1. vinni, 28.06.2006 01:38

В данном сообщении изложено краткое описание OpenVPN (http://openvpn.net/) на основании личного опыта, в основном для ОС Windows (хотя многое применимо и для других ОС). Наверняка здесь есть какие-нибудь ошибки, неточности и неполнота, ну что же - принцип "as is"... Описание периодически обновляется в меру появления новой информации и времени Текущие стабильные версии (2006-ноябрь): OpenVPN 2.0.9 для Windows - http://openvpn.net/release/openvpn-2.0.9-install.exe OpenVPN-GUI 1.0.3 для Windows - http://openvpn.se/files/binary/openvpn-gui-1.0.3.exe или сборный комплект http://openvpn.se/files/install_packages/openvpn-2.0…1.0.3-install.exe 1. Описание команд и основных опций (и их применимость на сервере и клиенте) Внешние файлы ключей, сертификатов и т.п. Примечание: Параметры указывающие на файлы можно (или даже желательно) указывать с полными путями. Для Windows символ "\" указывается как "\\", пути с пробелами брать в кавычки, например: "C:\\Program Files\\OpenVPN\\config\\ca.crt". Если путь не указан, то используется каталог ...\config secret file_name - указание имени файла ключа для режима static-key. Допустим также параметр [direction], позволяющий асимметрично использовать ключи, например, "secret static.key 0" с одной стороны и "secret static.key 1" с другой, однако для этого ключи должны быть 2048-битовые, в версиях 2.* по умолчанию они именно такие. Для расширенных режимов TLS надо указать или имена раздельных файлов ключей и сертификатов: ca file_name (сервер, клиент) - сертификат СА (центра сертификации) cert file_name (сервер, клиент) - сертификат данного узла, подписанный СА key file_name (сервер, клиент) - ключ шифрования данного узла Или имя единого комбинированного файла: pksc12 file_name - имя файла в формате PKCS #12, содержащего сертификат CA, ключ и сертификат клиента. Такой файл и команда заменяют сразу 3 соответствующих файла и команды - ca, cert, key. dh file_name (сервер) - указание имени файла с Diffie-Hellman-параметрами, нужен только на сервере в режиме tls-server (заметим, что макрокомандой server включается именно этот режим) tls-auth file_name (сервер, клиент) - ключ для аутентификации пакетов. В этом режиме ко всем отправляемым пакетам добавляется HMAC, который проверяется при приёме пакета - если не совпало, то пакет молча отбрасывается. И команда и сам файл-ключ должны быть одинаковыми и у клиента и у сервера. Ключ (в примере команды это ta.key) может быть или сгенерирован командой: openvpn --genkey --secret ta.key (в этом варианте допустим также параметр [direction], позволяющий асимметрично использовать ключи, например, на сервере "tls-auth ta.key 0" и на клиентах "tls-auth ta.key 1") или может быть файлом произвольного формата, тогда openvpn сам сделает из него ключ методом свёртки. crl-verify file_name (сервер, клиент) - проверяет предъявленный сертификат по списку отозванных сертификатов, если он там обнаружен - соединение не устанавливается. Основное назначение - проверка на сервере отозванных сертификатов клиентов, хотя и клиент может проверять по этому списку сертификат сервера. См. http://openvpn.net/howto.html#revoke auth-user-pass (клиент), auth-user-pass-verify script_name method (сервер) - дополнительная авторизация пользователя по логину и паролю. Детально см. http://openvpn.net/howto.html#auth. Пример и vbs-скрипт для Windows см. здесь - FAQ: OpenVPN (было - Помогите настроить OpenVPN) !, #302 (http://forum.ixbt.com/topic.cgi?id=14:40906:302#302) Режимы работы OpenVPN dev [tun | tap] (сервер, клиент) - указание типа интерфейса и режима работы: tun = L3-туннель, tap = L2-туннель dev-node TAP-interface-Name (сервер, клиент) - указание использование конкретного интерфейса, актуально если их в ситеме несколько и они по разному настроены в ОС (например, один tap и включён в мост, а второй - tun) proto [tcp-server | tcp-client | udp] (сервер, клиент) - протокол, по умолчанию UDP port 1194 (сервер, клиент) - номер порта, default=1194 (на клиенте для tcp-client игнорируется и используется динамический порт). См.также lport (указание локального порта) и rport (указание удалённого порта). mode - задаёт режим работы сервера. По умолчанию OpenVPN работает в p2p-режиме, при указании mode server он работает в режиме сервера с многими клиентами. tls-server, tls-client - использование режима TLS ifconfig Local-IP Remote-IP/NetMask (сервер, клиент) - задаёт конфигурацию интерфейса. Для dev tun: ifconfig Local-IP Remote-IP - указывает IP-адрес локального интерфейса и адрес второй стороны туннеля. Важно, что в режиме клиент-сервер в отличие от режима static-key второй стороной туннеля является не адрес сервер и не адрес клиента, а адрес виртуального интерфейса виртуального OpenVPN-роутера, см. описание в п.3. Для dev tap: ifconfig Local-IP NetMask - указывает IP-адрес и маску локального интерфейса Команды настройки сервера server network netmask (сервер) - макрокоманда конфигурации сервера. Задаёт сеть и маску для всей OpenVPN-сети. Первый адрес из этой сети назначается интерфейсу сервера, остальные выделяются клиентам. Не используйте эту макрокоманду для режима L2-моста, для этого есть server-bridge. Реально команда, например, server 10.8.0.0 255.255.255.0 раскрывается так (в скобках комментарии) Для режима dev tun: mode server tls-server ifconfig 10.8.0.1 10.8.0.2 (серверу назначается первый адрес из первой подсети /30) ifconfig-pool 10.8.0.4 10.8.0.251 (остальной блок адресов выделяется клиентам) route 10.8.0.0 255.255.255.0 (системе объявляется маршрут на всю OpenVPN-сеть) if client-to-client: push "route 10.8.0.0 255.255.255.0" (если включен режим client-to-client, то клиентам также передаётся маршрут на всю OpenVPN-сеть) else push "route 10.8.0.1" (иначе, если не включен режим client-to-client, клиентам передаётся только маршрут на сервер) Для режима dev tap: ifconfig 10.8.0.1 255.255.255.0 (серверу назначается первый адрес) ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 (остальной блок адресов выделяется клиентам) push "route-gateway 10.8.0.1" (клиентам объявляется адрес шлюза, через который, при необходимости, они могут назначать маршруты) server-bridge gateway netmask pool-start-IP pool-end-IP (сервер) - макрокоманда конфигурации сервера для режима L2-моста. Важно то, что в этом режиме IP-параметры мостового интерфейса настраиваются в системе! Здесь же параметр gateway может указывать или на этот же IP-адрес мостового интерфейса или на следующий шлюз в этой сети. Реально команда, например, server-bridge 10.8.0.4 255.255.255.0 10.8.0.128 10.8.0.254 раскрывается так (в скобках комментарии) mode server tls-server ifconfig-pool 10.8.0.128 10.8.0.254 255.255.255.0 (клиентам выделяется диапазон, указанный в макрокоманде) push "route-gateway 10.8.0.4" (параметр gateway передаётся клиентам как шлюз) remote host (сервер) - в режиме tcp-server этот параметр на сервере работает как фильтр и принимает соединения ТОЛЬКО от указанного host. client-to-client (сервер) - разрешает обмен трафиком между клиентами для режима dev tun ifconfig-pool-persist File_Name [Time_in_seconds] (сервер) - задаёт файл, в котором на указанное время (по умолчанию 600 сек) кэшируются выданные адреса клиентам, что позволяет при переподключении выдать клиенту тот же адрес. ifconfig-pool-linear (сервер) - задаёт для dev tun режим распределения адресов клиентам не подсетями /30, а "поштучно", то есть /32. Несовместим с Windows! management localhost 8329 (сервер, клиент) - открыть порт 8329 на интерфейсе 127.0.0.1 для управления (см. http://openvpn.net/management.html) Команды настройки маршрутизации route network/IP [netmask] [gateway] [metric] (сервер, клиент) - добавляет указанный маршрут в ОС после установления соединения. Значения параметров по умолчанию: netmask по умолчанию равно 255.255.255.255. gateway по умолчанию равно параметру, указанному в команде route-gateway или второму параметру команды ifconfig в режиме dev tun. То есть, по умолчанию исользуется шлюз в "OpenVPN-сеть". Если же нужно параметр указать (например, если нужно задать метрику), то это же значение можно указать ключевым словом vpn_gateway. Кроме того есть ещё ключевое слово net_gateway - это основной шлюз, который был в ОС до установления OpenVPN-соединения. iroute network [netmask] - применяется в client-connect script или в client-config-dir файле, указывает OpenVPN-серверу, что данная сеть находится за соответствующим клиентом. Важно, что это только указание OpenVPN-серверу, для задания этого маршрута самой ОС надо указывать route или в конфиге сервера или вообще в самой ОС. route-method exe (сервер, клиент) - указывает OpenVPN-у, что добавление маршрута надо делать не через API, а через route.exe. См. также в секции "Некоторые распростанённые проблемы и методы решения" route-delay 10 (сервер, клиент) - см. в секции "Некоторые распростанённые проблемы и методы решения" Команды конфигурирования клиентов на стороне сервера client-config-dir Dir_Name (сервер) - использовать из указанного каталога дополнительные индивидуальные файлы для конфигугации каждого клиента, файлы должны называться так же как и CN клиента (Common Name, то есть то что укзывается при конфигурации ключа клиента командой build-key, см.далее). Расширения у файла быть не должно, то есть, например, для клиента client1 файл так и должен называться - client1 push "команда" - указывает серверу передать "команду" клиенту. Например, команда в конфиге сервера push "ping 10" - это не команда ping 10 самому серверу, а указание серверу передать команду ping 10 клиенту. Описание самих команд для push даны отдельно. Это могут быть route, route-gateway, route-delay, redirect-gateway, ip-win32, dhcp-option, inactive, ping, ping-exit, ping-restart, setenv, persist-key, persist-tun, echo push-reset (сервер, но в client-config-dir-файле) - указывает, что для данного клиента надо проигнорировать все глобальные команды push. Однако все push-команды из самого client-config-dir-файла будут исполнены. ifconfig-push Local-IP Remote-IP/NetMask (сервер) - применяется в client-connect script или в client-config-dir файле, задаёт конфигурацию интерфейса соответствующего клиента. Для dev tun: ifconfig Local-IP Remote-IP - указывает IP-адрес локального интерфейса клиента и адрес второй стороны туннеля. Важно, что в режиме клиент-сервер второй стороной туннеля является не адрес сервер и не адрес клиента, а адрес виртуального интерфейса виртуального OpenVPN-роутера, см. описание в п.3. Для dev tap: ifconfig Local-IP NetMask - указывает IP-адрес и маску локального интерфейса Команды конфигурирования клиентов на стороне клиента client - макрокоманда режима клиента, исполняется так: pull (указывает клиенту принимать от сервера команды, которые на сервере заданы как push) tls-client nobind (клиент) - указание использовать динамический порт на клиенте, актуально только для udp, т.к. для tcp на клиенте всегда используется динамический порт. remote host [port] (клиент) - указание второй стороны, host может быть как DNS-именем, так и IP-адресом. Клиент обязан иметь эту строку, причём она может быть не одна - это обеспечивает возможность подключения к разным интерфейсам сервера (отказоустойчивость) или распределение нагрузки. remote-random (клиент) - использовать в случайном порядке одну из нескольких строк remote resolv-retry infinite (клиент) - пытаться бесконечно определить адрес сервера (при указании его по имени), чтобы "обойти" проблему с завершением попытки установления соединения при отказе DNS или сбое внешних соединений redirect-gateway [local] [def1] (клиент) - переключение шлюза на удалённый, есть 2 доп.параметра - local (см.manual) и def1 - изменяет маршрут не методом удаления старого маршрута 0.0.0.0/0 и назначением нового, а методом назначения двух более узких маршрутов 0.0.0.0/1 и 128.0.0.0/1 dhcp-option DNS 192.168.1.254 (клиент) - использование удалённого DNS dhcp-option WINS 192.168.1.254 (клиент) - использование удалённого WINS Другие команды comp-lzo (сервер, клиент) - сжатие трафика status openvpn-status.log (сервер, клиент) - периодически сохранять информ. о текущем состоянии в указанный файл, это текстовый файл. log openvpn.log или log-append openvpn.log (сервер, клиент) - сохранять или добавлять лог в указанный файл keepalive 10 60 (сервер) - макрокоманда "пинговать" противоположную сторону туннеля с указанным периодом 10 сек, при отсутствии встречных пингов в течение 60 сек считать туннель упавшим и запускать пересоединение. Полезно также для поддержания статуса работающего udp-потока в транзитных NAT-шлюзах. Реально исполняется так (в скобках комментарии): Для mode server: ping 10 (сервер посылает OpenVPN-ping каждые 10 секунд. Не путать с ping в IP - здесь на OpenVPN-ping удалённая сторона не отвечает, поэтому эти пакеты надо отправлять с обеих сторон) ping-restart 120 (при отсутствии встречных пакетов, то есть от клиента, в течении 120 сек сервер перезапускает клиентскую сессию. Не путать, перезапускается НЕ ВЕСЬ OpenVPN-СЕРВЕР!) push "ping 10" (сообщить клиентам пинговать сервер каждые 10 секунд) push "ping-restart 60" (сообщить клиентам, что при отсутствии пингов от сервера в течение 60 секунд, клиент должен перезапустить свою сессию). Для mode p2p: ping 10 ping-restart 60 2. Простейшая конфигурация static-key - 1 сервер + 1 клиент одновременно: 2.1. Генерация статического ключа - ярлык в меню или "openvpn --genkey --secret static.key" Этот общий ключ должен быть на обеих сторонах - и на сервере и на клиенте 2.2. Server.ovpn код: dev tun ifconfig 10.8.0.1 10.8.0.2 secret static.key .3. Client.ovpn код: remote server.ru dev tun ifconfig 10.8.0.2 10.8.0.1 secret static.key 3. Расширенная конфигурация туннеля L3 (IP-туннель, aka "routed") В данном режиме OpenVPN-сервер эмулирует работу некоего многопортового виртуального маршрутизатора, к каждому порту которого подключен каждый клиент и сам серверный хост. При этом каждому виртуальному tun-интерфейсу хоста (и сервера в том числе) присваивается IP-адрес, также присваиваивается IP-адрес соответствующему порту этого виртуального маршрутизатора и выделяется подсеть, включающая эти 2 адреса + неожходимые 2 служебных, в итоге для каждого подключения выделяется подсеть /30 (255.255.255.252) из 4 адресов, назначение которых, например, для первой подсети 10.1.1.0/30 из OpenVPN-сети 10.1.1.0/24 таково: 10.1.1.0 - адрес подсети 10.1.1.0/30 10.1.1.1 - адрес tun-интерфейса сервера 10.1.1.2 - адрес интерфейса виртуального маршрутизатора 10.1.1.3 - адрес широковещания (broadcast) Далее каждому подключающемуся клиенту выделяются подсеть и адрес именно блоками /30, то есть по 4 адреса. В меру художественных способностей изобразил это на рисунке - http://forum.ixbt.com/post.cgi?id=attach:14:40906:38:1 Замечу, что к самим IP-адресам виртуального маршрутизатора непосредственно обратиться никак нельзя, оне НЕ ПИНГУЮТСЯ, и в tracert не отображаются. Указанный выше вариант распределения IP-адресов сделан для совместимости с Windows. Однако, есть возможность использовать и выделение адресов/32, то есть без подсетей, см. команду ifconfig-pool-linear. Кроме того, в версии 2.1 (на момент июня 2007 это пока 2.1.rc4) в этом вопросе тоже есть нововведения. 3.1. Ключи Все действия производятся в папке C:\Program Files\OpenVPN\easy-rsa Действия выполнять так, чтобы сохранялся контекст переменных, например, в командной строке без выхода из неё. Первой командой при каждой операции работы с ключами (кроме начальной инициализации) должна быть vars.bat. Начальная инициализация, выполняется 1 раз init-config.bat - начальная инициализация, создаст файлы vars.bat и openssl.cnf В файле vars.bat надо установить ВСЕ параметры set HOME=%ProgramFiles%\OpenVPN\easy-rsa set KEY_CONFIG=openssl.cnf set KEY_DIR=keys # путь к папке ключей относительно текущей (..\easy-rsa) set KEY_SIZE=1024 set KEY_COUNTRY=ZZ set KEY_PROVINCE=ZZ set KEY_CITY=ZZZ set KEY_ORG=ZZZ set KEY_EMAIL=zz@zzz.zz vars.bat clean-all.bat # очистка и инициализация папки ключей Создание master Certificate Authority (CA) certificate & key, выполняется 1 раз vars.bat build-ca.bat # генерация сертификата и ключа - ca.crt, ca.key Генерация сертификата и ключа для сервера, выполняется 1 раз vars.bat build-key-server ServerName # ServerName - имя сервера. На некоторые доп вопросы можно ответить 2 раза "пусто", на 2 последних - "y": Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y В результате будет создан ключ ServerName.key, сертификат ServerName.crt, запрос Certificate Signing Request (CSR) ServerName.csr, ?непонятный файл? 01.pem (копия ServerName.csr) Генерация Diffie Hellman parameters, выполняется 1 раз, нужно только для tls-server vars.bat build-dh # работает около минуты, грузит CPU под 100% , генерит файл dh1024.pem Генерация сертификатов и ключей клиентов, выполняется по необходимости vars.bat build-key client1 build-key client2 build-key client3 ВАЖНО!!! В вопросе "Common Name (eg, your name or your server's hostname) []:" нужно для каждого ключа указывать УНИКАЛЬНОЕ имя, например, client1, и т.д. В результате будет создан ключ client1.key, сертификат client1.crt, запрос Certificate Signing Request (CSR) client1.csr, ?непонятный файл? 02.pem (копия client1.csr) В итоге имеем: ключи *.key # секретная информация, должны распространяться ТОЛЬКО ПО СЕКРЕТНЫМ КАНАЛАМ. Нужны только на соотв. хостах. сертификаты *.crt # несекретная информация. запросы серт. *.csr # Certificate Signing Request, нужны для распределённой генерации и сертификации ключей. dh1024.pem # Diffie Hellman parameters Вместо использования на клиентах 3-ёх раздельных файлов (ca, cert, key) можно использовать единый файл формата PKCS12. Для этого надо генерировать ключ клиента командой: build-key-pkcs12 client1 Будет создан и обычный комплект файлов, и новый файл .p12 - это и есть этот комбинированный файл. Его можно использовать в конфиге клиента одной командой pkcs12 вместо трёх команд ca, cert, key. Также при генерации этому файлу можно задать пароль для защиты секретного ключа, в таком случае каждый раз при установке соединения будет запрашиваться пароль для доступа к секретному ключу (Внимание! Так нельзя делать при запуске сервиса, т.к. он не сможет запросить пароль и не сможет установить соединение.). Следует также иметь ввиду, что пользователь имеет право самостоятельно изменить/удалить/установить пароль защиты секретного ключа.[/ list] Отзыв сертификатов клиентов, выполняется по необходимости, например, при утере ключа или пароля, утечке или компрометации ключа клиента. vars.bat revoke-full client1 Будет сгенерирован файл crl.pem в каталоге keys, этот файл и должен быть параметром инструкции "crl-verify crl.pem". Этот файл несекретный, но от несанкционированных изменений должен быть защищён. После отзыва можно сгенерировать новый ключ с тем же CN-именем (Common Name). 3.2.Конфигурация сервера - Server.ovpn Здесь и далее, параметры указывающие на файлы можно (или даже желательно) указывать с полными путями. Для Windows символ "\" указывается как "\\", пути с пробелами брать в кавычки, например: "C:\\Program Files\\OpenVPN\\config\\ca.crt". В примере это не указано чтобы не загромождать. код: ca ca.crt # ca "C:\\Program Files\\OpenVPN\\config\\ca.crt" cert server.crt key server.key # секретный файл dh dh1024.pem dev tun server 10.8.0.0 255.255.255.0 Необязательные параметры (кроме общеупотребимых): код: push "route 192.168.10.0 255.255.255.0" 3.3.Конфигурация клиента - Client.ovpn код: ca ca.crt # ca "C:\\Program Files\\OpenVPN\\config\\ca.crt" cert client.crt key client.key # секретный файл dev tun client remote 1.1.1.1 1194 Необязательные параметры (кроме общеупотребимых): код: remote server.com 1194 remote-random resolv-retry infinite 4. Расширенная конфигурация туннеля L2 (Ethernet-туннель, aka "bridged") В данном режиме тунелируются не IP-пакеты, а пакеты Ethernet, что позволяет использовать поверх такого OpenVPN-соединения: не только IP-протокол, но и, например, IPX (лично не проверено) приложения работающие только в пределах своей подсети приложения, работающие через broadcast (например, NetBIOS) иметь доступ к внутренним ресурсам, которые в силу разных причин не имеют настроенного шлюза без дополнительных настроек (например, настройка NAT на шлюзе для дополнительной OpenVPN-подсети) использовать перенаправление трафика командой redirect-gateway В этой схеме на клиенте доступ к удалённой сети производится напрямую, то есть реально через ARP и т.п. Например, 192.168.1.191 - VPN-клиент, а 192.168.1.101 - хост в удалённой сети: код: >arp -a Интерфейс: 192.168.1.191 --- 0x2 Адрес IP Физический адрес Тип 192.168.1.101 02-ff-a2-cd-2c-07 динамический 4.1.Подготовительные операции Если необходим доступ к локальной сети "за сервером" (в 95% случаев это необходимо), то надо объединить сетевой адаптер LAN сервера в мост с OpenVPN-tap-адаптером, при этом создаётся новый адаптер и уже ему назначаете IP, скорее всего тот который был до этого у LAN. В Win это можно сделать под XP или 2003 (2000 это не умеет). Если на сервере есть ПО, привязанное к интерфейсам, то, вероятно, потребуются соответствующие изменения настроек и этого ПО. Генерация ключей не отличается от туннеля L3, поэтому см. п.3.1 4.2.Конфигурация сервера - Server.ovpn код: ca ca.crt # ca "C:\\Program Files\\OpenVPN\\config\\ca.crt" cert server.crt key server.key # секретный файл dh dh1024.pem dev tap server-bridge 192.168.1.254 255.255.255.0 192.168.1.190 192.168.1.199 # в предыд.команде 192.168.1.254 255.255.255.0 это шлюз из лок.сети во внеш.сети и маска, # 192.168.1.190 192.168.1.199 - диапазон для VPN-хостов Необязательные параметры (кроме общеупотребимых): код: # команды ниже могут назначить шлюзование всего трафика клиента через VPN push "route-gateway 192.168.1.254" push "dhcp-option DNS 192.168.1.254" push "dhcp-option WINS 192.168.1.254" push "redirect-gateway" 4.3.Конфигурация клиента - Client.ovpn код: ca ca.crt # ca "C:\\Program Files\\OpenVPN\\config\\ca.crt" cert client.crt key client.key # секретный файл dev tap client remote server.com 1194 remote 1.1.1.1 1194 Необязательные параметры (кроме общеупотребимых): код: ifconfig 192.168.1.190 255.255.255.0 # явное указание IP-адреса, назначаемого интерфейсу dhcp-option DNS 192.168.1.254 # использование удалённого DNS dhcp-option WINS 192.168.1.254 # использование удалённого WINS redirect-gateway 5. Некоторые распростанённые проблемы и методы решения После установки в ОС создаётся новый сетевой интерфейс с "адаптером" TAP-Win32 Adapter V8, отображаемый ОС как сетевой адаптер с неподключенным кабелем, он же может отбражаться в области значков. Это виртуальный адаптер OpenVPN. Его можно переименовать по желанию и это имя можно будет использовать в конфиг-файлах в команде dev-node TAP-interface-name Этот адаптер НЕ НУЖНО отключать (распространённое явление - не устанавливается OpenVPN-соединение т.к. отключен этот интерфейс) На этом адаптере в общем случае НЕ НУЖНО настраивать никакие параметры IP-протокола (кроме NetBIOS, см.ниже), включение и конфигурация этого интерфейса производятся автоматически при установке OpenVPN-соединения. Если не нужен NetBIOS, то во избежание проблем с NetBIOS-ом, свойственных multihomed-хостам РЕКОМЕНДУЕТСЯ отключить NetBIOS для данного интерфейса: сетевые подключения - свойства данного сетевого интерфейса – свойства протокола TCP/IP – дополнительно – WINS – Параметры NetBIOS = Отключить NetBIOS через TCP/IP. На этом адаптере во избежание непонятных проблем желательно НЕ ВКЛЮЧАТЬ фаервол (брандмауэр), по крайней мере на начальном этапе установки, изучения и запуска. Не происходит добавление маршрута в таблицу маршрутизации, вероятно при включенной службе RRAS (чаще всего возникает на серверных ОС, например, Windows Server 2003, но встречал и на XP) - ошибка: "NOTE: FlushIpNetTable failed on interface [2] {427E6BDF-F41F-4E7A-B8C4-4F12B25A6C11} (status=1413) : Invalid index." Похоже дело в Win-довом глюке, по API-команде windows должна добавить маршрут, при этом если в конфиг OpenVPN вставить show-net-up, то OpenVPN запросит windows через API всю таблицу маршрутизации и выведет её в лог, там нужный маршрут будет. А если сделать "route print", то маршрута не будет... Решение: "route-method exe" в конфиг.файле - это указывает OpenVPN-у, что добавление маршрута надо делать не через API, а через route.exe. Кроме того, может потребоваться небольшая задержка перед добавлением маршрута через route.exe (встречалось, что без задержки route.exe ещё не видит только что появившийся интерфейс и не добавляет маршрут), это делается route-delay 10 (на серверах лично меня "не напрягает" задержка 10 секунд, на клиентах можно уменьшить до экспериментально вычисленного предела) При запуске OpenVPN-соединения из учётной записи пользователя (без прав Администратора) возникает ошибка, связанная с недостатком прав для установки интерфейса. Варианты решения: Запускать OpenVPN как постоянный сервис (включить автозапуск сервиса OpenVPNservice). Кроме того, сервисом можно управлять и из OpenVPN-GUI, для этого надо в реестре устновить: [HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN-GUI] "allow_service"="1" Использовать «механизм» RunAs: runas /user:admin openvpn.exe ..... runas /user:admin /savecred openvpn.exe ..... Можно также использовать альтернативный продукт, например, http://www.robotronic.de/runasspcEn.html RunAsSpc.exe /program:"openvpn.exe" /domain:"localhost" /user:"admin" /password:"pass" /param:<programmoptions> /executein:<path to execute> Или более безопасно через создание Crypt-файла, см. приложенный к сообщению скриншот (http://forum.ixbt.com/post.cgi?id=attach:14:40906:1:2) Более подробно см. также статью на английском - http://openvpn.se/files/howto/openvpn-howto_run_open…_as_nonadmin.html Использовать версию 2.1, в ней есть возможность 1 раз за сеанс (или до выгрузки драйвера) выполнить под администратором команду openvpn.exe --allow-nonadmin [TAP-adapter] После этого интерфейс будет "подниматься" и с правами пользователя. 6. Ссылки на доп.источники «OpenVPN, или кроссплатформенная частная сеть» (Журнал "Системный администратор", 2004-08, автор: Андрей Бешков) http://www.samag.ru/art/08.2004/08.2004_01.pdf "Организация единой сети при помощи виртуальных ethernet адаптеров (TAP) и программных мостов" (Roman Yerin (Kid)), http://kid.tomsk.ru/docs/linux_bridging.html P.S. Была очепятка в "2. Server.ovpn, ifconfig ...", исправил 6-июл-2006 Добавил форматирование, исправил ещё пару ляпов. 8-авг-2006 Добавил информацию о конфигурировании L2 и внешние ссылки, 9-ноя-2006 Добавил описания команд, 23-апр-2007 Кое-что добавил (auth-user-pass-verify,...) и исправил (runas), 27-06-2007 К сообщению приложены файлы: 1.png, 2.png За это сообщение сказали спасибо: Black-Dragon

2. holmskiy, 28.06.2006 20:36

Спасибо за ответ. Сделал всё как вы писали по простейшиму варианту: Сервер: dev tun ifconfig 10.12.0.1 10.12.0.2 secret key.txt port 1194 proto udp comp-lzo Клиент: remote 100.100.100.100 dev tun ifconfig 10.12.0.2 10.12.0.1 secret key.txt port 1194 proto udp comp-lzo Клиент соединяется, сеть устанавливается, главное что дальше, как мне направить весь мой трафик через этот тунель!

3. vinni, 29.06.2006 01:23

Работает? С клиента пингуется 10.12.0.2 ? Какой трафик Вы понимаете под "как мне направить весь мой трафик через этот тунель" ? Если трафик в "эту" удалённую сеть, то это просто набор команд маршрутизации. Если же Вы хотите направить туда трафик 0.0.0.0, то есть команды: dhcp-option DNS d.d.d.d redirect-gateway Но в тех местах, где я их использую, у меня настроены L2-тунели. Кроме того, на клиенте это только одна задача - "запихнуть" трафик в туннель. А вот "сервер" кроме всего прочего тоже должен корректно его "вытолкнуть" наружу и вернуть обратный трафик. То есть, кроме "своей" LAN-сети должна, возможно, NAT-иться и эта VPN-сеть. А вот с L2-тунелем таких проблем нет.

4. borispr, 29.06.2006 12:11

цитата: holmskiy: Клиент соединяется, сеть устанавливается, главное что дальше, как мне направить весь мой трафик через этот тунель! http://openvpn.net/howto.html#redirect

5. holmskiy, 29.06.2006 20:03

vinni С клиента пингуется 10.12.0.2 ? - Да пингуется. Какой трафик Вы понимаете под "как мне направить весь мой трафик через этот тунель" ? Вот это как раз мой случай: Routing all client traffic through the VPN. By default, when an OpenVPN client is active, only network traffic to and from the OpenVPN server site will pass over the VPN. General web browsing, for example, will be accomplished with direct connections that bypass the VPN. т.е. все приложения: браузер, почтовая программа и т. д. должны ходить в Интернет через тунель. borispr - дал нужную ссылку, спасибо, но вот настроить у меня ума не хватило. Implementation Add the following directive to the server configuration file: push "redirect-gateway def1" - добавил данную команду в конфигурационный файл сервера!(полностью со словом push) Pushing the redirect-gateway option to clients will cause all IP network traffic originating on client machines to pass through the OpenVPN server. The server will need to be configured to deal with this traffic somehow, such as by NATing it to the internet, or routing it through the server site's HTTP proxy. Разобрался, что на клиенте дописываем просто redirect-gateway но теперь после соединения клиента с сервером, ни браузер, ни почтовик соединится не могут. Пингуется только сервер OpenVPN ну и мой хост соотвественно. On Linux, you could use a command such as this to NAT the VPN client traffic to the internet: iptables -t nat -A POSTROUTING -s 10.12.0.0/24 -o eth0 -j MASQUERADE This command assumes that the VPN subnet is 10.8.0.0/24 (taken from the server directive in the OpenVPN server configuration) and that the local ethernet interface is eth0. А что необходимо сделать когда сервер под Windows? When redirect-gateway is used, OpenVPN clients will route DNS queries through the VPN, and the VPN server will need handle them. This can be accomplished by pushing a DNS server address to connecting clients which will replace their normal DNS server settings during the time that the VPN is active. For example: push "dhcp-option DNS 10.12.0.1" will configure Windows clients to use 10.12.0.1 as their DNS server. Any address which is reachable from clients may be used as the DNS server address. DNS прописываем на клиенте? Что необходимо исправить, добавить?

6. vinni, 30.06.2006 00:33

Я очепятался, я имел ввиду пингуется ли сервер, а это 10.12.0.1, но это на самое важное. Команда push используется для того, чтобы "протолкнуть" указанную в параметре команду клиенту, то есть в конфиге клиента можно просто redirect-gateway, а в конфиге сервера надо push "redirect-gateway". Про сервер сначала Вы нам объясните как он имеет доступ к и-нету. Если через NAT, то надо на NAT-е настроить ещё и правила для NAT-ирования и "новой" VPN-сети. Кроме того, на сервере надо включить маршрутизацию. Сначала добейтесь хотя бы работы ping 194.87.0.50 (это www.ru). После этого уже начинайте мутить с DNS-ом - dhcp-option DNS d.d.d.d Добавление от 30.06.2006 00:33: для проверки после ping используйте tracert 194.87.0.50 -d

7. holmskiy, 30.06.2006 01:05

пингуется ли сервер, а это 10.12.0.1 - всё отлично пингуется! Команда push используется для того, чтобы "протолкнуть" указанную в параметре команду клиенту, то есть в конфиге клиента можно просто redirect-gateway, а в конфиге сервера надо push "redirect-gateway". - у меня так и настроено! Про сервер сначала Вы нам объясните как он имеет доступ к и-нету. - имеет постоянный статический IP которым смотрит в Интернет, к нему я и подключаюсь, указан в конфигурации клиента как 100.100.100.100 (После установки на сервере OpenVPN появился второй сетевой адаптер.) Программа работает как сервис. Сначала добейтесь хотя бы работы ping 194.87.0.50 (это www.ru). После этого уже начинайте мутить с DNS-ом - dhcp-option DNS d.d.d.d, для проверки после ping используйте tracert 194.87.0.50 -d - не работает! Ещё раз подчеркну, что после установеи тунеля с сервером, весь трафик начинает идти на него, но из сервера он не выходит в Интернет, у меня все сетевые программы не работают пока не отключу тунель. Кроме того, на сервере надо включить маршрутизацию. - я думаю что как раз это я и не сделал, как это делается?

