» OpenVPN

Здравствуйте. Помогите решить следующую проблему:
есть OpenVPN сервер 172.26.131.1 (он же 192.168.0.5).
К нему подключаются 3 клиента: один телефон и два ПК.
Каждый из двух ПК является шлюзом/файрволом для локальной сети "за ним".
Настроил маршрутизацию между этими сетями по HowTo
Все пингуется во все стороны, кроме одного ПК в одной сети.
т.е. VPN клиент 192.168.5.1 (он же маршрутизатор для сети 192.168.5.0/24) соединяется с VPN сервером, пингует всю его сеть и всех клиентов, но при этом ПК 192.168.5.4 не пингует ни один адрес из других VPN сетей, в обратную сторону пинг также не проходит.

Также на 192.168.5.4 установлен Kaspersky Endpoint Security 10 (пробовал делать приостановку защиты, толку 0), а на 192.168.5.1 в качестве файрвола Kerio Control (также пробовал отключать, не помогает).

Вот route print и ipconfig /all с 192.168.5.4
[more]C:\Documents and Settings\Test_POS1>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : manager
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Atheros AR8131 PCI-E Gigabit Etherne
t Controller
Физический адрес. . . . . . . . . : 6C-F0-49-E5-70-1A
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.5.4
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.5.1
DNS-серверы . . . . . . . . . . . : 192.168.5.1
Основной WINS-сервер . . . . . . : 192.168.0.1

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.5.1 192.168.5.4 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.5.0 255.255.255.0 192.168.5.4 192.168.5.4 20
192.168.5.4 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.5.255 255.255.255.255 192.168.5.4 192.168.5.4 20
224.0.0.0 240.0.0.0 192.168.5.4 192.168.5.4 20
255.255.255.255 255.255.255.255 192.168.5.4 192.168.5.4 1
Основной шлюз: 192.168.5.1[/more]

Вот те же данные для шлюза 192.168.5.1
[more]C:\Documents and Settings\User>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : azs5
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет

Internet - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Co
ection
Физический адрес. . . . . . . . . : 00-22-4D-A6-D7-82
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.6.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.6.1
DNS-серверы . . . . . . . . . . . : 62.109.189.240
8.8.8.8
Основной WINS-сервер . . . . . . : 192.168.0.1

Lan - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Co
ection #2
Физический адрес. . . . . . . . . : 00-22-4D-A6-D7-7E
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.5.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 8.8.8.8
Основной WINS-сервер . . . . . . : 192.168.0.1[/more]

Подскажите в чем может быть проблема?
Спасибо.

Добавлено:
Просто не складывается в голове, на клиенте явно прописан шлюз 192.168.5.1, он все маршруты знает и работают они на нём на "ура", что же ему блин мешает?

51rus А покажите tracert -d <адрес_любого_ПК_из_VPN_сетей> с 192.168.5.4 и с 192.168.5.1?

Decker82 вот с 192.168.5.1

C:\Documents and Settings\User>tracert -d 192.168.0.1

Трассировка маршрута к 192.168.0.1 с максимальным числом прыжков 30

1 90 ms 86 ms 88 ms 172.26.131.1
2 88 ms 90 ms * 192.168.0.1
3 86 ms 85 ms 85 ms 192.168.0.1

вот с 192.168.5.4

C:\Documents and Settings\Test_POS1>tracert -d 192.168.0.1

Трассировка маршрута к 192.168.0.1 с максимальным числом прыжков 30

1 * * * Превышен интервал ожидания для запроса.
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
и так далее

Может кто подсказать в чем может быть проблема.

Сервер установлен на роутере:
OpenVPN 2.3.2 mipsel-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Nov 11 2013

На клиенте через некоторое время после установления соединения появляется ошибка, ну и соответственно не идет трафик:
UDP send error: send: No buffer space available.

Клиент IOS.

В каком направлении "копать" чтобы убрать эту ошибку?
Спасибо.

Decker82, наверное я неправ, всю подсеть за шлюзом 192.168.5.1 не пингуется.
IPEnableRouter в реестре установил в 1.

Добавлено:
upd: нет, всё-таки подсеть за шлюзом пингуется, а два ПК не пингуются. Причем на обоих установлен касперский (Endpoint security и internet security), подозреваю что это всё-таки каспер мешает, завтра снесу попробую.

Цитата:

Подскажите пожалуйста как решить следующую проблему. Подключение происходит с рабочей машины на домашнюю. На обеих машинах Windows7 x64. На работе стоит прокси сервер. Сгенерировал ключи и настроил конфиги. Подключение происходит, сервер пингуется (пинг 5-10мс). Но после 3-5 минут активного использования впн сначала секунд на 10 замирает а потом пинг поднимается до 1000-3000мс и не падает даже если по впн ничего не передается.

