» OpenVPN

Barlok88
Цитата:

путного совета дать не можешь

А типа ты можешь? Написал то же самое, что я уже выше сказал, только другими словами, и пальцы веером сразу растопырил. Ну топырь дальше, "хакер". Фиг ли с тобой вату катать - толку все равно ноль, иди пиписьками меряться в другое место.
Совсем школота оборзела перед мониторами сидя.

YikxX
Ты ничо не попутал, братан? Пальцы тут ты растопырил, я лишь пошутил про ламером, а ты видать близко к сердцу принял. Я тебе не хамил. Иди перед дружками выпендривайся какой ты "крутой" сисадмин. А по теме, я лишь более подробно расписал что да как чтоб потом не спрашивал что за опции. И для справки: мне 25, так что с школотой ты явно промахнулся

Barlok88 Ну и не шути так больше, чтобы никто неправильно не воспринимал. А про школоту - то все просто: я ламер, ты школота. Намек понятен?
Перед друзьями мне свои знания показывать не надо, чего ты, видимо, лишен, т.к. выпендриваешься даже перед совершенно незнакомым человеком, в публичном месте.
Расписал - и молодец. Только вот зачем порекомендовал все опции безопасности убрать - непонятно.
Да и не проще ли просто в конфиг сервера добавить строку route-up "route add -p 10.8.0.0 mask 255.255.255.0 X.X.X.X"
где X.X.X.X - шлюз по умолчанию у соединения, смотрящего в инет.
Тогда никакие галки нигде ставить не придется.
И если уж разговор про новые версии пошел, то это:
ca C:\\OpenVPN\\config\\ca.crt
cert C:\\OpenVPN\\config\\client.crt
key C:\\OpenVPN\\config\\client.key
вообще можно убрать, заменив на такую
pkcs12 client.p12

И в чем преимущество протокола UDP над TCP в локалке, интересно? Можно пруф?

YikxX
я перед тобой не выпендривался это раз, насчет tls-auth - у него не паблик впн и даже вряд ли внешний ип есть, на кой ему защита от ддос? а вот на винде у меня она подтупливает это факт. удп предпочтительней для его канала тем более в мане предпочтение ему отдается и только в случае потери пакетор тср. а вот на кой ему маршрут с физ интерфейса до впн вкорне неясно когда ему нужно просто push default-gateway и маршрутизацию между интерфейсами, что проще сделать с помощью ics, чем крутить маршруты на серве. просто, не нужно в сторону парня уводить мол покажи то, покажи это, когда и так очевидно в чем трабл

Barlok88
Цитата:

ему нужно просто push default-gateway и маршрутизацию между интерфейсами

А я что написал? Сразу же про пуш ему отписал. Так ICS делает то же самое. Просто там галка и выбор интерфейса, а тут команда в конфиге. И маршрут, кстати, наоборот - с впн до физ. интерфейса.

YikxX
я те честно скажу, в душе не чаю как пойдет инет без ната. ics делает не то же самое. ics - это почти что нат, то есть, приняв пакет от 10.8.0.3 скажем, он не перенаправит его на дефолтный шлюз как это сделает обычная маршрутизация (а в семерке она включается в службах, а не как в xp через реестр), а подменит адрес отправителя на свой. Разницу чуешь? Шлюз на который пойдет пакет вернет его обратно, а вот без ната пакет к нему придет от некой сети 10.8.0.0 о которой он ни бум бу

Barlok88 Типа вот так. Хотя галочку действительно проще поставить. Не понял, чего там в ХР через реестр включается? ICS? Да с какого хоть перепугу? То же самое все - служба по умолчанию запущенная + галка.

В общем резюмируем, чтобы совсем читающих-новичков не запутать. Чтобы под виндой нормально работал сервак VPN нужно:
1. Прописать в конфиге сервака
push "redirect-gateway def1"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220" (адреса днс-серверов могут быть другие)
2. Включить NAT, путем захода в свойства подключения к интернету и установки галки "Разрешить другим пользователям...", на вкладке "Доступ".

Все верно?