8. borispr, 30.06.2006 12:25

цитата: holmskiy: Ещё раз подчеркну, что после установеи тунеля с сервером, весь трафик начинает идти на него, но из сервера он не выходит в Интернет, у меня все сетевые программы не работают пока не отключу тунель. Естественно! Хотелось весь трафик загнать в VPN, вот он туда весь и уходит. цитата: holmskiy: Кроме того, на сервере надо включить маршрутизацию. - я думаю что как раз это я и не сделал Кхм... ваще-то с этого надо было начинать цитата: holmskiy: как это делается? Мда, неожиданный поворот событий... Читаете про расшаривание инет канала или ставьте прогу маршрутизации с натом.

9. vinni, 06.07.2006 15:10

holmskiy Была очепятка в "2. Server.ovpn, ifconfig ...", исправил: 2. Server.ovpn dev tun ifconfig 10.8.0.0 255.255.255.0

10. holmskiy, 08.07.2006 11:32

vinni "Была опечатка в "2. Server.ovpn, ifconfig ...", исправил: 2. Server.ovpn dev tun ifconfig 10.8.0.0 255.255.255.0" с таким настройками не работает! Клиент не может соединиться! Со старыми всё работало и работает. Главное!!! Включил на сервере службу Routing and Remote Access выбрал NAT теперь все внешнии адресса Интернета пингуются, tracer 194.87.0.50 -d проходит на ура! Осталось последнее, разобраться с DNS, подскажи пожалуйста, что прописать на сервере и на клиенте. Пока браузер не работает.

11. vinni, 08.07.2006 14:17

На сервере (Win2003) поднят DNS-сервер или DNS-агент? Если да, то укажите для клиента DNS-сервером именно IP этого сервера. Если не заработает, то укажите DNS-ом тот сервер, кот. дан провайдером для Win2003.

12. holmskiy, 08.07.2006 19:15

цитата: vinni: На сервере (Win2003) поднят DNS-сервер или DNS-агент? Если да, то укажите для клиента DNS-сервером именно IP этого сервера. Если не заработает, то укажите DNS-ом тот сервер, кот. дан провайдером для Win2003. На сервере (Win2003) поднят DNS клиент. Указываю на сервере VPN и на клиенте (у себя на машине) следующее: push "dhcp-option DNS 100.100.100.50" где 100.100.100.50 - DNS сервер провайдера выдаваемый Win2003 и определяемы по команде nslookup. Может синтаксис команды не правильный или нужна другая? Не работает? Когда в браузере печатаю IP адресс веб сервера (например http://www.yahoo.com/ - http://209.73.186.238) сайт загружается, но скорость очень, очень маленька!

13. vinni, 08.07.2006 19:35

Продиагностируйте DNS на клиенте после установки туннеля - ipconfig /all, nslookup цитата: Указываю на сервере VPN и на клиенте (у себя на машине) следующее: push "dhcp-option DNS 100.100.100.50" А зачем в двух местах? ИМХО достаточно в одном: на сервере push "dhcp-option DNS 100.100.100.50" или на клиенте dhcp-option DNS 100.100.100.50

14. holmskiy, 08.07.2006 20:04

цитата: vinni: Продиагностируйте DNS на клиенте после установки туннеля - ipconfig /all, nslookup цитата: Указываю на сервере VPN и на клиенте (у себя на машине) следующее: push "dhcp-option DNS 100.100.100.50" А зачем в двух местах? ИМХО достаточно в одном: на сервере push "dhcp-option DNS 100.100.100.50" или на клиенте dhcp-option DNS 100.100.100.50 Огромное, ну просто ОГРОМАДНОЕ СПАСИБО!!! Прописал DNS только на клиенте, причём своего провайдера и всё заработало на УРА! Сейчас попробую расширенную конфигурацию, если не трудно, заглядывайте в эту тему, уверен, что у меня будут вопросы. Ещё раз спасибо Вам за помощь и терпение со мной!!!

15. vinni, 08.07.2006 20:36

цитата: Прописал DNS только на клиенте, причём своего провайдера и всё заработало на УРА! Этот вариант не всегда пройдёт, зависит от того, что за адрес, в какой сети и будет ли он обрабатывать рекурсивный запрос, пришедший не из обслуживаемой им сети. В Вашем случае срослось, повезло.

16. nick_name, 16.07.2006 23:01

vinni продолжим здесь Можно ли как-то обойтись без моста? Мне не принципиально - tun, tap, PPTP, L2TP... Сервер: код: port xxxxx proto tcp-server dev tun ifconfig 192.168.20.81 192.168.20.82 ca ca.crt cert server.crt key server.key tls-server dh dh2048.pem tls-auth ta.key 0 # This file is secret cipher AES-256-CBC # AES comp-lzo Клиент: код: dev tun ifconfig 192.168.20.82 192.168.20.81 remote zzz.zzzzz.zzz xxxxx resolv-retry infinite proto tcp-client ca ca.crt cert client0.crt key client0.key tls-client dh dh2048.pem tls-auth ta.key 1 # This file is secret cipher AES-256-CBC # AES comp-lzo redirect-gateway dhcp-option DNS 192.168.1.1 ;route-method exe

17. vinni, 17.07.2006 12:34

Судя по "OpenVPN 2_0_x Man Page.htm" должно работать: код: --redirect-gateway [local] [def1] (Experimental) Automatically execute routing commands to cause all outgoing IP traffic to be redirected over the VPN. This option performs three steps: (1) Create a static route for the --remote address which forwards to the pre-existing default gateway. This is done so that (3) will not create a routing loop. (2) Delete the default gateway route. (3) Set the new default gateway to be the VPN endpoint address (derived either from --route-gateway or the second parameter to --ifconfig when --dev tun is specified). When the tunnel is torn down, all of the above steps are reversed so that the original default route is restored. Add the local flag if both OpenVPN servers are directly connected via a common subnet, such as with wireless. The local flag will cause step 1 above to be omitted. Add the def1 flag to override the default gateway by using 0.0.0.0/1 and 128.0.0.0/1 rather than 0.0.0.0/0. This has the benefit of overriding but not wiping out the original default gateway. Using the def1 flag is highly recommended, and is currently planned to become the default by OpenVPN 2.1. Просто мне пришлось пользовать redirect-gateway именно там же, где и L2-тунели... Режим TCP я не пользую - на начальных порах я его пробовал, но почему-то была ощутимо более низкая производительность по сравнению с UPD. tls не пользую А зачем у клиента "dh dh2048.pem"? --dh file File containing Diffie Hellman parameters in .pem format (required for --tls-server only) Так я не понял - работает или нет?

18. nick_name, 17.07.2006 13:12

vinni Режим TCP я не пользую - на начальных порах я его пробовал, но почему-то была ощутимо более низкая производительность по сравнению с UPD. Для надежности решил попробовать. Спасибо за инфо, переключу на UDP и сравню. А зачем у клиента "dh dh2048.pem"? Забыл стереть когда конфиг копировал. Так я не понял - работает или нет? Пинги ходят пока что до адаптера на сервере. Вчера вообще засада была попробовал в мост объединить, так потом едва восстановил Хорошо хоть было кому помочь "на той стороне". Пока объяснил где и что нажимать... Вы писали про это, думал пройдет нормально. IMO - если делать мост, то редактированием реестра чтобы сразу все параметры прописать. И автоматическое восстановление сделать после 2-ой перезагрузки. Заморока еще та, но если больше никак то можно и так Сейчас увы проверить не могу, только вечером. Спасибо за поддержку!

19. vinni, 17.07.2006 14:19

Теперь возитесь на сервере, скорее всего там надо настроить NAT для VPN-адреса клиента.

20. nick_name, 19.07.2006 02:09

vinni В том то и вопрос что я не знаю как это сделать

21. vinni, 19.07.2006 16:45

Я тоже. Как сервер подключен к и-нету? Физически, логически, программно?

22. nick_name, 19.07.2006 17:56

Сервер с Win2003 SP1, встроенная сетевуха напрямую соединена с ADSL-модемом. Модем - однопортовый, внутренний (я правильно называю?) адрес модема 192.168.1.1, сетевухи 1.2. Модем получает "белый" IP-адрес от провайдера. Сейчас пинги ходят только до 192.168.20.81 (адрес TAP-адаптера на сервере), как я понимаю - надо прописать route чтобы ходили дальше. Вот только где писать? С этого места непонятки и начинаются Для начала сделать хотя бы чтоб модем пинговался... По логике - на клиенте (ноут) route add 192.168.1.1 192.168.20.81, на сервере route add 192.168.1.1 192.168.1.2 IF [здесь TAP-адаптер]. Вечером проверю. Если еще инфа нужна - напишу (вроде бы все и так уже написал). Ушел читать про настройку RRAS и NAT Добавлено в 23:35 Все. Работает!!! Нужно было просто NAT поднять и настроить. Причем настройка приизводилась встроенным в оснастку RRAS мастером, всего несколько шагов.

23. vinni, 19.07.2006 23:55

Сейчас доступ из сервера в и-нет идёт через NAT на ADSL-роутере (Ваш модем судя по разным адресам на его WAN и LAN портам [ну или внешнем и внутреннем]). Если на сервере даже просто включить маршрутизацию, то он без зазрения совести, просто перешлёт пакет от OpenVPN-клиента на этот роутер. А вот как отнесётся к нему роутер - вопрос. Сможет он его NAT-ить? Это требует от него поддержки нескольких внутренних сетей. Есть шанс, что не сможет. Тогда Вам надо поднимать и настраивать NAT на сервере. Как вариант, его можно настроить только NAT-ить OpenVPN-овкую сеть, а ADSL-роутер пусть NAT-ит сам по себе (для OpenVPN-овской сети это будет уже второй NAT). Если не хотите морочиться с настройкой доп. сервисов, то можете просто перенастроить тунель в режим L2 (tun tap), сделать мост. Тогда OpenVPN-интерфейс клиента будет иметь IP из той же LAN-сети и его трафик будет без проблем NAT-иться ADSL-роутером. Добавление от 19.07.2006 23:56: А... Поздравляю. Пока писал, не видел Ваше дополнение. Собственно, как я понимаю, Вы сделали именно то, что я и предложил - двойной NAT для OpenVPN-овской сети.

К этой теме 20.07.2006 16:03 split подклеил сообщения из темы "нужно хитро туннелировать подсеть - создать по обоим сторонам туннеля один ethernet-сегмент" (автор: Dmitriy Kolesnikov)

25. Almaty, 20.07.2006 15:14

Здравствуйте хотел бы проконсультироватся у Вас о Openvpn В данный момент настроен openvpn bridge на двух компах (ос Linux) (без ключей) все работает все нормально. Читал на сайте про сервер для нескольких клиентов... но немного непонятно как это делается.. (есть 1н сервер к нему подключаетс несколько клиентов) если вы что либо занете про такую конфигурацию прошу вас немного помочь

26. vinni, 20.07.2006 16:11

Из общих соображений - а в чём сложность нескольких клиентов? У меня их по 10-20 сидят на OpenVPN-ах. И на L3 (dev tun) и на L2 (dev tap). У меня как раз наоборот - только 1 хост на котором только 1 ovpn-клиент, на остальных их много. Тяжело ответить непонимая в чём у Вас "непонятки"...

27. Almaty, 21.07.2006 10:30

Здраввуйте.. начну с самого начала.. в данный момент настроена два Linux bridge на втором уровне L2 на одной машине файл конфигурации server.conf на второй client.conf Этот один клиент конектится к серверу. Надо что бы несколько клиентов работало с сервером... по L2 почитал на сайте openvpn если я все правильно понял то это реализуется через добавление в файл конфигурации параметра server-bridge после запуска openvpn Началась ругань на You must define DH file (--dh) 1) Мне надо определить параметр dh dh1024.pem? 2) потом создать ключи как на сервере так и на клиентах? я в правильном направлении иду или я что та упустил?

28. vinni, 21.07.2006 20:30

1. DH я во всех своих инсталляциях делаю по инерции, но в мануале написано что он нужен только для tls: --dh file File containing Diffie Hellman parameters in .pem format (required for --tls-server only) Сделать его (DH) можно Помогите настроить OpenVPN !, #1 (http://forum.ixbt.com/topic.cgi?id=14:40906:1#1) 2. server-bridge 192.168.1.rrr 255.255.255.0 192.168.1.xx1 192.168.1.xx2 192.168.1 - это, ес-но, условный пример rrr - IP роутера xx1 - xx2 - диапазон IP, выделенных для клиентов 3. Есть полезная опция client-config-dir - указывает каталог, в котором лежат дополнительные индивидуальные клиентские конфиги. Как минимум, я в этих конфигах "прописываю" статические IP для клиентов: ifconfig-push

29. dganzin, 30.07.2006 16:22

Такая задача, На работе есть локалка и есть инет через DSL. У меня есть удаленный сервер. Хочу пустить весь не локальный трафик через него. Мучаюсь уже долго никак не могу правильно настроить redirect-gateway. Сервер FreeBSD 6.1 Клиетн WinXP Помогите пожалуйста. Настройки сервера код: dev tun server 10.1.0.0 255.255.255.0 push "route 10.1.0.0 255.255.255.0" client-to-client tls-server dh dh1024.pem ca /usr/local/etc/vpn/ca.crt cert /usr/local/etc/vpn/server.crt key /usr/local/etc/vpn/server.key proto tcp-server port 7258 push "redirect-gateway def1" user nobody group nobody comp-lzo persist-tun persist-key tls-auth /usr/local/etc/vpn/ta.key 0 keepalive 10 120 status /var/log/openvpn-status.log log /var/log/openvpn-log.log verb 5 Настройки клиента код: dev tun remote <server-ip> tls-client client ns-cert-type server ca ca.crt cert client-winxp.crt key client-winxp.key tls-auth ta.key 1 proto tcp-client port 7258 comp-lzo tun-mtu 1500 tun-mtu-extra 32 mssfix 1450 ping 15 ping-restart 45 ping-timer-rem persist-tun persist-key verb 3

30. vinni, 30.07.2006 17:21

dganzin В чём собственно проблема? Соединение устанавливается? ping 10.1.0.1 с клиента работает? Добавьте в конфиг клиента show-net-up - это покажет в логе процесс добавления маршрутов. Смотрите сами или покажите ipconfig /all и route print до и после установки ovpn-соединения. Также смотрите лог-файлы, возможно, с обеих сторон. Возможно, придётся увеличить детальность - verb 4 (или 5 и более). В некоторых не до конца ясных ситуациях (часто при включенном rras) под Win не срабатывает назначение маршрута (в выводе команды show-net-up маршрут есть, а в route print его нет) - лечится route-method exe Клиент, надеюсь, не находится в одной сети с <server-ip>? Вы "переносите" только шлюз, DNS и WINS не переносите. По-этому, локальные имена видны не будут. Не в этом дело?

31. dganzin, 30.07.2006 18:26

цитата: vinni: В чём собственно проблема? VPN цепляется, а в Инет через него не могу вылезти. цитата: vinni: Соединение устанавливается? ping 10.1.0.1 с клиента работает? Вы наверное волшебник, после вашего поста пошли цитата: vinni: Добавьте в конфиг клиента show-net-up - это покажет в логе процесс добавления маршрутов. Вот он код: SYSTEM ROUTING TABLE 0.0.0.0 128.0.0.0 10.1.0.5 p=0 i=3 t=4 pr=3 a=0 h=0 m=1/-1/-1/-1/-1 0.0.0.0 0.0.0.0 192.168.61.111 p=0 i=2 t=4 pr=3 a=674 h=0 m=1/-1/-1/-1/-1 10.1.0.0 255.255.255.0 10.1.0.5 p=0 i=3 t=4 pr=3 a=0 h=0 m=1/-1/-1/-1/-1 10.1.0.4 255.255.255.252 10.1.0.6 p=0 i=3 t=3 pr=2 a=1 h=0 m=30/-1/-1/-1/-1 10.1.0.6 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=1 h=0 m=30/-1/-1/-1/-1 10.255.255.255 255.255.255.255 10.1.0.6 p=0 i=3 t=3 pr=2 a=1 h=0 m=30/-1/-1/-1/-1 38.x.x.x 255.255.255.255 192.168.61.111 p=0 i=2 t=4 pr=3 a=0 h=0 m=1/-1/-1/-1/-1 127.0.0.0 255.0.0.0 127.0.0.1 p=0 i=1 t=3 pr=2 a=16337 h=0 m=1/-1/-1/-1/-1 128.0.0.0 128.0.0.0 10.1.0.5 p=0 i=3 t=4 pr=3 a=0 h=0 m=1/-1/-1/-1/-1 192.168.61.0 255.255.255.0 192.168.61.49 p=0 i=2 t=3 pr=2 a=16337 h=0 m=20/-1/-1/-1/-1 192.168.61.49 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=16337 h=0 m=20/-1/-1/-1/-1 192.168.61.255 255.255.255.255 192.168.61.49 p=0 i=2 t=3 pr=2 a=16337 h=0 m=20/-1/-1/-1/-1 224.0.0.0 240.0.0.0 10.1.0.6 p=0 i=3 t=3 pr=2 a=1 h=0 m=30/-1/-1/-1/-1 224.0.0.0 240.0.0.0 192.168.61.49 p=0 i=2 t=3 pr=2 a=16337 h=0 m=20/-1/-1/-1/-1 255.255.255.255 255.255.255.255 10.1.0.6 p=0 i=3 t=3 pr=2 a=16337 h=0 m=1/-1/-1/-1/-1 255.255.255.255 255.255.255.255 192.168.61.49 p=0 i=2 t=3 pr=2 a=16337 h=0 m=1/-1/-1/-1/-1 SYSTEM ADAPTER LIST TAP-Win32 Adapter V8 - Минипорт планировщика пакетов Index = 3 GUID = {0D41EE0C-1A65-478B-A1B6-C52ED2101ADB} IP = 10.1.0.6/255.255.255.252 MAC = 00:ff:0d:41:ee:0c GATEWAY = 10.1.0.5/0.0.0.0 DHCP SERV = 10.1.0.5 DHCP LEASE OBTAINED = Sun Jul 30 21:12:02 2006 DHCP LEASE EXPIRES = Mon Jul 30 21:12:02 2007 Intel(R) PRO/100 VM сетевое подключение - Минипорт планировщика пакетов Index = 2 GUID = {B0A7E875-34B2-4B74-98C7-841223A19F62} IP = 192.168.61.49/255.255.255.0 MAC = 00:08:02:93:0a:0c GATEWAY = 192.168.61.111/0.0.0.0 Sun Jul 30 21:12:02 2006 us=862833 Initialization Sequence Completed цитата: vinni: Смотрите сами или покажите ipconfig /all и route print до и после установки ovpn-соединения. ipconfig /all код: Настройка протокола IP для Windows Имя компьютера . . . . . . . . . : n9 Основной DNS-суффикс . . . . . . : Тип узла. . . . . . . . . . . . . : неизвестный IP-маршрутизация включена . . . . : да WINS-прокси включен . . . . . . . : нет Химиков 61 (LAN) - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : Intel(R) PRO/100 VM сетевое подключение Физический адрес. . . . . . . . . : 00-08-02-93-0A-0C Dhcp включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 192.168.61.49 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : 192.168.61.111 DNS-серверы . . . . . . . . . . . : 192.168.61.111 VPN-Realtrio - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8 Физический адрес. . . . . . . . . : 00-FF-0D-41-EE-0C Dhcp включен. . . . . . . . . . . : да Автонастройка включена . . . . . : да IP-адрес . . . . . . . . . . . . : 10.1.0.6 Маска подсети . . . . . . . . . . : 255.255.255.252 Основной шлюз . . . . . . . . . . : 10.1.0.5 DHCP-сервер . . . . . . . . . . . : 10.1.0.5 Аренда получена . . . . . . . . . : 30 июля 2006 г. 21:12:02 Аренда истекает . . . . . . . . . : 30 июля 2007 г. 21:12:02 route print код: =========================================================================== Список интерфейсов 0x1 ........................... MS TCP Loopback interface 0x2 ...00 08 02 93 0a 0c ...... Intel(R) PRO/100 VM ёхЄхтюх яюфъы■ўхэшх - ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют 0x3 ...00 ff 0d 41 ee 0c ...... TAP-Win32 Adapter V8 - ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют =========================================================================== =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 128.0.0.0 10.1.0.5 10.1.0.6 1 0.0.0.0 0.0.0.0 192.168.61.111 192.168.61.49 1 10.1.0.0 255.255.255.0 10.1.0.5 10.1.0.6 1 10.1.0.4 255.255.255.252 10.1.0.6 10.1.0.6 30 10.1.0.6 255.255.255.255 127.0.0.1 127.0.0.1 30 10.255.255.255 255.255.255.255 10.1.0.6 10.1.0.6 30 38.x.x.x 255.255.255.255 192.168.61.111 192.168.61.49 1 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 128.0.0.0 128.0.0.0 10.1.0.5 10.1.0.6 1 192.168.61.0 255.255.255.0 192.168.61.49 192.168.61.49 20 192.168.61.49 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.61.255 255.255.255.255 192.168.61.49 192.168.61.49 20 224.0.0.0 240.0.0.0 10.1.0.6 10.1.0.6 30 224.0.0.0 240.0.0.0 192.168.61.49 192.168.61.49 20 255.255.255.255 255.255.255.255 10.1.0.6 10.1.0.6 1 255.255.255.255 255.255.255.255 192.168.61.49 192.168.61.49 1 Основной шлюз: 10.1.0.5 =========================================================================== Постоянные маршруты: Отсутствует цитата: vinni: Также смотрите лог-файлы, возможно, с обеих сторон. Возможно, придётся увеличить детальность - verb 4 (или 5 и более). Поставил 5, более мусора много. цитата: vinni: В некоторых не до конца ясных ситуациях (часто при включенном rras) под Win не срабатывает назначение маршрута (в выводе команды show-net-up маршрут есть, а в route print его нет) - лечится route-method exe Добавил, не помогло. цитата: vinni: Клиент, надеюсь, не находится в одной сети с <server-ip>? В разных. цитата: vinni: Вы "переносите" только шлюз, DNS и WINS не переносите. По-этому, локальные имена видны не будут. Не в этом дело? DNS локальный есть, а хотелось что-бы DNS был забиндин на виртуальный IP. Хотя не важно, главное в инет через удаленный сервак ходил.

32. vinni, 30.07.2006 18:44

1. Маршруты добавлены... На первый взгляд корректно, хотя я и не пробовал парараметр def1, попробуйте без него - push "redirect-gateway" 2. что скажет tracert 194.87.0.50 ? 3. А сервет то вообще знает что надо делать с пакетами из этой сети 10.1.0.0 ? На нём настроена маршрутизация или NAT для этой сети?

33. dganzin, 30.07.2006 19:15

цитата: vinni: 1. Маршруты добавлены... На первый взгляд корректно, хотя я и не пробовал парараметр def1, попробуйте без него - push "redirect-gateway" Убрал, тоже самое. цитата: vinni: 2. что скажет tracert 194.87.0.50 ? код: Трассировка маршрута к www.ru [194.87.0.50] с максимальным числом прыжков 30: 1 * * * Превышен интервал ожидания для запроса. 2 * * * Превышен интервал ожидания для запроса. 3 * * * Превышен интервал ожидания для запроса. 4 * * * Превышен интервал ожидания для запроса. цитата: vinni: 3. А сервет то вообще знает что надо делать с пакетами из этой сети 10.1.0.0 ? На нём настроена маршрутизация или NAT для этой сети? Ни того, ни того нету. Подскажите пожалуйста как настроить или ман. цитата: vinni: 4. В Ваших логах "отвсечивает" IP Вашего сервера 38.x... Многие это предпочитают не делать в публичных местах, если и Вы этого не хотите - затрите. Спасибо, поправил.

34. vinni, 30.07.2006 19:32

Настройка маршрутизации на сервере вне этой темы и к тому же я по ней Вам не подскажу - *nix не моя специализация

35. dganzin, 30.07.2006 19:43

Не страшно, вы мне и так очень сильно помогли. Дальше я сам покопаю. Огромно спасибо за помощь!!! Добавление от 30.07.2006 22:24: нашел проблему, но не знаю, как ее решить В виндах, после установки соединения, ставиться основной шлюз = 10.1.0.5. Хотя 10.1.0.5 даже не пингуется, по идее должен стоять 10.1.0.1. Как поправить?

36. vinni, 30.07.2006 22:47

цитата (dganzin): В виндах, после установки соединения, ставиться основной шлюз = 10.1.0.5. Хотя 10.1.0.5 даже не пингуется, по идее должен стоять 10.1.0.1 Всё там правильно, должен быть именно 10.1.0.5. OpenVPN в режиме tun "нарезает" сети по /30 (255.255.255.252), при этом 10.1.0.6 - "твой" адрес, 10.1.0.5 - адрес peer-a условного маршрутизатора (это ещё не сервер, сервер - это 10.1.0.1/30) и это отражено в табл.маршрутизации: 10.1.0.4 255.255.255.252 10.1.0.6 10.1.0.6 30 10.1.0.6 255.255.255.255 127.0.0.1 127.0.0.1 30 Кстати, результатом действия ключа def1 является "разбиение" default маршрута на 2 (см. строки 1 и 3 в цитате ниже), и это тоже правильно: 0.0.0.0 128.0.0.0 10.1.0.5 10.1.0.6 1 0.0.0.0 0.0.0.0 192.168.61.111 192.168.61.49 1 128.0.0.0 128.0.0.0 10.1.0.5 10.1.0.6 1

37. dganzin, 30.07.2006 23:12

Так ведь 10.1.0.5 ничего нету. Шлюз в никуда? Добавление от 30.07.2006 23:16: А как проверить, что он запрос к серверу прошел через VPN?

38. vinni, 30.07.2006 23:19

Так вот я и предлагал tracert, чтобы проверить. Странно, что не ответил хотя бы интерфейс 10.1.0.1 Следующий способ, которым я бы проверил - снифер. Способ нарезки сетей OpenVPN-ом показан на прилагаемом рисунке http://forum.ixbt.com/post.cgi?id=attach:14:40906:38:1 (716x716, 48,3Kb) К сообщению приложены файлы: 1.png

39. dganzin, 31.07.2006 02:45

Ответ на ping www.ru код: Обмен пакетами с www.ru [194.87.0.50] по 32 байт: Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса. Статистика Ping для 194.87.0.50: Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь), Паралельно ответ на tcpdump -env -ttt -i tun0 код: tcpdump: listening on tun0, link-type NULL (BSD loopback), capture size 96 bytes 000000 AF IPv4 (2), length 64: (tos 0x0, ttl 128, id 13089, offset 0, flags [none], proto: ICMP (1), length: 60) 10.1.0.6 > 194.87.0.50: ICMP echo request, id 768, seq 24832, length 40 5. 354606 AF IPv4 (2), length 64: (tos 0x0, ttl 128, id 13093, offset 0, flags [none], proto: ICMP (1), length: 60) 10.1.0.6 > 194.87.0.50: ICMP echo request, id 768, seq 25088, length 40 4. 998780 AF IPv4 (2), length 64: (tos 0x0, ttl 128, id 13098, offset 0, flags [none], proto: ICMP (1), length: 60) 10.1.0.6 > 194.87.0.50: ICMP echo request, id 768, seq 25344, length 40 5. 006494 AF IPv4 (2), length 64: (tos 0x0, ttl 128, id 13102, offset 0, flags [none], proto: ICMP (1), length: 60) 10.1.0.6 > 194.87.0.50: ICMP echo request, id 768, seq 25600, length 40 11. 043736 AF IPv4 (2), length 56: (tos 0x0, ttl 128, id 13118, offset 0, flags [DF], proto: TCP (6), length: 52) 10.1.0.6.1717 > 66.102.11.99.80: S, cksum 0x36d7 (correct), 2069716618:2069716618(0) win 65535 <mss 1334,nop,wscale 3,nop,nop,sackOK> 376457 AF IPv4 (2), length 56: (tos 0x0, ttl 128, id 13128, offset 0, flags [DF], proto: TCP (6), length: 52) 10.1.0.6.1718 > 209.51.159.130.80: S, cksum 0x7c24 (correct), 2171465790:2171465790(0) win 65535 <mss 1334,nop,wscale 3,nop,nop,sackOK> 2. 599722 AF IPv4 (2), length 56: (tos 0x0, ttl 128, id 13131, offset 0, flags [DF], proto: TCP (6), length: 52) 10.1.0.6.1717 > 66.102.11.99.80: S, cksum 0x36d7 (correct), 2069716618:2069716618(0) win 65535 <mss 1334,nop,wscale 3,nop,nop,sackOK> 376465 AF IPv4 (2), length 56: (tos 0x0, ttl 128, id 13133, offset 0, flags [DF], proto: TCP (6), length: 52) 10.1.0.6.1718 > 209.51.159.130.80: S, cksum 0x7c24 (correct), 2171465790:2171465790(0) win 65535 <mss 1334,nop,wscale 3,nop,nop,sackOK> 5. 643273 AF IPv4 (2), length 56: (tos 0x0, ttl 128, id 13139, offset 0, flags [DF], proto: TCP (6), length: 52) 10.1.0.6.1717 > 66.102.11.99.80: S, cksum 0x36d7 (correct), 2069716618:2069716618(0) win 65535 <mss 1334,nop,wscale 3,nop,nop,sackOK> 482819 AF IPv4 (2), length 56: (tos 0x0, ttl 128, id 13141, offset 0, flags [DF], proto: TCP (6), length: 52) 10.1.0.6.1718 > 209.51.159.130.80: S, cksum 0x7c24 (correct), 2171465790:2171465790(0) win 65535 <mss 1334,nop,wscale 3,nop,nop,sackOK> 11. 457119 AF IPv4 (2), length 56: (tos 0x0, ttl 128, id 13150, offset 0, flags [DF], proto: TCP (6), length: 52) 10.1.0.6.1719 > 66.102.11.104.80: S, cksum 0x83e3 (correct), 1006129372:1006129372(0) win 65535 <mss 1334,nop,wscale 3,nop,nop,sackOK> 3. 007633 AF IPv4 (2), length 56: (tos 0x0, ttl 128, id 13158, offset 0, flags [DF], proto: TCP (6), length: 52) 10.1.0.6.1719 > 66.102.11.104.80: S, cksum 0x83e3 (correct), 1006129372:1006129372(0) win 65535 <mss 1334,nop,wscale 3,nop,nop,sackOK> 6. 019263 AF IPv4 (2), length 56: (tos 0x0, ttl 128, id 13168, offset 0, flags [DF], proto: TCP (6), length: 52) 10.1.0.6.1719 > 66.102.11.104.80: S, cksum 0x83e3 (correct), 1006129372:1006129372(0) win 65535 <mss 1334,nop,wscale 3,nop,nop,sackOK>

40. vinni, 31.07.2006 12:17

Отлично видно, что на интерфейс приходят и ICMP-пакеты и даже пакеты TCP Syn. А вот никакие ответы туда не посылаются. Теперь смотрите что у Вас на сервере. Как пакеты с этого сервера попадают в интернет? Чем и где это маршрутизируется и NAT-ится и какие там настройки?

41. dganzin, 01.08.2006 00:09

Cервер внутри должен видеть виртуальную сетку? А то на сервере ping на 10.1.0.1 не проходит. Добавление от 01.08.2006 01:53: А може лучше bridge сделать?

42. vinni, 01.08.2006 02:00

Странно это. 10.1.0.1 сервер уж точно должен "видеть", это ведь его интерфейс. Может фильтрация на сервере так настроена? Вы думаете с мостом станет легче? Вы так и не ответили - Как пакеты с этого сервера попадают в интернет? Чем и где это маршрутизируется и NAT-ится и какие там настройки?

43. Almaty, 01.08.2006 09:12

Возникла еще маленькая проблема.... собрал две машина на одной FC4 openvpn установлен из RPM (/usr/share/openvpn/easy-rsa/2.0/keys) вторая Slackware соответсвенно из пакеджей (usr/doc/openvpn-2.0.5/easy-rsa/2.0) при запуске openvpn server.conf происходит следующее Cannot open dh1024.pem for DH parameters: error:02001002:system library:fopen:No such file or directory: error:2006D080:BIO routines:BIO_new_file:no such file нет файла по пути... вот тут и тупик... где в файле server.conf указывается местонахождение dh ca ca.crt cert server.crt key server.key Вроде читал на сайте что если из RPM то файл *vars ненадо редактировать. Так где же эти пути указываются? Добавление от 01.08.2006 10:17: Вот нашол вот так надо указывать пути ca /usr/share/openvpn/easy-rsa/2.0/keys/ca.crt Добавление от 01.08.2006 14:22: и вот еще вопрос для тестов сервера и клиентов есть только да компа(Клиент и сервер) Клиент конектится к серверу... но это только один клиент.. как можно проверить будет ли второй конектится или нет? Может есть какиенибуть тесты?

