» OpenVPN

Подключение к серверу не теряется.
Странно то что мне как 1 клиенту выдается IP - 172.17.100.6
А шлюз по умолчанию - 172.17.100.5

Хотя на сервере есть такое:
172.17.100.0 MASK 255.255.255.253 172.17.100.1
172.17.100.1 MASK 255.255.255.255 127.0.0.1

Проблема в том, что я не могу получить трафик через VPN сервер, например после подключения к VPN не могу соединиться с google.com

Думаю на сервере надо прописать правило, чтобы перенаправлять трафик с 172.17.100.0 на интерфейс который выходит в Интернет. Для этого включил маршрутизацию, но какой маршрут добавить не знаю. И куда конкретно перенаправлять на шлюз интерфейса или на его IP адрес?

Скажем, если интерфейс которых выходит в Интернет имеет такие параметры:
IP: 8.8.8.8
GW: 8.8.8.1

То как прописать правило чтобы весь трафик локальной VPN сети шел в Интернет через этот интерфейс?

Baloven1
Цитата:

Ошибки не исправляет

очень странно. у себя проверил, при topology subnet овпн сам подбирает нужную маску и вроде бы назначает требуемый ип. точно прописал?
Цитата:

я так понимаю что все же ошибка на стороне прова, адрес назначаемый мне и адрес сервера отличаются и не входят в одну подсеть??? или я не прав???

нет, это не ошибка на стороне прова, такая ситуация вполне нормальна. это недостаток в реализации ТАП драйвера под вин32. я не очень силён в системном программировании под виндоус, не знаю, в чём там проблема

Добавлено:
omihaz
ничё не понял в общем дай такие данные -
route print ДО подключения овпн
route print ПОСЛЕ подключения овпн
ping <DEFAULT GW> ПОСЛЕ подключения овпн

route print ДО подключения овпн
Код: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.3 20
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.0.0 255.255.255.0 On-link 192.168.0.3 276
192.168.0.3 255.255.255.255 On-link 192.168.0.3 276
192.168.0.255 255.255.255.255 On-link 192.168.0.3 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.0.3 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.0.3 276

ALEKCEN
Ну тоды все просто.
Нужно, чтоб не локальные пакеты (в интернет) клиент пускал в vpn-сеть.
Достигается это путем прописывания маршрута по умолчанию на vpn-ip сервера.
Можно ручками прописать, но советуют в конфиг сервера добавить строчку:

push "redirect-gateway def1"

Как до сервера пакетам добраться, мы объяснили, теперь надо сервер убедить пересылать их на из vpn-сети на реальный интерфейс и далее на шлюз провайдера. В Винде вроде достаточно расшарить подключение и объеденить реальный и виртуальный(vnp) интерфейс в мост.

rain87
спаисбо - помогло, я оказывается строчку добавил не на том рабочем столе (в радмине настраивал сервак, а файл конфига был на обоих машинах открыт )

Цитата:

Ну тоды все просто.

То есть ты хочешь сказать,что у сервера (или всё-таки клиента ?) отказала служба маршрутизации и удалённого доступа ? или всё-таки - ICS ? или они обе ?
Я думаю,что лучше ее (их) вылечить,чем вручную маршруты писать,ибо VPNы используются - разные.


Цитата:

push "redirect-gateway def1"

И да,объясни,что эта строчка обозначает и как её правильно писать...def1 - как я понял,это переменная !?


Цитата:

реальный и виртуальный(vnp) интерфейс в мост.

Впервые слышу.Может ты чего-то путаешь ? я в данный момент сижу через один из впн-ов и никакого подключения типо "мост" мы не делали (как я уже не раз говорил - сервер,почти под полным контролем у меня)

Цитата:

push "redirect-gateway def1"

Дает команду клиентам назначить маршруту по умолчанию шлюзом VPN-сервер.


Цитата:

о есть ты хочешь сказать,что у сервера (или всё-таки клиента ?) отказала служба маршрутизации и

Служба маршрутизации сама работать не будет, если ее не настроить.


Цитата:

я в данный момент сижу через один из впн-ов и никакого подключения

В смысле это другой комп, на котором реализовано , то что ты хочешь?

