OpenVPN (тема для обсуждений и консультаций)
(Продолжение темы здесь)

Версия для печати

Конференция: Конференция iXBT.com (http://forum.ixbt.com/)
Форум: Сети, сетевые технологии, подключение к интернету (http://forum.ixbt.com/?id=14)
URL: http://forum.ixbt.com/topic.cgi?id=14:40906

Время GMT +03. Даты в формате dd.mm.yyyy.

holmskiy, 27.06.2006 23:14
28-июн-2009. Начата работа по созданию новой версии FAQ - FAQ: OpenVPN (только FAQ без обсуждений) (http://forum.ixbt.com/topic.cgi?id=14:49976)
Надеюсь со временем в неё будет перенесен опыт данной ветки и она станет более читабельной.

"Старый" FAQ начинается со следующего сообщения - FAQ: OpenVPN (тема для обсуждений и консультаций), #1 (http://forum.ixbt.com/topic.cgi?id=14:40906:1#1)

vinni



Ситуация следующая:
Являюсь пользователем локальной сети, при включении компьютера провайдером присваивается внутренний динамический IP адресс сети класса С вида 10.32.15.*, затем весь мой тафик перенаправляются на 443 порт компьютера провайдера 192.168.*.*, который является маштуризатором и DNS сервером, в браузере я ввожу имя и пароль после чего они сравнениваются с данными в базе MySQL и если авторизация прошла успешно, то меня выпускают в Интернет, внутренний адресс асоциируется с внешним динамическим IP (как я понимаю задействуется NAT).
Хочу настроить VPN следующего вида:
На удаленном хостинге (предположительно Windows 2003 Server) установить OpenVPN сервер
у себя соответсвенно OpenVPN клиент. Необходима шифрование трафика так, что бы никто не мог перехватывать пакеты снифером. Нужны конфигурационные файлы для сервира и клиента и ключи создать тоже не получается, в чем проблема не пойму. Наверно можно обойтись одним статическим ключом, так как пользоваться буду один.
Может кто то предложит более правильный способ для моих задач?

1. vinni, 28.06.2006 01:38
В данном сообщении изложено краткое описание OpenVPN (http://openvpn.net/) на основании личного опыта, в основном для ОС Windows (хотя многое применимо и для других ОС). Наверняка здесь есть какие-нибудь ошибки, неточности и неполнота, ну что же - принцип "as is"...
Описание периодически обновляется в меру появления новой информации и времени
Текущие стабильные версии (2006-ноябрь):
OpenVPN 2.0.9 для Windows - http://openvpn.net/release/openvpn-2.0.9-install.exe
OpenVPN-GUI 1.0.3 для Windows - http://openvpn.se/files/binary/openvpn-gui-1.0.3.exe
или сборный комплект http://openvpn.se/files/install_packages/openvpn-2.0…1.0.3-install.exe

1. Описание команд и основных опций (и их применимость на сервере и клиенте)
  • Внешние файлы ключей, сертификатов и т.п.
    Примечание: Параметры указывающие на файлы можно (или даже желательно) указывать с полными путями. Для Windows символ "\" указывается как "\\", пути с пробелами брать в кавычки, например: "C:\\Program Files\\OpenVPN\\config\\ca.crt". Если путь не указан, то используется каталог ...\config
    • secret file_name - указание имени файла ключа для режима static-key. Допустим также параметр [direction], позволяющий асимметрично использовать ключи, например, "secret static.key 0" с одной стороны и "secret static.key 1" с другой, однако для этого ключи должны быть 2048-битовые, в версиях 2.* по умолчанию они именно такие.
    • Для расширенных режимов TLS надо указать или имена раздельных файлов ключей и сертификатов:
      • ca file_name (сервер, клиент) - сертификат СА (центра сертификации)
      • cert file_name (сервер, клиент) - сертификат данного узла, подписанный СА
      • key file_name (сервер, клиент) - ключ шифрования данного узла
      Или имя единого комбинированного файла:
    • pksc12 file_name - имя файла в формате PKCS #12, содержащего сертификат CA, ключ и сертификат клиента. Такой файл и команда заменяют сразу 3 соответствующих файла и команды - ca, cert, key.
    • dh file_name (сервер) - указание имени файла с Diffie-Hellman-параметрами, нужен только на сервере в режиме tls-server (заметим, что макрокомандой server включается именно этот режим)
    • tls-auth file_name (сервер, клиент) - ключ для аутентификации пакетов. В этом режиме ко всем отправляемым пакетам добавляется HMAC, который проверяется при приёме пакета - если не совпало, то пакет молча отбрасывается. И команда и сам файл-ключ должны быть одинаковыми и у клиента и у сервера. Ключ (в примере команды это ta.key) может быть или сгенерирован командой:
      openvpn --genkey --secret ta.key
      (в этом варианте допустим также параметр [direction], позволяющий асимметрично использовать ключи, например, на сервере "tls-auth ta.key 0" и на клиентах "tls-auth ta.key 1")
      или может быть файлом произвольного формата, тогда openvpn сам сделает из него ключ методом свёртки.
    • crl-verify file_name (сервер, клиент) - проверяет предъявленный сертификат по списку отозванных сертификатов, если он там обнаружен - соединение не устанавливается. Основное назначение - проверка на сервере отозванных сертификатов клиентов, хотя и клиент может проверять по этому списку сертификат сервера. См. http://openvpn.net/howto.html#revoke
    • auth-user-pass (клиент), auth-user-pass-verify script_name method (сервер) - дополнительная авторизация пользователя по логину и паролю. Детально см. http://openvpn.net/howto.html#auth. Пример и vbs-скрипт для Windows см. здесь - FAQ: OpenVPN (было - Помогите настроить OpenVPN) !, #302 (http://forum.ixbt.com/topic.cgi?id=14:40906:302#302)
  • Режимы работы OpenVPN
    • dev [tun | tap] (сервер, клиент) - указание типа интерфейса и режима работы: tun = L3-туннель, tap = L2-туннель
    • dev-node TAP-interface-Name (сервер, клиент) - указание использование конкретного интерфейса, актуально если их в ситеме несколько и они по разному настроены в ОС (например, один tap и включён в мост, а второй - tun)
    • proto [tcp-server | tcp-client | udp] (сервер, клиент) - протокол, по умолчанию UDP
    • port 1194 (сервер, клиент) - номер порта, default=1194 (на клиенте для tcp-client игнорируется и используется динамический порт). См.также lport (указание локального порта) и rport (указание удалённого порта).
    • mode - задаёт режим работы сервера. По умолчанию OpenVPN работает в p2p-режиме, при указании mode server он работает в режиме сервера с многими клиентами.
    • tls-server, tls-client - использование режима TLS
    • ifconfig Local-IP Remote-IP/NetMask (сервер, клиент) - задаёт конфигурацию интерфейса.
      Для dev tun: ifconfig Local-IP Remote-IP - указывает IP-адрес локального интерфейса и адрес второй стороны туннеля. Важно, что в режиме клиент-сервер в отличие от режима static-key второй стороной туннеля является не адрес сервер и не адрес клиента, а адрес виртуального интерфейса виртуального OpenVPN-роутера, см. описание в п.3.
      Для dev tap: ifconfig Local-IP NetMask - указывает IP-адрес и маску локального интерфейса
  • Команды настройки сервера
    • server network netmask (сервер) - макрокоманда конфигурации сервера. Задаёт сеть и маску для всей OpenVPN-сети. Первый адрес из этой сети назначается интерфейсу сервера, остальные выделяются клиентам. Не используйте эту макрокоманду для режима L2-моста, для этого есть server-bridge.
      Реально команда, например, server 10.8.0.0 255.255.255.0 раскрывается так (в скобках комментарии)
      Для режима dev tun:
      mode server
      tls-server
      ifconfig 10.8.0.1 10.8.0.2 (серверу назначается первый адрес из первой подсети /30)
      ifconfig-pool 10.8.0.4 10.8.0.251 (остальной блок адресов выделяется клиентам)
      route 10.8.0.0 255.255.255.0 (системе объявляется маршрут на всю OpenVPN-сеть)
      if client-to-client:
      push "route 10.8.0.0 255.255.255.0" (если включен режим client-to-client, то клиентам также передаётся маршрут на всю OpenVPN-сеть)
      else
      push "route 10.8.0.1" (иначе, если не включен режим client-to-client, клиентам передаётся только маршрут на сервер)

      Для режима dev tap:
      ifconfig 10.8.0.1 255.255.255.0 (серверу назначается первый адрес)
      ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 (остальной блок адресов выделяется клиентам)
      push "route-gateway 10.8.0.1" (клиентам объявляется адрес шлюза, через который, при необходимости, они могут назначать маршруты)

    • server-bridge gateway netmask pool-start-IP pool-end-IP (сервер) - макрокоманда конфигурации сервера для режима L2-моста. Важно то, что в этом режиме IP-параметры мостового интерфейса настраиваются в системе! Здесь же параметр gateway может указывать или на этот же IP-адрес мостового интерфейса или на следующий шлюз в этой сети.
      Реально команда, например, server-bridge 10.8.0.4 255.255.255.0 10.8.0.128 10.8.0.254 раскрывается так (в скобках комментарии)
      mode server
      tls-server
      ifconfig-pool 10.8.0.128 10.8.0.254 255.255.255.0 (клиентам выделяется диапазон, указанный в макрокоманде)
      push "route-gateway 10.8.0.4" (параметр gateway передаётся клиентам как шлюз)

    • remote host (сервер) - в режиме tcp-server этот параметр на сервере работает как фильтр и принимает соединения ТОЛЬКО от указанного host.
    • client-to-client (сервер) - разрешает обмен трафиком между клиентами для режима dev tun
    • ifconfig-pool-persist File_Name [Time_in_seconds] (сервер) - задаёт файл, в котором на указанное время (по умолчанию 600 сек) кэшируются выданные адреса клиентам, что позволяет при переподключении выдать клиенту тот же адрес.
    • ifconfig-pool-linear (сервер) - задаёт для dev tun режим распределения адресов клиентам не подсетями /30, а "поштучно", то есть /32. Несовместим с Windows!
    • management localhost 8329 (сервер, клиент) - открыть порт 8329 на интерфейсе 127.0.0.1 для управления (см. http://openvpn.net/management.html)
  • Команды настройки маршрутизации
    • route network/IP [netmask] [gateway] [metric] (сервер, клиент) - добавляет указанный маршрут в ОС после установления соединения. Значения параметров по умолчанию:
      netmask по умолчанию равно 255.255.255.255.
      gateway по умолчанию равно параметру, указанному в команде route-gateway или второму параметру команды ifconfig в режиме dev tun. То есть, по умолчанию исользуется шлюз в "OpenVPN-сеть". Если же нужно параметр указать (например, если нужно задать метрику), то это же значение можно указать ключевым словом vpn_gateway. Кроме того есть ещё ключевое слово net_gateway - это основной шлюз, который был в ОС до установления OpenVPN-соединения.
    • iroute network [netmask] - применяется в client-connect script или в client-config-dir файле, указывает OpenVPN-серверу, что данная сеть находится за соответствующим клиентом. Важно, что это только указание OpenVPN-серверу, для задания этого маршрута самой ОС надо указывать route или в конфиге сервера или вообще в самой ОС.
    • route-method exe (сервер, клиент) - указывает OpenVPN-у, что добавление маршрута надо делать не через API, а через route.exe. См. также в секции "Некоторые распростанённые проблемы и методы решения"
    • route-delay 10 (сервер, клиент) - см. в секции "Некоторые распростанённые проблемы и методы решения"
  • Команды конфигурирования клиентов на стороне сервера
    • client-config-dir Dir_Name (сервер) - использовать из указанного каталога дополнительные индивидуальные файлы для конфигугации каждого клиента, файлы должны называться так же как и CN клиента (Common Name, то есть то что укзывается при конфигурации ключа клиента командой build-key, см.далее). Расширения у файла быть не должно, то есть, например, для клиента client1 файл так и должен называться - client1
    • push "команда" - указывает серверу передать "команду" клиенту. Например, команда в конфиге сервера push "ping 10" - это не команда ping 10 самому серверу, а указание серверу передать команду ping 10 клиенту. Описание самих команд для push даны отдельно. Это могут быть route, route-gateway, route-delay, redirect-gateway, ip-win32, dhcp-option, inactive, ping, ping-exit, ping-restart, setenv, persist-key, persist-tun, echo
    • push-reset (сервер, но в client-config-dir-файле) - указывает, что для данного клиента надо проигнорировать все глобальные команды push. Однако все push-команды из самого client-config-dir-файла будут исполнены.
    • ifconfig-push Local-IP Remote-IP/NetMask (сервер) - применяется в client-connect script или в client-config-dir файле, задаёт конфигурацию интерфейса соответствующего клиента.
      Для dev tun: ifconfig Local-IP Remote-IP - указывает IP-адрес локального интерфейса клиента и адрес второй стороны туннеля. Важно, что в режиме клиент-сервер второй стороной туннеля является не адрес сервер и не адрес клиента, а адрес виртуального интерфейса виртуального OpenVPN-роутера, см. описание в п.3.
      Для dev tap: ifconfig Local-IP NetMask - указывает IP-адрес и маску локального интерфейса
  • Команды конфигурирования клиентов на стороне клиента
    • client - макрокоманда режима клиента, исполняется так:
      pull (указывает клиенту принимать от сервера команды, которые на сервере заданы как push)
      tls-client
    • nobind (клиент) - указание использовать динамический порт на клиенте, актуально только для udp, т.к. для tcp на клиенте всегда используется динамический порт.
    • remote host [port] (клиент) - указание второй стороны, host может быть как DNS-именем, так и IP-адресом. Клиент обязан иметь эту строку, причём она может быть не одна - это обеспечивает возможность подключения к разным интерфейсам сервера (отказоустойчивость) или распределение нагрузки.
    • remote-random (клиент) - использовать в случайном порядке одну из нескольких строк remote
    • resolv-retry infinite (клиент) - пытаться бесконечно определить адрес сервера (при указании его по имени), чтобы "обойти" проблему с завершением попытки установления соединения при отказе DNS или сбое внешних соединений
    • redirect-gateway [local] [def1] (клиент) - переключение шлюза на удалённый, есть 2 доп.параметра - local (см.manual) и def1 - изменяет маршрут не методом удаления старого маршрута 0.0.0.0/0 и назначением нового, а методом назначения двух более узких маршрутов 0.0.0.0/1 и 128.0.0.0/1
    • dhcp-option DNS 192.168.1.254 (клиент) - использование удалённого DNS
    • dhcp-option WINS 192.168.1.254 (клиент) - использование удалённого WINS
  • Другие команды
    • comp-lzo (сервер, клиент) - сжатие трафика
    • status openvpn-status.log (сервер, клиент) - периодически сохранять информ. о текущем состоянии в указанный файл, это текстовый файл.
    • log openvpn.log или log-append openvpn.log (сервер, клиент) - сохранять или добавлять лог в указанный файл
    • keepalive 10 60 (сервер) - макрокоманда "пинговать" противоположную сторону туннеля с указанным периодом 10 сек, при отсутствии встречных пингов в течение 60 сек считать туннель упавшим и запускать пересоединение. Полезно также для поддержания статуса работающего udp-потока в транзитных NAT-шлюзах.
      Реально исполняется так (в скобках комментарии):
      Для mode server:
      ping 10 (сервер посылает OpenVPN-ping каждые 10 секунд. Не путать с ping в IP - здесь на OpenVPN-ping удалённая сторона не отвечает, поэтому эти пакеты надо отправлять с обеих сторон)
      ping-restart 120 (при отсутствии встречных пакетов, то есть от клиента, в течении 120 сек сервер перезапускает клиентскую сессию. Не путать, перезапускается НЕ ВЕСЬ OpenVPN-СЕРВЕР!)
      push "ping 10" (сообщить клиентам пинговать сервер каждые 10 секунд)
      push "ping-restart 60" (сообщить клиентам, что при отсутствии пингов от сервера в течение 60 секунд, клиент должен перезапустить свою сессию).
      Для mode p2p:
      ping 10
      ping-restart 60


2. Простейшая конфигурация static-key - 1 сервер + 1 клиент одновременно:
2.1. Генерация статического ключа - ярлык в меню или "openvpn --genkey --secret static.key"
Этот общий ключ должен быть на обеих сторонах - и на сервере и на клиенте
2.2. Server.ovpn
код:
dev tun
ifconfig 10.8.0.1 10.8.0.2
secret static.key

.3. Client.ovpn
код:

remote server.ru
dev tun
ifconfig 10.8.0.2 10.8.0.1
secret static.key



3. Расширенная конфигурация туннеля L3 (IP-туннель, aka "routed")

В данном режиме OpenVPN-сервер эмулирует работу некоего многопортового виртуального маршрутизатора, к каждому порту которого подключен каждый клиент и сам серверный хост. При этом каждому виртуальному tun-интерфейсу хоста (и сервера в том числе) присваивается IP-адрес, также присваиваивается IP-адрес соответствующему порту этого виртуального маршрутизатора и выделяется подсеть, включающая эти 2 адреса + неожходимые 2 служебных, в итоге для каждого подключения выделяется подсеть /30 (255.255.255.252) из 4 адресов, назначение которых, например, для первой подсети 10.1.1.0/30 из OpenVPN-сети 10.1.1.0/24 таково:
10.1.1.0 - адрес подсети 10.1.1.0/30
10.1.1.1 - адрес tun-интерфейса сервера
10.1.1.2 - адрес интерфейса виртуального маршрутизатора
10.1.1.3 - адрес широковещания (broadcast)
Далее каждому подключающемуся клиенту выделяются подсеть и адрес именно блоками /30, то есть по 4 адреса. В меру художественных способностей изобразил это на рисунке - http://forum.ixbt.com/post.cgi?id=attach:14:40906:38:1
Замечу, что к самим IP-адресам виртуального маршрутизатора непосредственно обратиться никак нельзя, оне НЕ ПИНГУЮТСЯ, и в tracert не отображаются.
Указанный выше вариант распределения IP-адресов сделан для совместимости с Windows. Однако, есть возможность использовать и выделение адресов/32, то есть без подсетей, см. команду ifconfig-pool-linear. Кроме того, в версии 2.1 (на момент июня 2007 это пока 2.1.rc4) в этом вопросе тоже есть нововведения.

3.1. Ключи
Все действия производятся в папке C:\Program Files\OpenVPN\easy-rsa
Действия выполнять так, чтобы сохранялся контекст переменных, например, в командной строке без выхода из неё. Первой командой при каждой операции работы с ключами (кроме начальной инициализации) должна быть vars.bat.

Начальная инициализация, выполняется 1 раз
  • init-config.bat - начальная инициализация, создаст файлы vars.bat и openssl.cnf
    В файле vars.bat надо установить ВСЕ параметры
    set HOME=%ProgramFiles%\OpenVPN\easy-rsa
    set KEY_CONFIG=openssl.cnf
    set KEY_DIR=keys # путь к папке ключей относительно текущей (..\easy-rsa)
    set KEY_SIZE=1024
    set KEY_COUNTRY=ZZ
    set KEY_PROVINCE=ZZ
    set KEY_CITY=ZZZ
    set KEY_ORG=ZZZ
    set KEY_EMAIL=zz@zzz.zz
  • vars.bat
  • clean-all.bat # очистка и инициализация папки ключей
Создание master Certificate Authority (CA) certificate & key, выполняется 1 раз
  • vars.bat
  • build-ca.bat # генерация сертификата и ключа - ca.crt, ca.key
Генерация сертификата и ключа для сервера, выполняется 1 раз
  • vars.bat
  • build-key-server ServerName # ServerName - имя сервера. На некоторые доп вопросы можно ответить 2 раза "пусто", на 2 последних - "y":
    Sign the certificate? [y/n]:y
    1 out of 1 certificate requests certified, commit? [y/n]y
    В результате будет создан ключ ServerName.key, сертификат ServerName.crt, запрос Certificate Signing Request (CSR) ServerName.csr, ?непонятный файл? 01.pem (копия ServerName.csr)
Генерация Diffie Hellman parameters, выполняется 1 раз, нужно только для tls-server
  • vars.bat
  • build-dh # работает около минуты, грузит CPU под 100% , генерит файл dh1024.pem
Генерация сертификатов и ключей клиентов, выполняется по необходимости
  • vars.bat
  • build-key client1
  • build-key client2
  • build-key client3
ВАЖНО!!! В вопросе "Common Name (eg, your name or your server's hostname) []:" нужно для каждого ключа указывать УНИКАЛЬНОЕ имя, например, client1, и т.д.
В результате будет создан ключ client1.key, сертификат client1.crt, запрос Certificate Signing Request (CSR) client1.csr, ?непонятный файл? 02.pem (копия client1.csr)

В итоге имеем:
ключи *.key # секретная информация, должны распространяться ТОЛЬКО ПО СЕКРЕТНЫМ КАНАЛАМ. Нужны только на соотв. хостах.
сертификаты *.crt # несекретная информация.
запросы серт. *.csr # Certificate Signing Request, нужны для распределённой генерации и сертификации ключей.
dh1024.pem # Diffie Hellman parameters

Вместо использования на клиентах 3-ёх раздельных файлов (ca, cert, key) можно использовать единый файл формата PKCS12. Для этого надо генерировать ключ клиента командой:
build-key-pkcs12 client1
Будет создан и обычный комплект файлов, и новый файл .p12 - это и есть этот комбинированный файл. Его можно использовать в конфиге клиента одной командой pkcs12 вместо трёх команд ca, cert, key.
Также при генерации этому файлу можно задать пароль для защиты секретного ключа, в таком случае каждый раз при установке соединения будет запрашиваться пароль для доступа к секретному ключу (Внимание! Так нельзя делать при запуске сервиса, т.к. он не сможет запросить пароль и не сможет установить соединение.). Следует также иметь ввиду, что пользователь имеет право самостоятельно изменить/удалить/установить пароль защиты секретного ключа.[/ list]

Отзыв сертификатов клиентов, выполняется по необходимости, например, при утере ключа или пароля, утечке или компрометации ключа клиента.
  • vars.bat
  • revoke-full client1
    Будет сгенерирован файл crl.pem в каталоге keys, этот файл и должен быть параметром инструкции "crl-verify crl.pem". Этот файл несекретный, но от несанкционированных изменений должен быть защищён. После отзыва можно сгенерировать новый ключ с тем же CN-именем (Common Name).
3.2.Конфигурация сервера - Server.ovpn
Здесь и далее, параметры указывающие на файлы можно (или даже желательно) указывать с полными путями. Для Windows символ "\" указывается как "\\", пути с пробелами брать в кавычки, например: "C:\\Program Files\\OpenVPN\\config\\ca.crt". В примере это не указано чтобы не загромождать.
код:
ca ca.crt       # ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert server.crt
key server.key # секретный файл
dh dh1024.pem
dev tun
server 10.8.0.0 255.255.255.0

Необязательные параметры (кроме общеупотребимых):
код:
push "route 192.168.10.0 255.255.255.0"

3.3.Конфигурация клиента - Client.ovpn
код:
ca ca.crt       # ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert client.crt
key client.key # секретный файл
dev tun
client
remote 1.1.1.1 1194

Необязательные параметры (кроме общеупотребимых):
код:
remote server.com 1194
remote-random
resolv-retry infinite



4. Расширенная конфигурация туннеля L2 (Ethernet-туннель, aka "bridged")

В данном режиме тунелируются не IP-пакеты, а пакеты Ethernet, что позволяет использовать поверх такого OpenVPN-соединения:
  • не только IP-протокол, но и, например, IPX (лично не проверено)
  • приложения работающие только в пределах своей подсети
  • приложения, работающие через broadcast (например, NetBIOS)
  • иметь доступ к внутренним ресурсам, которые в силу разных причин не имеют настроенного шлюза
  • без дополнительных настроек (например, настройка NAT на шлюзе для дополнительной OpenVPN-подсети) использовать перенаправление трафика командой redirect-gateway
В этой схеме на клиенте доступ к удалённой сети производится напрямую, то есть реально через ARP и т.п. Например, 192.168.1.191 - VPN-клиент, а 192.168.1.101 - хост в удалённой сети:
код:
>arp -a
Интерфейс: 192.168.1.191 --- 0x2
Адрес IP Физический адрес Тип
192.168.1.101 02-ff-a2-cd-2c-07 динамический

4.1.Подготовительные операции
Если необходим доступ к локальной сети "за сервером" (в 95% случаев это необходимо), то надо объединить сетевой адаптер LAN сервера в мост с OpenVPN-tap-адаптером, при этом создаётся новый адаптер и уже ему назначаете IP, скорее всего тот который был до этого у LAN. В Win это можно сделать под XP или 2003 (2000 это не умеет). Если на сервере есть ПО, привязанное к интерфейсам, то, вероятно, потребуются соответствующие изменения настроек и этого ПО.

Генерация ключей не отличается от туннеля L3, поэтому см. п.3.1

4.2.Конфигурация сервера - Server.ovpn
код:
ca ca.crt       # ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert server.crt
key server.key # секретный файл
dh dh1024.pem
dev tap
server-bridge 192.168.1.254 255.255.255.0 192.168.1.190 192.168.1.199
# в предыд.команде 192.168.1.254 255.255.255.0 это шлюз из лок.сети во внеш.сети и маска,
# 192.168.1.190 192.168.1.199 - диапазон для VPN-хостов

Необязательные параметры (кроме общеупотребимых):
код:
# команды ниже могут назначить шлюзование всего трафика клиента через VPN
push "route-gateway 192.168.1.254"
push "dhcp-option DNS 192.168.1.254"
push "dhcp-option WINS 192.168.1.254"
push "redirect-gateway"

4.3.Конфигурация клиента - Client.ovpn
код:
ca ca.crt       # ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert client.crt
key client.key # секретный файл
dev tap
client
remote server.com 1194
remote 1.1.1.1 1194

Необязательные параметры (кроме общеупотребимых):
код:
ifconfig 192.168.1.190 255.255.255.0 # явное указание IP-адреса, назначаемого интерфейсу
dhcp-option DNS 192.168.1.254 # использование удалённого DNS
dhcp-option WINS 192.168.1.254 # использование удалённого WINS
redirect-gateway



5. Некоторые распростанённые проблемы и методы решения
  1. После установки в ОС создаётся новый сетевой интерфейс с "адаптером" TAP-Win32 Adapter V8, отображаемый ОС как сетевой адаптер с неподключенным кабелем, он же может отбражаться в области значков. Это виртуальный адаптер OpenVPN. Его можно переименовать по желанию и это имя можно будет использовать в конфиг-файлах в команде dev-node TAP-interface-name
    1. Этот адаптер НЕ НУЖНО отключать (распространённое явление - не устанавливается OpenVPN-соединение т.к. отключен этот интерфейс)
    2. На этом адаптере в общем случае НЕ НУЖНО настраивать никакие параметры IP-протокола (кроме NetBIOS, см.ниже), включение и конфигурация этого интерфейса производятся автоматически при установке OpenVPN-соединения.
    3. Если не нужен NetBIOS, то во избежание проблем с NetBIOS-ом, свойственных multihomed-хостам РЕКОМЕНДУЕТСЯ отключить NetBIOS для данного интерфейса: сетевые подключения - свойства данного сетевого интерфейса – свойства протокола TCP/IP – дополнительно – WINS – Параметры NetBIOS = Отключить NetBIOS через TCP/IP.
    4. На этом адаптере во избежание непонятных проблем желательно НЕ ВКЛЮЧАТЬ фаервол (брандмауэр), по крайней мере на начальном этапе установки, изучения и запуска.
  2. Не происходит добавление маршрута в таблицу маршрутизации, вероятно при включенной службе RRAS (чаще всего возникает на серверных ОС, например, Windows Server 2003, но встречал и на XP) - ошибка:
    "NOTE: FlushIpNetTable failed on interface [2] {427E6BDF-F41F-4E7A-B8C4-4F12B25A6C11} (status=1413) : Invalid index."
    Похоже дело в Win-довом глюке, по API-команде windows должна добавить маршрут, при этом если в конфиг OpenVPN вставить show-net-up, то OpenVPN запросит windows через API всю таблицу маршрутизации и выведет её в лог, там нужный маршрут будет. А если сделать "route print", то маршрута не будет...
    Решение: "route-method exe" в конфиг.файле - это указывает OpenVPN-у, что добавление маршрута надо делать не через API, а через route.exe. Кроме того, может потребоваться небольшая задержка перед добавлением маршрута через route.exe (встречалось, что без задержки route.exe ещё не видит только что появившийся интерфейс и не добавляет маршрут), это делается route-delay 10 (на серверах лично меня "не напрягает" задержка 10 секунд, на клиентах можно уменьшить до экспериментально вычисленного предела)
  3. При запуске OpenVPN-соединения из учётной записи пользователя (без прав Администратора) возникает ошибка, связанная с недостатком прав для установки интерфейса. Варианты решения:
    1. Запускать OpenVPN как постоянный сервис (включить автозапуск сервиса OpenVPNservice). Кроме того, сервисом можно управлять и из OpenVPN-GUI, для этого надо в реестре устновить:
      [HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN-GUI]
      "allow_service"="1"
    2. Использовать «механизм» RunAs:
      runas /user:admin openvpn.exe .....
      runas /user:admin /savecred openvpn.exe .....
    3. Можно также использовать альтернативный продукт, например, http://www.robotronic.de/runasspcEn.html
      RunAsSpc.exe /program:"openvpn.exe" /domain:"localhost" /user:"admin" /password:"pass" /param:<programmoptions> /executein:<path to execute>
      Или более безопасно через создание Crypt-файла, см. приложенный к сообщению скриншот (http://forum.ixbt.com/post.cgi?id=attach:14:40906:1:2)
    4. Более подробно см. также статью на английском - http://openvpn.se/files/howto/openvpn-howto_run_open…_as_nonadmin.html
    5. Использовать версию 2.1, в ней есть возможность 1 раз за сеанс (или до выгрузки драйвера) выполнить под администратором команду
      openvpn.exe --allow-nonadmin [TAP-adapter]
      После этого интерфейс будет "подниматься" и с правами пользователя.


6. Ссылки на доп.источники
  • «OpenVPN, или кроссплатформенная частная сеть» (Журнал "Системный администратор", 2004-08, автор: Андрей Бешков) http://www.samag.ru/art/08.2004/08.2004_01.pdf
  • "Организация единой сети при помощи виртуальных ethernet адаптеров (TAP) и программных мостов" (Roman Yerin (Kid)), http://kid.tomsk.ru/docs/linux_bridging.html
P.S. Была очепятка в "2. Server.ovpn, ifconfig ...", исправил 6-июл-2006
Добавил форматирование, исправил ещё пару ляпов. 8-авг-2006
Добавил информацию о конфигурировании L2 и внешние ссылки, 9-ноя-2006
Добавил описания команд, 23-апр-2007
Кое-что добавил (auth-user-pass-verify,...) и исправил (runas), 27-06-2007

К сообщению приложены файлы: 1.png, 444x544, 18Кb, 2.png, 444x544, 19Кb

За это сообщение сказали спасибо: Black-Dragon

2. holmskiy, 28.06.2006 20:36
Спасибо за ответ. Сделал всё как вы писали по простейшиму варианту:

Сервер:
dev tun
ifconfig 10.12.0.1 10.12.0.2
secret key.txt
port 1194
proto udp
comp-lzo


Клиент:
remote 100.100.100.100
dev tun
ifconfig 10.12.0.2 10.12.0.1
secret key.txt
port 1194
proto udp
comp-lzo

Клиент соединяется, сеть устанавливается, главное что дальше, как мне направить весь мой трафик через этот тунель!

3. vinni, 29.06.2006 01:23
Работает? С клиента пингуется 10.12.0.2 ?

Какой трафик Вы понимаете под "как мне направить весь мой трафик через этот тунель" ?

Если трафик в "эту" удалённую сеть, то это просто набор команд маршрутизации.

Если же Вы хотите направить туда трафик 0.0.0.0, то есть команды:
dhcp-option DNS d.d.d.d
redirect-gateway

Но в тех местах, где я их использую, у меня настроены L2-тунели.

Кроме того, на клиенте это только одна задача - "запихнуть" трафик в туннель. А вот "сервер" кроме всего прочего тоже должен корректно его "вытолкнуть" наружу и вернуть обратный трафик. То есть, кроме "своей" LAN-сети должна, возможно, NAT-иться и эта VPN-сеть. А вот с L2-тунелем таких проблем нет.

4. borispr, 29.06.2006 12:11
цитата:
holmskiy:
Клиент соединяется, сеть устанавливается, главное что дальше, как мне направить весь мой трафик через этот тунель!

http://openvpn.net/howto.html#redirect

5. holmskiy, 29.06.2006 20:03
vinni
С клиента пингуется 10.12.0.2 ? - Да пингуется.

Какой трафик Вы понимаете под "как мне направить весь мой трафик через этот тунель" ?
Вот это как раз мой случай:
Routing all client traffic through the VPN. By default, when an OpenVPN client is active, only network traffic to and from the OpenVPN server site will pass over the VPN. General web browsing, for example, will be accomplished with direct connections that bypass the VPN.

т.е. все приложения: браузер, почтовая программа и т. д. должны ходить в Интернет через тунель.

borispr - дал нужную ссылку, спасибо, но вот настроить у меня ума не хватило.

Implementation
Add the following directive to the server configuration file:

push "redirect-gateway def1" - добавил данную команду в конфигурационный файл сервера!(полностью со словом push)

Pushing the redirect-gateway option to clients will cause all IP network traffic originating on client machines to pass through the OpenVPN server. The server will need to be configured to deal with this traffic somehow, such as by NATing it to the internet, or routing it through the server site's HTTP proxy.

Разобрался, что на клиенте дописываем просто
redirect-gateway
но теперь после соединения клиента с сервером, ни браузер, ни почтовик соединится не могут. Пингуется только сервер OpenVPN ну и мой хост соотвественно.

On Linux, you could use a command such as this to NAT the VPN client traffic to the internet:
iptables -t nat -A POSTROUTING -s 10.12.0.0/24 -o eth0 -j MASQUERADE
This command assumes that the VPN subnet is 10.8.0.0/24 (taken from the server directive in the OpenVPN server configuration) and that the local ethernet interface is eth0.

А что необходимо сделать когда сервер под Windows?

When redirect-gateway is used, OpenVPN clients will route DNS queries through the VPN, and the VPN server will need handle them. This can be accomplished by pushing a DNS server address to connecting clients which will replace their normal DNS server settings during the time that the VPN is active.
For example: push "dhcp-option DNS 10.12.0.1"
will configure Windows clients to use 10.12.0.1 as their DNS server. Any address which is reachable from clients may be used as the DNS server address.

DNS прописываем на клиенте?

Что необходимо исправить, добавить?

6. vinni, 30.06.2006 00:33
Я очепятался, я имел ввиду пингуется ли сервер, а это 10.12.0.1, но это на самое важное.

Команда push используется для того, чтобы "протолкнуть" указанную в параметре команду клиенту, то есть в конфиге клиента можно просто redirect-gateway, а в конфиге сервера надо push "redirect-gateway".

Про сервер сначала Вы нам объясните как он имеет доступ к и-нету. Если через NAT, то надо на NAT-е настроить ещё и правила для NAT-ирования и "новой" VPN-сети. Кроме того, на сервере надо включить маршрутизацию.

