» OpenVPN

past0r
пробуйте tcpdump/ping/arping - как правило при помощи этих утилит можно определить где именно проблема

past0r
А в ядре форвардинг пакетов включен?

Ruza
Включен он у него:

Цитата:

echo 1 > /proc/sys/net/ipv4/ip_forward

NOwlar
Спасибо, я заметил ошибки и подправил!
переделал конфиг на tun, вот только когда добовляешь в конфиг сервера строчку iroute 192.168.150.0 255.255.255.0, сервер не просто не запускается.

past0r
нужно не в конфиг сервера, а в /etc/openvpn/ccd/NTagil
а что в логах, когда он не запускается?

и ещё одно: имя "NTagil" должно совпадать с Common Name, указанным при создании сертификата клиента. Если не совпадает, то проще переименовать файлик /etc/openvpn/ccd/NTagil

NOwlar

Ситуация не изменилась.
АЙСИЭМ запросы проходят из локальной сети до шлюза удаленного подразделения, тобишь я делвю запрос со своей машины до шлюза 192.168.100.200 >> 192.168.150.1 все проходит, но если я делаю запросы в локальную сеть 192.168.100.200 >> 192.168.150.110 ничего не выходит.

traceroute показывает:

traceroute to 192.168.150.110 (192.168.150.110), 30 hops max, 40 byte packets
1 192.168.100.1 (192.168.100.1) 0.243 ms 0.242 ms 0.244 ms
2 192.168.200.6 (192.168.200.6) 15.883 ms 31.608 ms 41.302 ms
3 * * *
-- // --
30 * * *

past0r
Давай так. Нужны полные server.conf и client.conf
И аутпут следующих команд при активном vpn подключении как на одном роутере так и на другом:
ifconfig
ip rule ls
ip route ls
iptables -t nat -L -nv
iptables -L -nv

сюда напрямую наверное не надо, лучше в zip-е на файлшаринг какой-нить.

Добавлено:
и ещё:
какой Common Name указан в /root/openvpn/keys/ekb.crt? (CN = ?)
как настроен роутинг на конечных компах из LAN1 и LAN2?

NOwlar


конфиги и оутпут можно утянуть от сюда: http://rapidshare.com/files/216808817/openvpn.tar.gz.html
CN=NTagil

Роутинг на локальных машинах в LAN-1 и LAN-2 дефолтовый.

из того что я увидел криминального - у тебя туннель установился 192.168.200.5<->192.168.200.6, а роутинг на серваке настроен через адрес 192.168.200.2, а на клиенте как и нужно через 192.168.200.5
чтобы детерминировать адреса при каждом подключении добавь в /etc/openvpn/ccd/NTagil строчку

Код:
ifconfig-push 192.168.200.1 192.168.200.2

NOwlar
Я все маршруты прописывал по разному, и ручками как положенно! Но дело не вв этом

содержимое /etc/openvpn/ccd/NTagil в студию? Можно через ПМ.

Есть пролема такая:

имеется 2-а провайдера

Провайдер1 и Провадер2, основной провайдер1.

Есть ВПН соединение надо что бы оно поднималось через провайдер2, как это можно сделать.

На компе стоит w2k3

Прописать статический роут на впн-сервер через второго провадера.

route /?

А поподробней это как ?
на ВПН сервере динамический ИП адрес и настроен через dyndns
на клиенте где w2k3 надо подключиться через провайдера вторго который не по умолчанию прописан в маршруте.
он соединяет ВПН но не через того провайдера которого надо как сделать то что бы он соединял через нужный мне интерфейс если на другой строне статический ИП адрес.

Ну значит надо задачу разделить на логические составляющие - определение айпишника сервера, прописывание к нему статического маршрута и создание соединения. Соединение лучше создавать на айпишник, а не на имя - если вдруг сервер переконнектиться чтобы трафик не побежал через основной интерфейс.

Я в винде не силен - посему чем это делать я не в курсе. В фре знаю как решается - но тебе от этого толку, скорее всего, никакого :) На фре этот вопрос решается настройкой фаервола.

Да я понимаю что надо определять IP адрес для этого я и сделал dyndns но как в винде сделать что бы после определить IP и создать маршрут.