Покажи вывод команды "ipconfig" и "route print" для этой машины и своей после добавление строчки про гейтвей в конфиг сервера (сервер предварительно, перезапустить) .

omihaz

Цитата:

Обмен пакетами с 172.17.100.1 по с 32 байтами данных:
Превышен интервал ожидания для запроса.

странно что не пингуется. по идее должен. ничего в логе овпн нет подозрительного?
а так вообще вроде нормально всё. я с тун режимом не работал вообще, даже хз тогда в чём проблема

Я могу переконфигурировать все. Просто по умолчанию вроде как tun используется.
В логе подозрительного нет, все вроде нормально.

Лог #

omihaz
ну переделай тогда на dev tap, там всё проще вроде бы. и виндовое расшаривание должно сработать

Цитата:

Дает команду клиентам назначить маршруту по умолчанию шлюзом VPN-сервер.

Ваще запутал.


Цитата:

Служба маршрутизации сама работать не будет, если ее не настроить.

Т.е. её даже на винь ХР надо настраивать вручную ? тогда почему-же на одном из компов (да,да,именно через который я в данный момент сижу) не потребовалась какая-либо настройка маршрутизации ? он,если не ошибаюсь - даже службы не подымал (хотя всё возможно,может те,которые надо - уже были подняты)


Цитата:

В смысле это другой комп, на котором реализовано , то что ты хочешь?

Да,но проблема в том,что я с тем человеком временно не могу пообщаться и узнать - какие у него службы запущены\остановлены...хотя первый раз - вообще я им всем (на ком планирую раздачу инэта) показывал и рассказывал как этот самый впн поднять,но в очередной раз - не смог повторить...вот,ищу эту ошибку...что-же я забыл.


Цитата:

Покажи вывод команды "ipconfig" и "route print" для этой машины и своей после добавление строчки про гейтвей в конфиг сервера (сервер предварительно, перезапустить) .

Нет,сейчас я всё это сделал не через OpenVPN,а через простой впн поднятый стандартными средствами Win XP SP3.

[more=Читать дальше..]Настройка протокола IP для Windows


Сеть - Ethernet адаптер:

DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : мой реальный ип
Маска подсети . . . . . . . . . . : 255.255.255.0
IP-адрес . . . . . . . . . . . . : 2002:5e1f:ac2f:4:60aa:9f86:bde7:2f8f

IP-адрес . . . . . . . . . . . . : 2002:5e1f:ac2f:4:207:e9ff:fe17:e99e
IP-адрес . . . . . . . . . . . . : fec0::4:207:e9ff:fe17:e99e%2
IP-адрес . . . . . . . . . . . . : fe80::207:e9ff:fe17:e99e%4
Основной шлюз . . . . . . . . . . : мой шлюз

VirtualBox Host-Only Network - Ethernet адаптер:

DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : 192.168.0.3
Маска подсети . . . . . . . . . . : 255.255.255.0
IP-адрес . . . . . . . . . . . . : fe80::a00:27ff:fe00:384a%5
Основной шлюз . . . . . . . . . . :

Общее подключение к VPN - PPP адаптер:

DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : 192.168.0.17
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 192.168.0.17

Teredo Tunneling Pseudo-Interface - туннельный адаптер:

DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : fe80::ffff:ffff:fffd%6
Основной шлюз . . . . . . . . . . :

6to4 Tunneling Pseudo-Interface - туннельный адаптер:

DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : 2002:5e1f:ac2f::5e1f:ac2f
Основной шлюз . . . . . . . . . . : 2002:c058:6301::c058:6301

Automatic Tunneling Pseudo-Interface - туннельный адаптер:

DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : fe80::5efe:192.168.0.17%2
Основной шлюз . . . . . . . . . . :

Automatic Tunneling Pseudo-Interface - туннельный адаптер:

DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : fe80::5efe:192.168.0.3%2
Основной шлюз . . . . . . . . . . :

Automatic Tunneling Pseudo-Interface - туннельный адаптер:

DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : fe80::5efe:94.31.172.47%2
Основной шлюз . . . . . . . . . . :
[/more]

