» openVPN и windows

проблема нипель...
есть две сети, нуно их соединить


скачал openvpn
создал ключи, и теперь тра...юсь немогу подцепить клиента..
ни одного.

вот конфиг севера

port 1194
proto udp
dev tun
topology subnet
route-method exe
route-delay 10
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.key"
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"
server 10.8.0.0 255.255.255.0
route-gateway 10.8.0.1
push "route 192.168.2.0 255.255.255.0"
client-config-dir ccd "C:\\Program Files\\OpenVPN\\ccd\\office1"
route 192.168.100.0 255.255.255.0 10.8.0.2
route 10.8.0.0 255.255.255.0
client-config-dir "C:\\Program Files\\OpenVPN\\ccd"
client-to-client
keepalive 5 60
tls-server
tls-auth "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ta.key"
cipher BF-CBC
comp-lzo
persist-key
persist-tun
verb 3

вот клинет

dev tun
proto udp
port 1194
remote 77.82.xx.xx
tls-client
remote-cert-tls server
resolv-retry infinite
route-method exe
route-delay 10
pull
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\office1.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\office1.key"
tls-auth "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ta.key"
cipher BF-CBC
comp-lzo
persist-key
persist-tun
verb 5
keepalive 5 60

-------------------
перепробовал разные..
вот логи севера

Fri Jun 22 17:06:40 2012 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Fri Jun 22 17:06:40 2012 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Fri Jun 22 17:06:40 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Jun 22 17:06:40 2012 Diffie-Hellman initialized with 1024 bit key
Fri Jun 22 17:06:40 2012 Control Channel Authentication: using 'C:\Program Files\OpenVPN\easy-rsa\keys\ta.key' as a OpenVPN static key file
Fri Jun 22 17:06:40 2012 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Jun 22 17:06:40 2012 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Jun 22 17:06:40 2012 TLS-Auth MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Fri Jun 22 17:06:40 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Jun 22 17:06:40 2012 ROUTE default_gateway=192.168.1.254
Fri Jun 22 17:06:40 2012 TAP-WIN32 device [Подключение по локальной сети 4] opened: \\.\Global\{2DDD455D-9077-46B7-80C2-58D69CF3E47D}.tap
Fri Jun 22 17:06:40 2012 TAP-Win32 Driver Version 9.9
Fri Jun 22 17:06:40 2012 TAP-Win32 MTU=1500
Fri Jun 22 17:06:40 2012 Set TAP-Win32 TUN subnet mode network/local/netmask = 10.8.0.0/10.8.0.1/255.255.255.0 [SUCCEEDED]
Fri Jun 22 17:06:40 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.1/255.255.255.0 on interface {2DDD455D-9077-46B7-80C2-58D69CF3E47D} [DHCP-serv: 10.8.0.254, lease-time: 31536000]
Fri Jun 22 17:06:40 2012 Sleeping for 10 seconds...
Fri Jun 22 17:06:50 2012 Successful ARP Flush on interface [16] {2DDD455D-9077-46B7-80C2-58D69CF3E47D}
Fri Jun 22 17:06:50 2012 C:\WINDOWS\system32\route.exe ADD 192.168.100.0 MASK 255.255.255.0 10.8.0.2
ЋЉ
Fri Jun 22 17:06:50 2012 C:\WINDOWS\system32\route.exe ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.1
‘Ў®© ¤®Ў ў«Ґ-Ёп ¬ аиагв : ќв®в ®ЎкҐЄв 㦥 бгйҐбвўгҐв.
Fri Jun 22 17:06:50 2012 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Jun 22 17:06:50 2012 UDPv4 link local (bound): [undef]:1194
Fri Jun 22 17:06:50 2012 UDPv4 link remote: [undef]
Fri Jun 22 17:06:50 2012 MULTI: multi_init called, r=256 v=256
Fri Jun 22 17:06:50 2012 IFCONFIG POOL: base=10.8.0.2 size=252
Fri Jun 22 17:06:50 2012 Initialization Sequence Completed
Fri Jun 22 17:06:50 2012 IPv6 in tun mode is not supported in OpenVPN 2.2


он запускается.


