0
Tue Mar  4 21:53:53 2014 us=409926   persist_config = DISABLED
Tue Mar  4 21:53:53 2014 us=409973   persist_mode = 1
Tue Mar  4 21:53:53 2014 us=410012   show_ciphers = DISABLED
Tue Mar  4 21:53:53 2014 us=410045   show_digests = DISABLED
Tue Mar  4 21:53:53 2014 us=410077   show_engines = DISABLED
Tue Mar  4 21:53:53 2014 us=410109   genkey = DISABLED
Tue Mar  4 21:53:53 2014 us=410170   key_pass_file = '[UNDEF]'
Tue Mar  4 21:53:53 2014 us=410202   show_tls_ciphers = DISABLED
Tue Mar  4 21:53:53 2014 us=410232 Connection profiles [default]:
Tue Mar  4 21:53:53 2014 us=410261   proto = udp
Tue Mar  4 21:53:53 2014 us=410292   local = '[UNDEF]'
Tue Mar  4 21:53:53 2014 us=410322   local_port = 0
Tue Mar  4 21:53:53 2014 us=410352   remote = '192.168.21.5'
Tue Mar  4 21:53:53 2014 us=410381   remote_port = 1194
Tue Mar  4 21:53:53 2014 us=410411   remote_float = DISABLED
Tue Mar  4 21:53:53 2014 us=410440   bind_defined = DISABLED
Tue Mar  4 21:53:53 2014 us=410471   bind_local = DISABLED
Tue Mar  4 21:53:53 2014 us=410500 NOTE: --mute triggered...
Tue Mar  4 21:53:53 2014 us=410548 255 variation(s) on previous 20 message(s) suppressed by --mute
Tue Mar  4 21:53:53 2014 us=410586 OpenVPN 2.3.2 x86_64-redhat-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [IPv6] built on Sep 12 2013
Tue Mar  4 21:53:53 2014 us=410741 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Mar  4 21:53:53 2014 us=412265 WARNING: file 'ta.key' is group or others accessible
Tue Mar  4 21:53:53 2014 us=412319 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Tue Mar  4 21:53:53 2014 us=412369 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Tue Mar  4 21:53:53 2014 us=412410 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Tue Mar  4 21:53:53 2014 us=412471 LZO compression initialized
Tue Mar  4 21:53:53 2014 us=412653 Control Channel MTU parms [ L:1634 D:210 EF:110 EB:0 ET:0 EL:0 ]
Tue Mar  4 21:53:53 2014 us=412750 Socket Buffers: R=[124928->131072] S=[124928->131072]
Tue Mar  4 21:53:53 2014 us=412880 Data Channel MTU parms [ L:1634 D:1450 EF:102 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Mar  4 21:53:53 2014 us=412945 Local Options String: 'V4,dev-type tun,link-mtu 1634,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-client'
Tue Mar  4 21:53:53 2014 us=413021 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1634,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-server'
Tue Mar  4 21:53:53 2014 us=413112 Local Options hash (VER=V4): '6a152ec4'
Tue Mar  4 21:53:53 2014 us=413196 Expected Remote Options hash (VER=V4): 'e1f65e10'
Tue Mar  4 21:53:53 2014 us=413263 UDPv4 link local: [undef]
Tue Mar  4 21:53:53 2014 us=413324 UDPv4 link remote: [AF_INET]192.168.21.5:1194
Tue Mar  4 21:53:53 2014 us=416596 TLS: Initial packet from [AF_INET]192.168.21.5:1194, sid=d5f55581 fd4793fb
Tue Mar  4 21:53:53 2014 us=464101 VERIFY OK: depth=1, C=KG, ST=BI, L=Bishkek, O=7777, OU=changeme, CN=gws.7777.kg, name=changeme, emailAddress=it@7777.kg
Tue Mar  4 21:53:53 2014 us=464694 VERIFY OK: depth=0, C=KG, ST=BI, L=Bishkek, O=7777, OU=changeme, CN=server, name=changeme, emailAddress=it@7777.kg
Tue Mar  4 21:53:53 2014 us=563650 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1634', remote='link-mtu 1602'
Tue Mar  4 21:53:53 2014 us=563728 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1532', remote='tun-mtu 1500'
Tue Mar  4 21:53:53 2014 us=564111 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Mar  4 21:53:53 2014 us=564161 Data Channel Encrypt: Using 512 bit message hash 'SHA512' for HMAC authentication
Tue Mar  4 21:53:53 2014 us=564196 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Mar  4 21:53:53 2014 us=564234 Data Channel Decrypt: Using 512 bit message hash 'SHA512' for HMAC authentication
Tue Mar  4 21:53:53 2014 us=564322 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Tue Mar  4 21:53:53 2014 us=564410 [server] Peer Connection Initiated with [AF_INET]192.168.21.5:1194
Tue Mar  4 21:53:55 2014 us=917096 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Tue Mar  4 21:53:55 2014 us=919811 PUSH: Received control message: 'PUSH_REPLY,route 10.10.30.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.10.30.25 10.10.30.26'
Tue Mar  4 21:53:55 2014 us=919911 OPTIONS IMPORT: timers and/or timeouts modified
Tue Mar  4 21:53:55 2014 us=919941 OPTIONS IMPORT: --ifconfig/up options modified
Tue Mar  4 21:53:55 2014 us=919962 OPTIONS IMPORT: route options modified
Tue Mar  4 21:53:55 2014 us=920285 ROUTE_GATEWAY 192.168.21.3/255.255.255.0 IFACE=eth0 HWADDR=f0:bf:97:1b:a1:ee
Tue Mar  4 21:53:55 2014 us=920650 TUN/TAP device tun1 opened
Tue Mar  4 21:53:55 2014 us=920691 TUN/TAP TX queue length set to 100
Tue Mar  4 21:53:55 2014 us=920722 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Tue Mar  4 21:53:55 2014 us=920760 /sbin/ip link set dev tun1 up mtu 1500
Tue Mar  4 21:53:55 2014 us=923460 /sbin/ip addr add dev tun1 local 10.10.30.25 peer 10.10.30.26
Tue Mar  4 21:53:58 2014 us=103012 /sbin/ip route add 10.10.30.0/24 via 10.10.30.26
Tue Mar  4 21:53:58 2014 us=104524 Initialization Sequence Completed