[more=Читать дальше..]===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 07 e9 17 e9 9e ...... Intel(R) PRO/1000 MT Desktop Adapter - &#9568;шэшяюЁЄ
яырэшЁют&#8729;шър яръхЄют
0x3 ...08 00 27 00 38 4a ...... VirtualBox Host-Only Ethernet Adapter - &#9568;шэшяюЁЄ
яырэшЁют&#8729;шър яръхЄют
0xa0005 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 мой шлюз мой ип 21
0.0.0.0 0.0.0.0 192.168.0.17 192.168.0.17 1
94.31.172.0 255.255.255.0 мой ип мой ип 20
ип друга 255.255.255.255 мой ип мой ип 20
мой ип 255.255.255.255 127.0.0.1 127.0.0.1 20
94.255.255.255 255.255.255.255 мой ип мой ип 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.3 192.168.0.3 20
192.168.0.3 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.17 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.0.255 255.255.255.255 192.168.0.3 192.168.0.3 20
192.168.0.255 255.255.255.255 192.168.0.17 192.168.0.17 50
224.0.0.0 240.0.0.0 мой ип мой ип 20
224.0.0.0 240.0.0.0 192.168.0.3 192.168.0.3 20
224.0.0.0 240.0.0.0 192.168.0.17 192.168.0.17 1
255.255.255.255 255.255.255.255 мой ип мой ип 1
255.255.255.255 255.255.255.255 192.168.0.3 192.168.0.3 1
255.255.255.255 255.255.255.255 192.168.0.17 192.168.0.17 1
Основной шлюз: 192.168.0.17
===========================================================================
Постоянные маршруты:
Отсутствует[/more]

Ип друга = ип впн сервера через который сейчас сижу (назовём его ип1)
Мой ип = реальный (белый) ип который мне дал провайдер (назовём его ип2)
мой шлюз - наш общий провайдеровский шлюз.

Думаю по понятным причинам - не хочу светить свой и друга ипы.

Ну и в заключении - опенвпн не проверяю,пока нету уверенности,что всё получится.Как я только буду уверен и на ещё хотя-бы одном компе заработает такой-же впн как тот,через который я сечас подключился - сразу буду мучится с опенвпн.

ALEKCEN
Ну все правильно
этот маршрут:
0.0.0.0 0.0.0.0 192.168.0.17 192.168.0.17 1
направляет нелокальные пакеты в VPN сеть на сервер vpn а уже он наружу в интернет.

Тоже самое делает команда в конфиге OpenVPN сервера, которую я тебе писал выше.
Останется только настроить сервер, чтоб он пакеты с виртуального на реальный интерфейс отправлял и далее наружу.

на 7-ке надо запускать из-под "выполнить от имени администратора" , иначе роутинг не поменяется.

Цитата:

Тоже самое делает команда в конфиге OpenVPN сервера, которую я тебе писал выше.
Останется только настроить сервер, чтоб он пакеты с виртуального на реальный интерфейс отправлял и далее наружу.

Ну когда доберусь до опенвпна - пропишу и проверю,сейчас пока рано.
дак,а что там за def1-то ?
и да,а если эта самая маршрутизация - отказала,то что делать ? поидее - чисто тиоретически можно прописать подобный маршрут вручную,но,тут есть много но - во-первых я выхожу в инэт не через один комп и этот ип меняется постоянно и во-вторых - придётся прописывать и убивать маршруты.
Как эту самую маршрутизацию и ICS вернуть к работе ? всё дело в зависимостях этих служб или и зависимости зависимостей - тоже играют роль ?

Как поднять OpenVPN сервер на Windows?
Проделывал раньше такое со старыми версиями, а теперь на офсайте сервера только под линукс, да еще и платные?!



Добавлено:
когда запускаю GUI OpenVPN client под Vista и W7, не добавляются автоматом маршруты. Даже если гуи клиента от имени админа запускать.
Приходится после коннекта запускать от админа батник с route add
Как сделать по-человечески? чтобы без дополнительных телодвижений добавлялись маршруты?
на XP, к слову, работает нормально

ALEKCEN

Цитата:

дак,а что там за def1-то ?