YikxX
В хр в реестре включается маршрутизация в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters, а в семерке такой номер не прокатывает, поменяли стек. Служба запускает прослушку портов впн, модема и прочую байду что кстати убивает значок в семерке. Тока через нее идет маршрутизация, а в хр в реестре достаточно прописать. Галочка не проще, а единственный вариант. Другой вариант будет поднять tap. Над просто ман накатать как на винде опенвпн поднимать и все. Верно, тока днс гугловские поставь на всякий

Barlok88 Ну про это я в курсе - маршрутизируешь неугодную подсеть на локалхост и все - хомячок без любимого вконтакта. Удобно было, вносилось обычным reg-файлом. Хотя вирусописатели тоже пользовались - вот это было уже грустно.
Ладно, пойду спать... Удачи!

не поленился, написал статью http://habrahabr.ru/post/197744/

Barlok88

Цитата:

Как и автор статьи об установке OpenVPN на Linux, я не нашел нормальной статьи, да еще и такой, чтоб описывалось все до мелочей.

В шапке есть ссылка на очень поверхностную статью, но и там более подробно расписано.
Мелочи тут, переведи, и тогда действительно будет "все до мелочей".
Молодец, конечно, что написал, но твоя статья отличается от тысяч других (в т.ч. и нескольких на том же хабре) только пунктом про прописывание сертификатов в конфиг.

korn3r
возьмем
Цитата:

Настройка OpenVPN сервера под Windows

статью из шапки. тот кто писал явно не читал ман, либо читал, но сделал все с точностью до наоборот. нет возможности проверить будет ли работать без объединения в мост т.к. андроид не держит tap (одна из причин почему не стоит юзать), а вот все остальное можно разобрать. опустим то, что некоторые функции по дефолту идут и то, что защита от ддос простому юзеру не нужна (а статья не для сисадминов естессно), так еще и пути устарели. зря их вообще писал. вопреки совету от разраба юзать tun и udp делается все с точностью до наоборот. в итоге, бесполезный абсолютно конфиг.
Цитата:

Мелочи тут, переведи, и тогда действительно будет "все до мелочей".

не было цели описывать все тонкости. была цель сделать доступно и главное рабочее

Barlok88
статья из шапки была для примера. в гугле этих статьей завались.


Цитата:

не было цели описывать все тонкости. была цель сделать доступно и главное рабочее

сам же на хабре статью начал со слов

Цитата:

я не нашел нормальной статьи, да еще и такой, чтоб описывалось все до мелочей

я например tcp юзаю, в чем проблема? юзал бы tap, была бы необходимость...
"простому юзеру" пофигу, tcp или udp у него (я бы даже сказал, что простому юзеру лучше tcp)

зы
что значит "пути устарели"?

и еще, твой каммент на хабре по поводу другой статьи

Цитата:

В той статье, как и в других, много лишнего. Например, tls-server — эта опция идет по дефолту, route-method exe они и так через route.exe прописываются

вот это уже совсем фейл, посмотрел бы сначала какой метод добавления маршрутов используется по-дефолту
ты, похоже, ни разу не сталкивался с проблемами при добавлении маршрутов под виндой, многие из которых исправляются добавлением route-method exe.

korn3r
http://www.cse.wustl.edu/~jain/cse567-08/ftp/ovpn/index.html разраб не зря советы дает. я простой юзер и моему другу не пофиг когда он в танки играет будет у него пинг 30мс или 300. сам потестить пока не могу.
Цитата:

статья из шапки была для примера. в гугле этих статьей завались.

как только покажешь хоть одну толковую статью я тут же извинюсь и удалю свою

Barlok88
сейчас в танки с работы не играю, но когда играл, латенси было ~50 (причем что по tcp, что по udp)
Вот что показывает спидтест (хз, правда, на сколько его пингу можно доверять.


Цитата:

как только покажешь хоть одну толковую статью я тут же извинюсь и удалю свою

тебе сложно набрать в гугле "настройка openvpn"?
лучше исправь свой каммент по поводу route-method exe


Цитата:

http://www.cse.wustl.edu/~jain/cse567-08/ftp/ovpn/index.html разраб не зря советы дает.

а где там конкретно говорится что tap не надо юзать? я так бегло просмотрел, увидел только общее сравнение TUN\TAP и графики, где тесты показывают, что при использовании TAP канал шире, а пинг ниже, чем при TUN`е

Цитата:

тебе сложно набрать в гугле "настройка openvpn"?

