» OpenVPN

vlary
благодарю. буду пробовать "гранит"

Друзья, помогите пожалуйста. Не знаю как быть.
По мануалу с Хабра сделал все, все работает, с Андроида оф клиентом подключаюсь - замечательно (один момент - сохраняю конфиг клиента в кодировке utf-8 так просит клиент андроида) все работает - вообще нет претензий.
Пробою подключиться с бука (Win7 64) и с компа домашнего (Win7 64) подключение не проходит - лог не создается (или я не знаю где искать) при попытке подключение вылазит окошко "Текущее состояние" и там тишина, через некоторое время "ошибка подключения". На компе стоит Nod32 - отключал. Комп и телефон находятся за одним и тем же роутером в одной сети. С компа на том же клиенте есть еще конфиги антизапрета от prostoVPN и обычный VPN сервер от того же prostoVPN - с ними все нормально.
Попробовал на домашнем компе сделать сервер - телефон с новыми ключами и новым конфигом (на локальный) сервер подключается нормально, бук и на него не хочет...
Где грабли, друзья? Выручайте пожалуйста!

i81
Цитата:

Где грабли, друзья? Выручайте пожалуйста!

Грабли как всегда в виндозе. Это читал?

vlary
сделал
... в конечном итоге пришлось запускать два openvpn демона на разных портах/конфигах /etc.
подводные камни: android с его клиентом openvpn не может использовать tap(в доп параметрах указываешь, перепроверяешь конфиг(внизу это прописывается), но при подключении изначальный dev tun всё сводит на нет.
android с его приложением и доп. опциями в нём как то "выползали" вот и работало(как на планшете так и на трубке с такой же ОС)

всем спасибо вопрос закрыт

vlary
правильно - ли я понял, там предлагают установить openvpn-2.1_rc15-install? Но ведь есть же уже openvpn-install-2.3.4-I002-x86_64. Может лучше ее? Да и вообще смущает факт, что конфиг от prostoVPN работает на ура... Была бы проблема в винде - ИМХО не работл бы не один конфиг.
Да и на домашнем компе именно 2.3.4 версия стоит...

i81
5 копеек вышестоящим "граблям"
у меня она самая win 7 x64
ч..з tun цеплялась
ч..з tap тоже цепляется

OpenVPN GUI for Windows 5.0.0.0
сливал отсюда: http://swupdate.openvpn.org/community/releases/openvpn-install-2.3.4-I002-x86_64.exe

Цитата:

сливал отсюда: http://swupdate.openvpn.org/community/releases/openvpn-install-2.3.4-I002-x86_64.exe

Именно эта у меня и есть на дом компе, счас и на буке обновил - результата нет - не подключается...
посмотрел конфиги: мой и простоВПН - и там и там tun. Почему - же не работает мой?

конфиг покажи

Kernell32
[SPOILER=Этот работает везде]
##############################################
# ProstoVPN config file #
# http://prostovpn.ru #
##############################################

nobind
client

# Remote server here
remote nl2.pvpn.pw

# Uncomment this is you are not on Windows
;fast-io

# Windows route method
route-method exe

remote-cert-tls server

dev tun
proto udp

resolv-retry infinite
persist-key
persist-tun

explicit-exit-notify

<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>
[/SPOILER]

[SPOILER=Этот работает только на Андроиде]
igor
dev tun
proto udp
# Адрес и порт сервера
remote 111.111.111.111 12345
# Ключи должны лежать в папке с конфигом
cipher AES-128-CBC
nobind
comp-lzo
persist-key
persist-tun
verb 3
route 0.0.0.0 0.0.0.0

<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>yFA==
-----END PRIVATE KEY-----
[/SPOILER]

Увидел лишний хвостик после приваткея
yFA==
-----END PRIVATE KEY-----
удалил - не помогло

имхо: на первый взгляд вы даже теорию читать не хотите.... простой копипаст
что с сертификатами ? в "конфиге" о них кроме шаблона где оно должно быть прописано больше ничего нету. или вы что то не договариваете. Как прописывать сертификаты в шапке написано. Маршруты тудаже.
что саппорт "просто vpn" говорит ? вы к ним обращались ??


