samec2011
сделай его сервисом
сделай его сервисом
» OpenVPN
Люди добрые помогите пожалуйста разобраться с OpenVPN!?
Все вроде бы настроил по инструкции, но все равно вылетает ошибка типо "Thu Mar 31 16:35:25 2011 us=546000 GET INST BY VIRT: 10.10.0.Х [failed]"
Могу выложить все что угодно логи, конфиги.
Все вроде бы настроил по инструкции, но все равно вылетает ошибка типо "Thu Mar 31 16:35:25 2011 us=546000 GET INST BY VIRT: 10.10.0.Х [failed]"
Могу выложить все что угодно логи, конфиги.
HVusal
Цитата:
Цитата:
How to fix the errors "MULTI: bad source address from client [192.168.100.249], packet dropped" or "GET INST BY VIRT: 192.168.100.249 [failed]"?давай конфиги, короче
These errors occur because OpenVPN doesn't have an internal route for 192.168.100.249. Consequently, it doesn't know how to route the packet to this machine, so it drops the packet.
Use client-config-dir and create a ccd file for your client containing the iroute option to tell OpenVPN that the 192.168.100.0/24 network is available behind this client.
По идее я должен пинговать адрес сервера 10.10.х.х с клиента и обратно без статичесских рутов,
я правильно понимаю?
dev tun
local my address
tls-server
proto udp
port 1195
persist-tun
persist-key
client-to-client
#link-mtu 1545
#
tun-mtu 1500
#tun-mtu-extra 32
mssfix 1450
#
server 10.10.x.x 255.255.0.0
client-config-dir c:\\OpenVPN\\config\\ccd\\Client1
push "redirect-gateway"
ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt
#
route method exe
route 172.16.x.x 255.255.255.0
route 10.10.x.x 255.255.0.0
#
ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\OpenVPN.crt
key C:\\OpenVPN\\ssl\\OpenVPN.key
dh C:\\OpenVPN\\ssl\\dh1024.pem
#
verb 7
#
push "route 172.16.x.x 255.255.255.0"
push "route 172.16.x.x 255.255.255.0"
keepalive 10 120
#
ping-timer-rem
В место клиента у меня GPRS модем.
вот ссылка на кофиг GPRS modem-a
http://s40.radikal.ru/i087/1103/0d/ef87a22eb992.jpg
ccd файл Client1
iroute 172.16.60.0 255.255.255.0
iroute 10.10.0.0 255.255.255.0
push "route 172.16.10.0 255.255.255.0"
я правильно понимаю?
dev tun
local my address
tls-server
proto udp
port 1195
persist-tun
persist-key
client-to-client
#link-mtu 1545
#
tun-mtu 1500
#tun-mtu-extra 32
mssfix 1450
#
server 10.10.x.x 255.255.0.0
client-config-dir c:\\OpenVPN\\config\\ccd\\Client1
push "redirect-gateway"
ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt
#
route method exe
route 172.16.x.x 255.255.255.0
route 10.10.x.x 255.255.0.0
#
ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\OpenVPN.crt
key C:\\OpenVPN\\ssl\\OpenVPN.key
dh C:\\OpenVPN\\ssl\\dh1024.pem
#
verb 7
#
push "route 172.16.x.x 255.255.255.0"
push "route 172.16.x.x 255.255.255.0"
keepalive 10 120
#
ping-timer-rem
В место клиента у меня GPRS модем.
вот ссылка на кофиг GPRS modem-a
http://s40.radikal.ru/i087/1103/0d/ef87a22eb992.jpg
ccd файл Client1
iroute 172.16.60.0 255.255.255.0
iroute 10.10.0.0 255.255.255.0
push "route 172.16.10.0 255.255.255.0"
HVusal
Цитата:
Цитата:
Цитата:
убери все х.х из серых адресов, только путаницу вносят. и опиши ситуацию - кто сервер, кто клиент, где какие подсети, и чего надо добиться
Цитата:
По идее я должен пинговать адрес сервера 10.10.х.х с клиента и обратно без статичесских рутов,нет, в режиме тун концы туннеля не пингуются
я правильно понимаю?
Цитата:
mssfix 1450возможно, для жпрс стоит ещё уменьшить
Цитата:
route method exeroute-method
убери все х.х из серых адресов, только путаницу вносят. и опиши ситуацию - кто сервер, кто клиент, где какие подсети, и чего надо добиться
Цитата:
нет, в режиме тун концы туннеля не пингуются
а как можно пропинговать концы туннеля?
Цитата:
возможно, для жпрс стоит ещё уменьшить
Вроде жпрс не ругается на 1450 ?
Ситуация такая на сервер 2003 установлена Openvpn-2.1.4
На сервере два сетевых интерфейсов и один Tap Adapter
1. Tap Adapter 10.10.0.1 255.255.255.252
2. 172.16.10.70 255.255.255.0
3. My Address
Исправленный конфиг сервера
dev tun
local My Address
tls-server
proto udp
port 1195
persist-tun
persist-key
client-to-client
#
tun-mtu 1500
#tun-mtu-extra 32
mssfix 1450
#
server 10.10.0.0 255.255.0.0
client-config-dir c:\\OpenVPN\\config\\ccd\\Client1
#push "redirect-gateway"
ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt
#
route method
route 172.16.60.0 255.255.255.0
route 10.10.0.0 255.255.0.0
#route 192.168.1.101 255.255.255.0
#
ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\OpenVPN.crt
key C:\\OpenVPN\\ssl\\OpenVPN.key
dh C:\\OpenVPN\\ssl\\dh1024.pem
#
verb 7
#
push "route 172.16.60.1 255.255.255.0"
push "route 172.16.10.0 255.255.255.0"
#push "route 192.168.1.101 255.255.255.0"
keepalive 10 120
#
ping-timer-rem
На другой стороне жпрс а за ним машина с Windows XP адресс которого 172.16.60.200
Конфиг жпрс-а
http://s57.radikal.ru/i155/1104/68/13f592d60ab8.jpg
Ни один адресс ни с одной стороны не пингуется, в логах вроде ошибок нет, при пинге с клиента сервер дропит пакеты.