Народ помогите, перечитал кучу форумов, понимаю что не так и сложно настроить, но сталкнулься с такой траблой, все на винде, сервак win 2003 EE SP2 (RRas, DNS) на нем висит wingate, на нем же развернут server openvpn, машинки клиенты на win home, так вот задача видеть сеть за сервером с сети за клиентом, и наоборот, даже точнее некоторые тачки с сети за сервером видят все сети за клиентами openvpn, и некоторые тачки оттуда видят сеть за сервером openvpn. На данный момент, с сервера вижу сети за клиентами, но с тачки за сервером не вижу сетей, с клиента вижу сервер (это естественно, но за ним ни чего не вижу, пинги не проходят)


конфиг сервера
dev tun
# подсеть и маска сервера которые будут созданы при подключении,
# сервер получит айпи 10.1.0.1 с маской 255.255.255.0 а клиент свой IP
# из этого диапазона например 10.1.0.6 (а точнее такой и будет).
server 192.168.149.0 255.255.255.0 # предполагая что у вас за сервером на внутренней сетевой (192.168.1.1)
# сидит сеть 192.168.1.0 соответственно вам нужно для получения к ней
# доступа добавить запись в таблицу маршрутизации.
route-delay 30
route-method exe
push "route 192.168.149.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.90.0 255.255.255.0"
#push "route-gateway 192.168.149.1"
#route-gateway 192.168.149.1
tls-server
ca keys//ca.crt
cert keys//server.crt
key keys//server.key
dh keys//dh1024.pem
proto udp
port 1194
ifconfig-pool-persist ipp.txt
route 192.168.90.0 255.255.255.0
route 192.168.1.0 255.255.255.0
route 192.168.0.0 255.255.255.0
route 192.168.149.0 255.255.255.0
client-config-dir ccd
client-to-client
comp-lzo
keepalive 10 120
verb 3
status openvpn-status.log
log log.txt



конфиг клиента
client
;dev tap
dev tun
;proto tcp
proto udp
remote 195.5.*.* 1194
ca keys/ca.crt
cert keys/test.crt
key keys/test.key
comp-lzo
verb 3

таблица маршрутизациия из route print servera


IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x3 ...00 1a 92 72 d0 61 ...... Realtek RTL8168/8111 PCI-E Gigabit Ethernet
- Kaspersky Anti-Virus NDIS Miniport
0x4 ...00 ff 00 98 d4 fa ...... TAP-Win32 Adapter V8 - Kaspersky Anti-Virus
Miniport
0x80002 ...00 e0 4d d6 93 d3 ...... Realtek RTL8139 Family PCI Fast Ethernet
- Kaspersky Anti-Virus NDIS Miniport
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 195.5.108.65 195.5.108.66 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.149.2 192.168.149.1 1
192.168.1.0 255.255.255.0 192.168.1.1 192.168.1.1 10
192.168.1.1 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.1.255 255.255.255.255 192.168.1.1 192.168.1.1 10
192.168.60.0 255.255.255.0 192.168.60.25 195.5.108.66 30
192.168.60.25 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.60.255 255.255.255.255 192.168.60.25 195.5.108.66 30
192.168.90.0 255.255.255.0 192.168.149.2 192.168.149.1 1
192.168.149.0 255.255.255.252 192.168.149.1 192.168.149.1 30
192.168.149.0 255.255.255.0 192.168.149.1 192.168.149.1 1
192.168.149.1 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.149.255 255.255.255.255 192.168.149.1 192.168.149.1 30
195.5.108.64 255.255.255.248 195.5.108.66 195.5.108.66 30
195.5.108.66 255.255.255.255 127.0.0.1 127.0.0.1 30
195.5.108.255 255.255.255.255 195.5.108.66 195.5.108.66 30
224.0.0.0 240.0.0.0 192.168.1.1 192.168.1.1 10
224.0.0.0 240.0.0.0 192.168.149.1 192.168.149.1 30
224.0.0.0 240.0.0.0 195.5.108.66 195.5.108.66 30
255.255.255.255 255.255.255.255 192.168.1.1 192.168.1.1 1
255.255.255.255 255.255.255.255 192.168.149.1 192.168.149.1 1
255.255.255.255 255.255.255.255 195.5.108.66 195.5.108.66 1
Основной шлюз: 195.5.108.65
===========================================================================
Постоянные маршруты:
Отсутствует


Если еще нужна какая либо инфа, я выложу, плиззз уже башка просто скоро лопнет

В чем может быть проблема ?
Поднял OpenVPN сервер и клиент друг друга видят и нормально пингуют и клиент прекрасно видит сетку с другой стороны.
А сервер видит только VPN соединения клиента и ни как не могу увидеть сетку за клиентом все маршруты прописаны вроде бы как правильно ни каких фаерволов нету.

Сервер VPN стоит на XP маршрутизация включена. А на клиенте w2k3 там то же NAT включен и фаервол выключен на VPN соединении.