я же и прошу показать, может я слепой
Цитата:

лучше исправь свой каммент по поводу route-method exe

Fri Oct 18 14:09:29 2013 C:\Windows\system32\route.exe ADD 46.23.68.180 MASK 255.255.255.255 192.168.0.1 вырезка из лога клиента
Цитата:

http://www.cse.wustl.edu/~jain/cse567-08/ftp/ovpn/index.html разраб не зря советы дает.

я имел ввиду udp, а tap не юзать хотя бы из за того, что некоторые девайсы не держат.
Цитата:

сейчас в танки с работы не играю, но когда играл, латенси было ~50 (причем что по tcp, что по udp)

при хорошем канале разница будет от силы 1мс, а вот при gprs разница наверняка будет существенней

Barlok88
забей, надело спорить с человеком, который толком в сабже ничего не понимает.
удачи.

korn3r
взаимно. к слову, взял два америкоских впн tcp\udp. в танках в обоих случаях разница была в ~30мс в пользу udp. прежде чем тут пальцы гнуть тестить надо. разрабы игр тоже не зря udp предпочли. так что, ты не предоставив нормальную, рабочую статью, никаких фактов в пользу tcp, задрав голову кверху уходишь думая, что ты прав. я же могу выложить скрины, видео и ссылки на обсуждение в пользу udp + на бесплатных сервисах впн нигде нет tap и не с проста

Добрый день

есть удаленный сервер с арендованными 5 ip адресами, как их можно раздавать клиентам при подключение к серверу.

[more] [more=Помогите пожалуйста разобраться, почему не видна внутреняя сеть 192.168.231.x]
Server


local xxx.xx.184.45
dev tap
proto tcp-server
port 1194
server 11.11.11.0 255.255.255.0
route 192.168.9.0 255.255.255.0
push "route 192.168.9.0 255.255.255.0"
# push "redirect-gateway def1"
client-to-client
client-config-dir C:\\OpenVPN\\config\\ccd
ifconfig-pool-persist C:\\OpenVPN\\config\\ipp.txt
dh C:\\OpenVPN\\ssl\\dh1024.pem
ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\Server.crt
key C:\\OpenVPN\\ssl\\Server.key
persist-key
# tls-auth C:\\OpenVPN\\ssl\\ta.key 0
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
keepalive 10 120
comp-lzo
verb 3

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 xxx.xx.184.1 xxx.xx.184.45 11
0.0.0.0 0.0.0.0 On-link 192.168.9.1 261
11.11.11.0 255.255.255.0 On-link 11.11.11.1 286
11.11.11.0 255.255.255.0 xxx.xx.184.45 192.168.9.1 261
11.11.11.1 255.255.255.255 On-link 11.11.11.1 286
11.11.11.255 255.255.255.255 On-link 11.11.11.1 286
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
xxx.xx.184.0 255.255.255.0 On-link xxx.xx.184.45 266
xxx.xx.184.45 255.255.255.255 On-link xxx.xx.184.45 266
xxx.xx.184.255 255.255.255.255 On-link xxx.xx.184.45 266
192.168.9.0 255.255.255.0 On-link 192.168.9.1 261
192.168.9.1 255.255.255.255 On-link 192.168.9.1 261
192.168.9.255 255.255.255.255 On-link 192.168.9.1 261
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link xxx.xx.184.45 266
224.0.0.0 240.0.0.0 On-link 192.168.9.1 261
224.0.0.0 240.0.0.0 On-link 11.11.11.1 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link xxx.xx.184.45 266
255.255.255.255 255.255.255.255 On-link 192.168.9.1 261
255.255.255.255 255.255.255.255 On-link 11.11.11.1 286
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 xxx.xx.184.1 1
0.0.0.0 0.0.0.0 192.168.9.1 По умолчанию
===========================================================================

PS C:\Users\hardcoreuk> ping 11.11.11.1

Обмен пакетами с 11.11.11.1 по с 32 байтами данных:
Ответ от 11.11.11.1: число байт=32 время<1мс TTL=128
Ответ от 11.11.11.1: число байт=32 время<1мс TTL=128
Ответ от 11.11.11.1: число байт=32 время<1мс TTL=128
Ответ от 11.11.11.1: число байт=32 время<1мс TTL=128