Из лога сервера
Fri Apr 01 12:22:13 2011 us=390000 GET INST BY REAL: 217.168.ххх.х:54525 [succeeded]
Fri Apr 01 12:22:13 2011 us=390000 OpenVPN/217.168.ххх.х:54525 UDPv4 READ [101] from 217.168.ххх.х:54525: P_DATA_V1 kid=0 DATA len=100
Fri Apr 01 12:22:13 2011 us=390000 OpenVPN/217.168.ххх.х:54525 TLS: tls_pre_decrypt, key_id=0, IP=217.168.ххх.х:54525
Fri Apr 01 12:22:13 2011 us=390000 OpenVPN/217.168.ххх.х:54525 GET INST BY VIRT: 172.16.60.200 [failed]
Fri Apr 01 12:22:13 2011 us=390000 OpenVPN/217.168.ххх.х:54525 MULTI: bad source address from client [172.16.60.200], packet dropped
rain87
спасибо, помогло.
спасибо, помогло.
HVusal
Цитата:
Цитата:
Цитата:
Цитата:
route 172.16.60.0 255.255.255.0 10.10.0.4
Цитата:
по поводу жпрс модема - надо бы уточнить, в каком режиме он вообще работает - tun, tap, клиент или п2п. судя по тому, что OpenVpn Tunnel - в п2п. тогда весь конфиг сервера надо переделать тоже на п2п ) уточни этот момент
Цитата:
а как можно пропинговать концы туннеля?в режиме tap
Цитата:
Вроде жпрс не ругается на 1450 ?да нет, не ругается, просто работать может хреново. тут уже от жпрс зависит
Цитата:
client-config-dir c:\\OpenVPN\\config\\ccd\\Client1эта директива должна указывать на папку, а не на файл. а уже в папке должен быть файл с таким именем, как CN сертификата. точно на жпрс роутере серификат с CN=Client1? покажи, кстати, этот Client1
Цитата:
route methodисправь на
route 172.16.60.0 255.255.255.0
route 10.10.0.0 255.255.0.0
route 172.16.60.0 255.255.255.0 10.10.0.4
Цитата:
push "route 172.16.60.1 255.255.255.0"удали
по поводу жпрс модема - надо бы уточнить, в каком режиме он вообще работает - tun, tap, клиент или п2п. судя по тому, что OpenVpn Tunnel - в п2п. тогда весь конфиг сервера надо переделать тоже на п2п ) уточни этот момент
rain87
Цитата:
странно, у меня пингуется. я что-то делаю не так?
Цитата:
нет, в режиме тун концы туннеля не пингуются
странно, у меня пингуется. я что-то делаю не так?
Цитата:
rain87
Цитата:
да нет, не ругается, просто работать может хреново. тут уже от жпрс зависит
поигрался немного, эффект тот же.
Цитата:
эта директива должна указывать на папку, а не на файл. а уже в папке должен быть файл с таким именем, как CN сертификата. точно на жпрс роутере серификат с CN=Client1? покажи, кстати, этот Client1
1. Исправил как ты сказал.
2. Сертификат вроде тот, так как в логах на жпрс роутере не ругается.
3. Client1
iroute 172.16.60.0 255.255.255.0 10.10.0.4
iroute 10.10.0.0 255.255.255.0
push "route 172.16.10.0 255.255.255.0"
Исправил все как ты сказал результат нулевой.
Про жпрс роутер он в другой компании работает с OpenVPN, настройки смотрел аналогичные.
Здравствуйте, помогите разобраться подымаю 3 ovpn сервер правда этот на dd-wrt столкнулся с такой проблеммой:
Клиент конектится к серверу получает IP маску, но не получает шлюза по умолчанию, после конекта клиент и сервер друг друга не видят тоесть 10.10.14.1\24 не пингует 10.10.14.2\24 и на оборот.
Конфиг сервера:
mode server
proto tcp
port 1194
dev tap0
keepalive 15 60
server 10.10.14.0 255.255.255.0
push "route-gateway 10.10.14.1"
verb 3
comp-lzo
tls-server
daemon
persist-key
persist-tun
client-to-client
duplicate-cn
ca /jffs/ca.crt
dh /jffs/dh1024.pem
cert /jffs/*****.crt
key /jffs/*****.key
Конфиг клиента:
client
tls-client
dev tap0
proto tcp
remote ********* 1194
route-gateway 10.10.14.1
resolv-retry infinite
nobind
route-method exe
route-delay 2
persist-key
persist-tun
comp-lzo
verb 3
ca ca.crt
cert buh.crt
key buh.key
Интерфейсы на сервере:
ath0 Link encap:Ethernet HWaddr 54:E6:FC:AE:54:FA
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:34288 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:2403735 (2.2 MiB)
br0 Link encap:Ethernet HWaddr 54:E6:FC:AE:54:FA
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:59722 errors:0 dropped:0 overruns:0 frame:0
TX packets:39683 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:32918583 (31.3 MiB) TX bytes:16478437 (15.7 MiB)
br0:0 Link encap:Ethernet HWaddr 54:E6:FC:AE:54:FA
inet addr:169.254.255.1 Bcast:169.254.255.255 Mask:255.255.0.0
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
eth0 Link encap:Ethernet HWaddr 54:E6:FC:AE:54:FA
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:163287 errors:0 dropped:0 overruns:0 frame:0
TX packets:98970 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:54942149 (52.3 MiB) TX bytes:50949361 (48.5 MiB)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:1 errors:0 dropped:0 overruns:0 frame:0
TX packets:1 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:88 (88.0 B) TX bytes:88 (88.0 B)
tap0 Link encap:Ethernet HWaddr DA:1F:B7:33:FF:1F
inet addr:10.10.14.1 Bcast:10.10.14.255 Mask:255.255.255.0
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:123 errors:0 dropped:0 overruns:0 frame:0
TX packets:34115 errors:0 dropped:2 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:15483 (15.1 KiB) TX bytes:2374687 (2.2 MiB)
vlan1 Link encap:Ethernet HWaddr 54:E6:FC:AE:54:FA
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:59609 errors:0 dropped:0 overruns:0 frame:0
TX packets:54283 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:33177948 (31.6 MiB) TX bytes:17461655 (16.6 MiB)
vlan2 Link encap:Ethernet HWaddr 54:E6:FC:AE:54:FB
inet addr:79.122.131.180 Bcast:79.122.131.183 Mask:255.255.255.248
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:103678 errors:0 dropped:0 overruns:0 frame:0