Сначала добейтесь хотя бы работы ping 194.87.0.50 (это www.ru). После этого уже начинайте мутить с DNS-ом - dhcp-option DNS d.d.d.d

Добавление от 30.06.2006 00:33:

для проверки после ping используйте tracert 194.87.0.50 -d

7. holmskiy, 30.06.2006 01:05
пингуется ли сервер, а это 10.12.0.1 - всё отлично пингуется!

Команда push используется для того, чтобы "протолкнуть" указанную в параметре команду клиенту, то есть в конфиге клиента можно просто redirect-gateway, а в конфиге сервера надо push "redirect-gateway". - у меня так и настроено!

Про сервер сначала Вы нам объясните как он имеет доступ к и-нету. - имеет постоянный статический IP которым смотрит в Интернет, к нему я и подключаюсь, указан в конфигурации клиента как 100.100.100.100 (После установки на сервере OpenVPN появился второй сетевой адаптер.) Программа работает как сервис.

Сначала добейтесь хотя бы работы ping 194.87.0.50 (это www.ru). После этого уже начинайте мутить с DNS-ом - dhcp-option DNS d.d.d.d, для проверки после ping используйте tracert 194.87.0.50 -d - не работает!

Ещё раз подчеркну, что после установеи тунеля с сервером, весь трафик начинает идти на него, но из сервера он не выходит в Интернет, у меня все сетевые программы не работают пока не отключу тунель.

Кроме того, на сервере надо включить маршрутизацию. - я думаю что как раз это я и не сделал, как это делается?

8. borispr, 30.06.2006 12:25
цитата:
holmskiy:
Ещё раз подчеркну, что после установеи тунеля с сервером, весь трафик начинает идти на него, но из сервера он не выходит в Интернет, у меня все сетевые программы не работают пока не отключу тунель.
Естественно! Хотелось весь трафик загнать в VPN, вот он туда весь и уходит.

цитата:
holmskiy:
Кроме того, на сервере надо включить маршрутизацию. - я думаю что как раз это я и не сделал
Кхм... ваще-то с этого надо было начинать

цитата:
holmskiy: как это делается?
Мда, неожиданный поворот событий... Читаете про расшаривание инет канала или ставьте прогу маршрутизации с натом.

9. vinni, 06.07.2006 15:10
holmskiy
Была очепятка в "2. Server.ovpn, ifconfig ...", исправил:
2. Server.ovpn
dev tun
ifconfig 10.8.0.0 255.255.255.0

10. holmskiy, 08.07.2006 11:32
vinni
"Была опечатка в "2. Server.ovpn, ifconfig ...", исправил:
2. Server.ovpn
dev tun
ifconfig 10.8.0.0 255.255.255.0"
с таким настройками не работает! Клиент не может соединиться! Со старыми всё работало и работает.

Главное!!!
Включил на сервере службу Routing and Remote Access
выбрал NAT теперь все внешнии адресса Интернета пингуются, tracer 194.87.0.50 -d проходит на ура! Осталось последнее, разобраться с DNS, подскажи пожалуйста, что прописать на сервере и на клиенте. Пока браузер не работает.

11. vinni, 08.07.2006 14:17
На сервере (Win2003) поднят DNS-сервер или DNS-агент? Если да, то укажите для клиента DNS-сервером именно IP этого сервера. Если не заработает, то укажите DNS-ом тот сервер, кот. дан провайдером для Win2003.

12. holmskiy, 08.07.2006 19:15
цитата:
vinni:
На сервере (Win2003) поднят DNS-сервер или DNS-агент? Если да, то укажите для клиента DNS-сервером именно IP этого сервера. Если не заработает, то укажите DNS-ом тот сервер, кот. дан провайдером для Win2003.

На сервере (Win2003) поднят DNS клиент. Указываю на сервере VPN и на клиенте (у себя на машине) следующее:

push "dhcp-option DNS 100.100.100.50"

где 100.100.100.50 - DNS сервер провайдера выдаваемый Win2003 и определяемы по команде nslookup. Может синтаксис команды не правильный или нужна другая? Не работает?

Когда в браузере печатаю IP адресс веб сервера (например http://www.yahoo.com/ - http://209.73.186.238) сайт загружается, но скорость очень, очень маленька!

13. vinni, 08.07.2006 19:35
Продиагностируйте DNS на клиенте после установки туннеля - ipconfig /all, nslookup
цитата:
Указываю на сервере VPN и на клиенте (у себя на машине) следующее: push "dhcp-option DNS 100.100.100.50"
А зачем в двух местах? ИМХО достаточно в одном:
на сервере push "dhcp-option DNS 100.100.100.50"
или на клиенте dhcp-option DNS 100.100.100.50

14. holmskiy, 08.07.2006 20:04
цитата:
vinni:
Продиагностируйте DNS на клиенте после установки туннеля - ipconfig /all, nslookup
цитата:
Указываю на сервере VPN и на клиенте (у себя на машине) следующее: push "dhcp-option DNS 100.100.100.50"
А зачем в двух местах? ИМХО достаточно в одном:
на сервере push "dhcp-option DNS 100.100.100.50"
или на клиенте dhcp-option DNS 100.100.100.50

Огромное, ну просто ОГРОМАДНОЕ СПАСИБО!!! Прописал DNS только на клиенте, причём своего провайдера и всё заработало на УРА!
Сейчас попробую расширенную конфигурацию, если не трудно, заглядывайте в эту тему, уверен, что у меня будут вопросы.

Ещё раз спасибо Вам за помощь и терпение со мной!!!

15. vinni, 08.07.2006 20:36
цитата:
Прописал DNS только на клиенте, причём своего провайдера и всё заработало на УРА!
Этот вариант не всегда пройдёт, зависит от того, что за адрес, в какой сети и будет ли он обрабатывать рекурсивный запрос, пришедший не из обслуживаемой им сети. В Вашем случае срослось, повезло.

16. nick_name, 16.07.2006 23:01
vinni
продолжим здесь
Можно ли как-то обойтись без моста? Мне не принципиально - tun, tap, PPTP, L2TP...
Сервер:
код:
port xxxxx
proto tcp-server
dev tun
ifconfig 192.168.20.81 192.168.20.82
ca ca.crt
cert server.crt
key server.key
tls-server
dh dh2048.pem
tls-auth ta.key 0 # This file is secret
cipher AES-256-CBC # AES
comp-lzo

Клиент:
код:
dev tun
ifconfig 192.168.20.82 192.168.20.81
remote zzz.zzzzz.zzz xxxxx
resolv-retry infinite
proto tcp-client
ca ca.crt
cert client0.crt
key client0.key
tls-client
dh dh2048.pem
tls-auth ta.key 1 # This file is secret
cipher AES-256-CBC # AES
comp-lzo
redirect-gateway
dhcp-option DNS 192.168.1.1
;route-method exe

17. vinni, 17.07.2006 12:34
Судя по "OpenVPN 2_0_x Man Page.htm" должно работать:
код:
--redirect-gateway [local] [def1]
(Experimental) Automatically execute routing commands to cause all outgoing IP traffic to be redirected over the VPN.

This option performs three steps:

(1) Create a static route for the --remote address which forwards to the pre-existing default gateway. This is done so that (3) will not create a routing loop.

(2) Delete the default gateway route.

(3) Set the new default gateway to be the VPN endpoint address (derived either from --route-gateway or the second parameter to --ifconfig when --dev tun is specified).

When the tunnel is torn down, all of the above steps are reversed so that the original default route is restored.

Add the local flag if both OpenVPN servers are directly connected via a common subnet, such as with wireless. The local flag will cause step 1 above to be omitted.

Add the def1 flag to override the default gateway by using 0.0.0.0/1 and 128.0.0.0/1 rather than 0.0.0.0/0. This has the benefit of overriding but not wiping out the original default gateway.

Using the def1 flag is highly recommended, and is currently planned to become the default by OpenVPN 2.1.

Просто мне пришлось пользовать redirect-gateway именно там же, где и L2-тунели...

Режим TCP я не пользую - на начальных порах я его пробовал, но почему-то была ощутимо более низкая производительность по сравнению с UPD.

tls не пользую

А зачем у клиента "dh dh2048.pem"?
--dh file
File containing Diffie Hellman parameters in .pem format (required for --tls-server only)

Так я не понял - работает или нет?

18. nick_name, 17.07.2006 13:12
vinni
Режим TCP я не пользую - на начальных порах я его пробовал, но почему-то была ощутимо более низкая производительность по сравнению с UPD.
Для надежности решил попробовать. Спасибо за инфо, переключу на UDP и сравню.
А зачем у клиента "dh dh2048.pem"?
Забыл стереть когда конфиг копировал.
Так я не понял - работает или нет?
Пинги ходят пока что до адаптера на сервере.
Вчера вообще засада была попробовал в мост объединить, так потом едва восстановил
Хорошо хоть было кому помочь "на той стороне". Пока объяснил где и что нажимать...
Вы писали про это, думал пройдет нормально.
IMO - если делать мост, то редактированием реестра чтобы сразу все параметры прописать. И автоматическое восстановление сделать после 2-ой перезагрузки. Заморока еще та, но если больше никак то можно и так
Сейчас увы проверить не могу, только вечером.
Спасибо за поддержку!

19. vinni, 17.07.2006 14:19
Теперь возитесь на сервере, скорее всего там надо настроить NAT для VPN-адреса клиента.

20. nick_name, 19.07.2006 02:09
vinni
В том то и вопрос что я не знаю как это сделать

21. vinni, 19.07.2006 16:45
Я тоже.

Как сервер подключен к и-нету? Физически, логически, программно?

22. nick_name, 19.07.2006 17:56
Сервер с Win2003 SP1, встроенная сетевуха напрямую соединена с ADSL-модемом. Модем - однопортовый, внутренний (я правильно называю?) адрес модема 192.168.1.1, сетевухи 1.2. Модем получает "белый" IP-адрес от провайдера.
Сейчас пинги ходят только до 192.168.20.81 (адрес TAP-адаптера на сервере), как я понимаю - надо прописать route чтобы ходили дальше. Вот только где писать? С этого места непонятки и начинаются
Для начала сделать хотя бы чтоб модем пинговался...
По логике - на клиенте (ноут) route add 192.168.1.1 192.168.20.81, на сервере route add 192.168.1.1 192.168.1.2 IF [здесь TAP-адаптер].

Вечером проверю. Если еще инфа нужна - напишу (вроде бы все и так уже написал).
Ушел читать про настройку RRAS и NAT

Добавлено в 23:35
Все. Работает!!!
Нужно было просто NAT поднять и настроить. Причем настройка приизводилась встроенным в оснастку RRAS мастером, всего несколько шагов.

23. vinni, 19.07.2006 23:55
Сейчас доступ из сервера в и-нет идёт через NAT на ADSL-роутере (Ваш модем судя по разным адресам на его WAN и LAN портам [ну или внешнем и внутреннем]). Если на сервере даже просто включить маршрутизацию, то он без зазрения совести, просто перешлёт пакет от OpenVPN-клиента на этот роутер. А вот как отнесётся к нему роутер - вопрос. Сможет он его NAT-ить? Это требует от него поддержки нескольких внутренних сетей. Есть шанс, что не сможет. Тогда Вам надо поднимать и настраивать NAT на сервере. Как вариант, его можно настроить только NAT-ить OpenVPN-овкую сеть, а ADSL-роутер пусть NAT-ит сам по себе (для OpenVPN-овской сети это будет уже второй NAT).

Если не хотите морочиться с настройкой доп. сервисов, то можете просто перенастроить тунель в режим L2 (tun tap), сделать мост. Тогда OpenVPN-интерфейс клиента будет иметь IP из той же LAN-сети и его трафик будет без проблем NAT-иться ADSL-роутером.

Добавление от 19.07.2006 23:56:

А... Поздравляю. Пока писал, не видел Ваше дополнение. Собственно, как я понимаю, Вы сделали именно то, что я и предложил - двойной NAT для OpenVPN-овской сети.

К этой теме 20.07.2006 16:03 split подклеил сообщения из темы "нужно хитро туннелировать подсеть - создать по обоим сторонам туннеля один ethernet-сегмент" (автор: Dmitriy Kolesnikov)

25. Almaty, 20.07.2006 15:14
Здравствуйте
хотел бы проконсультироватся у Вас о Openvpn
В данный момент настроен openvpn bridge на двух компах (ос Linux)
(без ключей) все работает все нормально.
Читал на сайте про сервер для нескольких клиентов... но немного непонятно как это делается..
(есть 1н сервер к нему подключаетс несколько клиентов)
если вы что либо занете про такую конфигурацию прошу вас немного помочь

26. vinni, 20.07.2006 16:11
Из общих соображений - а в чём сложность нескольких клиентов? У меня их по 10-20 сидят на OpenVPN-ах. И на L3 (dev tun) и на L2 (dev tap). У меня как раз наоборот - только 1 хост на котором только 1 ovpn-клиент, на остальных их много.

Тяжело ответить непонимая в чём у Вас "непонятки"...

27. Almaty, 21.07.2006 10:30
Здраввуйте..
начну с самого начала.. в данный момент настроена два Linux bridge на втором уровне L2
на одной машине файл конфигурации server.conf на второй client.conf
Этот один клиент конектится к серверу.
Надо что бы несколько клиентов работало с сервером... по L2
почитал на сайте openvpn если я все правильно понял то это реализуется через добавление в файл конфигурации
параметра server-bridge
после запуска openvpn Началась ругань на You must define DH file (--dh)
1) Мне надо определить параметр dh dh1024.pem?
2) потом создать ключи как на сервере так и на клиентах?
я в правильном направлении иду или я что та упустил?

28. vinni, 21.07.2006 20:30
1. DH я во всех своих инсталляциях делаю по инерции, но в мануале написано что он нужен только для tls:
--dh file
File containing Diffie Hellman parameters in .pem format (required for --tls-server only)
Сделать его (DH) можно Помогите настроить OpenVPN !, #1 (http://forum.ixbt.com/topic.cgi?id=14:40906:1#1)

2. server-bridge 192.168.1.rrr 255.255.255.0 192.168.1.xx1 192.168.1.xx2
192.168.1 - это, ес-но, условный пример
rrr - IP роутера
xx1 - xx2 - диапазон IP, выделенных для клиентов

3. Есть полезная опция client-config-dir - указывает каталог, в котором лежат дополнительные индивидуальные клиентские конфиги. Как минимум, я в этих конфигах "прописываю" статические IP для клиентов: ifconfig-push

29. dganzin, 30.07.2006 16:22
Такая задача,
На работе есть локалка и есть инет через DSL.
У меня есть удаленный сервер. Хочу пустить весь не локальный трафик через него.
Мучаюсь уже долго никак не могу правильно настроить redirect-gateway.

Сервер FreeBSD 6.1
Клиетн WinXP

Помогите пожалуйста.

Настройки сервера
код:
dev tun

server 10.1.0.0 255.255.255.0
push "route 10.1.0.0 255.255.255.0"

client-to-client

tls-server

dh dh1024.pem
ca /usr/local/etc/vpn/ca.crt
cert /usr/local/etc/vpn/server.crt
key /usr/local/etc/vpn/server.key

proto tcp-server
port 7258

push "redirect-gateway def1"

user nobody
group nobody

comp-lzo

persist-tun
persist-key

tls-auth /usr/local/etc/vpn/ta.key 0
keepalive 10 120

status /var/log/openvpn-status.log
log /var/log/openvpn-log.log

verb 5

Настройки клиента
код:
dev tun

remote <server-ip>
tls-client

client

ns-cert-type server

ca ca.crt
cert client-winxp.crt
key client-winxp.key

tls-auth ta.key 1

proto tcp-client
port 7258

comp-lzo

tun-mtu 1500
tun-mtu-extra 32
mssfix 1450

ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key

verb 3

30. vinni, 30.07.2006 17:21
dganzin
В чём собственно проблема?
Соединение устанавливается? ping 10.1.0.1 с клиента работает?

Добавьте в конфиг клиента show-net-up - это покажет в логе процесс добавления маршрутов.
Смотрите сами или покажите ipconfig /all и route print до и после установки ovpn-соединения.
Также смотрите лог-файлы, возможно, с обеих сторон. Возможно, придётся увеличить детальность - verb 4 (или 5 и более).

В некоторых не до конца ясных ситуациях (часто при включенном rras) под Win не срабатывает назначение маршрута (в выводе команды show-net-up маршрут есть, а в route print его нет) - лечится route-method exe

Клиент, надеюсь, не находится в одной сети с <server-ip>?

Вы "переносите" только шлюз, DNS и WINS не переносите. По-этому, локальные имена видны не будут. Не в этом дело?

31. dganzin, 30.07.2006 18:26
цитата:
vinni:
В чём собственно проблема?
VPN цепляется, а в Инет через него не могу вылезти.
цитата:
vinni:
Соединение устанавливается? ping 10.1.0.1 с клиента работает?
Вы наверное волшебник, после вашего поста пошли
цитата:
vinni:
Добавьте в конфиг клиента show-net-up - это покажет в логе процесс добавления маршрутов.
Вот он
код:
SYSTEM ROUTING TABLE
0.0.0.0 128.0.0.0 10.1.0.5 p=0 i=3 t=4 pr=3 a=0 h=0 m=1/-1/-1/-1/-1
0.0.0.0 0.0.0.0 192.168.61.111 p=0 i=2 t=4 pr=3 a=674 h=0 m=1/-1/-1/-1/-1
10.1.0.0 255.255.255.0 10.1.0.5 p=0 i=3 t=4 pr=3 a=0 h=0 m=1/-1/-1/-1/-1
10.1.0.4 255.255.255.252 10.1.0.6 p=0 i=3 t=3 pr=2 a=1 h=0 m=30/-1/-1/-1/-1
10.1.0.6 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=1 h=0 m=30/-1/-1/-1/-1
10.255.255.255 255.255.255.255 10.1.0.6 p=0 i=3 t=3 pr=2 a=1 h=0 m=30/-1/-1/-1/-1
38.x.x.x 255.255.255.255 192.168.61.111 p=0 i=2 t=4 pr=3 a=0 h=0 m=1/-1/-1/-1/-1
127.0.0.0 255.0.0.0 127.0.0.1 p=0 i=1 t=3 pr=2 a=16337 h=0 m=1/-1/-1/-1/-1
128.0.0.0 128.0.0.0 10.1.0.5 p=0 i=3 t=4 pr=3 a=0 h=0 m=1/-1/-1/-1/-1
192.168.61.0 255.255.255.0 192.168.61.49 p=0 i=2 t=3 pr=2 a=16337 h=0 m=20/-1/-1/-1/-1
192.168.61.49 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=16337 h=0 m=20/-1/-1/-1/-1
192.168.61.255 255.255.255.255 192.168.61.49 p=0 i=2 t=3 pr=2 a=16337 h=0 m=20/-1/-1/-1/-1
224.0.0.0 240.0.0.0 10.1.0.6 p=0 i=3 t=3 pr=2 a=1 h=0 m=30/-1/-1/-1/-1
224.0.0.0 240.0.0.0 192.168.61.49 p=0 i=2 t=3 pr=2 a=16337 h=0 m=20/-1/-1/-1/-1
255.255.255.255 255.255.255.255 10.1.0.6 p=0 i=3 t=3 pr=2 a=16337 h=0 m=1/-1/-1/-1/-1
255.255.255.255 255.255.255.255 192.168.61.49 p=0 i=2 t=3 pr=2 a=16337 h=0 m=1/-1/-1/-1/-1
SYSTEM ADAPTER LIST
TAP-Win32 Adapter V8 - Минипорт планировщика пакетов
Index = 3
GUID = {0D41EE0C-1A65-478B-A1B6-C52ED2101ADB}
IP = 10.1.0.6/255.255.255.252
MAC = 00:ff:0d:41:ee:0c
GATEWAY = 10.1.0.5/0.0.0.0
DHCP SERV = 10.1.0.5
DHCP LEASE OBTAINED = Sun Jul 30 21:12:02 2006
DHCP LEASE EXPIRES = Mon Jul 30 21:12:02 2007
Intel(R) PRO/100 VM сетевое подключение - Минипорт планировщика пакетов
Index = 2
GUID = {B0A7E875-34B2-4B74-98C7-841223A19F62}
IP = 192.168.61.49/255.255.255.0
MAC = 00:08:02:93:0a:0c
GATEWAY = 192.168.61.111/0.0.0.0
Sun Jul 30 21:12:02 2006 us=862833 Initialization Sequence Completed

цитата:
vinni:
Смотрите сами или покажите ipconfig /all и route print до и после установки ovpn-соединения.
ipconfig /all
код:
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : n9
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет

Химиков 61 (LAN) - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/100 VM сетевое подключение
Физический адрес. . . . . . . . . : 00-08-02-93-0A-0C
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.61.49
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.61.111
DNS-серверы . . . . . . . . . . . : 192.168.61.111

VPN-Realtrio - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8
Физический адрес. . . . . . . . . : 00-FF-0D-41-EE-0C
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 10.1.0.6
Маска подсети . . . . . . . . . . : 255.255.255.252
Основной шлюз . . . . . . . . . . : 10.1.0.5
DHCP-сервер . . . . . . . . . . . : 10.1.0.5
Аренда получена . . . . . . . . . : 30 июля 2006 г. 21:12:02
Аренда истекает . . . . . . . . . : 30 июля 2007 г. 21:12:02

route print
код:
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 08 02 93 0a 0c ...... Intel(R) PRO/100 VM ёхЄхтюх яюфъы■ўхэшх - ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют
0x3 ...00 ff 0d 41 ee 0c ...... TAP-Win32 Adapter V8 - ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 128.0.0.0 10.1.0.5 10.1.0.6 1
0.0.0.0 0.0.0.0 192.168.61.111 192.168.61.49 1
10.1.0.0 255.255.255.0 10.1.0.5 10.1.0.6 1
10.1.0.4 255.255.255.252 10.1.0.6 10.1.0.6 30
10.1.0.6 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.1.0.6 10.1.0.6 30
38.x.x.x 255.255.255.255 192.168.61.111 192.168.61.49 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
128.0.0.0 128.0.0.0 10.1.0.5 10.1.0.6 1
192.168.61.0 255.255.255.0 192.168.61.49 192.168.61.49 20
192.168.61.49 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.61.255 255.255.255.255 192.168.61.49 192.168.61.49 20
224.0.0.0 240.0.0.0 10.1.0.6 10.1.0.6 30
224.0.0.0 240.0.0.0 192.168.61.49 192.168.61.49 20
255.255.255.255 255.255.255.255 10.1.0.6 10.1.0.6 1
255.255.255.255 255.255.255.255 192.168.61.49 192.168.61.49 1
Основной шлюз: 10.1.0.5
===========================================================================
Постоянные маршруты:
Отсутствует

цитата:
vinni:
Также смотрите лог-файлы, возможно, с обеих сторон. Возможно, придётся увеличить детальность - verb 4 (или 5 и более).
Поставил 5, более мусора много.
цитата:
vinni:
В некоторых не до конца ясных ситуациях (часто при включенном rras) под Win не срабатывает назначение маршрута (в выводе команды show-net-up маршрут есть, а в route print его нет) - лечится route-method exe
Добавил, не помогло.
цитата:
vinni:
Клиент, надеюсь, не находится в одной сети с <server-ip>?
В разных.
цитата:
vinni:
Вы "переносите" только шлюз, DNS и WINS не переносите. По-этому, локальные имена видны не будут. Не в этом дело?
DNS локальный есть, а хотелось что-бы DNS был забиндин на виртуальный IP. Хотя не важно, главное в инет через удаленный сервак ходил.

32. vinni, 30.07.2006 18:44
1. Маршруты добавлены... На первый взгляд корректно, хотя я и не пробовал парараметр def1, попробуйте без него - push "redirect-gateway"

2. что скажет tracert 194.87.0.50 ?

3. А сервет то вообще знает что надо делать с пакетами из этой сети 10.1.0.0 ? На нём настроена маршрутизация или NAT для этой сети?

33. dganzin, 30.07.2006 19:15
цитата:
vinni:
1. Маршруты добавлены... На первый взгляд корректно, хотя я и не пробовал парараметр def1, попробуйте без него - push "redirect-gateway"
Убрал, тоже самое.
цитата:
vinni:
2. что скажет tracert 194.87.0.50 ?
код:
Трассировка маршрута к www.ru [194.87.0.50]
с максимальным числом прыжков 30:

1 * * * Превышен интервал ожидания для запроса.
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.

цитата:
vinni:
3. А сервет то вообще знает что надо делать с пакетами из этой сети 10.1.0.0 ? На нём настроена маршрутизация или NAT для этой сети?
Ни того, ни того нету. Подскажите пожалуйста как настроить или ман.
цитата:
vinni:
4. В Ваших логах "отвсечивает" IP Вашего сервера 38.x... Многие это предпочитают не делать в публичных местах, если и Вы этого не хотите - затрите.
Спасибо, поправил.

34. vinni, 30.07.2006 19:32
Настройка маршрутизации на сервере вне этой темы и к тому же я по ней Вам не подскажу - *nix не моя специализация

35. dganzin, 30.07.2006 19:43
Не страшно, вы мне и так очень сильно помогли. Дальше я сам покопаю.
Огромно спасибо за помощь!!!

Добавление от 30.07.2006 22:24:

нашел проблему, но не знаю, как ее решить

В виндах, после установки соединения, ставиться основной шлюз = 10.1.0.5.
Хотя 10.1.0.5 даже не пингуется, по идее должен стоять 10.1.0.1.
Как поправить?

36. vinni, 30.07.2006 22:47
цитата (dganzin):
В виндах, после установки соединения, ставиться основной шлюз = 10.1.0.5.
Хотя 10.1.0.5 даже не пингуется, по идее должен стоять 10.1.0.1
Всё там правильно, должен быть именно 10.1.0.5. OpenVPN в режиме tun "нарезает" сети по /30 (255.255.255.252), при этом 10.1.0.6 - "твой" адрес, 10.1.0.5 - адрес peer-a условного маршрутизатора (это ещё не сервер, сервер - это 10.1.0.1/30) и это отражено в табл.маршрутизации:
10.1.0.4 255.255.255.252 10.1.0.6 10.1.0.6 30
10.1.0.6 255.255.255.255 127.0.0.1 127.0.0.1 30
Кстати, результатом действия ключа def1 является "разбиение" default маршрута на 2 (см. строки 1 и 3 в цитате ниже), и это тоже правильно:
0.0.0.0 128.0.0.0 10.1.0.5 10.1.0.6 1
0.0.0.0 0.0.0.0 192.168.61.111 192.168.61.49 1
128.0.0.0 128.0.0.0 10.1.0.5 10.1.0.6 1

37. dganzin, 30.07.2006 23:12
Так ведь 10.1.0.5 ничего нету. Шлюз в никуда?

Добавление от 30.07.2006 23:16:

А как проверить, что он запрос к серверу прошел через VPN?

38. vinni, 30.07.2006 23:19
Так вот я и предлагал tracert, чтобы проверить. Странно, что не ответил хотя бы интерфейс 10.1.0.1
Следующий способ, которым я бы проверил - снифер.

Способ нарезки сетей OpenVPN-ом показан на прилагаемом рисунке
http://forum.ixbt.com/post.cgi?id=attach:14:40906:38:1 (716x716, 48,3Kb)

К сообщению приложены файлы: 1.png, 716x716, 48Кb

39. dganzin, 31.07.2006 02:45
Ответ на ping www.ru
код:
Обмен пакетами с www.ru [194.87.0.50] по 32 байт:

Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 194.87.0.50:
Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь),

Паралельно ответ на tcpdump -env -ttt -i tun0
код:

tcpdump: listening on tun0, link-type NULL (BSD loopback), capture size 96 bytes
000000 AF IPv4 (2), length 64: (tos 0x0, ttl 128, id 13089, offset 0, flags [none], proto: ICMP (1), length: 60) 10.1.0.6 > 194.87.0.50: ICMP echo request, id 768, seq 24832, length 40
5. 354606 AF IPv4 (2), length 64: (tos 0x0, ttl 128, id 13093, offset 0, flags [none], proto: ICMP (1), length: 60) 10.1.0.6 > 194.87.0.50: ICMP echo request, id 768, seq 25088, length 40
4. 998780 AF IPv4 (2), length 64: (tos 0x0, ttl 128, id 13098, offset 0, flags [none], proto: ICMP (1), length: 60) 10.1.0.6 > 194.87.0.50: ICMP echo request, id 768, seq 25344, length 40
5. 006494 AF IPv4 (2), length 64: (tos 0x0, ttl 128, id 13102, offset 0, flags [none], proto: ICMP (1), length: 60) 10.1.0.6 > 194.87.0.50: ICMP echo request, id 768, seq 25600, length 40
11. 043736 AF IPv4 (2), length 56: (tos 0x0, ttl 128, id 13118, offset 0, flags [DF], proto: TCP (6), length: 52) 10.1.0.6.1717 > 66.102.11.99.80: S, cksum 0x36d7 (correct), 2069716618:2069716618(0) win 65535 <mss 1334,nop,wscale 3,nop,nop,sackOK>
376457 AF IPv4 (2), length 56: (tos 0x0, ttl 128, id 13128, offset 0, flags [DF], proto: TCP (6), length: 52) 10.1.0.6.1718 > 209.51.159.130.80: S, cksum 0x7c24 (correct), 2171465790:2171465790(0) win 65535 <mss 1334,nop,wscale 3,nop,nop,sackOK>
2. 599722 AF IPv4 (2), length 56: (tos 0x0, ttl 128, id 13131, offset 0, flags [DF], proto: TCP (6), length: 52) 10.1.0.6.1717 > 66.102.11.99.80: S, cksum 0x36d7 (correct), 2069716618:2069716618(0) win 65535 <mss 1334,nop,wscale 3,nop,nop,sackOK>
376465 AF IPv4 (2), length 56: (tos 0x0, ttl 128, id 13133, offset 0, flags [DF], proto: TCP (6), length: 52) 10.1.0.6.1718 > 209.51.159.130.80: S, cksum 0x7c24 (correct), 2171465790:2171465790(0) win 65535 <mss 1334,nop,wscale 3,nop,nop,sackOK>
5. 643273 AF IPv4 (2), length 56: (tos 0x0, ttl 128, id 13139, offset 0, flags [DF], proto: TCP (6), length: 52) 10.1.0.6.1717 > 66.102.11.99.80: S, cksum 0x36d7 (correct), 2069716618:2069716618(0) win 65535 <mss 1334,nop,wscale 3,nop,nop,sackOK>
482819 AF IPv4 (2), length 56: (tos 0x0, ttl 128, id 13141, offset 0, flags [DF], proto: TCP (6), length: 52) 10.1.0.6.1718 > 209.51.159.130.80: S, cksum 0x7c24 (correct), 2171465790:2171465790(0) win 65535 <mss 1334,nop,wscale 3,nop,nop,sackOK>
11. 457119 AF IPv4 (2), length 56: (tos 0x0, ttl 128, id 13150, offset 0, flags [DF], proto: TCP (6), length: 52) 10.1.0.6.1719 > 66.102.11.104.80: S, cksum 0x83e3 (correct), 1006129372:1006129372(0) win 65535 <mss 1334,nop,wscale 3,nop,nop,sackOK>
3. 007633 AF IPv4 (2), length 56: (tos 0x0, ttl 128, id 13158, offset 0, flags [DF], proto: TCP (6), length: 52) 10.1.0.6.1719 > 66.102.11.104.80: S, cksum 0x83e3 (correct), 1006129372:1006129372(0) win 65535 <mss 1334,nop,wscale 3,nop,nop,sackOK>
6. 019263 AF IPv4 (2), length 56: (tos 0x0, ttl 128, id 13168, offset 0, flags [DF], proto: TCP (6), length: 52) 10.1.0.6.1719 > 66.102.11.104.80: S, cksum 0x83e3 (correct), 1006129372:1006129372(0) win 65535 <mss 1334,nop,wscale 3,nop,nop,sackOK>

40. vinni, 31.07.2006 12:17
Отлично видно, что на интерфейс приходят и ICMP-пакеты и даже пакеты TCP Syn. А вот никакие ответы туда не посылаются.
Теперь смотрите что у Вас на сервере. Как пакеты с этого сервера попадают в интернет? Чем и где это маршрутизируется и NAT-ится и какие там настройки?

41. dganzin, 01.08.2006 00:09
Cервер внутри должен видеть виртуальную сетку?
А то на сервере ping на 10.1.0.1 не проходит.

Добавление от 01.08.2006 01:53:

А може лучше bridge сделать?

42. vinni, 01.08.2006 02:00
Странно это. 10.1.0.1 сервер уж точно должен "видеть", это ведь его интерфейс. Может фильтрация на сервере так настроена?

Вы думаете с мостом станет легче?

Вы так и не ответили - Как пакеты с этого сервера попадают в интернет? Чем и где это маршрутизируется и NAT-ится и какие там настройки?

43. Almaty, 01.08.2006 09:12
Возникла еще маленькая проблема....
собрал две машина на одной FC4 openvpn установлен из RPM
(/usr/share/openvpn/easy-rsa/2.0/keys)
вторая Slackware соответсвенно из пакеджей
(usr/doc/openvpn-2.0.5/easy-rsa/2.0)
при запуске openvpn server.conf происходит следующее
Cannot open dh1024.pem for DH parameters: error:02001002:system library:fopen:No such file or directory: error:2006D080:BIO routines:BIO_new_file:no such file
нет файла по пути...
вот тут и тупик...
где в файле server.conf указывается местонахождение
dh
ca ca.crt
cert server.crt
key server.key
Вроде читал на сайте что если из RPM то файл *vars ненадо редактировать.
Так где же эти пути указываются?

Добавление от 01.08.2006 10:17:

Вот нашол
вот так надо указывать пути
ca /usr/share/openvpn/easy-rsa/2.0/keys/ca.crt

Добавление от 01.08.2006 14:22:

и вот еще вопрос
для тестов сервера и клиентов есть только да компа(Клиент и сервер)
Клиент конектится к серверу... но это только один клиент..
как можно проверить будет ли второй конектится или нет?
Может есть какиенибуть тесты?

44. dganzin, 01.08.2006 18:41
цитата:
vinni:
Странно это. 10.1.0.1 сервер уж точно должен "видеть", это ведь его интерфейс. Может фильтрация на сервере так настроена?
Вы так и не ответили - Как пакеты с этого сервера попадают в интернет? Чем и где это маршрутизируется и NAT-ится и какие там настройки?
Есть только nat ядра (ipnat), простой nat не поднят.
так же я включил ipmon и ipnat

кусок из rc.conf
код:
# firewall ipf
ipfilter_enable="YES"
#ipfilter_rules="/etc/ipf.rules"
ipmon_enable="YES"
ipmon_flags="-Ds"
gateway_enable="YES"
ipnat_enable="YES"
ipnat_rules="/etc/ipnat.rules"

ipnat.rules
код:
map sis0  10.1.0.0/24  -> 38.x.x.x/32

цитата:
vinni:
Вы думаете с мостом станет легче?
Не, решил не делать. Проблемы мост не решит.

Добавление от 01.08.2006 18:51:

Так же вот таблица роутов, может там косяки, посмотрите пожалуйста.