неужели мне так повезло что такая проблема только у меня (((

Euaristus
Цитата:

неужели мне так повезло что такая проблема только у меня (((

Похоже, да. Бубен в руки - и вперед. Логи, дебаги... Пробовать менять конфиги, tun на tap, tcp на udp... Процесс интимный и сексуальный. И еще:
Цитата:

2.8.Запрещена публикация неинформативных сообщений (флуд), включая, но не ограничиваясь:
...................................
2.8.3.подъем темы. А именно, публикацию сообщений, имеющих целью лишь подъем темы в списке и при этом не несущих смысловой нагрузки, например: «ну так что, никто не знает?»

Вечер добрый, форумчане. На днях появилась необходимость освоить OpenVPN, пытался разобраться сам, но чую, без помощи профессионалов-так и останусь профаном. Есть ноут, на нем две виртуальные машины-одна Ubuntu c локальным IP 192.168.78.22 и доступом в интернет через NAT. Вторая-WinXP c локальным IP 192.168.22.101 и тем же NAT. На убунту я поставил сервер OpenVPN, на XP-клиент. Но за три бессонных дня я окончательно запутался. Как заставить ХР подключаться к серверу на Ubuntu? Нет возможности полностью ознакомиться с темой, так что извините, если такой вопрос уже поднимался. Буду очень благодарен если кто подскажет. Нужные конфиги выложу по востребованию.

DrSchaufel
Цитата:

Как заставить ХР подключаться к серверу на Ubuntu?

Прописать в конфиге клиента айпи сервера. И если между клиентом и сервером правильно настроена маршрутизация, он к нему подключится.
Проблема тут, чувствуется, в другом.
Собственно, дело тут вовсе не в OpenVPN, а в полном незнании сетевых технологий.
Для начала найди и прочти хотя бы эту книгу:

Потом почитай про настройку сети в виртуальной машине.

Цитата:

Собственно, дело тут вовсе не в OpenVPN, а в полном незнании сетевых технологий.

Было бы знание технлогий-не спрашивал бы. В том то и дело, я запутался, какие прописать маршруты, чтобы клиент мог попасть на сервер, который находится за nat.

DrSchaufel
Цитата:

какие прописать маршруты, чтобы клиент мог попасть на сервер, который находится за nat.

Здесь маршрутизация не при делах, нужно OpenVPN порт пробрасывать на том маршрутизаторе, который НАТит машину с OpenVPN сервером наружу.
Опять же, поскольку как я понял, НАТ осуществляет машина, на которой стоит виртуалка, вопрос по пробросу портов в мануал или тему по конкретной виртуалке
(HyperV, VmWare, Virtualbox, Xen или что у тебя там).

[more] Вопрос в догонку. Сервер остался на виртуальной Убунту. Клиент теперь на реальной машине. Они отлично пингуются в обе стороны. Но подключиться не удается.
Лог подключения к серверу от клиента:
Thu Nov 21 18:15:05 2013 OpenVPN 2.3.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013
Thu Nov 21 18:15:05 2013 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Thu Nov 21 18:15:05 2013 Need hold release from management interface, waiting...
Thu Nov 21 18:15:05 2013 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Thu Nov 21 18:15:06 2013 Control Channel Authentication: using 'C:\Program Files\OpenVPN\keys\ta.key' as a OpenVPN static key file
Thu Nov 21 18:15:06 2013 Outgoing Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Thu Nov 21 18:15:06 2013 Incoming Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Thu Nov 21 18:15:06 2013 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Nov 21 18:15:06 2013 UDPv4 link local: [undef]
Thu Nov 21 18:15:06 2013 UDPv4 link remote: [AF_INET]192.168.78.22:1194
Thu Nov 21 18:15:06 2013 MANAGEMENT: >STATE:1385043306,WAIT,,,
Thu Nov 21 18:16:06 2013 [UNDEF] Inactivity timeout (--ping-restart), restarting
Thu Nov 21 18:16:06 2013 SIGUSR1[soft,ping-restart] received, process restarting
Thu Nov 21 18:16:06 2013 MANAGEMENT: >STATE:1385043366,RECONNECTING,ping-restart,,
Thu Nov 21 18:16:06 2013 Restart pause, 2 second(s) [/more]

Проблема UDP send error: send: No buffer space available. на IOS клиентах лечится
параметрами:
Server:
push "sndbuf 8000"
push "rcvbuf 8000"
Client:
pull "sndbuf 8000"
pull "rcvbuf 8000"

Другой вопрос кто сталкивался и как вылечил
Сервер установлен на роутере:
OpenVPN 2.3.2 mipsel-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Nov 11 2013