TX packets:44687 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:19478183 (18.5 MiB) TX bytes:33487706 (31.9 MiB)
wifi0 Link encap:Ethernet HWaddr 54:E6:FC:AE:54:FA
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7 errors:0 dropped:0 overruns:0 frame:61807
TX packets:34317 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:322 (322.0 B) TX bytes:3710837 (3.5 MiB)
Interrupt:2 Memory:b80c0000-b8100000
Логи клиента при подключении:
Sun Apr 03 16:49:06 2011 OpenVPN 2.1.4 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 8 2010
Sun Apr 03 16:49:06 2011 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sun Apr 03 16:49:06 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Apr 03 16:49:06 2011 LZO compression initialized
Sun Apr 03 16:49:06 2011 Control Channel MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Sun Apr 03 16:49:06 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Apr 03 16:49:06 2011 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Sun Apr 03 16:49:06 2011 Local Options hash (VER=V4): '31fdf004'
Sun Apr 03 16:49:06 2011 Expected Remote Options hash (VER=V4): '3e6d1056'
Sun Apr 03 16:49:06 2011 Attempting to establish TCP connection with 79.122.131.180:1194
Sun Apr 03 16:49:06 2011 TCP connection established with 79.122.131.180:1194
Sun Apr 03 16:49:06 2011 TCPv4_CLIENT link local: [undef]
Sun Apr 03 16:49:06 2011 TCPv4_CLIENT link remote: 79.122.131.180:1194
Sun Apr 03 16:49:06 2011 TLS: Initial packet from 79.122.131.180:1194, sid=da422583 83aec517
Sun Apr 03 16:49:07 2011 VERIFY OK: depth=1, /C=RU/ST=RU/L=Omsk/O=Nagaev/CN=Nagaev/emailAddress=admin@enima.ru
Sun Apr 03 16:49:07 2011 VERIFY OK: depth=0, /C=RU/ST=RU/L=Omsk/O=Nagaev/CN=Nagaev/emailAddress=admin@enima.ru
Sun Apr 03 16:50:04 2011 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Apr 03 16:50:04 2011 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Apr 03 16:50:04 2011 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Apr 03 16:50:04 2011 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Apr 03 16:50:04 2011 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sun Apr 03 16:50:04 2011 [Nagaev] Peer Connection Initiated with 79.122.131.180:1194
Sun Apr 03 16:50:06 2011 SENT CONTROL [Nagaev]: 'PUSH_REQUEST' (status=1)
Sun Apr 03 16:50:06 2011 PUSH: Received control message: 'PUSH_REPLY,route-gateway 10.10.14.1,route-gateway 10.10.14.1,ping 15,ping-restart 60,ifconfig 10.10.14.2 255.255.255.0'
Sun Apr 03 16:50:06 2011 OPTIONS IMPORT: timers and/or timeouts modified
Sun Apr 03 16:50:06 2011 OPTIONS IMPORT: --ifconfig/up options modified
Sun Apr 03 16:50:06 2011 OPTIONS IMPORT: route-related options modified
Sun Apr 03 16:50:06 2011 TAP-WIN32 device [raduga] opened: \\.\Global\{2704E367-EBC6-4E55-9494-E90AA908932F}.tap
Sun Apr 03 16:50:06 2011 TAP-Win32 Driver Version 9.7
Sun Apr 03 16:50:06 2011 TAP-Win32 MTU=1500
Sun Apr 03 16:50:06 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.10.14.2/255.255.255.0 on interface {2704E367-EBC6-4E55-9494-E90AA908932F} [DHCP-serv: 10.10.14.0, lease-time: 31536000]
Sun Apr 03 16:50:06 2011 Successful ARP Flush on interface [2] {2704E367-EBC6-4E55-9494-E90AA908932F}
Sun Apr 03 16:50:08 2011 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Sun Apr 03 16:50:08 2011 Route: Waiting for TUN/TAP interface to come up...
Sun Apr 03 16:50:10 2011 TEST ROUTES: 0/0 succeeded len=-1 ret=1 a=0 u/d=up
Sun Apr 03 16:50:10 2011 Initialization Sequence Completed
С сервера лог пока дать не могу завис роутер = )) Через пару часов дам..
Клиент конектится к серверу получает IP маску, но не получает шлюза по умолчанию, после конекта клиент и сервер друг друга не видят тоесть 10.10.14.1\24 не пингует 10.10.14.2\24 и на оборот.
Конфиг сервера:
mode server
proto tcp
port 1194
dev tap0
keepalive 15 60
server 10.10.14.0 255.255.255.0
push "route-gateway 10.10.14.1"
verb 3
comp-lzo
tls-server
daemon
persist-key
persist-tun
client-to-client
duplicate-cn
ca /jffs/ca.crt
dh /jffs/dh1024.pem
cert /jffs/*****.crt
key /jffs/*****.key
Конфиг клиента:
client
tls-client
dev tap0
proto tcp
remote ********* 1194
route-gateway 10.10.14.1
resolv-retry infinite
nobind
route-method exe
route-delay 2
persist-key
persist-tun
comp-lzo
verb 3
ca ca.crt
cert buh.crt
key buh.key
Интерфейсы на сервере:
ath0 Link encap:Ethernet HWaddr 54:E6:FC:AE:54:FA
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:34288 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:2403735 (2.2 MiB)
br0 Link encap:Ethernet HWaddr 54:E6:FC:AE:54:FA
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:59722 errors:0 dropped:0 overruns:0 frame:0
TX packets:39683 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:32918583 (31.3 MiB) TX bytes:16478437 (15.7 MiB)
br0:0 Link encap:Ethernet HWaddr 54:E6:FC:AE:54:FA
inet addr:169.254.255.1 Bcast:169.254.255.255 Mask:255.255.0.0
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
eth0 Link encap:Ethernet HWaddr 54:E6:FC:AE:54:FA
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:163287 errors:0 dropped:0 overruns:0 frame:0
TX packets:98970 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:54942149 (52.3 MiB) TX bytes:50949361 (48.5 MiB)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:1 errors:0 dropped:0 overruns:0 frame:0
TX packets:1 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:88 (88.0 B) TX bytes:88 (88.0 B)