код:
Routing tables

Internet:
Destination Gateway Flags Refs Use Netif Expire
default 38.x.x.9 UGS 1 6775 sis0
10.1/24 10.1.0.2 UGS 0 5 tun0
10.1.0.2 10.1.0.1 UH 1 0 tun0
38.x.x.8/29 link#1 UC 0 0 sis0
38.x.x.9 00:0f:34:c3:69:80 UHLW 2 0 sis0 18
38.x.x.10/32 10.1.0.1 UGS 0 0 sis0
38.x.x.11 00:15:f2:60:4e:21 UHLW 1 1 lo0
127.0.0.1 127.0.0.1 UH 0 62 lo0

Internet6:
Destination Gateway Flags Netif Expire
::1 ::1 UH lo0
fe80::%sis0/64 link#1 UC sis0
fe80::215:f2ff:fe60:4e21%sis0 00:15:f2:60:4e:21 UHL lo0
fe80::%lo0/64 fe80::1%lo0 U lo0
fe80::1%lo0 link#3 UHL lo0
fe80::%tun0/64 link#4 UC tun0
fe80::215:f2ff:fe60:4e21%tun0 link#4 UHL lo0
ff01:1::/32 link#1 UC sis0
ff01:3::/32 ::1 UC lo0
ff01:4::/32 link#4 UC tun0
ff02::%sis0/32 link#1 UC sis0
ff02::%lo0/32 ::1 UC lo0
ff02::%tun0/32 link#4 UC tun0

не будет пару дней, ухал в Казахстан дайвингом заниматься :D

45. vinni, 02.08.2006 02:38
dganzin
Про фильтры и NAT не подскажу, попробуйте спросить AckCmd.

По маршрутам:
Destination Gateway Flags Refs Use Netif Expire
default 38.x.x.9 UGS 1 6775 sis0 - дефолтный, ок
10.1/24 10.1.0.2 UGS 0 5 tun0 - ovpn-сеть, ок
10.1.0.2 10.1.0.1 UH 1 0 tun0 - ovpn-шлюз в интерфейсной сети, ок
38.x.x.8/29 link#1 UC 0 0 sis0 - интерфейсная wan-сеть, ок
38.x.x.9 00:0f:34:c3:69:80 UHLW 2 0 sis0 18 - шлюз в интерфейсной сети, ок
38.x.x.10/32 10.1.0.1 UGS 0 0 sis0 - вот это что??? Зачем это?
38.x.x.11 00:15:f2:60:4e:21 UHLW 1 1 lo0 - свой интерфейс
127.0.0.1 127.0.0.1 UH 0 62 lo0

Непонятки:
1. Почему отличаются UH и UHLW и значения Gateway в 3 (10.1.0.2) и 5 (38.x.x.9) строках?
2. Почему нет маршрута 10.1.0.1 -> lo ? Может он потому и не пингуется?
3. Что такое 38.x.x.10/32 ?

46. dganzin, 08.08.2006 10:29
я приехал!!!

vinni
Таблица роутов до включения ovpn (после перезагрузки)
код:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default 38.xx.xx.9 UGS 0 1176 sis0
38.x.x.8/29 link#1 UC 0 0 sis0
38.x.x.9 00:0f:34:c3:69:80 UHLW 2 0 sis0 756
ns1.myDomain.net 00:15:f2:60:4e:21 UHLW 1 1 lo0
ns2.myDomain.net 00:15:f2:60:4e:21 UHLW 1 1 lo0
localhost localhost UH 1 82 lo0

Таблица роутов после включения ovpn.
код:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default 38.x.x.9 UGS 1 3188 sis0
10.1/24 10.1.0.2 UGS 0 0 tun0
10.1.0.2 10.1.0.1 UH 1 0 tun0
38.x.x.8/29 link#1 UC 0 0 sis0
38.x.x.9 00:0f:34:c3:69:80 UHLW 2 0 sis0 69
38.x.x.10/32 10.1.0.1 UGS 0 0 sis0
ns2.myDomain.net 00:15:f2:60:4e:21 UHLW 1 1 lo0
localhost localhost UH 1 174 lo0

цитата:
vinni
1. Почему отличаются UH и UHLW и значения Gateway в 3 (10.1.0.2) и 5 (38.x.x.9) строках?
Честно говоря не знаю, 5 сторока существовала еще до ovnp и имеет ссылку на аппаратный адрес Ethernet(флаг L). Я руками ничего не в бивал, все само прописывается.
цитата:
vinni
Почему нет маршрута 10.1.0.1 -> lo ? Может он потому и не пингуется?
А как его добавить?
цитата:
vinni
Что такое 38.x.x.10/32
Это один из IP сервера.
код:
Таблица масок подсетей.
Длина маски Маска Обратная маска Размер подсети Доступных адресов
/24 255.255.255.0 0.0.0.255 256 254
/25 255.255.255.128 0.0.0.127 128 126
/26 255.255.255.192 0.0.0.63 64 62
/27 255.255.255.224 0.0.0.31 32 30
/28 255.255.255.240 0.0.0.15 16 14
/29 255.255.255.248 0.0.0.7 8 6
/30 255.255.255.252 0.0.0.3 4 2
/32 255.255.255.255 0.0.0.0 1 1

47. vinni, 08.08.2006 12:20
цитата (dganzin):
я приехал!!!
Ну и как казахи выглядят под водой? Лучше или хуже чем "сухие"?

48. dganzin, 08.08.2006 12:33
цитата:
vinni
Ну и как казахи выглядят под водой? Лучше или хуже чем "сухие"?
Жуть, деревенские казахи постоянно пьяные и укуренные. А страна пустая, как Fallout в реале. Они походу только на Боровом и каспийском шельфе вытягивают, все остальное ГЛУШЬ.
Приехал в КЗ, нашли озеро в ж*пе какой-то и встретили там знакомых из нашего города!!!
Мир оказывается еще теснее чем я думал.

49. vinni, 08.08.2006 12:50
Маршруты до запуска OpenVPN вопросов не вызывают.
Я так понимаю, ns1.myDomain.net и ns2.myDomain.net это 2 доп. адреса, назначенных на localhost (lo0-интерфейс)

А вот после старта OpenVPN странности. Как я и говорил, вызывает вопрос:

1 - отсутствие маршрута на свой интерфейс 10.1.0.1

2 - Что это? 38.x.x.10/32 10.1.0.1 UGS 0 0 sis0
Почему этот 38.x.x.10/32 маршрутизируется через 10.1.0.1, но НА ИНТЕРФЕЙСЕ sis0 ???
Кстати, вот, что это, откуда и зачем? Может именно отсюда и лезет этот маршрут?
ipnat.rules: map sis0 10.1.0.0/24 -> 38.x.x.x/32


Про табличку масок спасибо, конечно.

Посмотрел ещё раз Ваш конфиг Помогите настроить OpenVPN !, #29 (http://forum.ixbt.com/topic.cgi?id=14:40906:29#29) , он не менялся?
Кстати, команда server - это "макрокоманда", и она включает в себя некотрые другие, так что у Вас это "дублируется":
push "route 10.1.0.0 255.255.255.0" - это делается командой server автоматически при наличии client-to-client
tls-server


Расскажите подробнее про конфирурацию интерфейсов.
Внимательно изучите логи - почему не назначается интерфейс 10.1.0.1 ?

Повторяю совет - "позовите" или попросите AckCmd посмотреть эту кухню с интерфейсами.

К этой теме 01.11.2006 09:54 split подклеил тему "Вопрос по настройке OpenVPN" (автор: systemlock)

51. systemlock, 31.10.2006 20:50
Добрый день дорогие друзья!
Помогите пожалуйста разобраться с проблемой. Есть локальная сеть в офисе. Есть комп на котором есть модем. Необходимо из дома звонить на этот модем и управлять сетью. Сейчас я это делаю через RAdmin, но хотелось бы еще OpenVPN. Так вот, на машине в офисе ставлю OpenVPN и запускаю с конфигурацией сервера:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

на машине дома запускаю с конфигурацией клиента:
client
dev tun
proto udp
remote 10.8.0.0 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
comp-lzo
verb 3

На стороне сервера вроде все ОК. А на клиенте все время ругается и говорит: write udpv4: no route to host (...) (сode=10065). Помогите разобраться как избавиться от такой проблемы? И еще надо ли указывать IP для TAP-Win32 Adapter 8 который у меня создался в сетевом окружении?
Заранее спасибо...

52. Karroplan, 31.10.2006 21:15
IP для адаптера задавать не надо, его обычно выдает сервер.

а "no route to host" значит, что твой клиент не видит твоего сервера, точнее не может отправить пакеты на сервер так как ты указал неправильный адрес в "remote" на клиенте. сюда надо указывать ip компутера, на котором запущен сервер openvpn

53. vinni, 31.10.2006 22:01
Да, Karroplan прав.
Вот здесь, remote 10.8.0.0, должен стоять адрес внешнего интерфейса Вашего сервера, а Вы поставили адрес OpenVPN-сети, к тому же с вероятностью 99.9% недоступный из Вашей домовой сети.

54. systemlock, 01.11.2006 08:46
Дорогие друзья, большое спасибо за совет!!!
Поставил ip сервера все вроде заработало!!! Назначаются виртуальные ip на сервере 10.8.0.1, на клиенте 10.8.0.6. но вот проблема я с клиента не могу ping послать на сервер, впрочем как и наоборот... Я вот еще со стороны сервера вижу такую ошибку
Wed Nov 01 10:25:45 2006 10.8.0.1:1044 TLS: Initial packet from 10.8.0.1:1044, sid=cb234e32 ae2113cd
Wed Nov 01 10:26:45 2006 10.8.0.1:1044 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Nov 01 10:26:45 2006 10.8.0.1:1044 TLS Error: TLS handshake failed

может быть проблема в этом?
благодарю за поддержку!

Добавление от 01.11.2006 09:07:

Друзья, с tls разобрался в конфиге не указал порт, а вот пинг так и не идет

55. Karroplan, 01.11.2006 09:52
ой-ой....
а что пингаешь?
посмотри внимательно в лог openvpn на сервере, там все написано будет.
Зуб даю на отсечение, с вероятностью порядка 0.95 сервер напишет что-то в духе - Bad source address from client

56. -Alex-, 09.11.2006 14:33
Как можно настроить (и можно ли?) openvpn для работы всех пользователей с одним, одинаковым для всех ключом? Т.е. требуется создать виртуальную сеть, где работали бы все основные протоколы и пользователи могли бы видеть друг друга. При этом желательно упростить процедуру авторизации (в идеале — вообще её убрать), чтобы к сети мог подключиться любой желающий. Если без ключа никак нельзя, то пусть он хотя бы будет одинаковый.

57. borispr, 09.11.2006 14:44
-Alex-, в твоей теме уже посоветовали ПОПРОБОВАТЬ использовать статический ключ и опцию --duplicate-cn
Или мы должны за тебя провести нужные эксперименты и выдать готовое решение?!

58. vinni, 09.11.2006 16:23
-Alex-
borispr
На свежую голову появилась новая мысль - не факт что secret statiс.key будет работать с несколькими клиентами. В этом режиме ведь сервер жёстко конфигурится ifconfig-ом под 1 клиента.

Вчерашнее моё сообщение (Попалась давняя статья, в которой автор приводит пример OpenVPN-конфигурации, в которой 3 хоста "завязаны" в треугольник. Таким образом на каждом хосте имеются 2 соединения. Везде использован 1 и тот же secret.key. Не проверял, но если судить по статье, то работает.) я на свежую голову переосмыслил и подправил - "Извиняюсь, тормознул вчера ночью. Там в статье на каждое соединение поднят свой openvpn со своим конфигом, то есть фактически, на каждом хосте стоят 2 сервер-клиента."

Но и это не большая проблема - тем более, что, насколько я понимаю, -Alex- нужен L2-тунель, а режим secret statiс.key работает только для L3. Так что, -Alex-, Вам лучше делать классическую схему, но поставить duplicate-cn и для всех клиентов использовать 1 ключ. Я вот только не в курсе, как будет назначен IP клиенту без явного указания IP-адреса на клиенте или сервере? Просто не пробовал, у меня все L2-тунели сконфигурированы со статическими клиентскими IP

59. borispr, 09.11.2006 17:08
vinni, слазил, освежил инфу по статик ключу. Действительно со статик ключом получается peer-to-peer.
Порылся там еще и нашел вот что:
--auth-user-pass-verify script method
Require the client to provide a username/password (possibly in addition to a client certificate) for authentication.
OpenVPN will execute script as a shell command to validate the username/password provided by the client.
If method is set to "via-env", OpenVPN will call script with the environmental variables username and password set to the username/password strings provided by the client. Be aware that this method is insecure on some platforms which make the environment of a process publicly visible to other unprivileged processes.
If method is set to "via-file", OpenVPN will write the username and password to the first two lines of a temporary file. The filename will be passed as an argument to script, and the file will be automatically deleted by OpenVPN after the script returns. The location of the temporary file is controlled by the --tmp-dir option, and will default to the current directory if unspecified. For security, consider setting --tmp-dir to a volatile storage medium such as /dev/shm (if available) to prevent the username/password file from touching the hard drive.
The script should examine the username and password, returning a success exit code (0) if the client's authentication request is to be accepted, or a failure code (1) to reject the client.
This directive is designed to enable a plugin-style interface for extending OpenVPN's authentication capabilities.
To protect against a client passing a maliciously formed username or password string, the username string must consist only of these characters: alphanumeric, underbar ('_'), dash ('-'), dot ('.'), or at ('@'). The password string can consist of any printable characters except for CR or LF. Any illegal characters in either the username or password string will be converted to underbar ('_').
Care must be taken by any user-defined scripts to avoid creating a security vulnerability in the way that these strings are handled. Never use these strings in such a way that they might be escaped or evaluated by a shell interpreter.
For a sample script that performs PAM authentication, see sample-scripts/auth-pam.pl in the OpenVPN source distribution.


Резюме:
1. можно настроить, чтобы при коннекте запрашивался логин/пароль. Для проверки логина пароля будет выполнятся скрипт/приложение, которое должно вернуть 0, если пароль верный. Поскольку -Alex- устроит коннект и с неправильным логином паролем, то годится любой виндовый экзешник, который после выполнения вернет 0.
2. Можно настроить проверку логина пароля в дополнение к сертификату или ВМЕСТО
client-cert-not-required
Such configurations should usually also set:
username-as-common-name

3. С клиентской стороны, чтобы не вводить логин пароль, можно создать файл
--auth-user-pass [up]
Authenticate with server using username/password. up is a file containing username/password on 2 lines (Note: OpenVPN will only read passwords from a file if it has been built with the --enable-password-save configure option, or on Windows by defining ENABLE_PASSWORD_SAVE in config-win32.h).
If up is omitted, username/password will be prompted from the console.
The server configuration must specify an --auth-user-pass-verify script to verify the username/password provided by the client.

60. -Alex-, 09.11.2006 18:29
Что-то у меня не получается законнектится к серверу.
Вот сервер:
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"     
cert "C:\\Program Files\\OpenVPN\\config\\server.crt"
key "C:\\Program Files\\OpenVPN\\config\\server.key"
dh "C:\\Program Files\\OpenVPN\\config\\dh1024.pem"
dev tun
server 172.2.0.0 255.255.255.0
username-as-common-name
duplicate-cn
client-to-client
auth-user-pass-verify "c:\\NTDETECT.COM" via-env
client-cert-not-required
Вот клиент:
ca "C:\\Program Files\\OpenVPN\\config\\client\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\client\\client1.crt"
key "C:\\Program Files\\OpenVPN\\config\\client\\client1.key"
dev tun
client
remote <реальный_ip_сервера> 1194
Клиент при запуске пишет: TCP/UDP: Socket bind failed on local address [undef]:1194: Address already in use (WSAEADDRINUSE)
Коннектится пытался с той же машины, где запущен клиент.

61. borispr, 09.11.2006 18:45
-Alex-
Ты уж определись, что хочешь. Сначала в конфиге идут сертификаты и ключи, а потом что они не нужны (client-cert-not-required)
Раз ключи сделал, до добейся работы с ними, а потом будешь прикручивать пароли. Поэтому выкидывай
username-as-common-name
duplicate-cn
client-to-client
auth-user-pass-verify "c:\\NTDETECT.COM" via-env
client-cert-not-required


Где в серверном и клиентском конфиге "proto tcp"? Если по дефолту udp, то как ты пытаешься на одной машине забиндить на один порт и сервер и клиента?

62. -Alex-, 09.11.2006 19:03
borispr
Сперва просто добавил серверу "proto tcp-server" и клиенту "proto tcp-client". Тогда соединение вроде устанавливалось и тут же уходило в рестарт: Connection reset, restarting [0]. И так бесконечно.
Потом убрал всё лишнее, добавил TAP-Win32 адаптер (без него никак), всё установилось!

Сейчас буду пробовать убрать все ключи, только, по-моему, без них сервер не запускается вообще

63. borispr, 09.11.2006 19:16
"proto tcp-server" нет такого. Есть "proto tcp" или "proto udp"

64. -Alex-, 09.11.2006 19:33
В OpenVPNTM 2.0.x Man Page (http://openvpn.net/man.html) написано:
--proto p
Use protocol p for communicating with remote host. p can be udp, tcp-client, or tcp-server /.../


В общем, со строчками в конфиге сервера:
username-as-common-name
auth-user-pass-verify "c:\\NTDETECT.COM" via-env
client-cert-not-required
клиент работать не хочет, уходит в бесконечный рестарт. По-видимому, проверка пароля возвращает не то, что нужно, и надо создать какой-то экзешник, который бы возвращал правильный код на любой пароль. Без этих строк два клиента с одинаковыми ключами без проблем коннектятся к серверу с duplicate-cn и client-to-client.
Без ca, cert, key, dh сервер не запускается (последовательно просит каждую их них).

65. vinni, 09.11.2006 20:15
-Alex-, А попроще кроме ntdetect ничего не нашлось? Ну хоть тот же ping.exe ?

клиент работать не хочет, уходит в бесконечный рестарт
А что пишет в логе?

Клиент при запуске пишет: TCP/UDP: Socket bind failed on local address [undef]:1194: Address already in use (WSAEADDRINUSE)
Коннектится пытался с той же машины, где запущен клиент.
Наверное, очепятка - "гда запущен сервер"?
Добавь на клиенте nobind, тогда он будет брать свой порт динамически.
Но в любом случае, это весьма хитрая затея - запустить и сервер и клиент на одном хосте

Добавление от 09.11.2006 20:23:

-Alex-, borispr, При правке сообщения там ниже окна текста есть "галка" типа не отправлять на e-mail исправленное сообщение. После 1-ого исправления рекомендую включать У меня из Ваших 3 постов 17 сообщений

66. -Alex-, 10.11.2006 00:09
vinni
А что пишет в логе?
При влючённых в сервере опциях:
username-as-common-name
auth-user-pass-verify "C:\\WINDOWS\\system32\\ping.exe" via-env
client-cert-not-required
Клиент при коннекте уходит в рестарт. Вот полный лог до первой перезагрузки:
Thu Nov 09 20:36:30 2006 Attempting to establish TCP connection with <ip-сервера>:1194
Thu Nov 09 20:36:30 2006 TCP connection established with <ip-сервера>:1194
Thu Nov 09 20:36:30 2006 TCPv4_CLIENT link local: [undef]
Thu Nov 09 20:36:30 2006 TCPv4_CLIENT link remote: <ip-сервера>:1194
Thu Nov 09 20:36:31 2006 Connection reset, restarting [0]
Thu Nov 09 20:36:31 2006 SIGUSR1[soft,connection-reset] received, process restarting
Thu Nov 09 20:36:36 2006 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Thu Nov 09 20:36:36 2006 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu Nov 09 20:36:36 2006 Attempting to establish TCP connection with <ip-сервера>:1194
Thu Nov 09 20:36:36 2006 SIGTERM[hard,init_instance] received, process exiting
А попроще кроме ntdetect ничего не нашлось? Ну хоть тот же ping.exe ?
Попробовал ping и пустой bat-файл, и bat-файл с какой-то командой — то же самое.
auth-user-pass-verify "C:\\WINDOWS\\system32\\ping.exe" via-env

Но в любом случае, это весьма хитрая затея - запустить и сервер и клиент на одном хосте
Да нет, нужно только добавить необходимое число TAP-Win32 Adapter'ов. У меня их сейчас три: один на сервер и два на клиентов. Всё работает, но только с одинаковыми ключами. Без ключей пока ничего не получается, хотя принципиально это как-то можно сделать. Вся загвоздка, как я понимаю, в выборе скрипта проверки пароля, на роль которого ping и прочие не очень подходят. ;)

67. vinni, 10.11.2006 00:22
-Alex-
А какой адрес Вы указываете в качестве <ip-сервера>? Имею ввиду, это адрес именно интерфейса сервера, не внешний адрес NAT-роутера, часом?
Хотя... Ведь без этих трёх команд всё запускается?
Просто странный ответ - "Connection reset"

А пытался понять, какая именно из этих трёх команд "клинит"?

Вся загвоздка, как я понимаю, в выборе скрипта проверки пароля
Есть у меня некая программа, которая умеет принудительно выдавать любой заданный код возврата, в т.ч. 0

Про хитрую затею я имел ввиду чуть "глубже" - там же ещё и маршруты будут накладываться и т.п... А интерфейсы я добавлял, было как-то не то 4 не то 5

68. -Alex-, 10.11.2006 10:24
vinni:
А какой адрес Вы указываете в качестве <ip-сервера>?
Реальный адрес интерфейса (не vpn).


пытался понять, какая именно из этих трёх команд "клинит"?
По-моему, эти команды друг без друга не работают, насколько я помню, и любая их связка, с которой стартует сервер, "клинит" клиента.
Посмотрел лог со стороны сервера:
Fri Nov 10 10:09:56 2006 Re-using SSL/TLS context
Fri Nov 10 10:09:56 2006 TCP connection established with <ip-клиента>:1077
Fri Nov 10 10:09:56 2006 TCPv4_SERVER link local: [undef]
Fri Nov 10 10:09:56 2006 TCPv4_SERVER link remote: <ip-клиента>:1077
Fri Nov 10 10:09:57 2006 <ip-клиента>:1077 TLS Error: Auth Username/Password was not provided by peer
Fri Nov 10 10:09:57 2006 <ip-клиента>:1077 TLS Error: TLS handshake failed
Fri Nov 10 10:09:57 2006 <ip-клиента>:1077 Fatal TLS error (check_tls_errors_co), restarting
Fri Nov 10 10:10:02 2006 Re-using SSL/TLS context
Fri Nov 10 10:10:02 2006 TCP connection established with <ip-клиента>:1078
Fri Nov 10 10:10:02 2006 TCPv4_SERVER link local: [undef]
Fri Nov 10 10:10:02 2006 TCPv4_SERVER link remote: <ip-клиента>:1078
Fri Nov 10 10:10:02 2006 <ip-клиента>:1078 Connection reset, restarting [-1]
Похоже, клиент неправильно сконфигурирован и вообще не даёт пароль и логин. Сейчас в настройках клиента нет ничего, кроме: ca, cert, key, dev, tun, client, proto tcp-client, remote <ip-сервера> 1194.

69. borispr, 10.11.2006 12:51
-Alex-
Может забить на эти логины-пароли и сделать просто с сертификатами (раз уж сделал их) и duplicate-cn?

И все ж не стоит отлаживать все на одном компе, и клиент и сервер меняют таблицы маршрутизации, возможно они друг другу мешают

70. -Alex-, 10.11.2006 20:59
Написал в сервере: auth-user-pass-verify "" via-env
В клиенте: auth-user-pass
Вместо пустого скрипта проверки пароля можно использовать пустой бат-файл (и, думаю, любую другую прогу, но не проверял). После этого при логине у клиента спрашивается логин/пароль. Нужно ввести что-нибудь, после чего в сеть пускает. Т.е. с паролем всё работает. Загвоздка в том, что без строк ca, cert и key в конфиге клиента ничего не работает, а с ними — работает и без пароля, который в этом случае оказывается лишь лишним усложнением.

borispr
Может забить на эти логины-пароли и сделать просто с сертификатами (раз уж сделал их) и duplicate-cn?
Так и сделаю, если ничего проще не получится. Просто интересно, можно ли сделать клиента с паролем и без сертификатов и ключей, пусть и одинаковых.

71. te, 22.11.2006 17:02
Господа! Помогите. Не получается завести в Win2k3 два сервера OpenVPN с разными настройками = которые работают соотв. каждый со своим tap-интерфейсом и своим портом.

72. borispr, 22.11.2006 17:50
te
Ща телепаты подтянутся, расскажут, что именно не получается и какие ошибки в логе, и тогда дадим совет, как это исправить.

73. te, 23.11.2006 15:13
конфиги стандартные из примера (для server а)
первый server работает на tap-интерфейсе-1 и портом 1194
второй server работает на tap-интерфейсе-2 и портом 1195

если запускать serverы OpenVPN по отдельности со своими конфигурациями то они работают и в соответствующем интерфейсе автоматом прописывается IP и маска = происходит соединение с клиентом и необходимый трафик перенаправляется куда надо.

Если же запустить два сервера: в одном tap-интерфейсе которого запустили раньше IP и маска какие нужно,а во втором по нулям 0.0.0.0 0.0.0.0

Если запустить как сервисы то у обоих по нулям.

Иногда у обоих прописывается не 10.8... как в конфиге, а 169...

74. borispr, 23.11.2006 15:21
а у обоих серверов адреса как в примере 10.8.0.1?

75. te, 23.11.2006 15:49
нет
1= 10.8.0.1 255.255.255.0
2= 10.8.1.1 255.255.255.0

Добавление от 23.11.2006 15:54:

пробовал также = чтобы логи у них были разные (с разными именами)
тоже самое

может из-за одинаковых сертификатов и ключей для сервера? = но ошибок не пишет и как-то сомнительно...

76. borispr, 23.11.2006 16:05
а в чем смысл запуска двух серверов на одном компе? почему одним нельзя обойтись?

77. te, 23.11.2006 16:51
разные конфигурации = напр для одних перенаправление всего трафика, для других только доступ в лок. сеть.

хотя если подумать = можно права разграничить файрволом.

78. vinni, 24.11.2006 01:18
разные конфигурации = напр для одних перенаправление всего трафика, для других только доступ в лок. сеть.
А для этих целей потянет client-config-dir
С другой стороны, эти настройки при наличии доступа может сменить сам клиент на своей стороне.

На сервере RRAS запущен? С ним сильно косячит, ИМХО. Посмотри опцию --ip-win32, может что поможет.
У меня клиент на Win2003+RRAS в упор не хотел назначать адрес, пришлось прописать его вручную и указать ip-win32 manual

79. Karroplan, 18.12.2006 10:12
возник маленький трабл с использованием openvpn...
у меня есть сервер - гейт для юзверей в инет, куча туннелей, в том числе и openvpn. выдаются в основном статические реальные адреса (ну, такая специфика)... сервер openvpn берет себе фиктивный адрес, допустим - 10.0.0.1/32, а клиентам выдает реальные адреса тоже /32. под *nix все хорошо, клиентская сетка скрывается за этим адресом и весь исходящий внешний трафик направляется в устройство создаваемое openvpn (в духе ip route add default dev tnl0), но вот с виндой возникают проблемы.
соединение не устанавливается с сообщением на клиентской стороне, что необходима хотя бы сетка /30 на этот туннель. то есть один адрес на серверную сторону и один на клиентскую, чтоб лежали в одной подсети. я подозреваю что это связано с тем, что в винде возможен только next-hop routing, и в кач-ве цели маршрута можно указывать только ip-адрес, а не устройство. вот и вопрос, а можно ли это как-то обойти и все же исхитрится выдавать виндозным клиентам адрес /32? а то уж больно жирно получается и неэкономно сетку /30 реальных адресов на одного клиента, мне так своего блока надолго не хватит

80. borispr, 18.12.2006 12:05
Karroplan
Имхо подход неверный. Я бы раздавал статические адреса из 10.x.x.x и потом пропускал через статический NAT.

81. Karroplan, 18.12.2006 13:31
borispr
подход не обсуждается, так как фиктивные адреса через NAT - это уже есть
просто есть клиенты которые покупают реальные адреса и их много (на сетку класса C уже набралось) и среди них стали появлятся желающие openvpn-а под виндой.

82. ksa, 18.12.2006 14:32
Karroplan

Отсюда - http://geekswithblogs.net/nzurfluh/

ip address: VIP
Subnet mask: 255.255.255.0 *host mask 255.255.255.255 is not allowed in Windows*
gateway: no value
click “Advanced”
add to the “Interface metric” 254
to correct the subnet mask, this change must be made to the registry:
HKEY_LOCAL_MACHINES\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
locate and replace the subnet mask value for the loopback interface from 255.255.255.0 to 255.255.255.255

83. vinni, 18.12.2006 18:35
Karroplan
Я уже создавал такую тему - Win не умеет назначать IP /32 Штатного решения не нашлось.
Как в Windows назначить интерфейсу адрес /32 = x.x.x.x:255.255.255.255 ? (http://forum.ixbt.com/topic.cgi?id=14:41262)

Правку реестра, в т.ч. и по совету ksa, не пробовал.

84. Karroplan, 19.12.2006 10:05
vinni
правка реестра вполне помогает,
вот только это малоприменимо... несолидно, если ISP будет своим клиентам такое предлагать в кач-ве стандартного метода подключения. видимо придется такие адреса вешать не сервер и для них делать статический NAT адрес-в-адрес.

85. vinni, 19.12.2006 10:57
Karroplan, есть ещё вариант OpenVPN в варианте туннеля L2, тогда клиенту можно дать его внешний IP-адрес во внешней сети, но там в этом тунеле будет ходить куча ненужного клиентам мусора и масса других не очень приятных нюансов для связки ISP<->клиент. Так что вряд ли Вы это тоже захотите.

86. vfksi, 23.12.2006 13:00
можно вопрос?
вот допустим все, VPN создан клиент к серверу присоеденился... клиент может пользоваться инетом сервера?
Что-то не получается, на сервере интернет идет по VPN а сетевая используется для подключения к внутри провайдерской сети...
Так вот клиент нормально (почти DC++ только в пассиве) использует локальный трафик провайдера, но ни в какую не может пройти в инет...

87. Karroplan, 23.12.2006 14:32
vfksi
ключевые слова - NAT и proxy

88. vfksi, 23.12.2006 19:57
прокси не устраивает... а вот NAT хз в XP его только в командной строке как я не знаю
netsh routing ip nat install - стартует нат
netsh routing ip nat add interface както разруливает трафф... а вот как я не понял

допустим локальная сеть ip 192.168.1.8
сетевая в в подсеть провайдера 192.168.234.25 маска типа 255.255.255.128 и шлюз 192.168.234.1
и соединение "Виртуальная часная сеть" vpn.prov.ru по логину и паролю

входяшее соединение VPN имеет ip 192.168.1.230

что нужно прописать с помощью netsh routing ip nat чтобы по VPN выдался интернет и локальная сеть провайдера?

89. vinni, 23.12.2006 22:44
vfksi, я не понял, Ваш вопрос как соотносится с данной темой "OpenVPN"?
Если у Вас OpenVPN, то имеющимся доступом к интернету из офиса можно воспользоваться без доп.настроек, если использовать OpenVPN в режиме dev tap (тунель Level 2)
При использовании OpenVPN в режиме dev tun (тунель Level 3) надо будет на оборудовании доступа в и-нет в офисе обеспечить доступ ещё и для сети OpenVPN.
Если у Вас не OpenVPN, то создайте, пожалуйста отдельную тему или найдите более подходящую.

90. KOCTET, 27.12.2006 19:06
Народ, помогите пожалуйста.
Есть компьютер на Win 2003sp1 с двуми сетевыми картами, одна смотрит в 172.16.32.0 локальную сеть, вторая через ISA 2006 в инет, адрес 192.168.1.5
Установлен OpenVPN сервер конфиг такой:
код:

dev tap
proto tcp-server
local 192.168.1.5
port 3333
tls-server
mode server
ifconfig 192.168.0.1 255.255.255.0
ifconfig-noexec
ifconfig-pool 192.168.0.10 192.168.0.20
comp-lzo
; route-method exe
; route-delay 10
; route 172.16.32.0 255.255.224.0
client-to-client
client-config-dir C:\\OpenVPN\\config\\ccd
ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt
dh C:\\OpenVPN\\ssl\\dh1024.pem
ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\ServerVPN.crt
key C:\\OpenVPN\\ssl\\ServerVPN.key
persist-tun
persist-key
tls-auth C:\\OpenVPN\\ssl\\ta.key 0
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
keepalive 10 120
status C:\\OpenVPN\\log\\openvpn-status.log
log C:\\OpenVPN\\log\\openvpn.log
verb 4


При запуске службы OpenVPN, адаптер не может получить IP - адрес, может висеть хоть 10 минут

Клиент на 2000 получает адрес сразу, без всяких проблем.
Может у кого есть какие идеи?

91. vinni, 27.12.2006 19:53
У меня были такие глюки, когда пакетным фильтром резался трафик DHCP на этом (tap) интерфейсе.
Ещё был похожий глюк (давно было не помню) на вирт.сервере, пока выяснял пробовал даже указывать, что адаптер конфигурируется "вручную" - так работало. Чем закончилось - не помню, т.к. это был эксперимент.

92. KOCTET, 28.12.2006 00:23
vinni Вручную ради эксперемента и я пробовал, работает, надо действительно, завтра фильтры на исе посмотреть, что то я об них не подумал...

Добавил правило разрешающее DHCP, все то же самое... самое смешное, что в списке сетевых плат нет адаптера OpenVPN
И еще меня смущает немного запись в логе:
Thu Dec 28 12:17:40 2006 ******** NOTE: Please manually set the IP/netmask of 'OpenVPN' to 192.168.0.1/255.255.255.0 (if it is not already set)
Просят вручную установить адрес и маску сети... это у всех так или только мне повезло?

93. Star Lammer, 03.02.2007 15:11
Что-то я запутался в этих понятиях, объясните для моей задачи по соединению двух точек какой должен быть конфиг:

Клиент - WinXP - LAN IP 192.168.254.222 > NAT 192.168.254.254 > INET (Динамический IP)
Сервер - Win2000AS - LAN IP 192.168.192.100 > ROUTER 192.168.192.254 > NAT 192.168.254.254 > INET (Статический IP)

Клиент должен получать IP из подсети 192.168.192... и роутиться на 192.168.192.254 (дабы иметь доступ к другим компам в локалке). Для этих целей нужен TAP или TUN?

Как я понимаю авторизация строится на базе файла с ключем (т.е. при попытке установить соединение, если нужного ключа нет - коннект обрывается)?

На стороне сервера нужно открыть NAT > 192.168.192.100:5000 UDP ? На клиенте никаких портов открывать не нужно?
Почему используется UDP? Ведь TCP надежнее в плане прохождения пакетов?

Насколько увеличивается объем трафика при использовании OpenVPN и насколько падает скорость? Можно ли это компенсировать используя компрессию?

94. vinni, 03.02.2007 16:48
Star Lammer
Сорри, лично я не возьмусь отвечать на все Ваши вопросы - просто нет СТОЛЬКО времени на ТАКИЕ лекции. Даже чтобы понять что Вы имеете ввиду надо задать спсок доп. вопросов.

Примеры конфигов в меру сил описаны в самом начале темы - FAQ: OpenVPN (было - Помогите настроить OpenVPN) !, #1 (http://forum.ixbt.com/topic.cgi?id=14:40906:1#1)
Остальные вопросы относятся к БАЗОВЫМ знаниям по маршрутизации. Туда же относятся и знания о NAT-е.