Таблица маршрутизации после подключения:

# ip route
10.10.30.26 dev tun1  proto kernel  scope link  src 10.10.30.25
10.10.25.2 dev tun0  proto kernel  scope link  src 10.10.25.1
192.168.21.0/24 via 192.168.21.3 dev eth0
10.10.30.0/24 via 10.10.30.26 dev tun1
10.10.25.0/24 via 10.10.25.2 dev tun0
169.254.0.0/16 dev eth0  scope link  metric 1002
default via 192.168.21.3 dev eth0

как видно в таблице нет сети 10.77.77.0/24

Добавил маршрут вручную:

# ip route add 10.77.77.0/24 via 10.10.30.26

В итоге получилась следующая таблица маршрутов:

# ip route
10.10.30.26 dev tun1  proto kernel  scope link  src 10.10.30.25
10.10.25.2 dev tun0  proto kernel  scope link  src 10.10.25.1
10.77.77.0/24 via 10.10.30.26 dev tun1
192.168.21.0/24 via 192.168.21.3 dev eth0
10.10.30.0/24 via 10.10.30.26 dev tun1
10.10.25.0/24 via 10.10.25.2 dev tun0
169.254.0.0/16 dev eth0  scope link  metric 1002
default via 192.168.21.3 dev eth0

При попытке пинга хостов в сети 10.77.77.0/24 пинги не проходят.