tap0 Link encap:Ethernet HWaddr DA:1F:B7:33:FF:1F
inet addr:10.10.14.1 Bcast:10.10.14.255 Mask:255.255.255.0
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:123 errors:0 dropped:0 overruns:0 frame:0
TX packets:34115 errors:0 dropped:2 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:15483 (15.1 KiB) TX bytes:2374687 (2.2 MiB)
vlan1 Link encap:Ethernet HWaddr 54:E6:FC:AE:54:FA
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:59609 errors:0 dropped:0 overruns:0 frame:0
TX packets:54283 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:33177948 (31.6 MiB) TX bytes:17461655 (16.6 MiB)
vlan2 Link encap:Ethernet HWaddr 54:E6:FC:AE:54:FB
inet addr:79.122.131.180 Bcast:79.122.131.183 Mask:255.255.255.248
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:103678 errors:0 dropped:0 overruns:0 frame:0
TX packets:44687 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:19478183 (18.5 MiB) TX bytes:33487706 (31.9 MiB)
wifi0 Link encap:Ethernet HWaddr 54:E6:FC:AE:54:FA
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7 errors:0 dropped:0 overruns:0 frame:61807
TX packets:34317 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:322 (322.0 B) TX bytes:3710837 (3.5 MiB)
Interrupt:2 Memory:b80c0000-b8100000
Логи клиента при подключении:
Sun Apr 03 16:49:06 2011 OpenVPN 2.1.4 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 8 2010
Sun Apr 03 16:49:06 2011 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sun Apr 03 16:49:06 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Apr 03 16:49:06 2011 LZO compression initialized
Sun Apr 03 16:49:06 2011 Control Channel MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Sun Apr 03 16:49:06 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Apr 03 16:49:06 2011 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Sun Apr 03 16:49:06 2011 Local Options hash (VER=V4): '31fdf004'
Sun Apr 03 16:49:06 2011 Expected Remote Options hash (VER=V4): '3e6d1056'
Sun Apr 03 16:49:06 2011 Attempting to establish TCP connection with 79.122.131.180:1194
Sun Apr 03 16:49:06 2011 TCP connection established with 79.122.131.180:1194
Sun Apr 03 16:49:06 2011 TCPv4_CLIENT link local: [undef]
Sun Apr 03 16:49:06 2011 TCPv4_CLIENT link remote: 79.122.131.180:1194
Sun Apr 03 16:49:06 2011 TLS: Initial packet from 79.122.131.180:1194, sid=da422583 83aec517
Sun Apr 03 16:49:07 2011 VERIFY OK: depth=1, /C=RU/ST=RU/L=Omsk/O=Nagaev/CN=Nagaev/emailAddress=admin@enima.ru
Sun Apr 03 16:49:07 2011 VERIFY OK: depth=0, /C=RU/ST=RU/L=Omsk/O=Nagaev/CN=Nagaev/emailAddress=admin@enima.ru
Sun Apr 03 16:50:04 2011 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Apr 03 16:50:04 2011 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Apr 03 16:50:04 2011 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Apr 03 16:50:04 2011 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Apr 03 16:50:04 2011 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sun Apr 03 16:50:04 2011 [Nagaev] Peer Connection Initiated with 79.122.131.180:1194
Sun Apr 03 16:50:06 2011 SENT CONTROL [Nagaev]: 'PUSH_REQUEST' (status=1)
Sun Apr 03 16:50:06 2011 PUSH: Received control message: 'PUSH_REPLY,route-gateway 10.10.14.1,route-gateway 10.10.14.1,ping 15,ping-restart 60,ifconfig 10.10.14.2 255.255.255.0'
Sun Apr 03 16:50:06 2011 OPTIONS IMPORT: timers and/or timeouts modified
Sun Apr 03 16:50:06 2011 OPTIONS IMPORT: --ifconfig/up options modified
Sun Apr 03 16:50:06 2011 OPTIONS IMPORT: route-related options modified
Sun Apr 03 16:50:06 2011 TAP-WIN32 device [raduga] opened: \\.\Global\{2704E367-EBC6-4E55-9494-E90AA908932F}.tap
Sun Apr 03 16:50:06 2011 TAP-Win32 Driver Version 9.7
Sun Apr 03 16:50:06 2011 TAP-Win32 MTU=1500
Sun Apr 03 16:50:06 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.10.14.2/255.255.255.0 on interface {2704E367-EBC6-4E55-9494-E90AA908932F} [DHCP-serv: 10.10.14.0, lease-time: 31536000]
Sun Apr 03 16:50:06 2011 Successful ARP Flush on interface [2] {2704E367-EBC6-4E55-9494-E90AA908932F}
Sun Apr 03 16:50:08 2011 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Sun Apr 03 16:50:08 2011 Route: Waiting for TUN/TAP interface to come up...
Sun Apr 03 16:50:10 2011 TEST ROUTES: 0/0 succeeded len=-1 ret=1 a=0 u/d=up
Sun Apr 03 16:50:10 2011 Initialization Sequence Completed
С сервера лог пока дать не могу завис роутер = )) Через пару часов дам..
Цитата:
push "route-gateway 10.10.14.1"
# Push routes to the client to allow it
# to reach other private subnets behind
# the server. Remember that these
# private subnets will also need
# to know to route the OpenVPN client
# address pool (10.8.0.0/255.255.255.0)
# back to the OpenVPN server.
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
здесь ты должен прописать удаленные сети, это конечно если ты роутинг настраиваешь. А у тебя прописано непонятно чего.
какая схема будет-то ?
Задача. Обепсечить доступ через OpenVPN к ресусам локальной сети и к интернету локальной сети к VPN серверу через незащищенный Wi-Fi.
На сервере стоит 2 сетевые:
- 192.168.0.1 - смотрит в домашнюю локальную сеть из 2 компьютеров
- ко второй подключен сетевой кабель от провайдера
Интернет подключается через PPPoE соединение (белый IP), раздается в домашную локальную сеть через стандартное расшаривание общего доступа Windows.
На всех комьютерах Win XP. Поднят OpenVPN сервер, сетевая домашней сети соединена мостом с tap адаптером.