изучайте: http://tuxnotes.ru/articles.php?a_id=26

p..s если у вас "это" на android прямо так вставлено то и оно не заработает
на сайте указаны порты UDP:1194 и TCP:443 на каждый протокол по одному соединению

Kernell32
не, ну я конечно нуб, но не на столько же...
Сервер слушает тот же не стандартный порт, что и в конфиге клиента прописан.
Сертификаты и ключ конечно же прописаны в конфиге клиента, просто я его удалил (ну не ждали же Вы от меня, что я выложу полностью правильный конфиг со всеми ключами?)
Конечно же в андроид вставлен правильный и полный конфиг, и повторяю он работает на 100%.

Конфиг сервера
# Поднимаем L3-туннель
dev tun
# Протокол
proto udp
# Порт который слушает впн
port 12345
# Ключи и сертификаты
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
# Грубо говоря экономим адреса
topology subnet
# Пул адресов
server 10.8.0.0 255.255.255.0
# Метод шифрования
cipher AES-128-CBC
# Сжатие
comp-lzo
# Немного улучшит пинг
mssfix
# Время жизни клиентов, если не откликнулся — отключает
keepalive 10 120
# Уровень отладки
verb 3
push «redirect-gateway def1»
push «dhcp-option DNS 8.8.8.8»
push «dhcp-option DNS 8.8.4.4»

i81
другое дело

а дальше ?

Добавлено:
ежели интересно то на 89 мои конфиги выложены их смотрел ?
у меня тоже tun был, ... пришлось tap еще сделать

Добавлено:
i81
честно говоря я делаю так: изначально всё "по простому", только потом "обвесы"

т..е попробуйте без push и "прочего" чтоб всё заработало, пусть он зацепится стабильно

p..s <<android>> это отдельный разговор

Kernell32
Ну а что дальше? Знал бы - не писал тут...
Какие опции конфига отключить?
П.с. утром попробовал еще на одном Андроид - работает, на виртуалке ХР - фиг

i81
Цитата:

Ну а что дальше? Знал бы - не писал тут...

Если не идет шайба в ворота, то зачем долбить стенку лбом?
Поставь вместо OpenVPN SoftEther VPN
И будут у тебя андроиды подключать к нему по OpenVPN протоколу,
а виндоза по L2TP/IPSec или SSTP. И будет тебе щастье.

vlary

Цитата:

SoftEther  VPN

я то только чуток с ovpn разобрался, а Вы предлагаете новую штуку и с ней опять ломать голову... Я почитал статью на хабре - описаловка софта без примера конфигурации.. Вот был бы пример, можно было бы еще запарится...
А так для винды у меня есть лицензионный Керио с его l2tp и kerioVPN только, вот, что-то на андроиде этот l2tp не хочет работать - вот я и полез к ovpn думал поможет. Помогло пока частично, а мне хочется полность...

i81
Цитата:

Я почитал статью на хабре - описаловка софта без примера конфигурации.. Вот был бы пример, можно было бы еще запарится.

На офсайте масса доков и примеров конфигурации.
Причем с картинками. Все настраивается мышом за пол-часа.
Цитата:

вот, что-то на андроиде этот l2tp не хочет работать

Полная чушь. L2TP/IPSec на Андроиде работает изумительно.
По крайней мере у меня он подключается родным клиентом к серверам и на циске,
и на линуксе, и на SoftEther.
Единственный нюанс. Почему-то клиент не чтит маршруты, которые ему передает сервер.
Мне, например, пришлось в свойствах подключения прописать маршрут 10.10.0.0/16
(локалка за сервером). После этого все подключается и работает.