Авторизация может строиться самыми разными способами, самые простые - secret static.key (это "готовый" симметричный ключ шифрования) или на базе сертификатов - команды ca, cert, key или 1 команда pksc12 вместо них.

UDP используется вполне лочично - 1. меньшие накладные расходы, следовательно, бОльшая производительность. 2. А надёжность связи, ЕСЛИ НАДО, гарантируется уже тем протоколом, который идёт ВНУТРИ VPN-а, то есть, например, "внутренним" TCP (если внутри VPN-а ходит IP).

Увеличение объёма трафика без сжатия есть - примерно (точно надо смотреть, на память не помню) где-то +40-50 байт к каждому пакету и +2*(40-50) для пакетов близких к макс.размеру. Но используемый алгоритм сжатия легкосжимаемый трафик жмёт ВЕСЬМА НЕХИЛО, поэтому на "тупых вещах" типа ping -l 1000 наблюдается "экономия" вплоть до 50% и более процентов...

95. Star Lammer, 03.02.2007 17:25
vinni
Ok! Конкретизирую тогда:

Возможно каким либо образом в ifconfig прописать адреса, например, 192.168.192.2 и 192.168.192.3 ?

При попытке так сделать он ругается, что адреса несоответствуют маске 255.255.255.252... и упорно хочет видеть адреса *.*.*.1 и *.*.*.2... но у меня с этим трудности, т.к. адреса вида *.*.*.1 уже заняты, а дабы иметь роутинг за пределами сервера мне нужен адрес из подсети 192.168.192.

Второй вопрос - можно назначить статичный порт для входящих (обратных) коннектов на клиенте (дабы разрешить его в firewall)?

И последний вопрос - как автоматизировать процесс поднятия соединения? Например при выходе компа их hibernate поднимать соединение. Scheduler?

96. AckCmd, 03.02.2007 17:32
Star Lammer
Например при выходе компа их hibernate поднимать соединение. Scheduler?
Насколько я знаю, выход из гибернейта не отслеживается приложениями. Впрочем, могу быть неправ.

97. Star Lammer, 03.02.2007 18:06
Чтобы сие значило? :-\

Bad LZO decompression header byte: 40
Bad LZO decompression header byte: 69
Bad LZO decompression header byte: 69
Bad LZO decompression header byte: 40
Bad LZO decompression header byte: 69

98. Karroplan, 03.02.2007 19:16
Star Lammer
это значит, что на одной стороне включено сжатие, на другой отключено (в конфиге опция comp-lzo, кажись).
или (у меня такое было) - на разных сторонах openvpn скомпилен с очень разными версиями liblzo. качайте исходники последней версии на обе стороны и перекомпилируйте.

99. Star Lammer, 03.02.2007 19:24
Karroplan
С обоих сторон включен comp-lzo, и с обоих сторон одна и та же версия (2.1_rc1).

Можно как то в режиме UDP разрешить серверу коннект только к определенному (IP) клиенту?

И все же, как выдать ifconfig отличный от *.*.*.1?

P.S. Никто не решил вопрос "Duplicate name exist on network" в случае если на двух интерфейсах поднят Client for microsoft networks?

100. Karroplan, 03.02.2007 19:34
Star Lammer
тогда больше про "Bad LZO...." ничего посоветовать не могу...
а про то как выдать клиенту определенный адрес - читать ман на тему client config dir и про опцию "ifconfig-push"

101. Star Lammer, 03.02.2007 21:16
Курил мануал, сложилось мнение что все попытки указать нужный ип никак не сочитаются с secret.key

remote gw.ru
dev tun
ifconfig 192.168.192.10 192.168.192.11
route 192.168.0.0 255.255.0.0
secret static.key
comp-lzo

Добавление от 03.02.2007 22:19:

Кстати, в каком случае меньше служебного трафика между клиентом и сервером - L2 (dev tun) или L3 (dev tap)?

102. vinni, 04.02.2007 16:04
Star Lammer
1. Вы ошиблись, режими наоборот - L2 = dev tap, а L3 = dev tun
2. Меньше, ес-но, в режиме L3 = dev tun

Точно не помню, но вроде Bad LZO decompression было у меня и при несоответствии между клиентом и сервером параметров
link-mtu
tun-mtu
fragment
mssfix
Но не на маленьких пакетах, а на больших

Второй вопрос - можно назначить статичный порт для входящих (обратных) коннектов на клиенте (дабы разрешить его в firewall)?
Да, это делается командой port, но только при UDP, она работает и на сервере и на клиенте
Я Вам давал ссылку на первый пост, там об этом написано, хоть и не выделено.
# port 1194 (сервер, клиент) - номер порта, default=1194 (на клиенте для tcp-client игнорируется и используется динамический порт)
# nobind (клиент) - указание использовать динамический порт на клиенте

Возможно каким либо образом в ifconfig прописать адреса, например, 192.168.192.2 и 192.168.192.3 ?
При попытке так сделать он ругается, что адреса несоответствуют маске 255.255.255.252

RTFM по адресам и маскам. В сети 255.255.255.252 адрес хоста 192.168.192.3 недопустим, т.к. это броадкаст.

103. Star Lammer, 04.02.2007 23:29
Где я ошибаюсь теперь?

Server:
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 192.168.192.80 255.255.255.248
route 192.168.192.88 255.255.255.252
comp-lzo
proto udp
client-config-dir ccd
tls-auth ta.key 0

Client:
client
dev tun
ca ca.crt
cert client.crt
key client.key
remote gw
dev tun
route 192.168.0.0 255.255.0.0
comp-lzo
proto udp
nobind
tls-auth ta.key 1


CCD\Client:
ifconfig-push 192.168.192.90 192.168.192.89

В итоге связь устанавливается, клиент получает IP адрес 192.168.192.90, добавляет маршруты:

192.168.192.81 255.255.255.255 192.168.192.89 192.168.192.90 1
192.168.192.88 255.255.255.252 192.168.192.90 192.168.192.90 30
192.168.192.90 255.255.255.255 127.0.0.1 127.0.0.1 30

По arp -a видит сервер:
192.168.192.89 00-ff-34-b5-c6-c5 dynamic

На сервере маршруты странные:
192.168.192.80 255.255.255.252 192.168.192.81 192.168.192.81 1
192.168.192.81 255.255.255.255 127.0.0.1 127.0.0.1 1

Но даже если добавить:
192.168.192.90 255.255.255.255 192.168.192.81 192.168.192.81 1

То клиент не пингуется, сервер соответственно тоже.
В чем тут проблема?

P.S. Кроме того на клиенте появляется такое сообщение:
WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

Чего ему нехватает, есть же "tls-auth"?

104. vinni, 05.02.2007 00:28
server 192.168.192.80 255.255.255.248
В этом параметре обычно указывается ВСЯ сеть, включая как сам сервер (он сам себе возьмёт первую /30 сеть из этого диапазона), так и всех клиентов. А в Вашем случае клиент со своей сетью 192.168.192.88/30 (ifconfig-push 192.168.192.90 192.168.192.89) не входит в сеть, указанную в server.
Итого, укажите более крупную сеть в server или используйте для клиента другую сеть - 192.168.192.84/30 (ifconfig-push 192.168.192.86 192.168.192.85)


На сервере маршруты странные:
192.168.192.80 255.255.255.252 192.168.192.81 192.168.192.81 1
192.168.192.81 255.255.255.255 127.0.0.1 127.0.0.1 1

Но даже если добавить:
192.168.192.90 255.255.255.255 192.168.192.81 192.168.192.81 1

То клиент не пингуется, сервер соответственно тоже.
В чем тут проблема?

Ничего странного в маршрутах нет.
Разве только то, что не хватает
192.168.192.80 255.255.255.248 192.168.192.82 192.168.192.81 1
И добавлять надо было
192.168.192.90 255.255.255.255 192.168.192.82 192.168.192.81 1


Чего ему нехватает, есть же "tls-auth"?
А Вы почитайте внимательно, он же Вам даже ссылку привёл. Это методы защиты от MITM-атаки. Это всего лишь предупреждение, работать будеть и так.

105. Star Lammer, 05.02.2007 14:59
vinni
1) Насчет сети, пробовал с самого начала указывать сеть 192.168.192.80 255.255.255.240... все тоже самое, кстати в sample-config-files/server.ovpn:

# Configure server mode and supply a VPN subnet
# for OpenVPN to draw client addresses from.
# The server will take 10.8.0.1 for itself,
# the rest will be made available to clients.
# Each client will be able to reach the server
# on 10.8.0.1. Comment this line out if you are
# ethernet bridging. See the man page for more info.
server 10.8.0.0 255.255.255.0

EXAMPLE: Suppose you want to give
# Thelonious a fixed VPN IP address of 10.9.0.1.
# First uncomment out these lines:
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
# Then add this line to ccd/Thelonious:
# ifconfig-push 10.9.0.1 10.9.0.2

Т.е. сеть сервера явно не включает сеть клиента...

2) Даже с такими маршрутами:

Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.192.1 192.168.192.100 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.192.0 255.255.255.0 192.168.192.100 192.168.192.100 10
192.168.192.80 255.255.255.240 192.168.192.82 192.168.192.81 1
192.168.192.81 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.192.90 255.255.255.255 192.168.192.82 192.168.192.100 1
192.168.192.100 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.192.255 255.255.255.255 192.168.192.81 192.168.192.81 1
192.168.192.255 255.255.255.255 192.168.192.100 192.168.192.100 10
224.0.0.0 224.0.0.0 192.168.192.81 192.168.192.81 1
224.0.0.0 224.0.0.0 192.168.192.100 192.168.192.100 10
255.255.255.255 255.255.255.255 192.168.192.100 192.168.192.100 1
Default Gateway: 192.168.192.1

Не пингуют они друг друга... странная ситуация, уже и ключи заново генерил, а с таким конфигом все работает:

remote gw 33333
dev tun
ifconfig 192.168.192.90 192.168.192.89
secret static.key
route 192.168.0.0 255.255.0.0
comp-lzo

Правда иногда возникают такие ошибки:
Mon Feb 05 20:39:24 2007 TCP/UDP: Incoming packet rejected from GW:4008
3[2], expected peer address: GW:33333 (allow this incoming source addre
ss/port by removing --remote or adding --float)

На сервере жестко прописан PORT 33333

106. vinni, 05.02.2007 23:13
Т.е. сеть сервера явно не включает сеть клиента...
Ок, пока убедили. Просто я с этим неэкспериментировал. Но при таком раскладе действительно надо добавлять соотв. маршруты.

192.168.192.90 255.255.255.255 192.168.192.82 192.168.192.100 1
А с какой радости здесь указан интерфейс 192.168.192.100, а не 192.168.192.81 ?
Допускаю, что это так добавился маршрут самим OpenVPN-ом. Собственно, никто и не обещал корректную работу с перекрывающимися сетями. Изучите вопрос ручного добавления или корректировки этого маршрута к виду:
route add 192.168.192.90 mask 255.255.255.255 192.168.192.82 IF <номер_интерфейса_192.168.192.81>
<номер_интерфейса_192.168.192.81> находится из route print при помощи натренированного глаза или ipconfig /all

Я задачу не пойму? Что Вы хотите? Заставить OpenVPN-сервер выдавать OpenVPN-клиентам адреса из существующей сети "192.168.192.0 255.255.255.0 192.168.192.100 192.168.192.100 10" ?
А последствия представили? Для нормальной работы с остальными хостами этой сети на интерфейсе 192.168.192.100 должен быть proxy-ARP, иначе хосты сети 192.168.192.0/24 никогда не найдут OpenVPN-клиентов.
Или же на всех хостах сети 192.168.192.0/24 должен быть ЯВНО прописан маршрут на OpenVPN-сети:
192.168.192.80 255.255.255.240 192.168.192.100 192.168.192.x

107. Star Lammer, 06.02.2007 00:02
Про издержки роутинга к клиентам на 192.168.192.0 знаю, но пока это единственный вариант, т.к. их конфигурацию я изменить могу, а конфигурацию роутера нет.

Кстати столкнулся с тем, что через udp socket timeout (5 минут) NAT принудительно разрывает соединение, несмотря на настройки keepalive 50 120 на сервере.

Пинг между сервером и клиентом ходит, т.е. по идее при прохождении пингов NAT должен увеличивать время жизни открытого сокета?

Если принудительно запускаю ping 192.168.192.89 -t, то соединение спокойной переживает 5 минутный рубеж.

Видимо придется переходить на TCP, сильно увеличит накладные расходы?

P.S. В случае использования secret static.key какие есть возможности по увеличение безопасности на этапе установки соединения? Ключ tls-auth можно использовать только в режиме server. Из доступных вижу фильтрацию по remote host, но тут опять только в tcp...

108. vinni, 06.02.2007 00:27
Видимо придется переходить на TCP, сильно увеличит накладные расходы?
У меня 1 сервер работает L2 (dev tap) по ТСР (необходимо для правильной маршрутизации в 3 defGW) - кое-какие странности есть под нагрузкой, пока не разобрался до конца.

В случае использования secret static.key какие есть возможности по увеличение безопасности на этапе установки соединения?
1. auth-user-pass-verify, но я не знаю, работает ли эта команда при secret static.key. Кроме того, она влияет на ВСЕХ клиентов. Пароль ввести можно только вручную (ввод с ком.строки возможен только с иной компиляцией openvpn.exe)

2. Можно поставить пароль на закрытый ключ пользователя. Его ввести можно только вручную (ввод с ком.строки возможен только с иной компиляцией openvpn.exe). Правда пользователь сам может и изменить этот пароль (если у него есть права на запись в файл секр. ключа)

3. Никто не мешает реализовать аналог "фильтрации командой remote" средствами внешнего фильтра

4. А в чём сложности перейти на сертификаты?

В целом непонятны "возможности по увеличение безопасности" - от кого? От внешнего злоумышленника? Или от чайницкого юзера? Или от злостного юзера?

109. Star Lammer, 06.02.2007 01:06
Вообще с сервером что-то странное происходит, через каждые 3 минуты:
Tue Feb 06 00:28:04 2007 Inactivity timeout (--ping-restart), restarting
Tue Feb 06 00:28:04 2007 SIGUSR1[soft,ping-restart] received, process restarting

Кого он пингует по keepalive? IP удаленного клиента? Ping.exe работает без проблем... видимо у него какие-то несрастухи внутри?

1,2. Каждый раз вводить руками пароль лениво, а оставлять его в plaintext тоже моветон.

4. Сложность описана мессагами выше - не работает роутинг и все. Какие уже пляски не устраивал с route add. Уже начинаю думать, что ключ до клиента доходит в битом виде, но ведь тогда бы DHCP не выдавал IP?

Безопасность - от внешнего злоумышленника. Все таки большая "дырка" во внутреннюю сеть, если что... Кстати, бывали, за все время существования, у OpenVPN критические уязвимости?

110. vinni, 06.02.2007 01:39
Кстати, бывали, за все время существования, у OpenVPN критические уязвимости?
Не так давно им пользуюсь, не следил.

Безопасность - от внешнего злоумышленника. Все таки большая "дырка" во внутреннюю сеть
Навесь внутрь OpenVPN ещё 1 тунель или "транспорт" - IPSec AES-256 (только поддержку AES-256 надо где-нибудь нарыть)

111. Star Lammer, 06.02.2007 22:40
vinni
вроде бы разобрался...
осталось научить сервер при подъеме клиента добавлять до него маршрут.

допустим сервер:
server 192.168.192.80 255.255.255.248

ССD для клиента
ifconfig 192.168.192.90 192.168.192.89

Сервер получает 192.168.192.81, соответственно когда поднимается линк, сервер получает адрес 192.168.192.82 для общения с клиентской сетью 192.168.192.88 255.255.255.252.

Но вот как заставить его при этом прописать в таблицу маршрутизации:
192.168.192.88 mask 255.255.255.252 gw 192.168.192.82 interface 192.168.192.81 ???

Как я понимаю команда route в конфиге имеет только два параметра IP & MASK, а шлюз не указывается...

112. vinni, 06.02.2007 23:02
Своё ИМХО я уже говорил - OpenVPN не предполагал использование пересекающихся подсетей. Поэтому и route проедполагает "обычный". Мало того, скажу Вам больше - не прокатит даже "route -p", т.к. Windows не заносит в реестр информацию об указанном в команде интерфейсе. И после отключения интерфейса (в этом не уверен, но после перезагрузки так и будет, на эти грабли наступал) она будет пытаться применить этот маршрут уже без параметра IF.

Могу предложить посмотреть что там по поводу скриптов - нет ли возможности исполнять скрипт после коннекта клиента. Если есть, то в скрипте делать route delete ненужного маршрута и route add нужного.

Только я не понял почемы Вы подчеркнули именно "gw 192.168.192.82", Вам ведь не этот параметр "мешает" (этот шлюз то указан правильно), а IF (потому как шлюз доступен не по тому интерфейсу)

Добавление от 06.02.2007 23:07:

Кстати, А кто Вам мешает сразу после старта задать маршрут
route add 192.168.192.90 mask 255.255.255.255 192.168.192.82 IF <номер_интерфейса_192.168.192.81>
И по барабану, что клиент ещё не подключился...

А в CCD для клиента и в конфиге сервера пусть аналогичный маршрут прописывается для подсети 192.168.192.88 mask 255.255.255.252. В итоге, OpenVPN с одной стороны будет знать в какой тунель пихать эту сеть, а windows будет корректно заправлять 192.168.192.90/32 в нужный интерфейс.

113. Star Lammer, 06.02.2007 23:20
Пересекающиеся подсети тут ровным счетом непричем.
Если ставлю server 10.0.8.0 255.255.255.0, то первый же клиент получает адрес 10.0.8.6 (из подсети 10.0.8.4/255.255.255.252), но на сервере в таблицу маршрутизации ничего про 10.0.8.4 или 10.0.8.6 не добавляется! Вот в чем проблема...

Пока сделал persistent route, но Вы уже и тут поспешили меня огорчить :)
А как добавлять маршрут после запуска openvpn? Где-то читал в мануале про скрипты, но разве под Win32 они работают?

P.S. Не было опыта по указанию dependencies для сервисов? Надо отсрочить запуск openvpn...
В реестре в HLM\SYSTEM\CurContrSer\Services указываю для сервиса DependOnService, в свойствах сервисов прописываются значения, и для зависимого и для зависящего... однако после перезагрузки в логе вижу, что сначала по таймауту не ответил зависимый, а потом уже запустился зависящий... Бред?

114. vinni, 06.02.2007 23:31
Пересекающиеся подсети тут ровным счетом непричем.
Если ставлю server 10.0.8.0 255.255.255.0, то первый же клиент получает адрес 10.0.8.6 (из подсети 10.0.8.4/255.255.255.252), но на сервере в таблицу маршрутизации ничего про 10.0.8.4 или 10.0.8.6 не добавляется! Вот в чем проблема...

Вот уж не надо валить с больной головы на здоровую!
Ещё при старте сервера он добавит маршрут НА ВСЮ СЕТЬ 10.0.8.0 255.255.255.0, после этого если не корявить руками маршруты, то добавлять маршруты для каждого клиента незачем!

А Вы же пытаетесь ему навязать, что его интерфейсы и сети 192.168.192.81/28 и т.д.
192.168.192.80 255.255.255.240 192.168.192.82 192.168.192.81 1
192.168.192.81 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.192.90 255.255.255.255 192.168.192.82 192.168.192.100 1
лежат внутри сети существующего интерфейса! 192.168.192.100/24
192.168.192.0 255.255.255.0 192.168.192.100 192.168.192.100 10
192.168.192.100 255.255.255.255 127.0.0.1 127.0.0.1 10
Вот отсюда и все пляски с бубном. Или Вы этого так и не поняли?

Добавление от 06.02.2007 23:37:

Я бы вышел из положения так - поставил бы в Tasks задачу в расписание - запуск скрипта.
Скрипт запускает типа ~ "start openvpn", ждёт или тупо по таймеру или интеллектуально определяет появление интерфейса, затем исполняет route add.

Или ещё тупее - 2 скрипта в Tasks - первый стартует openvpn, второй стартует смену маршрутов.

115. Star Lammer, 07.02.2007 00:19
Все гораздо проще!
Для server указываем любую свободную сетку например 10.10.10.0 255.255.255.0, клиента оставляем в 192.168.192.88, и в роутинг персистентом добавляем route 192.168.192.88 mask 255.255.255.252 10.10.10.2 и все прекрасно переживает перезагрузку...

116. vinni, 07.02.2007 11:34
Кстати, да. Так лучше , а я что-то и не допёр.

117. Star Lammer, 07.02.2007 12:31
Только маршрут и на клиенте надо прописывать персистентом, а то после того как винда зафиксирует падение интерфейса (долговременная пропажа линка, хибернейт) - вся роутинговая инфа внесенная openvpn сносится, хотя висящий резидентно openvpn при первой же возможности линк поднимает, однако маршруты не добавляет.

И вторая проблема - это DNS, опять же, винда живет по своим правилам. При поднятии линка OpenVPN (для него прописан удаленный DNS) винда отказывается резолвить имена. Причем иногда по nslookup уже сразу виден удаленный DNS, а explorer пытается пробивать адреса "через свои источники"...
Если пойти в Network connections > Advanced settings поднять-опустить OpenVPN, то резолв имен централизованно переходит на удаленный DNS... :)

Пока не нашел ничего лучше, чем обильно дополнить виндовый hosts нужными именами...

118. Star Lammer, 08.02.2007 23:14
Обратил внимание, что в Event Log > System после каждого поднятия интерфейса (на клиенте или на сервере, все равно) возникает такое сообщение:

The IP address lease 10.10.10.1 for the Network Card with network address 00FF33B5C65 has been denied by the DHCP server 10.10.10.2 (The DHCP Server sent a DHCPNACK message).

С чего бы это? Диапазоны нигде не пересекаются...

P.S. Кстати, к вопросу о ключах (*.key), почему если изменить в теле ключа несколько символов (2-3 не больше!) OVPN все равно продолжает по этим ключам работать?

119. vinni, 08.02.2007 23:22
Про DHCP видел, но не разбирался - это "внутреннее дело" между интерфейсом и самим OpenVPN-ом.

О ключах. Это, наверное, специальные "невоенные" ключи с ослабленным шифрованием!

120. Adik, 11.02.2007 00:43
Спасибо Vinni за помощь.

Теперь по теме:

В моем последнем сообщении я приводил пример конфигурации:

Выбрал режим моста

[h]сервер[/h]:

dev tap
ifconfig ???????? - Что должно стоять сдесь в резиме моста? какие адресса надо выбрать?
secret key.txt
port 1194
verb 4
mute 10
comp-lzo
keepalive 10 120

Клиент:

remote 83.X.X.X. - внешний адрес WAN
dev tap
ifconfig 192.168.0.100 - В режиме моста этот адрес должен совпадать с IP-адресом локальной сети. Значит в моем
случае я долзен указать любой свободный адрес из моей LAN (192.168.0.100 -192.168.0.199)? Локальный адрес моего сервера192.168.0.101 Здесь непонятно
secret key.txt
port 1194
verb 4
mute 10
comp-lzo
keepalive 10 120

При написании етой конфигурации исходил отсюда: http://old.osp.ru/win2000/506_36.htm
И там написано сто в режиме моста на клиентской стороне адрес ifconfig должен совпадать с IP-адресом локальной сети.

Ты же написал так: "Вы средстами Win объединяете в мост "TAP-Win32 Adapter V8" со своим LAN-адаптером (при этом ни на "TAP-Win32 Adapter V8" ни на LAN не будет IP-протокола) - в результате появится новый интерфейс, и уже на нём будет IP-протокол и ему Вы назначите тот IP, который раньше был на LAN"

Чтоже из етого следует, какой же адрес писать?

И правильно ли я понял пункт 4 из ФАQ применительно к моим адрессам

[h]сервер[/h]

server-bridge 192.168.0.1 255.255.255.0 192.168.1.190 192.168.1.199
# в предыд.команде 192.168.0.1 255.255.255.0 это шлюз из лок.сети во внеш.сети и маска,t.e IP адрес роутера
# 192.168.1.190 192.168.1.199 - диапазон для VPN-хостов

[h]клиент[/h]

ca ca.crt # ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert client.crt
key client.key # секретный файл
dev tap
client
remote server.com 1194 # Здесь не ясно что писать в моем случае?
remote 83.X.X.X 1194 - внешний адрес WAN

______________________________________________________

У меня роутер выдает IP адресса LAN #Ето только информация

Если же делать по простейшей конфигурации то единственно что нужно так ето настроить PortForwarding в роутере на стороне сервера.

121. vinni, 11.02.2007 03:44
1. Повторяю, я не проверял dev tun совместно со static.key. Давайте на Вас и поэкспериментируем

2. Устанавливаете OpenVPN, ставьте со всеми опциями.
цитата:
а. Установочный пакет OpenVPN для Windows http://openvpn.net/release/openvpn-2.0.9-install.exe или выбрать его же или аналогичный или более новую версию на странице http://openvpn.net/download.html)
b. Программа управления OpenVPN-GUI (http://openvpn.se/files/binary/openvpn-gui-1.0.3.exe)
c. При установке драйвера виртуального сетевого адаптера ОС выдаст предупреждение (на русском или английском в зависимости от языка Вашей ОС) об отсутствии цифровой подписи драйвера и гарантий совместимости. Да, цифровой подписи нет, тем не менее соглашайтесь на установку драйвера.
d. Скопировать файл openvpn-gui-1.0.3.exe в папку «C:\Program Files\OpenVPN\bin» и запустить его. Желательно также обеспечить автозапуск этого файла приемлемым для Вас способом, например, поместив ярлык на этот файл в папку автозагрузки в главном меню.

3. Предположим, сервер сейчас имеет 10.1.1.1 в сети LAN 10.1.1.0/24.

4. Делаем мост - выбираем 2 сетевых интерфейса - LAN и OpenVPN, правой кнопкой мышки - мост. Получим новый интерфейс, например, LANbridge, на него опять ставим тот же самый адрес 10.1.1.1

5. В режиме dev tap: ifconfig LocallP MASK

6. server.ovpn:
ifconfig 10.1.1.1 255.255.255.0
.....

client.ovpn
ifconfig 10.1.1.200 255.255.255.0

7. И правильно ли я понял пункт 4 из ФАQ применительно к моим адрессам
Это вообще-то касалось режима работы сервера с сертификатами.

8. Кстати, у меня пока не сложилась полная картина организации тунеля L2 сеть-сеть для Вашего случая, то есть static.key. Вполне вероятно, нужен эксперимент. Всё ясно для вариантов dev tun или dev tap с сервером с мостовым соединением адаптеров с сертификатами и "одиночных" клиентов. А вот с вариантом сети за клиентом в режиме L2 я пока не экспериментировал.

122. Adik, 11.02.2007 21:24
[h]Vinni[/h]

3. Предположим, сервер сейчас имеет 10.1.1.1 в сети LAN 10.1.1.0/24

Значит в моем случае: 192.168.0.101 в сети LAN 192.168.0.0

6. server.ovpn:
ifconfig 10.1.1.1 255.255.255.0

Значит в моем случае: ifconfig 192.168.0.101 255.255.255.0

client.ovpn
ifconfig 10.1.1.200 255.255.255.0

Значит в моем случае: ifconfig 192.168.0.200???? # В роутер в разделе DHCP стоит сто адреса выдаются в диапазоне: 192.168.0.100 - 192.168.0.199. 192.168.0.1 - адрес самого роутера т.е gateway.

Tak????


8. На сегодня вариант соединения сети за клиентом не стоит. Задача соеденить одиночный клиент с сервером или сетью за сервером (сеть- рабочая группа с роутером)

Добавление от 11.02.2007 21:48:

Или я что-то не понимаю. 10.1.1.0 - ето адрес нашей виртуальной подсети? И он не должениспользоваться в реальной локальной сети.

123. vinni, 12.02.2007 11:48
6. Да. Но надо будет посмотреть что он скажет. Я то у себя использую команду server-bridge

124. AlekseyK, 18.02.2007 10:41
Подскажите, пожалуйста, как установить TAP-Win32 Driver под Vista x64 ?
Он не запускается с кодом 48 (заблокирован, поскольку известно, что он не может нормально работать под управлением Windows)

125. Star Lammer, 21.02.2007 00:19
Кстати, а почему не рекомендуется пользоваться функцией Disable для отключения клиента, а рекомендуется отзыв сертификата? Клиент может как-то изменить "common name"?

--disable
Disable a particular client (based on the common name) from connecting. Don't use this option to disable a client due to key or password compromise. Use a CRL (certificate revocation list) instead (see the --crl-verify option).

126. vinni, 21.02.2007 15:25
По идее, CN клиент изменить не может, т.к. сертификат клиента подписан CA
Но с другой стороны, автор OpenVPN в этой кухне "шарит" неизмеримо больше меня и просто так предупрежрать о возможности "key or password compromise" не станет.

127. Tsp, 21.02.2007 18:58
вопрос к гуру:

у меня стали дублироваться записи в ipp.txt, в начале файла у клиента одна сеть, в конце файла другая ,
правка и рестарт не помогают, собственно для меня этот файл важен т.к. есть клиенты которым нужны привилегии отличные от дефолтных.

В чем может быть причина?

128. Star Lammer, 23.02.2007 20:17
А есть идеи как при поднятии OVPN соединения добавлять (включать) proxy в internet explorer, а при падении соединения удалять (отключать) proxy в ie - проще говоря нужно запускать некий скрипт при установке и разрыве соединения? При условии, что OpenVPN запущен резидентно ввиде сервиса.

129. vinni, 24.02.2007 02:01
Star Lammer
добавлять (включать) proxy в internet explorer
По большому счёту это конечно здесь ОФФТОП... Приведу не решение, а лишь мысли.
1. Определение факта установки/разрыва OpenVPN-соединения не рассматриваю.
2. Для изменения настроек прокси в объекте Win32_Proxy есть функуция:
цитата:
Function SetProxySetting ([in]ProxyPortNumber As string, [in]ProxyServer As string) As uint32

Эта функция представляет собой пакетный эквивалент указания прокси-сервера вручную через параметры подключения к Интернету Панели управления или обозреватель с помощью вкладки Подключения. Эта настройка осуществляется один раз, так что предварительно следует проверить параметры. Метод возвращает значение 0 в случае успеха и код ошибки в противном случае.
Вот пример "чтения" настроек через WSH/VBS:
код:
On Error Resume Next
strComputer = "."
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set colItems = objWMIService.ExecQuery("Select * from Win32_Proxy")
For Each objItem in colItems
Wscript.Echo "Proxy Port Number: " & objItem.ProxyPortNumber
Wscript.Echo "Proxy Server: " & objItem.ProxyServer
Wscript.Echo "Server Name: " & objItem.ServerName
Wscript.Echo
Next

Если делать на локальном компе, то WMI можно выкинуть.

Добавление от 24.02.2007 02:07:

Если не удастся реализовать именно отключение прокси, то вместо этого можно использовать переключение на локальный прокси (например, Proxomitron)

130. IORic, 25.02.2007 05:29
Возникла вот такая во проблемка на стадии генерации сертификата для сервера. Впринципе после этих манипуляций появляются нужные файлы
код:
ServerName.crt
ServerName.key
ServerName.csr (даже этот)

код:


F:\Program Files\OpenVPN\easy-rsa>vars

F:\Program Files\OpenVPN\easy-rsa>clean-all
Скопировано файлов: 1.
Скопировано файлов: 1.

F:\Program Files\OpenVPN\easy-rsa>vars.bat

F:\Program Files\OpenVPN\easy-rsa>build-ca.bat
Loading 'screen' into random state - done
Generating a 1024 bit RSA private key
.............++++++
............................................................++++++
writing new private key to 'keys\ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [US]:RU
State or Province Name (full name) [CA]:RU
Locality Name (eg, city) [SanFrancisco]:Dubna
Organization Name (eg, company) [FortFunston]:xxx
Organizational Unit Name (eg, section) []:xxxxx
Common Name (eg, your name or your server's hostname) []:hostname
Email Address [mail@host.domain]:my@mail.ru

F:\Program Files\OpenVPN\easy-rsa>vars

F:\Program Files\OpenVPN\easy-rsa>build-key-server ServerName
Loading 'screen' into random state - done
Generating a 1024 bit RSA private key
...............++++++
.........................................++++++
writing new private key to 'keys\ServerName.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [US]:RU
State or Province Name (full name) [CA]:Ru
Locality Name (eg, city) [SanFrancisco]:Dubna
Organization Name (eg, company) [FortFunston]:sdfg
Organizational Unit Name (eg, section) []:xxx
Common Name (eg, your name or your server's hostname) []:hostname
Email Address [mail@host.domain]:my@mail.ru

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:123456
An optional company name []:123456
Using configuration from openssl.cnf
Loading 'screen' into random state - done
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName :PRINTABLE:'RU'
stateOrProvinceName :PRINTABLE:'Ru'
localityName :PRINTABLE:'Dubna'
organizationName :PRINTABLE:'sdfg'
organizationalUnitName:PRINTABLE:'xxx'
commonName :PRINTABLE:'hostname'
emailAddress :IA5STRING:'my@mail.ru'
The stateOrProvinceName field needed to be the same in the
CA certificate (RU) and the request (Ru)
Не удается найти F:\Program Files\OpenVPN\easy-rsa\keys\*.old

F:\Program Files\OpenVPN\easy-rsa>

Но вопрос мой вот в чём *.old это что за файл такой и для чего он нужен? Или я мож чё не правильно делаю.

131. vinni, 26.02.2007 00:54
IORic
Там же в самом коммандном файле build-key-server.bat всё написано:
цитата:
...
rem delete any .old files created in this process, to avoid future file creation errors
del /q %KEY_DIR%\*.old
Просто удаляют за собой "рабочий" мусор, а в данном случае его не оказалось.
Всё нормально.

132. leog, 06.03.2007 16:41
Помогите разобраться со следующей ситуацией.
Задача: надо скрыть от провайдера что народ пользуется VoIP.
Меня просили поставить VPN, чтоб клиенты на Windows XP могли бы по туннелю выходить в интернет и работать с определенным сервером. Я поставил OpenVPN на Fedora Core 2, создал ключи. Запутался с конфиг файлом-что использовать routing or bridged mode. Подскажите пожалуйста.

133. vinni, 08.03.2007 01:44
leog
Судя по всему, Вы просто "запутались с конфиг файлом"
Какой вопрос, такой и ответ

134. owners, 12.03.2007 03:37
Помогите c настройкой Openvpn на базе VPS с root-доступом
Ситуация такая.
Сервер:
Есть удаленный VPS с centos-4-i386 на котором установлен OpenVPN. Выход в инет я так понимаю прямой.

