» OpenVPN

1. Вопрос первый - почему бы не взять поновее клиент.
2. Вопрос второй - как себя ведет клиент если прописать маршрут вручную после соединения

Добавлено:
так в том мане нарисовано как метрику интерфейса поменять. Уберите автоматически и выставьте 10 например.
http://www.openvpn.ru/images/vpn_v4.jpg

D_Master
попробуйте

Код: route-metric 1
redirect-gateway def1

Большое спасибо всем, кто помогал! Обновил клиента, добавил в конец

Код: route-metric 1
redirect-gateway def1

D_Master
ради интереса если есть время - скажите а обе опции нужны или одной какой-нибудь достаточно? у меня нету вендов чтобы проверить, суппорт вслепую приходится делать

Столкнулся со следующей даже не проблемой а неудобством...
Стоит OpenVPN - сервер, сам работаю не на сервере а на удаленной машине.... очень часто приходилось лезть на сервер чтобы посмотреть статус файл OpenVPN чтобы определить если ли нужный пользователь в сети.... в инете покопался... ничего такого "легкого" нет...
нашел единственно вот этот проект

http://sourceforge.net/projects/openvpn-web-gui/

но он у меня нормально так и не заработал... на основе него сделал свое веб приложение, повесил его на tap интерфейс, вот решил выложить... может кому понадобиться...

http://file.qip.ru/file/87849907/1943424/openvpn-web-gui.html

вот скрин:

http://file.qip.ru/file/87850666/6bfd8233/FireShot_capture_2_-_OpenVPN_Web_GUI________-_openvpn_nethost_index_php_ActionStatus.html


правда тестировал его только под виндовс, апач+php5+smarty... если что = сильно не пинайте пож)))

phaoost
Лично у меня работает только с двумя, если redirect-gateway def1 убрать, трафик идет через мой IP.
Кстати, обнаружил новую проблему)) - с этой директивой (redirect-gateway def1) VPN через каждые 5 секунд переподключается к серверу. Очень сильно нервирует)) Не подскажете, случайно, как можно запретить переподключение?
В логах пишется следующее:


Код: Sun May 17 04:23:57 2009 Attempting to establish TCP connection with 90.1xx.53.xx7:21
Sun May 17 04:23:57 2009 TCP connection established with 90.1xx.53.xx7:21
Sun May 17 04:23:57 2009 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun May 17 04:23:57 2009 TCPv4_CLIENT link local: [undef]
Sun May 17 04:23:57 2009 TCPv4_CLIENT link remote: 90.1xx.53.xx7:21
Sun May 17 04:23:57 2009 TLS: Initial packet from 90.1xx.53.xx7:21, sid=d08e9ca5 949ef24c
Sun May 17 04:23:57 2009 VERIFY OK: depth=1, /C=ru/ST=rus/L=Ulanude/O=any/CN=Hearthstone/emailAddress=domain@xxxxxxxx.ru
Sun May 17 04:23:57 2009 VERIFY OK: nsCertType=SERVER
Sun May 17 04:23:57 2009 VERIFY OK: depth=0, /C=ru/ST=rus/L=Ulanude/O=any/CN=Hearthstone/emailAddress=domain@xxxxxxxx.ru
Sun May 17 04:23:58 2009 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun May 17 04:23:58 2009 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun May 17 04:23:58 2009 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun May 17 04:23:58 2009 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun May 17 04:23:58 2009 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sun May 17 04:23:58 2009 [Hearthstone] Peer Connection Initiated with 90.1xx.53.xx7:21
Sun May 17 04:23:59 2009 SENT CONTROL [Hearthstone]: 'PUSH_REQUEST' (status=1)
Sun May 17 04:23:59 2009 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.18 10.8.0.17'
Sun May 17 04:23:59 2009 OPTIONS IMPORT: timers and/or timeouts modified
Sun May 17 04:23:59 2009 OPTIONS IMPORT: --ifconfig/up options modified
Sun May 17 04:23:59 2009 OPTIONS IMPORT: route options modified
Sun May 17 04:23:59 2009 Preserving previous TUN/TAP instance: Подключение по локальной сети 2
Sun May 17 04:23:59 2009 Initialization Sequence Completed
Sun May 17 04:24:00 2009 Connection reset, restarting [-1]
Sun May 17 04:24:00 2009 TCP/UDP: Closing socket
Sun May 17 04:24:00 2009 SIGUSR1[soft,connection-reset] received, process restarting
Sun May 17 04:24:00 2009 Restart pause, 5 second(s)
Sun May 17 04:24:05 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun May 17 04:24:05 2009 Re-using SSL/TLS context
Sun May 17 04:24:05 2009 LZO compression initialized
Sun May 17 04:24:05 2009 Control Channel MTU parms [ L:1544 D:168 EF:68 EB:0 ET:0 EL:0 ]
Sun May 17 04:24:05 2009 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Sun May 17 04:24:05 2009 Local Options hash (VER=V4): 'ee93268d'
Sun May 17 04:24:05 2009 Expected Remote Options hash (VER=V4): 'bd577cd1'
Sun May 17 04:24:05 2009 Attempting to establish TCP connection with 90.1xx.53.xx7:21
Sun May 17 04:24:05 2009 TCP connection established with 90.1xx.53.xx7:21
Sun May 17 04:24:05 2009 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun May 17 04:24:05 2009 TCPv4_CLIENT link local: [undef]
Sun May 17 04:24:05 2009 TCPv4_CLIENT link remote: 90.1xx.53.xx7:21