44. dganzin, 01.08.2006 18:41

цитата: vinni: Странно это. 10.1.0.1 сервер уж точно должен "видеть", это ведь его интерфейс. Может фильтрация на сервере так настроена? Вы так и не ответили - Как пакеты с этого сервера попадают в интернет? Чем и где это маршрутизируется и NAT-ится и какие там настройки? Есть только nat ядра (ipnat), простой nat не поднят. так же я включил ipmon и ipnat кусок из rc.conf код: # firewall ipf ipfilter_enable="YES" #ipfilter_rules="/etc/ipf.rules" ipmon_enable="YES" ipmon_flags="-Ds" gateway_enable="YES" ipnat_enable="YES" ipnat_rules="/etc/ipnat.rules" ipnat.rules код: map sis0 10.1.0.0/24 -> 38.x.x.x/32 цитата: vinni: Вы думаете с мостом станет легче? Не, решил не делать. Проблемы мост не решит. Добавление от 01.08.2006 18:51: Так же вот таблица роутов, может там косяки, посмотрите пожалуйста. код: Routing tables Internet: Destination Gateway Flags Refs Use Netif Expire default 38.x.x.9 UGS 1 6775 sis0 10.1/24 10.1.0.2 UGS 0 5 tun0 10.1.0.2 10.1.0.1 UH 1 0 tun0 38.x.x.8/29 link#1 UC 0 0 sis0 38.x.x.9 00:0f:34:c3:69:80 UHLW 2 0 sis0 18 38.x.x.10/32 10.1.0.1 UGS 0 0 sis0 38.x.x.11 00:15:f2:60:4e:21 UHLW 1 1 lo0 127.0.0.1 127.0.0.1 UH 0 62 lo0 Internet6: Destination Gateway Flags Netif Expire ::1 ::1 UH lo0 fe80::%sis0/64 link#1 UC sis0 fe80::215:f2ff:fe60:4e21%sis0 00:15:f2:60:4e:21 UHL lo0 fe80::%lo0/64 fe80::1%lo0 U lo0 fe80::1%lo0 link#3 UHL lo0 fe80::%tun0/64 link#4 UC tun0 fe80::215:f2ff:fe60:4e21%tun0 link#4 UHL lo0 ff01:1::/32 link#1 UC sis0 ff01:3::/32 ::1 UC lo0 ff01:4::/32 link#4 UC tun0 ff02::%sis0/32 link#1 UC sis0 ff02::%lo0/32 ::1 UC lo0 ff02::%tun0/32 link#4 UC tun0 не будет пару дней, ухал в Казахстан дайвингом заниматься :D

45. vinni, 02.08.2006 02:38

dganzin Про фильтры и NAT не подскажу, попробуйте спросить AckCmd. По маршрутам: Destination Gateway Flags Refs Use Netif Expire default 38.x.x.9 UGS 1 6775 sis0 - дефолтный, ок 10.1/24 10.1.0.2 UGS 0 5 tun0 - ovpn-сеть, ок 10.1.0.2 10.1.0.1 UH 1 0 tun0 - ovpn-шлюз в интерфейсной сети, ок 38.x.x.8/29 link#1 UC 0 0 sis0 - интерфейсная wan-сеть, ок 38.x.x.9 00:0f:34:c3:69:80 UHLW 2 0 sis0 18 - шлюз в интерфейсной сети, ок 38.x.x.10/32 10.1.0.1 UGS 0 0 sis0 - вот это что??? Зачем это? 38.x.x.11 00:15:f2:60:4e:21 UHLW 1 1 lo0 - свой интерфейс 127.0.0.1 127.0.0.1 UH 0 62 lo0 Непонятки: 1. Почему отличаются UH и UHLW и значения Gateway в 3 (10.1.0.2) и 5 (38.x.x.9) строках? 2. Почему нет маршрута 10.1.0.1 -> lo ? Может он потому и не пингуется? 3. Что такое 38.x.x.10/32 ?

46. dganzin, 08.08.2006 10:29

я приехал!!! vinni Таблица роутов до включения ovpn (после перезагрузки) код: Destination Gateway Flags Refs Use Netif Expire default 38.xx.xx.9 UGS 0 1176 sis0 38.x.x.8/29 link#1 UC 0 0 sis0 38.x.x.9 00:0f:34:c3:69:80 UHLW 2 0 sis0 756 ns1.myDomain.net 00:15:f2:60:4e:21 UHLW 1 1 lo0 ns2.myDomain.net 00:15:f2:60:4e:21 UHLW 1 1 lo0 localhost localhost UH 1 82 lo0 Таблица роутов после включения ovpn. код: Destination Gateway Flags Refs Use Netif Expire default 38.x.x.9 UGS 1 3188 sis0 10.1/24 10.1.0.2 UGS 0 0 tun0 10.1.0.2 10.1.0.1 UH 1 0 tun0 38.x.x.8/29 link#1 UC 0 0 sis0 38.x.x.9 00:0f:34:c3:69:80 UHLW 2 0 sis0 69 38.x.x.10/32 10.1.0.1 UGS 0 0 sis0 ns2.myDomain.net 00:15:f2:60:4e:21 UHLW 1 1 lo0 localhost localhost UH 1 174 lo0 цитата: vinni 1. Почему отличаются UH и UHLW и значения Gateway в 3 (10.1.0.2) и 5 (38.x.x.9) строках? Честно говоря не знаю, 5 сторока существовала еще до ovnp и имеет ссылку на аппаратный адрес Ethernet(флаг L). Я руками ничего не в бивал, все само прописывается. цитата: vinni Почему нет маршрута 10.1.0.1 -> lo ? Может он потому и не пингуется? А как его добавить? цитата: vinni Что такое 38.x.x.10/32 Это один из IP сервера. код: Таблица масок подсетей. Длина маски Маска Обратная маска Размер подсети Доступных адресов /24 255.255.255.0 0.0.0.255 256 254 /25 255.255.255.128 0.0.0.127 128 126 /26 255.255.255.192 0.0.0.63 64 62 /27 255.255.255.224 0.0.0.31 32 30 /28 255.255.255.240 0.0.0.15 16 14 /29 255.255.255.248 0.0.0.7 8 6 /30 255.255.255.252 0.0.0.3 4 2 /32 255.255.255.255 0.0.0.0 1 1

47. vinni, 08.08.2006 12:20

цитата (dganzin): я приехал!!! Ну и как казахи выглядят под водой? Лучше или хуже чем "сухие"?

48. dganzin, 08.08.2006 12:33

цитата: vinni Ну и как казахи выглядят под водой? Лучше или хуже чем "сухие"? Жуть, деревенские казахи постоянно пьяные и укуренные. А страна пустая, как Fallout в реале. Они походу только на Боровом и каспийском шельфе вытягивают, все остальное ГЛУШЬ. Приехал в КЗ, нашли озеро в ж*пе какой-то и встретили там знакомых из нашего города!!! Мир оказывается еще теснее чем я думал.

49. vinni, 08.08.2006 12:50

Маршруты до запуска OpenVPN вопросов не вызывают. Я так понимаю, ns1.myDomain.net и ns2.myDomain.net это 2 доп. адреса, назначенных на localhost (lo0-интерфейс) А вот после старта OpenVPN странности. Как я и говорил, вызывает вопрос: 1 - отсутствие маршрута на свой интерфейс 10.1.0.1 2 - Что это? 38.x.x.10/32 10.1.0.1 UGS 0 0 sis0 Почему этот 38.x.x.10/32 маршрутизируется через 10.1.0.1, но НА ИНТЕРФЕЙСЕ sis0 ??? Кстати, вот, что это, откуда и зачем? Может именно отсюда и лезет этот маршрут? ipnat.rules: map sis0 10.1.0.0/24 -> 38.x.x.x/32 Про табличку масок спасибо, конечно. Посмотрел ещё раз Ваш конфиг Помогите настроить OpenVPN !, #29 (http://forum.ixbt.com/topic.cgi?id=14:40906:29#29) , он не менялся? Кстати, команда server - это "макрокоманда", и она включает в себя некотрые другие, так что у Вас это "дублируется": push "route 10.1.0.0 255.255.255.0" - это делается командой server автоматически при наличии client-to-client tls-server Расскажите подробнее про конфирурацию интерфейсов. Внимательно изучите логи - почему не назначается интерфейс 10.1.0.1 ? Повторяю совет - "позовите" или попросите AckCmd посмотреть эту кухню с интерфейсами.

К этой теме 01.11.2006 09:54 split подклеил тему "Вопрос по настройке OpenVPN" (автор: systemlock)

51. systemlock, 31.10.2006 20:50

Добрый день дорогие друзья! Помогите пожалуйста разобраться с проблемой. Есть локальная сеть в офисе. Есть комп на котором есть модем. Необходимо из дома звонить на этот модем и управлять сетью. Сейчас я это делаю через RAdmin, но хотелось бы еще OpenVPN. Так вот, на машине в офисе ставлю OpenVPN и запускаю с конфигурацией сервера: port 1194 proto udp dev tun ca ca.crt cert server.crt key server.key # This file should be kept secret dh dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt keepalive 10 120 comp-lzo persist-key persist-tun status openvpn-status.log verb 3 на машине дома запускаю с конфигурацией клиента: client dev tun proto udp remote 10.8.0.0 1194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert client.crt key client.key comp-lzo verb 3 На стороне сервера вроде все ОК. А на клиенте все время ругается и говорит: write udpv4: no route to host (...) (сode=10065). Помогите разобраться как избавиться от такой проблемы? И еще надо ли указывать IP для TAP-Win32 Adapter 8 который у меня создался в сетевом окружении? Заранее спасибо...

52. Karroplan, 31.10.2006 21:15

IP для адаптера задавать не надо, его обычно выдает сервер. а "no route to host" значит, что твой клиент не видит твоего сервера, точнее не может отправить пакеты на сервер так как ты указал неправильный адрес в "remote" на клиенте. сюда надо указывать ip компутера, на котором запущен сервер openvpn

53. vinni, 31.10.2006 22:01

Да, Karroplan прав. Вот здесь, remote 10.8.0.0, должен стоять адрес внешнего интерфейса Вашего сервера, а Вы поставили адрес OpenVPN-сети, к тому же с вероятностью 99.9% недоступный из Вашей домовой сети.

54. systemlock, 01.11.2006 08:46

Дорогие друзья, большое спасибо за совет!!! Поставил ip сервера все вроде заработало!!! Назначаются виртуальные ip на сервере 10.8.0.1, на клиенте 10.8.0.6. но вот проблема я с клиента не могу ping послать на сервер, впрочем как и наоборот... Я вот еще со стороны сервера вижу такую ошибку Wed Nov 01 10:25:45 2006 10.8.0.1:1044 TLS: Initial packet from 10.8.0.1:1044, sid=cb234e32 ae2113cd Wed Nov 01 10:26:45 2006 10.8.0.1:1044 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Wed Nov 01 10:26:45 2006 10.8.0.1:1044 TLS Error: TLS handshake failed может быть проблема в этом? благодарю за поддержку! Добавление от 01.11.2006 09:07: Друзья, с tls разобрался в конфиге не указал порт, а вот пинг так и не идет

55. Karroplan, 01.11.2006 09:52

ой-ой.... а что пингаешь? посмотри внимательно в лог openvpn на сервере, там все написано будет. Зуб даю на отсечение, с вероятностью порядка 0.95 сервер напишет что-то в духе - Bad source address from client

56. -Alex-, 09.11.2006 14:33

Как можно настроить (и можно ли?) openvpn для работы всех пользователей с одним, одинаковым для всех ключом? Т.е. требуется создать виртуальную сеть, где работали бы все основные протоколы и пользователи могли бы видеть друг друга. При этом желательно упростить процедуру авторизации (в идеале — вообще её убрать), чтобы к сети мог подключиться любой желающий. Если без ключа никак нельзя, то пусть он хотя бы будет одинаковый.

57. borispr, 09.11.2006 14:44

-Alex-, в твоей теме уже посоветовали ПОПРОБОВАТЬ использовать статический ключ и опцию --duplicate-cn Или мы должны за тебя провести нужные эксперименты и выдать готовое решение?!

58. vinni, 09.11.2006 16:23

-Alex- borispr На свежую голову появилась новая мысль - не факт что secret statiс.key будет работать с несколькими клиентами. В этом режиме ведь сервер жёстко конфигурится ifconfig-ом под 1 клиента. Вчерашнее моё сообщение (Попалась давняя статья, в которой автор приводит пример OpenVPN-конфигурации, в которой 3 хоста "завязаны" в треугольник. Таким образом на каждом хосте имеются 2 соединения. Везде использован 1 и тот же secret.key. Не проверял, но если судить по статье, то работает.) я на свежую голову переосмыслил и подправил - "Извиняюсь, тормознул вчера ночью. Там в статье на каждое соединение поднят свой openvpn со своим конфигом, то есть фактически, на каждом хосте стоят 2 сервер-клиента." Но и это не большая проблема - тем более, что, насколько я понимаю, -Alex- нужен L2-тунель, а режим secret statiс.key работает только для L3. Так что, -Alex-, Вам лучше делать классическую схему, но поставить duplicate-cn и для всех клиентов использовать 1 ключ. Я вот только не в курсе, как будет назначен IP клиенту без явного указания IP-адреса на клиенте или сервере? Просто не пробовал, у меня все L2-тунели сконфигурированы со статическими клиентскими IP

59. borispr, 09.11.2006 17:08

vinni, слазил, освежил инфу по статик ключу. Действительно со статик ключом получается peer-to-peer. Порылся там еще и нашел вот что: --auth-user-pass-verify script method Require the client to provide a username/password (possibly in addition to a client certificate) for authentication. OpenVPN will execute script as a shell command to validate the username/password provided by the client. If method is set to "via-env", OpenVPN will call script with the environmental variables username and password set to the username/password strings provided by the client. Be aware that this method is insecure on some platforms which make the environment of a process publicly visible to other unprivileged processes. If method is set to "via-file", OpenVPN will write the username and password to the first two lines of a temporary file. The filename will be passed as an argument to script, and the file will be automatically deleted by OpenVPN after the script returns. The location of the temporary file is controlled by the --tmp-dir option, and will default to the current directory if unspecified. For security, consider setting --tmp-dir to a volatile storage medium such as /dev/shm (if available) to prevent the username/password file from touching the hard drive. The script should examine the username and password, returning a success exit code (0) if the client's authentication request is to be accepted, or a failure code (1) to reject the client. This directive is designed to enable a plugin-style interface for extending OpenVPN's authentication capabilities. To protect against a client passing a maliciously formed username or password string, the username string must consist only of these characters: alphanumeric, underbar ('_'), dash ('-'), dot ('.'), or at ('@'). The password string can consist of any printable characters except for CR or LF. Any illegal characters in either the username or password string will be converted to underbar ('_'). Care must be taken by any user-defined scripts to avoid creating a security vulnerability in the way that these strings are handled. Never use these strings in such a way that they might be escaped or evaluated by a shell interpreter. For a sample script that performs PAM authentication, see sample-scripts/auth-pam.pl in the OpenVPN source distribution. Резюме: 1. можно настроить, чтобы при коннекте запрашивался логин/пароль. Для проверки логина пароля будет выполнятся скрипт/приложение, которое должно вернуть 0, если пароль верный. Поскольку -Alex- устроит коннект и с неправильным логином паролем, то годится любой виндовый экзешник, который после выполнения вернет 0. 2. Можно настроить проверку логина пароля в дополнение к сертификату или ВМЕСТО client-cert-not-required Such configurations should usually also set: username-as-common-name 3. С клиентской стороны, чтобы не вводить логин пароль, можно создать файл --auth-user-pass [up] Authenticate with server using username/password. up is a file containing username/password on 2 lines (Note: OpenVPN will only read passwords from a file if it has been built with the --enable-password-save configure option, or on Windows by defining ENABLE_PASSWORD_SAVE in config-win32.h). If up is omitted, username/password will be prompted from the console. The server configuration must specify an --auth-user-pass-verify script to verify the username/password provided by the client.

60. -Alex-, 09.11.2006 18:29

Что-то у меня не получается законнектится к серверу. Вот сервер: ca "C:\\Program Files\\OpenVPN\\config\\ca.crt" cert "C:\\Program Files\\OpenVPN\\config\\server.crt" key "C:\\Program Files\\OpenVPN\\config\\server.key" dh "C:\\Program Files\\OpenVPN\\config\\dh1024.pem" dev tun server 172.2.0.0 255.255.255.0 username-as-common-name duplicate-cn client-to-client auth-user-pass-verify "c:\\NTDETECT.COM" via-env client-cert-not-required Вот клиент: ca "C:\\Program Files\\OpenVPN\\config\\client\\ca.crt" cert "C:\\Program Files\\OpenVPN\\config\\client\\client1.crt" key "C:\\Program Files\\OpenVPN\\config\\client\\client1.key" dev tun client remote <реальный_ip_сервера> 1194 Клиент при запуске пишет: TCP/UDP: Socket bind failed on local address [undef]:1194: Address already in use (WSAEADDRINUSE) Коннектится пытался с той же машины, где запущен клиент.

61. borispr, 09.11.2006 18:45

-Alex- Ты уж определись, что хочешь. Сначала в конфиге идут сертификаты и ключи, а потом что они не нужны (client-cert-not-required) Раз ключи сделал, до добейся работы с ними, а потом будешь прикручивать пароли. Поэтому выкидывай username-as-common-name duplicate-cn client-to-client auth-user-pass-verify "c:\\NTDETECT.COM" via-env client-cert-not-required Где в серверном и клиентском конфиге "proto tcp"? Если по дефолту udp, то как ты пытаешься на одной машине забиндить на один порт и сервер и клиента?

62. -Alex-, 09.11.2006 19:03

borispr Сперва просто добавил серверу "proto tcp-server" и клиенту "proto tcp-client". Тогда соединение вроде устанавливалось и тут же уходило в рестарт: Connection reset, restarting [0]. И так бесконечно. Потом убрал всё лишнее, добавил TAP-Win32 адаптер (без него никак), всё установилось! Сейчас буду пробовать убрать все ключи, только, по-моему, без них сервер не запускается вообще

63. borispr, 09.11.2006 19:16

"proto tcp-server" нет такого. Есть "proto tcp" или "proto udp"

64. -Alex-, 09.11.2006 19:33

В OpenVPNTM 2.0.x Man Page (http://openvpn.net/man.html) написано: --proto p Use protocol p for communicating with remote host. p can be udp, tcp-client, or tcp-server /.../ В общем, со строчками в конфиге сервера: username-as-common-name auth-user-pass-verify "c:\\NTDETECT.COM" via-env client-cert-not-required клиент работать не хочет, уходит в бесконечный рестарт. По-видимому, проверка пароля возвращает не то, что нужно, и надо создать какой-то экзешник, который бы возвращал правильный код на любой пароль. Без этих строк два клиента с одинаковыми ключами без проблем коннектятся к серверу с duplicate-cn и client-to-client. Без ca, cert, key, dh сервер не запускается (последовательно просит каждую их них).

65. vinni, 09.11.2006 20:15

-Alex-, А попроще кроме ntdetect ничего не нашлось? Ну хоть тот же ping.exe ? клиент работать не хочет, уходит в бесконечный рестарт А что пишет в логе? Клиент при запуске пишет: TCP/UDP: Socket bind failed on local address [undef]:1194: Address already in use (WSAEADDRINUSE) Коннектится пытался с той же машины, где запущен клиент.Наверное, очепятка - "гда запущен сервер"? Добавь на клиенте nobind, тогда он будет брать свой порт динамически. Но в любом случае, это весьма хитрая затея - запустить и сервер и клиент на одном хосте Добавление от 09.11.2006 20:23: -Alex-, borispr, При правке сообщения там ниже окна текста есть "галка" типа не отправлять на e-mail исправленное сообщение. После 1-ого исправления рекомендую включать У меня из Ваших 3 постов 17 сообщений

66. -Alex-, 10.11.2006 00:09

vinni А что пишет в логе? При влючённых в сервере опциях: username-as-common-name auth-user-pass-verify "C:\\WINDOWS\\system32\\ping.exe" via-env client-cert-not-required Клиент при коннекте уходит в рестарт. Вот полный лог до первой перезагрузки: Thu Nov 09 20:36:30 2006 Attempting to establish TCP connection with <ip-сервера>:1194 Thu Nov 09 20:36:30 2006 TCP connection established with <ip-сервера>:1194 Thu Nov 09 20:36:30 2006 TCPv4_CLIENT link local: [undef] Thu Nov 09 20:36:30 2006 TCPv4_CLIENT link remote: <ip-сервера>:1194 Thu Nov 09 20:36:31 2006 Connection reset, restarting [0] Thu Nov 09 20:36:31 2006 SIGUSR1[soft,connection-reset] received, process restarting Thu Nov 09 20:36:36 2006 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port. Thu Nov 09 20:36:36 2006 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. Thu Nov 09 20:36:36 2006 Attempting to establish TCP connection with <ip-сервера>:1194 Thu Nov 09 20:36:36 2006 SIGTERM[hard,init_instance] received, process exiting А попроще кроме ntdetect ничего не нашлось? Ну хоть тот же ping.exe ? Попробовал ping и пустой bat-файл, и bat-файл с какой-то командой — то же самое. auth-user-pass-verify "C:\\WINDOWS\\system32\\ping.exe" via-env Но в любом случае, это весьма хитрая затея - запустить и сервер и клиент на одном хосте Да нет, нужно только добавить необходимое число TAP-Win32 Adapter'ов. У меня их сейчас три: один на сервер и два на клиентов. Всё работает, но только с одинаковыми ключами. Без ключей пока ничего не получается, хотя принципиально это как-то можно сделать. Вся загвоздка, как я понимаю, в выборе скрипта проверки пароля, на роль которого ping и прочие не очень подходят. ;)

67. vinni, 10.11.2006 00:22

-Alex- А какой адрес Вы указываете в качестве <ip-сервера>? Имею ввиду, это адрес именно интерфейса сервера, не внешний адрес NAT-роутера, часом? Хотя... Ведь без этих трёх команд всё запускается? Просто странный ответ - "Connection reset" А пытался понять, какая именно из этих трёх команд "клинит"? Вся загвоздка, как я понимаю, в выборе скрипта проверки пароля Есть у меня некая программа, которая умеет принудительно выдавать любой заданный код возврата, в т.ч. 0 Про хитрую затею я имел ввиду чуть "глубже" - там же ещё и маршруты будут накладываться и т.п... А интерфейсы я добавлял, было как-то не то 4 не то 5

68. -Alex-, 10.11.2006 10:24

vinni: А какой адрес Вы указываете в качестве <ip-сервера>? Реальный адрес интерфейса (не vpn). пытался понять, какая именно из этих трёх команд "клинит"? По-моему, эти команды друг без друга не работают, насколько я помню, и любая их связка, с которой стартует сервер, "клинит" клиента. Посмотрел лог со стороны сервера: Fri Nov 10 10:09:56 2006 Re-using SSL/TLS context Fri Nov 10 10:09:56 2006 TCP connection established with <ip-клиента>:1077 Fri Nov 10 10:09:56 2006 TCPv4_SERVER link local: [undef] Fri Nov 10 10:09:56 2006 TCPv4_SERVER link remote: <ip-клиента>:1077 Fri Nov 10 10:09:57 2006 <ip-клиента>:1077 TLS Error: Auth Username/Password was not provided by peer Fri Nov 10 10:09:57 2006 <ip-клиента>:1077 TLS Error: TLS handshake failed Fri Nov 10 10:09:57 2006 <ip-клиента>:1077 Fatal TLS error (check_tls_errors_co), restarting Fri Nov 10 10:10:02 2006 Re-using SSL/TLS context Fri Nov 10 10:10:02 2006 TCP connection established with <ip-клиента>:1078 Fri Nov 10 10:10:02 2006 TCPv4_SERVER link local: [undef] Fri Nov 10 10:10:02 2006 TCPv4_SERVER link remote: <ip-клиента>:1078 Fri Nov 10 10:10:02 2006 <ip-клиента>:1078 Connection reset, restarting [-1] Похоже, клиент неправильно сконфигурирован и вообще не даёт пароль и логин. Сейчас в настройках клиента нет ничего, кроме: ca, cert, key, dev, tun, client, proto tcp-client, remote <ip-сервера> 1194.

69. borispr, 10.11.2006 12:51

-Alex- Может забить на эти логины-пароли и сделать просто с сертификатами (раз уж сделал их) и duplicate-cn? И все ж не стоит отлаживать все на одном компе, и клиент и сервер меняют таблицы маршрутизации, возможно они друг другу мешают

70. -Alex-, 10.11.2006 20:59

Написал в сервере: auth-user-pass-verify "" via-env В клиенте: auth-user-pass Вместо пустого скрипта проверки пароля можно использовать пустой бат-файл (и, думаю, любую другую прогу, но не проверял). После этого при логине у клиента спрашивается логин/пароль. Нужно ввести что-нибудь, после чего в сеть пускает. Т.е. с паролем всё работает. Загвоздка в том, что без строк ca, cert и key в конфиге клиента ничего не работает, а с ними — работает и без пароля, который в этом случае оказывается лишь лишним усложнением. borispr Может забить на эти логины-пароли и сделать просто с сертификатами (раз уж сделал их) и duplicate-cn? Так и сделаю, если ничего проще не получится. Просто интересно, можно ли сделать клиента с паролем и без сертификатов и ключей, пусть и одинаковых.

71. te, 22.11.2006 17:02

Господа! Помогите. Не получается завести в Win2k3 два сервера OpenVPN с разными настройками = которые работают соотв. каждый со своим tap-интерфейсом и своим портом.

72. borispr, 22.11.2006 17:50

te Ща телепаты подтянутся, расскажут, что именно не получается и какие ошибки в логе, и тогда дадим совет, как это исправить.

73. te, 23.11.2006 15:13

конфиги стандартные из примера (для server а) первый server работает на tap-интерфейсе-1 и портом 1194 второй server работает на tap-интерфейсе-2 и портом 1195 если запускать serverы OpenVPN по отдельности со своими конфигурациями то они работают и в соответствующем интерфейсе автоматом прописывается IP и маска = происходит соединение с клиентом и необходимый трафик перенаправляется куда надо. Если же запустить два сервера: в одном tap-интерфейсе которого запустили раньше IP и маска какие нужно,а во втором по нулям 0.0.0.0 0.0.0.0 Если запустить как сервисы то у обоих по нулям. Иногда у обоих прописывается не 10.8... как в конфиге, а 169...

74. borispr, 23.11.2006 15:21

а у обоих серверов адреса как в примере 10.8.0.1?

75. te, 23.11.2006 15:49

нет 1= 10.8.0.1 255.255.255.0 2= 10.8.1.1 255.255.255.0 Добавление от 23.11.2006 15:54: пробовал также = чтобы логи у них были разные (с разными именами) тоже самое может из-за одинаковых сертификатов и ключей для сервера? = но ошибок не пишет и как-то сомнительно...

76. borispr, 23.11.2006 16:05

а в чем смысл запуска двух серверов на одном компе? почему одним нельзя обойтись?

77. te, 23.11.2006 16:51

разные конфигурации = напр для одних перенаправление всего трафика, для других только доступ в лок. сеть. хотя если подумать = можно права разграничить файрволом.

78. vinni, 24.11.2006 01:18

разные конфигурации = напр для одних перенаправление всего трафика, для других только доступ в лок. сеть. А для этих целей потянет client-config-dir С другой стороны, эти настройки при наличии доступа может сменить сам клиент на своей стороне. На сервере RRAS запущен? С ним сильно косячит, ИМХО. Посмотри опцию --ip-win32, может что поможет. У меня клиент на Win2003+RRAS в упор не хотел назначать адрес, пришлось прописать его вручную и указать ip-win32 manual

79. Karroplan, 18.12.2006 10:12

возник маленький трабл с использованием openvpn... у меня есть сервер - гейт для юзверей в инет, куча туннелей, в том числе и openvpn. выдаются в основном статические реальные адреса (ну, такая специфика)... сервер openvpn берет себе фиктивный адрес, допустим - 10.0.0.1/32, а клиентам выдает реальные адреса тоже /32. под *nix все хорошо, клиентская сетка скрывается за этим адресом и весь исходящий внешний трафик направляется в устройство создаваемое openvpn (в духе ip route add default dev tnl0), но вот с виндой возникают проблемы. соединение не устанавливается с сообщением на клиентской стороне, что необходима хотя бы сетка /30 на этот туннель. то есть один адрес на серверную сторону и один на клиентскую, чтоб лежали в одной подсети. я подозреваю что это связано с тем, что в винде возможен только next-hop routing, и в кач-ве цели маршрута можно указывать только ip-адрес, а не устройство. вот и вопрос, а можно ли это как-то обойти и все же исхитрится выдавать виндозным клиентам адрес /32? а то уж больно жирно получается и неэкономно сетку /30 реальных адресов на одного клиента, мне так своего блока надолго не хватит

80. borispr, 18.12.2006 12:05

Karroplan Имхо подход неверный. Я бы раздавал статические адреса из 10.x.x.x и потом пропускал через статический NAT.

81. Karroplan, 18.12.2006 13:31

borispr подход не обсуждается, так как фиктивные адреса через NAT - это уже есть просто есть клиенты которые покупают реальные адреса и их много (на сетку класса C уже набралось) и среди них стали появлятся желающие openvpn-а под виндой.

82. ksa, 18.12.2006 14:32

Karroplan Отсюда - http://geekswithblogs.net/nzurfluh/ ip address: VIP Subnet mask: 255.255.255.0 *host mask 255.255.255.255 is not allowed in Windows* gateway: no value click “Advanced” add to the “Interface metric” 254 to correct the subnet mask, this change must be made to the registry: HKEY_LOCAL_MACHINES\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces locate and replace the subnet mask value for the loopback interface from 255.255.255.0 to 255.255.255.255

83. vinni, 18.12.2006 18:35

Karroplan Я уже создавал такую тему - Win не умеет назначать IP /32 Штатного решения не нашлось. Как в Windows назначить интерфейсу адрес /32 = x.x.x.x:255.255.255.255 ? (http://forum.ixbt.com/topic.cgi?id=14:41262) Правку реестра, в т.ч. и по совету ksa, не пробовал.

84. Karroplan, 19.12.2006 10:05

vinni правка реестра вполне помогает, вот только это малоприменимо... несолидно, если ISP будет своим клиентам такое предлагать в кач-ве стандартного метода подключения. видимо придется такие адреса вешать не сервер и для них делать статический NAT адрес-в-адрес.

85. vinni, 19.12.2006 10:57

Karroplan, есть ещё вариант OpenVPN в варианте туннеля L2, тогда клиенту можно дать его внешний IP-адрес во внешней сети, но там в этом тунеле будет ходить куча ненужного клиентам мусора и масса других не очень приятных нюансов для связки ISP<->клиент. Так что вряд ли Вы это тоже захотите.

86. vfksi, 23.12.2006 13:00

можно вопрос? вот допустим все, VPN создан клиент к серверу присоеденился... клиент может пользоваться инетом сервера? Что-то не получается, на сервере интернет идет по VPN а сетевая используется для подключения к внутри провайдерской сети... Так вот клиент нормально (почти DC++ только в пассиве) использует локальный трафик провайдера, но ни в какую не может пройти в инет...

87. Karroplan, 23.12.2006 14:32

vfksi ключевые слова - NAT и proxy

88. vfksi, 23.12.2006 19:57

прокси не устраивает... а вот NAT хз в XP его только в командной строке как я не знаю netsh routing ip nat install - стартует нат netsh routing ip nat add interface както разруливает трафф... а вот как я не понял допустим локальная сеть ip 192.168.1.8 сетевая в в подсеть провайдера 192.168.234.25 маска типа 255.255.255.128 и шлюз 192.168.234.1 и соединение "Виртуальная часная сеть" vpn.prov.ru по логину и паролю входяшее соединение VPN имеет ip 192.168.1.230 что нужно прописать с помощью netsh routing ip nat чтобы по VPN выдался интернет и локальная сеть провайдера?

89. vinni, 23.12.2006 22:44

vfksi, я не понял, Ваш вопрос как соотносится с данной темой "OpenVPN"? Если у Вас OpenVPN, то имеющимся доступом к интернету из офиса можно воспользоваться без доп.настроек, если использовать OpenVPN в режиме dev tap (тунель Level 2) При использовании OpenVPN в режиме dev tun (тунель Level 3) надо будет на оборудовании доступа в и-нет в офисе обеспечить доступ ещё и для сети OpenVPN. Если у Вас не OpenVPN, то создайте, пожалуйста отдельную тему или найдите более подходящую.

90. KOCTET, 27.12.2006 19:06

Народ, помогите пожалуйста. Есть компьютер на Win 2003sp1 с двуми сетевыми картами, одна смотрит в 172.16.32.0 локальную сеть, вторая через ISA 2006 в инет, адрес 192.168.1.5 Установлен OpenVPN сервер конфиг такой: код: dev tap proto tcp-server local 192.168.1.5 port 3333 tls-server mode server ifconfig 192.168.0.1 255.255.255.0 ifconfig-noexec ifconfig-pool 192.168.0.10 192.168.0.20 comp-lzo ; route-method exe ; route-delay 10 ; route 172.16.32.0 255.255.224.0 client-to-client client-config-dir C:\\OpenVPN\\config\\ccd ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt dh C:\\OpenVPN\\ssl\\dh1024.pem ca C:\\OpenVPN\\ssl\\ca.crt cert C:\\OpenVPN\\ssl\\ServerVPN.crt key C:\\OpenVPN\\ssl\\ServerVPN.key persist-tun persist-key tls-auth C:\\OpenVPN\\ssl\\ta.key 0 tun-mtu 1500 tun-mtu-extra 32 mssfix 1450 keepalive 10 120 status C:\\OpenVPN\\log\\openvpn-status.log log C:\\OpenVPN\\log\\openvpn.log verb 4 При запуске службы OpenVPN, адаптер не может получить IP - адрес, может висеть хоть 10 минут Клиент на 2000 получает адрес сразу, без всяких проблем. Может у кого есть какие идеи?