Конфиг сервера:
port 1194
dev tap
#dev-node OpenVPN Bridge
proto udp
ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\ServerVPN.crt
key C:\\OpenVPN\\ssl\\ServerVPN.key
dh C:\\OpenVPN\\ssl\\dh2048.pem
tls-auth C:\\OpenVPN\\ssl\\ta.key 0
server-bridge 192.168.0.1 255.255.255.0 192.168.0.101 192.168.0.254
ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt
tls-server
client-to-client
comp-lzo
persist-tun
persist-key
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
keepalive 10 120
status C:\\OpenVPN\\log\\openvpn-status.log
log C:\\OpenVPN\\log\\openvpn.log
verb 3
Конфиг клиента:
dev tap
# dev-node "OpenVPN Adapter"
proto udp
remote XXX.XXX.XXX.XXX 1194
route-method exe
route-delay 3
client
tls-client
ns-cert-type server
ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\ClientVPN1.crt
key C:\\OpenVPN\\ssl\\ClientVPN1.key
tls-auth C:\\OpenVPN\\ssl\\ta.key 1
redirect-gateway def1
comp-lzo
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
ping-restart 60
ping 10
status C:\\OpenVPN\\log\\openvpn-status.log
status C:\\OpenVPN\\log\\openvpn.log
verb 3
Все работает. Единственное прошу уточнить какие-либо тонкости, которые я возможно упустил, т.к. планирую подключаться к VPN серверу через незащищенный Wi-Fi.
На сервере стоит 2 сетевые:
- 192.168.0.1 - смотрит в домашнюю локальную сеть из 2 компьютеров
- ко второй подключен сетевой кабель от провайдера
Интернет подключается через PPPoE соединение (белый IP), раздается в домашную локальную сеть через стандартное расшаривание общего доступа Windows.
На всех комьютерах Win XP. Поднят OpenVPN сервер, сетевая домашней сети соединена мостом с tap адаптером.
Конфиг сервера:
port 1194
dev tap
#dev-node OpenVPN Bridge
proto udp
ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\ServerVPN.crt
key C:\\OpenVPN\\ssl\\ServerVPN.key
dh C:\\OpenVPN\\ssl\\dh2048.pem
tls-auth C:\\OpenVPN\\ssl\\ta.key 0
server-bridge 192.168.0.1 255.255.255.0 192.168.0.101 192.168.0.254
ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt
tls-server
client-to-client
comp-lzo
persist-tun
persist-key
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
keepalive 10 120
status C:\\OpenVPN\\log\\openvpn-status.log
log C:\\OpenVPN\\log\\openvpn.log
verb 3
Конфиг клиента:
dev tap
# dev-node "OpenVPN Adapter"
proto udp
remote XXX.XXX.XXX.XXX 1194
route-method exe
route-delay 3
client
tls-client
ns-cert-type server
ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\ClientVPN1.crt
key C:\\OpenVPN\\ssl\\ClientVPN1.key
tls-auth C:\\OpenVPN\\ssl\\ta.key 1
redirect-gateway def1
comp-lzo
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
ping-restart 60
ping 10
status C:\\OpenVPN\\log\\openvpn-status.log
status C:\\OpenVPN\\log\\openvpn.log
verb 3
Все работает. Единственное прошу уточнить какие-либо тонкости, которые я возможно упустил, т.к. планирую подключаться к VPN серверу через незащищенный Wi-Fi.
Суть какая я не могу пропинговать даже сервак ВПН остальное я смогу сам настроить, непонятно почему сервер не пингуется, а клиенты между собой подключенные пингуются
Добавлено:
Вообще задача такая клиент конектится и видит сеть за опен ВПН сервером но это 1 строкой делается. У меня уже есть удачные попытки но на линуксе, а тут dd-wrt прошивка и я не пойму что там с ней
Добавлено:
Вообще задача такая клиент конектится и видит сеть за опен ВПН сервером но это 1 строкой делается. У меня уже есть удачные попытки но на линуксе, а тут dd-wrt прошивка и я не пойму что там с ней
Народ насчет моего поста ничего не слышно?
http://forum.ru-board.com/topic.cgi?forum=8&topic=11656&start=860
http://forum.ru-board.com/topic.cgi?forum=8&topic=11656&start=860
всем доброго времени. интересует вопрос. от чего ширина канала при поднятии vpn.
server.conf
port 1194
proto udp
tls-server
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.10.10.0 255.255.255.0 # собственно наша виртуальная сеть
ifconfig-pool-persist ipp.txt
keepalive 10 120 # пинг каждые 10 сек для поддержания канала связи
comp-lzo # сжатие трафика
max-clients 10 # указываем максимальное кол-во клиентов
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
verb 3 # уровень болтливости записей в логи
push "route 10.18.0.0 255.255.0.0"
client-to-client
client-config-dir /etc/openvpn/ccd
route 192.168.3.0 255.255.255.0
route 192.168.2.0 255.255.255.0
remote x.x.x.x 1194 # ip и порт нашего сервера
client
dev tun
ping 10
nobind
comp-lzo
proto udp
#tls-client
pkcs12 admin.p12
verb 3
pull
лог подключения
Wed Apr 27 20:25:31 2011 OpenVPN 2.2-beta5 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 30 2010
Wed Apr 27 20:25:31 2011 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Apr 27 20:25:31 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Apr 27 20:25:31 2011 LZO compression initialized
Wed Apr 27 20:25:31 2011 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Apr 27 20:25:31 2011 Socket Buffers: R=[8192->8192] S=[64512->64512]
Wed Apr 27 20:25:31 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Apr 27 20:25:31 2011 Local Options hash (VER=V4): '41690919'
Wed Apr 27 20:25:31 2011 Expected Remote Options hash (VER=V4): '530fdded'
Wed Apr 27 20:25:31 2011 UDPv4 link local: [undef]
Wed Apr 27 20:25:31 2011 UDPv4 link remote: х.х.х.х:1194
Wed Apr 27 20:25:31 2011 TLS: Initial packet from х.х.х.х:1194, sid=5c119b08 0b29735c
Wed Apr 27 20:25:31 2011 VERIFY OK: depth=1, /C=RU/ST=RU/L=Izhevsk/O=ITS/CN=ITS_CA/emailAddress=
Wed Apr 27 20:25:31 2011 VERIFY OK: depth=0, /C=RU/ST=RU/L=Izhevsk/O=ITS/CN=server/emailAddress=
Wed Apr 27 20:25:38 2011 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Apr 27 20:25:38 2011 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Apr 27 20:25:38 2011 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Apr 27 20:25:38 2011 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Apr 27 20:25:38 2011 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Apr 27 20:25:38 2011 [server] Peer Connection Initiated with х.х.х.х:1194
Wed Apr 27 20:25:40 2011 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Apr 27 20:25:40 2011 PUSH: Received control message: 'PUSH_REPLY,route 10.18.0.0 255.255.0.0,route 10.10.10.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.10.10.6 10.10.10.5'
Wed Apr 27 20:25:40 2011 OPTIONS IMPORT: timers and/or timeouts modified
Wed Apr 27 20:25:40 2011 OPTIONS IMPORT: --ifconfig/up options modified
Wed Apr 27 20:25:40 2011 OPTIONS IMPORT: route options modified
Wed Apr 27 20:25:40 2011 ROUTE default_gateway=94.181.66.238
Wed Apr 27 20:25:40 2011 TAP-WIN32 device [Подключение по локальной сети 4] opened: \\.\Global\{8324D8D5-E3D1-4FCF-8264-E363F3C66E33}.tap
Wed Apr 27 20:25:40 2011 TAP-Win32 Driver Version 9.7
Wed Apr 27 20:25:40 2011 TAP-Win32 MTU=1500
Wed Apr 27 20:25:40 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.10.10.6/255.255.255.252 on interface {8324D8D5-E3D1-4FCF-8264-E363F3C66E33} [DHCP-serv: 10.10.10.5, lease-time: 31536000]
Wed Apr 27 20:25:40 2011 Successful ARP Flush on interface [3] {8324D8D5-E3D1-4FCF-8264-E363F3C66E33}
Wed Apr 27 20:25:45 2011 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Wed Apr 27 20:25:45 2011 Route: Waiting for TUN/TAP interface to come up...