вот логи клиента, который сцука стоит и не пускат,
Fri Jun 22 19:09:34 2012 us=968000 UDPv4 link remote: 77.82.xx.xx:1194
Fri Jun 22 19:10:34 2012 us=78000 [UNDEF] Inactivity timeout (--ping-restart), restarting
Fri Jun 22 19:10:34 2012 us=78000 TCP/UDP: Closing socket
Fri Jun 22 19:10:34 2012 us=78000 SIGUSR1[soft,ping-restart] received, process restarting
Fri Jun 22 19:10:34 2012 us=78000 Restart pause, 2 second(s)
Fri Jun 22 19:10:36 2012 us=78000 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Jun 22 19:10:36 2012 us=78000 Re-using SSL/TLS context
Fri Jun 22 19:10:36 2012 us=78000 LZO compression initialized
Fri Jun 22 19:10:36 2012 us=78000 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Fri Jun 22 19:10:36 2012 us=78000 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Jun 22 19:10:36 2012 us=140000 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Jun 22 19:10:36 2012 us=140000 Local Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Fri Jun 22 19:10:36 2012 us=140000 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Fri Jun 22 19:10:36 2012 us=140000 Local Options hash (VER=V4): '02af3434'
Fri Jun 22 19:10:36 2012 us=140000 Expected Remote Options hash (VER=V4): '3f08d474'
Fri Jun 22 19:10:36 2012 us=140000 UDPv4 link local (bound): [undef]:1194
Fri Jun 22 19:10:36 2012 us=140000 UDPv4 link remote: 77.82.xx.xx:1194

может я чего то понимаю или не вижу, буду признателен..

tun не работает на винде - там tap

ri Jun 22 20:35:28 2012 us=875000 UDPv4 WRITE [42] to 77.82.83.158:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #1 ] [ ] pid=0 DATA len=0
Fri Jun 22 20:35:30 2012 us=984000 UDPv4 WRITE [42] to 77.82.83.158:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #2 ] [ ] pid=0 DATA len=0
Fri Jun 22 20:35:34 2012 us=125000 UDPv4 WRITE [42] to 77.82.83.158:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #3 ] [ ] pid=0 DATA len=0


а эти ошибки что означают

https://www.google.com.ua/search?aq=f&sugexp=chrome,mod=8&sourceid=chrome&ie=UTF-8&q=P_CONTROL_HARD_RESET_CLIENT_V2

проблемы с тлс-ом

[more]
# Which TCP/UDP port should OpenVPN listen on?
# If you want to run multiple OpenVPN instances
# on the same machine, use a different port
# number for each one. You will need to
# open up this port on your firewall.
port 1194

# TCP or UDP server?
proto udp

# "dev tun" will create a routed IP tunnel,
# "dev tap" will create an ethernet tunnel.
# Use "dev tap0" if you are ethernet bridging
# and have precreated a tap0 virtual interface
# and bridged it with your ethernet interface.
# If you want to control access policies
# over the VPN, you must create firewall
# rules for the the TUN/TAP interface.
# On non-Windows systems, you can give
# an explicit unit number, such as tun0.
# On Windows, use "dev-node" for this.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
dev tun

# SSL/TLS root certificate (ca), certificate
# (cert), and private key (key). Each client
# and the server must have their own cert and
# key file. The server and all clients will
# use the same ca file.
#
# See the "easy-rsa" directory for a series
# of scripts for generating RSA certificates
# and private keys. Remember to use
# a unique Common Name for the server
# and each of the client certificates.
#
# Any X509 key management system can be used.
# OpenVPN can also use a PKCS #12 formatted key file
# (see "pkcs12" directive in man page).
ca keys_routing/ca.crt
cert keys_routing/server.crt
key keys_routing/server.key # This file should be kept secret

# Diffie hellman parameters.
# Generate your own with:
# openssl dhparam -out dh1024.pem 1024
# Substitute 2048 for 1024 if you are using
# 2048 bit keys.
dh keys_routing/dh1024.pem

# Configure server mode and supply a VPN subnet
# for OpenVPN to draw client addresses from.
# The server will take 10.8.0.1 for itself,
# the rest will be made available to clients.
# Each client will be able to reach the server
# on 10.8.0.1. Comment this line out if you are
# ethernet bridging. See the man page for more info.
server 172.16.16.0 255.255.255.0


# Push routes to the client to allow it
# to reach other private subnets behind
# the server. Remember that these
# private subnets will also need
# to know to route the OpenVPN client
# address pool (10.8.0.0/255.255.255.0)
# back to the OpenVPN server.
push "route 192.168.4.0 255.255.255.0"

# To assign specific IP addresses to specific
# clients or if a connecting client has a private
# subnet behind it that should also have VPN access,
# use the subdirectory "ccd" for client-specific
# configuration files (see man page for more info).

