» OpenVPN

Прошу помощи в решении проблемы.
Сервер Windows Server 2012R2 на нем настроен OpenVPN
Клиент Windows 7 на нем OpenVPN клиент
Клиент успешно соединяется с сервером. Пингует сервер, пингует внутреннюю сеть офиса за туннелем.
Подключается к ресурсам сети. например. к фаил серверу.
НО, после двух минут работы, ресурсы за туннелем. для клиента становятся недоступны.
Если запустить пинг на внутренний ip сервера OpenVPN он успешно проходит. Но ресурсы за туннелем, все так же недоступны.
Если запустить пинг на фаил сервер. который за туннелем, он так же успешно проходит и файлы становятся вновь доступны для редактирования, однако это все на 2 минуты и так по кругу.
Я же не могу держать постоянными пинги на все ресурсы в головном офисе со стороны клиента.
keepalive и ping в конфиге не помогают, потому что пингуют сам сервер. ане сеть за ним

В чем может быть проблема?

Victor_VM
вывод ipconfig /all c 2012r2, и покажите конфиг сервера openvpn

Конфиг сервера:
dev tun
proto tcp-server
port 45555
mode server
tls-server
server 192.168.12.0 255.255.255.0
comp-lzo
client-to-client
dh c:\\OpenVPN\\ssl\\dh1024.pem
ca c:\\OpenVPN\\ssl\\ca.crt
cert c:\\OpenVPN\\ssl\\ServerVPN.crt
key c:\\OpenVPN\\ssl\\ServerVPN.key
tls-auth c:\\OpenVPN\\ssl\\secret.key 0
#Маршруты добавляются через .exe если без него, то не у всех прописываются маршруты
route-method exe
#Задержка перед добавлением маршрута
route-delay 5
#Команда которая сообщает клиентам что за сервером локальная сеть с адресами 192.168.67.0 255.255.255.0
push "route 192.168.67.0 255.255.255.0"
#Прописывает маршрут на сервере чтобы видеть сеть за клиентом
route 192.168.7.0 255.255.255.0 192.168.12.2
keepalive 10 120
#Шлюз
route-gateway 192.168.12.1
persist-tun
persist-key
tun-mtu 1500
# каждому клиенту выдается по 1 адресу, без виртуальных портов маршрутизатора
topology subnet
tun-mtu-extra 32
mssfix 1450

ipconfig сервера:

ipconfig /all

Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : ServerVPN
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет

Ethernet adapter VPN:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : TAP-Windows Adapter V9
Физический адрес. . . . . . . . . : 00-FF-50-99-07-C7
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::7d14:b4ba:4c85:e836%16(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.12.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 12 февраля 2016 г. 17:25:11
Срок аренды истекает. . . . . . . . . . : 11 февраля 2017 г. 17:25:12
Основной шлюз. . . . . . . . . :
DHCP-сервер. . . . . . . . . . . : 192.168.12.254
IAID DHCPv6 . . . . . . . . . . . : 419495760
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1E-4C-87-98-00-50-56-91-17-61
DNS-серверы. . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Ethernet:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigab
it
Физический адрес. . . . . . . . . : 00-50-56-91-17-61
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.67.108(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.67.10
DNS-серверы. . . . . . . . . . . : 192.168.67.24
192.168.67.4
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{2DF4A985-CF78-4064-8125-23AEC7863D87}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{509907C7-DA08-40CD-9B5D-2F2CC521D41E}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Victor_VM

Цитата:

#Прописывает маршрут на сервере чтобы видеть сеть за клиентом
route 192.168.7.0 255.255.255.0 192.168.12.2

Все клиенты в одной подсети? Серверу важно знать что творится за клиентом?

Цитата:

#Шлюз
route-gateway 192.168.12.1

Клиентам важно подменять дефолтный шлюз?

Сравните таблицы маршрутов до глюка и во время глюка на сервере, а так-же на клиентах.

Настраиваю в первый раз.
Делал по инструкции из интернета.
Серверу не важно знать, что за клиентом.
Но клиентам нужно знать что за сервером, для этого и поднимается VPN.
Это один из офисов, а их 17 нужно по разным регионам.
Подменять шлюз по умолчанию.... не знаю. Наверное не нужно.
Таблицы маршрутов сравнить не могу, ибо это первая настройка.
Проблема в том. что через две минуты, если не запущен пинг на сетку ЗА сервером, эта сетка пропадает. и Появляется сразу же как только пускаешь пинг.

Цитата:

Серверу не важно знать, что за клиентом.

А это я выдумал?