Статистика Ping для 11.11.11.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек
PS C:\Users\hardcoreuk> ping 11.11.11.3

Обмен пакетами с 11.11.11.3 по с 32 байтами данных:
Ответ от 11.11.11.3: число байт=32 время=54мс TTL=128
Ответ от 11.11.11.3: число байт=32 время=27мс TTL=128
Ответ от 11.11.11.3: число байт=32 время=34мс TTL=128
Ответ от 11.11.11.3: число байт=32 время=27мс TTL=128

Статистика Ping для 11.11.11.3:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 27мсек, Максимальное = 54 мсек, Среднее = 35 мсек
PS C:\Users\hardcoreuk> ping 192.168.231.1

Обмен пакетами с 192.168.231.1 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 192.168.231.1:
Пакетов: отправлено = 4, получено = 0, потеряно = 4
    
    
Client


dev tap
# dev-node "OpenVPN"
proto tcp
remote xxx.xx.184.45 1194
# push "redirect-gateway def1"
route-delay 3
client
tls-client
ns-cert-type server
ca ca.crt
cert client1.crt
key client1.key
# tls-auth ta.key 1
comp-lzo
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
verb 3

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.231.1 192.168.231.121 20
11.11.11.0 255.255.255.0 192.168.231.1 192.168.231.121 21
11.11.11.0 255.255.255.0 On-link 11.11.11.3 286
11.11.11.3 255.255.255.255 On-link 11.11.11.3 286
11.11.11.255 255.255.255.255 On-link 11.11.11.3 286
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.9.0 255.255.255.0 11.11.11.1 11.11.11.3 30
192.168.56.0 255.255.255.0 On-link 192.168.56.1 276
192.168.56.1 255.255.255.255 On-link 192.168.56.1 276
192.168.56.255 255.255.255.255 On-link 192.168.56.1 276
192.168.231.0 255.255.255.0 On-link 192.168.231.121 276
192.168.231.121 255.255.255.255 On-link 192.168.231.121 276
192.168.231.255 255.255.255.255 On-link 192.168.231.121 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.56.1 276
224.0.0.0 240.0.0.0 On-link 192.168.231.121 276
224.0.0.0 240.0.0.0 On-link 11.11.11.3 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.56.1 276
255.255.255.255 255.255.255.255 On-link 192.168.231.121 276
255.255.255.255 255.255.255.255 On-link 11.11.11.3 286
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
11.11.11.0 255.255.255.0 192.168.231.1 1
===========================================================================

PS C:\Users\hardcoreuk> ping 11.11.11.1

Обмен пакетами с 11.11.11.1 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 11.11.11.1:
Пакетов: отправлено = 4, получено = 0, потеряно = 4
(100% потерь)
PS C:\Users\hardcoreuk> ping 11.11.11.3

Обмен пакетами с 11.11.11.3 по с 32 байтами данных:
Ответ от 11.11.11.3: число байт=32 время<1мс TTL=128
Ответ от 11.11.11.3: число байт=32 время<1мс TTL=128
Ответ от 11.11.11.3: число байт=32 время<1мс TTL=128
Ответ от 11.11.11.3: число байт=32 время<1мс TTL=128

Статистика Ping для 11.11.11.3:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек
PS C:\Users\hardcoreuk> ping 192.168.9.1

Обмен пакетами с 192.168.9.1 по с 32 байтами данных:
Ответ от 192.168.9.1: число байт=32 время=55мс TTL=127
Ответ от 192.168.9.1: число байт=32 время=27мс TTL=127
Ответ от 192.168.9.1: число байт=32 время=27мс TTL=127
Ответ от 192.168.9.1: число байт=32 время=27мс TTL=127

Статистика Ping для 192.168.9.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 27мсек, Максимальное = 55 мсек, Среднее = 34 мсек [/more] [/more]

Исходя из вышеприведенного, в таблице маршрутизации сервера нет информации о подсети 192.168.231.x, соответственно запрос уходит в маршрут по умолчанию.