# EXAMPLE: Suppose the client
# having the certificate common name "Thelonious"
# also has a small subnet behind his connecting
# machine, such as 192.168.40.128/255.255.255.248.
# First, uncomment out these lines:
client-config-dir ccd_routing
route 192.168.0.0 255.255.255.0
route 169.254.0.0 255.255.0.0

# Uncomment this directive to allow different
# clients to be able to "see" each other.
# By default, clients will only see the server.
# To force clients to only see the server, you
# will also need to appropriately firewall the
# server's TUN/TAP interface.
client-to-client

# The keepalive directive causes ping-like
# messages to be sent back and forth over
# the link so that each side knows when
# the other side has gone down.
# Ping every 10 seconds, assume that remote
# peer is down if no ping received during
# a 120 second time period.
keepalive 5 30

# For extra security beyond that provided
# by SSL/TLS, create an "HMAC firewall"
# to help block DoS attacks and UDP port flooding.
#
# Generate with:
# openvpn --genkey --secret ta.key
#
# The server and each client must have
# a copy of this key.
# The second parameter should be '0'
# on the server and '1' on the clients.
tls-auth keys_routing/ta.key 0 # This file is secret

# Enable compression on the VPN link.
# If you enable it here, you must also
# enable it in the client config file.
comp-lzo

# The maximum number of concurrently connected
# clients we want to allow.
max-clients 100


# It's a good idea to reduce the OpenVPN
# daemon's privileges after initialization.
#
# You can uncomment this out on
# non-Windows systems.
user nobody
group nobody

# Set the appropriate level of log
# file verbosity.
#
# 0 is silent, except for fatal errors
# 4 is reasonable for general usage
# 5 and 6 can help to debug connection problems
# 9 is extremely verbose
verb 3

# Silence repeating messages. At most 20
# sequential messages of the same message
# category will be output to the log.
mute 20

[/more]

вот конфиг сервера на фре

Добавлено:
там еще вопросы с роутингом - надо клиентам жестко айпишники раздавать в тоннеле

/usr/local/etc/openvpn/ccd_routing/192-168-8-0
iroute 192.168.8.0 255.255.255.0
ifconfig-push 172.16.16.22 172.16.16.21


/usr/local/etc/openvpn/ccd_routing/192-168-22-0
iroute 192.168.8.0 255.255.255.0
ifconfig-push 172.16.16.18 172.16.16.17

нужно разбить сетку на мелкие и из них выдавать жестко, иначе не работает.

Добавлено:
З.Ы. фигню в конфиге сервра понаписывал - разбирайся дальше
Цитата:

route-gateway 10.8.0.1
push "route 192.168.2.0 255.255.255.0"
client-config-dir ccd "C:\\Program Files\\OpenVPN\\ccd\\office1"
route 192.168.100.0 255.255.255.0 10.8.0.2
route 10.8.0.0 255.255.255.0
client-config-dir "C:\\Program Files\\OpenVPN\\ccd"
client-to-client

вот здесь полный бред. Почитай примеры конфигов с оффсайта - там все рабочее

все команды прошли кроме этой...
скажите если я эту команду
openvpn --genkey -secret ta.key
запускаю через ком.строку и она не стартует, что это может быть,
я её создал через
на сколько я понял это тоже самое.
Generate a static OpenVPN key
после чего файл переименовал и поместил где должно быть.

а это всего-лишь значит, что винда не знает где лежит openvpn.exe , так что надо перейти в директорию где он установлен и там выполнить команду.

cd C:\\Program Files\\OpenVPN\\bin

Добавлено:
ссори - ошибся насчет tun-tap , интерфейс действительно называется tap, но он универсальный и может исполнять и tun и tap

Добавлено:

Код: port 1194
proto udp
dev tun
topology subnet
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.key"
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"
server 10.8.0.0 255.255.255.0
push "route 192.168.2.0 255.255.255.0"
route 192.168.100.0 255.255.255.0
client-to-client
keepalive 5 60
tls-auth "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ta.key"
comp-lzo
persist-key
persist-tun
verb 3

server 2008/ server 2003/ win xp sp3

Добавлено:
поправил конфиг сервера, но всё равно не пускает,
в в логе пишет
Fri Jun 22 22:01:50 2012 us=188000 [UNDEF] Inactivity timeout (--ping-restart), restarting
Fri Jun 22 22:01:50 2012 us=188000 TCP/UDP: Closing socket
типа что порт закрыт, но до этого стоял старый сервер 2003 всё работало, и только версия впн стояла 2,0,9 нуно было сервер менять обновил до 2008 и теперь колдую с впн


Добавлено:
тоже и интересно, сама служба впн должна быть включена, если её вкл тогда сервер перестаёт выходить в сеть



Добавлено:
я провал менять порты, на 3389 5000 да любые 443 нифига, теже ошибки

Добавлено:

Цитата:

а это всего-лишь значит, что винда не знает где лежит openvpn.exe , так что надо перейти в директорию где он установлен и там выполнить команду.

cd C:\\Program Files\\OpenVPN\\bin

тоже не работает, может из-за этой команды не работать?

Добавлено:
в win 7 пытался сделать тоже самое cd C:\\Program Files(x86)\\OpenVPN\\bin
но команда не запускается
openvpn --genkey -secret ta.key
прошу помощи, т.к. я уже не знаю что делать... у многих работает, а меня нет... всё делаю по многочисленным мануалам.. и нифига...

насколько я понял, сам тоннель поднимается - просто через него не идет рафик.

route print что говорит

клиент

C:\Documents and Settings\proba>route print
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 11 5b 0b 2f 46 ...... VIA Rhine II Fast Ethernet Adapter - ╠шэшяюЁЄ яы
рэшЁют∙шър яръхЄют
0x3 ...00 19 db 96 6a 0e ...... 802.11g PCI Turbo Wireless Adapter - ╠шэшяюЁЄ яы
рэшЁют∙шър яръхЄют
0x30004 ...00 ff 63 f2 93 bf ...... TAP-Win32 Adapter V9 - Kaspersky Anti-Virus
NDIS Miniport
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.254 192.168.1.3 20
0.0.0.0 0.0.0.0 192.168.100.171 192.168.100.243 25
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.3 192.168.1.3 20
192.168.1.3 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.255 255.255.255.255 192.168.1.3 192.168.1.3 20
192.168.100.0 255.255.255.0 192.168.100.243 192.168.100.243 25
192.168.100.243 255.255.255.255 127.0.0.1 127.0.0.1 25
192.168.100.255 255.255.255.255 192.168.100.243 192.168.100.243 25
224.0.0.0 240.0.0.0 192.168.1.3 192.168.1.3 20
224.0.0.0 240.0.0.0 192.168.100.243 192.168.100.243 25
255.255.255.255 255.255.255.255 192.168.1.3 30004 1
255.255.255.255 255.255.255.255 192.168.1.3 192.168.1.3 1
255.255.255.255 255.255.255.255 192.168.100.243 192.168.100.243 1
Основной шлюз: 192.168.1.254
===========================================================================
Постоянные маршруты:
Отсутствует


Добавлено:
server

C:\Program Files\OpenVPN\easy-rsa>route print
===========================================================================
Список интерфейсов
16 ...00 ff 2d dd 45 5d ...... TAP-Win32 Adapter V9
14 ...00 ff 0f 39 28 2d ...... TAP-Win32 Adapter OAS
11 ...e4 11 5b ae f3 41 ...... HP NC112i 1-port Ethernet Server Adapter #2
10 ...e4 11 5b ae f3 40 ...... HP NC112i 1-port Ethernet Server Adapter
1 ........................... Software Loopback Interface 1
13 ...00 00 00 00 00 00 00 e0 isatap.{6FAA0852-6DFB-4CE0-B582-EE6500353994}
12 ...00 00 00 00 00 00 00 e0 isatap.{4685D202-81C8-4005-B813-9DA0ACA6A4F7}
15 ...00 00 00 00 00 00 00 e0 isatap.{0F39282D-3BCD-4E82-A812-C687001A0795}
18 ...00 00 00 00 00 00 00 e0 ================================================
===========================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.254 192.168.1.3 276
10.8.0.0 255.255.255.0 On-link 10.8.0.1 286
10.8.0.1 255.255.255.255 On-link 10.8.0.1 286
10.8.0.255 255.255.255.255 On-link 10.8.0.1 286
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.1.0 255.255.255.0 On-link 192.168.1.3 276
192.168.1.0 255.255.255.0 On-link 10.8.0.1 31
192.168.1.3 255.255.255.255 On-link 192.168.1.3 276
192.168.1.255 255.255.255.255 On-link 192.168.1.3 276
192.168.1.255 255.255.255.255 On-link 10.8.0.1 286
192.168.100.0 255.255.255.0 On-link 192.168.100.111 276
192.168.100.0 255.255.255.0 10.8.0.2 10.8.0.1 30
192.168.100.111 255.255.255.255 On-link 192.168.100.111 276
192.168.100.255 255.255.255.255 On-link 192.168.100.111 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.1.3 276
224.0.0.0 240.0.0.0 On-link 192.168.100.111 276
224.0.0.0 240.0.0.0 On-link 10.8.0.1 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.1.3 276
255.255.255.255 255.255.255.255 On-link 192.168.100.111 276
255.255.255.255 255.255.255.255 On-link 10.8.0.1 286
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.1.254 По умолчанию
===========================================================================