Пример:

# ping 10.77.77.11
PING 10.77.77.11 (10.77.77.11) 56(84) bytes of data.

На сервере OpenVPN я не вижу ICMP пакетов:

# tcpdump -i tun1 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun1, link-type RAW (Raw IP), capture size 65535 bytes

Так же отключал iptables - безрезультатно.

Подскажите куда еще можно посмотреть чтобы решить проблему.

Спасибо!

centos, network, openvpn

Ilianapro
(04.03.14 20:05:01 MSK)

14 комментариев

Маршрутизация через CentOS 6.5

Форум — Admin

помогите с маршрутизацией.

Имеется сервер CentOS6.5 с двумя сетевыми интерфейсами eth0, eth1

IPADDR eth0: 10.77.77.11 IPADDR eth1: 192.168.21.39

LAN1 (10.77.77.0/24)<-->(eth0) CentOS 6.5 (eth1) <--> LAN2

Вот правила iptables на CentOS 6.5

 
# iptables -nvL
Chain INPUT (policy DROP 135 packets, 11163 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           ctstate NEW tcp flags:!0x17/0x02
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
  667 32154 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    2   168 ACCEPT     all  --  *      *       10.77.77.0/24        0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      *       192.168.21.0/24      0.0.0.0/0           tcp dpt:22
Chain FORWARD (policy ACCEPT 17 packets, 1196 bytes)
 pkts bytes target     prot opt in     out     source               destination
  748 63236 ACCEPT     all  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0

вот маршруты на CentOS 6.5

# route -v
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.77.0.2       *               255.255.255.255 UH    0      0        0 tun1
10.77.77.0      *               255.255.255.0   U     0      0        0 eth0
192.168.21.0    *               255.255.255.0   U     0      0        0 eth1
10.77.0.0       10.77.0.2       255.255.255.0   UG    0      0        0 tun1
link-local      *               255.255.0.0     U     1002   0        0 eth0
link-local      *               255.255.0.0     U     1003   0        0 eth1
default         192.168.21.3    0.0.0.0         UG    0      0        0 eth1

При попытке пинговать с одной из машин (10.77.77.13) в сети LAN1 в сторону LAN2 на машину (192.168.21.30) нет результата.

Вот кусок дампа:

17:22:31.170145 IP s3 > 192.168.21.30: ICMP echo request, id 57934, seq 562, length 64
17:22:32.170226 IP s3 > 192.168.21.30: ICMP echo request, id 57934, seq 563, length 64
17:22:33.170308 IP s3 > 192.168.21.30: ICMP echo request, id 57934, seq 564, length 64
17:22:34.170358 IP s3 > 192.168.21.30: ICMP echo request, id 57934, seq 565, length 64
17:22:35.170409 IP s3 > 192.168.21.30: ICMP echo request, id 57934, seq 566, length 64
17:22:36.170451 IP s3 > 192.168.21.30: ICMP echo request, id 57934, seq 567, length 64
17:22:37.170554 IP s3 > 192.168.21.30: ICMP echo request, id 57934, seq 568, length 64
17:22:38.170632 IP s3 > 192.168.21.30: ICMP echo request, id 57934, seq 569, length 64
17:22:39.170731 IP s3 > 192.168.21.30: ICMP echo request, id 57934, seq 570, length 64

Что нужно сделать чтобы все заработало?

Спасибо!

centos, linux, безопасность, ядро

Ilianapro
(31.01.14 15:46:09 MSK)

12 комментариев

OpenVPN - маршрутизация

Форум — Admin

Есть OpenVPN сервер. Нужно сделать так чтобы клиенты подключающиеся по OpenVPN имели доступ к сети сервера OpenVPN.

Сеть VPN для клиентов: 10.10.25.0 Локальная сеть (eth0): 192.168.21.0

Подскажите правило iptables.