Wed Apr 27 20:25:50 2011 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Wed Apr 27 20:25:50 2011 C:\WINDOWS\system32\route.exe ADD 10.18.0.0 MASK 255.255.0.0 10.10.10.5
Wed Apr 27 20:25:50 2011 Route addition via IPAPI succeeded [adaptive]
Wed Apr 27 20:25:50 2011 C:\WINDOWS\system32\route.exe ADD 10.10.10.0 MASK 255.255.255.0 10.10.10.5
Wed Apr 27 20:25:50 2011 Route addition via IPAPI succeeded [adaptive]
Wed Apr 27 20:25:50 2011 Initialization Sequence Completed
при подключении говорит что ширина канала 10 МБит
так как все настраивается для 1с8 . то она говорит что сервер не найден.
имхо то что ширина канала маловато будет.
подскажите где я неправ
server.conf
port 1194
proto udp
tls-server
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.10.10.0 255.255.255.0 # собственно наша виртуальная сеть
ifconfig-pool-persist ipp.txt
keepalive 10 120 # пинг каждые 10 сек для поддержания канала связи
comp-lzo # сжатие трафика
max-clients 10 # указываем максимальное кол-во клиентов
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
verb 3 # уровень болтливости записей в логи
push "route 10.18.0.0 255.255.0.0"
client-to-client
client-config-dir /etc/openvpn/ccd
route 192.168.3.0 255.255.255.0
route 192.168.2.0 255.255.255.0
remote x.x.x.x 1194 # ip и порт нашего сервера
client
dev tun
ping 10
nobind
comp-lzo
proto udp
#tls-client
pkcs12 admin.p12
verb 3
pull
лог подключения
Wed Apr 27 20:25:31 2011 OpenVPN 2.2-beta5 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 30 2010
Wed Apr 27 20:25:31 2011 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Apr 27 20:25:31 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Apr 27 20:25:31 2011 LZO compression initialized
Wed Apr 27 20:25:31 2011 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Apr 27 20:25:31 2011 Socket Buffers: R=[8192->8192] S=[64512->64512]
Wed Apr 27 20:25:31 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Apr 27 20:25:31 2011 Local Options hash (VER=V4): '41690919'
Wed Apr 27 20:25:31 2011 Expected Remote Options hash (VER=V4): '530fdded'
Wed Apr 27 20:25:31 2011 UDPv4 link local: [undef]
Wed Apr 27 20:25:31 2011 UDPv4 link remote: х.х.х.х:1194
Wed Apr 27 20:25:31 2011 TLS: Initial packet from х.х.х.х:1194, sid=5c119b08 0b29735c
Wed Apr 27 20:25:31 2011 VERIFY OK: depth=1, /C=RU/ST=RU/L=Izhevsk/O=ITS/CN=ITS_CA/emailAddress=
Wed Apr 27 20:25:31 2011 VERIFY OK: depth=0, /C=RU/ST=RU/L=Izhevsk/O=ITS/CN=server/emailAddress=
Wed Apr 27 20:25:38 2011 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Apr 27 20:25:38 2011 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Apr 27 20:25:38 2011 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Apr 27 20:25:38 2011 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Apr 27 20:25:38 2011 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Apr 27 20:25:38 2011 [server] Peer Connection Initiated with х.х.х.х:1194
Wed Apr 27 20:25:40 2011 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Apr 27 20:25:40 2011 PUSH: Received control message: 'PUSH_REPLY,route 10.18.0.0 255.255.0.0,route 10.10.10.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.10.10.6 10.10.10.5'
Wed Apr 27 20:25:40 2011 OPTIONS IMPORT: timers and/or timeouts modified
Wed Apr 27 20:25:40 2011 OPTIONS IMPORT: --ifconfig/up options modified
Wed Apr 27 20:25:40 2011 OPTIONS IMPORT: route options modified
Wed Apr 27 20:25:40 2011 ROUTE default_gateway=94.181.66.238
Wed Apr 27 20:25:40 2011 TAP-WIN32 device [Подключение по локальной сети 4] opened: \\.\Global\{8324D8D5-E3D1-4FCF-8264-E363F3C66E33}.tap
Wed Apr 27 20:25:40 2011 TAP-Win32 Driver Version 9.7
Wed Apr 27 20:25:40 2011 TAP-Win32 MTU=1500
Wed Apr 27 20:25:40 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.10.10.6/255.255.255.252 on interface {8324D8D5-E3D1-4FCF-8264-E363F3C66E33} [DHCP-serv: 10.10.10.5, lease-time: 31536000]
Wed Apr 27 20:25:40 2011 Successful ARP Flush on interface [3] {8324D8D5-E3D1-4FCF-8264-E363F3C66E33}
Wed Apr 27 20:25:45 2011 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Wed Apr 27 20:25:45 2011 Route: Waiting for TUN/TAP interface to come up...