P/S/ и почему tap и маршруты на интерфейсы туннеля? tap - это туннель второго уровня, используется, когда надо соединить два (или более) сегментов Ethernet в один. Как правило, tap - интерфейсы бриджуются с ethernrt-интерфейсами, смотрящими в соответствующие сегменты.

Так ?

local xx.xx.184.45
dev tun
proto tcp-server
port 1194
server 11.11.11.0 255.255.255.0
route 192.168.9.0 255.255.255.0
push "route 192.168.9.0 255.255.255.0"
push "route 192.168.231.0 255.255.255.0"
# push "redirect-gateway def1"
client-to-client
client-config-dir C:\\OpenVPN\\config\\ccd
ifconfig-pool-persist C:\\OpenVPN\\config\\ipp.txt
dh C:\\OpenVPN\\ssl\\dh1024.pem
ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\Server.crt
key C:\\OpenVPN\\ssl\\Server.key
persist-key
# tls-auth C:\\OpenVPN\\ssl\\ta.key 0
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
keepalive 10 120
comp-lzo
verb 3

push "route 192.168.231.0 255.255.255.0" заменить на route 192.168.231.0 255.255.255.0
ну и 'route 192.168.9.0 255.255.255.0' не имеет смысла, если это локалка сервера с OVPN.

должно заработать

Не видно с сервера клиентскую подсесть 192.168.231.0/24
local xx.xx.184.45
dev tun
proto tcp-server
port 1194
server 11.11.11.0 255.255.255.0
push "route 192.168.9.0 255.255.255.0"
route 192.168.231.0 255.255.255.0
# push "redirect-gateway def1"
client-to-client
client-config-dir C:\\OpenVPN\\config\\ccd
ifconfig-pool-persist C:\\OpenVPN\\config\\ipp.txt
dh C:\\OpenVPN\\ssl\\dh1024.pem
ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\Server.crt
key C:\\OpenVPN\\ssl\\Server.key
persist-key
# tls-auth C:\\OpenVPN\\ssl\\ta.key 0
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
keepalive 10 120
comp-lzo
verb 3

в конфиге клиента надо прописать iroute

Добавлено:
удаленная сетка 192.168.32.0, в офисе 192.168.31.0, конфиг с openwrt, но оно такое же.

config 'openvpn' 'openvpn_routing'
    option 'enable' '1'
    option 'comp_lzo' '1'
    option 'mssfix' '1420'
    option 'keepalive' '10 60'
    option 'verb' '3'
    option 'server' '10.10.10.0 255.255.255.0'
    option 'ca' '/etc/openvpn/routing_keys/ca.crt'
    option 'dh' '/etc/openvpn/routing_keys/dh1024.pem'
    option 'key' '/etc/openvpn/routing_keys/server.key'
    option 'cert' '/etc/openvpn/routing_keys/server.crt'
    option 'tls_auth' '/etc/openvpn/routing_keys/ta.key 0'
    option 'port' '443'
    option 'proto' 'udp'
    option 'push' 'route 192.168.31.0 255.255.255.0'
    option 'route' '192.168.32.0 255.255.255.0'
    option 'client_config_dir' '/etc/openvpn/routing_ccd'
    option 'user' 'nobody'
    option 'group' 'nogroup'
    option 'persist_tun' '1'
    option 'persist_key' '1'
    option 'dev' 'tun'


/etc/openvpn/routing_ccd/192-168-32-0
# office
iroute 192.168.32.0 255.255.255.0
ifconfig-push 10.10.10.2 10.10.10.1

hardcoreuk
а покажите с последним конфигом 'route print' и лог запуска OpenVPN с сервера.

[more] [more] Если я все правильно понял, то:

local xx.xx.184.45
dev tun
proto tcp-server
port 1194
server 11.11.11.0 255.255.255.0
# push "route 192.168.9.0 255.255.255.0"
# push "redirect-gateway def1"
client-to-client
ifconfig-pool-persist C:\\OpenVPN\\config\\ipp.txt
dh C:\\OpenVPN\\ssl\\dh1024.pem
ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\Server.crt
key C:\\OpenVPN\\ssl\\Server.key
persist-key
# tls-auth C:\\OpenVPN\\ssl\\ta.key 0
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
keepalive 10 120
comp-lzo
verb 3
client-config-dir C:\\OpenVPN\\config\\ccd