P.S.> полагаю нужен маскарадинг.

openvpn

Ilianapro
(30.12.13 13:24:06 MSK)

26 комментариев

Нужна помощь по OpenVPN 2.3.2 (CentOS 6.5)

Форум — Admin

Установил OpenVPN. Настраивал по различным инструкциям. Но ни раз не получилось поднять VPN канал. Все тесты проводил в локальной сети.

Помогите пожалуйста настроить VPN.

Конфиг с сервера /etc/openvpn/server.conf :

local 192.168.21.30
port 1194
proto udp
dev tun0
tun-mtu 1500
ca /etc/openvpn/.key/ca.crt
cert /etc/openvpn/.key/server.crt
key /etc/openvpn/.key/server.key
dh /etc/openvpn/.key/dh2048.pem
server 10.10.20.0 255.255.255.0
daemon
mode server
tls-server
ifconfig-pool-persist /etc/openvpn/ip.sv
push "route 192.168.21.0 255.255.255.0"
push "dhcp-option DNS 192.168.21.3"
keepalive 10 120
tls-auth /etc/openvpn/.tls/ta.key 0
cipher AES-256-CBC
auth SHA512
comp-lzo
max-clients 20
user openvpn
group openvpn
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 5
mute 20

Конфиг с клиента:

client 
tls-client 
dev tun 
proto udp
remote 192.168.21.30 1194

resolv-retry infinite 

nobind 

persist-key 
persist-tun 

<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</ca>
<dh>
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEA8aIDQ9dps8FArISZ7C3xYwCBnijiqZNtuJOjHRcUZEZ/r/Ytrq9B
sGEEKEZWbj2J+p4ivqfkoe3ydmAx0E6KQmIHUg9JyOi9sZ/QX5cQpp7VScyYeDDw
1cXE0UXzXQnmVMK6fpfnJ8/ckelNoqvjvYPyx2iXDH9JKpFJKd+KQR/vLQ2gTIJh
DtaoKXX8UVI0h8C9uu2EOErFtZ9uO2c9eTN8i6XbLushyQDnN5oW5q1qDxHm5rFT
Wa4VKV0lW5Q4xMSYDshXivh83VS4Yf8Ytt1No5jSBDZRfABAFOVmKgFrtzbJKPGC
6Zy0gRQS3LuxB2JH35JRTMwC3Dwbzu7jUwIBAg==
-----END DH PARAMETERS-----
</dh>
<cert>
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 2 (0x2)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=KG, ST=BI, L=Bishkek, O=Mobi, OU=IT, CN=server/name=server/emailAddress=ilias@ilianapro.ru
        Validity
            Not Before: Dec 23 18:39:04 2013 GMT
            Not After : Dec 21 18:39:04 2023 GMT
        Subject: C=KG, ST=BI, L=Bishkek, O=Mobi, OU=IT, CN=velowup/name=server/emailAddress=ilias@ilianapro.ru
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:cb:fa:e8:16:6c:42:58:b0:f5:04:9a:f8:65:3e:
                    72:f8:3c:aa:b5:1a:e5:42:2a:d5:b3:96:03:f9:d9:
                    e0:05:f5:d5:00:aa:0c:6a:d1:c8:33:38:d2:a2:a4:
                    e7:04:b6:a8:eb:74:94:db:55:f0:a7:cc:9b:d2:d8:
                    98:21:cc:00:78:c6:c0:a6:ff:bb:ac:73:dc:98:13:
                    f3:89:2b:43:77:c2:24:1e:ce:37:2f:94:b6:82:d5:
                    85:0c:00:8c:1d:ca:4f:83:bb:36:5c:5d:ea:76:f7:
                    72:aa:6d:8b:09:d8:53:b3:12:6c:8a:cb:5b:75:17:
                    b9:b7:bf:03:db:48:6f:df:0d:d0:3a:0e:15:8b:57:
                    31:03:eb:ab:ea:97:ee:e1:2c:15:53:fb:20:dd:3b:
                    93:6b:bc:c7:53:5e:79:67:0b:79:26:3b:85:46:c6:
                    51:8f:3e:0c:60:3f:bb:f8:af:03:18:b4:a8:19:f8:
                    35:de:17:5d:69:3f:8a:ae:3f:10:78:66:27:2a:7d:
                    ac:a0:da:3b:50:ad:84:c3:d8:65:87:bf:37:53:ef:
                    bb:b9:1e:95:0d:15:41:e6:be:f6:ca:d5:3c:1e:b4:
                    44:36:9e:ae:a1:93:4c:aa:d3:42:a2:89:29:02:d0:
                    c1:8e:cf:b3:77:80:72:59:eb:2c:e3:ce:3d:f0:ef:
                    01:d7
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                Easy-RSA Generated Certificate
            X509v3 Subject Key Identifier: 
                96:FA:D4:68:BD:55:E4:C5:88:20:F3:F1:4A:58:50:B8:74:AF:7E:BA
            X509v3 Authority Key Identifier: 
                keyid:69:2D:87:5B:46:15:97:FD:AF:DF:70:1A:5E:AD:34:A5:13:05:33:65
                DirName:/C=KG/ST=BI/L=Bishkek/O=Mobi/OU=IT/CN=server/name=server/emailAddress=ilias@ilianapro.ru
                serial:EB:11:A9:45:EB:4B:6F:91