это такой способ добавления маршрута, чтобы не заменять существующий дефолтный а добавить новый с маской /1
почитайте ман и сверьте таблицу маршрутов с def1 и без - всё увидите

Цитата:

это такой способ добавления маршрута, чтобы не заменять существующий дефолтный а добавить новый с маской /1
почитайте ман и сверьте таблицу маршрутов с def1 и без - всё увидите

ааа,вот оно чё.Русских толковых мануалов - я так и не нашёл,а в инглише,я хоть и разбираюсь,но не на столько.

ALEKCEN
http://secretsline.biz/ru/manual/read/openvpn-manual/ а это на каком языке? вроде как первая ссылка в гугле

Настроил OpenVPN сервер на Debian Lenny - [more=server.conf]local 10.188.108.37
port 1194
proto udp
dev tun

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/domain.org.crt
key /etc/openvpn/keys/domain.org.key
dh /etc/openvpn/keys/dh1024.pem

server 172.16.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

push "route 172.16.0.0 255.255.255.0"

route 172.16.0.0 255.255.255.0
route 192.168.0.1 255.255.255.255 # win2k3 server
route 192.168.0.2 255.255.255.255 # debian gateway
route 192.168.0.5 255.255.255.255 # ubuntu database

client-config-dir /etc/openvpn/ccd

keepalive 10 120

comp-lzo

max-clients 10

persist-key
persist-tun

status openvpn-status.log
log /etc/openvpn/openvpn.log
verb 4[/more] [more=ccd/school]ifconfig-push 172.16.0.3 172.16.0.4
iroute 172.16.0.0 255.255.255.0[/more] в iptables разрешены входящие соединения на 1194/udp.
OpenVPN client так же на Debian Lenny - [more=client.conf]remote domain.org 1194
dev tun
proto udp

tls-client

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/school.crt
key /etc/openvpn/keys/school.key

comp-lzo

status /etc/openvpn/openvpn-status.log
log /etc/openvpn/openvpn.log
verb 4[/more] - клиент, кстати, не запускался без строчки tls-client.
[more=openvpn-client.log]Wed Nov 17 16:29:52 2010 us=777985 Local Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Wed Nov 17 16:29:52 2010 us=778022 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Wed Nov 17 16:29:52 2010 us=778094 Local Options hash (VER=V4): '41690919'
Wed Nov 17 16:29:52 2010 us=778138 Expected Remote Options hash (VER=V4): '530fdded'
Wed Nov 17 16:29:52 2010 us=779081 Socket Buffers: R=[111616->131072] S=[111616->131072]
Wed Nov 17 16:29:52 2010 us=779253 UDPv4 link local (bound): [undef]:1194
Wed Nov 17 16:29:52 2010 us=779310 UDPv4 link remote: server_ip:1194
Wed Nov 17 16:29:52 2010 us=793711 TLS: Initial packet from server_ip:1194, sid=bbd9a86f b147c22b
Wed Nov 17 16:29:52 2010 us=860492 VERIFY OK: depth=1, /C=RU/ST=RU/L=Saint-Petersburg/O=domain.org/CN=domain.org/emailAddress=admin@domain.org
Wed Nov 17 16:29:52 2010 us=861209 VERIFY OK: depth=0, /C=RU/ST=RU/L=Saint-Petersburg/O=domain.org/CN=domain.org/emailAddress=admin@domain.org
Wed Nov 17 16:29:53 2010 us=49391 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Nov 17 16:29:53 2010 us=49503 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 17 16:29:53 2010 us=49602 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Nov 17 16:29:53 2010 us=49644 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 17 16:29:53 2010 us=49820 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Nov 17 16:29:53 2010 us=49913 [alukardd.org] Peer Connection Initiated with server_ip:1194
Wed Nov 17 16:29:54 2010 us=263857 Initialization Sequence Completed[/more] и [more=openvpn-server.log]Wed Nov 17 16:28:36 2010 us=922228 client_ip:36653 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Nov 17 16:28:36 2010 us=922352 client_ip:36653 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 17 16:28:36 2010 us=922481 client_ip:36653 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Nov 17 16:28:36 2010 us=922526 client_ip:36653 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 17 16:28:36 2010 us=935948 client_ip:36653 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Nov 17 16:28:36 2010 us=936088 client_ip:36653 [school] Peer Connection Initiated with 95.137.65.241:36653
Wed Nov 17 16:28:36 2010 us=936222 school/client_ip:36653 OPTIONS IMPORT: reading client specific options from: /etc/openvpn/ccd/school
Wed Nov 17 16:28:36 2010 us=936539 school/client_ip:36653 MULTI: Learn: 172.16.0.3 -> school/client_ip:36653
Wed Nov 17 16:28:36 2010 us=936604 school/client_ip:36653 MULTI: primary virtual IP for school/client_ip:36653: 172.16.0.3
Wed Nov 17 16:28:36 2010 us=936842 school/client_ip:36653 MULTI: internal route 172.16.0.0/24 -> school/client_ip:36653
Wed Nov 17 16:28:36 2010 us=936913 school/client_ip:36653 MULTI: Learn: 172.16.0.0/24 -> school/client_ip:36653
Wed Nov 17 16:28:36 2010 us=936976 school/client_ip:36653 REMOVE PUSH ROUTE: 'route 172.16.0.0 255.255.255.0'[/more]