1) Клиент IOS. Когда девайс переходит в режим "сон" (просто при "закрытии" девайса), клиент тоже засыпает и после возобновления работы не может возобновить соединение:

Код: 2013-11-21 21:39:21 OS Event: SLEEP
2013-11-21 21:39:21 EVENT: PAUSE
2013-11-21 21:39:23 OS Event: WAKEUP
2013-11-21 21:39:28 OS Event: SLEEP
2013-11-21 21:40:44 OS Event: WAKEUP

Есть задача - создать openvpn сервер, чтобы работал как туннель в интернет для клиентов и мобильных устройств (ios и android). Загвоздка в том что в распоряжение выделили всего удаленный windows 2008 WEB! сервер (естественно без rras). Переустановить его нереально (удаленная площадка). Возможно ли настроить openvpn как tun для раздачи интернета(tap андройд устройства отказывается принимать). Или как-то еще реализовать сей замысел? Благодарю за любую консультацию =)

ysybarite
2) это просто инфо (даже не варнинг) что скрипты на клиенте могут запускаться
3) client-config-dir нужен для выдачи клиентам персональных конфигураций. Конфиги выдаются по сертификату. duplicate-cn разрешает подключаться разным клиентам по одному сертификату. Т.е если в ccd будет прописано например какой ip выдавать клиенту или какую сетку роутить через этого клиента (собственно зачем по большому счету и нужен ccd), то при подключении с одного сертификата сразу двух клиентов возникнут проблемы.
Я очень слабо себе представляю зачем эти параметры могут понадобиться одновременно. Точнее зачем использовать duplicate-cn.

DrSchaufel
и конфиги бы сразу выложил тогда уж.

Всем привет.
Есть вопрос по поводу одной функции в опенвпн, а именно параметр fast-io.
Серверная часть реализована на ubuntu, а клиент на винде.
Будет ли работать эта функция? Проверить опытным путем пока не могу, сервер в работе и дисконетктить офис и филиалы не особо хочется.
Хочеться увеличить скорость как то, а то канал 100 мегабит, а внутри тунеля до 10 мегабит(

skryalex
уверен что без экспериментальных настроек больше выжать не выйдет?
Да и не совсем понятно что ты планируешь оптимизировать, параметр вроде как не передачу оптимизирует. (Или я неверно понял вопрос)

Вот как у меня (сервер находится дома, и домашний канал забит торрентами):

Код: iperf -c 10.10.10.1 -t 60
------------------------------------------------------------
Client connecting to 10.10.10.1, TCP port 5001
TCP window size: 64.0 KByte (default)
------------------------------------------------------------
[ 3] local 10.10.10.2 port 53603 connected with 10.10.10.1 port 5001
[ ID] Interval Transfer Bandwidth
[ 3] 0.0-60.1 sec 248 MBytes 34.6 Mbits/sec

korn3r
хмм. Тогда вопрос, в чем может быть проблема у меня? поднимаю сервер в виртуалке на своем компьютере. Конфиг использую тот же что и на удаленном сервере. Проверяю скорость и вижу скорость в районе 300 мегабит.
Читал что могут быть проблемы с несоответствием MTU на клиенте и сервере. Где можно увидеть это?
Может проблема в фаерволле на сервере?


Цитата:

параметр вроде как не передачу оптимизирует.

Видел тему где человек таким параметром существенно увеличил скорость передачи. С 9 мегабит до 80 мегабит.
Но у него использовались с двух сторон пк на линуксе.

Цитата:

Читал что могут быть проблемы с несоответствием MTU на клиенте и сервере. Где можно увидеть это?
Может проблема в фаерволле на сервере?

так выстави и там и там одинаковые значения. Скорость ты где тестируешь? Мб на клиенте режется скорость? Конфиги выкладывай тогда уж

Скорость тестирую внутри впн

Цитата:

Server listening on TCP port 5001
TCP window size: 85.3 KByte (default)
------------------------------------------------------------
[ 4] local 10.0.0.1 port 5001 connected with 10.0.10.46 port 58815
[ ID] Interval Transfer Bandwidth
[ 4] 0.0-15.3 sec 16.2 MBytes 8.88 Mbits/sec

korn3r
Сервер:

Код:
port 1194
proto udp
dev tun0
ca keys/ssl-server/ca.crt
cert keys/ssl-server/server.crt
key keys/ssl-server/server.key
dh keys/ssl-server/dh1024.pem
server 10.0.10.0 255.255.255.0
crl-verify keys/ssl-server/crl.pem
cipher BF-CBC
user nobody
group nogroup
status servers/zvyazok/logs/openvpn-status.log
log-append servers/zvyazok/logs/openvpn.log
verb 3
mute 20
max-clients 100
fragment 1400
management 127.0.0.1 1195
keepalive 10 120
client-config-dir /etc/openvpn/servers/zvyazok/ccd
comp-lzo
persist-key
persist-tun
ccd-exclusive

skryalex
Попробуйте прописать.
Еще можно verb повыше указать (4 например) и логи посмотреть