Клиент:
У меня есть 2 компа в локалке подключаемые в инет через ADSL модем
IP модема 192.168.1.1
1 комп 192.168.1.2 WinXP SP2
2 комп 192.168.1.3 WinXP SP2

Задача
1.направить весь мой трафик через openvpn тунель(т.е. все приложения: браузер, почтовая программа и т. д. должны ходить в Интернет через тунель.),
2.иметь ip адрес не свой родной, а иностранный,
3.шифрование трафика.
Устанавливал и настраивал VPS и openvpn на компе по инструкциям которыt нарыл на форумах.
в частности здесь http://dedicatesupport.com/?p=8

В результате клиент коннектится, устанавливается соединение, клиент получает IP 10.8.0.6,
сервер(10.8.0.1) пингуется, клиент сам себя пингует(но не всегда), выйти в нет не получается.... :(

прилагаю конфигурацию на обеих сторонах - и на сервере и на клиенте
Server.ovpn

proto udp
dev tun
port 1194

ca ca.crt
cert server.crt
key server.key
dh dh1024.pem

mode server
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

push "redirect-gateway def1"
push "dhcp-option DNS 10.8.0.1"
push "dhcp-option WINS 10.8.0.1"

keepalive 10 120
cipher DES-EDE3-CBC # Triple-DES

comp-lzo

user nobody
group nobody
persist-key
persist-tun
verb 0
---------------------------------------------------------------

client
proto udp
remote ip..my.servera
port 1194
dev tun

resolv-retry infinite

route-method exe
#route-gateway 10.8.0.1 #пробовал разные комбинации настроек
#dhcp-option DNS 10.8.0.1
#redirect-gateway
#ip-win32 netsh
#route-delay 10

persist-key
persist-tun

ca ../keys/ca.crt
cert ../keys/client3.crt
key ../keys/client3.key
cipher DES-EDE3-CBC # Triple-DES
comp-lzo
verb 3

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@



ipconfig /all до установки ovpn-соединения.


Windows IP Configuration

Host Name . . . . . . . . . . . . : bigdude
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No


Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Marvell Yukon Gigabit Ethernet 10/10
0/1000Base-T Adapter, Copper RJ-45
Physical Address. . . . . . . . . : 00-0F-EA-E9-1D-30
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.1.2
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1
DNS Servers . . . . . . . . . . . : MY RODNOI PROVIDER DNS
MY RODNOI PROVIDER DNS

Ethernet adapter TAP VPN:

Media State . . . . . . . . . . . : Media disconnected
Description . . . . . . . . . . . : TAP-Win32 Adapter V8
Physical Address. . . . . . . . . : 00-FF-8E-46-A2-C0

----------------------------------------------------------------------------
ipconfig /all и route print установки ovpn-соединения.

Windows IP Configuration

Host Name . . . . . . . . . . . . : bigdude
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No


Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Marvell Yukon Gigabit Ethernet 10/10
0/1000Base-T Adapter, Copper RJ-45
Physical Address. . . . . . . . . : 00-0F-EA-E9-1D-30
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.1.2
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1
DNS Servers . . . . . . . . . . . : MY RODNOI PROVIDER DNS
MY RODNOI PROVIDER DNS

Ethernet adapter TAP VPN:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TAP-Win32 Adapter V8
Physical Address. . . . . . . . . : 00-FF-8E-46-A2-C0
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 10.8.0.6
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . : 10.8.0.5
DHCP Server . . . . . . . . . . . : 10.8.0.5
DNS Servers . . . . . . . . . . . : 10.8.0.1
Lease Obtained. . . . . . . . . . : Sunday, March 11, 2007 12:06:48 PM
Lease Expires . . . . . . . . . . : Monday, March 10, 2008 12:06:48 PM

-------------------------------------------
route print

===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x4 ...00 0f ea e9 1d 30 ...... Marvell Yukon Gigabit Ethernet 10/100/1000Base-T
Adapter, Copper RJ-45 - Packet Scheduler Miniport
0x5 ...00 ff 8e 46 a2 c0 ...... TAP-Win32 Adapter V8 - Packet Scheduler Miniport

===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 128.0.0.0 10.8.0.5 10.8.0.6 1
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.2 20
10.8.0.1 255.255.255.255 10.8.0.5 10.8.0.6 1
10.8.0.4 255.255.255.252 10.8.0.6 10.8.0.6 30
10.8.0.6 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 30
ip..my.servera 255.255.255.255 192.168.1.1 192.168.1.2 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
128.0.0.0 128.0.0.0 10.8.0.5 10.8.0.6 1
192.168.1.0 255.255.255.0 192.168.1.2 192.168.1.2 20
192.168.1.2 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.255 255.255.255.255 192.168.1.2 192.168.1.2 20
192.168.49.0 255.255.255.0 192.168.49.1 192.168.49.1 20
192.168.49.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.49.255 255.255.255.255 192.168.49.1 192.168.49.1 20
192.168.220.0 255.255.255.0 192.168.220.1 192.168.220.1 20
192.168.220.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.220.255 255.255.255.255 192.168.220.1 192.168.220.1 20
224.0.0.0 240.0.0.0 10.8.0.6 10.8.0.6 30
224.0.0.0 240.0.0.0 192.168.1.2 192.168.1.2 20
224.0.0.0 240.0.0.0 192.168.49.1 192.168.49.1 20
224.0.0.0 240.0.0.0 192.168.220.1 192.168.220.1 20
255.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 1
255.255.255.255 255.255.255.255 192.168.1.2 192.168.1.2 1
255.255.255.255 255.255.255.255 192.168.49.1 192.168.49.1 1
255.255.255.255 255.255.255.255 192.168.220.1 192.168.220.1 1
Default Gateway: 10.8.0.5
===========================================================================
Persistent Routes:
None

10.8.0.1 s WINXP pinguetsa
10.8.0.6 na etot raz ne pinguetsa
tracert 194.87.0.50 -d (это www.ru) - с WinXP не работает!
ping 10.8.0.1 со стороны сервера проходит


Sun Mar 11 12:06:41 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Sun Mar 11 12:06:41 2007 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sun Mar 11 12:06:41 2007 LZO compression initialized
Sun Mar 11 12:06:41 2007 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Mar 11 12:06:41 2007 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Mar 11 12:06:41 2007 Local Options hash (VER=V4): '827c9ed0'
Sun Mar 11 12:06:41 2007 Expected Remote Options hash (VER=V4): '974bef3f'
Sun Mar 11 12:06:41 2007 UDPv4 link local (bound): [undef]:1194
Sun Mar 11 12:06:41 2007 UDPv4 link remote: ip..my.servera:1194
Sun Mar 11 12:06:41 2007 TLS: Initial packet from ip..my.servera:1194, sid=3de75598 95fdb21f
Sun Mar 11 12:06:42 2007 VERIFY OK: depth=1, /C=KG/ST=NA/L=BISHKEK/O=OpenVPN-TEST/CN=_OpenVPN-CA/emailAddress=me@myhost.mydomain
Sun Mar 11 12:06:42 2007 VERIFY OK: depth=0, /C=KG/ST=NA/O=OpenVPN-TEST/CN=server/emailAddress=me@myhost.mydomain
Sun Mar 11 12:06:45 2007 Data Channel Encrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key
Sun Mar 11 12:06:45 2007 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Mar 11 12:06:45 2007 Data Channel Decrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key
Sun Mar 11 12:06:45 2007 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Mar 11 12:06:45 2007 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sun Mar 11 12:06:45 2007 [server] Peer Connection Initiated with ip..my.servera:1194
Sun Mar 11 12:06:46 2007 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Sun Mar 11 12:06:46 2007 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS 10.8.0.1,route 10.8.0.1,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Sun Mar 11 12:06:46 2007 OPTIONS IMPORT: timers and/or timeouts modified
Sun Mar 11 12:06:46 2007 OPTIONS IMPORT: --ifconfig/up options modified
Sun Mar 11 12:06:46 2007 OPTIONS IMPORT: route options modified
Sun Mar 11 12:06:46 2007 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sun Mar 11 12:06:46 2007 TAP-WIN32 device [TAP VPN] opened: \\.\Global\{8E46A2C0-D2A8-439F-81FB-13C0891DF1EA}.tap
Sun Mar 11 12:06:46 2007 TAP-Win32 Driver Version 8.4
Sun Mar 11 12:06:46 2007 TAP-Win32 MTU=1500
Sun Mar 11 12:06:46 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {8E46A2C0-D2A8-439F-81FB-13C0891DF1EA} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Sun Mar 11 12:06:46 2007 Successful ARP Flush on interface [5] {8E46A2C0-D2A8-439F-81FB-13C0891DF1EA}
Sun Mar 11 12:06:46 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Sun Mar 11 12:06:46 2007 Route: Waiting for TUN/TAP interface to come up...
Sun Mar 11 12:06:47 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Sun Mar 11 12:06:47 2007 Route: Waiting for TUN/TAP interface to come up...
Sun Mar 11 12:06:48 2007 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up
Sun Mar 11 12:06:48 2007 route ADD ip..my.servera MASK 255.255.255.255 192.168.1.1
Sun Mar 11 12:06:49 2007 route ADD 0.0.0.0 MASK 128.0.0.0 10.8.0.5
Sun Mar 11 12:06:49 2007 route ADD 128.0.0.0 MASK 128.0.0.0 10.8.0.5
Sun Mar 11 12:06:49 2007 route ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
Sun Mar 11 12:06:49 2007 Initialization Sequence Completed


В чем может быть проблема.
Насколько я понял оснвная проблема в настроейке роутинга. Знаю, что и на сервере нужно еще задать
нужные роутинги (но не знаю как, не силен в Linux). Может быть подскажете, как заставить это все-таки работать?

135. vinni, 12.03.2007 10:36
owners
Лично я при беглом просмотре проблем на стороне клиента не заметил, redirect-gateway def1 отработал корректно - маршрут на сервер переписал, 2 новых маршрута /1 добавил. Остальное зависит от сервера.

DNS, надеюсь, на сервере 10.8.0.1 поднят?

Теперь надо на сервере настроить доступ к интернету для сети 10.8.1/24

cipher DES-EDE3-CBC # Triple-DES - Шифрование не самое стойкое. Хотя, конечно, для многих целей и достаточное.

136. owners, 12.03.2007 15:45
DNS, надеюсь, на сервере 10.8.0.1 поднят?
не поднят... потому что я не знаю как его поднять, поясни если можно поподробнее....
какое шифрование порекомендуешь?

Добавление от 12.03.2007 15:48:

vinni, помоги чем сможешь,please, я смотрю ты в этой ветке гуру по VPN

Добавление от 12.03.2007 15:50:

я такую строку забивал....
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

137. vinni, 12.03.2007 16:25
DNS не поднят... потому что я не знаю как его поднять, поясни если можно поподробнее....
Это даже под Windows можно сделать разными способами, а уж под *nix-ами и подавно...
Как вариант, для начала посмотрите какой DNS используется на самом сервере и его же адрес забейте в команду push dhcp-option DNS

ты в этой ветке гуру по VPN
Я сам в шоке Только сегодня заметил, что меня "возвели в ранг куратора". Это, видать, координатор "причесал тему", заодно и добавил вверху ссылку на FAQ.


iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Сорри, по *nix не проконсультирую
Может AckCmd заглянет и подскажет?

tracert 194.87.0.50 -d (это www.ru) - с WinXP не работает!
Кстати, что значит "не работает"? Что выводит?

138. AckCmd, 12.03.2007 16:34
Может AckCmd заглянет и подскажет?Может AckCmd заглянет и подскажет?[/i]
А чего надо-то

tracert 194.87.0.50 -d (это www.ru) - с WinXP не работает!
А на чем затыкается?

и кстати:
iptables-save > /root/ipt.txt
Содержимое файла /root/ipt.txt сюда, будем посмотреть. Ну и ifconfig тоже.

139. owners, 12.03.2007 16:35
eще вопросик, какую OС оптимально ставить на VPS / dedicated? хозяйство будет использоваться только для Onenvpn туннеля?
K началу

140. AckCmd, 12.03.2007 16:37
какую OС оптимально ставить на VPS
Уууу, батенька, это во-первых не по теме форума, а во-вторых нарушение моратория на религиозные войны.

141. owners, 12.03.2007 16:42
Содержимое файла /root/ipt.txt

# Generated by iptables-save v1.2.11 on Mon Mar 12 13:39:56 2007
*nat
:pREROUTING ACCEPT [10758:1303744]
:pOSTROUTING ACCEPT [89:4931]
:oUTPUT ACCEPT [89:4931]
-A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Mar 12 13:39:56 2007
# Generated by iptables-save v1.2.11 on Mon Mar 12 13:39:56 2007
*mangle
:pREROUTING ACCEPT [67669:7541875]
:INPUT ACCEPT [63201:6822314]
:FORWARD ACCEPT [0:0]
:oUTPUT ACCEPT [68497:9423652]
:pOSTROUTING ACCEPT [68497:9423652]
COMMIT
# Completed on Mon Mar 12 13:39:56 2007
# Generated by iptables-save v1.2.11 on Mon Mar 12 13:39:56 2007
*filter
:INPUT ACCEPT [63201:6822314]
:FORWARD ACCEPT [0:0]
:oUTPUT ACCEPT [68497:9423652]
COMMIT
# Completed on Mon Mar 12 13:39:56 2007
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
ifconfig

eth0 Link encap:Ethernet HWaddr AA:00:05:60:82:BE
inet addr:64.хх.хх.138 Bcast:64.хх.хх.255 Mask:255.255.255.0
inet6 addr: fe80::a800:5ff:fe60:82be/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1112028 errors:0 dropped:0 overruns:0 frame:0
TX packets:69418 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:71363952 (68.0 MiB) TX bytes:9805655 (9.3 MiB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:184 errors:0 dropped:0 overruns:0 frame:0
TX packets:184 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:611553 (597.2 KiB) TX bytes:611553 (597.2 KiB)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:743 errors:0 dropped:0 overruns:0 frame:0
TX packets:195 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:48752 (47.6 KiB) TX bytes:14784 (14.4 KiB)

142. AckCmd, 12.03.2007 16:49
-A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE


Ну Вы подчистите их, что ли, зачем Вам 4 одинаковых правила

таблицу маршрутизации тоже надо, сорри, забыл сразу сказать (route)

143. owners, 12.03.2007 16:50
tracert 194.87.0.50 na WinXP pri zapuschenom VPN soedinenii

Tracing route to 194.87.0.50 over a maximum of 30 hops

1 * * * Request timed out.
2 * * * Request timed out.
3

144. vinni, 12.03.2007 16:52
-A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE
...
-A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE

А зачем 4 раза? ОС тупая, с 1 раза не понимает? Или это припев?

Добавление от 12.03.2007 16:53:

Опа... Уже баян

1 * * * Request timed out.
Странно, а почему даже первый хоп не отвечает?

145. owners, 12.03.2007 16:54
route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
64.22.113.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
0.0.0.0 64.22.113.1 0.0.0.0 UG 0 0 0 eth0



А зачем 4 раза? eto ja tormozil 4 raza propisival...

146. AckCmd, 12.03.2007 17:01
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
А 10.8.0.2 - это кто?

147. vinni, 12.03.2007 17:04
А 10.8.0.2 - это кто?
Это интерфейс виртуального OpenVPN-роутера, 10.8.0.2/30, за ним живёт вся остальная сеть 10.8.0.0/24

OpenVPN в режиме tun реализует некий виртуальный маршрутизатор, на каждого клиента выделяется подсеть /30, один из адресов отдаётся клиенту, второй порту этого "вирт.роутера". Скорее всего эта особенность вытекает вследствие универсальности адаптеров - используется единообразный виртуальный tun/tap-адаптер, эмулирующий eth (точнее под Win это именно так, а под *nix судя по всему чуть иначе - судя по "encap:UNSPEC", но ноги, думаю, растут отсюда)

148. owners, 12.03.2007 17:08
c WinXp ping 10.8.0.1 proxodit 10.8.0.6 - нет(только 1 раз как-то проходил)

149. AckCmd, 12.03.2007 17:10
А, вон там какая хитрая система.
0.0.0.0 128.0.0.0 10.8.0.5 10.8.0.6 1
С учетом маски, если я еще не ошалел от безделья на рабочем месте, в туннель должны идти пакеты, направленные на IP, у которого крайний левый бит = 0. У цифры 194 крайний левый бит НЕ равен 0

150. vinni, 12.03.2007 17:12
10.8.0.6 это же локальный интерфейс на WinXP. Он же должен пинговаться при любом раскладе... Странно...

Добавление от 12.03.2007 17:14:

0.0.0.0 128.0.0.0 10.8.0.5 10.8.0.6 1
128.0.0.0 128.0.0.0 10.8.0.5 10.8.0.6 1
Это OpenVPN-овский спец.хинт - "redirect-gateway def1", вместо маршрута 0/0 он ставит 2 маршрута X/1, применяют если есть проблемы с удалением текущего основного шлюза. В принципе конструкция рабочая.

151. AckCmd, 12.03.2007 17:20
Нет, точно пора чем-нибудь общественно-полезным заняться, совсем невнимательным стал
Похоже подсказать ничего не могу, разве что снифером понюхать - не пытаются ли пакеты лететь мимо туннеля.

152. owners, 12.03.2007 17:21
был раньше у меня VPN, dev tap использовалось, default gateway 192.168.1.1 удалялся, оставался только gateway VPN
может по схеме dev tap попробовать?
а еще я вам парни скажу, даже при отключенном VPN ping 192.168.1.2 (мой локальный IP) НЕ ПРОХОДИТ!

153. vinni, 12.03.2007 17:25
owners
какое шифрование порекомендуешь?
Забыл...
c:\Program Files\OpenVPN\bin>openvpn.exe --show-ciphers
DES-CBC 64 bit default key (fixed)
IDEA-CBC 128 bit default key (fixed)
RC2-CBC 128 bit default key (variable)
DES-EDE-CBC 128 bit default key (fixed)
DES-EDE3-CBC 192 bit default key (fixed)
DESX-CBC 192 bit default key (fixed)
BF-CBC 128 bit default key (variable)
RC2-40-CBC 40 bit default key (variable)
CAST5-CBC 128 bit default key (variable)
RC5-CBC 128 bit default key (variable)
RC2-64-CBC 64 bit default key (variable)
AES-128-CBC 128 bit default key (fixed)
AES-192-CBC 192 bit default key (fixed)
AES-256-CBC 256 bit default key (fixed)

У Вас на WinXP никаких "хитрых" фаерволов не стоит?
Странно что не пингуется 10.8.0.6 И что нет ответа от 1 хопа tracert...
А попробуйте убрать def1 и оставить только push "redirect-gateway", чем чёрт не шутит?

154. owners, 12.03.2007 17:29
в конфигурации сервера push "dhcp-option DNS 64.xx.xx.1" прописал
а в логе коннекта PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS 10.8.0.1
пишет.....
не понимает что-ли ??

Добавление от 12.03.2007 17:30:

Outpost стоит, сча отключу...

Добавление от 12.03.2007 17:33:

Outpost отключил, ping пошел!!!

155. vinni, 12.03.2007 17:34
owners
Не трогайте dev tap, с ним ещё больше намучаетесь. Не в этом дело...

AckCmd
Самобичевание у нас в отдельной теме
С iptables там всё в порядке?

Добавление от 12.03.2007 17:35:

не понимает что-ли ??
Сервер (в смысле процесс OpenVPN) надо перезапустить

156. AckCmd, 12.03.2007 17:46
С iptables там всё в порядке?
Угу, НАТ есть, все ACCEPT, ничего вроде не мешает.

157. owners, 12.03.2007 17:48
perezapustil service openvpn
ipconfig vidal
(udalilsa default gateway 192.168.1.1)

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Marvell Yukon Gigabit Ethernet 10/10
0/1000Base-T Adapter, Copper RJ-45
Physical Address. . . . . . . . . : 00-0F-EA-E9-1D-30
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.1.2
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : RODNOI DNS
RODNOI DNS

Ethernet adapter TAP VPN:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TAP-Win32 Adapter V8
Physical Address. . . . . . . . . : 00-FF-8E-46-A2-C0
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 10.8.0.6
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . : 10.8.0.5
DHCP Server . . . . . . . . . . . : 10.8.0.5
DNS Servers . . . . . . . . . . . : 10.8.0.1
Primary WINS Server . . . . . . . : 10.8.0.1
Lease Obtained. . . . . . . . . . : Monday, March 12, 2007 6:44:56 AM
Lease Expires . . . . . . . . . . : Tuesday, March 11, 2008 6:44:56 AM

Добавление от 12.03.2007 18:04:

сейчас хотя explorer когда пишу yahoo.com
перебирает yahoo.com.net
yahoo.com.org
yahoo.com.edu

какой-то прогресс...

158. vinni, 12.03.2007 18:09
Нет, в переборе "яху" прогресса нет, это микрософтовский тупизм...

Перезагрузить надо было процесс НА СЕРВЕРЕ! Вы же на нём конфиг меняли.

И опять же, tracert 194.87.0.50 что кажет?

159. owners, 12.03.2007 18:21
я на сервере и перезапускал, иначе, я смотрю, изменения в конфиг файле не воспринимает
racert по прежнему лежит

160. vinni, 12.03.2007 18:27
owners
Чудеса... Похоже проблема перестаёт быть проблемой общего плана и вряд ли стоит развивать её здесь (это всё же форум, а не приватный чат, прошу понять правильно). Предлагаю Вам создать приватную тему и зазвать туда кого сочтёте нужным В привате проще ещё и тем, что иногда (по Вашему усмотрению) можно не прятать часть информации. В целом направление дальнейших изысканий - это мониторинг на уровне пакетов (или снифером или иными средствами IP-мониторинга)

161. owners, 12.03.2007 18:46

vinni
privatnuju v smisle otdelnuju? opcii privatnaja tema neviju... sorry za glupii vopros

162. vinni, 12.03.2007 19:21
Конференция iXBT.com » Приватные темы »
Приватные темы (http://forum.ixbt.com/?id=0)
Там же и про правила приватных тем.

163. sst, 14.03.2007 23:26
Суть проблемы: не "пингуется" сеть за сервером OpenVpn.

Условия:
Сервер - freebsd 6.2
Конфигурация:
цитата:

dev tun

server 10.8.0.0 255.255.255.0

ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/pavantage.crt
key /usr/local/etc/openvpn/keys/pavantage.key
dh /usr/local/etc/openvpn/keys/dh1024.pem

tls-auth /usr/local/etc/openvpn/keys/static.key

client-to-client

cipher BF-CBC

comp-lzo

persist-key
persist-tun

#daemon
user nobody
group nobody

log /var/log/openvpn/openvpn.log
status /var/log/openvpn/openvpn-status.log
verb 3

Клиент 1 - Линукс, его конфигурация:
цитата:

client
dev tun
remote 88.185.181.18

ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/promhim.crt
key /usr/local/etc/openvpn/keys/promhim.key

tls-auth /usr/local/etc/openvpn/keys/static.key

cipher BF-CBC

comp-lzo

persist-key
persist-tun

user nobody
group nobody

log /var/log/openvpn/openvpn.log
status /var/log/openvpn/openvpn-status.log

За сервером (на одном из его интерфейсов всмысле) находится сеть 192.168.0.0/24. За линуксом сеть 192.168.10.0/24 Обе машины явяются шлюзами по умлочанию в своих сетях и раздают инет через NAT.
Пакеты из локальной сети в 10.8.0.0/16 NAT не проходят (проверял).

Соединение устанавливается, сервер получает адрес 10.8.0.1, линуксовый клиент 10.8.0.6
Пинговать друг друга могут.
На линуксе добавляю руками маршрут:
/sbin/route add -net 192.168.0.0/24 gw 10.8.0.5
Пинги до машин из сети 192.168.0.0/24 идут успешно. Глянул tcpdump'ом, источником стоит адрес 10.8.0.6 (поэтому и успешно).

Для того, чтобы машины из 192.168.0.0/24 могли видеть машины из 192.168.10.0/24 надо прописать на сервере адрес шлюза для сети 192.168.10.0/24 Какой адрес прописывать? Пробовал 10.8.0.2, 10.8.0.5, 10.8.0.6 Не работает. Судя по tcpdump, пакеты в tun0 на сервере уходят, а вот на клиенте их нет.
Что не так?

Для эксперимента пробовал с простейшей конфигурацией, когда 1 сервер и 1 клиент (т.е. вместо параметра server прописал ifconfig), и на каждой стороне соответственно маршруты. Все заработало, клиенты из 192.168.0.0/24 видят 192.168.10.0/24. Но такой вариант не устраивает, надо чтобы клиентов было несколько, и за каждым клиентом своя сеть, которую надо видеть.

Добавление от 14.03.2007 23:45:

Отвечу сам себе.
В нутри openvpn есть совя маршрутизация. Чтоб пускал в сети за клиентами надо в конфиге сервера указать путь до client-config-dir ccd, а там положить файл с именем клиента, с командой внутри:
iroute 192.168.10.0 255.255.255.0 , где 192.168.10.0 это сеть за клиентом.

164. vinni, 15.03.2007 01:57
Да, Вы правильно сделали, именно iroute, именно на стороне сервера (на стороне клиента эта команда и не нужна, и серверу он её не передаст, и она не сработает и выдаст ошибку).
И правильно сделали что написали сюда же свой же ответ В этом и смысл форума - "не знаешь - спроси, знаешь - поделись!"

165. todeus, 15.03.2007 15:45
вопрос такой, уважаемые знатоки
После падения VPN тунеля , не устанавливается связь после реконнекта(висит и все тебе).
Если поменяешь на серевере и клиенте номера портов-- связь устанавливается отлично?
В чем проблема.

И еще если старую сервис, то маршруты не добаляются, если через wingui стартуешь, то все ок..

server.ovpn
dev tun
dev-node tunfort
proto udp
port 5002
comp-lzo
ping 15
verb 6
# для IPCONFIG
secret "C:\\Program Files\\OpenVPN\\config\\key.txt"

ifconfig 10.3.0.5 10.3.0.6
route-method exe
route-delay 10
route 10.10.2.0 255.255.255.0 10.3.0.2
tun-mtu 1500
-------------------------------------------
client.ovpn

dev tun
proto udp
dev-node tunof
port 5002
comp-lzo
ping 15
verb 6
secret "C:\\Program Files\\OpenVPN\\config\\key.txt"
remote x.x.x.x
ifconfig 10.3.0.6 10.3.0.5
route-method exe
route-delay 5
route 10.10.1.0 255.255.255.0 10.3.0.5
# push "route 10.10.1.0 255.255.255.0 10.3.0.1"
tun-mtu 1500

166. vinni, 15.03.2007 16:58
todeus
Если поменяешь на серевере и клиенте номера портов-- связь устанавливается отлично?
Это вопрос? Вы ничего не напутали в пунктуации? Я не понял сути из столь сбивчивого объяснения.
Общий совет - смотрите логи, там должно быть написано что происходит. При необходимости увеличивайте значение параметра verb.

Принципиальных различий в поведении запуска тунеля через сервис, openvpn.exe или openvpngui.exe лично я не замечал, кроме очевидных - различия в связи с правами уч.записей и нюансы конфигурации лога при запуске через GUI в связи в перехватом лога самим GUI.

ifconfig 10.3.0.5 10.3.0.6
route 10.10.2.0 255.255.255.0 10.3.0.2

Ну и? Вы объявили интерфейс сервера 10.3.0.5, интерфейс "второго конца" 10.3.0.6, а шлюзом указываете 10.3.0.2 Тогда уж:
route 10.10.2.0 255.255.255.0 10.3.0.6

Попробуйте "в довесок" к "tun-mtu 1500" добавить ещё 2 строки:
fragment 1400
mssfix

167. todeus, 15.03.2007 18:02
ifconfig 10.3.0.5 10.3.0.6
route 10.10.2.0 255.255.255.0 10.3.0.2

да извините, что запутал- это ошибка вставки
у меня шлюз прописан 10.3.0.6.

Попробуйте "в довесок" к "tun-mtu 1500" добавить ещё 2 строки:
fragment 1400
mssfix

Спасибо за совет. Проверю -скажу.

Под XP при старте сервиса
route-method exe
route-delay 5
route 10.10.1.0 255.255.255.0 10.3.0.5
данный маршрут не добавлятся
в route print нет этого маршрута
если запускаю через GUI ? то маршрут есть.

168. vinni, 15.03.2007 18:41
Попробуйте увеличить задержку - route-delay 10
Не далее как вчера имел то же самое, но под Win2003. Но под серверами я уже привык ставить именно 10.

Ну так и покажите сюда Ваш ipconfig /all и route print после установки туннеля. Заодно и кусок лога в том месте, где проходят route add. Не брезгуйте только использовать при этом тег [ code ]

169. todeus, 16.03.2007 11:08
в win2003 тоже была ситуация что при рестарте сервиса не добавлялся маршрут.
посмотрел rras, а там этого интерфейса нет, хотя в сетевом окружении он подключен, пришлось вручную добавлять. и маршрут добавился.
а под winxp увеличил route-delay до 15 и вроде работает.

и еще один вопрос, который еже тут задвался. Это начет того, что в system Event появляется сообщение типа
The IP address lease 10.3.0.1 for the Network Card with network address 00FFB426F5CE has been denied by the DHCP server 10.3.0.2 (The DHCP Server sent a DHCPNACK message).

следует на это обращать внимание?
или придется мириться ??

Спасибо.

170. vinni, 16.03.2007 13:29
ИМХО, не стоит обращать внимание. Это видать, особенности упрощённой реализации и "имитации" DHCP-сервера OpenVPN-ом. При включении интерфейса Win сначала пытается продлить аренду "старого" адреса, а OpenVPN-у, видать, не было смысла делать поддрержку и обработку запросов этого типа. Вот он и отвечает для простоты DHCPNACK, а затем по штатному алгоритму просто снова даёт адрес, вполне вероятно что тот же самый ИМХО, это просто разумная экономоия сил разработчика, к тому же, чем больше кода, тем больше ошибок.

171. todeus, 16.03.2007 16:06
вполне логично , спасибо за помощь

172. todeus, 29.03.2007 17:35
OpenVPN рабоате через ADSL модем

Каждый день возникают такие ошибки:
Mon Feb 07 20:39:24 2007 TCP/UDP: Incoming packet rejected from GW:12222
3[2], expected peer address: GW:5005 (allow this incoming source addre
ss/port by removing --remote or adding --float)

На сервере жестко прописан PORT 5005

Подскажите пожалуста , что делать

173. Star Lammer, 29.03.2007 17:51
Подскажите, в случае, если на клиенте OpenVPN стартует как сервис, каким образом его можно переконфигурировать?

Сейчас так - у сервера меняется IP, я запускаю скрипт на клиенте, который подсовывает в папку Config нужный .ovpn файл, затем делает рестарт OpenVPNSerivce, но проблема в том, что при рестарте сервиса виртуальный адаптер OpenVPN отключается и подключается заново, соответственно активные в данный момент соединения рвутся. Хотелось бы этого избежать.

174. vinni, 29.03.2007 18:26
todeus
Он ругается на несоответствие IP или порта? А вторая сторона при этом небось за NAT-ом? Ну так ес-но, NAT транслирует порт. Покажите, если хотите, весь конфиг в этой части (или здесь или в привате) и объясните где и через какие NAT-ы находятся клиенты.

Star Lammer
Есть телнетовская консоль управления, в конфиге сервера задаётся так:
код:
--management IP port [pw-file]
Enable a TCP server on IP:port to handle daemon management functions

Дальше про работу в консоли читать здесь - http://openvpn.net/management.html
Но, ИМХО, особых (а то и вообще никаких) возможностей по конфигурации там нет

Хотя... Копать вот сюда:
код:
COMMAND -- signal
-----------------

The signal command will send a signal to the OpenVPN daemon.
The signal can be one of SIGHUP, SIGTERM, SIGUSR1, or SIGUSR2.

Command example:

signal SIGUSR1 -- send a SIGUSR1 signal to daemon

Какой-то из этих сигнало вроде заставляет его перечитать конфиг-файл. Но клиентов он вроде всё равно обвалит.
Поэкспериментировать с сигналами проще всего, запустив тунель в консольном режиме, там 4 сигнала "повешены" на кнопки F1-F4.
А, вот нашёл:
цитата:
SIGNALS

SIGHUP
Cause OpenVPN to close all TUN/TAP and network connections, restart, re-read the configuration file (if any), and reopen TUN/TAP and network connections.
SIGUSR1
Like SIGHUP, except don't re-read configuration file, and possibly don't close and reopen TUN/TAP device, re-read key files, preserve local IP address/port, or preserve most recently authenticated remote IP address/port based on --persist-tun, --persist-key, --persist-local-ip, and --persist-remote-ip options respectively (see above).

This signal may also be internally generated by a timeout condition, governed by the --ping-restart option.

This signal, when combined with --persist-remote-ip, may be sent when the underlying parameters of the host's network interface change such as when the host is a DHCP client and is assigned a new IP address. See --ipchange above for more information.
SIGUSR2
Causes OpenVPN to display its current statistics (to the syslog file if --daemon is used, or stdout otherwise).
SIGINT, SIGTERM
Causes OpenVPN to exit gracefully.

Добавление от 29.03.2007 18:32:

Star Lammer
Сорри, я "прошляпил" 2 Ваших нюанса:

Сейчас так - у сервера меняется IP
А в таком разе может правильнее будет менять "значение" FQDN в hosts? И ждать пока клиент сам пересоединится к серверу?

Соответственно мой "пассаж" про консоль к клиенту не относится, это, ИМХО, только на сервере.

А вот по проблеме смены IP на самом сервере я пока не готов сказать, будут ли проблемы.

Кроме того, я там Выше подчеркнул про смену IP.

175. mishasat, 30.03.2007 10:32
Многоуважаемые знатоки.
Появилось необходимость, через землю делать запрос, а в Интернете на выделенном арендованном сервере ответ отсылать через спутник (двустороний канал через спутник но запрос очень мал а вот прием 10Мбит). Возможно ли это с помощью ОпенВПН.
Я так думаю надо 2 тунеля подымать один через землю а другой через спутник и на серваке в инете надо делать что то? вплоть до подмены айпи отправителя? и еще бы желательно что бы подтверждение о доставке было через землю тоже.

Если да то буду капать дальше, если нет пойду искать дальше.
За ранее спасибо.

176. todeus, 30.03.2007 10:56
Вот мои конфиги
server.ovpn
код:

dev tun
dev-node tunfom
proto udp
port 2153
comp-lzo
ping 15
verb 10
secret "C:\\Program Files\\OpenVPN\\config\\key.txt"
ifconfig 10.3.0.1 10.3.0.2

route-method exe
route-delay 15
route 10.10.2.0 255.255.255.0 10.3.0.2
tun-mtu 1500
fragment 1400
mssfix

client.opvpn
код:


dev tun
proto udp
dev-node tunof
port 2153
comp-lzo
ping 15
verb 3

secret "C:\\Program Files\\OpenVPN\\config\\key.txt"
remote x.x.x.x
ifconfig 10.3.0.2 10.3.0.1
route-method exe
route-delay 20
route 10.10.1.0 255.255.255.0 10.3.0.1
# push "route 10.10.1.0 255.255.255.0 10.3.0.1"
tun-mtu 1500
fragment 1400
mssfix

сервер win2003, на нем поднят RRAS и nat. связь осуществляется чере ADSL модемы. На них тоже через нат указаны открытые порты.
На клиенте (win2003) в RRAS NAT не установлен, только NAT есть на adsl модеме.
Спасибо

177. vinni, 30.03.2007 11:42
mishasat
1. Вопрос изложен плохо.
2. Особенности спутниковой связи представляю, но неглубоко. Вникать, наверное, не буду. Обратитесь в темы именно по спутниковой связи.

todeus
Не совсем сходится то чот Вы писали выше и показанный конфиг.
На какой стороне то хоть ошибки лезут, на сервере или на клиенте?