Wed Apr 27 20:25:50 2011 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Wed Apr 27 20:25:50 2011 C:\WINDOWS\system32\route.exe ADD 10.18.0.0 MASK 255.255.0.0 10.10.10.5
Wed Apr 27 20:25:50 2011 Route addition via IPAPI succeeded [adaptive]
Wed Apr 27 20:25:50 2011 C:\WINDOWS\system32\route.exe ADD 10.10.10.0 MASK 255.255.255.0 10.10.10.5
Wed Apr 27 20:25:50 2011 Route addition via IPAPI succeeded [adaptive]
Wed Apr 27 20:25:50 2011 Initialization Sequence Completed
при подключении говорит что ширина канала 10 МБит
так как все настраивается для 1с8 . то она говорит что сервер не найден.
имхо то что ширина канала маловато будет.
подскажите где я неправ
mila22
Цитата:
Какая связь между шириной канала и роутингом?
Мои рекомендации: смени dev tun на dev tар, выдавай клиентам адреса из диапазона локальной сети, и будет тебе щастье.
Цитата:
так как все настраивается для 1с8 . то она говорит что сервер не найден.В огороде бузина, в Киеве дядька...
имхо то что ширина канала маловато будет.
Какая связь между шириной канала и роутингом?
Мои рекомендации: смени dev tun на dev tар, выдавай клиентам адреса из диапазона локальной сети, и будет тебе щастье.
как ни странно. но две сетки поднял без проблем. в каждой сетке по dhcp серверу.
это подключение из дома.
сервер поднят на linux , во втором офисе клиент тоже на linux. дома стоит xp
это подключение из дома.
сервер поднят на linux , во втором офисе клиент тоже на linux. дома стоит xp
Не получается ключи создавать после того как все сделал.
build-key client2
не работает кучу всего пишет,не как первый раз.
Или надо по новой все команды писать
vars
clean-all
build-ca
build-key client2
не работает кучу всего пишет,не как первый раз.
Или надо по новой все команды писать
vars
clean-all
build-ca
Здравствуйте!!! очень нужна помощь знающих людей. Хочу установить соединение с моим компьютером на работе. сисадмин дал мне настройки клиента:
tls-client
client
dev tun
proto udp
tun-mtu 1400
remote 82.207.45.51 1194
pkcs12 TS.p12
cipher BF-CBC
verb 3
ns-cert-type server
Подключаюсь через OpenVPN. вот лог подключения:
Tue May 17 17:23:54 2011 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Tue May 17 17:23:54 2011 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Tue May 17 17:23:54 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue May 17 17:23:55 2011 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue May 17 17:23:55 2011 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Tue May 17 17:23:55 2011 Local Options hash (VER=V4): '3514370b'
Tue May 17 17:23:55 2011 Expected Remote Options hash (VER=V4): '239669a8'
Tue May 17 17:23:55 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue May 17 17:23:55 2011 UDPv4 link local (bound): [undef]:1194
Tue May 17 17:23:55 2011 UDPv4 link remote: 82.207.45.51:1194
Tue May 17 17:24:55 2011 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue May 17 17:24:55 2011 TLS Error: TLS handshake failed
Tue May 17 17:24:55 2011 TCP/UDP: Closing socket
Tue May 17 17:24:55 2011 SIGUSR1[soft,tls-error] received, process restarting
Tue May 17 17:24:55 2011 Restart pause, 2 second(s)
После последней строки - рестарт подключения и не дальше.
Подскажите в чем проблема есть/может быть???
tls-client
client
dev tun
proto udp
tun-mtu 1400
remote 82.207.45.51 1194
pkcs12 TS.p12
cipher BF-CBC
verb 3
ns-cert-type server
Подключаюсь через OpenVPN. вот лог подключения:
Tue May 17 17:23:54 2011 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Tue May 17 17:23:54 2011 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Tue May 17 17:23:54 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue May 17 17:23:55 2011 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue May 17 17:23:55 2011 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Tue May 17 17:23:55 2011 Local Options hash (VER=V4): '3514370b'
Tue May 17 17:23:55 2011 Expected Remote Options hash (VER=V4): '239669a8'
Tue May 17 17:23:55 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue May 17 17:23:55 2011 UDPv4 link local (bound): [undef]:1194
Tue May 17 17:23:55 2011 UDPv4 link remote: 82.207.45.51:1194
Tue May 17 17:24:55 2011 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue May 17 17:24:55 2011 TLS Error: TLS handshake failed
Tue May 17 17:24:55 2011 TCP/UDP: Closing socket
Tue May 17 17:24:55 2011 SIGUSR1[soft,tls-error] received, process restarting
Tue May 17 17:24:55 2011 Restart pause, 2 second(s)
После последней строки - рестарт подключения и не дальше.
Подскажите в чем проблема есть/может быть???
ForeverRED66
vars надо всегда выполнять перед работой с овпновским easy-rsa
webdev237
судя по всему, клиент банально не может соединиться с сервером. у тебя пингуется сервак? как вариант, у тебя может быть заблокирован удп трафик
vars надо всегда выполнять перед работой с овпновским easy-rsa
webdev237
судя по всему, клиент банально не может соединиться с сервером. у тебя пингуется сервак? как вариант, у тебя может быть заблокирован удп трафик
да, адрес пингуется. Я не очень хорошо разбираюсь, поэтому спрошу, как проверить блокируется трафик или нет и что нужно сделать для разблокировки?