Код: Обмен пакетами с 10.10.10.1 по с 32 байтами данных:
Ответ от 10.10.10.1: число байт=32 время=3мс TTL=64
Ответ от 10.10.10.1: число байт=32 время=3мс TTL=64
Ответ от 10.10.10.1: число байт=32 время=3мс TTL=64
Ответ от 10.10.10.1: число байт=32 время=3мс TTL=64

skryalex
А на удалённом сервере вообще железо нормальное или со времён 90-х осталось? Как там с загрузкой CPU?

Как проверяли, что канал 100Мбит без туннеля?

korn3r

Цитата:

по фтп 100мбит выходит с клиента, или с кого-то другого?

Да. фтп развернут на том же сервере. Качаю компьютером на котором клиентская часть опенвпн.

Alukardd

Цитата:

А на удалённом сервере вообще железо нормальное или со времён 90-х осталось? Как там с загрузкой CPU?

Там современное железо, Xeon® E3-1270 v3 вроде.

Цитата:

Как проверяли, что канал 100Мбит без туннеля?

На сервере поднят еще фтп. Если многопоточно с него качать - то выходит скорость почти 100 мегабит.

Наткнулся на статью, где вычитал, что при пинге 50 мс и скорости 100 мегабит в один поток как раз выходит скорость до 10 мегабит. Этот результат можно немного изменить но незначительно если увеличивать буффер окна TCP. Как то так.

skryalex
Задержки действительно оказывают весьма сильное влияние на TCP, но на UDP это отражается намного слабее. А Вы должны были заметить, что в качестве транспорта используете именно UDP для организации шифрованного туннеля.
Для тестов, конечно, можете попробовать погонять iperf с размером TCP окна, скажем в 300КБ.
А так же проверьте iperf в обе стороны.

И всё же, на всякий случай, гляньте нагрузку на проц по ядрам, например htop'ом.

Alukardd

Цитата:

И всё же, на всякий случай, гляньте нагрузку на проц по ядрам, например htop'ом.

Посмотрел, нагрузка стремится к нулю

Пробывал увеличить размер окна до 300КБ, незначительные изменения в скорости до 1 мегабита.
Запустил тест iperf внутри тунеля с 10 потоками с окном по умолчанию:
передача данных с сервера (там где сервер опенвпн) 18 мегабит, если окно увеличить то возрастает до 22 мегабит
передача данных на сервер 30 мегабит, если окно увеличить до 300КБ то 84 мегабит

Какие есть еще идеи?
Я так понял нужно играть с MTU

skryalex
Цитата:

84 мегабит

вы не достигли желаемого? 88Мб это вообще предел, логично, что надо хоть что-то потратить на шифрованную инкапсуляцию.
То что в другую сторону скорость ниже, мб у вас с какой-то стороны(видимо в конторе, где стоит сервер) проблемы с upload speed, если Вы конечно тут не перепутали c и на, но тогда проблемы аналогичные, но со стороны клиента.

реально ли каким то образом поднять скорость одного потока? или это уже невозможно?
хотя бы 20-30 мегабит?

skryalex
А какова скорость одного потока, в ситуации когда вам на 10 потоках удалось получить 84Мбит/с?

Alukardd
8-10 мегабит

Всем доброго времени! Использую OpenVPN v2.3.2 + Windows 8 x64. Прошу помочь решить такую проблему:

Если в браузере загружается какой-либо сайт, и в этот момент надо срочно отключить OpenVPN, то загрузка сайта естественно прерывается, то потом долгое время открыть этот же сайт не получается ни в одном браузере.
Последствия излечиваются либо: 1) подключением обратно к тому же серверу OpenVPN, 2) перезагрузкой системы, 3) забить и подождать минут 15-30 (честно, не замерял, но долго).

По всей видимости, в системе где-то кешируются использованные маршруты. И если мы обращались к какому-то ресурсу через маршрут A, а сейчас он недоступен, то этот ресурс становится недоступен через маршрут B.

Кто-нибудь в курсе, как это можно вылечить, или уменьшить время кеширования маршрутов? Поиск в сети ни к чему не привел. Рекомендуемые команды типа "ipconfig /flushdns", "netsh interface ip delete arpcache" "netsh routing ip reset", "route-f" и т.п. результата не дают, либо дают, но вместе с перезагрузкой службы DHCP-клиент и зависящих от нее.