Варианты:
1. На клиенте убрать "port" и указать "remote x.x.x.x 2153"
2. На сервере вместо "port" указать "lport 2153", на клиенте вместо "port" указать "rport 2153"
3. Добавить таки "float" как он и советует.
4. Я у себя обычно на клиентах не фиксирую номера портов и обхожусь вот этим:
remote x.x.x.x PORT
nobind

цитата:
--port port
TCP/UDP port number for both local and remote. The current default of 1194 represents the official IANA port number assignment for OpenVPN and has been used since version 2.0-beta17. Previous versions used port 5000 as the default.
--lport port
TCP/UDP port number for local.
--rport port
TCP/UDP port number for remote.
--nobind
Do not bind to local address and port. The IP stack will allocate a dynamic port for returning packets. Since the value of the dynamic port could not be known in advance by a peer, this option is only suitable for peers which will be initiating connections by using the --remote option.

178. mishasat, 30.03.2007 13:34
vinni
Спутниковый канал никакого отношения не имеет просто надо делать запрос через один анал а ответы получать через другой. Пусть это будет 2 наземных канала. Можно это сделать с помощью ОпенВПН установленого в иненете на выделеном сервере?

179. vinni, 30.03.2007 13:40
делать запрос через один анал
Да, это Вы в точку. В стране так многое и делается!

Добавление от 30.03.2007 13:47:

Сам OpenVPN к этому прямого отношения не имеет. Максимум что он может - "не возражать" против того, что пакеты уходят и приходят на/с разных адресов.
Экспериментируйте с маршрутизацией на клиентах и на сервере

Добавление от 30.03.2007 13:52:

При наличии на маршруте SPI-фаерволов на них могут возникать заморочки - решать по месту

К этой теме 04.04.2007 21:15 split подклеил тему "2 OpenVpn сервера на Win2003std" (автор: pvb)

181. pvb, 04.04.2007 11:06
Можно ли организовать субж?

созданы два tun/taз интерфейса vpn1, vpn2
2 конфига
--server1.ovpn
port 1194
proto udp
dev tun
dev-node "VPN1"
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp1.txt
persist-key
persist-tun
--server2.ovpn
port 1195
proto tcp
dev tun
dev-node "VPN2"
server 10.8.1.0 255.255.255.0
ifconfig-pool-persist ipp2.txt
persist-key
persist-tun

изначально такая конфигурация работала - до перезагрузки win сервера
сейчас один сервер работает
на втором при запуске не присваивается ип
если применить ip-win32 netsh - ип присвоится
клиент к серверу подключается - но трафик через vpn не идет (ping не идет)

Заметил что если VPN адаптер находится выше (сетевые подключения - дополнительно - дополнительные параметры) - с ним все Ок, с нижним - проблема
меняю их местами - перезагружаю - верхний работает - нижний нет
можно ли заставить их работать одновременно?

182. vinni, 04.04.2007 20:36
Теоретически должны работать (у меня работают и по 3 -4 "клиента" и клиент+сервер, и 2 сервера тоже вроде были).
Виртуальные сетевые адаптеры в ОС настроены одинаково? Фаерволов нет?
FAQ: OpenVPN (было - Помогите настроить OpenVPN) !, #1 (http://forum.ixbt.com/topic.cgi?id=14:40906:1#1)
цитата:
5. Некоторые распростанённые проблемы и методы решения
2. Не происходит добавление маршрута в таблицу маршрутизации, вероятно при включенной службе RRAS
...
Решение: "route-method exe" в конфиг.файле
...
route-delay 10

Добавление от 04.04.2007 20:40:

pvb
Продолжайте в этой теме, не надо переходить в ту тему. ИМХО, будет правильнее если модератор подклеит тему, иначе будет пересортица сообщений.

Не используете ли Вы где-либо один и тот же файл в разных конфигах? В т.ч. лог-файл и т.п.
Что пишется в логе OpenVPN-a?
Что показывает route print на сервере после запуска обоих OpenVPN-серверов?

183. pvb, 05.04.2007 09:55
адаптеры настроены одинаково

файрвол есть Kerio Winroute - виртульные адаптеры открыты

файлы указанные в конфигах разные, кроме ключей и сертификатов

>Решение: "route-method exe" в конфиг.файле
>...
>route-delay 10
не помогает

route print

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x10005 ...00 c0 26 a1 25 ba ...... Realtek RTL8139 Family PCI Fast Ethernet NIC
0x10006 ...00 02 44 02 21 f6 ...... SURECOM EP-320X-R 100/10/M PCI рфряЄхЁ
0x20003 ...00 ff 85 45 15 7e ...... TAP-Win32 Adapter V8
0x30002 ...00 ff 57 d4 8c a9 ...... TAP-Win32 Adapter V8 #2
0x30007 ...00 ff 51 84 a1 e1 ...... TAP-Win32 Adapter V8 #3
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 195.222.132.1 195.222.132.2 20
10.8.0.0 255.255.255.252 10.8.0.1 10.8.0.1 30
10.8.0.0 255.255.255.0 10.8.0.2 10.8.0.1 1
10.8.0.1 255.255.255.255 127.0.0.1 127.0.0.1 30
10.8.1.0 255.255.255.252 10.8.1.1 10.8.1.1 30
10.8.1.0 255.255.255.0 10.8.1.2 10.8.1.1 1
10.8.1.1 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.8.0.1 10.8.0.1 30
10.255.255.255 255.255.255.255 10.8.1.1 10.8.1.1 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.2.0 255.255.255.0 192.168.2.12 192.168.2.12 20
192.168.2.12 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.2.255 255.255.255.255 192.168.2.12 192.168.2.12 20
195.222.132.0 255.255.255.248 195.222.132.2 195.222.132.2 20
195.222.132.2 255.255.255.255 127.0.0.1 127.0.0.1 20
195.222.132.255 255.255.255.255 195.222.132.2 195.222.132.2 20
224.0.0.0 240.0.0.0 10.8.0.1 10.8.0.1 30
224.0.0.0 240.0.0.0 10.8.1.1 10.8.1.1 30
224.0.0.0 240.0.0.0 192.168.2.12 192.168.2.12 20
224.0.0.0 240.0.0.0 195.222.132.2 195.222.132.2 20
255.255.255.255 255.255.255.255 10.8.0.1 20003 1
255.255.255.255 255.255.255.255 10.8.0.1 10.8.0.1 1
255.255.255.255 255.255.255.255 10.8.1.1 10.8.1.1 1
255.255.255.255 255.255.255.255 192.168.2.12 192.168.2.12 1
255.255.255.255 255.255.255.255 195.222.132.2 195.222.132.2 1
Основной шлюз: 195.222.132.1
===========================================================================
Постоянные маршруты:
Отсутствует

если в конфиге не задать ip-win32
то ип адаптеру не назначается - машрут соответственно тоже
если указать ip-win32 netsh
ип и маршрут назначит

или файервол какимто образом закрывает адаптер

ipconfig для случая если не указан ip-win32

VPN1 - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8 #2
Физический адрес. . . . . . . . . : 00-FF-57-D4-8C-A9
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 0.0.0.0
Маска подсети . . . . . . . . . . : 0.0.0.0
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 255.255.255.255
NetBIOS через TCP/IP. . . . . . . : отключен

VPN2 - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8 #3
Физический адрес. . . . . . . . . : 00-FF-51-84-A1-E1
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 10.8.0.1
Маска подсети . . . . . . . . . . : 255.255.255.252
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 10.8.0.2
NetBIOS через TCP/IP. . . . . . . : отключен
Аренда получена . . . . . . . . . : 5 апреля 2007 г. 11:37:45
Аренда истекает . . . . . . . . . : 4 апреля 2008 г. 11:37:45

184. vinni, 05.04.2007 12:10
Первое подозрение именно на фаервол. Не помню уже KWF (давно-давно он у меня был), но надо ещё раз проверить запреты на этот адаптер - по имени и/или по номеру. Ну и посмотреть в логе drop-нутых пакетов.

185. pvb, 05.04.2007 13:11
файервол остановил - ситуация повторяется
похоже он непричем

создаю новый адаптер указываю на него в конфиге (тот котрый не работал) - начинает работать
а тот который работал - перестает
вобщем сейчас работает последний созданный
Непонятно

186. vinni, 05.04.2007 14:49
Вы показываете данные на один и тот же момент времени? А то как то странно, Вы показываете ipconfig, в котором только 1 интерфейс, и route, в котором 2 интерфейса:
10.8.0.0 255.255.255.252 10.8.0.1 10.8.0.1 30
10.8.0.0 255.255.255.0 10.8.0.2 10.8.0.1 1
10.8.0.1 255.255.255.255 127.0.0.1 127.0.0.1 30
10.8.1.0 255.255.255.252 10.8.1.1 10.8.1.1 30
10.8.1.0 255.255.255.0 10.8.1.2 10.8.1.1 1
10.8.1.1 255.255.255.255 127.0.0.1 127.0.0.1 30
- вот этот адрес какому-то интерфейсу ведь принадлежит? Какому?

187. pvb, 05.04.2007 15:17
ipconfig показан в другоя время
для случая когда не присваивается ип адаптеру

188. vinni, 05.04.2007 15:44
Ну а как тогда объясните корректный route print? В нём ведь оба интерфейса существуют!

189. pvb, 06.04.2007 01:50
цитата:
vinni:
Ну а как тогда объясните корректный route print? В нём ведь оба интерфейса существуют!
наверное запутал указав команды в разное время с разными параметрами
Во время вывода вышеуказаного route print
в конфиге для адаптера VPN1 был указан ip-win32 netsh
ipconfig выгдядел так

VPN1 - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8 #2
Физический адрес. . . . . . . . . : 00-FF-57-D4-8C-A9
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.8.1.1
Маска подсети . . . . . . . . . . : 255.255.255.252
Основной шлюз . . . . . . . . . . :
NetBIOS через TCP/IP. . . . . . . : отключен

VPN2 - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8 #3
Физический адрес. . . . . . . . . : 00-FF-51-84-A1-E1
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 10.8.0.1
Маска подсети . . . . . . . . . . : 255.255.255.252
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 10.8.0.2
NetBIOS через TCP/IP. . . . . . . : отключен
Аренда получена . . . . . . . . . : 5 апреля 2007 г. 11:37:45
Аренда истекает . . . . . . . . . : 4 апреля 2008 г. 11:37:45

Т.е. ИП на адаптерах есть, маршрут есть
10.8.0.1 работает
10.8.1.1 - нет (клиент подключается, но пинг не идет)

190. Star Lammer, 09.04.2007 20:58
Все вроде бы работало отлично-замечательно... но вот как и везде начались проблемы, идут потери внутри OVPN канала:

Packets: Sent = 149, Received = 139, Lost = 10 (6% loss),

Если пингую напрямую комп на котором стоит OVPN сервер - потерь нет.
В логах тоже тишина.

191. Analog, 14.04.2007 21:59
здрасьте.
у меня нет опыта, но есть огромное желание сделать виртуальную локальную сеть с помощью опенвпн
Вобщем тупо перенес примерный конфиг server в папку config
запускаю серв..
http://smages.com/b9f2e20d4401e480012b512d313ea1ce.jpg.html

Что нужно настроить чтоб хотя бы серв запустить нормально ?

192. vinni, 14.04.2007 22:05
Analog
Не копируйте без нужды картинки - потрудитесь поместить сюда текст, благо это не так уж и сложно, тем более в данном случае.

Ваша ошибка - нет файла dh*
Читайте FAQ: OpenVPN (было - Помогите настроить OpenVPN) !, #1 (http://forum.ixbt.com/topic.cgi?id=14:40906:1#1) - build-dh

193. Analog, 15.04.2007 00:40
Добрый человек в аську все рассказал поэтапно как настраивать, все работает, только одна проблема.
Стоит к серверу подконектится какому-либо клиенту, как сервер падает, логи:
Вот лог када сервер работает:
код:
Sun Apr 15 00:37:10 2007 OpenVPN 2.1_beta7 Win32-MinGW [SSL] [LZO2] built on Nov 12 2005
Sun Apr 15 00:37:10 2007 Diffie-Hellman initialized with 1024 bit key
Sun Apr 15 00:37:10 2007 TLS-Auth MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Apr 15 00:37:10 2007 TAP-WIN32 device [Подключение по локальной сети 3] opened: \\.\Global\{3428CB13-A280-4176-A82C-F7FF41CB1E73}.tap
Sun Apr 15 00:37:10 2007 TAP-Win32 Driver Version 8.3
Sun Apr 15 00:37:10 2007 TAP-Win32 MTU=1500
Sun Apr 15 00:37:10 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.1/255.255.255.0 on interface {3428CB13-A280-4176-A82C-F7FF41CB1E73} [DHCP-serv: 10.8.0.0, lease-time: 31536000]
Sun Apr 15 00:37:10 2007 Sleeping for 10 seconds...
Sun Apr 15 00:37:20 2007 Successful ARP Flush on interface [65540] {3428CB13-A280-4176-A82C-F7FF41CB1E73}
Sun Apr 15 00:37:20 2007 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Sun Apr 15 00:37:20 2007 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Apr 15 00:37:20 2007 UDPv4 link local (bound): 10.168.10.200:1194
Sun Apr 15 00:37:20 2007 UDPv4 link remote: [undef]
Sun Apr 15 00:37:20 2007 MULTI: multi_init called, r=256 v=256
Sun Apr 15 00:37:20 2007 IFCONFIG POOL: base=10.8.0.2 size=253
Sun Apr 15 00:37:20 2007 IFCONFIG POOL LIST
Sun Apr 15 00:37:20 2007 Initialization Sequence Completed

Затем подключается клиент и сервер падает, лог после того что написанно выше:
код:
Sun Apr 15 00:38:19 2007 MULTI: multi_create_instance called
Sun Apr 15 00:38:19 2007 10.168.13.35:1873 Re-using SSL/TLS context
Sun Apr 15 00:38:19 2007 10.168.13.35:1873 LZO compression initialized
Sun Apr 15 00:38:19 2007 10.168.13.35:1873 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Apr 15 00:38:19 2007 10.168.13.35:1873 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Sun Apr 15 00:38:19 2007 10.168.13.35:1873 Local Options hash (VER=V4): 'f7df56b8'
Sun Apr 15 00:38:19 2007 10.168.13.35:1873 Expected Remote Options hash (VER=V4): 'd79ca330'
Sun Apr 15 00:38:19 2007 10.168.13.35:1873 TLS: Initial packet from 10.168.13.35:1873, sid=c1ca655c 9a7c6c69
Sun Apr 15 00:38:19 2007 10.168.13.35:1873 VERIFY OK: depth=1, /C=RU/ST=CA/L=SanFrancisco/O=FortFunston/CN=Gameserv/emailAddress=mail@host.domain
Sun Apr 15 00:38:19 2007 10.168.13.35:1873 VERIFY OK: depth=0, /C=RU/ST=CA/O=FortFunston/CN=client1/emailAddress=mail@host.domain
Sun Apr 15 00:38:19 2007 10.168.13.35:1873 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Apr 15 00:38:19 2007 10.168.13.35:1873 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Apr 15 00:38:19 2007 10.168.13.35:1873 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Apr 15 00:38:19 2007 10.168.13.35:1873 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication


Лог клиента:
код:
Sun Apr 15 00:52:17 2007 OpenVPN 2.1_beta7 Win32-MinGW [SSL] [LZO2] built on Nov 12 2005
Sun Apr 15 00:52:17 2007 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sun Apr 15 00:52:17 2007 LZO compression initialized
Sun Apr 15 00:52:17 2007 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Apr 15 00:52:17 2007 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Sun Apr 15 00:52:17 2007 Local Options hash (VER=V4): 'd79ca330'
Sun Apr 15 00:52:17 2007 Expected Remote Options hash (VER=V4): 'f7df56b8'
Sun Apr 15 00:52:17 2007 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Apr 15 00:52:17 2007 UDPv4 link local: [undef]
Sun Apr 15 00:52:17 2007 UDPv4 link remote: 10.168.10.200:1194
Sun Apr 15 00:52:17 2007 TLS: Initial packet from 10.168.10.200:1194, sid=1b2fcfd1 609cd524

Добавлю, что ип сервера - 10.168.10.200, а клиента - 10.168.13.35
Версия OpenVPN 2.1_beta7
У того кто мне объяснял не бета, 2.0.9 и все работает, правдо он не в моей сети.
Прошу помощи

194. vinni, 15.04.2007 00:57
Что Вы имеете ввиду под "сервер падает"?
Как Вы запускаете сервер?
В логе ничего странного я не вижу.
Это лог при подключении первого же клиента?
Я надеюсь, лог Вы берёте из файла?
Увеличьте в конфиге сервера уровень детализации лога (параметр verb) до тех пор, пока не появится что-то внятное на тот момент, когда, как Вы говорите, "сервер падает".

Если не поможет - попробуйте взять "стабильную" версию, а не "бету".

195. Analog, 15.04.2007 02:06
установил небету, терь все отлично, ух как я рад

Добавление от 15.04.2007 02:30:

блин, к серваку все подключаемся, но в играх не видим друг друга
пробовали и udp и tcp
в чем дело может быть ?
мы физически из разных сетей, но соедниемся по внп к одному.

Добавление от 15.04.2007 04:12:

все, теперь нормально все стало

196. SBubba, 17.04.2007 13:00
Здравствуйте! Такой вопрос.
Есть OpenVPN-туннель, работает, клиент подсоединяется. При инициализации сервера выдает такой лог:

Tue Apr 17 09:37:28 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Tue Apr 17 09:37:29 2007 Diffie-Hellman initialized with 1024 bit key
Tue Apr 17 09:37:29 2007 Control Channel Authentication: using 'ta1.key' as a OpenVPN static key file
Tue Apr 17 09:37:29 2007 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr 17 09:37:29 2007 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr 17 09:37:29 2007 TLS-Auth MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Tue Apr 17 09:37:29 2007 OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options
Tue Apr 17 09:37:29 2007 OpenVPN ROUTE: failed to parse/resolve route for host/network: 10.9.0.0
Tue Apr 17 09:37:29 2007 TAP-WIN32 device [OpenVpnServer] opened: \\.\Global\{BAD37E7B-A744-443F-83EB-1763413E20F1}.tap
Tue Apr 17 09:37:29 2007 TAP-Win32 Driver Version 8.4
Tue Apr 17 09:37:29 2007 TAP-Win32 MTU=1500
Tue Apr 17 09:37:29 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.9.0.1/255.255.255.0 on interface {BAD37E7B-A744-443F-83EB-1763413E20F1} [DHCP-serv: 10.9.0.0, lease-time: 31536000]
Tue Apr 17 09:37:29 2007 Sleeping for 10 seconds...
Tue Apr 17 09:37:39 2007 NOTE: FlushIpNetTable failed on interface [5] {BAD37E7B-A744-443F-83EB-1763413E20F1} (status=1413) : Неверный индекс.
Tue Apr 17 09:37:39 2007 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Apr 17 09:37:39 2007 UDPv4 link local (bound): [undef]:5000
Tue Apr 17 09:37:39 2007 UDPv4 link remote: [undef]
Tue Apr 17 09:37:39 2007 MULTI: multi_init called, r=256 v=256
Tue Apr 17 09:37:39 2007 IFCONFIG POOL: base=10.9.0.2 size=253
Tue Apr 17 09:37:39 2007 IFCONFIG POOL LIST
Tue Apr 17 09:37:39 2007 SBHOME,10.9.0.3
Tue Apr 17 09:37:39 2007 Initialization Sequence Completed


Конфигурация такая:
Сервер

port 5000
rport 5000
lport 5000

proto udp

dev tap

dev-node OpenVpnServer

ca caSrv.crt
cert servervpn.crt
key servervpn.key

dh dh11024.pem

server 10.9.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

client-config-dir ccd
route 10.9.0.0 255.255.255.0

push "dhcp-option DNS 10.9.0.1"
push "dhcp-option WINS 10.9.0.1"

keepalive 10 120

tls-auth ta1.key 0

comp-lzo

persist-key
persist-tun

status openvpn-status.log

verb 3


Конфигурация клиента:

client

dev tap

dev-node VpnClient

proto udp

remote 212.20.17.245
port 5000
rport 5000
lport 5000

resolv-retry infinite

persist-key
persist-tun

ca caClient.crt
cert sbhome.crt
key sbhome.key

tls-timeout 5

tls-auth ta1.key 1

comp-lzo

verb 3


Собственно беспокоят две строчки в логе, особенно вторая
Tue Apr 17 09:37:29 2007 OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options
Tue Apr 17 09:37:29 2007 OpenVPN ROUTE: failed to parse/resolve route for host/network: 10.9.0.0


Вопрос из-за чего они возникают, и на что могут повлиять? Начитался уже всяких документаций, понять не могу как от них избавится, все работает, но червяк гложет, что-то не так. Может я лишнего чего наконфигурил?

Клиент WinXP SP2, сервер Win2003 EE

197. vinni, 17.04.2007 13:18
SBubba
ИМХО, Вы зря указали серверу "route 10.9.0.0 255.255.255.0"

Во-первых, неправильно её использовали (не указали шлюз и нет route-gateway, о чём он Вам и сказал).

Во-вторых, если я понимаю, Вы хотите скинуть этот маршрут клиентам? Тогда надо:
push "route 10.9.0.0 255.255.255.0"

В-третьих, при использовании команды server для сети, обявленной в этой команде, в этом нет нужды - она сама "раскрывается" в список команд:
код:
   mode server
tls-server
ifconfig 10.9.0.1 255.255.255.0
ifconfig-pool 10.9.0.2 10.9.0.254 255.255.255.0
push "route-gateway 10.9.0.1"

(это пример для dev tap, в случае dev tun она "раскроется" чуть иначе и там будет в т.ч. и push route)

В-четвёртых, этот маршрут кроме всего прочего будет на клиенте сформирован ОС автоматически, т.к. это интерфейсная сеть.

Итого, удалите эту строку:
route 10.9.0.0 255.255.255.0

198. SBubba, 17.04.2007 13:55
vinni - Спасибо, убрал строку и действительно все стало окей.

Еще вопрос, беспокоит строчка:
Tue Apr 17 09:37:39 2007 NOTE: FlushIpNetTable failed on interface [5] {BAD37E7B-A744-443F-83EB-1763413E20F1} (status=1413) : Неверный индекс.

199. vinni, 17.04.2007 13:58
А это уже надо, ИМХО, исправлять что-то в ДНК Билла Г. или его программистов.
Можете попробовать route-method exe

200. SBubba, 17.04.2007 14:07
vinni - спасибо! ДНК пока исправлять не будем, оставим следующим поколениям.

201. Молния, 22.04.2007 08:39
Настроил сервер - Windows 2003
ca "C:\\Program Files\\OpenVPN\\Keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\Keys\\server.crt"
key "C:\\Program Files\\OpenVPN\\Keys\\server.key"
dev tun
server 10.1.0.0 255.255.255.0
keepalive 60 360
port 1194
comp-lzo

и клиентов - Windows XP SP2

ca "C:\\Program Files\\OpenVPN\\Keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\Keys\\rezerv.crt"
key "C:\\Program Files\\OpenVPN\\Keys\\rezerv.key"
dev tun
client
remote ххх.ххх.ххх.ххх
ping 60
ping-restart 600
port 1194

Теперь никак не могу разобраться что надо прописать, что бы
1. Клиенты могли видеть друг друга хотя бы по IP
2. Клиенты могли видеть локалку за сервером
3. У некоторых клиентов при подключении устанавливается частный IP - 169.254.х.х, а когда откроешь сетевое подлкючение и нажмешь Исправить, то тогда обновляется IP на нормальный - 10.1.0.х. Как убрать этот глюк?

202. vinni, 22.04.2007 13:21
Молния
1. Клиенты могли видеть друг друга хотя бы по IP
В конфиге сервера - client-to-client
Клиенты смогут обмениваться IP-пакетами между OpenVPN-интерфейсами, то есть по IP 10.1.0.*
Можно сделать доступными и другие интерфейсы/сети клиентов, если надо - спрашивайте.

2. Клиенты могли видеть локалку за сервером
Надо объявить клентам маршрут на эту сеть или в конфиге клиента или в client-config-dir-файле или в конфиге сервера. Вот пример последнего варианта (в примере указана сеть 192.168.1.*, замените на свою), он действует сразу для всех клиентов:
push "route 192.168.1.0 255.255.255.0"
Кроме того, хосты в "локалке" должны иметь обратный маршрут на OpenVPN-сеть 10.1.0.*, то есть:
- или же этот сервер должен быть у них основным шлюзом
- или на основном шлюзе должен быть прописан маршрут на эту сеть и указывающий на этот сервер
- или на хостах локалки должен быть прописан маршрут:
route -p add 10.1.0.0 mask 255.255.255.0 (IP.сервера.в.локалке)

Кроме того, проверьте назначаются ли на клиенте все нужные маршруты. Если нет, то читайте на первой странице темы про route-method exe и route-delay 10 (пункт 5.2)

3. У некоторых клиентов при подключении устанавливается частный IP - 169.254.х.х
Именно такого глюка не встречал, обычно такие глюки из-за фильтрации DHCP-пакетов на tun/tap-интерфейсе, но тогда и "Исправить" не работает. Что в логах клиента? Если ничего, то добавьте в конфиг клиента "verb 4" и увеличивайте числовой параметр пока не появится что-либо об этой ошибке.
А канал стабильный? А то может в этот момент у него провал связи и он не назначает адрес? Хотя вряд-ли, адрес клиенту вроде сообщают ещё в момент соединения и затем OpenVPN.exe сам автономно изображает из себя DHCP-сервер по отношению к Windows-овскому DHCP-клиенту.

203. Молния, 22.04.2007 15:17
Спасибо.
На счет п. 3 - разобрался - был автозапуск сервиса OpenVPN, я переделал на автозагрузку и все стало работать. И еще прописал route-delay 60 на всякий случай. Теперь хоть не быстро включается, зато сразу и само.

И тогда еще вопрос - нужно от сервера видеть локалку за клиентом.

Добавление от 22.04.2007 15:41:

Вообщем в локалка такая - инет сервер 192.168.1.1, он же шлюз для всех и сервер VPN 192.168.1.2, он же 10.1.0.1
после того, как на шлюзе прописываю маршрут route -p add 10.1.0.0 mask 255.255.255.0 192.168.1.2 с любого компа в локалке 10.1.0.1 пингуется (сам сервер) а клиенты нет.

204. anopich, 22.04.2007 16:35
Доброго времени суток.
У меня следующая задача. Есть оффис. Есть сервер бухгалтерии. На нём лежат базы 1с. Есть компьютер, который смотрит в инет, и раздаёт всем интернет прогой UserGate. Есть удалённый компьютер, которому требуется работать с базой 1с лежащей на серваке. Есть идея создать ВПН сервер на компе, который смотрит в инет. К нему коннектить удалённый комп. Если можно выложите готовые конфиги сервера и клиента. Решение требуется очень быстро. Если есть другие идеи как это можно сделать, напишите.

205. vinni, 22.04.2007 16:40
Молния
route-delay 60, ИМХО, излишне, обычно хватает 5-10, но смотрите сами.

Про маршрутизацию.
Кроме всего на VPN-сервере должна быть включена маршрутизация, проверьте, например, ipconfig /all:
код:
C:\>ipconfig /all
Настройка протокола IP для Windows
IP-маршрутизация включена . . . . : да

VPN-клиенты также должны иметь корректный маршрут (указывающий на клиентский OpenVPN-шлюз) на сеть 192.168.1.*. Проверьте сами или покажите сюда ipconfig /all и route print и с VPN-сервера и с одного из клиентов.

Также убедитесь, что фаерволы (брандмауэр или другие фильтры) не блокируют ICMP-пакеты вообще и из данной сети 10.1.0.* в частности.

Чтобы видеть сеть за клиентом:
1. Обявить эту сеть OpenVPN-серверу, как находящуюся за опред. клиентом, сделать это можно или используя скрипты или проще через client-config-dir, в конфиге сервера добавить: client-config-dir client-config-dir

2. Создать в каталоге ...\OpenVPN\config подкаталог client-config-dir. В нём создать файл с CN-именем клиента (CommonName параметр, который был задан при генерации ключа нужного клиента), например, rezerv (файл без расширения). В нём указать (сеть 172.16.0.* указана для примера, укажите свою):
iroute 172.16.0.0 255.255.255.0

3. Также надо добавить соотв.маршрут в таблицу ОС. Это можно сделать или в самой ОС:
route -p add 172.16.0.0 mask 255.255.255.0 10.1.0.2
или "попросить" чтобы это сделал сам OpenVPN, для этого в конфиге сервера:
route 172.16.0.0 255.255.255.0

На этом маршрутизация от сервера в удалённую сеть готова.

4. Чтобы видеть эту сеть со всех хостов локалки добавьте соотв.маршрут на шлюзе:
route -p add 172.16.0.0 mask 255.255.255.0 192.168.1.2

5. Обеспечьте маршрутизацию пакетов от хостов удалённой сети к серверу (если в той сети шлюз является OpenVPN-клиентом, то можно ничего не делать, всё уже есть).
Для этого или на шлюзе удалённой сети или на всех (или нужных) хостах удалённой сети пропишите маршруты на OpenVPN-сеть:
route -p add 10.1.0.0 mask 255.255.255.0 172.16.0.X
и/или на "локалку" за OpenVPN-сервером:
route -p add 192.168.1.0 mask 255.255.255.0 172.16.0.X

Добавление от 22.04.2007 16:56:

anopich
Надо формулировать более детально.
Какие ОС на всех указанных Вами хостах?

Какая скорость внешнего канала? (Это вопрос частично риторический, т.к. лично я бы ни при какой скорости не использовал бы 1С через внешние каналы иначе как в терминальном режиме, как по причине скорости, так и по причине надёжности)

Общая идея такова:
1. Настройка терминального режима на сервере 1С.
2. Обеспечение доступа к терминальному серверу по протоколу RDP.
2а. Это можно сделать и без VPN - достаточно открыть доступ к порту сервера по протоколу RDP(осознавая долю риска можно обойтись и без VPN, полагаясь на встроенное в RDP шифрование, например, на первое время, пока не настроите VPN. Или просто предприняв ряд простых мер - окрыть нестандартный порт вместо 3389, открыть доступ к порту только нужному клиенту), но крайне желательно обеспечить безопасность этого подключения.
2б. VPN-ом в данном случае может быть не обязательно OpenVPN, это может быть PPTP, IPSec. Выбрать можно то, что Вам уже знакомо.

Если можно выложите готовые конфиги сервера и клиента. Решение требуется очень быстро.
Конференция предполагает обмен опытом, идеями, но никак не решение задач "под ключ". На первой странице описаны базовые азы, вот с них и начинайте, что непонятно или не получилось - спрашивайте конкретно.

206. anopich, 22.04.2007 18:01
vinni
Сервер и есть терминальный.
Из-за риска и решили сделать VPN.
Нет опыта настройки ни одной из указанных программ, поэтому и обратился.
Сервак win2003. Комп, смотрящий в инет под ВинХП, также как и удалённый комп.

Добавление от 22.04.2007 18:04:

Решил сделать, так как указано в самом начале, простой вариант - не пингуются ни сервер ни клиент.

207. vinni, 22.04.2007 20:20
anopich
Показывайте конфиги, ipconfig /all и route print И с сервера И с клиента
Пожалуйста, не заставляйте "тянуть информацию из Вас клещами", утомляет. Чем быстрее и лучше Вы изложите вопрос, тем, вероятно, быстрее получите ответ.

208. Молния, 22.04.2007 20:22
Ура. Спасибо всем. Перечитал всю ветку еще раз, подумал, переписал все конфиги. Теперь все зашибись, правда научить видеть локалку клиента из локалки сервера еще не получилось. Зато всех клиентов видит локалка и клиенты видят всю локалку и друг друга даже через сетевое окружение и по имени компьютера!!!!!!!. Супер, Керио VPN с его глюками отдыхает!

209. Santbir, 22.04.2007 22:35
Здравствуйте.. читал эту тему ....... то ли такого случая как у меня не рассмотрено, то ли я ничего не понял О_о.
Вощем ситуация такая. В роутер(роутер Зухель 330) офиса приходит инет из сетки провайдера, у провайдера куплен статический внешний IP. Есть удаленный комп, который подключен к инету через SkyLink.
Вопросики:
Как с помощью openVPN создать VPN соединение,
можно ли не меняя конфигурации сети настроить такое соединение(т.е. сервер будит в NAT сети и через роутер будит выходить в инет),
или "комп-сервак" нужно будет ставить до роутера? Если придется до роутера подстажите какие настройки нужно сделать чтоб он интернет дальше к роутеру пропускал? Комп, используемый как сервер с WinXP.
Пожалуйста! дайте содержимое файла конфигурации со всеми нужными настройками для моего случая!
IP:
внешняя статика в офисе 87.*.*.1,
IP сети провайдера 176.*.*.1
IP внутренней NAT сети 192.168.1.1
внешний IP Skylink - 88.*.*.1
ПОЖАЛУЙСТА помогите!
ЗАРАНЕЕ БЛАГОДАРЕН!!!

210. vinni, 22.04.2007 23:34
Santbir
Можете поставить сервер и за роутером, важно лишь чтобы к серверу приходили пакеты указанного в конфиге протокола (default = udp, но можно и tcp) и порта. Делается это на NAT-роутере путём задания статической NAT-записи (aka PortForwarding и т.п.), согласно которой пакеты заданного протокола:порта с внешнего интерфейса NAT-роутера транслируются на интерфейс сервера (возможно на другой порт, но для упрощения проще на тот же).

Готовых конфигов здесь пока не раздают. Мы пытаемся "не накормить рыбой, а показать как её удить". К тому же, одним конфигом дело не ограничивается - нужны ключи, в Вашем случае ещё и настройка роутера. Так что Вам придётся делать это самому.

211. Santbir, 23.04.2007 01:28
Спасибо за ответ!
к сожалению настроить роутер в данный момент не могу(дома я =)), а вот openVPN помучать мона..
вот мой конфиг серв
remote gt; - сюда надо писать IP удаченного компа(какой синтаксис?)? а если я его не знаю(я знаю тока адрес сервера)??? что тогда?
dev tap
ifconfig 10.3.0.1 255.255.255.0
secret c:\\openvpn\\config\\key.txt
ping 10
verb 3
mute 10
comp-lzo

212. vinni, 23.04.2007 02:14
Santbir
Значит узнайте адрес.
Или, что, ИМХО, более правильно, используйте mode server. Не уверен, будет ли он при этом работать в режиме static-key, т.к. я его использую только в варианте tls-server.

Или ещё проще - макрокоманда server.