91. vinni, 27.12.2006 19:53

У меня были такие глюки, когда пакетным фильтром резался трафик DHCP на этом (tap) интерфейсе. Ещё был похожий глюк (давно было не помню) на вирт.сервере, пока выяснял пробовал даже указывать, что адаптер конфигурируется "вручную" - так работало. Чем закончилось - не помню, т.к. это был эксперимент.

92. KOCTET, 28.12.2006 00:23

vinni Вручную ради эксперемента и я пробовал, работает, надо действительно, завтра фильтры на исе посмотреть, что то я об них не подумал... Добавил правило разрешающее DHCP, все то же самое... самое смешное, что в списке сетевых плат нет адаптера OpenVPN И еще меня смущает немного запись в логе: Thu Dec 28 12:17:40 2006 ******** NOTE: Please manually set the IP/netmask of 'OpenVPN' to 192.168.0.1/255.255.255.0 (if it is not already set) Просят вручную установить адрес и маску сети... это у всех так или только мне повезло?

93. Star Lammer, 03.02.2007 15:11

Что-то я запутался в этих понятиях, объясните для моей задачи по соединению двух точек какой должен быть конфиг: Клиент - WinXP - LAN IP 192.168.254.222 > NAT 192.168.254.254 > INET (Динамический IP) Сервер - Win2000AS - LAN IP 192.168.192.100 > ROUTER 192.168.192.254 > NAT 192.168.254.254 > INET (Статический IP) Клиент должен получать IP из подсети 192.168.192... и роутиться на 192.168.192.254 (дабы иметь доступ к другим компам в локалке). Для этих целей нужен TAP или TUN? Как я понимаю авторизация строится на базе файла с ключем (т.е. при попытке установить соединение, если нужного ключа нет - коннект обрывается)? На стороне сервера нужно открыть NAT > 192.168.192.100:5000 UDP ? На клиенте никаких портов открывать не нужно? Почему используется UDP? Ведь TCP надежнее в плане прохождения пакетов? Насколько увеличивается объем трафика при использовании OpenVPN и насколько падает скорость? Можно ли это компенсировать используя компрессию?

94. vinni, 03.02.2007 16:48

Star Lammer Сорри, лично я не возьмусь отвечать на все Ваши вопросы - просто нет СТОЛЬКО времени на ТАКИЕ лекции. Даже чтобы понять что Вы имеете ввиду надо задать спсок доп. вопросов. Примеры конфигов в меру сил описаны в самом начале темы - FAQ: OpenVPN (было - Помогите настроить OpenVPN) !, #1 (http://forum.ixbt.com/topic.cgi?id=14:40906:1#1) Остальные вопросы относятся к БАЗОВЫМ знаниям по маршрутизации. Туда же относятся и знания о NAT-е. Авторизация может строиться самыми разными способами, самые простые - secret static.key (это "готовый" симметричный ключ шифрования) или на базе сертификатов - команды ca, cert, key или 1 команда pksc12 вместо них. UDP используется вполне лочично - 1. меньшие накладные расходы, следовательно, бОльшая производительность. 2. А надёжность связи, ЕСЛИ НАДО, гарантируется уже тем протоколом, который идёт ВНУТРИ VPN-а, то есть, например, "внутренним" TCP (если внутри VPN-а ходит IP). Увеличение объёма трафика без сжатия есть - примерно (точно надо смотреть, на память не помню) где-то +40-50 байт к каждому пакету и +2*(40-50) для пакетов близких к макс.размеру. Но используемый алгоритм сжатия легкосжимаемый трафик жмёт ВЕСЬМА НЕХИЛО, поэтому на "тупых вещах" типа ping -l 1000 наблюдается "экономия" вплоть до 50% и более процентов...

95. Star Lammer, 03.02.2007 17:25

vinni Ok! Конкретизирую тогда: Возможно каким либо образом в ifconfig прописать адреса, например, 192.168.192.2 и 192.168.192.3 ? При попытке так сделать он ругается, что адреса несоответствуют маске 255.255.255.252... и упорно хочет видеть адреса *.*.*.1 и *.*.*.2... но у меня с этим трудности, т.к. адреса вида *.*.*.1 уже заняты, а дабы иметь роутинг за пределами сервера мне нужен адрес из подсети 192.168.192. Второй вопрос - можно назначить статичный порт для входящих (обратных) коннектов на клиенте (дабы разрешить его в firewall)? И последний вопрос - как автоматизировать процесс поднятия соединения? Например при выходе компа их hibernate поднимать соединение. Scheduler?

96. AckCmd, 03.02.2007 17:32

Star Lammer Например при выходе компа их hibernate поднимать соединение. Scheduler? Насколько я знаю, выход из гибернейта не отслеживается приложениями. Впрочем, могу быть неправ.

97. Star Lammer, 03.02.2007 18:06

Чтобы сие значило? :-\ Bad LZO decompression header byte: 40 Bad LZO decompression header byte: 69 Bad LZO decompression header byte: 69 Bad LZO decompression header byte: 40 Bad LZO decompression header byte: 69

98. Karroplan, 03.02.2007 19:16

Star Lammer это значит, что на одной стороне включено сжатие, на другой отключено (в конфиге опция comp-lzo, кажись). или (у меня такое было) - на разных сторонах openvpn скомпилен с очень разными версиями liblzo. качайте исходники последней версии на обе стороны и перекомпилируйте.

99. Star Lammer, 03.02.2007 19:24

Karroplan С обоих сторон включен comp-lzo, и с обоих сторон одна и та же версия (2.1_rc1). Можно как то в режиме UDP разрешить серверу коннект только к определенному (IP) клиенту? И все же, как выдать ifconfig отличный от *.*.*.1? P.S. Никто не решил вопрос "Duplicate name exist on network" в случае если на двух интерфейсах поднят Client for microsoft networks?

100. Karroplan, 03.02.2007 19:34

Star Lammer тогда больше про "Bad LZO...." ничего посоветовать не могу... а про то как выдать клиенту определенный адрес - читать ман на тему client config dir и про опцию "ifconfig-push"

101. Star Lammer, 03.02.2007 21:16

Курил мануал, сложилось мнение что все попытки указать нужный ип никак не сочитаются с secret.key remote gw.ru dev tun ifconfig 192.168.192.10 192.168.192.11 route 192.168.0.0 255.255.0.0 secret static.key comp-lzo Добавление от 03.02.2007 22:19: Кстати, в каком случае меньше служебного трафика между клиентом и сервером - L2 (dev tun) или L3 (dev tap)?

102. vinni, 04.02.2007 16:04

Star Lammer 1. Вы ошиблись, режими наоборот - L2 = dev tap, а L3 = dev tun 2. Меньше, ес-но, в режиме L3 = dev tun Точно не помню, но вроде Bad LZO decompression было у меня и при несоответствии между клиентом и сервером параметров link-mtu tun-mtu fragment mssfix Но не на маленьких пакетах, а на больших Второй вопрос - можно назначить статичный порт для входящих (обратных) коннектов на клиенте (дабы разрешить его в firewall)? Да, это делается командой port, но только при UDP, она работает и на сервере и на клиенте Я Вам давал ссылку на первый пост, там об этом написано, хоть и не выделено. # port 1194 (сервер, клиент) - номер порта, default=1194 (на клиенте для tcp-client игнорируется и используется динамический порт) # nobind (клиент) - указание использовать динамический порт на клиенте Возможно каким либо образом в ifconfig прописать адреса, например, 192.168.192.2 и 192.168.192.3 ? При попытке так сделать он ругается, что адреса несоответствуют маске 255.255.255.252 RTFM по адресам и маскам. В сети 255.255.255.252 адрес хоста 192.168.192.3 недопустим, т.к. это броадкаст.

103. Star Lammer, 04.02.2007 23:29

Где я ошибаюсь теперь? Server: dev tun ca ca.crt cert server.crt key server.key dh dh1024.pem server 192.168.192.80 255.255.255.248 route 192.168.192.88 255.255.255.252 comp-lzo proto udp client-config-dir ccd tls-auth ta.key 0 Client: client dev tun ca ca.crt cert client.crt key client.key remote gw dev tun route 192.168.0.0 255.255.0.0 comp-lzo proto udp nobind tls-auth ta.key 1 CCD\Client: ifconfig-push 192.168.192.90 192.168.192.89 В итоге связь устанавливается, клиент получает IP адрес 192.168.192.90, добавляет маршруты: 192.168.192.81 255.255.255.255 192.168.192.89 192.168.192.90 1 192.168.192.88 255.255.255.252 192.168.192.90 192.168.192.90 30 192.168.192.90 255.255.255.255 127.0.0.1 127.0.0.1 30 По arp -a видит сервер: 192.168.192.89 00-ff-34-b5-c6-c5 dynamic На сервере маршруты странные: 192.168.192.80 255.255.255.252 192.168.192.81 192.168.192.81 1 192.168.192.81 255.255.255.255 127.0.0.1 127.0.0.1 1 Но даже если добавить: 192.168.192.90 255.255.255.255 192.168.192.81 192.168.192.81 1 То клиент не пингуется, сервер соответственно тоже. В чем тут проблема? P.S. Кроме того на клиенте появляется такое сообщение: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. Чего ему нехватает, есть же "tls-auth"?

104. vinni, 05.02.2007 00:28

server 192.168.192.80 255.255.255.248 В этом параметре обычно указывается ВСЯ сеть, включая как сам сервер (он сам себе возьмёт первую /30 сеть из этого диапазона), так и всех клиентов. А в Вашем случае клиент со своей сетью 192.168.192.88/30 (ifconfig-push 192.168.192.90 192.168.192.89) не входит в сеть, указанную в server. Итого, укажите более крупную сеть в server или используйте для клиента другую сеть - 192.168.192.84/30 (ifconfig-push 192.168.192.86 192.168.192.85) На сервере маршруты странные: 192.168.192.80 255.255.255.252 192.168.192.81 192.168.192.81 1 192.168.192.81 255.255.255.255 127.0.0.1 127.0.0.1 1 Но даже если добавить: 192.168.192.90 255.255.255.255 192.168.192.81 192.168.192.81 1 То клиент не пингуется, сервер соответственно тоже. В чем тут проблема? Ничего странного в маршрутах нет. Разве только то, что не хватает 192.168.192.80 255.255.255.248 192.168.192.82 192.168.192.81 1 И добавлять надо было 192.168.192.90 255.255.255.255 192.168.192.82 192.168.192.81 1 Чего ему нехватает, есть же "tls-auth"? А Вы почитайте внимательно, он же Вам даже ссылку привёл. Это методы защиты от MITM-атаки. Это всего лишь предупреждение, работать будеть и так.

105. Star Lammer, 05.02.2007 14:59

vinni 1) Насчет сети, пробовал с самого начала указывать сеть 192.168.192.80 255.255.255.240... все тоже самое, кстати в sample-config-files/server.ovpn: # Configure server mode and supply a VPN subnet # for OpenVPN to draw client addresses from. # The server will take 10.8.0.1 for itself, # the rest will be made available to clients. # Each client will be able to reach the server # on 10.8.0.1. Comment this line out if you are # ethernet bridging. See the man page for more info. server 10.8.0.0 255.255.255.0 EXAMPLE: Suppose you want to give # Thelonious a fixed VPN IP address of 10.9.0.1. # First uncomment out these lines: ;client-config-dir ccd ;route 10.9.0.0 255.255.255.252 # Then add this line to ccd/Thelonious: # ifconfig-push 10.9.0.1 10.9.0.2 Т.е. сеть сервера явно не включает сеть клиента... 2) Даже с такими маршрутами: Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 192.168.192.1 192.168.192.100 10 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.192.0 255.255.255.0 192.168.192.100 192.168.192.100 10 192.168.192.80 255.255.255.240 192.168.192.82 192.168.192.81 1 192.168.192.81 255.255.255.255 127.0.0.1 127.0.0.1 1 192.168.192.90 255.255.255.255 192.168.192.82 192.168.192.100 1 192.168.192.100 255.255.255.255 127.0.0.1 127.0.0.1 10 192.168.192.255 255.255.255.255 192.168.192.81 192.168.192.81 1 192.168.192.255 255.255.255.255 192.168.192.100 192.168.192.100 10 224.0.0.0 224.0.0.0 192.168.192.81 192.168.192.81 1 224.0.0.0 224.0.0.0 192.168.192.100 192.168.192.100 10 255.255.255.255 255.255.255.255 192.168.192.100 192.168.192.100 1 Default Gateway: 192.168.192.1 Не пингуют они друг друга... странная ситуация, уже и ключи заново генерил, а с таким конфигом все работает: remote gw 33333 dev tun ifconfig 192.168.192.90 192.168.192.89 secret static.key route 192.168.0.0 255.255.0.0 comp-lzo Правда иногда возникают такие ошибки: Mon Feb 05 20:39:24 2007 TCP/UDP: Incoming packet rejected from GW:4008 3[2], expected peer address: GW:33333 (allow this incoming source addre ss/port by removing --remote or adding --float) На сервере жестко прописан PORT 33333

106. vinni, 05.02.2007 23:13

Т.е. сеть сервера явно не включает сеть клиента... Ок, пока убедили. Просто я с этим неэкспериментировал. Но при таком раскладе действительно надо добавлять соотв. маршруты. 192.168.192.90 255.255.255.255 192.168.192.82 192.168.192.100 1 А с какой радости здесь указан интерфейс 192.168.192.100, а не 192.168.192.81 ? Допускаю, что это так добавился маршрут самим OpenVPN-ом. Собственно, никто и не обещал корректную работу с перекрывающимися сетями. Изучите вопрос ручного добавления или корректировки этого маршрута к виду: route add 192.168.192.90 mask 255.255.255.255 192.168.192.82 IF <номер_интерфейса_192.168.192.81> <номер_интерфейса_192.168.192.81> находится из route print при помощи натренированного глаза или ipconfig /all Я задачу не пойму? Что Вы хотите? Заставить OpenVPN-сервер выдавать OpenVPN-клиентам адреса из существующей сети "192.168.192.0 255.255.255.0 192.168.192.100 192.168.192.100 10" ? А последствия представили? Для нормальной работы с остальными хостами этой сети на интерфейсе 192.168.192.100 должен быть proxy-ARP, иначе хосты сети 192.168.192.0/24 никогда не найдут OpenVPN-клиентов. Или же на всех хостах сети 192.168.192.0/24 должен быть ЯВНО прописан маршрут на OpenVPN-сети: 192.168.192.80 255.255.255.240 192.168.192.100 192.168.192.x

107. Star Lammer, 06.02.2007 00:02

Про издержки роутинга к клиентам на 192.168.192.0 знаю, но пока это единственный вариант, т.к. их конфигурацию я изменить могу, а конфигурацию роутера нет. Кстати столкнулся с тем, что через udp socket timeout (5 минут) NAT принудительно разрывает соединение, несмотря на настройки keepalive 50 120 на сервере. Пинг между сервером и клиентом ходит, т.е. по идее при прохождении пингов NAT должен увеличивать время жизни открытого сокета? Если принудительно запускаю ping 192.168.192.89 -t, то соединение спокойной переживает 5 минутный рубеж. Видимо придется переходить на TCP, сильно увеличит накладные расходы? P.S. В случае использования secret static.key какие есть возможности по увеличение безопасности на этапе установки соединения? Ключ tls-auth можно использовать только в режиме server. Из доступных вижу фильтрацию по remote host, но тут опять только в tcp...

108. vinni, 06.02.2007 00:27

Видимо придется переходить на TCP, сильно увеличит накладные расходы? У меня 1 сервер работает L2 (dev tap) по ТСР (необходимо для правильной маршрутизации в 3 defGW) - кое-какие странности есть под нагрузкой, пока не разобрался до конца. В случае использования secret static.key какие есть возможности по увеличение безопасности на этапе установки соединения? 1. auth-user-pass-verify, но я не знаю, работает ли эта команда при secret static.key. Кроме того, она влияет на ВСЕХ клиентов. Пароль ввести можно только вручную (ввод с ком.строки возможен только с иной компиляцией openvpn.exe) 2. Можно поставить пароль на закрытый ключ пользователя. Его ввести можно только вручную (ввод с ком.строки возможен только с иной компиляцией openvpn.exe). Правда пользователь сам может и изменить этот пароль (если у него есть права на запись в файл секр. ключа) 3. Никто не мешает реализовать аналог "фильтрации командой remote" средствами внешнего фильтра 4. А в чём сложности перейти на сертификаты? В целом непонятны "возможности по увеличение безопасности" - от кого? От внешнего злоумышленника? Или от чайницкого юзера? Или от злостного юзера?

109. Star Lammer, 06.02.2007 01:06

Вообще с сервером что-то странное происходит, через каждые 3 минуты: Tue Feb 06 00:28:04 2007 Inactivity timeout (--ping-restart), restarting Tue Feb 06 00:28:04 2007 SIGUSR1[soft,ping-restart] received, process restarting Кого он пингует по keepalive? IP удаленного клиента? Ping.exe работает без проблем... видимо у него какие-то несрастухи внутри? 1,2. Каждый раз вводить руками пароль лениво, а оставлять его в plaintext тоже моветон. 4. Сложность описана мессагами выше - не работает роутинг и все. Какие уже пляски не устраивал с route add. Уже начинаю думать, что ключ до клиента доходит в битом виде, но ведь тогда бы DHCP не выдавал IP? Безопасность - от внешнего злоумышленника. Все таки большая "дырка" во внутреннюю сеть, если что... Кстати, бывали, за все время существования, у OpenVPN критические уязвимости?

110. vinni, 06.02.2007 01:39

Кстати, бывали, за все время существования, у OpenVPN критические уязвимости? Не так давно им пользуюсь, не следил. Безопасность - от внешнего злоумышленника. Все таки большая "дырка" во внутреннюю сеть Навесь внутрь OpenVPN ещё 1 тунель или "транспорт" - IPSec AES-256 (только поддержку AES-256 надо где-нибудь нарыть)

111. Star Lammer, 06.02.2007 22:40

vinni вроде бы разобрался... осталось научить сервер при подъеме клиента добавлять до него маршрут. допустим сервер: server 192.168.192.80 255.255.255.248 ССD для клиента ifconfig 192.168.192.90 192.168.192.89 Сервер получает 192.168.192.81, соответственно когда поднимается линк, сервер получает адрес 192.168.192.82 для общения с клиентской сетью 192.168.192.88 255.255.255.252. Но вот как заставить его при этом прописать в таблицу маршрутизации: 192.168.192.88 mask 255.255.255.252 gw 192.168.192.82 interface 192.168.192.81 ??? Как я понимаю команда route в конфиге имеет только два параметра IP & MASK, а шлюз не указывается...

112. vinni, 06.02.2007 23:02

Своё ИМХО я уже говорил - OpenVPN не предполагал использование пересекающихся подсетей. Поэтому и route проедполагает "обычный". Мало того, скажу Вам больше - не прокатит даже "route -p", т.к. Windows не заносит в реестр информацию об указанном в команде интерфейсе. И после отключения интерфейса (в этом не уверен, но после перезагрузки так и будет, на эти грабли наступал) она будет пытаться применить этот маршрут уже без параметра IF. Могу предложить посмотреть что там по поводу скриптов - нет ли возможности исполнять скрипт после коннекта клиента. Если есть, то в скрипте делать route delete ненужного маршрута и route add нужного. Только я не понял почемы Вы подчеркнули именно "gw 192.168.192.82", Вам ведь не этот параметр "мешает" (этот шлюз то указан правильно), а IF (потому как шлюз доступен не по тому интерфейсу) Добавление от 06.02.2007 23:07: Кстати, А кто Вам мешает сразу после старта задать маршрут route add 192.168.192.90 mask 255.255.255.255 192.168.192.82 IF <номер_интерфейса_192.168.192.81> И по барабану, что клиент ещё не подключился... А в CCD для клиента и в конфиге сервера пусть аналогичный маршрут прописывается для подсети 192.168.192.88 mask 255.255.255.252. В итоге, OpenVPN с одной стороны будет знать в какой тунель пихать эту сеть, а windows будет корректно заправлять 192.168.192.90/32 в нужный интерфейс.

113. Star Lammer, 06.02.2007 23:20

Пересекающиеся подсети тут ровным счетом непричем. Если ставлю server 10.0.8.0 255.255.255.0, то первый же клиент получает адрес 10.0.8.6 (из подсети 10.0.8.4/255.255.255.252), но на сервере в таблицу маршрутизации ничего про 10.0.8.4 или 10.0.8.6 не добавляется! Вот в чем проблема... Пока сделал persistent route, но Вы уже и тут поспешили меня огорчить :) А как добавлять маршрут после запуска openvpn? Где-то читал в мануале про скрипты, но разве под Win32 они работают? P.S. Не было опыта по указанию dependencies для сервисов? Надо отсрочить запуск openvpn... В реестре в HLM\SYSTEM\CurContrSer\Services указываю для сервиса DependOnService, в свойствах сервисов прописываются значения, и для зависимого и для зависящего... однако после перезагрузки в логе вижу, что сначала по таймауту не ответил зависимый, а потом уже запустился зависящий... Бред?

114. vinni, 06.02.2007 23:31

Пересекающиеся подсети тут ровным счетом непричем. Если ставлю server 10.0.8.0 255.255.255.0, то первый же клиент получает адрес 10.0.8.6 (из подсети 10.0.8.4/255.255.255.252), но на сервере в таблицу маршрутизации ничего про 10.0.8.4 или 10.0.8.6 не добавляется! Вот в чем проблема... Вот уж не надо валить с больной головы на здоровую! Ещё при старте сервера он добавит маршрут НА ВСЮ СЕТЬ 10.0.8.0 255.255.255.0, после этого если не корявить руками маршруты, то добавлять маршруты для каждого клиента незачем! А Вы же пытаетесь ему навязать, что его интерфейсы и сети 192.168.192.81/28 и т.д. 192.168.192.80 255.255.255.240 192.168.192.82 192.168.192.81 1 192.168.192.81 255.255.255.255 127.0.0.1 127.0.0.1 1 192.168.192.90 255.255.255.255 192.168.192.82 192.168.192.100 1 лежат внутри сети существующего интерфейса! 192.168.192.100/24 192.168.192.0 255.255.255.0 192.168.192.100 192.168.192.100 10 192.168.192.100 255.255.255.255 127.0.0.1 127.0.0.1 10 Вот отсюда и все пляски с бубном. Или Вы этого так и не поняли? Добавление от 06.02.2007 23:37: Я бы вышел из положения так - поставил бы в Tasks задачу в расписание - запуск скрипта. Скрипт запускает типа ~ "start openvpn", ждёт или тупо по таймеру или интеллектуально определяет появление интерфейса, затем исполняет route add. Или ещё тупее - 2 скрипта в Tasks - первый стартует openvpn, второй стартует смену маршрутов.

115. Star Lammer, 07.02.2007 00:19

Все гораздо проще! Для server указываем любую свободную сетку например 10.10.10.0 255.255.255.0, клиента оставляем в 192.168.192.88, и в роутинг персистентом добавляем route 192.168.192.88 mask 255.255.255.252 10.10.10.2 и все прекрасно переживает перезагрузку...

116. vinni, 07.02.2007 11:34

Кстати, да. Так лучше , а я что-то и не допёр.

117. Star Lammer, 07.02.2007 12:31

Только маршрут и на клиенте надо прописывать персистентом, а то после того как винда зафиксирует падение интерфейса (долговременная пропажа линка, хибернейт) - вся роутинговая инфа внесенная openvpn сносится, хотя висящий резидентно openvpn при первой же возможности линк поднимает, однако маршруты не добавляет. И вторая проблема - это DNS, опять же, винда живет по своим правилам. При поднятии линка OpenVPN (для него прописан удаленный DNS) винда отказывается резолвить имена. Причем иногда по nslookup уже сразу виден удаленный DNS, а explorer пытается пробивать адреса "через свои источники"... Если пойти в Network connections > Advanced settings поднять-опустить OpenVPN, то резолв имен централизованно переходит на удаленный DNS... :) Пока не нашел ничего лучше, чем обильно дополнить виндовый hosts нужными именами...

118. Star Lammer, 08.02.2007 23:14

Обратил внимание, что в Event Log > System после каждого поднятия интерфейса (на клиенте или на сервере, все равно) возникает такое сообщение: The IP address lease 10.10.10.1 for the Network Card with network address 00FF33B5C65 has been denied by the DHCP server 10.10.10.2 (The DHCP Server sent a DHCPNACK message). С чего бы это? Диапазоны нигде не пересекаются... P.S. Кстати, к вопросу о ключах (*.key), почему если изменить в теле ключа несколько символов (2-3 не больше!) OVPN все равно продолжает по этим ключам работать?

119. vinni, 08.02.2007 23:22

Про DHCP видел, но не разбирался - это "внутреннее дело" между интерфейсом и самим OpenVPN-ом. О ключах. Это, наверное, специальные "невоенные" ключи с ослабленным шифрованием!

120. Adik, 11.02.2007 00:43

Спасибо Vinni за помощь. Теперь по теме: В моем последнем сообщении я приводил пример конфигурации: Выбрал режим моста [h]сервер[/h]: dev tap ifconfig ???????? - Что должно стоять сдесь в резиме моста? какие адресса надо выбрать? secret key.txt port 1194 verb 4 mute 10 comp-lzo keepalive 10 120 Клиент: remote 83.X.X.X. - внешний адрес WAN dev tap ifconfig 192.168.0.100 - В режиме моста этот адрес должен совпадать с IP-адресом локальной сети. Значит в моем случае я долзен указать любой свободный адрес из моей LAN (192.168.0.100 -192.168.0.199)? Локальный адрес моего сервера192.168.0.101 Здесь непонятно secret key.txt port 1194 verb 4 mute 10 comp-lzo keepalive 10 120 При написании етой конфигурации исходил отсюда: http://old.osp.ru/win2000/506_36.htm И там написано сто в режиме моста на клиентской стороне адрес ifconfig должен совпадать с IP-адресом локальной сети. Ты же написал так: "Вы средстами Win объединяете в мост "TAP-Win32 Adapter V8" со своим LAN-адаптером (при этом ни на "TAP-Win32 Adapter V8" ни на LAN не будет IP-протокола) - в результате появится новый интерфейс, и уже на нём будет IP-протокол и ему Вы назначите тот IP, который раньше был на LAN" Чтоже из етого следует, какой же адрес писать? И правильно ли я понял пункт 4 из ФАQ применительно к моим адрессам [h]сервер[/h] server-bridge 192.168.0.1 255.255.255.0 192.168.1.190 192.168.1.199 # в предыд.команде 192.168.0.1 255.255.255.0 это шлюз из лок.сети во внеш.сети и маска,t.e IP адрес роутера # 192.168.1.190 192.168.1.199 - диапазон для VPN-хостов [h]клиент[/h] ca ca.crt # ca "C:\\Program Files\\OpenVPN\\config\\ca.crt" cert client.crt key client.key # секретный файл dev tap client remote server.com 1194 # Здесь не ясно что писать в моем случае? remote 83.X.X.X 1194 - внешний адрес WAN ______________________________________________________ У меня роутер выдает IP адресса LAN #Ето только информация Если же делать по простейшей конфигурации то единственно что нужно так ето настроить PortForwarding в роутере на стороне сервера.

121. vinni, 11.02.2007 03:44

1. Повторяю, я не проверял dev tun совместно со static.key. Давайте на Вас и поэкспериментируем 2. Устанавливаете OpenVPN, ставьте со всеми опциями. цитата: а. Установочный пакет OpenVPN для Windows http://openvpn.net/release/openvpn-2.0.9-install.exe или выбрать его же или аналогичный или более новую версию на странице http://openvpn.net/download.html) b. Программа управления OpenVPN-GUI (http://openvpn.se/files/binary/openvpn-gui-1.0.3.exe) c. При установке драйвера виртуального сетевого адаптера ОС выдаст предупреждение (на русском или английском в зависимости от языка Вашей ОС) об отсутствии цифровой подписи драйвера и гарантий совместимости. Да, цифровой подписи нет, тем не менее соглашайтесь на установку драйвера. d. Скопировать файл openvpn-gui-1.0.3.exe в папку «C:\Program Files\OpenVPN\bin» и запустить его. Желательно также обеспечить автозапуск этого файла приемлемым для Вас способом, например, поместив ярлык на этот файл в папку автозагрузки в главном меню. 3. Предположим, сервер сейчас имеет 10.1.1.1 в сети LAN 10.1.1.0/24. 4. Делаем мост - выбираем 2 сетевых интерфейса - LAN и OpenVPN, правой кнопкой мышки - мост. Получим новый интерфейс, например, LANbridge, на него опять ставим тот же самый адрес 10.1.1.1 5. В режиме dev tap: ifconfig LocallP MASK 6. server.ovpn: ifconfig 10.1.1.1 255.255.255.0 ..... client.ovpn ifconfig 10.1.1.200 255.255.255.0 7. И правильно ли я понял пункт 4 из ФАQ применительно к моим адрессам Это вообще-то касалось режима работы сервера с сертификатами. 8. Кстати, у меня пока не сложилась полная картина организации тунеля L2 сеть-сеть для Вашего случая, то есть static.key. Вполне вероятно, нужен эксперимент. Всё ясно для вариантов dev tun или dev tap с сервером с мостовым соединением адаптеров с сертификатами и "одиночных" клиентов. А вот с вариантом сети за клиентом в режиме L2 я пока не экспериментировал.

122. Adik, 11.02.2007 21:24

[h]Vinni[/h] 3. Предположим, сервер сейчас имеет 10.1.1.1 в сети LAN 10.1.1.0/24 Значит в моем случае: 192.168.0.101 в сети LAN 192.168.0.0 6. server.ovpn: ifconfig 10.1.1.1 255.255.255.0 Значит в моем случае: ifconfig 192.168.0.101 255.255.255.0 client.ovpn ifconfig 10.1.1.200 255.255.255.0 Значит в моем случае: ifconfig 192.168.0.200???? # В роутер в разделе DHCP стоит сто адреса выдаются в диапазоне: 192.168.0.100 - 192.168.0.199. 192.168.0.1 - адрес самого роутера т.е gateway. Tak???? 8. На сегодня вариант соединения сети за клиентом не стоит. Задача соеденить одиночный клиент с сервером или сетью за сервером (сеть- рабочая группа с роутером) Добавление от 11.02.2007 21:48: Или я что-то не понимаю. 10.1.1.0 - ето адрес нашей виртуальной подсети? И он не должениспользоваться в реальной локальной сети.

123. vinni, 12.02.2007 11:48

6. Да. Но надо будет посмотреть что он скажет. Я то у себя использую команду server-bridge

124. AlekseyK, 18.02.2007 10:41

Подскажите, пожалуйста, как установить TAP-Win32 Driver под Vista x64 ? Он не запускается с кодом 48 (заблокирован, поскольку известно, что он не может нормально работать под управлением Windows)

125. Star Lammer, 21.02.2007 00:19

Кстати, а почему не рекомендуется пользоваться функцией Disable для отключения клиента, а рекомендуется отзыв сертификата? Клиент может как-то изменить "common name"? --disable Disable a particular client (based on the common name) from connecting. Don't use this option to disable a client due to key or password compromise. Use a CRL (certificate revocation list) instead (see the --crl-verify option).

126. vinni, 21.02.2007 15:25

По идее, CN клиент изменить не может, т.к. сертификат клиента подписан CA Но с другой стороны, автор OpenVPN в этой кухне "шарит" неизмеримо больше меня и просто так предупрежрать о возможности "key or password compromise" не станет.

127. Tsp, 21.02.2007 18:58

вопрос к гуру: у меня стали дублироваться записи в ipp.txt, в начале файла у клиента одна сеть, в конце файла другая , правка и рестарт не помогают, собственно для меня этот файл важен т.к. есть клиенты которым нужны привилегии отличные от дефолтных. В чем может быть причина?

128. Star Lammer, 23.02.2007 20:17

А есть идеи как при поднятии OVPN соединения добавлять (включать) proxy в internet explorer, а при падении соединения удалять (отключать) proxy в ie - проще говоря нужно запускать некий скрипт при установке и разрыве соединения? При условии, что OpenVPN запущен резидентно ввиде сервиса.