bugzi83 У тебя на клиенте Кашпировский стоит. Может, он гадит?

Цитата:

 16 ...00 ff 2d dd 45 5d ...... TAP-Win32 Adapter V9
 14 ...00 ff 0f 39 28 2d ...... TAP-Win32 Adapter OAS

в конфиге надо указать имя адаптера, если их больше одного. Лучше переименовать во что-нибуть типа ovpn, на буржучйском чтобы.

З.Ы. на клиенте нет 10-ой сетки, сними в свойствах адаптера на клиенте, кажись вторая закладка про какую-то там проверку подлинности или как-то так.

Цитата:

У тебя на клиенте Кашпировский стоит. Может, он гадит?

спасибо кажется помогло, там стоит у меня серверный каспер, я ему в политике прописал порты и удаленный ip и начал пускать.

Добавлено:

Цитата:

tankistua

Вам отдельное спасибо, за помощь. буду тестировать дальше, отпишусь.

Всем привет, помогите пожалуйста, с маршрутизацией в OpenVPN:

есть сеть 192.168.1.0/24, в ней находиться сервер openvpn (работает на windows 2008 r2)
сеть между vpn 10.10.10.0/24
есть клиент у него под сети меняются постоянно так как работает с разных мест

задача такая, нужно что бы клиент видел под сеть 192.168.1.0/24
клиент подключается к серверу получает ip, пинг между тоннелями есть, но нет пинга в сеть которая находиться за сервером opnvpn. Подскажите пожалуйста!

конфигурация сервера:
dev tap
#dev-node "VPN"
proto tcp-server
#proto udp
port 7777
tls-server
server 10.10.10.0 255.255.255.0
comp-lzo
route-method exe
push "route 192.168.1.0 255.255.255.0"
client-to-client
client-config-dir C:\\OpenVPN\\config\\ccd
ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt
dh C:\\OpenVPN\\ssl\\dh1024.pem
ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\server.crt
key C:\\OpenVPN\\ssl\\server.key
#persist-key
tls-auth C:\\OpenVPN\\ssl\\ta.key 0
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
keepalive 10 120
status C:\\OpenVPN\\log\\openvpn-status.log
log C:\\OpenVPN\\log\\openvpn.log
verb 4

route server:

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрик
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.34 266
10.10.10.0 255.255.255.0 On-link 10.10.10.1 31
10.10.10.1 255.255.255.255 On-link 10.10.10.1 286
10.10.10.255 255.255.255.255 On-link 10.10.10.1 286
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.1.0 255.255.255.0 On-link 192.168.1.34 266
192.168.1.34 255.255.255.255 On-link 192.168.1.34 266
192.168.1.255 255.255.255.255 On-link 192.168.1.34 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.1.34 266
224.0.0.0 240.0.0.0 On-link 10.10.10.1 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.1.34 266
255.255.255.255 255.255.255.255 On-link 10.10.10.1 286

конфигурация клиента:

# decker OpenVPN Config File (c) Decker, decker@compkaluga.ru
dev tap
# dev-node "OpenVPN"
proto tcp
remote х.х.х.х 7777
route-delay 3
client
tls-client
ns-cert-type server
ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\sergey.crt
key C:\\OpenVPN\\ssl\\sergey.key
tls-auth C:\\OpenVPN\\ssl\\ta.key 1
comp-lzo
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
ping-restart 60
ping 10
status C:\\OpenVPN\\log\\openvpn-status.log
log C:\\OpenVPN\\log\\openvpn.log
verb 3

route client:

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрик
0.0.0.0 0.0.0.0 172.20.10.1 172.20.10.2 25
10.10.10.0 255.255.255.0 On-link 10.10.10.4 286
10.10.10.4 255.255.255.255 On-link 10.10.10.4 286
10.10.10.255 255.255.255.255 On-link 10.10.10.4 286
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.20.10.0 255.255.255.240 On-link 172.20.10.2 281
172.20.10.2 255.255.255.255 On-link 172.20.10.2 281
172.20.10.15 255.255.255.255 On-link 172.20.10.2 281
192.168.1.0 255.255.255.0 10.10.10.1 10.10.10.4 30
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.10.10.4 286
224.0.0.0 240.0.0.0 On-link 172.20.10.2 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.10.10.4 286
255.255.255.255 255.255.255.255 On-link 172.20.10.2 281

smarkov_sys
Цитата:

есть сеть 192.168.1.0/24, в ней находиться сервер openvpn (работает на windows 2008 r2) сеть между vpn 10.10.10.0/24

Кто мешает настроить сервер, чтобы он выдавал клиентамм айпи из сети 192.168.1.0/24?

Доброго времени суток.
Имеется клиент на Debian с вот таким конфигом:
# Интерфейс всегда tap1
dev tap1
proto udp
remote 176.31.*.* 443
resolv-retry infinite
nobind
persist-key
persist-tun
#route-nopull
script-security 2
route-noexec
route-up /etc/openvpn/openvpn-client-nl/route.sh
ca /etc/openvpn/openvpn-client-nl/pki/keys/ca_fr_b.crt
cert /etc/openvpn/openvpn-client-nl/pki/keys/fr_b.crt
key /etc/openvpn/openvpn-client-nl/pki/keys/fr_b.key
cipher BF-CBC
comp-lzo
verb 4

Не подскажите как должен выглядеть конфиг файл на Win клиенте? Соответственно все сертификаты имеются.

DrDobrota
Цитата:

Не подскажите как должен выглядеть конфиг файл на Win клиенте?

Да как обычно, в общем...

Код: remote <IP.Address.or.DNS.Name.of.OpenVPN.Server>
port 443
proto udp
dev tap
nobind
tls-client
ca ca.crt
cert client.crt
key client.key
pull
verb 4

спасибо)) все работает)

А чем отличаются TAP-Win32 Adapter OAS и TAP-Windows Adapter V9 друг от друга?

zaremastr Наверное, названием.

Помогите понять почему сервер не доступен. Делал все по инструкции http://compkaluga.ru/articles/172/ все как бы работает, нормально.
TAP адаптер выглядит как "сетевой кабель не подключен" Так и должно быть пока клиент не подключился?
Пробовал подключаться с разных компов через интернет. Служба стартует, подключения нет, ничего не происходит, адаптер в том же состоянии, логи пустые и у клиентов и на сервере.
Пробовал проверку портов веб-сервисами показывает udp, tcp 7777 закрыт. Фаервол и антивирус отключал.
Есть только одна запись в логе сервера C:\OpenVPN\log\openvpn.log Но наверное не в этом проблема?
[MORE]Options error: --client-config-dir fails with 'C:\OpenVPN\config\ccd': No such file or directory
Options error: Please correct these errors.
Use --help for more information.
Press any key to continue...
[/MORE]
Может где-то есть еще логи?

ipconfig -all
[more][hide]Microsoft Windows [Versione 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Tutti i diritti riservati.

C:\Users\admin32>ipconfig -all

Configurazione IP di Windows

Nome host . . . . . . . . . . . . . . : COMP_PC
Suffisso DNS primario . . . . . . . . :
Tipo nodo . . . . . . . . . . . . . . : Ibrido
Routing IP abilitato . . . . . . . . : Si
Proxy WINS abilitato . . . . . . . . : No

Scheda Ethernet Connessione alla rete locale (LAN) 2:

Stato supporto. . . . . . . . . . . . : Supporto disconnesso
Suffisso DNS specifico per connessione:
Descrizione . . . . . . . . . . . . . : TAP-Windows Adapter V9
Indirizzo fisico. . . . . . . . . . . : 00-FF-D6-82-30-41
DHCP abilitato. . . . . . . . . . . . : Si
Configurazione automatica abilitata : Si