Цитата:

Единственный нюанс. Почему-то клиент не чтит маршруты, которые ему передает сервер.

у мня похожая проблема: если судить по приложению TracePing маршруты от сервера VPN есть, пока не пустить трафик по соединению. Т.е. первые пару пакетов - проходят, пинги проходят, но как только запускаешь к примеру rdp соединение открывается, прогружается рабочий стол и все! - пакеты не ходят, rdp больше не работает... Руками маршруты у клиента в настройках соединения не помогают.
С OpenVPN и c штатным pptp таких проблем нет. Но это все лирика...
Может вернемся к моим проблемам: почему не работает ovpn на винде?

i81
Цитата:

Может вернемся к моим проблемам: почему не работает ovpn на винде?

Если у тебя действительно есть в клиентском конфиге строчка
remote-cert-tls server
то убери ее.
Попытайся запустить клиента в режиме совместимости с Виста или ХР.
Если включен UAC, отключи.
Ну и выставь уровень дебага побольше, и смотри логи.

vlary
Я немного выше выкладывал конфиг клиента:
igor
dev tun
proto udp
# Адрес и порт сервера
remote 111.111.111.111 12345
# Ключи должны лежать в папке с конфигом
cipher AES-128-CBC
nobind
comp-lzo
persist-key
persist-tun
verb 3
route 0.0.0.0 0.0.0.0

Так же в процессе экспериментов вчера я попробовал еще на андроид планшете - конфиг завелся без проблем и на Винде-ХР так же не работает - это я к тому, что совместимость и контроль учеток тут не причем.
Последний раз дебаг ставил 11 - лог просто не создается.
Была мысль, что грабли в кодировки файла конфига, взял рабочий конфиг от ProstoVPN удалил все внутри и вставил свое не помогло.
Где еще и какие доги можно смотреть?

i81
Цитата:

Последний раз дебаг ставил 11 - лог просто не создается.

да что же это у тебя, чего ни хватишься, ничего нет?
При коннекте лог соединения виден во вкладке OpenVPN Гуя,
к тому же он дублируется в файл C:\Program Files\OpenVPN\log\client.log
Проверяй шифрование. Убедись что именно AES-128-CBC используется на сервере.
Проверь сертификаты. Убедись, что ca.crt на клиенте и сервере одинаковы.
Убедись, что сертификат сервера подписан именно данным ca.crt.
Если не можешь смотреть лог на клиенте, смотри на сервере.

vlary
В окне гуи клиента пустота, так же как и не создается лог с именем файла клиента. Такое ощущение, что клиент неможет инициализировать соединение именно с этим конфигом...
с ключами нет косяков точно, сам делал их ну и еще показатель актуальности ключей - работа на Андроиде.

i81
Цитата:

Я немного выше выкладывал конфиг клиента:
igor //что за фигня? Там должно быть либо client либо server
dev tun

vlary
А я думал, что туда нужно прописывать имя, которое использовалось при генерации клиентского сертефиката...
Чуть позже проверю.

Ура!!! Получилось... Вот это я лопух... БОЛЬШОЕ ВАМ СПАСИБО!
С маршрутами тоже все понятно.
Большое спасибо всем откликнувшимся, отдельное спасибо уважаемому vlary

Одно только не понятно: почему работает с неправильным конфигом клиента под Андроид?

i81
Цитата:

Только теперь вопрос: как бы заставить пакеты ходить через этот интерфейс?

Либо в клиентском конфиге пишем строчку
redirect-gateway def1
либо на сервере в конфиге указываем
push "redirect-gateway def1 bypass-dhcp"
Ну и соответственно на стороне сервера нужно озаботиться,
чтобы пакеты с OpenVPN клиентов уходили наружу через сервер или корпоративный НАТ

Цитата:

Одно только не понятно: почему работает с неправильным конфигом клиента под Андроид?