Цитата:

#Прописывает маршрут на сервере чтобы видеть сеть за клиентом
route 192.168.7.0 255.255.255.0 192.168.12.2

Найдите в интернете минимально-рабочий конфиг без маршрутов, без политик безопасности, и его уже допиливайте под себя.
У Вас сейчас много лишнего.

Добавлено:

Цитата:

Таблицы маршрутов сравнить не могу

Вы меня не поняли.
Необходимо "заглянуть" в таблицы роутинга в момент "все работает" и в момент "все пропало", далее между собой их сравнить. А перед сравнением избавьтесь от излишков в конфиге.

Нет. это вы не выдумали. я просто сделал конфиг, по образу и подобию.
На нем хотя бы что-то заработало.
До этого пинги доходили только до вин сервера по впн сети.
Но сегодня уже и это не работает.

Victor_VM
Послушайте совета, воспользуйтесь минимальным конфигом, можно даже без сертификатов, лишь бы канал поднять. А потом прикручивайте все, что желаете, каждый раз перепроверяя.

Послушал.
Сделал по инструкции в шапке этой темы. Теперь вобще канал не поднимается. ))
Как без сертификатов?
Нигде нет инструкций как поднять без сертификатов.

Да теперь вобще никаких двиджений нет. Даже в журнали клиента ((

Цитата:

Теперь вобще канал не поднимается

на этот вопрос лог-файл содержит ответы

Цитата:

Как без сертификатов?

Видимо, я давненько его в руках не держал и запамятовал.

Посмотрите вот этот конфиг.
Эту инструкцию

Сделал все по минимуму:
Клиент
dev tun
remote 11.11.11.11
port 37777
client
proto tcp-client
tls-client
remote-cert-tls server
dh c:\\OpenVPN\\ssl\\dh1024.pem
ca c:\\OpenVPN\\ssl\\ca.crt
cert c:\\OpenVPN\\ssl\\user1.crt
key c:\\OpenVPN\\ssl\\user1.key
tls-auth c:\\OpenVPN\\ssl\\secret.key 1
ping 10
comp-lzo
tun-mtu 1500
tun-mtu-extra 32


Сервер:
dev tun
proto tcp-server
port 37777
mode server
tls-server
server 192.168.12.0 255.255.255.0
push "route 192.168.67.0 255.255.255.0"
comp-lzo
client-to-client
dh c:\\OpenVPN\\ssl\\dh1024.pem
ca c:\\OpenVPN\\ssl\\ca.crt
cert c:\\OpenVPN\\ssl\\ServerVPN.crt
key c:\\OpenVPN\\ssl\\ServerVPN.key
tls-auth c:\\OpenVPN\\ssl\\secret.key 0
persist-tun
persist-key
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
ping 10


Все конектится и пингуется. Но, теперь например доступ к папкам на фаил сервере не отваливается на совсем, а через две минуты если перейти из папки в папку он 3 минуты переходит.
А программа которая работает с базой данных. так и отваливается. Но не отваливается если до неё висит постоянный пинг.

Цитата:

client-to-client

клиентам нужна видимость между собой?

Цитата:

А программа которая работает с базой данных. так и отваливается. Но не отваливается если до неё висит постоянный пинг.

Сравните маршруты при различных симптомах.

Добавлено:

Цитата:

tun-mtu 1500
tun-mtu-extra 32
mssfix 1450

а что у Вас с MTU в канале провайдера?

Можно и без клиент ту- клиент, я же писал, что все делал по инструкции. ))
маршруты не отличаются.
MTU менял ничего не помогло.
Но сегодня обнаружил дополнительную информацию.
Как оказалось, даже при постоянном пинге с клиента, все равно через 2 минуты отваливается база данных и подвисает открытый файл на фаил сервере. Однако можно быстро подключиться. снова. но работаь в базе при этом вылетать каждые 2 минуты невозможно.
Запустил пинг до клиента со стороны сервера базы и все работает стабильно.
Но опять же, у меня их будет под 100 человек и на каждого держать окно с постоянным пингом?
Я уже подумываю писать служебку о покупке железок.

P.S.
Как оказалось. пинг со стороны сервера баз данных, не помогает. клиент все так же отваливается, только интервал сократился до 1 минуты


Итого.
Ситуация на сегодняшний день.
Все решилось с помощью ISLProxy, которую я установил на сервер и в нем прописал
[Ports]
RemotePort=ХХХХХХ
RemoteHost=IP адрес сервера баз данных.
LocalPort=ХХХХХ
Timeout=70000
Только таким образом на сегодняшний день удалось добиться стабильной работы клиента.
Как у людей которые пишут гайды все четко работает, так наверное и останется загадкой.