PS C:\OpenVPN\config\ccd> ls -name
client1.txt
PS C:\OpenVPN\config\ccd> cat client1.txt
push "route 192.168.9.0 255.255.255.0"
ifconfig-push 11.11.11.6 255.255.255.0
iroute 192.168.231.0 255.255.255.0
PS C:\OpenVPN\config\ccd>

Но так я вообще ничего не вижу [/more]

Добавлено:
PlastUn77, с предыдущими настройками ничего не видно.

server 11.11.11.0 255.255.255.0
# push "route 192.168.9.0 255.255.255.0"
# push "redirect-gateway def1"
route 192.168.231.0 255.255.255.0

Если речь идет об этих настройках, то лог такой
[more]
Tue Nov 05 10:43:54 2013 OpenVPN 2.3.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013
Tue Nov 05 10:43:54 2013 Diffie-Hellman initialized with 1024 bit key
Tue Nov 05 10:43:54 2013 Socket Buffers: R=[65536->65536] S=[65536->65536]
Tue Nov 05 10:43:55 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Tue Nov 05 10:43:55 2013 open_tun, tt->ipv6=0
Tue Nov 05 10:43:55 2013 TAP-WIN32 device [OpenVPN] opened: \\.\Global\{D2E03CBC-46A3-4C78-A79F-85297DBA7F54}.tap
Tue Nov 05 10:43:55 2013 TAP-Windows Driver Version 9.9
Tue Nov 05 10:43:55 2013 Notified TAP-Windows driver to set a DHCP IP/netmask of 11.11.11.1/255.255.255.252 on interface {D2E03CBC-46A3-4C78-A79F-85297DBA7F54} [DHCP-serv: 11.11.11.2, lease-time: 31536000]
Tue Nov 05 10:43:55 2013 Sleeping for 10 seconds...
Tue Nov 05 10:44:05 2013 Successful ARP Flush on interface [52] {D2E03CBC-46A3-4C78-A79F-85297DBA7F54}
Tue Nov 05 10:44:05 2013 C:\Windows\system32\route.exe ADD 192.168.9.0 MASK 255.255.255.0 11.11.11.2
Tue Nov 05 10:44:05 2013 ROUTE: route addition failed using CreateIpForwardEntry: Этот объект уже существует. [status=5010 if_index=52]
Tue Nov 05 10:44:05 2013 Route addition via IPAPI failed [adaptive]
Tue Nov 05 10:44:05 2013 Route addition fallback to route.exe
Tue Nov 05 10:44:05 2013 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Tue Nov 05 10:44:05 2013 C:\Windows\system32\route.exe ADD 11.11.11.0 MASK 255.255.255.0 11.11.11.2
Tue Nov 05 10:44:05 2013 ROUTE: route addition failed using CreateIpForwardEntry: Этот объект уже существует. [status=5010 if_index=52]
Tue Nov 05 10:44:05 2013 Route addition via IPAPI failed [adaptive]
Tue Nov 05 10:44:05 2013 Route addition fallback to route.exe
Tue Nov 05 10:44:05 2013 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Tue Nov 05 10:44:05 2013 Listening for incoming TCP connection on [AF_INET]xx.xx.184.45:1194
Tue Nov 05 10:44:05 2013 TCPv4_SERVER link local (bound): [AF_INET]xx.xx.184.45:1194
Tue Nov 05 10:44:05 2013 TCPv4_SERVER link remote: [undef]
Tue Nov 05 10:44:05 2013 MULTI: multi_init called, r=256 v=256
Tue Nov 05 10:44:05 2013 IFCONFIG POOL: base=11.11.11.4 size=62, ipv6=0
Tue Nov 05 10:44:05 2013 ifconfig_pool_read(), in='GW-MSK,11.11.11.4', TODO: IPv6
Tue Nov 05 10:44:05 2013 succeeded -> ifconfig_pool_set()
Tue Nov 05 10:44:05 2013 IFCONFIG POOL LIST
Tue Nov 05 10:44:05 2013 GW-MSK,11.11.11.4
Tue Nov 05 10:44:05 2013 MULTI: TCP INIT maxclients=60 maxevents=64
Tue Nov 05 10:44:05 2013 Initialization Sequence Completed
Tue Nov 05 10:45:32 2013 TCP connection established with [AF_INET]91.226.209.101:51808
Tue Nov 05 10:45:32 2013 yy.yy.209.101:51808 TLS: Initial packet from [AF_INET]yy.yy.209.101:51808, sid=849f55bc 748695a6
Tue Nov 05 10:45:34 2013 yy.yy.209.101:51808 VERIFY OK: depth=1, C=RU, ST=MSK, L=MSK, O=TPI, CN=TPI-DC-MSK, emailAddress=it@z.ru
Tue Nov 05 10:45:34 2013 yy.yy.209.101:51808 VERIFY OK: depth=0, C=RU, ST=MSK, O=TPI, OU=GW-MSK, CN=GW-MSK, emailAddress=it@z.ru
Tue Nov 05 10:45:35 2013 yy.yy.209.101:51808 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Nov 05 10:45:35 2013 yy.yy.209.101:51808 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Nov 05 10:45:35 2013 yy.yy.209.101:51808 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Nov 05 10:45:35 2013 yy.yy.209.101:51808 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Nov 05 10:45:35 2013 yy.yy.209.101:51808 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Nov 05 10:45:35 2013 yy.yy.209.101:51808 [GW-MSK] Peer Connection Initiated with [AF_INET]yy.yy.209.101:51808
Tue Nov 05 10:45:35 2013 GW-MSK/yy.yy.209.101:51808 MULTI_sva: pool returned IPv4=11.11.11.6, IPv6=(Not enabled)
Tue Nov 05 10:45:35 2013 GW-MSK/yy.yy.209.101:51808 MULTI: Learn: 11.11.11.6 -> GW-MSK/yy.yy.209.101:51808
Tue Nov 05 10:45:35 2013 GW-MSK/yy.yy.209.101:51808 MULTI: primary virtual IP for GW-MSK/yy.yy.209.101:51808: 11.11.11.6
Tue Nov 05 10:45:37 2013 GW-MSK/yy.yy.209.101:51808 PUSH: Received control message: 'PUSH_REQUEST'
Tue Nov 05 10:45:37 2013 GW-MSK/yy.yy.209.101:51808 send_push_reply(): safe_cap=940
Tue Nov 05 10:45:37 2013 GW-MSK/yy.yy.209.101:51808 SENT CONTROL [GW-MSK]: 'PUSH_REPLY,route 192.168.9.0 255.255.255.0,route 11.11.11.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 11.11.11.6 11.11.11.5' (status=1)
[/more]