получается что openvpn-клиент не видит своего сервера и поэтому переподключается.

Думаю, надо в фаерволе разрешить подключения на внешний интерфейс сервера из локалки.

З.Ы. но это идеи для проверки - я не уверен. Как вариант прописать статикой путь на сервер через внешний интерфейс.

D_Master
проверь, когда подключен овпн, идут пинги на овпн сервер? если нет то пропиши реально статикой роут как tankistua говорит (или не статикой, но до поднятия овпн)

D_Master
попробуйте понизить метрику до 2 а статический роут на сервер прописать с метрикой 1

Товарищи, я извиняюсь, но в этих делах я ничего не соображаю) Не могли бы вы чуть поподробнее намекнуть?)

phaoost,
Привет, вопрос по-видимому в основном к тебе.
Имеется сервер CentOS 5.2, у него есть своя сеть с реальным диапазоном ипов, в неё смотрит сетевуха eth0, к примеру пусть сеть будет 192.168.7.0; 192.168.7.1 - роутер, 192.168.7.2 - сам сервер на котором крутится тср опенвпн порт стандартный 1194. Вопрос в следующем: какие настройки нужны в конфиге сервера, чтобы он выдавал реальные ипы клиентам в диапазоне 192.168.7.3-192.168.7.255, которые будут видны в Инете у клиентов и с которых те будут лазить в нете (ипы реальные).
Пробовал по-разному, что-то настроить не получается - работает только если стандартно серая сеть ипов для опенвпн клиентов - 10.8.0.0 с натом на адрес сервера, получается нечто вроде прокси и все клиенты с серверного ипа шарят в Инете, а надо чтобы у каждого клиента был свой реальный ип с сети 192.168.7.0
Спасибо за помощь!

xxx2008
я бы сделал всё так - назначил реальный ип на комп. таким образом на eth0 появился бы реальный ип. далее, я бы делал server-bridge на реальную подсеть и раздавал бы реальные ипы. в качестве шлюза - ип рутера. вроде так.

по вашей конфигурации не совсем понятно - где именно реальные ипы? их рутер заворачивает на сервер? 192.168.7/24 - это приватный блок.

Добавлено:
phaoost
да, tap0 и eth0 должны быть в бридже. поднимать/убивать бридж через up/down

на eth0 реальный ип 192.168.7.2 (ну на самом деле он другой, это я для примера), а на виртуальном интерфейсе опенвпна tun0 10.8.0.0 приватная сеть в которую помещаются клиенты, из этой сети через iptables nat'om идёт перенаправление на 192.168.7.2 откуда они попадают в инет. А надо чтобы опенвпн выдавал ипы с 192.168.7.0 кроме 1,2 (заняты роутером и сервером) и клиенты попадают в Инет каждый со своего реального 192.168.7.х

Добавлено:
З.Ы. Если не трудно стукни мне в аську (выслал в ЛС), я серьёзную систему подымаю для заказчика и вот появилось пару вопросов по распределению ипов - если заказчик не кинет и заплатит как положено, то я тебя тоже не забуду и подкину денежку.

xxx2008
да, именно так я и предполагал. server-bridge [ gateway netmask pool-start-IP pool-end-IP ]

в вашем случае - server-bridge 192.168.7.1 255.255.255.0 192.168.7.3 192.168.7.254
ну и бридж не забыть поднять

Всем привет. Помогите пожалуйста решить проблему. Осталось совсем немного.

Условия и данные:
1. Есть дом и офис, дома реальный статистический городской IP (172.31.116.Х который получаю по pptp) и внутренний сетевой ИП сети (192.168.2.177) .
На работе прямой доступ к инету и городской сети через НАТ (внутренний IP на работе 192.168.110.250). Хочу поднять OpenVPN так, что бы из дома был доступен весь офис и из офиса весь дом.
НО что бы другие компы офиса доступ к домашней сети не имели. И вся домашняя сеть (кроме меня) НЕ могла видеть сеть офиса. (т.е. дома и в офисе на компах сервер-клиент необходимо поднять НАТ?)
2. Дома и в офисе ОС WindowsXP SP3.
3. Фаирволлов нет.
4. В реестре HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters для параметра IPEnableRouter стоит “1” и там и там.