подскажите, как ограничить доступ к машинам за сервером для впн-клиентов?
сервер работает, клиенты подключаются, но видят всю сеть.
как разграничить доступ по ip и портам для каждого впн-клиента?
##

mazafakaz
Цитата:

как разграничить доступ по ip и портам для каждого впн-клиента?

На линуксовом сервере настройкой iptables
На виндузовом можно попробовать встроенный фаервол.
И уж точно поможет запрет на фаерволе там, куда клиенту низзя.

Цитата:

На линуксовом сервере настройкой iptables

сервер линуксовый (дебиан 8)

т.е. я зря добавлял в iptables записи на всю подсеть? не часто с линуксовыми серверами пока сталкивался, с openvpn тоже первый раз пытаюсь замутить
можно попросить какую-нибудь ссылочку или пример для наглядности?

mazafakaz
Цитата:

можно попросить какую-нибудь ссылочку или пример для наглядности?

Ссылочка вот: Firewall *nix: iptables, ipfw, pf etc...
Примерчик типа такого:
-A FORWARD -s 10.8.0.0/24 -d 192.168.8.0/24 -i tun0 -j ACCEPT
-A FORWARD -o tun0 -s 192.168.8.0/24 -d 10.8.0.0/24 -j ACCEPT
Вместо 192.168.8.0/24 подставь те айпишники в сетке, куда можно ходить.
Вместо 10.8.0.0/24 адреса твоих впн клиентов.

очистил все таблицы.
пробовал добавлять как в вашем примере + почитал статьи на эту тему.

без iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
не работает. Но если добавляю эту запись, то тогда не получается ограничить доступ для клиентов...

и еще, подскажите.
в файл ipp.txt вносятся связки ключ-ip
для моего сертификата прописан ip 10.8.0.4, но клиент на смарте упорно показывает 10.8.0.6
В чем беда?

Цитата:

прописан ip 10.8.0.4, но клиент на смарте упорно показывает 10.8.0.6

правильно показывает, это особенность предоставления адресного пространства

mazafakaz
Цитата:

без iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE не работает.

Потому как компы в сети понятия не имеют, где это сеть 10.8.0.0
А с этой строчкой клиенты НАТятся в твою сеть через адрес сервера.
Соответственно не при делах ни роутинг, ни форвардинг.
Цитата:

для моего сертификата прописан ip 10.8.0.4, но клиент на смарте упорно показывает 10.8.0.6

В случае с tun адреса предоставляются с маской /30
10.8.0.4 : network address
10.8.0.5 : virtual remote endpoint; non pingable; only used for routing
10.8.0.6 : client IP address
10.8.0.7 : network broadcast address
Так что 10.8.0.4 у тебя быть не может. Это номер сети. И на сервере должно быть что-то типа
ifconfig-push 10.8.0.6 10.8.0.5

по поводу ipp.txt понял, спасибо!


Цитата:

Соответственно не при делах ни роутинг, ни форвардинг.

но что делать с ограничениями в таком случае?

mazafakaz
Цитата:

но что делать с ограничениями в таком случае?

Убирать НАТ на локальную сеть, настраивать роутинг

Цитата:

 iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -d ! 192.168.8.0/24 -o eth0 -j MASQUERADE

Други, подскажите где в OpenVPN GUI настраивается путь к программе просмотра логов или редактирования конфигурации ? у меня выскакивает ошибка с неправильным путем "c:\windows\notepad.exe"....

gol13
Системная переменная Path

gol13
Цитата:

у меня выскакивает ошибка с неправильным путем "c:\windows\notepad.exe"

А чего это он у тебя неправильный? Вроде там и лежит.
Ну попробуй в ключе
HKEY_CLASSES_ROOT\OpenVPNFile\shell\open\command
забить полный путь к блокноту или какому другому редактору

У меня в роли клиента выступает server2012, там notepad лежит в system32....
В path есть запись вида %systemroot%\system32....
Тем не менее указанная ошибка возникает. В реестре в указанном ключе просто значение "notepad.exe %1", попробую указать полный путь, но перегрузить сервер пока не могу....

gol13
А скопировать notepad.exe в c:\windows\ ?

Цитата:

А скопировать notepad.exe в  c:\windows\  ?

Очень плохая практика.
К openvpn никакого отношения не имеет, а касается культуры обслуживания ОС.
Правильно пути поиска править.

gol13
Цитата:

но перегрузить сервер пока не могу....

Сам сервер перегружать не обязательно, достаточно OpenVPN сервер.
Если он как сервис установлен.

gol13

Цитата:

В реестре в указанном ключе просто значение "notepad.exe %1"

замените на "%systemroot%\system32\notepad.exe %1"