129. vinni, 24.02.2007 02:01

Star Lammer добавлять (включать) proxy в internet explorer По большому счёту это конечно здесь ОФФТОП... Приведу не решение, а лишь мысли. 1. Определение факта установки/разрыва OpenVPN-соединения не рассматриваю. 2. Для изменения настроек прокси в объекте Win32_Proxy есть функуция: цитата: Function SetProxySetting ([in]ProxyPortNumber As string, [in]ProxyServer As string) As uint32 Эта функция представляет собой пакетный эквивалент указания прокси-сервера вручную через параметры подключения к Интернету Панели управления или обозреватель с помощью вкладки Подключения. Эта настройка осуществляется один раз, так что предварительно следует проверить параметры. Метод возвращает значение 0 в случае успеха и код ошибки в противном случае. Вот пример "чтения" настроек через WSH/VBS: код: On Error Resume Next strComputer = "." Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2") Set colItems = objWMIService.ExecQuery("Select * from Win32_Proxy") For Each objItem in colItems Wscript.Echo "Proxy Port Number: " & objItem.ProxyPortNumber Wscript.Echo "Proxy Server: " & objItem.ProxyServer Wscript.Echo "Server Name: " & objItem.ServerName Wscript.Echo Next Если делать на локальном компе, то WMI можно выкинуть. Добавление от 24.02.2007 02:07: Если не удастся реализовать именно отключение прокси, то вместо этого можно использовать переключение на локальный прокси (например, Proxomitron)

130. IORic, 25.02.2007 05:29

Возникла вот такая во проблемка на стадии генерации сертификата для сервера. Впринципе после этих манипуляций появляются нужные файлы код: ServerName.crt ServerName.key ServerName.csr (даже этот) код: F:\Program Files\OpenVPN\easy-rsa>vars F:\Program Files\OpenVPN\easy-rsa>clean-all Скопировано файлов: 1. Скопировано файлов: 1. F:\Program Files\OpenVPN\easy-rsa>vars.bat F:\Program Files\OpenVPN\easy-rsa>build-ca.bat Loading 'screen' into random state - done Generating a 1024 bit RSA private key .............++++++ ............................................................++++++ writing new private key to 'keys\ca.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [US]:RU State or Province Name (full name) [CA]:RU Locality Name (eg, city) [SanFrancisco]:Dubna Organization Name (eg, company) [FortFunston]:xxx Organizational Unit Name (eg, section) []:xxxxx Common Name (eg, your name or your server's hostname) []:hostname Email Address [mail@host.domain]:my@mail.ru F:\Program Files\OpenVPN\easy-rsa>vars F:\Program Files\OpenVPN\easy-rsa>build-key-server ServerName Loading 'screen' into random state - done Generating a 1024 bit RSA private key ...............++++++ .........................................++++++ writing new private key to 'keys\ServerName.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [US]:RU State or Province Name (full name) [CA]:Ru Locality Name (eg, city) [SanFrancisco]:Dubna Organization Name (eg, company) [FortFunston]:sdfg Organizational Unit Name (eg, section) []:xxx Common Name (eg, your name or your server's hostname) []:hostname Email Address [mail@host.domain]:my@mail.ru Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:123456 An optional company name []:123456 Using configuration from openssl.cnf Loading 'screen' into random state - done Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryName :PRINTABLE:'RU' stateOrProvinceName :PRINTABLE:'Ru' localityName :PRINTABLE:'Dubna' organizationName :PRINTABLE:'sdfg' organizationalUnitName:PRINTABLE:'xxx' commonName :PRINTABLE:'hostname' emailAddress :IA5STRING:'my@mail.ru' The stateOrProvinceName field needed to be the same in the CA certificate (RU) and the request (Ru) Не удается найти F:\Program Files\OpenVPN\easy-rsa\keys\*.old F:\Program Files\OpenVPN\easy-rsa> Но вопрос мой вот в чём *.old это что за файл такой и для чего он нужен? Или я мож чё не правильно делаю.

131. vinni, 26.02.2007 00:54

IORic Там же в самом коммандном файле build-key-server.bat всё написано: цитата: ... rem delete any .old files created in this process, to avoid future file creation errors del /q %KEY_DIR%\*.old Просто удаляют за собой "рабочий" мусор, а в данном случае его не оказалось. Всё нормально.

132. leog, 06.03.2007 16:41

Помогите разобраться со следующей ситуацией. Задача: надо скрыть от провайдера что народ пользуется VoIP. Меня просили поставить VPN, чтоб клиенты на Windows XP могли бы по туннелю выходить в интернет и работать с определенным сервером. Я поставил OpenVPN на Fedora Core 2, создал ключи. Запутался с конфиг файлом-что использовать routing or bridged mode. Подскажите пожалуйста.

133. vinni, 08.03.2007 01:44

leog Судя по всему, Вы просто "запутались с конфиг файлом" Какой вопрос, такой и ответ

134. owners, 12.03.2007 03:37

Помогите c настройкой Openvpn на базе VPS с root-доступом Ситуация такая. Сервер: Есть удаленный VPS с centos-4-i386 на котором установлен OpenVPN. Выход в инет я так понимаю прямой. Клиент: У меня есть 2 компа в локалке подключаемые в инет через ADSL модем IP модема 192.168.1.1 1 комп 192.168.1.2 WinXP SP2 2 комп 192.168.1.3 WinXP SP2 Задача 1.направить весь мой трафик через openvpn тунель(т.е. все приложения: браузер, почтовая программа и т. д. должны ходить в Интернет через тунель.), 2.иметь ip адрес не свой родной, а иностранный, 3.шифрование трафика. Устанавливал и настраивал VPS и openvpn на компе по инструкциям которыt нарыл на форумах. в частности здесь http://dedicatesupport.com/?p=8 В результате клиент коннектится, устанавливается соединение, клиент получает IP 10.8.0.6, сервер(10.8.0.1) пингуется, клиент сам себя пингует(но не всегда), выйти в нет не получается.... :( прилагаю конфигурацию на обеих сторонах - и на сервере и на клиенте Server.ovpn proto udp dev tun port 1194 ca ca.crt cert server.crt key server.key dh dh1024.pem mode server server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "redirect-gateway def1" push "dhcp-option DNS 10.8.0.1" push "dhcp-option WINS 10.8.0.1" keepalive 10 120 cipher DES-EDE3-CBC # Triple-DES comp-lzo user nobody group nobody persist-key persist-tun verb 0 --------------------------------------------------------------- client proto udp remote ip..my.servera port 1194 dev tun resolv-retry infinite route-method exe #route-gateway 10.8.0.1 #пробовал разные комбинации настроек #dhcp-option DNS 10.8.0.1 #redirect-gateway #ip-win32 netsh #route-delay 10 persist-key persist-tun ca ../keys/ca.crt cert ../keys/client3.crt key ../keys/client3.key cipher DES-EDE3-CBC # Triple-DES comp-lzo verb 3 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ ipconfig /all до установки ovpn-соединения. Windows IP Configuration Host Name . . . . . . . . . . . . : bigdude Primary Dns Suffix . . . . . . . : Node Type . . . . . . . . . . . . : Unknown IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No Ethernet adapter Local Area Connection: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Marvell Yukon Gigabit Ethernet 10/10 0/1000Base-T Adapter, Copper RJ-45 Physical Address. . . . . . . . . : 00-0F-EA-E9-1D-30 Dhcp Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 192.168.1.2 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.1.1 DNS Servers . . . . . . . . . . . : MY RODNOI PROVIDER DNS MY RODNOI PROVIDER DNS Ethernet adapter TAP VPN: Media State . . . . . . . . . . . : Media disconnected Description . . . . . . . . . . . : TAP-Win32 Adapter V8 Physical Address. . . . . . . . . : 00-FF-8E-46-A2-C0 ---------------------------------------------------------------------------- ipconfig /all и route print установки ovpn-соединения. Windows IP Configuration Host Name . . . . . . . . . . . . : bigdude Primary Dns Suffix . . . . . . . : Node Type . . . . . . . . . . . . : Unknown IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No Ethernet adapter Local Area Connection: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Marvell Yukon Gigabit Ethernet 10/10 0/1000Base-T Adapter, Copper RJ-45 Physical Address. . . . . . . . . : 00-0F-EA-E9-1D-30 Dhcp Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 192.168.1.2 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.1.1 DNS Servers . . . . . . . . . . . : MY RODNOI PROVIDER DNS MY RODNOI PROVIDER DNS Ethernet adapter TAP VPN: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : TAP-Win32 Adapter V8 Physical Address. . . . . . . . . : 00-FF-8E-46-A2-C0 Dhcp Enabled. . . . . . . . . . . : Yes Autoconfiguration Enabled . . . . : Yes IP Address. . . . . . . . . . . . : 10.8.0.6 Subnet Mask . . . . . . . . . . . : 255.255.255.252 Default Gateway . . . . . . . . . : 10.8.0.5 DHCP Server . . . . . . . . . . . : 10.8.0.5 DNS Servers . . . . . . . . . . . : 10.8.0.1 Lease Obtained. . . . . . . . . . : Sunday, March 11, 2007 12:06:48 PM Lease Expires . . . . . . . . . . : Monday, March 10, 2008 12:06:48 PM ------------------------------------------- route print =========================================================================== Interface List 0x1 ........................... MS TCP Loopback interface 0x4 ...00 0f ea e9 1d 30 ...... Marvell Yukon Gigabit Ethernet 10/100/1000Base-T Adapter, Copper RJ-45 - Packet Scheduler Miniport 0x5 ...00 ff 8e 46 a2 c0 ...... TAP-Win32 Adapter V8 - Packet Scheduler Miniport =========================================================================== =========================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 128.0.0.0 10.8.0.5 10.8.0.6 1 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.2 20 10.8.0.1 255.255.255.255 10.8.0.5 10.8.0.6 1 10.8.0.4 255.255.255.252 10.8.0.6 10.8.0.6 30 10.8.0.6 255.255.255.255 127.0.0.1 127.0.0.1 30 10.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 30 ip..my.servera 255.255.255.255 192.168.1.1 192.168.1.2 1 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 128.0.0.0 128.0.0.0 10.8.0.5 10.8.0.6 1 192.168.1.0 255.255.255.0 192.168.1.2 192.168.1.2 20 192.168.1.2 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.1.255 255.255.255.255 192.168.1.2 192.168.1.2 20 192.168.49.0 255.255.255.0 192.168.49.1 192.168.49.1 20 192.168.49.1 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.49.255 255.255.255.255 192.168.49.1 192.168.49.1 20 192.168.220.0 255.255.255.0 192.168.220.1 192.168.220.1 20 192.168.220.1 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.220.255 255.255.255.255 192.168.220.1 192.168.220.1 20 224.0.0.0 240.0.0.0 10.8.0.6 10.8.0.6 30 224.0.0.0 240.0.0.0 192.168.1.2 192.168.1.2 20 224.0.0.0 240.0.0.0 192.168.49.1 192.168.49.1 20 224.0.0.0 240.0.0.0 192.168.220.1 192.168.220.1 20 255.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 1 255.255.255.255 255.255.255.255 192.168.1.2 192.168.1.2 1 255.255.255.255 255.255.255.255 192.168.49.1 192.168.49.1 1 255.255.255.255 255.255.255.255 192.168.220.1 192.168.220.1 1 Default Gateway: 10.8.0.5 =========================================================================== Persistent Routes: None 10.8.0.1 s WINXP pinguetsa 10.8.0.6 na etot raz ne pinguetsa tracert 194.87.0.50 -d (это www.ru) - с WinXP не работает! ping 10.8.0.1 со стороны сервера проходит Sun Mar 11 12:06:41 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006 Sun Mar 11 12:06:41 2007 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. Sun Mar 11 12:06:41 2007 LZO compression initialized Sun Mar 11 12:06:41 2007 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ] Sun Mar 11 12:06:41 2007 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ] Sun Mar 11 12:06:41 2007 Local Options hash (VER=V4): '827c9ed0' Sun Mar 11 12:06:41 2007 Expected Remote Options hash (VER=V4): '974bef3f' Sun Mar 11 12:06:41 2007 UDPv4 link local (bound): [undef]:1194 Sun Mar 11 12:06:41 2007 UDPv4 link remote: ip..my.servera:1194 Sun Mar 11 12:06:41 2007 TLS: Initial packet from ip..my.servera:1194, sid=3de75598 95fdb21f Sun Mar 11 12:06:42 2007 VERIFY OK: depth=1, /C=KG/ST=NA/L=BISHKEK/O=OpenVPN-TEST/CN=_OpenVPN-CA/emailAddress=me@myhost.mydomain Sun Mar 11 12:06:42 2007 VERIFY OK: depth=0, /C=KG/ST=NA/O=OpenVPN-TEST/CN=server/emailAddress=me@myhost.mydomain Sun Mar 11 12:06:45 2007 Data Channel Encrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key Sun Mar 11 12:06:45 2007 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Sun Mar 11 12:06:45 2007 Data Channel Decrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key Sun Mar 11 12:06:45 2007 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Sun Mar 11 12:06:45 2007 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA Sun Mar 11 12:06:45 2007 [server] Peer Connection Initiated with ip..my.servera:1194 Sun Mar 11 12:06:46 2007 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1) Sun Mar 11 12:06:46 2007 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS 10.8.0.1,route 10.8.0.1,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5' Sun Mar 11 12:06:46 2007 OPTIONS IMPORT: timers and/or timeouts modified Sun Mar 11 12:06:46 2007 OPTIONS IMPORT: --ifconfig/up options modified Sun Mar 11 12:06:46 2007 OPTIONS IMPORT: route options modified Sun Mar 11 12:06:46 2007 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified Sun Mar 11 12:06:46 2007 TAP-WIN32 device [TAP VPN] opened: \\.\Global\{8E46A2C0-D2A8-439F-81FB-13C0891DF1EA}.tap Sun Mar 11 12:06:46 2007 TAP-Win32 Driver Version 8.4 Sun Mar 11 12:06:46 2007 TAP-Win32 MTU=1500 Sun Mar 11 12:06:46 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {8E46A2C0-D2A8-439F-81FB-13C0891DF1EA} [DHCP-serv: 10.8.0.5, lease-time: 31536000] Sun Mar 11 12:06:46 2007 Successful ARP Flush on interface [5] {8E46A2C0-D2A8-439F-81FB-13C0891DF1EA} Sun Mar 11 12:06:46 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down Sun Mar 11 12:06:46 2007 Route: Waiting for TUN/TAP interface to come up... Sun Mar 11 12:06:47 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down Sun Mar 11 12:06:47 2007 Route: Waiting for TUN/TAP interface to come up... Sun Mar 11 12:06:48 2007 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up Sun Mar 11 12:06:48 2007 route ADD ip..my.servera MASK 255.255.255.255 192.168.1.1 Sun Mar 11 12:06:49 2007 route ADD 0.0.0.0 MASK 128.0.0.0 10.8.0.5 Sun Mar 11 12:06:49 2007 route ADD 128.0.0.0 MASK 128.0.0.0 10.8.0.5 Sun Mar 11 12:06:49 2007 route ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5 Sun Mar 11 12:06:49 2007 Initialization Sequence Completed В чем может быть проблема. Насколько я понял оснвная проблема в настроейке роутинга. Знаю, что и на сервере нужно еще задать нужные роутинги (но не знаю как, не силен в Linux). Может быть подскажете, как заставить это все-таки работать?

135. vinni, 12.03.2007 10:36

owners Лично я при беглом просмотре проблем на стороне клиента не заметил, redirect-gateway def1 отработал корректно - маршрут на сервер переписал, 2 новых маршрута /1 добавил. Остальное зависит от сервера. DNS, надеюсь, на сервере 10.8.0.1 поднят? Теперь надо на сервере настроить доступ к интернету для сети 10.8.1/24 cipher DES-EDE3-CBC # Triple-DES - Шифрование не самое стойкое. Хотя, конечно, для многих целей и достаточное.

136. owners, 12.03.2007 15:45

DNS, надеюсь, на сервере 10.8.0.1 поднят? не поднят... потому что я не знаю как его поднять, поясни если можно поподробнее.... какое шифрование порекомендуешь? Добавление от 12.03.2007 15:48: vinni, помоги чем сможешь,please, я смотрю ты в этой ветке гуру по VPN Добавление от 12.03.2007 15:50: я такую строку забивал.... iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

137. vinni, 12.03.2007 16:25

DNS не поднят... потому что я не знаю как его поднять, поясни если можно поподробнее.... Это даже под Windows можно сделать разными способами, а уж под *nix-ами и подавно... Как вариант, для начала посмотрите какой DNS используется на самом сервере и его же адрес забейте в команду push dhcp-option DNS ты в этой ветке гуру по VPN Я сам в шоке Только сегодня заметил, что меня "возвели в ранг куратора". Это, видать, координатор "причесал тему", заодно и добавил вверху ссылку на FAQ. iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE Сорри, по *nix не проконсультирую Может AckCmd заглянет и подскажет? tracert 194.87.0.50 -d (это www.ru) - с WinXP не работает! Кстати, что значит "не работает"? Что выводит?

138. AckCmd, 12.03.2007 16:34

Может AckCmd заглянет и подскажет?Может AckCmd заглянет и подскажет?[/i] А чего надо-то tracert 194.87.0.50 -d (это www.ru) - с WinXP не работает! А на чем затыкается? и кстати: iptables-save > /root/ipt.txt Содержимое файла /root/ipt.txt сюда, будем посмотреть. Ну и ifconfig тоже.

139. owners, 12.03.2007 16:35

eще вопросик, какую OС оптимально ставить на VPS / dedicated? хозяйство будет использоваться только для Onenvpn туннеля? K началу

140. AckCmd, 12.03.2007 16:37

какую OС оптимально ставить на VPS Уууу, батенька, это во-первых не по теме форума, а во-вторых нарушение моратория на религиозные войны.

141. owners, 12.03.2007 16:42

Содержимое файла /root/ipt.txt # Generated by iptables-save v1.2.11 on Mon Mar 12 13:39:56 2007 *nat :pREROUTING ACCEPT [10758:1303744] :pOSTROUTING ACCEPT [89:4931] :oUTPUT ACCEPT [89:4931] -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE COMMIT # Completed on Mon Mar 12 13:39:56 2007 # Generated by iptables-save v1.2.11 on Mon Mar 12 13:39:56 2007 *mangle :pREROUTING ACCEPT [67669:7541875] :INPUT ACCEPT [63201:6822314] :FORWARD ACCEPT [0:0] :oUTPUT ACCEPT [68497:9423652] :pOSTROUTING ACCEPT [68497:9423652] COMMIT # Completed on Mon Mar 12 13:39:56 2007 # Generated by iptables-save v1.2.11 on Mon Mar 12 13:39:56 2007 *filter :INPUT ACCEPT [63201:6822314] :FORWARD ACCEPT [0:0] :oUTPUT ACCEPT [68497:9423652] COMMIT # Completed on Mon Mar 12 13:39:56 2007 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ ifconfig eth0 Link encap:Ethernet HWaddr AA:00:05:60:82:BE inet addr:64.хх.хх.138 Bcast:64.хх.хх.255 Mask:255.255.255.0 inet6 addr: fe80::a800:5ff:fe60:82be/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1112028 errors:0 dropped:0 overruns:0 frame:0 TX packets:69418 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:71363952 (68.0 MiB) TX bytes:9805655 (9.3 MiB) lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:184 errors:0 dropped:0 overruns:0 frame:0 TX packets:184 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:611553 (597.2 KiB) TX bytes:611553 (597.2 KiB) tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:743 errors:0 dropped:0 overruns:0 frame:0 TX packets:195 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:48752 (47.6 KiB) TX bytes:14784 (14.4 KiB)

142. AckCmd, 12.03.2007 16:49

-A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE Ну Вы подчистите их, что ли, зачем Вам 4 одинаковых правила таблицу маршрутизации тоже надо, сорри, забыл сразу сказать (route)

143. owners, 12.03.2007 16:50

tracert 194.87.0.50 na WinXP pri zapuschenom VPN soedinenii Tracing route to 194.87.0.50 over a maximum of 30 hops 1 * * * Request timed out. 2 * * * Request timed out. 3

144. vinni, 12.03.2007 16:52

-A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE ... -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE А зачем 4 раза? ОС тупая, с 1 раза не понимает? Или это припев? Добавление от 12.03.2007 16:53: Опа... Уже баян 1 * * * Request timed out. Странно, а почему даже первый хоп не отвечает?

145. owners, 12.03.2007 16:54

route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 64.22.113.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0 0.0.0.0 64.22.113.1 0.0.0.0 UG 0 0 0 eth0 А зачем 4 раза? eto ja tormozil 4 raza propisival...

146. AckCmd, 12.03.2007 17:01

10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0 А 10.8.0.2 - это кто?

147. vinni, 12.03.2007 17:04

А 10.8.0.2 - это кто? Это интерфейс виртуального OpenVPN-роутера, 10.8.0.2/30, за ним живёт вся остальная сеть 10.8.0.0/24 OpenVPN в режиме tun реализует некий виртуальный маршрутизатор, на каждого клиента выделяется подсеть /30, один из адресов отдаётся клиенту, второй порту этого "вирт.роутера". Скорее всего эта особенность вытекает вследствие универсальности адаптеров - используется единообразный виртуальный tun/tap-адаптер, эмулирующий eth (точнее под Win это именно так, а под *nix судя по всему чуть иначе - судя по "encap:UNSPEC", но ноги, думаю, растут отсюда)

148. owners, 12.03.2007 17:08

c WinXp ping 10.8.0.1 proxodit 10.8.0.6 - нет(только 1 раз как-то проходил)

149. AckCmd, 12.03.2007 17:10

А, вон там какая хитрая система. 0.0.0.0 128.0.0.0 10.8.0.5 10.8.0.6 1 С учетом маски, если я еще не ошалел от безделья на рабочем месте, в туннель должны идти пакеты, направленные на IP, у которого крайний левый бит = 0. У цифры 194 крайний левый бит НЕ равен 0

150. vinni, 12.03.2007 17:12

10.8.0.6 это же локальный интерфейс на WinXP. Он же должен пинговаться при любом раскладе... Странно... Добавление от 12.03.2007 17:14: 0.0.0.0 128.0.0.0 10.8.0.5 10.8.0.6 1 128.0.0.0 128.0.0.0 10.8.0.5 10.8.0.6 1 Это OpenVPN-овский спец.хинт - "redirect-gateway def1", вместо маршрута 0/0 он ставит 2 маршрута X/1, применяют если есть проблемы с удалением текущего основного шлюза. В принципе конструкция рабочая.

151. AckCmd, 12.03.2007 17:20

Нет, точно пора чем-нибудь общественно-полезным заняться, совсем невнимательным стал Похоже подсказать ничего не могу, разве что снифером понюхать - не пытаются ли пакеты лететь мимо туннеля.

152. owners, 12.03.2007 17:21

был раньше у меня VPN, dev tap использовалось, default gateway 192.168.1.1 удалялся, оставался только gateway VPN может по схеме dev tap попробовать? а еще я вам парни скажу, даже при отключенном VPN ping 192.168.1.2 (мой локальный IP) НЕ ПРОХОДИТ!

153. vinni, 12.03.2007 17:25

owners какое шифрование порекомендуешь? Забыл... c:\Program Files\OpenVPN\bin>openvpn.exe --show-ciphers DES-CBC 64 bit default key (fixed) IDEA-CBC 128 bit default key (fixed) RC2-CBC 128 bit default key (variable) DES-EDE-CBC 128 bit default key (fixed) DES-EDE3-CBC 192 bit default key (fixed) DESX-CBC 192 bit default key (fixed) BF-CBC 128 bit default key (variable) RC2-40-CBC 40 bit default key (variable) CAST5-CBC 128 bit default key (variable) RC5-CBC 128 bit default key (variable) RC2-64-CBC 64 bit default key (variable) AES-128-CBC 128 bit default key (fixed) AES-192-CBC 192 bit default key (fixed) AES-256-CBC 256 bit default key (fixed) У Вас на WinXP никаких "хитрых" фаерволов не стоит? Странно что не пингуется 10.8.0.6 И что нет ответа от 1 хопа tracert... А попробуйте убрать def1 и оставить только push "redirect-gateway", чем чёрт не шутит?

154. owners, 12.03.2007 17:29

в конфигурации сервера push "dhcp-option DNS 64.xx.xx.1" прописал а в логе коннекта PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS 10.8.0.1 пишет..... не понимает что-ли ?? Добавление от 12.03.2007 17:30: Outpost стоит, сча отключу... Добавление от 12.03.2007 17:33: Outpost отключил, ping пошел!!!

155. vinni, 12.03.2007 17:34

owners Не трогайте dev tap, с ним ещё больше намучаетесь. Не в этом дело... AckCmd Самобичевание у нас в отдельной теме С iptables там всё в порядке? Добавление от 12.03.2007 17:35: не понимает что-ли ?? Сервер (в смысле процесс OpenVPN) надо перезапустить

156. AckCmd, 12.03.2007 17:46

С iptables там всё в порядке? Угу, НАТ есть, все ACCEPT, ничего вроде не мешает.

157. owners, 12.03.2007 17:48

perezapustil service openvpn ipconfig vidal (udalilsa default gateway 192.168.1.1) Ethernet adapter Local Area Connection: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Marvell Yukon Gigabit Ethernet 10/10 0/1000Base-T Adapter, Copper RJ-45 Physical Address. . . . . . . . . : 00-0F-EA-E9-1D-30 Dhcp Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 192.168.1.2 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : DNS Servers . . . . . . . . . . . : RODNOI DNS RODNOI DNS Ethernet adapter TAP VPN: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : TAP-Win32 Adapter V8 Physical Address. . . . . . . . . : 00-FF-8E-46-A2-C0 Dhcp Enabled. . . . . . . . . . . : Yes Autoconfiguration Enabled . . . . : Yes IP Address. . . . . . . . . . . . : 10.8.0.6 Subnet Mask . . . . . . . . . . . : 255.255.255.252 Default Gateway . . . . . . . . . : 10.8.0.5 DHCP Server . . . . . . . . . . . : 10.8.0.5 DNS Servers . . . . . . . . . . . : 10.8.0.1 Primary WINS Server . . . . . . . : 10.8.0.1 Lease Obtained. . . . . . . . . . : Monday, March 12, 2007 6:44:56 AM Lease Expires . . . . . . . . . . : Tuesday, March 11, 2008 6:44:56 AM Добавление от 12.03.2007 18:04: сейчас хотя explorer когда пишу yahoo.com перебирает yahoo.com.net yahoo.com.org yahoo.com.edu какой-то прогресс...

158. vinni, 12.03.2007 18:09

Нет, в переборе "яху" прогресса нет, это микрософтовский тупизм... Перезагрузить надо было процесс НА СЕРВЕРЕ! Вы же на нём конфиг меняли. И опять же, tracert 194.87.0.50 что кажет?

159. owners, 12.03.2007 18:21

я на сервере и перезапускал, иначе, я смотрю, изменения в конфиг файле не воспринимает racert по прежнему лежит

160. vinni, 12.03.2007 18:27

owners Чудеса... Похоже проблема перестаёт быть проблемой общего плана и вряд ли стоит развивать её здесь (это всё же форум, а не приватный чат, прошу понять правильно). Предлагаю Вам создать приватную тему и зазвать туда кого сочтёте нужным В привате проще ещё и тем, что иногда (по Вашему усмотрению) можно не прятать часть информации. В целом направление дальнейших изысканий - это мониторинг на уровне пакетов (или снифером или иными средствами IP-мониторинга)

161. owners, 12.03.2007 18:46

vinni privatnuju v smisle otdelnuju? opcii privatnaja tema neviju... sorry za glupii vopros

162. vinni, 12.03.2007 19:21

Конференция iXBT.com » Приватные темы » Приватные темы (http://forum.ixbt.com/?id=0) Там же и про правила приватных тем.

163. sst, 14.03.2007 23:26

Суть проблемы: не "пингуется" сеть за сервером OpenVpn. Условия: Сервер - freebsd 6.2 Конфигурация: цитата: dev tun server 10.8.0.0 255.255.255.0 ca /usr/local/etc/openvpn/keys/ca.crt cert /usr/local/etc/openvpn/keys/pavantage.crt key /usr/local/etc/openvpn/keys/pavantage.key dh /usr/local/etc/openvpn/keys/dh1024.pem tls-auth /usr/local/etc/openvpn/keys/static.key client-to-client cipher BF-CBC comp-lzo persist-key persist-tun #daemon user nobody group nobody log /var/log/openvpn/openvpn.log status /var/log/openvpn/openvpn-status.log verb 3 Клиент 1 - Линукс, его конфигурация: цитата: client dev tun remote 88.185.181.18 ca /usr/local/etc/openvpn/keys/ca.crt cert /usr/local/etc/openvpn/keys/promhim.crt key /usr/local/etc/openvpn/keys/promhim.key tls-auth /usr/local/etc/openvpn/keys/static.key cipher BF-CBC comp-lzo persist-key persist-tun user nobody group nobody log /var/log/openvpn/openvpn.log status /var/log/openvpn/openvpn-status.log За сервером (на одном из его интерфейсов всмысле) находится сеть 192.168.0.0/24. За линуксом сеть 192.168.10.0/24 Обе машины явяются шлюзами по умлочанию в своих сетях и раздают инет через NAT. Пакеты из локальной сети в 10.8.0.0/16 NAT не проходят (проверял). Соединение устанавливается, сервер получает адрес 10.8.0.1, линуксовый клиент 10.8.0.6 Пинговать друг друга могут. На линуксе добавляю руками маршрут: /sbin/route add -net 192.168.0.0/24 gw 10.8.0.5 Пинги до машин из сети 192.168.0.0/24 идут успешно. Глянул tcpdump'ом, источником стоит адрес 10.8.0.6 (поэтому и успешно). Для того, чтобы машины из 192.168.0.0/24 могли видеть машины из 192.168.10.0/24 надо прописать на сервере адрес шлюза для сети 192.168.10.0/24 Какой адрес прописывать? Пробовал 10.8.0.2, 10.8.0.5, 10.8.0.6 Не работает. Судя по tcpdump, пакеты в tun0 на сервере уходят, а вот на клиенте их нет. Что не так? Для эксперимента пробовал с простейшей конфигурацией, когда 1 сервер и 1 клиент (т.е. вместо параметра server прописал ifconfig), и на каждой стороне соответственно маршруты. Все заработало, клиенты из 192.168.0.0/24 видят 192.168.10.0/24. Но такой вариант не устраивает, надо чтобы клиентов было несколько, и за каждым клиентом своя сеть, которую надо видеть. Добавление от 14.03.2007 23:45: Отвечу сам себе. В нутри openvpn есть совя маршрутизация. Чтоб пускал в сети за клиентами надо в конфиге сервера указать путь до client-config-dir ccd, а там положить файл с именем клиента, с командой внутри: iroute 192.168.10.0 255.255.255.0 , где 192.168.10.0 это сеть за клиентом.

164. vinni, 15.03.2007 01:57

Да, Вы правильно сделали, именно iroute, именно на стороне сервера (на стороне клиента эта команда и не нужна, и серверу он её не передаст, и она не сработает и выдаст ошибку). И правильно сделали что написали сюда же свой же ответ В этом и смысл форума - "не знаешь - спроси, знаешь - поделись!"

165. todeus, 15.03.2007 15:45

вопрос такой, уважаемые знатоки После падения VPN тунеля , не устанавливается связь после реконнекта(висит и все тебе). Если поменяешь на серевере и клиенте номера портов-- связь устанавливается отлично? В чем проблема. И еще если старую сервис, то маршруты не добаляются, если через wingui стартуешь, то все ок.. server.ovpn dev tun dev-node tunfort proto udp port 5002 comp-lzo ping 15 verb 6 # для IPCONFIG secret "C:\\Program Files\\OpenVPN\\config\\key.txt" ifconfig 10.3.0.5 10.3.0.6 route-method exe route-delay 10 route 10.10.2.0 255.255.255.0 10.3.0.2 tun-mtu 1500 ------------------------------------------- client.ovpn dev tun proto udp dev-node tunof port 5002 comp-lzo ping 15 verb 6 secret "C:\\Program Files\\OpenVPN\\config\\key.txt" remote x.x.x.x ifconfig 10.3.0.6 10.3.0.5 route-method exe route-delay 5 route 10.10.1.0 255.255.255.0 10.3.0.5 # push "route 10.10.1.0 255.255.255.0 10.3.0.1" tun-mtu 1500

166. vinni, 15.03.2007 16:58

todeus Если поменяешь на серевере и клиенте номера портов-- связь устанавливается отлично? Это вопрос? Вы ничего не напутали в пунктуации? Я не понял сути из столь сбивчивого объяснения. Общий совет - смотрите логи, там должно быть написано что происходит. При необходимости увеличивайте значение параметра verb. Принципиальных различий в поведении запуска тунеля через сервис, openvpn.exe или openvpngui.exe лично я не замечал, кроме очевидных - различия в связи с правами уч.записей и нюансы конфигурации лога при запуске через GUI в связи в перехватом лога самим GUI. ifconfig 10.3.0.5 10.3.0.6 route 10.10.2.0 255.255.255.0 10.3.0.2 Ну и? Вы объявили интерфейс сервера 10.3.0.5, интерфейс "второго конца" 10.3.0.6, а шлюзом указываете 10.3.0.2 Тогда уж: route 10.10.2.0 255.255.255.0 10.3.0.6 Попробуйте "в довесок" к "tun-mtu 1500" добавить ещё 2 строки: fragment 1400 mssfix

167. todeus, 15.03.2007 18:02

ifconfig 10.3.0.5 10.3.0.6 route 10.10.2.0 255.255.255.0 10.3.0.2 да извините, что запутал- это ошибка вставки у меня шлюз прописан 10.3.0.6. Попробуйте "в довесок" к "tun-mtu 1500" добавить ещё 2 строки: fragment 1400 mssfix Спасибо за совет. Проверю -скажу. Под XP при старте сервиса route-method exe route-delay 5 route 10.10.1.0 255.255.255.0 10.3.0.5 данный маршрут не добавлятся в route print нет этого маршрута если запускаю через GUI ? то маршрут есть.