213. apostle, 26.04.2007 23:57
ситуация: провайдер не может (может, не хочет) пробрасывать gre-трафик, а vpn необходим.
решил настроить openvpn. в локальной сети конторы стоит sles10 - openvpn server. настройки:
код:
opensuse:/home/domain/aleksey # cat /etc/openvpn/server.conf | grep -v ['#',';'] | grep [:alpha:,:number:]
port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
dh /etc/openvpn/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

opensuse:/home/domain/aleksey # ifconfig
eth0 Link encap:Ethernet HWaddr 00:02:B3:5D:CB:98
inet addr:192.168.25.7 Bcast:192.168.25.255 Mask:255.255.255.0
inet6 addr: fe80::202:b3ff:fe5d:cb98/64 Scope:Link
UP BROADCAST NOTRAILERS RUNNING MULTICAST MTU:1500 Metric:1
RX packets:253683 errors:0 dropped:0 overruns:0 frame:0
TX packets:665927 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:17896912 (17.0 Mb) TX bytes:172312378 (164.3 Mb)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:4436 errors:0 dropped:0 overruns:0 frame:0
TX packets:4436 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:425472 (415.5 Kb) TX bytes:425472 (415.5 Kb)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:4 errors:0 dropped:0 overruns:0 frame:0
TX packets:45 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:240 (240.0 b) TX bytes:3780 (3.6 Kb)

дом. комп win2k3 sp2:
код:
C:\Documents and Settings\aleksey>ipconfig

Windows IP Configuration


Ethernet adapter lan:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.0.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :

PPP adapter RAS Server (Dial In) Interface:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.0.200
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . :

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . : home.ru
IP Address. . . . . . . . . . . . : 87.237.X.X
Subnet Mask . . . . . . . . . . . : 255.255.255.128
Default Gateway . . . . . . . . . : 87.237.X.X

PPP adapter Discount:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.11.59
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . :

Ethernet adapter Local Area Connection 3:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 10.8.0.6
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :

конф. клиента:
код:
opensuse:/home/domain/aleksey # cat ~/clientWin | grep -v ['#',';'] | grep [:alpha:,:number:]
client
dev tun
proto udp
remote 195.209.X.X 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca "C:\\Program Files\\OpenVPN\\bin\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\bin\\client1.crt"
key "C:\\Program Files\\OpenVPN\\bin\\client1.key"
comp-lzo
verb 3

на работе на граничном isa serve настроил публикацию udp 1194 на sles-хост.
на дом. компе настроен basic firewall в rras (комп - тоже vpn-сервер).
в рез-те не могу пинговать openvpn-сервер, хотя мониторинг netmon'ом показал, что arp-трафик м/ду хостами идет:
код:
15	2558.835938		10.8.0.6	10.8.0.5	ARP	ARP: Request, 10.8.0.6 asks for 10.8.0.5
16 2558.835938 10.8.0.6 10.8.0.5 ICMP ICMP: Echo Request Message, From 10.8.0.6 To 10.8.0.5
17 2558.835938 10.8.0.5 10.8.0.6 ARP ARP: Response, 10.8.0.5 at 00-FF-E0-AF-A6-A1
18 2564.059571 10.8.0.6 10.8.0.5 ICMP ICMP: Echo Request Message, From 10.8.0.6 To 10.8.0.5
19 2569.559571 10.8.0.6 10.8.0.5 ICMP ICMP: Echo Request Message, From 10.8.0.6 To 10.8.0.5
20 2575.059571 10.8.0.6 10.8.0.5 ICMP ICMP: Echo Request Message, From 10.8.0.6 To 10.8.0.5

при этом при подключении на работе с моей раб. станции пинги бегали без проблем.
с чем может быть связана проблема?

214. vinni, 27.04.2007 00:30
apostle
Адрес 10.8.0.5 на пинги отвечать не будет.
(я правильно понял, что в данных netmon'a "From 10.8.0.6 To 10.8.0.5" показан именно IP заголовок? Или это показан Eth-заголовок, но с заменой MACов на IP, как это, например, умеет показываь Ethereal ?)
К серверу надо обращаться по 10.8.0.1
Можно и по 192.168.25.*, но тогда надо написать ещё route 192.168.25.0 255.255.255.0

Покажите route print c сервера sles10 и c клиента win2k3.
Есть подозрение, что на клиенте не добавляются маршруты, это почти штатные грабли именно серверных ОС-ей и именно при наличии RRAS. Смотрите описание этого трабла и его лечение (route-method exe и route-delay 10) на первой странице темы.

Добавление от 27.04.2007 00:34:

Кроме того, проверьте настройки фаерволов/фильтров на tun-интерфейсах, как на сервере, так и на клиенте.

215. apostle, 27.04.2007 08:09
vinni
Адрес 10.8.0.5 на пинги отвечать не будет.
не отвечает и 10.8.0.1
Можно и по 192.168.25.*, но тогда надо написать ещё route 192.168.25.0 255.255.255.0
я добавил в rras маршрут на win2k3, но, как я понимаю, на любом из хостов внутри лок. сети надо тоже прописать обратный маршрут.
Покажите route print c сервера sles10 и c клиента win2k3
win2k3:
код:
C:\WINDOWS\system32>route print

IPv4 Route Table
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 13 d3 a7 67 ad ...... NVIDIA nForce Networking Controller
0x10004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x10007 ...00 80 48 1f db cd ...... Realtek RTL8139 Family PCI Fast Ethernet NIC

0x40008 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x40009 ...00 ff df af a6 a1 ...... TAP-Win32 Adapter V8
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 87.237.X.Y 87.237.X.X 20
10.8.0.4 255.255.255.252 10.8.0.6 10.8.0.6 30
10.8.0.6 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 30
61.74.86.99 255.255.255.255 87.237.X.Y 87.237.X.X 20
87.237.X.X 255.255.255.128 87.237.X.X 87.237.X.X 20
87.237.X.X 255.255.255.255 127.0.0.1 127.0.0.1 20
87.255.255.255 255.255.255.255 87.237.X.X 87.237.X.X 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.1 192.168.0.1 20
192.168.0.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.200 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.0.255 255.255.255.255 192.168.0.1 192.168.0.1 20
192.168.11.0 255.255.255.0 192.168.11.59 192.168.11.59 1
192.168.11.59 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.11.255 255.255.255.255 192.168.11.59 192.168.11.59 50
192.168.78.0 255.255.255.0 192.168.11.59 192.168.11.59 1
192.168.100.0 255.255.255.0 87.237.X.X 87.237.X.X 1
194.186.X.X 255.255.255.255 87.237.X.Y 87.237.X.X 20
224.0.0.0 240.0.0.0 10.8.0.6 10.8.0.6 30
224.0.0.0 240.0.0.0 87.237.X.X 87.237.X.X 20
224.0.0.0 240.0.0.0 192.168.0.1 192.168.0.1 20
224.0.0.0 240.0.0.0 192.168.11.59 192.168.11.59 50
255.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 1
255.255.255.255 255.255.255.255 87.237.X.X 87.237.X.X 1
255.255.255.255 255.255.255.255 192.168.0.1 192.168.0.1 1
255.255.255.255 255.255.255.255 192.168.11.59 192.168.11.59 1
Default Gateway: 87.237.X.Y
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
192.168.100.0 255.255.255.0 87.237.X.X 1
192.168.78.0 255.255.255.0 192.168.11.59 1

на sles
код:
opensuse:/home/domain/aleksey # route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
87.237.X.X 192.168.25.77 255.255.255.255 UGH 0 0 0 eth0
10.0.0.0 192.168.25.77 255.255.255.0 UG 0 0 0 eth0
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
192.168.25.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.25.114 0.0.0.0 UG 0 0 0 eth0

вроде как на обоих маршруты есть.

проверьте настройки фаерволов/фильтров на tun-интерфейсах,
на w2k3 в basic firewall используется только внешний интерфейс; на нем разрешен весь исходящий трафик.
на sles firewall вообще выкл:
код:
opensuse:/home/domain/aleksey # service -s |grep firewall
Checking the status of SuSEfirewall2 ..unused
Checking the status of SuSEfirewall2 ..unused
Can't access procfs/sysfs file
Unable to find i2c bus information;
For 2.6 kernels, make sure you have mounted sysfs and libsensors
was compiled with sysfs support!
For older kernels, make sure you have done 'modprobe i2c-proc'!
No configuration found for tun0
..dead

Добавление от 27.04.2007 08:22:

vinni
я правильно понял, что в данных netmon'a "From 10.8.0.6 To 10.8.0.5" показан именно IP заголовок?
не возьмусь утверждать да или нет, вот пример фрейма:

код:
  Frame: 
- Ethernet: Etype = Internet IP (IPv4)
- DestinationAddress: X INRATED 1FDBCD
IG: (0.......) Individual address
UL: (.0......) Universally Administered Address
Rsv: (..000000)
- SourceAddress: CADANT 23FE02
UL: .0...... Universally Administered Address
EthernetType: Internet IP (IPv4), 2048(0x800)
- Ipv4: Next Protocol = TCP, Packet ID = 50040, Total IP Length = 1500
- Versions: IPv4, Internet Protocol; Header Length = 20
Version: (0100....) IPv4, Internet Protocol
HeaderLength: (....0101) 20 bytes (0x5)
- DifferentiatedServicesField: DSCP: 0, ECN: 0
DSCP: (000000..) Differentiated services codepoint 0
ECT: (......0.) ECN-Capable Transport not set
CE: (.......0) ECN-CE not set
TotalLength: 1500 (0x5DC)
Identification: 50040 (0xC378)
- FragmentFlags: 16384 (0x4000)
Reserved: (0...............)
DF: (.1..............) Do not fragment
MF: (..0.............) This is the last fragment
Offset: (...0000000000000) 0
TimeToLive: 117 (0x75)
NextProtocol: TCP, 6(0x6)
Checksum: 18292 (0x4774)
SourceAddress: 80.240.219.200
DestinationAddress: 87.237.X.X
- Tcp: Flags=....A..., SrcPort=62933, DstPort=3112, Len=1460, Seq=1560854556 - 1560856016, Ack=2412111263, Win=64345 (scale factor 0) = 0
SrcPort: 62933
DstPort: 3112
SequenceNumber: 1560854556 (0x5D08C01C)
AcknowledgementNumber: 2412111263 (0x8FC5E59F)
- DataOffset: 80 (0x50)
DataOffset: (0101....) (20 bytes)
Reserved: (....000.)
NS: (.......0) Nonce Sum not significant
- Flags: ....A...
CWR: (0.......) CWR not significant
ECE: (.0......) ECN-Echo not significant
Urgent: (..0.....) Not Urgent Data
Ack: (...1....) Acknowledgement field significant
Push: (....0...) No Push Function
Reset: (.....0..) No Reset
Syn: (......0.) Not Synchronize sequence numbers
Fin: (.......0) Not End of data
Window: 64345 (scale factor 0) = 0
Checksum: 45904 (0xB350)
UrgentPointer: 0 (0x0)
TCPPayloadData: Binary Large Object (1460 Bytes)

Добавление от 27.04.2007 08:30:

вот лог подключения клиента:

код:
C:\Program Files\OpenVPN\bin>openvpn --config client.conf
Fri Apr 27 08:27:09 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2
006
Fri Apr 27 08:27:09 2007 IMPORTANT: OpenVPN's default port number is now 1194, b
ased on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earl
ier used 5000 as the default port.
Fri Apr 27 08:27:09 2007 WARNING: No server certificate verification method has
been enabled. See http://openvpn.net/howto.html#mitm for more info.
Fri Apr 27 08:27:09 2007 LZO compression initialized
Fri Apr 27 08:27:09 2007 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:
0 EL:0 ]
Fri Apr 27 08:27:09 2007 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:
0 EL:0 AF:3/1 ]
Fri Apr 27 08:27:09 2007 Local Options hash (VER=V4): '41690919'
Fri Apr 27 08:27:09 2007 Expected Remote Options hash (VER=V4): '530fdded'
Fri Apr 27 08:27:09 2007 UDPv4 link local: [undef]
Fri Apr 27 08:27:09 2007 UDPv4 link remote: 195.209.X.X:1194
Fri Apr 27 08:27:09 2007 TLS: Initial packet from 195.209.X.X:1194, sid=f239
4350 e3cc668a
Fri Apr 27 08:27:10 2007 VERIFY OK: depth=1, /C=RU/ST=SPB/L=SAINT-PETERSBURG/O=O
penVPN-TEST/OU=work/CN=aleksey/emailAddress=aleksey@work.ru
Fri Apr 27 08:27:10 2007 VERIFY OK: depth=0, /C=RU/ST=SPB/O=OpenVPN-TEST/OU=work
/CN=server/emailAddress=aleksey@work.ru
Fri Apr 27 08:27:14 2007 Data Channel Encrypt: Cipher 'BF-CBC' initialized with
128 bit key
Fri Apr 27 08:27:14 2007 Data Channel Encrypt: Using 160 bit message hash 'SHA1'
for HMAC authentication
Fri Apr 27 08:27:14 2007 Data Channel Decrypt: Cipher 'BF-CBC' initialized with
128 bit key
Fri Apr 27 08:27:14 2007 Data Channel Decrypt: Using 160 bit message hash 'SHA1'
for HMAC authentication
Fri Apr 27 08:27:14 2007 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES2
56-SHA, 1024 bit RSA
Fri Apr 27 08:27:14 2007 [server] Peer Connection Initiated with 195.209.X.X
:1194
Fri Apr 27 08:27:15 2007 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Fri Apr 27 08:27:15 2007 PUSH: Received control message: 'PUSH_REPLY,route 10.8.
0.1,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Fri Apr 27 08:27:15 2007 OPTIONS IMPORT: timers and/or timeouts modified
Fri Apr 27 08:27:15 2007 OPTIONS IMPORT: --ifconfig/up options modified
Fri Apr 27 08:27:15 2007 OPTIONS IMPORT: route options modified
Fri Apr 27 08:27:15 2007 TAP-WIN32 device [Local Area Connection 3] opened: \\.\
Global\{DFAFA6A1-E3A6-4829-9983-410B71583741}.tap
Fri Apr 27 08:27:15 2007 TAP-Win32 Driver Version 8.4
Fri Apr 27 08:27:15 2007 TAP-Win32 MTU=1500
Fri Apr 27 08:27:15 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 1
0.8.0.6/255.255.255.252 on interface {DFAFA6A1-E3A6-4829-9983-410B71583741} [DHC
P-serv: 10.8.0.5, lease-time: 31536000]
Fri Apr 27 08:27:15 2007 NOTE: FlushIpNetTable failed on interface [262153] {DFA
FA6A1-E3A6-4829-9983-410B71583741} (status=259) : No more data is available.
Fri Apr 27 08:27:15 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Fri Apr 27 08:27:15 2007 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 27 08:27:16 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Fri Apr 27 08:27:16 2007 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 27 08:27:17 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Fri Apr 27 08:27:17 2007 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 27 08:27:18 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Fri Apr 27 08:27:18 2007 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 27 08:27:19 2007 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Fri Apr 27 08:27:19 2007 route ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
Fri Apr 27 08:27:19 2007 ROUTE: route addition failed using CreateIpForwardEntry
: The parameter is incorrect. [if_index=262153]
Fri Apr 27 08:27:19 2007 Route addition via IPAPI failed
Fri Apr 27 08:27:19 2007 Initialization Sequence Completed

есть и правда какое-то упоминание про route addition failed using CreateIpForwardEntry.

Добавление от 27.04.2007 08:33:

код:
route ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5

хотя, если этот же маршрут я добавляю руками - ошибок нет (даи команда верная - с чего бы им быть?)

Добавление от 27.04.2007 08:35:

и ура! после ручного добавления маршрута эта скотинка начала работать! vinni, спасибо за поможь

Добавление от 27.04.2007 08:46:

счаз почитаю 1ую стр в целях просвещения =)

Добавление от 27.04.2007 08:58:

добавка route-method exe & route-delay помогла: маршрут успешно добавляется:

код:
Fri Apr 27 08:55:23 2007 NOTE: FlushIpNetTable failed on interface [262153] {DFA
FA6A1-E3A6-4829-9983-410B71583741} (status=259) : No more data is available.
Fri Apr 27 08:55:32 2007 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Fri Apr 27 08:55:32 2007 route ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
Fri Apr 27 08:55:33 2007 Initialization Sequence Completed

216. vinni, 27.04.2007 10:50
apostle
Да, в таблице маршрутизации на клиенте видно, что есть только интерфейсный маршрут:
10.8.0.4 255.255.255.252 10.8.0.6 10.8.0.6 30
А должен быть и на всю OpenVPN-сеть:
10.8.0.0 255.255.255.0 10.8.0.5 10.8.0.6 30
Удачи, заходите ещё.

217. Saddam, 28.04.2007 02:43
Здравствуйте, уважаемые.
Не могу до конца разобраться с преобразованием адресов и выводом клиента в интернет через туннель OpenVPN.
Дела обстоят так:
Есть машина с WinXP, выступающая сервером, на ней 2 сетевых интерфейса.
Первый (с адресом 10.10.1.34) - смотрит в локальную сеть 10.10.1.0 255.255.255.0, в ней есть шлюз интернета 10.10.1.2.
Эта сеть для меня является "внешней", в которую мне нужно выводить клиента.
Второй интерфейс (192.168.0.1) - соединен с компьютером 192.168.0.2, который я и пытаюсь вывести в интернет через мой сервер.
Также на машине создан виртуальный Tap-интерфейс, используемый OpenVPN для создания туннеля.
OpenVPN настроен как Router с Tun-адаптером, выдает адрес из пула 10.10.3.0
Поднимается сервер, поднимается клиент, устанавливается успешное соединение, ошибок нет.
Пинги проходят в оба конца - пингуется и виртуальный сервер 10.10.3.1 и клиент 10.10.3.6.
Проблемы начинаются когда я пытаюсь использовать NAT WinXP для вывода машины во внешнюю сеть...
Как написано в справке, я выбираю интерфейс внешней сети и в свойствах указываю "Разрешить общий доступ к подключению Интернета" и выбираю в списке интерфейсов виртуальный TAP-интерфейс чтобы он у меня натился внаружу...
Настройки не применяются, выскакивает ошибка
"Не удается разрешить общий доступ к подключению Интернета. Подключение по локальной сети уже настроено на использование IP-адреса, который распределяется автоматически"
Т.е получается что виртуальный интерфейс получает адрес при запуске и его нельзя расшарить/занатить ?!?

Тогда я в целях эксперимента, разрешил общий доступ к подключению физическому интерфейсу (192.168.0.1), через который фактически строится туннель и идет обмен данными. Настройки применились, запустил OpenVPN-ы, есть контакт, и .. О ЧУДО, туннель вылез во "внешнюю" сеть, достучался и до компьютеров и до интернета.
Но здесь есть большой минус. Если человек, который сидит на той машинке закроет OpenVPN, и настроит у себя шлюз на мой сервер, то он запросто получит выход в интернет, минуя OpenVPN-канал, что мне делать категорически нельзя, поскольку трафик останется неучтенным.

Подскажите решение проблемы... Как мне правильно настроить нат?
(Пытался установить и настроить WinRoute, ничего не вышло, даже туннель переставал работать.)
Укажите направление - куда копать...

218. den_sn, 28.04.2007 10:57
vinni прошу помощи!

Настроил сервер, конфиг:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway"
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

настроил клиентов, у них:
client
dev tun
proto udp
remote 192.168.78.1 1194
resolv-retry infinite
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3

Сервер запускается с адресом 10.8.0.1, далее запускаю vpn на 1 клиенте - коннектится получая ip - 10.8.0.6 пингуются и клиент и сервер, далее запускаю vpn на 2 клиенте - коннектится, НО, получает тот же ip 10.8.0.6. Это как так?

219. vinni, 28.04.2007 17:16
den_sn
У Вас у второго клиента используется тот же CN? (cert client1.crt, key client1.key)
А почему бы не использовать индивидуальные CN?

Если же хотите один CN для разных пользователей, то:
duplicate-cn
Allow multiple clients with the same common name to concurrently connect. In the absence of this option, OpenVPN will disconnect a client instance upon connection of a new client having the same common name.

Добавление от 28.04.2007 17:48:

Saddam
Вариантов 3:
1) Поставить и настроить фильтр (фаервол), блокирующий трафик в интернет с интерфейса 192.168.0.1

2) Изменить настройки, а именно назначить на tun/tap интерфейсе IP-адрес 192.168.0.1 / 255.255.255.252 (как этого "хочет" ICS), изменить также:
server 192.168.0.0 255.255.255.0
OpenVPN-у также "сказать", что настройки установлены вручную:
ip-win32 manual
А на LAN-интерфейсе назначить другой IP.

3) Поставить другое ПО для реализации "избирательной" фунции NAT

220. Saddam, 28.04.2007 22:34
vinni
Большое спасибо за ответ.
Про ip-win32 manual я даже не подумал....
Буду пробовать.

221. den_sn, 29.04.2007 21:41
vinni
Спасибо что откликнулись! Честно говоря почитав логи и сам понял свою ошибку - невнимательно относился к генерации сертификатов для клиентов. Все заново сгенерировал с уникальными именами и выдача адресов стала работать как надо.
Еще вопросик. При указании статических адресов для клиентов в файле ipp.txt к примеру 10.8.0.4 и 10.8.0.8, клиенты при коннекте к серверу получают ip - 10.8.0.6 и 10.8.0.10. Это нормально?, т.е. это так сервер "нарезает" сеть?
Есть ли другие способы задания статических ip адресов для клиентов в сети openvpn?

222. Virus.exe, 01.05.2007 10:49
Уважаемые знатоки,подскажите пожалуйста решение.
Есть машина 2 машины с WinXP,на одной из них(машина А) стоит 2 сетевых интерфейса,на другой(Машина Б) только 1.
А и Б соединены между собой сетью провайдера с адресами 10.219.*.* (адреса выдаются по DHCP,но они как правило одни и те же)
У машины А общий сетевой интерфейс имеет адрес 10.219.85.100,внутренний 192.168.1.2(выдается так же по DHCP,но уже ADSL-модемом)
Машина Б имеет адрес 10.219.85.67.
Задача стоит так: через OpenVPN дать доступ машине Б во внутреннюю сеть машины А,с последующим использованием интернета с ADSL-модема(его адрес 192.168.1.1)
При этом очень желательно чтобы адреса OpenVPN-клиентам выдавал сам модем,но в принципе это не так важно.(как это сделать я пока не понял)
Мои эксперименты:
Отключаю DHCP на модеме,на машине А обьединяю TAP-адаптер в мост с внутренним адаптером,на мостовом адаптере ставлю статический адрес 192.168.1.2.Далее использую такой конфиг сервера:

код:

ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\VIRUSVPN.crt"
key "C:\\Program Files\\OpenVPN\\config\\VIRUSVPN.key"
dh "C:\\Program Files\\OpenVPN\\config\\dh1024.pem"

dev tap
dev-node OpenVPN
server-bridge 192.168.1.2 255.255.255.0 192.168.1.10 192.168.1.100
client-to-client
duplicate-cn
keepalive 10 120
push "route-gateway 192.168.1.1"
push "dhcp-option DNS 192.168.1.1"
push "redirect-gateway"

При такой конфигурации клиенты подключаются,получают адреса из диапазона 192.168.1.10-192.168.1.100,все внутренние хосты пингуются,но доступа в интернет нету.При этом сетевой адаптер OpenVPN в составе моста не меняет свой статус,так и остается "Сетевой кабель не подключен" и сама машина А получает какие-то проблемы с доступом во внутреннюю сеть(я с нее после этого не смог зайти на модем через WEB,хотя с OpenVPN-клиента легко это сделал,но интернета опять же говорю нет,что довольно странно,потому что на клиенте я проверил,основной шлюз устанавливается в 192.168.1.1,тоесть адрес модема)
Помогите пожалуйста,надеюсь на скорый ответ.Если какие данные недописал,скажите,все будет.

223. vinni, 02.05.2007 14:48
цитата (den_sn):
При указании статических адресов для клиентов в файле ipp.txt к примеру 10.8.0.4 и 10.8.0.8, клиенты при коннекте к серверу получают ip - 10.8.0.6 и 10.8.0.10. Это нормально?, т.е. это так сервер "нарезает" сеть?
Есть ли другие способы задания статических ip адресов для клиентов в сети openvpn?
ipp.txt это "кэш" автоматически выданных адресов, так что это не совсем то что Вам надо. Правильно использовать или скрипты (что менее тривиально) или файлы конфигурации клиентов в каталоге, заданном командой client-config-dir.
Кроме того, можете командой ifconfig вручную задавать конфигурацию каждого клиента прямо в файле конфигурации самого клиента.

Да, в режиме dev tun сети "нарезаются" блоками /30, на первой странице есть картинка с объяснением этого процесса.

Добавление от 02.05.2007 15:06:

Virus.exe
Явно видимых проблем нет, однако:
1. Покажите route print с сервера и клиента при включенном OpenVPN, конфиг клиента.
2. Проверьте, проходят ли пакеты всех размеров? С клиента ping 192.168.1.2 -l 1400
и далее увеличивайте параметр -l от 1400 с шагом 5 до 1500.
Если появится проблема (начиная с некоторого размера пакеты не проходят), то добавьте в оба конфига:
tun-mtu 1500
fragment 1400
mssfix
Неплохо бы включить и сжатие: comp-lzo

224. Virus.exe, 04.05.2007 00:07
Vinni
Спасибо большое за советы,однако оказалось дело в модеме) В тот раз почему-то он потерял связь с интернетом,поэтому клиенты соответсвенно тоже не попадали никуда.Теперь все ок,но за советы все равно спасибо.

225. anopich, 10.05.2007 23:28
У меня следующая проблема:
Есть 2 машины. 1-я под 2003server. Это сервер терминалов. На нём лежит база 1с и стоит OpenVPN server. ip - 10.12.0.1
Вторая подключается к ней по первому варианту, далее через терминал. ip - 10.12.0.2.
Почему-то при подключении к рабочему столу не подключается принтер.
С сервака при попытке найти принтер на компьютере 10.12.0.2, его видно, но при попытке установить его, пишет что не удаётся подключиться, или нет связи.
При попытке подключить 2-й компьютер к 1-му по прямому ай-пи без опенвпн, принтер также не подключается.
В настройка сервера терминалов галочки на подключение принтеров стоят. Принудительно даже установил дрова того принтера на сервер.
Помогите найти решение.

226. vinni, 11.05.2007 11:23
anopich
Подключение принтеров прямого отношения к OpenVPN не имеет, поэтому в этой теме это оффтоп.
Я Вам 1 раз отвечу, но тем не менее попрошу здесь эту тему не развивать, ок?
Подключение принтера в терминальной сессии (Printer mapping) происходит при:
1. Наличии "галки" у клиента при подключении
2. Разрешении подключать принтеры на терм.сервере в уч.записи клиента (для 2003)
3. Отсутствии "галки" запрета подключения принтеров в свойствах терм.сервера 2003
4. Наличии абсолютно одинаковых драйверов принтеров и на клиенте и на сервере
5. Для подключения принтеров клиента, подключенных через USB, сеть, etc. (кроме LPT, COM) на клиенте надо добавить ключ реестра, вот соответвующий файл.reg:
код:
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Default\AddIns\RDPDR]
"FilterQueueType"=dword:ffffffff

227. anopich, 11.05.2007 15:44
Благодарю за ответ. Всё сделано кроме ключа в реестре. Проверю в понедельник.

228. jrapid, 15.05.2007 20:24
добрый день.
Сложилась проблема с OpenVPN - c vpn сервера не пингуется подключившийся клиент. С клиента сервер пингуется
Клиент и сервер физически находятся с одной подсети.
табл. маршрутизации сервера:

route | grep tun
192.168.33.2 * 255.255.255.255 UH 0 0 0 tun0
192.168.33.0 * 255.255.255.0 U 0 0 0 tun0

клиента:
Active Routes:
Network Destination Netmask Gateway Interface Metric
192.168.33.4 255.255.255.252 192.168.33.6 192.168.33.6 30
192.168.33.6 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.33.255 255.255.255.255 192.168.33.6 192.168.33.6 30
Default Gateway: 192.168.3.2
===========================================================================
Persistent Routes:

конфиг сервера:

mode server
tls-server
proto tcp-server
port 7777
dh /etc/openvpn/keys/dh2048.pem
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dev tun
client-to-client

ifconfig 192.168.33.1 192.168.33.2
ifconfig-pool 192.168.33.5 192.168.33.50
push "dhcp-option DNS 192.168.33.1"
persist-tun
cipher DES-EDE3-CBC
#route to push to clients
push "route 192.168.3.0 255.255.255.0" #route to company network
push "route 192.168.1.0 255.255.255.0" #route to company network
push "route 192.168.5.0 255.255.255.0" #route to company network
#keep tunnel open by ping
push "ping 10"
push "ping-restart 60"
ping 10
ping-restart 120
#route to be established on the server
route-up "route delete -net 192.168.33.0/24"
route-up "route add -net 192.168.33.0/24 tun0"
comp-lzo
verb 2

конфиг клиента
client
tls-client
proto tcp-client
dev tun
remote 192.168.33.1 7777
resolv-retry infinite
cipher DES-EDE3-CBC
nobind
persist-key
persist-tun
ca ca.crt
cert cerber.crt
key cerber.key
comp-lzo
verb 2

tcpdump на tun0 сервера показывает icmp request'ы, а на локальном интерфейсе eth -- icmp reply.
В чем здесь дело?

229. vinni, 15.05.2007 20:40
jrapid
Зачем же устанавливать соединение с клиента (remote 192.168.33.1 7777) на тунельный интерфейс сервера (ifconfig 192.168.33.1)? Для начала устанавливайте соединение на иной интерфейс сервера, например, на физический.

Кроме того, раз уж Вы не используете макрокоманду server, то на сервере надо добавить:
push "route 192.168.33.0 255.255.255.0"

А так у Вас и получается, что клиент пингует сервер со своего физического интерфейса и сервер отвечает ТОЖЕ на его физический. А наоборот сервер пингует в тунель, а клиент в тунель ответить не может - нет маршрута.

230. jrapid, 15.05.2007 21:09
спасибо за столь оперативный ответ.
я изменил конфиг сервера.
сделал

local 192.168.3.2
mode server
tls-server
proto tcp-server
port 7777
dh /etc/openvpn/keys/dh2048.pem
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/tech.crt
key /etc/openvpn/keys/tech.key
dev tun
server 192.168.33.0 255.255.255.0
client-to-client
persist-tun
cipher DES-EDE3-CBC
#route to push to clients
push "route 192.168.3.0 255.255.255.0" #route to company network
push "route 192.168.1.0 255.255.255.0" #route to company network
push "route 192.168.5.0 255.255.255.0" #route to company network
#keep tunnel open by ping
push "ping 10"
push "ping-restart 60"
ping 10
ping-restart 120
comp-lzo
verb 6
---
в клиентском конфиге поменял remote 192.168.3.2 7777
---
соединение установилось, но не вижу ни 33.1 ни 3.2
---
кусочек лога клиента
Tue May 15 20:04:15 2007 us=625136 Route addition via IPAPI succeeded
Tue May 15 20:04:15 2007 us=625196 route ADD 192.168.1.0 MASK 255.255.255.0 192.168.33.5
Tue May 15 20:04:15 2007 us=626452 Route addition via IPAPI succeeded
Tue May 15 20:04:15 2007 us=626509 route ADD 192.168.5.0 MASK 255.255.255.0 192.168.33.5
Tue May 15 20:04:15 2007 us=627736 Route addition via IPAPI succeeded
Tue May 15 20:04:15 2007 us=627790 route ADD 192.168.33.0 MASK 255.255.255.0 192.168.33.5
--
табл. маршрутизации клиента
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
192.168.3.0 255.255.255.0 192.168.3.103 192.168.3.103 20
192.168.3.0 255.255.255.0 192.168.33.5 192.168.33.6 1
192.168.3.103 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.3.255 255.255.255.255 192.168.3.103 192.168.3.103 20
192.168.33.0 255.255.255.0 192.168.33.5 192.168.33.6 1
192.168.33.4 255.255.255.252 192.168.33.6 192.168.33.6 30
192.168.33.6 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.33.255 255.255.255.255 192.168.33.6 192.168.33.6 30
Default Gateway: 192.168.3.2

пинг на 192.168.33.1 request timed out
пинг на 192.168.3.2 request timed out

в логе клиента
Tue May 15 20:05:56 2007 us=951876 TCP: connect to 192.168.3.2:7777 failed, will
try again in 5 seconds

Добавление от 15.05.2007 21:14:

SYSTEM ROUTING TABLE
0.0.0.0 0.0.0.0 192.168.3.2 p=0 i=65539 t=4 pr=3 a=90565 h=0 m=20/-1/-1/-1/-1
127.0.0.0 255.0.0.0 127.0.0.1 p=0 i=1 t=3 pr=2 a=2522740 h=0 m=1/-1/-1/-1/-1
192.168.1.0 255.255.255.0 192.168.33.5 p=0 i=983044 t=4 pr=3 a=9 h=0 m=1/-1/-1/-1/-1
192.168.3.0 255.255.255.0 192.168.3.103 p=0 i=65539 t=3 pr=2 a=2522740 h=0 m=20/-1/-1/-1/-1
192.168.3.0 255.255.255.0 192.168.33.5 p=0 i=983044 t=4 pr=3 a=9 h=0 m=1/-1/-1/-1/-1
192.168.3.103 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=2522740 h=0 m=20/-1/-1/-1/-1
192.168.3.255 255.255.255.255 192.168.3.103 p=0 i=65539 t=3 pr=2 a=2522740 h=0 m=20/-1/-1/-1/-1
192.168.5.0 255.255.255.0 192.168.33.5 p=0 i=983044 t=4 pr=3 a=9 h=0 m=1/-1/-1/-1/-1
192.168.33.0 255.255.255.0 192.168.33.5 p=0 i=983044 t=4 pr=3 a=9 h=0 m=1/-1/-1/-1/-1
192.168.33.4 255.255.255.252 192.168.33.6 p=0 i=983044 t=3 pr=2 a=9 h=0 m=30/-1/-1/-1/-1
192.168.33.6 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=9 h=0 m=30/-1/-1/-1/-1
192.168.33.255 255.255.255.255 192.168.33.6 p=0 i=983044 t=3 pr=2 a=9 h=0 m=30/-1/-1/-1/-1
224.0.0.0 240.0.0.0 192.168.3.103 p=0 i=65539 t=3 pr=2 a=2522740 h=0 m=20/-1/-1/-1/-1
224.0.0.0 240.0.0.0 192.168.33.6 p=0 i=983044 t=3 pr=2 a=9 h=0 m=30/-1/-1/-1/-1
255.255.255.255 255.255.255.255 192.168.3.103 p=0 i=65539 t=3 pr=2 a=2522740 h=0 m=1/-1/-1/-1/-1
255.255.255.255 255.255.255.255 192.168.33.6 p=0 i=983044 t=3 pr=2 a=89630 h=0 m=1/-1/-1/-1/-1
SYSTEM ADAPTER LIST
TAP-Win32 Adapter V8
Index = 983044
GUID = {34B0BDC8-B754-46B4-B911-701EF61FB9DB}
IP = 192.168.33.6/255.255.255.252
MAC = 00:ff:34:b0:bd:c8
GATEWAY =
DHCP SERV = 192.168.33.5
DHCP LEASE OBTAINED = Tue May 15 20:10:10 2007
DHCP LEASE EXPIRES = Wed May 14 20:10:10 2008
Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC
Index = 65539
GUID = {9A13103A-8152-46B0-9C2F-FB5565DB5F6D}
IP = 192.168.3.103/255.255.255.0
MAC = 00:18:f3:03:57:72
GATEWAY = 192.168.3.2/0.0.0.0

231. vinni, 15.05.2007 21:20
jrapid
Как вижу, 192.168.3.2 - это интерфейс сервера. Так зачем же Вы тогда пишете в конфиге?:
push "route 192.168.3.0 255.255.255.0"
Удалите это.