Дома установил OpenVPN сервер, с работы офиса подключаюсь на него (на IP 172.31.116.X). Соединение устанавливается! Всё ок. Даже с ОФИСА с любой машины пингуется внутренний IP дома (192,168,2,177) а из дома пингуется внутренний IP офиса (192,168,110,250). Но НИ из дома НИ из офиса не пингуются IP адреса за сервером и за клиентом. Как это можно исправить??

Конфиг сервера:

Код: dev tun

proto tcp-server

tls-server

server 10.10.0.0 255.255.255.0

comp-lzo

push "route 192.168.2.0 255.255.255.0"

client-to-client

client-config-dir C:\\OpenVPN\\config\\ccd

ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt

dh C:\\OpenVPN\\ssl\\dh1024.pem
# Сертификат центра сертификации
ca C:\\OpenVPN\\ssl\\ca.crt
# Сертификат сервера
cert C:\\OpenVPN\\ssl\\sc.crt
# Ключ сервера
key C:\\OpenVPN\\ssl\\sonic.key

# Использование интерфейса и ключа при рестарте сервера
persist-tun
persist-key

tls-auth C:\\OpenVPN\\ssl\\ta.key 0

tun-mtu 1500
tun-mtu-extra 32
mssfix 1450

keepalive 10 120

verb 3

Levitant
не до конца понял твои настройки, но по идее на каждой из машин с овпном нужно разрешить SNAT трафика из овпна в локальные сети. делается таким образом - на каждой машине заходишь в сетевые подключения, свойства адаптера, который смотрит в локальную сеть (192.168.2.177 дома и 192.168.110.250 на работе), вкладка дополнительно - установить чекбокс, и в комбобоксе выбрать овпн адаптер


да, при установке чекбокса виндоус собьёт адреса на всех интерфейсах - придётся потом всё восстанавливать (хп по крайней мере так делает)

Спасибо за совет!

А что у меня в конфиге странного если не секрет? Я просто в ОпенВПН не особо разбираюсь, делал по примеру. Конфиг Сервер-клиенты.

Не помог предыдущий совет, ОпенВПН соединение делает, но ничего тогда вообще не пингуется и рвётся через некоторое время канал. А клиент в логах пишет, что-то типо того что у вас динамический ИП и ничего не выйдет...

Блин, там же чуть чуть осталось, понять не могу что такое. Пингуются же внутренние IP адреса!
Я думаю тут какая-то мелочь мною упущена (или какую то строчку надо добавить в конфиг, или маршруты какие нужны про которые я не знаю, или что-то с подключением или службой какой сделать надо)?? Ведь у стольки человек работает, неужели не скажите что сделать? Никакие службы не надо запускать? Какие службы необходимы для правильной работы?


Кстати, если поднять мост со стороны клиента, то вообще ОпенВПН не цепляет.

rain87 спасибо! В итоге всё получилось и всё работает! Из-за такой мелочи парился столько времени блин.

Ещё такой вопрос. Как можно сделать так, что бы за OpenVPN клиентом не могли видеть сеть за OpenVPN сервером и наоборот! Ведь если кто-либо в маршрутах пропишет шлюзом машину с OpenVPN, то он попадает в сеть. Как можно это устранить?

Levitantпо идее достаточно выключить
Цитата:

4. В реестре HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters для параметра IPEnableRouter стоит “1” и там и там.

трафик из овпна в сеть будет идти благодаря SNATу, а из сети в овпн идти не будет. но это следует проверить. если не проканает - медитируй. вроде как это что то типа iptables, может им удастся добиться какого то результата. по крайней мере, по одной из ссылок внизу нечто похожее на правила нетфильтра

зы. правда похоже что это только на серверных осях. так что надейся на пункт первый

Добавлено:
если ничё не получится - иди к администраторам виндоус, может чё подскажут. я куда больше привык к линуксу с человеческим нетфильтром, в котором можно всё. ну или почти всё

rain87 спасибо! Мне вариант про реестр помог. Сеть доступа только с компа где установлен OpenVPN

А вот по поводу доступа возникла проблема. Со стороны сервера я полностью вижу всю сеть за клиентом (я как писали расшарил соединение и выставил настройки IP) и всё ок.