Scheda Ethernet Connessione alla rete locale (LAN):

Suffisso DNS specifico per connessione:
Descrizione . . . . . . . . . . . . . : Intel(R) 82578DM Gigabit Network Conn
ection
Indirizzo fisico. . . . . . . . . . . : 44-87-FC-91-0F-C5
DHCP abilitato. . . . . . . . . . . . : No
Configurazione automatica abilitata : Si
Indirizzo IPv6 . . . . . . . . . . . . . . . . . : 2002:c1ce:43e1:a:c991:888a
:12b1:73e2(Preferenziale)
Indirizzo IPv6 locale rispetto al sito . . . . . : fec0::a:c581:888a:1991:73e
2%1(Preferenziale)
Indirizzo IPv6 temporaneo. . . . . . . . . . . . : 2002:c1ce:43e1:a:c50:e2e3:
5203:a78a(Preferenziale)
Indirizzo IPv6 locale rispetto al collegamento . : fe80::c581:888a:1941:73e2%
10(Preferenziale)
Indirizzo IPv4. . . . . . . . . . . . : 192.167.44.110(Preferenziale)
Subnet mask . . . . . . . . . . . . . : 255.255.255.0
Gateway predefinito . . . . . . . . . : fe80::219:7ff:fe4c:8940%10
fe80::221:a1ff:fee6:1c40%10
fe80::64b9:41e4:bec9:9fdd%10
192.167.44.254
Server DNS . . . . . . . . . . . . . : 193.204.66.27
131.175.55.4
NetBIOS su TCP/IP . . . . . . . . . . : Attivato

Scheda PPP RAS (Dial In) Interface:

Suffisso DNS specifico per connessione:
Descrizione . . . . . . . . . . . . . : RAS (Dial In) Interface
Indirizzo fisico. . . . . . . . . . . :
DHCP abilitato. . . . . . . . . . . . : No
Configurazione automatica abilitata : Si
Indirizzo IPv4. . . . . . . . . . . . : 192.168.200.1(Preferenziale)
Subnet mask . . . . . . . . . . . . . : 255.255.255.255
Gateway predefinito . . . . . . . . . :
NetBIOS su TCP/IP . . . . . . . . . . : Attivato

Scheda Tunnel isatap.{6E06F030-7526-11D2-BAF4-00600815A4BD}:

Stato supporto. . . . . . . . . . . . : Supporto disconnesso
Suffisso DNS specifico per connessione:
Descrizione . . . . . . . . . . . . . : Microsoft ISATAP Adapter
Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP abilitato. . . . . . . . . . . . : No
Configurazione automatica abilitata : Si

Scheda Tunnel Teredo Tunneling Pseudo-Interface:

Suffisso DNS specifico per connessione:
Descrizione . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP abilitato. . . . . . . . . . . . : No
Configurazione automatica abilitata : Si
Indirizzo IPv6 . . . . . . . . . . . . . . . . . : 2001:0:5ef5:79fb:c58:bf3:3
f58:b291(Preferenziale)
Indirizzo IPv6 locale rispetto al collegamento . : fe80::c83:bf3:3f58:b491%11
(Preferenziale)
Gateway predefinito . . . . . . . . . :
NetBIOS su TCP/IP . . . . . . . . . . : Disattivato

Scheda Tunnel isatap.{DD34669D-87F7-4875-82FF-8E29B63824C4}:

Stato supporto. . . . . . . . . . . . : Supporto disconnesso
Suffisso DNS specifico per connessione:
Descrizione . . . . . . . . . . . . . : Microsoft ISATAP Adapter #2
Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP abilitato. . . . . . . . . . . . : No
Configurazione automatica abilitata : Si

Scheda Tunnel isatap.{D6854041-1848-4B82-A673-D96951472F3A}:

Stato supporto. . . . . . . . . . . . : Supporto disconnesso
Suffisso DNS specifico per connessione:
Descrizione . . . . . . . . . . . . . : Microsoft ISATAP Adapter #3
Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP abilitato. . . . . . . . . . . . : No
Configurazione automatica abilitata : Si[/hide][/more]

inapht
Цитата:

TAP адаптер выглядит как "сетевой кабель не подключен" Так и должно быть пока клиент не подключился?

Да
Цитата:

Пробовал проверку портов веб-сервисами показывает udp, tcp 7777 закрыт.