ну, это может быть связано с логикой обработки конфига разными клиентами.
Клиент Андроида может просто игнорировать ошибочную строчку в конфиге,
а клиент винды из-за ошибочной строчки браковать весь конфиг и вылетать с ошибкой.
.

vlary
я на сервере еще в самом начале (по инструкции с хабра) прописал
push «redirect-gateway def1»
push «dhcp-option DNS 8.8.8.8»
push «dhcp-option DNS 8.8.4.4»
но это не помогало...
Я сделал так:
1. На сервере прописал минимум маршрутов - на локалку за сервером (всего лишь две подсети двумя строками push "route...)
2. На клиенте, в случае необходимости (не всем нужно) прописываю redirect-gateway
Вроде как все работает...

А что означает def1?

i81
Цитата:

А что означает def1?

Это флаг для директивы redirect-gateway
Цитата:

def1 -- Use this flag to override the default gateway by using 0.0.0.0/1 and 128.0.0.0/1 rather than 0.0.0.0/0. This has the benefit of overriding but not wiping out the original default gateway.

vlary
Но у меня и без этого флага в клиентском конфиге работает redirect-gateway.

i81 А кто сказал, что без этого флага работать не будет? Разницу я процитировал.
И работает redirect-gateway и для клиентского конфига, и для серверного (через push).
То, что пишет у себя клиент - добровольно, а что ему пихает сервер - обязательно.
Рекомендую не ограничиваться копипастом чужих конфигов, а почитать доки на офсайте.
Там много полезной информации, которая в будущем наверняка пригодится.

vlary
Я старался не тупо копипастить, а немного вдумываться в смысл...
Перевел переводчиком Вашу выдержку описания флага - все равно не понял - чувствую себя дебилом... &#128556;
К сожалению у меня не лады с буржуйским языком - испытываю небольшие затруднения при чтении мануалов...

i81
Цитата:

К сожалению у меня не лады с буржуйским языком

Он не буржуйский, им вполне владеют миллионы английских, американских
и много еще где пролетариев, а также миллионы индийских и китайских айтишников.
Хотя я не думаю, что их средний пролетарий поймет смысл той фразы, даже зная все слова.
Наша же задача обратная: понимать смысл, даже не зная слов.

Цитата:

def1 -- используйте этот флаг чтобы заменить шлюз по умолчанию
на шлюзы с использованием масок 0.0.0.0/1 и 128.0.0.0/1, а не 0.0.0.0/0.
Это имеет то преимущество, что позволяет сделать новый маршрут
более приоритетным, не удаляя старый.

Поскольку чувствую, что здесь русские слова будут не более понятны, чем английские,
маленькое пояснение совсем "на пальцах".
Вот мы имеем маршрут
0.0.0.0 0.0.0.0 192.168.1.0 metric 1
Если мы добавим еще один, то при равной метрике
мы нового дефолт шлюза можем и не получить. Как же его получить, не удаляя старый?
Собственно, этот маршруту соответствует сумме двух маршрутов:
0.0.0.0 128.0.0.0 192.168.1.0 metric 1 // (0.0.0.0/1)
128.0.0.0 128.0.0.0 192.168.1.0 metric 1 // (128.0.0.0/1)
Но как маршруты с большей маской, они имеют приоритет перед первым маршрутом.
И вот после подключения к серверу с получением шлюза 10.10.10.10
мы получаем такую таблицу маршрутизации:
0.0.0.0 0.0.0.0 192.168.1.1 metric 1
Х.Х.Х,Х 255.255.255.255 192.168.1.1 //шлюз к серверу
0.0.0.0 128.0.0.0 10.10.10.10
128.0.0.0 128.0.0.0 10.10.10.10
Верхний маршрут остался, но он не работает, поскольку те маршруты,
что в последующих строчках, имеют преимущество из-за большей маски.
После разрыва соединения эти маршруты исчезнут,
и снова заработает верхняя строчка со старым дефолт шлюзом