А вот со стороны клиента я максимум могу пропинговать внутренний интерфейс свой (192.168.2.177). Как я понял это из-за сложностей маршрутизации. На этом серверном компе через PPTP(Городской траффик) я подключаюсь к городской сети, и именно ИП этого подключения указан как ИП ОпенВПН сервера (адресация 172,16,х,х) и именно его я расшариваю, а вот в локальную сеть (192,168,2,х) доступ не появляется (в настройках подключения сетевой карты почему то нету возможности сделать это подключение общим, просто на нужной вкладке отсутствует этот параметр). Как я понял со стороны ОпенВПН клиента доступна сеть типа 172,16,х,х а пакеты для 192,168,2,х просто непроходят. Может быть маршрутами можно это как забить, или к примеру путём создания моста (мост не пробовал, только что про это подумал)? Правда когда я в прошлый раз пытался поднять мост, ОПенВПН не захотел стартовать, а ругался на неправильую настройку сетевого адаптера.

дайте плз кто-нить впн потестить! связь в личку плз

Levitant
ты своё соединение в инет (172,16,х,х) расшариваешь в сеть (192.168.2.0/24), т.е. раздаёшь инет по сети? или я чёто не понял


Добавлено:
Ternik
не совсем понял, какая цель теста? и в чём он будет заключаться

Ternik
пиши что нужно потестить

rain87 не не так, смотри:
в домашней сети для OpenVPN имеет значение лишь 2 подключения.
1. Обычное подключение к локальной сети, с помощью которого я выхожу в локальную сеть дома (192,168,2,х) (почему-то нет возможности сделать это подключение общим, просто нет такой галки)
2. pptp соединение городское (172,16,х,х), которое выдаёт моему компу реальный городской IP, к которому я и подключаю OpenVPN клиент на работе! (т.е. мой OpenVPN сервер имеет IP 172,16,х,х). Дак вот, соединение pptp (172,16,х,х) я расшарить могу, но тем самым доступ в мою локальную сеть (192,168,х,х) не появляется! А адаптер локальной сети (192,168,х,х почему-то функции НАТ нет!). Теперь ясно?

Я вот думаю, может создать мост между pptp и локальной сетью? Но я сомневаюсь, что тогда OpenVPN сервер заработает.

Levitant
Цитата:

соединение pptp (172,16,х,х) я расшарить могу

зачем его шарить то? пусть остаётся нерасшаренным
Цитата:

1. Обычное подключение к локальной сети, с помощью которого я выхожу в локальную сеть дома (192,168,2,х) (почему-то нет возможности сделать это подключение общим, просто нет такой галки)

ну хз, странно конечно. не встречал такого. проверь что никакое другое соединение у тебя не расшарено
Цитата:

Я вот думаю, может создать мост между pptp и локальной сетью?

пптп причём вообще? мост сделай между овпном и локальной сетью, только в таком случае, насколько я понимаю, адреса для овпн адаптеров должны быть из подсети локальной сети, т.е. не 10.10.0.0/24, а 192.168.2.0/24. есно они не должны совпадать ни с каким адресами в локальной сети

rain87 Осложнение в том, что в сети нельзя ни в коем случае светить левые ИП, по-этому я и не пробовал мост делать даже. Я уже подумываю одолжить роутер на работе на данный случай и настроить там НАТ. Кстати, у меня нет ОпенВПН адаптера, при установки опенВПН я его не ставил, у меня только служба.

А подключение действительно почему-то не расшариваются. Вот даже скрин есть:


Может какие-то настройки адаптера должны быть, или запущена обязательно служба какая? Служба ICS работает.

Levitant
Цитата:

Осложнение в том, что в сети нельзя ни в коем случае светить левые ИП

ну тогда только нат, никаких мостов
Цитата:

Кстати, у меня нет ОпенВПН адаптера, при установки опенВПН я его не ставил, у меня только служба.

он у тебя есть, только скрытый. в таком случае его в снате действительно нельзя задействовать (превед от микрософта). удали скрытый и поставь нескрытый (если у тебя винда х86 и овпн 2.1, то можешь воспользоваться этим (запусти батник remove.bat, а потом install_non-hidden.bat). и проверь, получится ли теперь расшарить

Есть OpenVPN туннель поверх ADSL. PPPoE соединение устанавливается в модеме.
После того как кратковременно прерывается связь с провайдером перестает подыматься OpenVPN.
Начинает устанавливаться только после перезагрузки модема. Или через минут 30.

Клиент OpenVPN 2.1_rc19 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Jul 16 2009

Код: client
proto udp
remote 186.153.246.232
port 1195
dev tun

resolv-retry infinite

#persist-key
#persist-tun

tls-client
dh dh1024.pem
ca cacert.pem
cert ovpn-client-home.cert
key ovpn-client-home.key

cipher DES-EDE3-CBC # Triple-DES

tls-auth ta.key 1

ping 10

comp-lzo

status openvpn-status.log
#log openvpn.log"

verb 3
mute 10

проблема в том, что опция keepalive 10 120 относится только к серверу и у вас она судя по всему не работает.

keepalive n m : Helper option for setting timeouts in server mode. Send ping once every n seconds, restart if ping not received for m seconds.

Стоит продолжить поиск.