Вот маршруты сервера, не могу достучаться до 192.168.1.1, 192.68.200.xxx - VPN:

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.4.1 192.168.4.100 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.200.2 192.168.200.1 1
192.168.4.0 255.255.255.0 192.168.4.100 192.168.4.100 20
192.168.4.100 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.4.255 255.255.255.255 192.168.4.100 192.168.4.100 20
192.168.200.0 255.255.255.252 192.168.200.1 192.168.200.1 30
192.168.200.0 255.255.255.0 192.168.200.2 192.168.200.1 1
192.168.200.1 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.200.255 255.255.255.255 192.168.200.1 192.168.200.1 30
224.0.0.0 240.0.0.0 192.168.4.100 192.168.4.100 20
224.0.0.0 240.0.0.0 192.168.200.1 192.168.200.1 30
255.255.255.255 255.255.255.255 192.168.4.100 192.168.4.100 1
255.255.255.255 255.255.255.255 192.168.200.1 192.168.200.1 1
Основной шлюз: 192.168.4.1
===========================================================================
Постоянные маршруты:
Отсутствует

Может кто чего посоветует, в чем может быть проблема ?

помогите знатоки
есть серевер, на него выделены реальные айпи адреса провайдером.
есть клиенты, которые должны подключиться к данному серверу через интернет и получить данные реальные айпи адресса.
как это сделать?
пробовал через бриджинг (объединение тап опенвпн интерфейса с сетевой, смотряшей в провайдера) - не получилось

Люди
существует ли русскоязычный faq для поднятия сервера на Win Xp
для ламеров

Oysten
afaik нет. на хоботе есть топик - там на первой странице есть что почитать в сжатом виде если. но может быть это не то что вы ищите.

мне нужно с картинками (нет я не глупый)
лан пшел рыть паутину дальше
спасибо за наводку

доброго времени суток. понадобилось овпн сервер, к которому подрубается 100-200 юзеров перевести с удп на тсп. и получилась неприятная вещь - пинги по тсп иногда резко подскакивают, таким образом:

для сравнения - лог винмтр для овпна по удп

(картинки залил т.к. не нашёл тега для моноширинного шрифта о_О)
какие хитрости есть у овпн при использовании тсп протокола? как можно избавиться от таких скачков пинга?

rain87
насколько я знаю - всё что можно сделать это

Код: socket-flags TCP_NODELAY
push "socket-flags TCP_NODELAY"

phaoost
Цитата:

socket-flags TCP_NODELAY

весьма помогло, спасибо большое! теперь по тсп картина выглядит так

что значительно симпатичнее

ещё раз спс. я как обычно не догадался повнимательнее почитать мануал

rain87
рад что вам помогло. к сожалению в моих случаях это не помогает

Господа, нуждаюсь в помощи
Никак не удается настроить OpenVPN клиент под Windows Vista x86 SP2. С аналогичными настройками на WinXP SP3 всё работает безукоризненно. В Висте трафик или же вообще не идет, или же идет через мой IP. Клиент - OpenVPN 2.1 RC7. Мануал по установке брал отсюда
Конфиг-файл:

Код: client
dev tun
proto tcp
remote 90.xxx.53.xxx
port 21
persist-key
persist-tun
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\client3.crt"
key "C:\\Program Files\\OpenVPN\\config\\client3.key"
tls-client
tls-auth "C:\\Program Files\\OpenVPN\\config\\ta.key" 1
ns-cert-type server
comp-lzo
verb 3
route-method exe
route-delay 2

D_Master
а пришлите логи и route print. в висте вообще-то нужно выключать uac.

Лог OpenVPN:
http://paste2.org/p/211497

route print с включенным OpenVPN:
http://paste2.org/p/211500

route print с отключенным OpenVPN:
http://paste2.org/p/211501

Заранее спасибо!

ЗЫ UAC отключен.

Цитата:

1. Для того чтобы клиент openvpn заработал в windows vista необходимо добавить в конфиг файл клиентской части следующие строки:

route-method exe
route-delay 2

Затем нужно создать bat файл следующего содержания:
“C:\Program Files\OpenVPN\bin\openvpn.exe” полный_путь_до_конфига
Для запуска VPN правой кнопкой мыши жмем на полученном bat файле и выбираем “Запустить как администратор”

copyright "ersupport"

И ещё, Openvpn добавляет маршрут и дальше кракозябры с последующим Term Signal-ом, так вот что за кракозябры ? Залей на обменник лучше. Скорее всего в 866 кодировке --->>


Цитата:

Thu May 14 18:34:46 2009 route ADD 0.0.0.0 MASK 0.0.0.0 92.xxx.221.x3
‘Ў®© ¤®Ў ў«ҐЁп ¬ аиагв : ќв®в ®ЎкҐЄв 㦥 бгйҐбвўгҐв.
Thu May 14 18:34:49 2009 Closing TUN/TAP interface
Thu May 14 18:34:49 2009 SIGTERM[hard,] received, process exiting