я, если честно, сам не знаю, как проверить, блокируется ли удп. лучше всего пообщаться с админом, чтоб он на стороне сервера глянул лог - есть ли от тебя подключения
пс. я вот попробовал твой конфиг - сервак благополучно отшил меня с левым сертификатом
Код: Tue May 17 22:19:49 2011 OpenVPN 2.1.0 i686-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Jul 12 2010
Tue May 17 22:19:49 2011 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Tue May 17 22:19:49 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue May 17 22:19:49 2011 WARNING: file 'TS.p12' is group or others accessible
Tue May 17 22:19:49 2011 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Tue May 17 22:19:50 2011 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1400)
Tue May 17 22:19:50 2011 Control Channel MTU parms [ L:1441 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue May 17 22:19:50 2011 Data Channel MTU parms [ L:1441 D:1441 EF:41 EB:4 ET:0 EL:0 ]
Tue May 17 22:19:50 2011 Local Options hash (VER=V4): '57657c3f'
Tue May 17 22:19:50 2011 Expected Remote Options hash (VER=V4): '778eeec5'
Tue May 17 22:19:50 2011 Socket Buffers: R=[114688->131072] S=[114688->131072]
Tue May 17 22:19:50 2011 UDPv4 link local (bound): [undef]
Tue May 17 22:19:50 2011 UDPv4 link remote: [AF_INET] ***
Tue May 17 22:19:50 2011 TLS: Initial packet from [AF_INET] ***, sid=d32dbd64 7534ef1c
Tue May 17 22:19:51 2011 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: ***
Tue May 17 22:19:51 2011 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Tue May 17 22:19:51 2011 TLS Error: TLS object -> incoming plaintext read error
Tue May 17 22:19:51 2011 TLS Error: TLS handshake failed
Tue May 17 22:19:51 2011 TCP/UDP: Closing socket
пс. я вот попробовал твой конфиг - сервак благополучно отшил меня с левым сертификатом
Код: Tue May 17 22:19:49 2011 OpenVPN 2.1.0 i686-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Jul 12 2010
Tue May 17 22:19:49 2011 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Tue May 17 22:19:49 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue May 17 22:19:49 2011 WARNING: file 'TS.p12' is group or others accessible
Tue May 17 22:19:49 2011 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Tue May 17 22:19:50 2011 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1400)
Tue May 17 22:19:50 2011 Control Channel MTU parms [ L:1441 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue May 17 22:19:50 2011 Data Channel MTU parms [ L:1441 D:1441 EF:41 EB:4 ET:0 EL:0 ]
Tue May 17 22:19:50 2011 Local Options hash (VER=V4): '57657c3f'
Tue May 17 22:19:50 2011 Expected Remote Options hash (VER=V4): '778eeec5'
Tue May 17 22:19:50 2011 Socket Buffers: R=[114688->131072] S=[114688->131072]
Tue May 17 22:19:50 2011 UDPv4 link local (bound): [undef]
Tue May 17 22:19:50 2011 UDPv4 link remote: [AF_INET] ***
Tue May 17 22:19:50 2011 TLS: Initial packet from [AF_INET] ***, sid=d32dbd64 7534ef1c
Tue May 17 22:19:51 2011 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: ***
Tue May 17 22:19:51 2011 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Tue May 17 22:19:51 2011 TLS Error: TLS object -> incoming plaintext read error
Tue May 17 22:19:51 2011 TLS Error: TLS handshake failed
Tue May 17 22:19:51 2011 TCP/UDP: Closing socket
ок, спасибо, буду тормошить админа
Приветствую,
Хотел попросить помощи в решении одной ситуации.
Имеется сервер с установленным OpenVPN сервером. Но иногда бывают сложности на канале и он бывает недоступен (возможности съехать с данного провайдера нет). В связи с этим вопрос, можно ли реализовать возможный лоадинг на второй сервер, который будет находиться на втором провайдере (запасной). То есть чтобы Клиент OpenVPN сам определял, что если один не доступен, то коннектиться на второй.
Если так не возможно реализовать, может вы могли бы предложить иные методы реализации подобного механизма.
Заранее благодарен.
Хотел попросить помощи в решении одной ситуации.
Имеется сервер с установленным OpenVPN сервером. Но иногда бывают сложности на канале и он бывает недоступен (возможности съехать с данного провайдера нет). В связи с этим вопрос, можно ли реализовать возможный лоадинг на второй сервер, который будет находиться на втором провайдере (запасной). То есть чтобы Клиент OpenVPN сам определял, что если один не доступен, то коннектиться на второй.
Если так не возможно реализовать, может вы могли бы предложить иные методы реализации подобного механизма.
Заранее благодарен.
Break_Action
Цитата:
Цитата:
--remote host [port] [proto]
Remote host name or IP address. On the client, multiple --remote options may be specified for redundancy, each referring to a different OpenVPN server. Specifying multiple --remote options for this purpose is a special case of the more general connection-profile feature. See the <connection> documentation below.
The OpenVPN client will try to connect to a server at host:port in the order specified by the list of --remote options.
rain87
Огромное спасибо, буду копать глубже!
Огромное спасибо, буду копать глубже!
Break_Action
да копать особо и не надо - просто указыавешь несколько серваков в конфиге и всё, овпн будет по очереди к ним коннектится, пока не получится
да копать особо и не надо - просто указыавешь несколько серваков в конфиге и всё, овпн будет по очереди к ним коннектится, пока не получится
Ткните, помогите с роутингом..
192.168.0.1/24 <> 192.168.11.2 < --- > 192.168.11.1 <> 192.168.0.1/24
Разделенная сетка - 192.168.0.1/24, что прописать чтоб по этому туннелю ходила -
# для сервера
dev tun
ip-win32 manual
ifconfig 192.168.11.1 192.168.11.2
secret static.key
#для клиента
remote 217.xxx.xxx.xxx
dev tun
ifconfig 192.168.11.2 192.168.11.1
secret static.key
Зеленым горит, 11.1 11.2 пингуеться с двух сторон.. или должно пахать по дефолту?
192.168.0.1/24 <> 192.168.11.2 < --- > 192.168.11.1 <> 192.168.0.1/24
Разделенная сетка - 192.168.0.1/24, что прописать чтоб по этому туннелю ходила -
# для сервера
dev tun
ip-win32 manual
ifconfig 192.168.11.1 192.168.11.2
secret static.key
#для клиента
remote 217.xxx.xxx.xxx
dev tun
ifconfig 192.168.11.2 192.168.11.1
secret static.key
Зеленым горит, 11.1 11.2 пингуеться с двух сторон.. или должно пахать по дефолту?
graydevil2
Цитата:
Цитата:
что прописать чтоб по этому туннелю ходилаВ таком варианте ничего не поможет. Либо на клиентах прописывать путь для отдельных адресов через шлюз (с обратной стороны - также), либо соединять обе сетки через Ethernet Bridging
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273
Предыдущая тема: конвертация mdf в sql
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.