Тогда чего же ты хочешь?
Цитата:

Есть только одна запись в логе сервера

Может, он из-за нее не запускается? И что мешает создать директорию C:\OpenVPN\config\ccd? А вообще есть признаки, что сервер работает?
netstat -an на сервере порт 7777 показывает?

vlary
Не думал что инструкция не полная.
Создал папку, рестарт, адаптер сервера теперь работает. Причем сетевой кабель подключен и порт виден из инета (открыт). но клиенты пока не подключаются. Логи пустые.

inapht
если порт открыт, выполните на сервере винда - netstat -a линукс netstat -ln посмотрите LISTENING.

сделайте telnet server-ip-addr 7777 будет коннект или нет.

и последнее:

в параметрах клиента -

remote <IP.Address.or.DNS.Name.of.OpenVPN.Server>
port 443
proto udp
dev tap
nobind
tls-client
ca ca.crt
cert client.crt
key client.key
pull
verb 4

верхние 2 строчки соответствуют портам и адресу сервера?

на udp телнет не пойдет

tankistua
ну так надо сделать
proto tcp

Добавлено:
настроит на тисипи потом если что переключится.

inapht По-моему, пришла пора тебе показать здесь конфиги сервера и клиента.
Под тегом more, естественно.
Цитата:

Не думал что инструкция не полная.

Когда вместо изучения первоисточников пользуешься исключительно чужой жвачкой,
всегда есть шанс нарваться на проблемы из-за простой опечатки.

Оказалось надо было заново ключики сгенерировать. Подключился, но не получается использовать VPN для интернет трафика. В конце статьи как раз это описано. Только у меня клиент с мобильным интернетом МТС. Трафик не идет в тунель, хотя я там добавил все как описано. В логе клиента есть соответствующая запись:

Цитата:

Fri Oct 04 03:48:04 2013 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 0.0.0.0 10.10.10.1
Fri Oct 04 03:48:04 2013 Route addition via IPAPI succeeded [adaptive]
Fri Oct 04 03:48:04 2013 Initialization Sequence Completed

Получается такой route print:

Код: C:\Documents and Settings\Alex>route print
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 30 18 15 d1 df ...... VIA PCI 10/100Mb Fast Ethernet рфряЄхЁ - Kerio Control
0x620004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x630005 ...00 ff e4 fb 83 bb ...... TAP-Windows Adapter V9 - Kerio Control
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.10.10.1 10.10.10.2 1
0.0.0.0 0.0.0.0 10.96.253.29 10.96.253.29 1
10.10.10.0 255.255.255.0 10.10.10.2 10.10.10.2 30
10.10.10.2 255.255.255.255 127.0.0.1 127.0.0.1 30
10.96.253.29 255.255.255.255 127.0.0.1 127.0.0.1 50
10.255.255.255 255.255.255.255 10.10.10.2 10.10.10.2 30
10.255.255.255 255.255.255.255 10.96.253.29 10.96.253.29 50
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 240.0.0.0 10.10.10.2 10.10.10.2 30
224.0.0.0 240.0.0.0 10.96.253.29 10.96.253.29 1
255.255.255.255 255.255.255.255 10.10.10.2 10.10.10.2 1
255.255.255.255 255.255.255.255 10.10.10.2 2 1
255.255.255.255 255.255.255.255 10.96.253.29 10.96.253.29 1
Основной шлюз: 10.96.253.29
===========================================================================
Постоянные маршруты:
Отсутствует

C:\Documents and Settings\Alex>

inapht
Цитата:

но не получается использовать VPN для интернет трафика.

Для этого нужно:
1. На сервере сконфигурировать переключение дефол шлюза клиента на VPN канал (опция push "redirect-gateway def1 bypass-dhcp").
2. На сервере озаботиться, чтобы VPN клиенты НАТились наружу аналогично локальным клиентам.

[offtop] После прочтения понял, что настроить сервак OpenVPN на той же CentOS в разы проще, чем под виндой. Или может просто там мануалы понятнее? [/offtop]

vlary
Цитата:

По-моему, пришла пора тебе показать здесь конфиги сервера и клиента.

Стопроцентно согласен. Без них можно долго на кофейной гуще гадать, где косяк.

vlary
Можно поподробнее пожалуйста. В мануале такого слова нет redirect-gateway, но у него все работало.