168. vinni, 15.03.2007 18:41

Попробуйте увеличить задержку - route-delay 10 Не далее как вчера имел то же самое, но под Win2003. Но под серверами я уже привык ставить именно 10. Ну так и покажите сюда Ваш ipconfig /all и route print после установки туннеля. Заодно и кусок лога в том месте, где проходят route add. Не брезгуйте только использовать при этом тег [ code ]

169. todeus, 16.03.2007 11:08

в win2003 тоже была ситуация что при рестарте сервиса не добавлялся маршрут. посмотрел rras, а там этого интерфейса нет, хотя в сетевом окружении он подключен, пришлось вручную добавлять. и маршрут добавился. а под winxp увеличил route-delay до 15 и вроде работает. и еще один вопрос, который еже тут задвался. Это начет того, что в system Event появляется сообщение типа The IP address lease 10.3.0.1 for the Network Card with network address 00FFB426F5CE has been denied by the DHCP server 10.3.0.2 (The DHCP Server sent a DHCPNACK message). следует на это обращать внимание? или придется мириться ?? Спасибо.

170. vinni, 16.03.2007 13:29

ИМХО, не стоит обращать внимание. Это видать, особенности упрощённой реализации и "имитации" DHCP-сервера OpenVPN-ом. При включении интерфейса Win сначала пытается продлить аренду "старого" адреса, а OpenVPN-у, видать, не было смысла делать поддрержку и обработку запросов этого типа. Вот он и отвечает для простоты DHCPNACK, а затем по штатному алгоритму просто снова даёт адрес, вполне вероятно что тот же самый ИМХО, это просто разумная экономоия сил разработчика, к тому же, чем больше кода, тем больше ошибок.

171. todeus, 16.03.2007 16:06

вполне логично , спасибо за помощь

172. todeus, 29.03.2007 17:35

OpenVPN рабоате через ADSL модем Каждый день возникают такие ошибки: Mon Feb 07 20:39:24 2007 TCP/UDP: Incoming packet rejected from GW:12222 3[2], expected peer address: GW:5005 (allow this incoming source addre ss/port by removing --remote or adding --float) На сервере жестко прописан PORT 5005 Подскажите пожалуста , что делать

173. Star Lammer, 29.03.2007 17:51

Подскажите, в случае, если на клиенте OpenVPN стартует как сервис, каким образом его можно переконфигурировать? Сейчас так - у сервера меняется IP, я запускаю скрипт на клиенте, который подсовывает в папку Config нужный .ovpn файл, затем делает рестарт OpenVPNSerivce, но проблема в том, что при рестарте сервиса виртуальный адаптер OpenVPN отключается и подключается заново, соответственно активные в данный момент соединения рвутся. Хотелось бы этого избежать.

174. vinni, 29.03.2007 18:26

todeus Он ругается на несоответствие IP или порта? А вторая сторона при этом небось за NAT-ом? Ну так ес-но, NAT транслирует порт. Покажите, если хотите, весь конфиг в этой части (или здесь или в привате) и объясните где и через какие NAT-ы находятся клиенты. Star Lammer Есть телнетовская консоль управления, в конфиге сервера задаётся так: код: --management IP port [pw-file] Enable a TCP server on IP:port to handle daemon management functions Дальше про работу в консоли читать здесь - http://openvpn.net/management.html Но, ИМХО, особых (а то и вообще никаких) возможностей по конфигурации там нет Хотя... Копать вот сюда: код: COMMAND -- signal ----------------- The signal command will send a signal to the OpenVPN daemon. The signal can be one of SIGHUP, SIGTERM, SIGUSR1, or SIGUSR2. Command example: signal SIGUSR1 -- send a SIGUSR1 signal to daemon Какой-то из этих сигнало вроде заставляет его перечитать конфиг-файл. Но клиентов он вроде всё равно обвалит. Поэкспериментировать с сигналами проще всего, запустив тунель в консольном режиме, там 4 сигнала "повешены" на кнопки F1-F4. А, вот нашёл: цитата: SIGNALS SIGHUP Cause OpenVPN to close all TUN/TAP and network connections, restart, re-read the configuration file (if any), and reopen TUN/TAP and network connections. SIGUSR1 Like SIGHUP, except don't re-read configuration file, and possibly don't close and reopen TUN/TAP device, re-read key files, preserve local IP address/port, or preserve most recently authenticated remote IP address/port based on --persist-tun, --persist-key, --persist-local-ip, and --persist-remote-ip options respectively (see above). This signal may also be internally generated by a timeout condition, governed by the --ping-restart option. This signal, when combined with --persist-remote-ip, may be sent when the underlying parameters of the host's network interface change such as when the host is a DHCP client and is assigned a new IP address. See --ipchange above for more information. SIGUSR2 Causes OpenVPN to display its current statistics (to the syslog file if --daemon is used, or stdout otherwise). SIGINT, SIGTERM Causes OpenVPN to exit gracefully. Добавление от 29.03.2007 18:32: Star Lammer Сорри, я "прошляпил" 2 Ваших нюанса: Сейчас так - у сервера меняется IP А в таком разе может правильнее будет менять "значение" FQDN в hosts? И ждать пока клиент сам пересоединится к серверу? Соответственно мой "пассаж" про консоль к клиенту не относится, это, ИМХО, только на сервере. А вот по проблеме смены IP на самом сервере я пока не готов сказать, будут ли проблемы. Кроме того, я там Выше подчеркнул про смену IP.

175. mishasat, 30.03.2007 10:32

Многоуважаемые знатоки. Появилось необходимость, через землю делать запрос, а в Интернете на выделенном арендованном сервере ответ отсылать через спутник (двустороний канал через спутник но запрос очень мал а вот прием 10Мбит). Возможно ли это с помощью ОпенВПН. Я так думаю надо 2 тунеля подымать один через землю а другой через спутник и на серваке в инете надо делать что то? вплоть до подмены айпи отправителя? и еще бы желательно что бы подтверждение о доставке было через землю тоже. Если да то буду капать дальше, если нет пойду искать дальше. За ранее спасибо.

176. todeus, 30.03.2007 10:56

Вот мои конфиги server.ovpn код: dev tun dev-node tunfom proto udp port 2153 comp-lzo ping 15 verb 10 secret "C:\\Program Files\\OpenVPN\\config\\key.txt" ifconfig 10.3.0.1 10.3.0.2 route-method exe route-delay 15 route 10.10.2.0 255.255.255.0 10.3.0.2 tun-mtu 1500 fragment 1400 mssfix client.opvpn код: dev tun proto udp dev-node tunof port 2153 comp-lzo ping 15 verb 3 secret "C:\\Program Files\\OpenVPN\\config\\key.txt" remote x.x.x.x ifconfig 10.3.0.2 10.3.0.1 route-method exe route-delay 20 route 10.10.1.0 255.255.255.0 10.3.0.1 # push "route 10.10.1.0 255.255.255.0 10.3.0.1" tun-mtu 1500 fragment 1400 mssfix сервер win2003, на нем поднят RRAS и nat. связь осуществляется чере ADSL модемы. На них тоже через нат указаны открытые порты. На клиенте (win2003) в RRAS NAT не установлен, только NAT есть на adsl модеме. Спасибо

177. vinni, 30.03.2007 11:42

mishasat 1. Вопрос изложен плохо. 2. Особенности спутниковой связи представляю, но неглубоко. Вникать, наверное, не буду. Обратитесь в темы именно по спутниковой связи. todeus Не совсем сходится то чот Вы писали выше и показанный конфиг. На какой стороне то хоть ошибки лезут, на сервере или на клиенте? Варианты: 1. На клиенте убрать "port" и указать "remote x.x.x.x 2153" 2. На сервере вместо "port" указать "lport 2153", на клиенте вместо "port" указать "rport 2153" 3. Добавить таки "float" как он и советует. 4. Я у себя обычно на клиентах не фиксирую номера портов и обхожусь вот этим: remote x.x.x.x PORT nobind цитата: --port port TCP/UDP port number for both local and remote. The current default of 1194 represents the official IANA port number assignment for OpenVPN and has been used since version 2.0-beta17. Previous versions used port 5000 as the default. --lport port TCP/UDP port number for local. --rport port TCP/UDP port number for remote. --nobind Do not bind to local address and port. The IP stack will allocate a dynamic port for returning packets. Since the value of the dynamic port could not be known in advance by a peer, this option is only suitable for peers which will be initiating connections by using the --remote option.

178. mishasat, 30.03.2007 13:34

vinni Спутниковый канал никакого отношения не имеет просто надо делать запрос через один анал а ответы получать через другой. Пусть это будет 2 наземных канала. Можно это сделать с помощью ОпенВПН установленого в иненете на выделеном сервере?

179. vinni, 30.03.2007 13:40

делать запрос через один анал Да, это Вы в точку. В стране так многое и делается! Добавление от 30.03.2007 13:47: Сам OpenVPN к этому прямого отношения не имеет. Максимум что он может - "не возражать" против того, что пакеты уходят и приходят на/с разных адресов. Экспериментируйте с маршрутизацией на клиентах и на сервере Добавление от 30.03.2007 13:52: При наличии на маршруте SPI-фаерволов на них могут возникать заморочки - решать по месту

К этой теме 04.04.2007 21:15 split подклеил тему "2 OpenVpn сервера на Win2003std" (автор: pvb)

181. pvb, 04.04.2007 11:06

Можно ли организовать субж? созданы два tun/taз интерфейса vpn1, vpn2 2 конфига --server1.ovpn port 1194 proto udp dev tun dev-node "VPN1" server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp1.txt persist-key persist-tun --server2.ovpn port 1195 proto tcp dev tun dev-node "VPN2" server 10.8.1.0 255.255.255.0 ifconfig-pool-persist ipp2.txt persist-key persist-tun изначально такая конфигурация работала - до перезагрузки win сервера сейчас один сервер работает на втором при запуске не присваивается ип если применить ip-win32 netsh - ип присвоится клиент к серверу подключается - но трафик через vpn не идет (ping не идет) Заметил что если VPN адаптер находится выше (сетевые подключения - дополнительно - дополнительные параметры) - с ним все Ок, с нижним - проблема меняю их местами - перезагружаю - верхний работает - нижний нет можно ли заставить их работать одновременно?

182. vinni, 04.04.2007 20:36

Теоретически должны работать (у меня работают и по 3 -4 "клиента" и клиент+сервер, и 2 сервера тоже вроде были). Виртуальные сетевые адаптеры в ОС настроены одинаково? Фаерволов нет? FAQ: OpenVPN (было - Помогите настроить OpenVPN) !, #1 (http://forum.ixbt.com/topic.cgi?id=14:40906:1#1) цитата: 5. Некоторые распростанённые проблемы и методы решения 2. Не происходит добавление маршрута в таблицу маршрутизации, вероятно при включенной службе RRAS ... Решение: "route-method exe" в конфиг.файле ... route-delay 10 Добавление от 04.04.2007 20:40: pvb Продолжайте в этой теме, не надо переходить в ту тему. ИМХО, будет правильнее если модератор подклеит тему, иначе будет пересортица сообщений. Не используете ли Вы где-либо один и тот же файл в разных конфигах? В т.ч. лог-файл и т.п. Что пишется в логе OpenVPN-a? Что показывает route print на сервере после запуска обоих OpenVPN-серверов?

183. pvb, 05.04.2007 09:55

адаптеры настроены одинаково файрвол есть Kerio Winroute - виртульные адаптеры открыты файлы указанные в конфигах разные, кроме ключей и сертификатов >Решение: "route-method exe" в конфиг.файле >... >route-delay 10 не помогает route print IPv4 таблица маршрута =========================================================================== Список интерфейсов 0x1 ........................... MS TCP Loopback interface 0x10005 ...00 c0 26 a1 25 ba ...... Realtek RTL8139 Family PCI Fast Ethernet NIC 0x10006 ...00 02 44 02 21 f6 ...... SURECOM EP-320X-R 100/10/M PCI рфряЄхЁ 0x20003 ...00 ff 85 45 15 7e ...... TAP-Win32 Adapter V8 0x30002 ...00 ff 57 d4 8c a9 ...... TAP-Win32 Adapter V8 #2 0x30007 ...00 ff 51 84 a1 e1 ...... TAP-Win32 Adapter V8 #3 =========================================================================== =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 195.222.132.1 195.222.132.2 20 10.8.0.0 255.255.255.252 10.8.0.1 10.8.0.1 30 10.8.0.0 255.255.255.0 10.8.0.2 10.8.0.1 1 10.8.0.1 255.255.255.255 127.0.0.1 127.0.0.1 30 10.8.1.0 255.255.255.252 10.8.1.1 10.8.1.1 30 10.8.1.0 255.255.255.0 10.8.1.2 10.8.1.1 1 10.8.1.1 255.255.255.255 127.0.0.1 127.0.0.1 30 10.255.255.255 255.255.255.255 10.8.0.1 10.8.0.1 30 10.255.255.255 255.255.255.255 10.8.1.1 10.8.1.1 30 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.2.0 255.255.255.0 192.168.2.12 192.168.2.12 20 192.168.2.12 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.2.255 255.255.255.255 192.168.2.12 192.168.2.12 20 195.222.132.0 255.255.255.248 195.222.132.2 195.222.132.2 20 195.222.132.2 255.255.255.255 127.0.0.1 127.0.0.1 20 195.222.132.255 255.255.255.255 195.222.132.2 195.222.132.2 20 224.0.0.0 240.0.0.0 10.8.0.1 10.8.0.1 30 224.0.0.0 240.0.0.0 10.8.1.1 10.8.1.1 30 224.0.0.0 240.0.0.0 192.168.2.12 192.168.2.12 20 224.0.0.0 240.0.0.0 195.222.132.2 195.222.132.2 20 255.255.255.255 255.255.255.255 10.8.0.1 20003 1 255.255.255.255 255.255.255.255 10.8.0.1 10.8.0.1 1 255.255.255.255 255.255.255.255 10.8.1.1 10.8.1.1 1 255.255.255.255 255.255.255.255 192.168.2.12 192.168.2.12 1 255.255.255.255 255.255.255.255 195.222.132.2 195.222.132.2 1 Основной шлюз: 195.222.132.1 =========================================================================== Постоянные маршруты: Отсутствует если в конфиге не задать ip-win32 то ип адаптеру не назначается - машрут соответственно тоже если указать ip-win32 netsh ип и маршрут назначит или файервол какимто образом закрывает адаптер ipconfig для случая если не указан ip-win32 VPN1 - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8 #2 Физический адрес. . . . . . . . . : 00-FF-57-D4-8C-A9 DHCP включен. . . . . . . . . . . : да Автонастройка включена . . . . . : да IP-адрес . . . . . . . . . . . . : 0.0.0.0 Маска подсети . . . . . . . . . . : 0.0.0.0 Основной шлюз . . . . . . . . . . : DHCP-сервер . . . . . . . . . . . : 255.255.255.255 NetBIOS через TCP/IP. . . . . . . : отключен VPN2 - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8 #3 Физический адрес. . . . . . . . . : 00-FF-51-84-A1-E1 DHCP включен. . . . . . . . . . . : да Автонастройка включена . . . . . : да IP-адрес . . . . . . . . . . . . : 10.8.0.1 Маска подсети . . . . . . . . . . : 255.255.255.252 Основной шлюз . . . . . . . . . . : DHCP-сервер . . . . . . . . . . . : 10.8.0.2 NetBIOS через TCP/IP. . . . . . . : отключен Аренда получена . . . . . . . . . : 5 апреля 2007 г. 11:37:45 Аренда истекает . . . . . . . . . : 4 апреля 2008 г. 11:37:45

184. vinni, 05.04.2007 12:10

Первое подозрение именно на фаервол. Не помню уже KWF (давно-давно он у меня был), но надо ещё раз проверить запреты на этот адаптер - по имени и/или по номеру. Ну и посмотреть в логе drop-нутых пакетов.

185. pvb, 05.04.2007 13:11

файервол остановил - ситуация повторяется похоже он непричем создаю новый адаптер указываю на него в конфиге (тот котрый не работал) - начинает работать а тот который работал - перестает вобщем сейчас работает последний созданный Непонятно

186. vinni, 05.04.2007 14:49

Вы показываете данные на один и тот же момент времени? А то как то странно, Вы показываете ipconfig, в котором только 1 интерфейс, и route, в котором 2 интерфейса: 10.8.0.0 255.255.255.252 10.8.0.1 10.8.0.1 30 10.8.0.0 255.255.255.0 10.8.0.2 10.8.0.1 1 10.8.0.1 255.255.255.255 127.0.0.1 127.0.0.1 30 10.8.1.0 255.255.255.252 10.8.1.1 10.8.1.1 30 10.8.1.0 255.255.255.0 10.8.1.2 10.8.1.1 1 10.8.1.1 255.255.255.255 127.0.0.1 127.0.0.1 30 - вот этот адрес какому-то интерфейсу ведь принадлежит? Какому?

187. pvb, 05.04.2007 15:17

ipconfig показан в другоя время для случая когда не присваивается ип адаптеру

188. vinni, 05.04.2007 15:44

Ну а как тогда объясните корректный route print? В нём ведь оба интерфейса существуют!

189. pvb, 06.04.2007 01:50

цитата: vinni: Ну а как тогда объясните корректный route print? В нём ведь оба интерфейса существуют! наверное запутал указав команды в разное время с разными параметрами Во время вывода вышеуказаного route print в конфиге для адаптера VPN1 был указан ip-win32 netsh ipconfig выгдядел так VPN1 - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8 #2 Физический адрес. . . . . . . . . : 00-FF-57-D4-8C-A9 DHCP включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 10.8.1.1 Маска подсети . . . . . . . . . . : 255.255.255.252 Основной шлюз . . . . . . . . . . : NetBIOS через TCP/IP. . . . . . . : отключен VPN2 - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8 #3 Физический адрес. . . . . . . . . : 00-FF-51-84-A1-E1 DHCP включен. . . . . . . . . . . : да Автонастройка включена . . . . . : да IP-адрес . . . . . . . . . . . . : 10.8.0.1 Маска подсети . . . . . . . . . . : 255.255.255.252 Основной шлюз . . . . . . . . . . : DHCP-сервер . . . . . . . . . . . : 10.8.0.2 NetBIOS через TCP/IP. . . . . . . : отключен Аренда получена . . . . . . . . . : 5 апреля 2007 г. 11:37:45 Аренда истекает . . . . . . . . . : 4 апреля 2008 г. 11:37:45 Т.е. ИП на адаптерах есть, маршрут есть 10.8.0.1 работает 10.8.1.1 - нет (клиент подключается, но пинг не идет)

190. Star Lammer, 09.04.2007 20:58

Все вроде бы работало отлично-замечательно... но вот как и везде начались проблемы, идут потери внутри OVPN канала: Packets: Sent = 149, Received = 139, Lost = 10 (6% loss), Если пингую напрямую комп на котором стоит OVPN сервер - потерь нет. В логах тоже тишина.

191. Analog, 14.04.2007 21:59

здрасьте. у меня нет опыта, но есть огромное желание сделать виртуальную локальную сеть с помощью опенвпн Вобщем тупо перенес примерный конфиг server в папку config запускаю серв.. http://smages.com/b9f2e20d4401e480012b512d313ea1ce.jpg.html Что нужно настроить чтоб хотя бы серв запустить нормально ?

192. vinni, 14.04.2007 22:05

Analog Не копируйте без нужды картинки - потрудитесь поместить сюда текст, благо это не так уж и сложно, тем более в данном случае. Ваша ошибка - нет файла dh* Читайте FAQ: OpenVPN (было - Помогите настроить OpenVPN) !, #1 (http://forum.ixbt.com/topic.cgi?id=14:40906:1#1) - build-dh

193. Analog, 15.04.2007 00:40

Добрый человек в аську все рассказал поэтапно как настраивать, все работает, только одна проблема. Стоит к серверу подконектится какому-либо клиенту, как сервер падает, логи: Вот лог када сервер работает: код: Sun Apr 15 00:37:10 2007 OpenVPN 2.1_beta7 Win32-MinGW [SSL] [LZO2] built on Nov 12 2005 Sun Apr 15 00:37:10 2007 Diffie-Hellman initialized with 1024 bit key Sun Apr 15 00:37:10 2007 TLS-Auth MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ] Sun Apr 15 00:37:10 2007 TAP-WIN32 device [Подключение по локальной сети 3] opened: \\.\Global\{3428CB13-A280-4176-A82C-F7FF41CB1E73}.tap Sun Apr 15 00:37:10 2007 TAP-Win32 Driver Version 8.3 Sun Apr 15 00:37:10 2007 TAP-Win32 MTU=1500 Sun Apr 15 00:37:10 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.1/255.255.255.0 on interface {3428CB13-A280-4176-A82C-F7FF41CB1E73} [DHCP-serv: 10.8.0.0, lease-time: 31536000] Sun Apr 15 00:37:10 2007 Sleeping for 10 seconds... Sun Apr 15 00:37:20 2007 Successful ARP Flush on interface [65540] {3428CB13-A280-4176-A82C-F7FF41CB1E73} Sun Apr 15 00:37:20 2007 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ] Sun Apr 15 00:37:20 2007 Socket Buffers: R=[8192->8192] S=[8192->8192] Sun Apr 15 00:37:20 2007 UDPv4 link local (bound): 10.168.10.200:1194 Sun Apr 15 00:37:20 2007 UDPv4 link remote: [undef] Sun Apr 15 00:37:20 2007 MULTI: multi_init called, r=256 v=256 Sun Apr 15 00:37:20 2007 IFCONFIG POOL: base=10.8.0.2 size=253 Sun Apr 15 00:37:20 2007 IFCONFIG POOL LIST Sun Apr 15 00:37:20 2007 Initialization Sequence Completed Затем подключается клиент и сервер падает, лог после того что написанно выше: код: Sun Apr 15 00:38:19 2007 MULTI: multi_create_instance called Sun Apr 15 00:38:19 2007 10.168.13.35:1873 Re-using SSL/TLS context Sun Apr 15 00:38:19 2007 10.168.13.35:1873 LZO compression initialized Sun Apr 15 00:38:19 2007 10.168.13.35:1873 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ] Sun Apr 15 00:38:19 2007 10.168.13.35:1873 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ] Sun Apr 15 00:38:19 2007 10.168.13.35:1873 Local Options hash (VER=V4): 'f7df56b8' Sun Apr 15 00:38:19 2007 10.168.13.35:1873 Expected Remote Options hash (VER=V4): 'd79ca330' Sun Apr 15 00:38:19 2007 10.168.13.35:1873 TLS: Initial packet from 10.168.13.35:1873, sid=c1ca655c 9a7c6c69 Sun Apr 15 00:38:19 2007 10.168.13.35:1873 VERIFY OK: depth=1, /C=RU/ST=CA/L=SanFrancisco/O=FortFunston/CN=Gameserv/emailAddress=mail@host.domain Sun Apr 15 00:38:19 2007 10.168.13.35:1873 VERIFY OK: depth=0, /C=RU/ST=CA/O=FortFunston/CN=client1/emailAddress=mail@host.domain Sun Apr 15 00:38:19 2007 10.168.13.35:1873 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Sun Apr 15 00:38:19 2007 10.168.13.35:1873 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Sun Apr 15 00:38:19 2007 10.168.13.35:1873 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Sun Apr 15 00:38:19 2007 10.168.13.35:1873 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Лог клиента: код: Sun Apr 15 00:52:17 2007 OpenVPN 2.1_beta7 Win32-MinGW [SSL] [LZO2] built on Nov 12 2005 Sun Apr 15 00:52:17 2007 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. Sun Apr 15 00:52:17 2007 LZO compression initialized Sun Apr 15 00:52:17 2007 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ] Sun Apr 15 00:52:17 2007 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ] Sun Apr 15 00:52:17 2007 Local Options hash (VER=V4): 'd79ca330' Sun Apr 15 00:52:17 2007 Expected Remote Options hash (VER=V4): 'f7df56b8' Sun Apr 15 00:52:17 2007 Socket Buffers: R=[8192->8192] S=[8192->8192] Sun Apr 15 00:52:17 2007 UDPv4 link local: [undef] Sun Apr 15 00:52:17 2007 UDPv4 link remote: 10.168.10.200:1194 Sun Apr 15 00:52:17 2007 TLS: Initial packet from 10.168.10.200:1194, sid=1b2fcfd1 609cd524 Добавлю, что ип сервера - 10.168.10.200, а клиента - 10.168.13.35 Версия OpenVPN 2.1_beta7 У того кто мне объяснял не бета, 2.0.9 и все работает, правдо он не в моей сети. Прошу помощи

194. vinni, 15.04.2007 00:57

Что Вы имеете ввиду под "сервер падает"? Как Вы запускаете сервер? В логе ничего странного я не вижу. Это лог при подключении первого же клиента? Я надеюсь, лог Вы берёте из файла? Увеличьте в конфиге сервера уровень детализации лога (параметр verb) до тех пор, пока не появится что-то внятное на тот момент, когда, как Вы говорите, "сервер падает". Если не поможет - попробуйте взять "стабильную" версию, а не "бету".

195. Analog, 15.04.2007 02:06

установил небету, терь все отлично, ух как я рад Добавление от 15.04.2007 02:30: блин, к серваку все подключаемся, но в играх не видим друг друга пробовали и udp и tcp в чем дело может быть ? мы физически из разных сетей, но соедниемся по внп к одному. Добавление от 15.04.2007 04:12: все, теперь нормально все стало

196. SBubba, 17.04.2007 13:00

Здравствуйте! Такой вопрос. Есть OpenVPN-туннель, работает, клиент подсоединяется. При инициализации сервера выдает такой лог: Tue Apr 17 09:37:28 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006 Tue Apr 17 09:37:29 2007 Diffie-Hellman initialized with 1024 bit key Tue Apr 17 09:37:29 2007 Control Channel Authentication: using 'ta1.key' as a OpenVPN static key file Tue Apr 17 09:37:29 2007 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Tue Apr 17 09:37:29 2007 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Tue Apr 17 09:37:29 2007 TLS-Auth MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ] Tue Apr 17 09:37:29 2007 OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options Tue Apr 17 09:37:29 2007 OpenVPN ROUTE: failed to parse/resolve route for host/network: 10.9.0.0 Tue Apr 17 09:37:29 2007 TAP-WIN32 device [OpenVpnServer] opened: \\.\Global\{BAD37E7B-A744-443F-83EB-1763413E20F1}.tap Tue Apr 17 09:37:29 2007 TAP-Win32 Driver Version 8.4 Tue Apr 17 09:37:29 2007 TAP-Win32 MTU=1500 Tue Apr 17 09:37:29 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.9.0.1/255.255.255.0 on interface {BAD37E7B-A744-443F-83EB-1763413E20F1} [DHCP-serv: 10.9.0.0, lease-time: 31536000] Tue Apr 17 09:37:29 2007 Sleeping for 10 seconds... Tue Apr 17 09:37:39 2007 NOTE: FlushIpNetTable failed on interface [5] {BAD37E7B-A744-443F-83EB-1763413E20F1} (status=1413) : Неверный индекс. Tue Apr 17 09:37:39 2007 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ] Tue Apr 17 09:37:39 2007 UDPv4 link local (bound): [undef]:5000 Tue Apr 17 09:37:39 2007 UDPv4 link remote: [undef] Tue Apr 17 09:37:39 2007 MULTI: multi_init called, r=256 v=256 Tue Apr 17 09:37:39 2007 IFCONFIG POOL: base=10.9.0.2 size=253 Tue Apr 17 09:37:39 2007 IFCONFIG POOL LIST Tue Apr 17 09:37:39 2007 SBHOME,10.9.0.3 Tue Apr 17 09:37:39 2007 Initialization Sequence Completed Конфигурация такая: Сервер port 5000 rport 5000 lport 5000 proto udp dev tap dev-node OpenVpnServer ca caSrv.crt cert servervpn.crt key servervpn.key dh dh11024.pem server 10.9.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt client-config-dir ccd route 10.9.0.0 255.255.255.0 push "dhcp-option DNS 10.9.0.1" push "dhcp-option WINS 10.9.0.1" keepalive 10 120 tls-auth ta1.key 0 comp-lzo persist-key persist-tun status openvpn-status.log verb 3 Конфигурация клиента: client dev tap dev-node VpnClient proto udp remote 212.20.17.245 port 5000 rport 5000 lport 5000 resolv-retry infinite persist-key persist-tun ca caClient.crt cert sbhome.crt key sbhome.key tls-timeout 5 tls-auth ta1.key 1 comp-lzo verb 3 Собственно беспокоят две строчки в логе, особенно вторая Tue Apr 17 09:37:29 2007 OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options Tue Apr 17 09:37:29 2007 OpenVPN ROUTE: failed to parse/resolve route for host/network: 10.9.0.0 Вопрос из-за чего они возникают, и на что могут повлиять? Начитался уже всяких документаций, понять не могу как от них избавится, все работает, но червяк гложет, что-то не так. Может я лишнего чего наконфигурил? Клиент WinXP SP2, сервер Win2003 EE

197. vinni, 17.04.2007 13:18

SBubba ИМХО, Вы зря указали серверу "route 10.9.0.0 255.255.255.0" Во-первых, неправильно её использовали (не указали шлюз и нет route-gateway, о чём он Вам и сказал). Во-вторых, если я понимаю, Вы хотите скинуть этот маршрут клиентам? Тогда надо: push "route 10.9.0.0 255.255.255.0" В-третьих, при использовании команды server для сети, обявленной в этой команде, в этом нет нужды - она сама "раскрывается" в список команд: код: mode server tls-server ifconfig 10.9.0.1 255.255.255.0 ifconfig-pool 10.9.0.2 10.9.0.254 255.255.255.0 push "route-gateway 10.9.0.1" (это пример для dev tap, в случае dev tun она "раскроется" чуть иначе и там будет в т.ч. и push route) В-четвёртых, этот маршрут кроме всего прочего будет на клиенте сформирован ОС автоматически, т.к. это интерфейсная сеть. Итого, удалите эту строку: route 10.9.0.0 255.255.255.0

198. SBubba, 17.04.2007 13:55

vinni - Спасибо, убрал строку и действительно все стало окей. Еще вопрос, беспокоит строчка: Tue Apr 17 09:37:39 2007 NOTE: FlushIpNetTable failed on interface [5] {BAD37E7B-A744-443F-83EB-1763413E20F1} (status=1413) : Неверный индекс.

199. vinni, 17.04.2007 13:58

А это уже надо, ИМХО, исправлять что-то в ДНК Билла Г. или его программистов. Можете попробовать route-method exe

200. SBubba, 17.04.2007 14:07

vinni - спасибо! ДНК пока исправлять не будем, оставим следующим поколениям.

201. Молния, 22.04.2007 08:39

Настроил сервер - Windows 2003 ca "C:\\Program Files\\OpenVPN\\Keys\\ca.crt" cert "C:\\Program Files\\OpenVPN\\Keys\\server.crt" key "C:\\Program Files\\OpenVPN\\Keys\\server.key" dev tun server 10.1.0.0 255.255.255.0 keepalive 60 360 port 1194 comp-lzo и клиентов - Windows XP SP2 ca "C:\\Program Files\\OpenVPN\\Keys\\ca.crt" cert "C:\\Program Files\\OpenVPN\\Keys\\rezerv.crt" key "C:\\Program Files\\OpenVPN\\Keys\\rezerv.key" dev tun client remote ххх.ххх.ххх.ххх ping 60 ping-restart 600 port 1194 Теперь никак не могу разобраться что надо прописать, что бы 1. Клиенты могли видеть друг друга хотя бы по IP 2. Клиенты могли видеть локалку за сервером 3. У некоторых клиентов при подключении устанавливается частный IP - 169.254.х.х, а когда откроешь сетевое подлкючение и нажмешь Исправить, то тогда обновляется IP на нормальный - 10.1.0.х. Как убрать этот глюк?

202. vinni, 22.04.2007 13:21

Молния 1. Клиенты могли видеть друг друга хотя бы по IP В конфиге сервера - client-to-client Клиенты смогут обмениваться IP-пакетами между OpenVPN-интерфейсами, то есть по IP 10.1.0.* Можно сделать доступными и другие интерфейсы/сети клиентов, если надо - спрашивайте. 2. Клиенты могли видеть локалку за сервером Надо объявить клентам маршрут на эту сеть или в конфиге клиента или в client-config-dir-файле или в конфиге сервера. Вот пример последнего варианта (в примере указана сеть 192.168.1.*, замените на свою), он действует сразу для всех клиентов: push "route 192.168.1.0 255.255.255.0" Кроме того, хосты в "локалке" должны иметь обратный маршрут на OpenVPN-сеть 10.1.0.*, то есть: - или же этот сервер должен быть у них основным шлюзом - или на основном шлюзе должен быть прописан маршрут на эту сеть и указывающий на этот сервер - или на хостах локалки должен быть прописан маршрут: route -p add 10.1.0.0 mask 255.255.255.0 (IP.сервера.в.локалке) Кроме того, проверьте назначаются ли на клиенте все нужные маршруты. Если нет, то читайте на первой странице темы про route-method exe и route-delay 10 (пункт 5.2) 3. У некоторых клиентов при подключении устанавливается частный IP - 169.254.х.х Именно такого глюка не встречал, обычно такие глюки из-за фильтрации DHCP-пакетов на tun/tap-интерфейсе, но тогда и "Исправить" не работает. Что в логах клиента? Если ничего, то добавьте в конфиг клиента "verb 4" и увеличивайте числовой параметр пока не появится что-либо об этой ошибке. А канал стабильный? А то может в этот момент у него провал связи и он не назначает адрес? Хотя вряд-ли, адрес клиенту вроде сообщают ещё в момент соединения и затем OpenVPN.exe сам автономно изображает из себя DHCP-сервер по отношению к Windows-овскому DHCP-клиенту.