            X509v3 Extended Key Usage: 
                TLS Web Client Authentication
            X509v3 Key Usage: 
                Digital Signature
    Signature Algorithm: sha1WithRSAEncryption
         6f:82:be:00:31:1d:0b:11:b7:1e:08:1c:a0:50:0e:d5:b9:d1:
         7c:1b:4b:36:e0:7f:42:cd:0f:a3:68:b0:84:e7:c5:7b:8e:da:
         be:f4:b7:db:30:df:2c:04:4f:d6:0a:95:9d:10:30:2f:87:76:
         b8:9b:71:e9:d4:aa:a6:47:b5:8b:f6:8f:d6:a6:d4:6b:b3:7d:
         f2:eb:70:7a:b4:95:d0:1e:9c:d8:25:bf:f6:e4:63:f5:b9:26:
         99:41:1b:e6:5a:dd:cc:bf:f4:e2:61:56:de:9e:f8:41:46:88:
         48:58:b9:67:7a:e3:a0:b1:3c:1f:fc:07:9e:8d:6c:1d:63:9d:
         dd:86:5e:82:97:f3:8e:ff:52:94:b9:61:db:23:c7:4f:61:9a:
         da:d8:37:44:89:e1:5b:b9:f8:db:ff:d1:c2:73:22:a0:5c:71:
         cb:ac:ca:f5:de:68:e0:ad:0d:ce:b6:8c:e1:d9:49:51:f6:e3:
         dd:8a:03:37:e6:9c:d2:3b:da:84:2d:61:5b:25:79:d1:9b:5e:
         15:99:fe:5b:82:2c:7e:ea:f1:dc:6c:e3:77:cf:cc:8c:db:55:
         e9:26:fa:73:4d:c6:5a:25:85:0e:11:3f:f6:9b:a1:06:cd:ec:
         a2:af:0f:98:1d:ac:b1:02:5b:cb:a4:1c:4c:f2:32:8c:76:e8:
         b4:27:d9:5a
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----
</key>
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
edd1b1ebbaded82bc669c67db93fa043
fc6e1ce76b30307d1ded32069fabadd3
d3616daaf18900c444195781be4f97b6
47138e23da54db777ab7ff0d9e2f7fc0
de0806e0d49c43a4d2675d88f1c5731c
7ccb5afa5bea290a48aad969ef639397
5749340afe8d0e0db5f2780a7cce4788
344d8eea394aae71c025612659765941
29b8f646b62bb267c2d5dcaec65e9bb9
9f9faded4794a145fb6dfcea839a8ad2
0f9840703220cda671dba042ec994ff5
fc77601d9252aae72665146916272a5b
d6f8d269b491589b43de40ff16111d5c
20732d53eb9dd4f26438b6f14e7ef059
86e03be0905c7e4b1ce092fbeba5e542
c7517224779b1fe0a40ae7a08bd99a39
-----END OpenVPN Static key V1-----
</tls-auth>

cipher AES-256-CBC 
auth SHA512 

comp-lzo 

verb 4 

mute 20 

user nobody 
group nogroup

log-append openvpn_client.log 
status status_client.log 
tun-mtu 1500
tun-mtu-extra 32
mssfix