hardcoreuk
Цитата:

с предыдущими настройками ничего не видно

Принципиальная разница между tap и tun - это то, что в первом случае клиент работает в адресном пространстве локалки, и компам в локалке не нужно прописывать пути к нему.
Во втором случае компы должны знать путь к клиенту, если OpenVPN сервер не является их шлюзом по умолчанию.

Спасибо!

День добрый!

Подскажите пожалуйста как решить следующую проблему. Подключение происходит с рабочей машины на домашнюю. На обеих машинах Windows7 x64. На работе стоит прокси сервер. Сгенерировал ключи и настроил конфиги. Подключение происходит, сервер пингуется (пинг 5-10мс). Но после 3-5 минут активного использования впн сначала секунд на 10 замирает а потом пинг поднимается до 1000-3000мс и не падает даже если по впн ничего не передается.

Сервер:
local <server_ip>
port 1194
server 192.168.254.0 255.255.255.0
dev tun
proto tcp-server
ping-timer-rem
keepalive 10 60
persist-tun
persist-key
comp-lzo
verb 2
dh dh1024.pem
ca ca.crt
cert ovpn_server.crt
key ovpn_server.key
tls-auth tls.key 0
auth none
cipher none
max-clients 32
ifconfig-pool-persist client_ippool.txt
push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

Клиент:
remote <server_ip>
port 1194
client
http-proxy <proxy_ip> 8080 proxy.cfg basic
dev tun
proto tcp-client
resolv-retry infinite
keepalive 10 60
persist-tun
persist-key
comp-lzo
verb 2
ca ca.crt
cert ovpn_client.crt
key ovpn_client.key
tls-auth tls.key 1
auth none
cipher none
remote-cert-tls server