203. Молния, 22.04.2007 15:17

Спасибо. На счет п. 3 - разобрался - был автозапуск сервиса OpenVPN, я переделал на автозагрузку и все стало работать. И еще прописал route-delay 60 на всякий случай. Теперь хоть не быстро включается, зато сразу и само. И тогда еще вопрос - нужно от сервера видеть локалку за клиентом. Добавление от 22.04.2007 15:41: Вообщем в локалка такая - инет сервер 192.168.1.1, он же шлюз для всех и сервер VPN 192.168.1.2, он же 10.1.0.1 после того, как на шлюзе прописываю маршрут route -p add 10.1.0.0 mask 255.255.255.0 192.168.1.2 с любого компа в локалке 10.1.0.1 пингуется (сам сервер) а клиенты нет.

204. anopich, 22.04.2007 16:35

Доброго времени суток. У меня следующая задача. Есть оффис. Есть сервер бухгалтерии. На нём лежат базы 1с. Есть компьютер, который смотрит в инет, и раздаёт всем интернет прогой UserGate. Есть удалённый компьютер, которому требуется работать с базой 1с лежащей на серваке. Есть идея создать ВПН сервер на компе, который смотрит в инет. К нему коннектить удалённый комп. Если можно выложите готовые конфиги сервера и клиента. Решение требуется очень быстро. Если есть другие идеи как это можно сделать, напишите.

205. vinni, 22.04.2007 16:40

Молния route-delay 60, ИМХО, излишне, обычно хватает 5-10, но смотрите сами. Про маршрутизацию. Кроме всего на VPN-сервере должна быть включена маршрутизация, проверьте, например, ipconfig /all: код: C:\>ipconfig /all Настройка протокола IP для Windows IP-маршрутизация включена . . . . : да VPN-клиенты также должны иметь корректный маршрут (указывающий на клиентский OpenVPN-шлюз) на сеть 192.168.1.*. Проверьте сами или покажите сюда ipconfig /all и route print и с VPN-сервера и с одного из клиентов. Также убедитесь, что фаерволы (брандмауэр или другие фильтры) не блокируют ICMP-пакеты вообще и из данной сети 10.1.0.* в частности. Чтобы видеть сеть за клиентом: 1. Обявить эту сеть OpenVPN-серверу, как находящуюся за опред. клиентом, сделать это можно или используя скрипты или проще через client-config-dir, в конфиге сервера добавить: client-config-dir client-config-dir 2. Создать в каталоге ...\OpenVPN\config подкаталог client-config-dir. В нём создать файл с CN-именем клиента (CommonName параметр, который был задан при генерации ключа нужного клиента), например, rezerv (файл без расширения). В нём указать (сеть 172.16.0.* указана для примера, укажите свою): iroute 172.16.0.0 255.255.255.0 3. Также надо добавить соотв.маршрут в таблицу ОС. Это можно сделать или в самой ОС: route -p add 172.16.0.0 mask 255.255.255.0 10.1.0.2 или "попросить" чтобы это сделал сам OpenVPN, для этого в конфиге сервера: route 172.16.0.0 255.255.255.0 На этом маршрутизация от сервера в удалённую сеть готова. 4. Чтобы видеть эту сеть со всех хостов локалки добавьте соотв.маршрут на шлюзе: route -p add 172.16.0.0 mask 255.255.255.0 192.168.1.2 5. Обеспечьте маршрутизацию пакетов от хостов удалённой сети к серверу (если в той сети шлюз является OpenVPN-клиентом, то можно ничего не делать, всё уже есть). Для этого или на шлюзе удалённой сети или на всех (или нужных) хостах удалённой сети пропишите маршруты на OpenVPN-сеть: route -p add 10.1.0.0 mask 255.255.255.0 172.16.0.X и/или на "локалку" за OpenVPN-сервером: route -p add 192.168.1.0 mask 255.255.255.0 172.16.0.X Добавление от 22.04.2007 16:56: anopich Надо формулировать более детально. Какие ОС на всех указанных Вами хостах? Какая скорость внешнего канала? (Это вопрос частично риторический, т.к. лично я бы ни при какой скорости не использовал бы 1С через внешние каналы иначе как в терминальном режиме, как по причине скорости, так и по причине надёжности) Общая идея такова: 1. Настройка терминального режима на сервере 1С. 2. Обеспечение доступа к терминальному серверу по протоколу RDP. 2а. Это можно сделать и без VPN - достаточно открыть доступ к порту сервера по протоколу RDP(осознавая долю риска можно обойтись и без VPN, полагаясь на встроенное в RDP шифрование, например, на первое время, пока не настроите VPN. Или просто предприняв ряд простых мер - окрыть нестандартный порт вместо 3389, открыть доступ к порту только нужному клиенту), но крайне желательно обеспечить безопасность этого подключения. 2б. VPN-ом в данном случае может быть не обязательно OpenVPN, это может быть PPTP, IPSec. Выбрать можно то, что Вам уже знакомо. Если можно выложите готовые конфиги сервера и клиента. Решение требуется очень быстро. Конференция предполагает обмен опытом, идеями, но никак не решение задач "под ключ". На первой странице описаны базовые азы, вот с них и начинайте, что непонятно или не получилось - спрашивайте конкретно.

206. anopich, 22.04.2007 18:01

vinni Сервер и есть терминальный. Из-за риска и решили сделать VPN. Нет опыта настройки ни одной из указанных программ, поэтому и обратился. Сервак win2003. Комп, смотрящий в инет под ВинХП, также как и удалённый комп. Добавление от 22.04.2007 18:04: Решил сделать, так как указано в самом начале, простой вариант - не пингуются ни сервер ни клиент.

207. vinni, 22.04.2007 20:20

anopich Показывайте конфиги, ipconfig /all и route print И с сервера И с клиента Пожалуйста, не заставляйте "тянуть информацию из Вас клещами", утомляет. Чем быстрее и лучше Вы изложите вопрос, тем, вероятно, быстрее получите ответ.

208. Молния, 22.04.2007 20:22

Ура. Спасибо всем. Перечитал всю ветку еще раз, подумал, переписал все конфиги. Теперь все зашибись, правда научить видеть локалку клиента из локалки сервера еще не получилось. Зато всех клиентов видит локалка и клиенты видят всю локалку и друг друга даже через сетевое окружение и по имени компьютера!!!!!!!. Супер, Керио VPN с его глюками отдыхает!

209. Santbir, 22.04.2007 22:35

Здравствуйте.. читал эту тему ....... то ли такого случая как у меня не рассмотрено, то ли я ничего не понял О_о. Вощем ситуация такая. В роутер(роутер Зухель 330) офиса приходит инет из сетки провайдера, у провайдера куплен статический внешний IP. Есть удаленный комп, который подключен к инету через SkyLink. Вопросики: Как с помощью openVPN создать VPN соединение, можно ли не меняя конфигурации сети настроить такое соединение(т.е. сервер будит в NAT сети и через роутер будит выходить в инет), или "комп-сервак" нужно будет ставить до роутера? Если придется до роутера подстажите какие настройки нужно сделать чтоб он интернет дальше к роутеру пропускал? Комп, используемый как сервер с WinXP. Пожалуйста! дайте содержимое файла конфигурации со всеми нужными настройками для моего случая! IP: внешняя статика в офисе 87.*.*.1, IP сети провайдера 176.*.*.1 IP внутренней NAT сети 192.168.1.1 внешний IP Skylink - 88.*.*.1 ПОЖАЛУЙСТА помогите! ЗАРАНЕЕ БЛАГОДАРЕН!!!

210. vinni, 22.04.2007 23:34

Santbir Можете поставить сервер и за роутером, важно лишь чтобы к серверу приходили пакеты указанного в конфиге протокола (default = udp, но можно и tcp) и порта. Делается это на NAT-роутере путём задания статической NAT-записи (aka PortForwarding и т.п.), согласно которой пакеты заданного протокола:порта с внешнего интерфейса NAT-роутера транслируются на интерфейс сервера (возможно на другой порт, но для упрощения проще на тот же). Готовых конфигов здесь пока не раздают. Мы пытаемся "не накормить рыбой, а показать как её удить". К тому же, одним конфигом дело не ограничивается - нужны ключи, в Вашем случае ещё и настройка роутера. Так что Вам придётся делать это самому.

211. Santbir, 23.04.2007 01:28

Спасибо за ответ! к сожалению настроить роутер в данный момент не могу(дома я =)), а вот openVPN помучать мона.. вот мой конфиг серв remote gt; - сюда надо писать IP удаченного компа(какой синтаксис?)? а если я его не знаю(я знаю тока адрес сервера)??? что тогда? dev tap ifconfig 10.3.0.1 255.255.255.0 secret c:\\openvpn\\config\\key.txt ping 10 verb 3 mute 10 comp-lzo

212. vinni, 23.04.2007 02:14

Santbir Значит узнайте адрес. Или, что, ИМХО, более правильно, используйте mode server. Не уверен, будет ли он при этом работать в режиме static-key, т.к. я его использую только в варианте tls-server. Или ещё проще - макрокоманда server.

213. apostle, 26.04.2007 23:57

ситуация: провайдер не может (может, не хочет) пробрасывать gre-трафик, а vpn необходим. решил настроить openvpn. в локальной сети конторы стоит sles10 - openvpn server. настройки: код: opensuse:/home/domain/aleksey # cat /etc/openvpn/server.conf | grep -v ['#',';'] | grep [:alpha:,:number:] port 1194 proto udp dev tun ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt dh /etc/openvpn/keys/dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt keepalive 10 120 comp-lzo persist-key persist-tun status openvpn-status.log verb 3 opensuse:/home/domain/aleksey # ifconfig eth0 Link encap:Ethernet HWaddr 00:02:B3:5D:CB:98 inet addr:192.168.25.7 Bcast:192.168.25.255 Mask:255.255.255.0 inet6 addr: fe80::202:b3ff:fe5d:cb98/64 Scope:Link UP BROADCAST NOTRAILERS RUNNING MULTICAST MTU:1500 Metric:1 RX packets:253683 errors:0 dropped:0 overruns:0 frame:0 TX packets:665927 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:17896912 (17.0 Mb) TX bytes:172312378 (164.3 Mb) lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:4436 errors:0 dropped:0 overruns:0 frame:0 TX packets:4436 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:425472 (415.5 Kb) TX bytes:425472 (415.5 Kb) tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:4 errors:0 dropped:0 overruns:0 frame:0 TX packets:45 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:240 (240.0 b) TX bytes:3780 (3.6 Kb) дом. комп win2k3 sp2: код: C:\Documents and Settings\aleksey>ipconfig Windows IP Configuration Ethernet adapter lan: Connection-specific DNS Suffix . : IP Address. . . . . . . . . . . . : 192.168.0.1 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : PPP adapter RAS Server (Dial In) Interface: Connection-specific DNS Suffix . : IP Address. . . . . . . . . . . . : 192.168.0.200 Subnet Mask . . . . . . . . . . . : 255.255.255.255 Default Gateway . . . . . . . . . : Ethernet adapter Local Area Connection: Connection-specific DNS Suffix . : home.ru IP Address. . . . . . . . . . . . : 87.237.X.X Subnet Mask . . . . . . . . . . . : 255.255.255.128 Default Gateway . . . . . . . . . : 87.237.X.X PPP adapter Discount: Connection-specific DNS Suffix . : IP Address. . . . . . . . . . . . : 192.168.11.59 Subnet Mask . . . . . . . . . . . : 255.255.255.255 Default Gateway . . . . . . . . . : Ethernet adapter Local Area Connection 3: Connection-specific DNS Suffix . : IP Address. . . . . . . . . . . . : 10.8.0.6 Subnet Mask . . . . . . . . . . . : 255.255.255.252 Default Gateway . . . . . . . . . : конф. клиента: код: opensuse:/home/domain/aleksey # cat ~/clientWin | grep -v ['#',';'] | grep [:alpha:,:number:] client dev tun proto udp remote 195.209.X.X 1194 resolv-retry infinite nobind persist-key persist-tun ca "C:\\Program Files\\OpenVPN\\bin\\ca.crt" cert "C:\\Program Files\\OpenVPN\\bin\\client1.crt" key "C:\\Program Files\\OpenVPN\\bin\\client1.key" comp-lzo verb 3 на работе на граничном isa serve настроил публикацию udp 1194 на sles-хост. на дом. компе настроен basic firewall в rras (комп - тоже vpn-сервер). в рез-те не могу пинговать openvpn-сервер, хотя мониторинг netmon'ом показал, что arp-трафик м/ду хостами идет: код: 15 2558.835938 10.8.0.6 10.8.0.5 ARP ARP: Request, 10.8.0.6 asks for 10.8.0.5 16 2558.835938 10.8.0.6 10.8.0.5 ICMP ICMP: Echo Request Message, From 10.8.0.6 To 10.8.0.5 17 2558.835938 10.8.0.5 10.8.0.6 ARP ARP: Response, 10.8.0.5 at 00-FF-E0-AF-A6-A1 18 2564.059571 10.8.0.6 10.8.0.5 ICMP ICMP: Echo Request Message, From 10.8.0.6 To 10.8.0.5 19 2569.559571 10.8.0.6 10.8.0.5 ICMP ICMP: Echo Request Message, From 10.8.0.6 To 10.8.0.5 20 2575.059571 10.8.0.6 10.8.0.5 ICMP ICMP: Echo Request Message, From 10.8.0.6 To 10.8.0.5 при этом при подключении на работе с моей раб. станции пинги бегали без проблем. с чем может быть связана проблема?

214. vinni, 27.04.2007 00:30

apostle Адрес 10.8.0.5 на пинги отвечать не будет. (я правильно понял, что в данных netmon'a "From 10.8.0.6 To 10.8.0.5" показан именно IP заголовок? Или это показан Eth-заголовок, но с заменой MACов на IP, как это, например, умеет показываь Ethereal ?) К серверу надо обращаться по 10.8.0.1 Можно и по 192.168.25.*, но тогда надо написать ещё route 192.168.25.0 255.255.255.0 Покажите route print c сервера sles10 и c клиента win2k3. Есть подозрение, что на клиенте не добавляются маршруты, это почти штатные грабли именно серверных ОС-ей и именно при наличии RRAS. Смотрите описание этого трабла и его лечение (route-method exe и route-delay 10) на первой странице темы. Добавление от 27.04.2007 00:34: Кроме того, проверьте настройки фаерволов/фильтров на tun-интерфейсах, как на сервере, так и на клиенте.

215. apostle, 27.04.2007 08:09

vinni Адрес 10.8.0.5 на пинги отвечать не будет. не отвечает и 10.8.0.1 Можно и по 192.168.25.*, но тогда надо написать ещё route 192.168.25.0 255.255.255.0 я добавил в rras маршрут на win2k3, но, как я понимаю, на любом из хостов внутри лок. сети надо тоже прописать обратный маршрут. Покажите route print c сервера sles10 и c клиента win2k3 win2k3: код: C:\WINDOWS\system32>route print IPv4 Route Table =========================================================================== Interface List 0x1 ........................... MS TCP Loopback interface 0x2 ...00 13 d3 a7 67 ad ...... NVIDIA nForce Networking Controller 0x10004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface 0x10007 ...00 80 48 1f db cd ...... Realtek RTL8139 Family PCI Fast Ethernet NIC 0x40008 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface 0x40009 ...00 ff df af a6 a1 ...... TAP-Win32 Adapter V8 =========================================================================== =========================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 87.237.X.Y 87.237.X.X 20 10.8.0.4 255.255.255.252 10.8.0.6 10.8.0.6 30 10.8.0.6 255.255.255.255 127.0.0.1 127.0.0.1 30 10.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 30 61.74.86.99 255.255.255.255 87.237.X.Y 87.237.X.X 20 87.237.X.X 255.255.255.128 87.237.X.X 87.237.X.X 20 87.237.X.X 255.255.255.255 127.0.0.1 127.0.0.1 20 87.255.255.255 255.255.255.255 87.237.X.X 87.237.X.X 20 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.0.0 255.255.255.0 192.168.0.1 192.168.0.1 20 192.168.0.1 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.0.200 255.255.255.255 127.0.0.1 127.0.0.1 50 192.168.0.255 255.255.255.255 192.168.0.1 192.168.0.1 20 192.168.11.0 255.255.255.0 192.168.11.59 192.168.11.59 1 192.168.11.59 255.255.255.255 127.0.0.1 127.0.0.1 50 192.168.11.255 255.255.255.255 192.168.11.59 192.168.11.59 50 192.168.78.0 255.255.255.0 192.168.11.59 192.168.11.59 1 192.168.100.0 255.255.255.0 87.237.X.X 87.237.X.X 1 194.186.X.X 255.255.255.255 87.237.X.Y 87.237.X.X 20 224.0.0.0 240.0.0.0 10.8.0.6 10.8.0.6 30 224.0.0.0 240.0.0.0 87.237.X.X 87.237.X.X 20 224.0.0.0 240.0.0.0 192.168.0.1 192.168.0.1 20 224.0.0.0 240.0.0.0 192.168.11.59 192.168.11.59 50 255.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 1 255.255.255.255 255.255.255.255 87.237.X.X 87.237.X.X 1 255.255.255.255 255.255.255.255 192.168.0.1 192.168.0.1 1 255.255.255.255 255.255.255.255 192.168.11.59 192.168.11.59 1 Default Gateway: 87.237.X.Y =========================================================================== Persistent Routes: Network Address Netmask Gateway Address Metric 192.168.100.0 255.255.255.0 87.237.X.X 1 192.168.78.0 255.255.255.0 192.168.11.59 1 на sles код: opensuse:/home/domain/aleksey # route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 87.237.X.X 192.168.25.77 255.255.255.255 UGH 0 0 0 eth0 10.0.0.0 192.168.25.77 255.255.255.0 UG 0 0 0 eth0 10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0 192.168.25.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo 0.0.0.0 192.168.25.114 0.0.0.0 UG 0 0 0 eth0 вроде как на обоих маршруты есть. проверьте настройки фаерволов/фильтров на tun-интерфейсах, на w2k3 в basic firewall используется только внешний интерфейс; на нем разрешен весь исходящий трафик. на sles firewall вообще выкл: код: opensuse:/home/domain/aleksey # service -s |grep firewall Checking the status of SuSEfirewall2 ..unused Checking the status of SuSEfirewall2 ..unused Can't access procfs/sysfs file Unable to find i2c bus information; For 2.6 kernels, make sure you have mounted sysfs and libsensors was compiled with sysfs support! For older kernels, make sure you have done 'modprobe i2c-proc'! No configuration found for tun0 ..dead Добавление от 27.04.2007 08:22: vinni я правильно понял, что в данных netmon'a "From 10.8.0.6 To 10.8.0.5" показан именно IP заголовок? не возьмусь утверждать да или нет, вот пример фрейма: код: Frame: - Ethernet: Etype = Internet IP (IPv4) - DestinationAddress: X INRATED 1FDBCD IG: (0.......) Individual address UL: (.0......) Universally Administered Address Rsv: (..000000) - SourceAddress: CADANT 23FE02 UL: .0...... Universally Administered Address EthernetType: Internet IP (IPv4), 2048(0x800) - Ipv4: Next Protocol = TCP, Packet ID = 50040, Total IP Length = 1500 - Versions: IPv4, Internet Protocol; Header Length = 20 Version: (0100....) IPv4, Internet Protocol HeaderLength: (....0101) 20 bytes (0x5) - DifferentiatedServicesField: DSCP: 0, ECN: 0 DSCP: (000000..) Differentiated services codepoint 0 ECT: (......0.) ECN-Capable Transport not set CE: (.......0) ECN-CE not set TotalLength: 1500 (0x5DC) Identification: 50040 (0xC378) - FragmentFlags: 16384 (0x4000) Reserved: (0...............) DF: (.1..............) Do not fragment MF: (..0.............) This is the last fragment Offset: (...0000000000000) 0 TimeToLive: 117 (0x75) NextProtocol: TCP, 6(0x6) Checksum: 18292 (0x4774) SourceAddress: 80.240.219.200 DestinationAddress: 87.237.X.X - Tcp: Flags=....A..., SrcPort=62933, DstPort=3112, Len=1460, Seq=1560854556 - 1560856016, Ack=2412111263, Win=64345 (scale factor 0) = 0 SrcPort: 62933 DstPort: 3112 SequenceNumber: 1560854556 (0x5D08C01C) AcknowledgementNumber: 2412111263 (0x8FC5E59F) - DataOffset: 80 (0x50) DataOffset: (0101....) (20 bytes) Reserved: (....000.) NS: (.......0) Nonce Sum not significant - Flags: ....A... CWR: (0.......) CWR not significant ECE: (.0......) ECN-Echo not significant Urgent: (..0.....) Not Urgent Data Ack: (...1....) Acknowledgement field significant Push: (....0...) No Push Function Reset: (.....0..) No Reset Syn: (......0.) Not Synchronize sequence numbers Fin: (.......0) Not End of data Window: 64345 (scale factor 0) = 0 Checksum: 45904 (0xB350) UrgentPointer: 0 (0x0) TCPPayloadData: Binary Large Object (1460 Bytes) Добавление от 27.04.2007 08:30: вот лог подключения клиента: код: C:\Program Files\OpenVPN\bin>openvpn --config client.conf Fri Apr 27 08:27:09 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2 006 Fri Apr 27 08:27:09 2007 IMPORTANT: OpenVPN's default port number is now 1194, b ased on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earl ier used 5000 as the default port. Fri Apr 27 08:27:09 2007 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. Fri Apr 27 08:27:09 2007 LZO compression initialized Fri Apr 27 08:27:09 2007 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET: 0 EL:0 ] Fri Apr 27 08:27:09 2007 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET: 0 EL:0 AF:3/1 ] Fri Apr 27 08:27:09 2007 Local Options hash (VER=V4): '41690919' Fri Apr 27 08:27:09 2007 Expected Remote Options hash (VER=V4): '530fdded' Fri Apr 27 08:27:09 2007 UDPv4 link local: [undef] Fri Apr 27 08:27:09 2007 UDPv4 link remote: 195.209.X.X:1194 Fri Apr 27 08:27:09 2007 TLS: Initial packet from 195.209.X.X:1194, sid=f239 4350 e3cc668a Fri Apr 27 08:27:10 2007 VERIFY OK: depth=1, /C=RU/ST=SPB/L=SAINT-PETERSBURG/O=O penVPN-TEST/OU=work/CN=aleksey/emailAddress=aleksey@work.ru Fri Apr 27 08:27:10 2007 VERIFY OK: depth=0, /C=RU/ST=SPB/O=OpenVPN-TEST/OU=work /CN=server/emailAddress=aleksey@work.ru Fri Apr 27 08:27:14 2007 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Fri Apr 27 08:27:14 2007 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Fri Apr 27 08:27:14 2007 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Fri Apr 27 08:27:14 2007 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Fri Apr 27 08:27:14 2007 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES2 56-SHA, 1024 bit RSA Fri Apr 27 08:27:14 2007 [server] Peer Connection Initiated with 195.209.X.X :1194 Fri Apr 27 08:27:15 2007 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1) Fri Apr 27 08:27:15 2007 PUSH: Received control message: 'PUSH_REPLY,route 10.8. 0.1,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5' Fri Apr 27 08:27:15 2007 OPTIONS IMPORT: timers and/or timeouts modified Fri Apr 27 08:27:15 2007 OPTIONS IMPORT: --ifconfig/up options modified Fri Apr 27 08:27:15 2007 OPTIONS IMPORT: route options modified Fri Apr 27 08:27:15 2007 TAP-WIN32 device [Local Area Connection 3] opened: \\.\ Global\{DFAFA6A1-E3A6-4829-9983-410B71583741}.tap Fri Apr 27 08:27:15 2007 TAP-Win32 Driver Version 8.4 Fri Apr 27 08:27:15 2007 TAP-Win32 MTU=1500 Fri Apr 27 08:27:15 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 1 0.8.0.6/255.255.255.252 on interface {DFAFA6A1-E3A6-4829-9983-410B71583741} [DHC P-serv: 10.8.0.5, lease-time: 31536000] Fri Apr 27 08:27:15 2007 NOTE: FlushIpNetTable failed on interface [262153] {DFA FA6A1-E3A6-4829-9983-410B71583741} (status=259) : No more data is available. Fri Apr 27 08:27:15 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down Fri Apr 27 08:27:15 2007 Route: Waiting for TUN/TAP interface to come up... Fri Apr 27 08:27:16 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down Fri Apr 27 08:27:16 2007 Route: Waiting for TUN/TAP interface to come up... Fri Apr 27 08:27:17 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down Fri Apr 27 08:27:17 2007 Route: Waiting for TUN/TAP interface to come up... Fri Apr 27 08:27:18 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down Fri Apr 27 08:27:18 2007 Route: Waiting for TUN/TAP interface to come up... Fri Apr 27 08:27:19 2007 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up Fri Apr 27 08:27:19 2007 route ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5 Fri Apr 27 08:27:19 2007 ROUTE: route addition failed using CreateIpForwardEntry : The parameter is incorrect. [if_index=262153] Fri Apr 27 08:27:19 2007 Route addition via IPAPI failed Fri Apr 27 08:27:19 2007 Initialization Sequence Completed есть и правда какое-то упоминание про route addition failed using CreateIpForwardEntry. Добавление от 27.04.2007 08:33: код: route ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5 хотя, если этот же маршрут я добавляю руками - ошибок нет (даи команда верная - с чего бы им быть?) Добавление от 27.04.2007 08:35: и ура! после ручного добавления маршрута эта скотинка начала работать! vinni, спасибо за поможь Добавление от 27.04.2007 08:46: счаз почитаю 1ую стр в целях просвещения =) Добавление от 27.04.2007 08:58: добавка route-method exe & route-delay помогла: маршрут успешно добавляется: код: Fri Apr 27 08:55:23 2007 NOTE: FlushIpNetTable failed on interface [262153] {DFA FA6A1-E3A6-4829-9983-410B71583741} (status=259) : No more data is available. Fri Apr 27 08:55:32 2007 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up Fri Apr 27 08:55:32 2007 route ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5 Fri Apr 27 08:55:33 2007 Initialization Sequence Completed

216. vinni, 27.04.2007 10:50

apostle Да, в таблице маршрутизации на клиенте видно, что есть только интерфейсный маршрут: 10.8.0.4 255.255.255.252 10.8.0.6 10.8.0.6 30 А должен быть и на всю OpenVPN-сеть: 10.8.0.0 255.255.255.0 10.8.0.5 10.8.0.6 30 Удачи, заходите ещё.

217. Saddam, 28.04.2007 02:43

Здравствуйте, уважаемые. Не могу до конца разобраться с преобразованием адресов и выводом клиента в интернет через туннель OpenVPN. Дела обстоят так: Есть машина с WinXP, выступающая сервером, на ней 2 сетевых интерфейса. Первый (с адресом 10.10.1.34) - смотрит в локальную сеть 10.10.1.0 255.255.255.0, в ней есть шлюз интернета 10.10.1.2. Эта сеть для меня является "внешней", в которую мне нужно выводить клиента. Второй интерфейс (192.168.0.1) - соединен с компьютером 192.168.0.2, который я и пытаюсь вывести в интернет через мой сервер. Также на машине создан виртуальный Tap-интерфейс, используемый OpenVPN для создания туннеля. OpenVPN настроен как Router с Tun-адаптером, выдает адрес из пула 10.10.3.0 Поднимается сервер, поднимается клиент, устанавливается успешное соединение, ошибок нет. Пинги проходят в оба конца - пингуется и виртуальный сервер 10.10.3.1 и клиент 10.10.3.6. Проблемы начинаются когда я пытаюсь использовать NAT WinXP для вывода машины во внешнюю сеть... Как написано в справке, я выбираю интерфейс внешней сети и в свойствах указываю "Разрешить общий доступ к подключению Интернета" и выбираю в списке интерфейсов виртуальный TAP-интерфейс чтобы он у меня натился внаружу... Настройки не применяются, выскакивает ошибка "Не удается разрешить общий доступ к подключению Интернета. Подключение по локальной сети уже настроено на использование IP-адреса, который распределяется автоматически" Т.е получается что виртуальный интерфейс получает адрес при запуске и его нельзя расшарить/занатить ?!? Тогда я в целях эксперимента, разрешил общий доступ к подключению физическому интерфейсу (192.168.0.1), через который фактически строится туннель и идет обмен данными. Настройки применились, запустил OpenVPN-ы, есть контакт, и .. О ЧУДО, туннель вылез во "внешнюю" сеть, достучался и до компьютеров и до интернета. Но здесь есть большой минус. Если человек, который сидит на той машинке закроет OpenVPN, и настроит у себя шлюз на мой сервер, то он запросто получит выход в интернет, минуя OpenVPN-канал, что мне делать категорически нельзя, поскольку трафик останется неучтенным. Подскажите решение проблемы... Как мне правильно настроить нат? (Пытался установить и настроить WinRoute, ничего не вышло, даже туннель переставал работать.) Укажите направление - куда копать...

218. den_sn, 28.04.2007 10:57

vinni прошу помощи! Настроил сервер, конфиг: port 1194 proto udp dev tun ca ca.crt cert server.crt key server.key dh dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "redirect-gateway" keepalive 10 120 comp-lzo persist-key persist-tun status openvpn-status.log verb 3 настроил клиентов, у них: client dev tun proto udp remote 192.168.78.1 1194 resolv-retry infinite persist-key persist-tun ca ca.crt cert client1.crt key client1.key comp-lzo verb 3 Сервер запускается с адресом 10.8.0.1, далее запускаю vpn на 1 клиенте - коннектится получая ip - 10.8.0.6 пингуются и клиент и сервер, далее запускаю vpn на 2 клиенте - коннектится, НО, получает тот же ip 10.8.0.6. Это как так?

219. vinni, 28.04.2007 17:16

den_sn У Вас у второго клиента используется тот же CN? (cert client1.crt, key client1.key) А почему бы не использовать индивидуальные CN? Если же хотите один CN для разных пользователей, то: duplicate-cn Allow multiple clients with the same common name to concurrently connect. In the absence of this option, OpenVPN will disconnect a client instance upon connection of a new client having the same common name. Добавление от 28.04.2007 17:48: Saddam Вариантов 3: 1) Поставить и настроить фильтр (фаервол), блокирующий трафик в интернет с интерфейса 192.168.0.1 2) Изменить настройки, а именно назначить на tun/tap интерфейсе IP-адрес 192.168.0.1 / 255.255.255.252 (как этого "хочет" ICS), изменить также: server 192.168.0.0 255.255.255.0 OpenVPN-у также "сказать", что настройки установлены вручную: ip-win32 manual А на LAN-интерфейсе назначить другой IP. 3) Поставить другое ПО для реализации "избирательной" фунции NAT

220. Saddam, 28.04.2007 22:34

vinni Большое спасибо за ответ. Про ip-win32 manual я даже не подумал.... Буду пробовать.

221. den_sn, 29.04.2007 21:41

vinni Спасибо что откликнулись! Честно говоря почитав логи и сам понял свою ошибку - невнимательно относился к генерации сертификатов для клиентов. Все заново сгенерировал с уникальными именами и выдача адресов стала работать как надо. Еще вопросик. При указании статических адресов для клиентов в файле ipp.txt к примеру 10.8.0.4 и 10.8.0.8, клиенты при коннекте к серверу получают ip - 10.8.0.6 и 10.8.0.10. Это нормально?, т.е. это так сервер "нарезает" сеть? Есть ли другие способы задания статических ip адресов для клиентов в сети openvpn?

222. Virus.exe, 01.05.2007 10:49

Уважаемые знатоки,подскажите пожалуйста решение. Есть машина 2 машины с WinXP,на одной из них(машина А) стоит 2 сетевых интерфейса,на другой(Машина Б) только 1. А и Б соединены между собой сетью провайдера с адресами 10.219.*.* (адреса выдаются по DHCP,но они как правило одни и те же) У машины А общий сетевой интерфейс имеет адрес 10.219.85.100,внутренний 192.168.1.2(выдается так же по DHCP,но уже ADSL-модемом) Машина Б имеет адрес 10.219.85.67. Задача стоит так: через OpenVPN дать доступ машине Б во внутреннюю сеть машины А,с последующим использованием интернета с ADSL-модема(его адрес 192.168.1.1) При этом очень желательно чтобы адреса OpenVPN-клиентам выдавал сам модем,но в принципе это не так важно.(как это сделать я пока не понял) Мои эксперименты: Отключаю DHCP на модеме,на машине А обьединяю TAP-адаптер в мост с внутренним адаптером,на мостовом адаптере ставлю статический адрес 192.168.1.2.Далее использую такой конфиг сервера: код: ca "C:\\Program Files\\OpenVPN\\config\\ca.crt" cert "C:\\Program Files\\OpenVPN\\config\\VIRUSVPN.crt" key "C:\\Program Files\\OpenVPN\\config\\VIRUSVPN.key" dh "C:\\Program Files\\OpenVPN\\config\\dh1024.pem" dev tap dev-node OpenVPN server-bridge 192.168.1.2 255.255.255.0 192.168.1.10 192.168.1.100 client-to-client duplicate-cn keepalive 10 120 push "route-gateway 192.168.1.1" push "dhcp-option DNS 192.168.1.1" push "redirect-gateway" При такой конфигурации клиенты подключаются,получают адреса из диапазона 192.168.1.10-192.168.1.100,все внутренние хосты пингуются,но доступа в интернет нету.При этом сетевой адаптер OpenVPN в составе моста не меняет свой статус,так и остается "Сетевой кабель не подключен" и сама машина А получает какие-то проблемы с доступом во внутреннюю сеть(я с нее после этого не смог зайти на модем через WEB,хотя с OpenVPN-клиента легко это сделал,но интернета опять же говорю нет,что довольно странно,потому что на клиенте я проверил,основной шлюз устанавливается в 192.168.1.1,тоесть адрес модема) Помогите пожалуйста,надеюсь на скорый ответ.Если какие данные недописал,скажите,все будет.