Я так понял что соединение происходит... Но на клиенте устройство tun0 висит в DOWN. И маршруты новые не появились. В чем проблема?( На сервер маршруты прописываются при запуске openvpn демона.

p.s. цель соединения сделать так что бы с сервера был доступ к 3 машинам локалки клиента, у клиента нету внешнего ip.

Alukardd
клиенту добавь в конфиг pull. или замени tls-client на просто client (это синоним для tls-client + pull)

rain87
и все? это(строчка client) и есть причина того что клиенту настройки не прописались?
просто хотелось бы сразу получить информацию по объёмнее, что бы завтра придя на работу уйти уже с рабочим обратным каналом. А то это не выносимо так жить...

Alukardd
настройки не прописались 100% из за этого. если у клиента не указано pull, то он игнорирует настройки, которые сервер ему пушит. но вот только что у себя на убунте проверил, у меня tun поднимается, хоть и с непрописанным ИП. так что не могу тебе на наверняка сказать что у тебя только в этом проблема. но больше я не вижу

rain87
спасибо! туннель пашет!
Правда достучаться в сетку VPN клиента мне не удалось, но времени мало было. На нужные машины DNAT'ом покидал что нужно было, а больше в принципе и не надо. Так что пока так будем жить.

Вопрос по авто пере подключению при потере канала. Параметр keepalive 10 60 через 60-70 секунд после утери канала будет пытаться восстановить соединение? Эта настройка подходит и одинаково работает как на клиенте так и на сервере? Нужна возможность автоматического восстановления соединения с обеих сторон.
p.s. Скрипт писать не хотелось бы... OpenVPN все-таки мощная штука, должен уметь всё)

Alukardd

Цитата:

--keepalive n m
A helper directive designed to simplify the expression of --ping and --ping-restart in server mode configurations.

For example, --keepalive 10 60 expands as follows:

if mode server:
ping 10
ping-restart 120
push "ping 10"
push "ping-restart 60"
else
ping 10
ping-restart 60

никаких скриптов не надо, через 60 сек после потери канала тунель будет переподключен

rain87
под конец рабочего дня совсем тяжело с соображением)
спасибо великому man openvpn и тем кто его за меня прочитал...

Цитата:

push "redirect-gateway def1"

Прописал - не помогло.
Может ещё что-нибудь надо на стороне клиента прописать ?

ALEKCEN
покажи вывод 'tracert 87.250.250.3' на клиенте( это ip ya.ru)
и 'route print'

сервер после добавления строчки перезапускал?

ps

подскажите куда копать или что гуглить.
под вин7 поднят опенвпн-клиент, весь трафф уходит туда, нужно запустить одно приложение, но чтобы оно не использовало впн, а работало напрямую.
есть какие-то варианты??

Цитата:

а работало напрямую.

С чем работало? с приемной президента?-)))

mime13
прописать отдельно маршруты для хостов, с которыми работает приложение (если их число достаточно мало). можно направить приложение во внешний проксисервер, для которого тоже прописать маршрут мимо овпн. других идей пока нет