При попытке подключиться к OpenVPN с Windows 7 OpenVPN Client на сервере пишутся следующий лог:

==> /var/log/openvpn/openvpn.log <==
WWWWWMon Dec 23 20:11:28 2013 us=289353 MULTI: multi_create_instance called
Mon Dec 23 20:11:28 2013 us=289426 192.168.21.55:61845 Re-using SSL/TLS context
Mon Dec 23 20:11:28 2013 us=289473 192.168.21.55:61845 LZO compression initialized
Mon Dec 23 20:11:28 2013 us=289569 192.168.21.55:61845 Control Channel MTU parms [ L:1602 D:210 EF:110 EB:0 ET:0 EL:0 ]
Mon Dec 23 20:11:28 2013 us=289602 192.168.21.55:61845 Data Channel MTU parms [ L:1602 D:1450 EF:102 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Dec 23 20:11:28 2013 us=289752 192.168.21.55:61845 Local Options String: 'V4,dev-type tun,link-mtu 1602,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-server'
Mon Dec 23 20:11:28 2013 us=289778 192.168.21.55:61845 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1602,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-client'
Mon Dec 23 20:11:28 2013 us=289833 192.168.21.55:61845 Local Options hash (VER=V4): '14d315e7'
Mon Dec 23 20:11:28 2013 us=289870 192.168.21.55:61845 Expected Remote Options hash (VER=V4): 'a5d50645'
RMon Dec 23 20:11:28 2013 us=289931 192.168.21.55:61845 TLS: Initial packet from [AF_INET]192.168.21.55:61845, sid=308cca2b 5ce8c5ad
WRRWWWWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWWWWWWWWMon Dec 23 20:11:30 2013 us=335279 MULTI: multi_create_instance called
Mon Dec 23 20:11:30 2013 us=335354 192.168.21.55:61849 Re-using SSL/TLS context
Mon Dec 23 20:11:30 2013 us=335401 192.168.21.55:61849 LZO compression initialized
Mon Dec 23 20:11:30 2013 us=335497 192.168.21.55:61849 Control Channel MTU parms [ L:1602 D:210 EF:110 EB:0 ET:0 EL:0 ]
Mon Dec 23 20:11:30 2013 us=335530 192.168.21.55:61849 Data Channel MTU parms [ L:1602 D:1450 EF:102 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Dec 23 20:11:30 2013 us=335681 192.168.21.55:61849 Local Options String: 'V4,dev-type tun,link-mtu 1602,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-server'
Mon Dec 23 20:11:30 2013 us=335707 192.168.21.55:61849 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1602,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-client'
Mon Dec 23 20:11:30 2013 us=335749 192.168.21.55:61849 Local Options hash (VER=V4): '14d315e7'
Mon Dec 23 20:11:30 2013 us=335786 192.168.21.55:61849 Expected Remote Options hash (VER=V4): 'a5d50645'
RMon Dec 23 20:11:30 2013 us=335847 192.168.21.55:61849 TLS: Initial packet from [AF_INET]192.168.21.55:61849, sid=fe55955e 3d83b9f4
WRRWWWWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWWWW^C

Уже пару дней вкуриваю и не могу понять где проблема.

Заранее благодарен.

network, openvpn, vpn

Ilianapro
(23.12.13 18:14:16 MSK)

32 комментария

RSS подписка на новые темы