223. vinni, 02.05.2007 14:48

цитата (den_sn): При указании статических адресов для клиентов в файле ipp.txt к примеру 10.8.0.4 и 10.8.0.8, клиенты при коннекте к серверу получают ip - 10.8.0.6 и 10.8.0.10. Это нормально?, т.е. это так сервер "нарезает" сеть? Есть ли другие способы задания статических ip адресов для клиентов в сети openvpn? ipp.txt это "кэш" автоматически выданных адресов, так что это не совсем то что Вам надо. Правильно использовать или скрипты (что менее тривиально) или файлы конфигурации клиентов в каталоге, заданном командой client-config-dir. Кроме того, можете командой ifconfig вручную задавать конфигурацию каждого клиента прямо в файле конфигурации самого клиента. Да, в режиме dev tun сети "нарезаются" блоками /30, на первой странице есть картинка с объяснением этого процесса. Добавление от 02.05.2007 15:06: Virus.exe Явно видимых проблем нет, однако: 1. Покажите route print с сервера и клиента при включенном OpenVPN, конфиг клиента. 2. Проверьте, проходят ли пакеты всех размеров? С клиента ping 192.168.1.2 -l 1400 и далее увеличивайте параметр -l от 1400 с шагом 5 до 1500. Если появится проблема (начиная с некоторого размера пакеты не проходят), то добавьте в оба конфига: tun-mtu 1500 fragment 1400 mssfix Неплохо бы включить и сжатие: comp-lzo

224. Virus.exe, 04.05.2007 00:07

Vinni Спасибо большое за советы,однако оказалось дело в модеме) В тот раз почему-то он потерял связь с интернетом,поэтому клиенты соответсвенно тоже не попадали никуда.Теперь все ок,но за советы все равно спасибо.

225. anopich, 10.05.2007 23:28

У меня следующая проблема: Есть 2 машины. 1-я под 2003server. Это сервер терминалов. На нём лежит база 1с и стоит OpenVPN server. ip - 10.12.0.1 Вторая подключается к ней по первому варианту, далее через терминал. ip - 10.12.0.2. Почему-то при подключении к рабочему столу не подключается принтер. С сервака при попытке найти принтер на компьютере 10.12.0.2, его видно, но при попытке установить его, пишет что не удаётся подключиться, или нет связи. При попытке подключить 2-й компьютер к 1-му по прямому ай-пи без опенвпн, принтер также не подключается. В настройка сервера терминалов галочки на подключение принтеров стоят. Принудительно даже установил дрова того принтера на сервер. Помогите найти решение.

226. vinni, 11.05.2007 11:23

anopich Подключение принтеров прямого отношения к OpenVPN не имеет, поэтому в этой теме это оффтоп. Я Вам 1 раз отвечу, но тем не менее попрошу здесь эту тему не развивать, ок? Подключение принтера в терминальной сессии (Printer mapping) происходит при: 1. Наличии "галки" у клиента при подключении 2. Разрешении подключать принтеры на терм.сервере в уч.записи клиента (для 2003) 3. Отсутствии "галки" запрета подключения принтеров в свойствах терм.сервера 2003 4. Наличии абсолютно одинаковых драйверов принтеров и на клиенте и на сервере 5. Для подключения принтеров клиента, подключенных через USB, сеть, etc. (кроме LPT, COM) на клиенте надо добавить ключ реестра, вот соответвующий файл.reg: код: REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Default\AddIns\RDPDR] "FilterQueueType"=dword:ffffffff

227. anopich, 11.05.2007 15:44

Благодарю за ответ. Всё сделано кроме ключа в реестре. Проверю в понедельник.

228. jrapid, 15.05.2007 20:24

добрый день. Сложилась проблема с OpenVPN - c vpn сервера не пингуется подключившийся клиент. С клиента сервер пингуется Клиент и сервер физически находятся с одной подсети. табл. маршрутизации сервера: route | grep tun 192.168.33.2 * 255.255.255.255 UH 0 0 0 tun0 192.168.33.0 * 255.255.255.0 U 0 0 0 tun0 клиента: Active Routes: Network Destination Netmask Gateway Interface Metric 192.168.33.4 255.255.255.252 192.168.33.6 192.168.33.6 30 192.168.33.6 255.255.255.255 127.0.0.1 127.0.0.1 30 192.168.33.255 255.255.255.255 192.168.33.6 192.168.33.6 30 Default Gateway: 192.168.3.2 =========================================================================== Persistent Routes: конфиг сервера: mode server tls-server proto tcp-server port 7777 dh /etc/openvpn/keys/dh2048.pem ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt key /etc/openvpn/keys/server.key dev tun client-to-client ifconfig 192.168.33.1 192.168.33.2 ifconfig-pool 192.168.33.5 192.168.33.50 push "dhcp-option DNS 192.168.33.1" persist-tun cipher DES-EDE3-CBC #route to push to clients push "route 192.168.3.0 255.255.255.0" #route to company network push "route 192.168.1.0 255.255.255.0" #route to company network push "route 192.168.5.0 255.255.255.0" #route to company network #keep tunnel open by ping push "ping 10" push "ping-restart 60" ping 10 ping-restart 120 #route to be established on the server route-up "route delete -net 192.168.33.0/24" route-up "route add -net 192.168.33.0/24 tun0" comp-lzo verb 2 конфиг клиента client tls-client proto tcp-client dev tun remote 192.168.33.1 7777 resolv-retry infinite cipher DES-EDE3-CBC nobind persist-key persist-tun ca ca.crt cert cerber.crt key cerber.key comp-lzo verb 2 tcpdump на tun0 сервера показывает icmp request'ы, а на локальном интерфейсе eth -- icmp reply. В чем здесь дело?

229. vinni, 15.05.2007 20:40

jrapid Зачем же устанавливать соединение с клиента (remote 192.168.33.1 7777) на тунельный интерфейс сервера (ifconfig 192.168.33.1)? Для начала устанавливайте соединение на иной интерфейс сервера, например, на физический. Кроме того, раз уж Вы не используете макрокоманду server, то на сервере надо добавить: push "route 192.168.33.0 255.255.255.0" А так у Вас и получается, что клиент пингует сервер со своего физического интерфейса и сервер отвечает ТОЖЕ на его физический. А наоборот сервер пингует в тунель, а клиент в тунель ответить не может - нет маршрута.

230. jrapid, 15.05.2007 21:09

спасибо за столь оперативный ответ. я изменил конфиг сервера. сделал local 192.168.3.2 mode server tls-server proto tcp-server port 7777 dh /etc/openvpn/keys/dh2048.pem ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/tech.crt key /etc/openvpn/keys/tech.key dev tun server 192.168.33.0 255.255.255.0 client-to-client persist-tun cipher DES-EDE3-CBC #route to push to clients push "route 192.168.3.0 255.255.255.0" #route to company network push "route 192.168.1.0 255.255.255.0" #route to company network push "route 192.168.5.0 255.255.255.0" #route to company network #keep tunnel open by ping push "ping 10" push "ping-restart 60" ping 10 ping-restart 120 comp-lzo verb 6 --- в клиентском конфиге поменял remote 192.168.3.2 7777 --- соединение установилось, но не вижу ни 33.1 ни 3.2 --- кусочек лога клиента Tue May 15 20:04:15 2007 us=625136 Route addition via IPAPI succeeded Tue May 15 20:04:15 2007 us=625196 route ADD 192.168.1.0 MASK 255.255.255.0 192.168.33.5 Tue May 15 20:04:15 2007 us=626452 Route addition via IPAPI succeeded Tue May 15 20:04:15 2007 us=626509 route ADD 192.168.5.0 MASK 255.255.255.0 192.168.33.5 Tue May 15 20:04:15 2007 us=627736 Route addition via IPAPI succeeded Tue May 15 20:04:15 2007 us=627790 route ADD 192.168.33.0 MASK 255.255.255.0 192.168.33.5 -- табл. маршрутизации клиента =========================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 192.168.3.0 255.255.255.0 192.168.3.103 192.168.3.103 20 192.168.3.0 255.255.255.0 192.168.33.5 192.168.33.6 1 192.168.3.103 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.3.255 255.255.255.255 192.168.3.103 192.168.3.103 20 192.168.33.0 255.255.255.0 192.168.33.5 192.168.33.6 1 192.168.33.4 255.255.255.252 192.168.33.6 192.168.33.6 30 192.168.33.6 255.255.255.255 127.0.0.1 127.0.0.1 30 192.168.33.255 255.255.255.255 192.168.33.6 192.168.33.6 30 Default Gateway: 192.168.3.2 пинг на 192.168.33.1 request timed out пинг на 192.168.3.2 request timed out в логе клиента Tue May 15 20:05:56 2007 us=951876 TCP: connect to 192.168.3.2:7777 failed, will try again in 5 seconds Добавление от 15.05.2007 21:14: SYSTEM ROUTING TABLE 0.0.0.0 0.0.0.0 192.168.3.2 p=0 i=65539 t=4 pr=3 a=90565 h=0 m=20/-1/-1/-1/-1 127.0.0.0 255.0.0.0 127.0.0.1 p=0 i=1 t=3 pr=2 a=2522740 h=0 m=1/-1/-1/-1/-1 192.168.1.0 255.255.255.0 192.168.33.5 p=0 i=983044 t=4 pr=3 a=9 h=0 m=1/-1/-1/-1/-1 192.168.3.0 255.255.255.0 192.168.3.103 p=0 i=65539 t=3 pr=2 a=2522740 h=0 m=20/-1/-1/-1/-1 192.168.3.0 255.255.255.0 192.168.33.5 p=0 i=983044 t=4 pr=3 a=9 h=0 m=1/-1/-1/-1/-1 192.168.3.103 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=2522740 h=0 m=20/-1/-1/-1/-1 192.168.3.255 255.255.255.255 192.168.3.103 p=0 i=65539 t=3 pr=2 a=2522740 h=0 m=20/-1/-1/-1/-1 192.168.5.0 255.255.255.0 192.168.33.5 p=0 i=983044 t=4 pr=3 a=9 h=0 m=1/-1/-1/-1/-1 192.168.33.0 255.255.255.0 192.168.33.5 p=0 i=983044 t=4 pr=3 a=9 h=0 m=1/-1/-1/-1/-1 192.168.33.4 255.255.255.252 192.168.33.6 p=0 i=983044 t=3 pr=2 a=9 h=0 m=30/-1/-1/-1/-1 192.168.33.6 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=9 h=0 m=30/-1/-1/-1/-1 192.168.33.255 255.255.255.255 192.168.33.6 p=0 i=983044 t=3 pr=2 a=9 h=0 m=30/-1/-1/-1/-1 224.0.0.0 240.0.0.0 192.168.3.103 p=0 i=65539 t=3 pr=2 a=2522740 h=0 m=20/-1/-1/-1/-1 224.0.0.0 240.0.0.0 192.168.33.6 p=0 i=983044 t=3 pr=2 a=9 h=0 m=30/-1/-1/-1/-1 255.255.255.255 255.255.255.255 192.168.3.103 p=0 i=65539 t=3 pr=2 a=2522740 h=0 m=1/-1/-1/-1/-1 255.255.255.255 255.255.255.255 192.168.33.6 p=0 i=983044 t=3 pr=2 a=89630 h=0 m=1/-1/-1/-1/-1 SYSTEM ADAPTER LIST TAP-Win32 Adapter V8 Index = 983044 GUID = {34B0BDC8-B754-46B4-B911-701EF61FB9DB} IP = 192.168.33.6/255.255.255.252 MAC = 00:ff:34:b0:bd:c8 GATEWAY = DHCP SERV = 192.168.33.5 DHCP LEASE OBTAINED = Tue May 15 20:10:10 2007 DHCP LEASE EXPIRES = Wed May 14 20:10:10 2008 Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC Index = 65539 GUID = {9A13103A-8152-46B0-9C2F-FB5565DB5F6D} IP = 192.168.3.103/255.255.255.0 MAC = 00:18:f3:03:57:72 GATEWAY = 192.168.3.2/0.0.0.0

231. vinni, 15.05.2007 21:20

jrapid Как вижу, 192.168.3.2 - это интерфейс сервера. Так зачем же Вы тогда пишете в конфиге?: push "route 192.168.3.0 255.255.255.0" Удалите это. в логе клиента Tue May 15 20:05:56 2007 us=951876 TCP: connect to 192.168.3.2:7777 failed, will try again in 5 seconds Конечно, Вы же ему маршрут на peer тунеля запихнули в тунель: Active Routes: 192.168.3.0 255.255.255.0 192.168.33.5 192.168.33.6 1

232. jrapid, 15.05.2007 21:27

Большое спасибо! Все заработало странно, что сам не оборатил на это внимание.

233. todeus, 18.05.2007 12:28

Здравствуйте! Еще один вопросик. С OpenVPN такие проблемы. Утром, когда народ приходит и включает тачки, интерфейсы на другом конце туннеля не пингуются, приходится делать рекконект, в логах все нормально. Тоже самое происходит и к концу рабочего дня. В чем может быть проблема? Спасибо

234. vinni, 18.05.2007 12:43

todeus Вот Вы сами как считаете, Вы достаточно данных привели? Пока могу посоветовать только одно - надо попробовать вариант, когда народ приходит не утром, а вечером! С утра просто пробки, может в них дело? keepalive в конфиге включён? Логи с какой детализацией?

235. todeus, 19.05.2007 10:07

согласен, что мало, но ваш ответ помог. поставил ping-restart и пока все работает. спасибо

236. Pascal, 20.05.2007 01:29

[...] Оффтопик

237. Switch002, 20.05.2007 16:16

Перечитал всю ветку, похожий вопрос поднимался, но не раскрывался до конца. Задача: поднять VPN сервер, к которому будут подключаться Linux сервера для осуществления их техподдержки. Что делаю: Имею ISA-сервер (MS ISA 2004) с реальным IP на внешнем интерфейсе, внутренний интерфес, на котором заодно поднят DHCP, и TAP интерфейс OpenVPN (установлен на этом же компьютере). Настройка OpenVPN проводилась в соответствии со сценарием 3, только соединения принимаются по 443 порту. ISA настроена на этот порт, клиенты извне подключаются, получают IP адрес. Сервер, в свою очередь, тоже подключается (использую версию с GUI), "сетевой кабель" ТАР подключается, но IP адрес не выдается. Пробовал вручную прописать IP непосредственно на адаптере, однако никакого эффекта, клиенты не пингуются. Чтобы как-то исключить влияние правил исы на маршрутизацию между интерфейсами, настрои все по примеру 4, клиенты получают адреса внутренней подсети, однако пинговаться по-прежнему не хотят. В чем может быть причина? Писали, что виноват DHCP фильтр, но в 2004-й исе такого я не нашел, DHCP разрешен во всех направлениях. Конфиги: server.ovpn ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt" cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\redadmin.crt" key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\redadmin.key" dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh1024.pem" dev tap proto tcp-server port 443 route-method exe route-delay 5 server-bridge 192.168.0.1 255.255.255.0 192.168.0.100 192.168.0.199 client.ovpn pkcs12 "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\kofeinik01.p12" dev tap client remote vpn.redadmin.inf0 443

238. vinni, 21.05.2007 11:15

Switch002 1. Вы уверены что Вам нужен L2-тунель? Там же гоняется куча лишнего Eth-мусора... Решать Вам, но без нужды это, ИМХО, ни к чему. 2. Вы используете server-bridge, это макро-команда для конфигурации сервера, у которого интерфейс объединён в мост. Она не назначает IP-адрес интерфейсу. Смотрите 1-ую страницу: Реально команда, например, server-bridge 10.8.0.4 255.255.255.0 10.8.0.128 10.8.0.254 раскрывается так (в скобках комментарии) mode server tls-server ifconfig-pool 10.8.0.128 10.8.0.254 255.255.255.0 (клиентам выделяется диапазон, указанный в макрокоманде) push "route-gateway 10.8.0.4" (параметр gateway передаётся клиентам как шлюз) Вам надо или объединить этот адаптер в мост с локальным адаптером или использовать команду server

239. KOCTET, 21.05.2007 14:14

Switch002 А сообщений от ISA никаких нет?

240. SergeyP, 21.05.2007 16:20

Здравствуйте! Тут у одной организации в бухгалтерии одноранговая 192.168.0.0/24 сеть, база 1С (сетевая, dbf) на Win2k Pro. Появился второй офис и часть бухгалтерии (компьютеров) переедет туда, включая базу 1С. Оба офиса подключили к одному провайдеру интернет. Интересует в будущем создание единой бухгалтерской сети на два офиса и вопрос защиты сетей от подключения через интернет. А на данный момент ситуация: в 1-м офисе на комп 192.168.0.33 добавили второй сетевую карту для инета с IP на 81.х.х.х, во 2-м офисе пока один комп. Хочу попробовать подключить его к сети 1-го офиса для работы в 1С (на компе с IP 192.168.0.100), используя OpenVPN, с которым ранее не сталкивался, да и по сетям ограниченные знания . Экспериментировал, но пока не получилось увидеть компы в сетки в 1-м офисе. Нормально прошело только в режиме p2p, со статик-ключом. А далее либо ошибки, либо нет пинга и пр. Прошу помочь настроить... Для начала какой выбрать режим лучше - будет ли видеть 1С видеть сервер защиты (аппаратный ключ) в режиме tun или надо использовать tap? PS. Про терминальный доступ в курсе, но на Win2k Pro вроде как не возможно? Если что, винды переставлять для терминалки придется в последнюю очередь и все равно работать скорее всего внутри OpenVPN, так что вопрос настройки OpenVPN остается.

241. vinni, 21.05.2007 17:10

SergeyP Для работы в 1С через внешние сети терминальник ИМХО однозначно и без вариантов. Для поиска ключа вроде NetHASP-у можно явно указать IP-адрес. По вопросу выбора tun и tap: Есть ли у Вас приложения, работающие только в рамках своей подсети, использующие броадкасты или None-IP-протоколы? Если да, то tap. Если нет, то лучше tun. По поводу сотального - рисуйте схемку или показывайте конфиги.

242. omihaz, 22.05.2007 20:48

Здравствуйте, уже давно борюсь с проблемой, никак не могу найти решение Может мне сдесь кто то поможет... И так, что имеем. 2 компьютера в локалке: 1. Пусть называется Home, он имеет 2 подключения к двум разным провайдерам. 2. Client, второй компьютер подключается через Home. Чтобы работало 2 провайдера, необходимо было настроить 2 NAT на каждом из интерфейсах. Всего интерфейсов 3, из них 2 провайдера, 1 для локалки. Так вот, доступ появился у компьютера только через 2 нат. Ну и маршрутизация чтобы в одни сети ходить через одного, в другие через другого провайдера. Все работает, но необходимо сделать VPN сервер, чтобы люди с провайдера №1 могли подключатся к серверу VPN и через него попадать во внешний мир по средством провайдера №2. Т.е. канал провайдера №1 используется для соединения с впн, канал провайдера №2 для ресурсов. Так же хотелось дать доступ не во весь внешний мир, а только на 1 айпи реальный. Если такое сделать нельзя - не критично! Пробовал средствами WinXP сделать через PPP - не получилось, пингуется только тот интерфейс через который подключаются к PPP. Увидел что можно реализовать через OpenVPN. Чуть поигрался, но тут информации сильно много и задача не простая. Помогите пожалуйста настроить OpenVPN для моей цели. Был бы очень признателен за любую помощь, с этой проблемой борюсь уже очень долго! Если нужна еще какая либо информация что поспособствует делу - могу представить. Спасибо за любую помощь. С уважением, Владислав.

243. vinni, 22.05.2007 20:58

omihaz Для начала покажите ipconfig /all с компа1, марку его ОС и объясните какими средствами сделан NAT на 2 интерфейсах.

244. omihaz, 22.05.2007 21:06

Значит ОС: WinXP SP2 2 NAT сделан средствами WinXP, через встроенную утилиту netsh routing ip nat: Вот его дамп: # ----------------------------------------- # RAS-конфигурация # ----------------------------------------- pushd routing ip nat uninstall install set global tcptimeoutmins=1440 udptimeoutmins=1 loglevel=ERROR # # NAT-конфигурация для интерфейса "NormaPlus" # add interface name="NormaPlus" mode=FULL # # NAT-конфигурация для интерфейса "Server" # add interface name="Server" mode=PRIVATE # # NAT-конфигурация для интерфейса "HomeOnline" # add interface name="HomeOnline" mode=FULL Вот ipconfig: Настройка протокола IP для Windows Имя компьютера . . . . . . . . . : TEST13 Основной DNS-суффикс . . . . . . : Тип узла. . . . . . . . . . . . . : неизвестный IP-маршрутизация включена . . . . : да WINS-прокси включен . . . . . . . : да NormaPlus - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethe rnet NIC Физический адрес. . . . . . . . . : 00-E0-4C-A1-41-8E Dhcp включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 10.0.24.130 Маска подсети . . . . . . . . . . : 255.255.248.0 Основной шлюз . . . . . . . . . . : DNS-серверы . . . . . . . . . . . : 193.17.208.254 NetBIOS через TCP/IP. . . . . . . : отключен HomeOnline - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethe rnet NIC #2 Физический адрес. . . . . . . . . : 00-30-4F-45-CA-FF Dhcp включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 172.17.53.10 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : 172.17.53.1 DNS-серверы . . . . . . . . . . . : 172.17.53.1 172.16.0.1 Основной WINS-сервер . . . . . . : 62.16.7.78 NetBIOS через TCP/IP. . . . . . . : отключен Server - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : 3Com Gigabit LOM (3C940) Физический адрес. . . . . . . . . : 00-0C-6E-94-67-91 Dhcp включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 192.168.0.1 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : Подключение по локальной сети - Ethernet адаптер: Состояние сети . . . . . . . . . : сеть отключена Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8 Физический адрес. . . . . . . . . : 00-FF-8B-B6-91-D2

245. vinni, 22.05.2007 21:15

omihaz Следующим логичным шагом было бы прописать маршруты на каждую провайдерскую сеть и её внутренние подсети, если они отличаются от интерфейсных. Также прописать маршруты на DNS-серверы провайдеров через их сети и как вариант вообще оставить DNS только на одном интерфейсе. В настройках NAT-а прописаны port-map-ы для OpenVPN-сервера? Покажите конфиг OpenVPN-сервера?

246. omihaz, 22.05.2007 21:38

На самом NAT не прописаны port-map-ы. Но доступ там FULL. С конфигом опенсервера я не определился как правильно так сделать маршрутизацию. Так как понятия не имею о такой конфигурации. Пробовал игратся со стандартным конфигом - ничего не вышло. Маршрутизация прописана у меня на локальные ресурсы провайдеров и тд... все работает, с днс тоже проблем нет А вот как в эту муть добавить опен впн и вещать его с одной провайдера в другой без понятия Добавление от 22.05.2007 21:56: Хоть подтолкни меня пожалуйста на путь истинный. Скажи как примерно надо настроить... В какую сторону копать?

247. vinni, 23.05.2007 01:40

omihaz Это будет длинная песня, поэтому если Вы чувствуете что терпения у Вас не хватит, то нет смысла и начинать. Кроме того, есть "требование" отвечать на вопросы полностью, не требуя их повторять и задавать наводящие. Ответы "ничего не вышло" не принимаются - только с объяснением - "сделал то-то и так-то, увидел то-то, делаю так - получаю результат такой, на основании чего делаю вывод что не работает". 1. Установить OpenVPN. Выполнить на сервере пункт 3.1 (см. инструкцию FAQ: OpenVPN (было - Помогите настроить OpenVPN) !, #1 (http://forum.ixbt.com/topic.cgi?id=14:40906:1#1) ) - то есть сгенерировать ключи и сертификаты СА, сервера и как минимум 1 клиента. 2. Определиться с протоколом и портами для OpenVPN - например, 1194/tcp 3. Сделать портмаппинг на NAT-интерфейсах (http://www.microsoft.com/resources/documentation/win…tsh.mspx?mfr=true) add portmapping [InterfaceName=]InterfaceName [proto=]{tcp | udp} [publicip=]{IPAddress | 0.0.0.0} [publicport=]Integer [privateip=]IPAddress [privateport=]Integer код: pushd routing ip nat add portmapping InterfaceName="NormaPlus" proto=tcp publicip=10.0.24.130 publicport=1194 privateip=192.168.0.1 privateport=1194 add portmapping InterfaceName="HomeOnline" proto=tcp publicip=172.17.53.10 publicport=1194 privateip=192.168.0.1 privateport=1194 4. Создать на сервере конфиг OpenVPN-сервера. код: ca ca.crt # ca "C:\\Program Files\\OpenVPN\\config\\ca.crt" cert server.crt key server.key # секретный файл dh dh1024.pem dev tun proto tcp-server server 10.8.0.0 255.255.255.0 5. Найти клиентов, установить у них OpenVPN и создать им конфиги: код: ca ca.crt cert client.crt key client.key dev tun proto tcp-client client remote 10.0.24.130 1194 Соответственно для клиентов в другой сети заменить ip-адрес. Попробовать подключиться и сообщить результат сюда. Добавление от 23.05.2007 01:57: omihaz 1.5. В службах на сервере включить и запустить маршрутизацию. Проверить: NET START REMOTEACCESS

248. omihaz, 24.05.2007 14:51

Большое спасибо за ответ и неоценимую помощь! Я даже не ожидал. Проделал, все как Вы сказали и уже чуть лучше начал понимать систему. Пункт 1 проделал, все в точности, все в порядке. Пукнт 2, все равно какой порт, решил действовать по Вашему совету, 1194/tcp Пункт 3: add portmapping InterfaceName="NormaPlus" proto=tcp publicip=10.0.24.130 publicport=1194 privateip=192.168.0.1 privateport=1194 add portmapping InterfaceName="HomeOnline" proto=tcp publicip=172.17.53.10 publicport=1194 privateip=192.168.0.1 privateport=1194 Так сделать не получилось, сделал так: add portmapping name="NormaPlus" proto=tcp publicip=0.0.0.0 publicport=1194 privateip=192.168.0.1 privateport=1194 add portmapping name="HomeOnline" proto=tcp publicip=0.0.0.0 publicport=1194 privateip=192.168.0.1 privateport=1194 Пункт 4 и 5 сделал, только при создании сервера была ошибка: "NOTE: FlushIpNetTable failed..." Исправил добавлением строки в конфиг сервера: "route-method exe", ошибка пропала. Так же был варнинг на команду keepalive, которая отсутствовала, команду добавил в конфиг: "keepalive 10 60" При конекте клиента к серверу, конект происходит, выдается IP 10.8.0.6 Соответственно для клиентов в другой сети заменить ip-адрес. Попробовать подключиться и сообщить результат сюда. С этим не совсем понял, какой адрес менять и зачем? 1.5. В службах на сервере включить и запустить маршрутизацию. Проверить: NET START REMOTEACCESS Эта служба запущена. Конект проиходит хорошо, но вот доступа в сеть 172.17.0.0 нет. Пробовал прописать маршрутизацию - не помогает и не понятно на какой шлюз перенаправлять трафик. Если нужны логи клиент/сервер могу предоставить. Что необходимо сделать чтобы у клиента все заработало? Да, и шлюз по умолчанию при соединении с VPN остается такой как и был. В моем случае клиент из сети NormaPlus 10.0.17.х шлюз: 10.0.16.1

249. vinni, 24.05.2007 22:04

omihaz add portmapping name=... route-method exe keepalive 10 60 Соответственно для клиентов в другой сети заменить ip-адрес. Это значит, что у клиентов сети HomeOnline должен быть такой адрес в их конфиге: remote 172.17.53.10 1194 Теперь добавляем маршруты, делаем это в конфигах клиентов. В конфигах клиентов NormaPlus (здесь надо подправить/добавить маршруты на нужные адреса сетей HomeOnline) route 172.17.53.0 255.255.255.0 В конфигах клиентов HomeOnline (здесь надо подправить/добавить маршруты на нужные адреса сетей NormaPlus) route 10.0.24.0 255.255.248.0 Если что-то не срастётся, то с клиента надо показать route print и tracert в удалённую сеть Да, и шлюз по умолчанию при соединении с VPN остается такой как и был Так Вы хотите шлюз-по-умолчанию переназначить? Это значит, что ВЕСЬ интернетовский трафик клиента пойдёт через Вас. Для этого добавьте в конфиг клиента: redirect-gateway

250. omihaz, 24.05.2007 23:07

Весь не хочу. Просто были сомнения. Завтра все опробую и сообщу. Все понял четко и ясно. А если мне надо чтобы только на 1 IP то могу написать так: route 172.17.53.5 255.255.255.255 ?

251. vinni, 25.05.2007 00:07

Да, можете только маршрут на хост, маску Вы написали тоже верно. Но имейте ввиду, что это НИКАК НЕ МЕШАЕТ пользователю самому добавить любые маршруты (вплоть до вручную командой route.exe) через Ваш шлюз и гнать трафик ПО СВОЕМУ УСМОТРЕНИЮ! Если Вы хотите такую возможность запретить, то Вы должны поставить и настроить фильтр (фаервол), который будет резать весь запрещённый трафик из OpenVPN-интерфейса.

252. omihaz, 25.05.2007 16:24

Итак, проверил. Значит конфиг клиента такой: код: ca ca.crt cert client1.crt key client1.key dev tun proto tcp-client client remote 10.0.24.130 1194 route 172.17.53.0 255.255.255.0 Вот log клиента при соединении: код: Fri May 25 15:04:00 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006 Fri May 25 15:04:00 2007 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port. Fri May 25 15:04:00 2007 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. Fri May 25 15:04:00 2007 Attempting to establish TCP connection with 10.0.24.130:1194 Fri May 25 15:04:00 2007 TCP connection established with 10.0.24.130:1194 Fri May 25 15:04:00 2007 TCPv4_CLIENT link local: [undef] Fri May 25 15:04:00 2007 TCPv4_CLIENT link remote: 10.0.24.130:1194 Fri May 25 15:04:00 2007 [unreal-club] Peer Connection Initiated with 10.0.24.130:1194 Fri May 25 15:04:02 2007 TAP-WIN32 device [Подключение по локальной сети 2] opened: \\.\Global\{35C17F03-4F9B-4704-A793-D6D04429ECDD}.tap Fri May 25 15:04:02 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {35C17F03-4F9B-4704-A793-D6D04429ECDD} [DHCP-serv: 10.8.0.5, lease-time: 31536000] Fri May 25 15:04:02 2007 Successful ARP Flush on interface [65540] {35C17F03-4F9B-4704-A793-D6D04429ECDD} Fri May 25 15:04:07 2007 Initialization Sequence Completed Вот после соединения таблица маршрутизации клиента: код: Список интерфейсов 0x1 ........................... MS TCP Loopback interface 0x10003 ...00 11 d8 62 0f b4 ...... Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller 0x10004 ...00 ff 35 c1 7f 03 ...... TAP-Win32 Adapter V8 =========================================================================== =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 10.0.24.1 10.0.25.150 20 10.0.24.0 255.255.248.0 10.0.25.150 10.0.25.150 20 10.0.25.150 255.255.255.255 127.0.0.1 127.0.0.1 20 10.8.0.1 255.255.255.255 10.8.0.5 10.8.0.6 1 10.8.0.4 255.255.255.252 10.8.0.6 10.8.0.6 30 10.8.0.6 255.255.255.255 127.0.0.1 127.0.0.1 30 10.255.255.255 255.255.255.255 10.0.25.150 10.0.25.150 20 10.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 30 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 172.17.53.0 255.255.255.0 10.8.0.5 10.8.0.6 1 224.0.0.0 240.0.0.0 10.0.25.150 10.0.25.150 20 224.0.0.0 240.0.0.0 10.8.0.6 10.8.0.6 30 255.255.255.255 255.255.255.255 10.0.25.150 10.0.25.150 1 255.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 1 Основной шлюз: 10.0.24.1 =========================================================================== Постоянные маршруты: Отсутствует Вот часть лога с сервера: код: Fri May 25 15:03:53 2007 Re-using SSL/TLS context Fri May 25 15:03:53 2007 TCP connection established with 10.0.25.150:3734 Fri May 25 15:03:53 2007 TCPv4_SERVER link local: [undef] Fri May 25 15:03:53 2007 TCPv4_SERVER link remote: 10.0.25.150:3734 Fri May 25 15:03:54 2007 10.0.25.150:3734 [client1] Peer Connection Initiated with 10.0.25.150:3734 Fri May 25 15:10:06 2007 client1/10.0.25.150:3734 Connection reset, restarting [-1] После подключению к VPN. Клиент сделал ping 172.17.53.1 - превышен интервал ожидания. Связь между VPN и клиентом идеальная. С моего компьютера 172.17.53.1 пингуется хорошо. Трасировка с клиента первый же прыжок * * * превышен интервал ожидания. Что делать?