в логе клиента
Tue May 15 20:05:56 2007 us=951876 TCP: connect to 192.168.3.2:7777 failed, will
try again in 5 seconds

Конечно, Вы же ему маршрут на peer тунеля запихнули в тунель:
Active Routes:
192.168.3.0 255.255.255.0 192.168.33.5 192.168.33.6 1

232. jrapid, 15.05.2007 21:27
Большое спасибо! Все заработало
странно, что сам не оборатил на это внимание.

233. todeus, 18.05.2007 12:28
Здравствуйте! Еще один вопросик. С OpenVPN такие проблемы. Утром, когда народ приходит и включает тачки, интерфейсы на другом конце туннеля не пингуются, приходится делать рекконект, в логах все нормально. Тоже самое происходит и к концу рабочего дня. В чем может быть проблема?
Спасибо

234. vinni, 18.05.2007 12:43
todeus
Вот Вы сами как считаете, Вы достаточно данных привели?
Пока могу посоветовать только одно - надо попробовать вариант, когда народ приходит не утром, а вечером!
С утра просто пробки, может в них дело?


keepalive в конфиге включён? Логи с какой детализацией?

235. todeus, 19.05.2007 10:07
согласен, что мало, но ваш ответ помог. поставил ping-restart и пока все работает.
спасибо

236. Pascal, 20.05.2007 01:29
[...]
Оффтопик

237. Switch002, 20.05.2007 16:16
Перечитал всю ветку, похожий вопрос поднимался, но не раскрывался до конца.
Задача:
поднять VPN сервер, к которому будут подключаться Linux сервера для осуществления их техподдержки.
Что делаю:
Имею ISA-сервер (MS ISA 2004) с реальным IP на внешнем интерфейсе, внутренний интерфес, на котором заодно поднят DHCP, и TAP интерфейс OpenVPN (установлен на этом же компьютере). Настройка OpenVPN проводилась в соответствии со сценарием 3, только соединения принимаются по 443 порту. ISA настроена на этот порт, клиенты извне подключаются, получают IP адрес. Сервер, в свою очередь, тоже подключается (использую версию с GUI), "сетевой кабель" ТАР подключается, но IP адрес не выдается. Пробовал вручную прописать IP непосредственно на адаптере, однако никакого эффекта, клиенты не пингуются. Чтобы как-то исключить влияние правил исы на маршрутизацию между интерфейсами, настрои все по примеру 4, клиенты получают адреса внутренней подсети, однако пинговаться по-прежнему не хотят.

В чем может быть причина? Писали, что виноват DHCP фильтр, но в 2004-й исе такого я не нашел, DHCP разрешен во всех направлениях.

Конфиги:

server.ovpn
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\redadmin.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\redadmin.key"
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"
dev tap
proto tcp-server
port 443
route-method exe
route-delay 5
server-bridge 192.168.0.1 255.255.255.0 192.168.0.100 192.168.0.199


client.ovpn
pkcs12 "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\kofeinik01.p12"
dev tap
client
remote vpn.redadmin.inf0 443

238. vinni, 21.05.2007 11:15
Switch002
1. Вы уверены что Вам нужен L2-тунель? Там же гоняется куча лишнего Eth-мусора... Решать Вам, но без нужды это, ИМХО, ни к чему.

2. Вы используете server-bridge, это макро-команда для конфигурации сервера, у которого интерфейс объединён в мост. Она не назначает IP-адрес интерфейсу. Смотрите 1-ую страницу:
Реально команда, например, server-bridge 10.8.0.4 255.255.255.0 10.8.0.128 10.8.0.254 раскрывается так (в скобках комментарии)
mode server
tls-server
ifconfig-pool 10.8.0.128 10.8.0.254 255.255.255.0 (клиентам выделяется диапазон, указанный в макрокоманде)
push "route-gateway 10.8.0.4" (параметр gateway передаётся клиентам как шлюз)

Вам надо или объединить этот адаптер в мост с локальным адаптером или использовать команду server

239. KOCTET, 21.05.2007 14:14
Switch002 А сообщений от ISA никаких нет?

240. SergeyP, 21.05.2007 16:20
Здравствуйте!
Тут у одной организации в бухгалтерии одноранговая 192.168.0.0/24 сеть, база 1С (сетевая, dbf) на Win2k Pro.
Появился второй офис и часть бухгалтерии (компьютеров) переедет туда, включая базу 1С. Оба офиса подключили к одному провайдеру интернет.
Интересует в будущем создание единой бухгалтерской сети на два офиса и вопрос защиты сетей от подключения через интернет.
А на данный момент ситуация:
в 1-м офисе на комп 192.168.0.33 добавили второй сетевую карту для инета с IP на 81.х.х.х, во 2-м офисе пока один комп. Хочу попробовать подключить его к сети 1-го офиса для работы в 1С (на компе с IP 192.168.0.100), используя OpenVPN, с которым ранее не сталкивался, да и по сетям ограниченные знания . Экспериментировал, но пока не получилось увидеть компы в сетки в 1-м офисе. Нормально прошело только в режиме p2p, со статик-ключом. А далее либо ошибки, либо нет пинга и пр. Прошу помочь настроить...
Для начала какой выбрать режим лучше - будет ли видеть 1С видеть сервер защиты (аппаратный ключ) в режиме tun или надо использовать tap?
PS. Про терминальный доступ в курсе, но на Win2k Pro вроде как не возможно? Если что, винды переставлять для терминалки придется в последнюю очередь и все равно работать скорее всего внутри OpenVPN, так что вопрос настройки OpenVPN остается.

241. vinni, 21.05.2007 17:10
SergeyP
Для работы в 1С через внешние сети терминальник ИМХО однозначно и без вариантов.
Для поиска ключа вроде NetHASP-у можно явно указать IP-адрес.

По вопросу выбора tun и tap:
Есть ли у Вас приложения, работающие только в рамках своей подсети, использующие броадкасты или None-IP-протоколы? Если да, то tap. Если нет, то лучше tun.

По поводу сотального - рисуйте схемку или показывайте конфиги.

242. omihaz, 22.05.2007 20:48
Здравствуйте, уже давно борюсь с проблемой, никак не могу найти решение

Может мне сдесь кто то поможет...

И так, что имеем. 2 компьютера в локалке:
1. Пусть называется Home, он имеет 2 подключения к двум разным провайдерам.
2. Client, второй компьютер подключается через Home. Чтобы работало 2 провайдера, необходимо было настроить 2 NAT на каждом из интерфейсах. Всего интерфейсов 3, из них 2 провайдера, 1 для локалки. Так вот, доступ появился у компьютера только через 2 нат. Ну и маршрутизация чтобы в одни сети ходить через одного, в другие через другого провайдера.

Все работает, но необходимо сделать VPN сервер, чтобы люди с провайдера №1 могли подключатся к серверу VPN и через него попадать во внешний мир по средством провайдера №2. Т.е. канал провайдера №1 используется для соединения с впн, канал провайдера №2 для ресурсов. Так же хотелось дать доступ не во весь внешний мир, а только на 1 айпи реальный.
Если такое сделать нельзя - не критично!
Пробовал средствами WinXP сделать через PPP - не получилось, пингуется только тот интерфейс через который подключаются к PPP. Увидел что можно реализовать через OpenVPN. Чуть поигрался, но тут информации сильно много и задача не простая.
Помогите пожалуйста настроить OpenVPN для моей цели. Был бы очень признателен за любую помощь, с этой проблемой борюсь уже очень долго!

Если нужна еще какая либо информация что поспособствует делу - могу представить.

Спасибо за любую помощь.
С уважением, Владислав.

243. vinni, 22.05.2007 20:58
omihaz
Для начала покажите ipconfig /all с компа1, марку его ОС и объясните какими средствами сделан NAT на 2 интерфейсах.

244. omihaz, 22.05.2007 21:06
Значит ОС: WinXP SP2
2 NAT сделан средствами WinXP, через встроенную утилиту netsh routing ip nat:
Вот его дамп:
# -----------------------------------------
# RAS-конфигурация
# -----------------------------------------
pushd routing ip nat
uninstall
install
set global tcptimeoutmins=1440 udptimeoutmins=1 loglevel=ERROR
#
# NAT-конфигурация для интерфейса "NormaPlus"
#
add interface name="NormaPlus" mode=FULL
#
# NAT-конфигурация для интерфейса "Server"
#
add interface name="Server" mode=PRIVATE
#
# NAT-конфигурация для интерфейса "HomeOnline"
#
add interface name="HomeOnline" mode=FULL


Вот ipconfig:
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : TEST13
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : да

NormaPlus - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethe
rnet NIC
Физический адрес. . . . . . . . . : 00-E0-4C-A1-41-8E
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.0.24.130
Маска подсети . . . . . . . . . . : 255.255.248.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 193.17.208.254
NetBIOS через TCP/IP. . . . . . . : отключен

HomeOnline - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethe
rnet NIC #2
Физический адрес. . . . . . . . . : 00-30-4F-45-CA-FF
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 172.17.53.10
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 172.17.53.1
DNS-серверы . . . . . . . . . . . : 172.17.53.1
172.16.0.1
Основной WINS-сервер . . . . . . : 62.16.7.78
NetBIOS через TCP/IP. . . . . . . : отключен

Server - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : 3Com Gigabit LOM (3C940)
Физический адрес. . . . . . . . . : 00-0C-6E-94-67-91
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

Подключение по локальной сети - Ethernet адаптер:

Состояние сети . . . . . . . . . : сеть отключена
Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8
Физический адрес. . . . . . . . . : 00-FF-8B-B6-91-D2

245. vinni, 22.05.2007 21:15
omihaz
Следующим логичным шагом было бы прописать маршруты на каждую провайдерскую сеть и её внутренние подсети, если они отличаются от интерфейсных.
Также прописать маршруты на DNS-серверы провайдеров через их сети и как вариант вообще оставить DNS только на одном интерфейсе.

В настройках NAT-а прописаны port-map-ы для OpenVPN-сервера?
Покажите конфиг OpenVPN-сервера?

246. omihaz, 22.05.2007 21:38
На самом NAT не прописаны port-map-ы. Но доступ там FULL.
С конфигом опенсервера я не определился как правильно так сделать маршрутизацию. Так как понятия не имею о такой конфигурации. Пробовал игратся со стандартным конфигом - ничего не вышло.
Маршрутизация прописана у меня на локальные ресурсы провайдеров и тд... все работает, с днс тоже проблем нет
А вот как в эту муть добавить опен впн и вещать его с одной провайдера в другой без понятия

Добавление от 22.05.2007 21:56:

Хоть подтолкни меня пожалуйста на путь истинный. Скажи как примерно надо настроить... В какую сторону копать?

247. vinni, 23.05.2007 01:40
omihaz
Это будет длинная песня, поэтому если Вы чувствуете что терпения у Вас не хватит, то нет смысла и начинать. Кроме того, есть "требование" отвечать на вопросы полностью, не требуя их повторять и задавать наводящие. Ответы "ничего не вышло" не принимаются - только с объяснением - "сделал то-то и так-то, увидел то-то, делаю так - получаю результат такой, на основании чего делаю вывод что не работает".

1. Установить OpenVPN. Выполнить на сервере пункт 3.1 (см. инструкцию FAQ: OpenVPN (было - Помогите настроить OpenVPN) !, #1 (http://forum.ixbt.com/topic.cgi?id=14:40906:1#1) ) - то есть сгенерировать ключи и сертификаты СА, сервера и как минимум 1 клиента.

2. Определиться с протоколом и портами для OpenVPN - например, 1194/tcp

3. Сделать портмаппинг на NAT-интерфейсах (http://www.microsoft.com/resources/documentation/win…tsh.mspx?mfr=true)
add portmapping [InterfaceName=]InterfaceName [proto=]{tcp | udp} [publicip=]{IPAddress | 0.0.0.0} [publicport=]Integer [privateip=]IPAddress [privateport=]Integer
код:
pushd routing ip nat
add portmapping InterfaceName="NormaPlus" proto=tcp publicip=10.0.24.130 publicport=1194 privateip=192.168.0.1 privateport=1194
add portmapping InterfaceName="HomeOnline" proto=tcp publicip=172.17.53.10 publicport=1194 privateip=192.168.0.1 privateport=1194


4. Создать на сервере конфиг OpenVPN-сервера.
код:
ca ca.crt       # ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert server.crt
key server.key # секретный файл
dh dh1024.pem
dev tun
proto tcp-server
server 10.8.0.0 255.255.255.0


5. Найти клиентов, установить у них OpenVPN и создать им конфиги:
код:
ca ca.crt
cert client.crt
key client.key
dev tun
proto tcp-client
client
remote 10.0.24.130 1194

Соответственно для клиентов в другой сети заменить ip-адрес.
Попробовать подключиться и сообщить результат сюда.

Добавление от 23.05.2007 01:57:

omihaz
1.5. В службах на сервере включить и запустить маршрутизацию. Проверить:
NET START REMOTEACCESS

248. omihaz, 24.05.2007 14:51
Большое спасибо за ответ и неоценимую помощь! Я даже не ожидал.

Проделал, все как Вы сказали и уже чуть лучше начал понимать систему.
Пункт 1 проделал, все в точности, все в порядке.
Пукнт 2, все равно какой порт, решил действовать по Вашему совету, 1194/tcp
Пункт 3:

add portmapping InterfaceName="NormaPlus" proto=tcp publicip=10.0.24.130 publicport=1194 privateip=192.168.0.1 privateport=1194
add portmapping InterfaceName="HomeOnline" proto=tcp publicip=172.17.53.10 publicport=1194 privateip=192.168.0.1 privateport=1194


Так сделать не получилось, сделал так:

add portmapping name="NormaPlus" proto=tcp publicip=0.0.0.0 publicport=1194 privateip=192.168.0.1 privateport=1194
add portmapping name="HomeOnline" proto=tcp publicip=0.0.0.0 publicport=1194 privateip=192.168.0.1 privateport=1194


Пункт 4 и 5 сделал, только при создании сервера была ошибка: "NOTE: FlushIpNetTable failed..."
Исправил добавлением строки в конфиг сервера: "route-method exe", ошибка пропала.
Так же был варнинг на команду keepalive, которая отсутствовала, команду добавил в конфиг: "keepalive 10 60"

При конекте клиента к серверу, конект происходит, выдается IP 10.8.0.6

Соответственно для клиентов в другой сети заменить ip-адрес.
Попробовать подключиться и сообщить результат сюда.

С этим не совсем понял, какой адрес менять и зачем?

1.5. В службах на сервере включить и запустить маршрутизацию. Проверить:
NET START REMOTEACCESS


Эта служба запущена.

Конект проиходит хорошо, но вот доступа в сеть 172.17.0.0 нет. Пробовал прописать маршрутизацию - не помогает и не понятно на какой шлюз перенаправлять трафик.

Если нужны логи клиент/сервер могу предоставить. Что необходимо сделать чтобы у клиента все заработало?

Да, и шлюз по умолчанию при соединении с VPN остается такой как и был. В моем случае клиент из сети NormaPlus 10.0.17.х шлюз: 10.0.16.1

249. vinni, 24.05.2007 22:04
omihaz
add portmapping name=...
route-method exe
keepalive 10 60




Соответственно для клиентов в другой сети заменить ip-адрес.
Это значит, что у клиентов сети HomeOnline должен быть такой адрес в их конфиге:
remote 172.17.53.10 1194

Теперь добавляем маршруты, делаем это в конфигах клиентов.

В конфигах клиентов NormaPlus (здесь надо подправить/добавить маршруты на нужные адреса сетей HomeOnline)
route 172.17.53.0 255.255.255.0

В конфигах клиентов HomeOnline (здесь надо подправить/добавить маршруты на нужные адреса сетей NormaPlus)
route 10.0.24.0 255.255.248.0

Если что-то не срастётся, то с клиента надо показать route print и tracert в удалённую сеть


Да, и шлюз по умолчанию при соединении с VPN остается такой как и был
Так Вы хотите шлюз-по-умолчанию переназначить? Это значит, что ВЕСЬ интернетовский трафик клиента пойдёт через Вас.
Для этого добавьте в конфиг клиента:
redirect-gateway

250. omihaz, 24.05.2007 23:07
Весь не хочу. Просто были сомнения. Завтра все опробую и сообщу. Все понял четко и ясно.
А если мне надо чтобы только на 1 IP то могу написать так: route 172.17.53.5 255.255.255.255 ?

251. vinni, 25.05.2007 00:07
Да, можете только маршрут на хост, маску Вы написали тоже верно. Но имейте ввиду, что это НИКАК НЕ МЕШАЕТ пользователю самому добавить любые маршруты (вплоть до вручную командой route.exe) через Ваш шлюз и гнать трафик ПО СВОЕМУ УСМОТРЕНИЮ!
Если Вы хотите такую возможность запретить, то Вы должны поставить и настроить фильтр (фаервол), который будет резать весь запрещённый трафик из OpenVPN-интерфейса.

252. omihaz, 25.05.2007 16:24
Итак, проверил.

Значит конфиг клиента такой:
код:

ca ca.crt
cert client1.crt
key client1.key
dev tun
proto tcp-client
client
remote 10.0.24.130 1194
route 172.17.53.0 255.255.255.0

Вот log клиента при соединении:
код:

Fri May 25 15:04:00 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Fri May 25 15:04:00 2007 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Fri May 25 15:04:00 2007 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Fri May 25 15:04:00 2007 Attempting to establish TCP connection with 10.0.24.130:1194
Fri May 25 15:04:00 2007 TCP connection established with 10.0.24.130:1194
Fri May 25 15:04:00 2007 TCPv4_CLIENT link local: [undef]
Fri May 25 15:04:00 2007 TCPv4_CLIENT link remote: 10.0.24.130:1194
Fri May 25 15:04:00 2007 [unreal-club] Peer Connection Initiated with 10.0.24.130:1194
Fri May 25 15:04:02 2007 TAP-WIN32 device [Подключение по локальной сети 2] opened: \\.\Global\{35C17F03-4F9B-4704-A793-D6D04429ECDD}.tap
Fri May 25 15:04:02 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {35C17F03-4F9B-4704-A793-D6D04429ECDD} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Fri May 25 15:04:02 2007 Successful ARP Flush on interface [65540] {35C17F03-4F9B-4704-A793-D6D04429ECDD}
Fri May 25 15:04:07 2007 Initialization Sequence Completed

Вот после соединения таблица маршрутизации клиента:

код:

Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x10003 ...00 11 d8 62 0f b4 ...... Marvell Yukon 88E8053 PCI-E Gigabit Ethernet
Controller
0x10004 ...00 ff 35 c1 7f 03 ...... TAP-Win32 Adapter V8
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.0.24.1 10.0.25.150 20
10.0.24.0 255.255.248.0 10.0.25.150 10.0.25.150 20
10.0.25.150 255.255.255.255 127.0.0.1 127.0.0.1 20
10.8.0.1 255.255.255.255 10.8.0.5 10.8.0.6 1
10.8.0.4 255.255.255.252 10.8.0.6 10.8.0.6 30
10.8.0.6 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.0.25.150 10.0.25.150 20
10.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
172.17.53.0 255.255.255.0 10.8.0.5 10.8.0.6 1
224.0.0.0 240.0.0.0 10.0.25.150 10.0.25.150 20
224.0.0.0 240.0.0.0 10.8.0.6 10.8.0.6 30
255.255.255.255 255.255.255.255 10.0.25.150 10.0.25.150 1
255.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 1
Основной шлюз: 10.0.24.1
===========================================================================
Постоянные маршруты:
Отсутствует

Вот часть лога с сервера:

код:

Fri May 25 15:03:53 2007 Re-using SSL/TLS context
Fri May 25 15:03:53 2007 TCP connection established with 10.0.25.150:3734
Fri May 25 15:03:53 2007 TCPv4_SERVER link local: [undef]
Fri May 25 15:03:53 2007 TCPv4_SERVER link remote: 10.0.25.150:3734
Fri May 25 15:03:54 2007 10.0.25.150:3734 [client1] Peer Connection Initiated with 10.0.25.150:3734
Fri May 25 15:10:06 2007 client1/10.0.25.150:3734 Connection reset, restarting [-1]


После подключению к VPN. Клиент сделал ping 172.17.53.1 - превышен интервал ожидания. Связь между VPN и клиентом идеальная. С моего компьютера 172.17.53.1 пингуется хорошо. Трасировка с клиента первый же прыжок * * * превышен интервал ожидания.

Что делать?

253. andrew_senik, 28.05.2007 17:25
Здравствуйте уважаемые!
Есть проблема с OpenVPN.
Ситуация такая: 2 офиса с выделенными инет-каналами с внешними IP.
Задача: организовать доступ из локалки в локалку.
В обоих офисах в качестве файрвола стоят ISA2004.
Пробовал настроить ВПН там - не вышло или руки кривые или...
Была попытка поднять ВПН с помощью опенВПН.
Добился только того, что с ВПН сервера пингую ВПН клиент и с клиента - сервер.
А "уведеть" сеть за ВПН не смог.

вот конфиги:
server.ovpn:
код:
ca "c:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "c:\\Program Files\\OpenVPN\\config\\isaserver.crt"
key "c:\\Program Files\\OpenVPN\\config\\isaserver.key"
dh "c:\\Program Files\\OpenVPN\\config\\dh1024.pem"
ip-win32 dynamic
local 85.172.170.200
dev tap
server 10.0.0.0 255.255.255.0
proto tcp-server
port 8000
route-method exe
route-delay 30
client-config-dir clients
push "route 192.168.1.0 255.255.255.0"
duplicate-cn
keepalive 10 120
persist-tun
persist-key
verb 3
comp-lzo


client.ovpn
код:
ip-win32 dynamic
pkcs12 "c:\\Program Files\\OpenVPN\\config\\center.p12"
dev tap
proto tcp-client
client
resolv-retry infinite
keepalive 10 120
remote 85.172.170.200 8000
route-method exe
route-delay 10
persist-tun
persist-key
tls-client

comp-lzo
verb 3



route print server:
код:

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 ff 13 23 4e 2c ...... TAP-Win32 Adapter V8
0x10004 ...00 a0 c5 30 4f d6 ...... ZyXEL OMNI LAN PCI G1 1000Base-T Adapter
0x10005 ...00 0f fe 4a 55 d5 ...... Intel(R) 82566DM Gigabit Network Connectio
0x20006 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 85.172.170.1 85.172.170.200 1
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.1 11
10.0.0.0 255.255.255.0 10.0.0.1 10.0.0.1 30
10.0.0.1 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.0.0.1 10.0.0.1 30
85.172.170.1 255.255.255.255 85.172.170.200 85.172.170.200 1
85.172.170.200 255.255.255.255 127.0.0.1 127.0.0.1 50
85.255.255.255 255.255.255.255 85.172.170.200 85.172.170.200 50
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.1 192.168.1.1 10
192.168.1.1 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.1.255 255.255.255.255 192.168.1.1 192.168.1.1 10
192.168.2.0 255.255.255.0 10.0.0.2 10.0.0.1 1
224.0.0.0 240.0.0.0 10.0.0.1 10.0.0.1 30
224.0.0.0 240.0.0.0 192.168.1.1 192.168.1.1 10
224.0.0.0 240.0.0.0 85.172.170.200 85.172.170.200 1
255.255.255.255 255.255.255.255 10.0.0.1 10.0.0.1 1
255.255.255.255 255.255.255.255 192.168.1.1 192.168.1.1 1
255.255.255.255 255.255.255.255 192.168.1.1 10004 1
Основной шлюз: 85.172.170.1
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
192.168.2.0 255.255.255.0 10.0.0.2 1


route print client:
код:

===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 ff bd 1e dc 22 ...... TAP-Win32 Adapter V8
0x1000004 ...00 13 21 fc b4 aa ...... HP NC7761 Gigabit Server Adapter
0xc000005 ...00 a0 c5 30 55 0e ...... ZyXEL GN650 1000Base-T Adapter

===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 212.38.104.81 212.38.104.82 1
10.0.0.0 255.255.255.0 192.168.2.1 192.168.2.1 1
10.0.0.2 255.255.255.255 127.0.0.1 127.0.0.1 1
10.255.255.255 255.255.255.255 10.0.0.2 10.0.0.2 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.2.1 192.168.2.1 1
192.168.2.0 255.255.255.0 192.168.2.1 192.168.2.1 1
192.168.2.1 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.2.255 255.255.255.255 192.168.2.1 192.168.2.1 1
212.38.104.80 255.255.255.252 212.38.104.82 212.38.104.82 1
212.38.104.82 255.255.255.255 127.0.0.1 127.0.0.1 1
212.38.104.255 255.255.255.255 212.38.104.82 212.38.104.82 1
224.0.0.0 224.0.0.0 10.0.0.2 10.0.0.2 1
224.0.0.0 224.0.0.0 192.168.2.1 192.168.2.1 1
224.0.0.0 224.0.0.0 212.38.104.82 212.38.104.82 1
255.255.255.255 255.255.255.255 10.0.0.2 10.0.0.2 1
Default Gateway: 212.38.104.81
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
10.0.0.0 255.255.255.0 192.168.2.1 1
192.168.1.0 255.255.255.0 192.168.2.1 1

254. vinni, 29.05.2007 23:21
omihaz
Что покажет ping 172.17.53.10 ? tracert 172.17.53.10 ?

andrew_senik
Какую "сеть за сервером" надо увидеть? Эту - push "route 192.168.1.0 255.255.255.0" ?
Тогда зачем это: ?
Persistent Routes:
Network Address Netmask Gateway Address Metric
10.0.0.0 255.255.255.0 192.168.2.1 1
192.168.1.0 255.255.255.0 192.168.2.1 1

Удалите эти маршруты на клиенте, они там только всю малину портят.

Извиняюсь, раньше ответить не мог.

И вообще, следующие 2 недели от меня ответов не будет. Не знаю как вам, но мне, надеюсь, будет хорошо!

255. omihaz, 29.05.2007 23:39
Значит ping 172.17.53.10 не идет. tracert 172.17.53.10 Тоже.
Превышен интервал ожидания...

код:

ping -t 172.17.53.10

Обмен пакетами с 172.17.53.10 по 32 байт:

Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 172.17.53.10:
Пакетов: отправлено = 7, получено = 0, потеряно = 7 (100% потерь),


tracert на первом же шаге * * * превышен интервал

256. vinni, 29.05.2007 23:53
omihaz
Службу маршрутизации на сервере вроде же проверяли? Была включена, так ведь?
Попробуйте временно:
- отключить NAT на "внешних" интерфейсах сервера
- проверить или, как вариант, ВРЕМЕННО отключить брандмауэр или иные фаерволы и/или фильтры

257. omihaz, 30.05.2007 00:00
Фаерволы выключены, а с натом могу только завтра. Вы будете в ближайшие дни?

P.S. Желаю хорошо отдохнуть! И спасибо за помощь!

258. andrew_senik, 30.05.2007 09:20
vinni
Сеть нужно увидить как за ВПН-сервером, так за ВПН-клиентом.
Как её увидеть за клиентом? я сделал как было написано в мануале.

код:
client-config-dir clients


в папку clients положил файл с CN клиента.
в том файле одна строчка

код:
iroute 192.168.2.0 255.255.255.0


не помогает

тут ещё такой вопрос. что же мне нужно открыть на ИСЕ чтоб пакеты между сетями бегали?

я дал полный доступ на ИСЕ с ВПН-сервером в подсеть 192.168.2.0/24
и полный доступ на ИСЕ с ВПН-клиентом в подсеть 192.168.1.0/24
так же естественно на обеих ИСАх дал доступ в ВПН-подсеть - 10.0.0.0/24

и все равно никакого результата

259. vinni, 30.05.2007 10:03
andrew_senik
Как её увидеть за клиентом? я сделал как было написано в мануале.
У Вас dev tap, поэтому к IP-маршрутизации OpenVPN отношения не имеет.
У Вас должен быть фиксированный IP-адрес у клиента (10.0.0.2) и маршрут в ОС:
route add -p 196.168.2.0 mask 255.255.255.0 10.0.0.2

что же мне нужно открыть на ИСЕ чтоб пакеты между сетями бегали?
Это вопрос к ИСЕ Тут я не помощник

260. omihaz, 30.05.2007 16:13
Отключил полностью NAT через uninstall. Проверил в реестре чтобы был включен IPForwarding а так же чтобы работала маршрутизация.

Попросил приконектиться клиента. Все прошло успешно.
Пинг на 172.17.53.10 идет, а вот на 172.17.53.1 нет.
Следовательно и маршрутизация, идет первый прыжок на 10.8.0.1 потом превышен интервал ожидания.
Фаервола антивируса и прочих фильтров нет. В брандмаере виндовс он отключен и галочку убрал с VPN интерфейса.

Лог сервера:
код:

Wed May 30 15:08:05 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2
006
Wed May 30 15:08:05 2007 IMPORTANT: OpenVPN's default port number is now 1194, b
ased on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earl
ier used 5000 as the default port.
Wed May 30 15:08:05 2007 TAP-WIN32 device [VPN] opened: \\.\Global\{7F196881-201
5-4058-A015-8CAB60404D2D}.tap
Wed May 30 15:08:05 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 1
0.8.0.1/255.255.255.252 on interface {7F196881-2015-4058-A015-8CAB60404D2D} [DHC
P-serv: 10.8.0.2, lease-time: 31536000]
Wed May 30 15:08:05 2007 Sleeping for 10 seconds...
Wed May 30 15:08:15 2007 NOTE: FlushIpNetTable failed on interface [2] {7F196881
-2015-4058-A015-8CAB60404D2D} (status=1413) : ═хтхЁэ√щ шэфхъё.
Wed May 30 15:08:15 2007 Listening for incoming TCP connection on [undef]:1194
Wed May 30 15:08:15 2007 TCPv4_SERVER link local (bound): [undef]:1194
Wed May 30 15:08:15 2007 TCPv4_SERVER link remote: [undef]
Wed May 30 15:08:15 2007 Initialization Sequence Completed
Wed May 30 15:08:17 2007 Re-using SSL/TLS context
Wed May 30 15:08:17 2007 TCP connection established with 10.0.1.184:4575
Wed May 30 15:08:17 2007 TCPv4_SERVER link local: [undef]
Wed May 30 15:08:17 2007 TCPv4_SERVER link remote: 10.0.1.184:4575
Wed May 30 15:08:18 2007 10.0.1.184:4575 [client1] Peer Connection Initiated wit
h 10.0.1.184:4575
Wed May 30 15:08:20 2007 client1/10.0.1.184:4575 Connection reset, restarting [-
1]
Wed May 30 15:08:39 2007 Re-using SSL/TLS context
Wed May 30 15:08:39 2007 TCP connection established with 10.0.1.184:4597
Wed May 30 15:08:39 2007 TCPv4_SERVER link local: [undef]
Wed May 30 15:08:39 2007 TCPv4_SERVER link remote: 10.0.1.184:4597
Wed May 30 15:08:41 2007 10.0.1.184:4597 [client1] Peer Connection Initiated wit
h 10.0.1.184:4597

261. vinni, 30.05.2007 22:05
omihaz
Пинг на 172.17.53.10 идет, а вот на 172.17.53.1 нет.
Из первого следует, что маршруты клиенту сброшены корректно и маршрутизация на сервере работает.
А вот при выключенном NAT-е ...53.1 пинговаться с клиента и не должен.

Теперь надо разбираться с NAT-ом...
Для этого ИМХО удобнее всего было бы просто прицепить к этому серверу ещё 1 хост (ноут или вирт.машину), чтобы можно было пинговать не через просьбу удалённого клиента, а за 1 столом...

Для целей мониторинга пакетов можно взять бесплатный фильтр-монитор:
Бесплатный монитор (включая процесс) и фильтр IP-пакетов (IP, TCP, UDP, ICMP, ICQ, по содержимому пакета (ZIP, RAR, MP3, AVI, EXE, PNG), ограничение скорости) для x86/x64 - вер.2.5 (http://forum.ixbt.com/topic.cgi?id=7:22564)
Нормальная вещь. Там можно включить лог пакетов или в правиле фильтра или в мониторе.
Соответственно, будет здорово видно прохождение пакетов и их маршрутизацию на сервере по всем интерфейсам!

262. terab, 06.06.2007 00:14
а как можно запретить подключаться пользователям , у которых ip-адрес на адаптере openvpn прописан вручную?

263. SBubba, 07.06.2007 11:32
Вопрос.
У меня настроен OpenVPN с несколькими клиентами, поднимается по требованию клиента, и я захожу через терминальный доступ на машину его делаю, что надо и выхожу. Все работает отлично. Подключил еще одного клиента. Проверил, все подключается и все здорово. Через некоторое время, настала пора воспользоваться OpenVPN, клиент звонит, я ему говорю сделайте коннект OpenVPN и ничего не получается. Точнее я вижу в логе сервера, что он подключается, но он подключается через совсем другой порт, чем я указал в конфиге. Вместо порта 5000, выдает какой-то порт 63460. Естественно соединения нет. При том, что после удачного коннекта, ничего не меняли, не я на сервере, не тем более он.

Первая мысль, что может это из-за того, что в это время другой клиент подсоединился, у которого все нормально. Но мозгом понимаю, что нет, да и я сам из дома неоднократно подключался, когда был подключен другой клиент.

Конфиги вот тут (http://forum.ixbt.com/topic.cgi?id=14:40906:196#196) , только за минусом строчки "route 10.9.0.0 255.255.255.0" для сервера

264. satona, 08.06.2007 10:43
Блин настроил OpenVPN вроде все работает но если перегрузить сервер VPN тоесть не перезапустить сам OpenVPN а именно перегрузить комп серверный и при этом клиент оставить на связи, то потом после перезагрузки и запуска OpenVPN сервера происходит опять переподключение клиента все конектиться но потом сервер с клиента не пингуеться 10.8.0.1 и не помогает перезапуск клиента, помогает только если отключить клиента и сервер а потом заново подключить их. Что делать?

265. andrew_senik, 08.06.2007 12:59
to vinni

Вообщем получилось вот так:
я вижу с внутренней подсети за ВПН-сервером - ВПН клиент по внутреннему IP
то есть с 192.168.1.5 - вижу 192.168.2.1
и наоборот с 192.168.2.60 - вижу 192.168.1.1

то есть ISA пускает пакеты из подсети в подсеть.

но я не вижу сети за ВПН-шлюзами!

вот route print c ВПН-сервера:
код:

Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 ff 13 23 4e 2c ...... TAP-Win32 Adapter V8
0x10004 ...00 a0 c5 30 4f d6 ...... ZyXEL OMNI LAN PCI G1 1000Base-T Adapter
0x10005 ...00 0f fe 4a 55 d5 ...... Intel(R) 82566DM Gigabit Network Connection
0x20006 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 85.172.170.1 85.172.170.200 1
10.0.0.0 255.255.255.0 10.0.0.1 10.0.0.1 30
10.0.0.1 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.0.0.1 10.0.0.1 30
85.172.170.1 255.255.255.255 85.172.170.200 85.172.170.200 1
85.172.170.200 255.255.255.255 127.0.0.1 127.0.0.1 50
85.255.255.255 255.255.255.255 85.172.170.200 85.172.170.200 50
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.1 192.168.1.1 10
192.168.1.1 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.1.255 255.255.255.255 192.168.1.1 192.168.1.1 10
192.168.2.0 255.255.255.0 10.0.0.2 10.0.0.1 1
224.0.0.0 240.0.0.0 10.0.0.1 10.0.0.1 30
224.0.0.0 240.0.0.0 192.168.1.1 192.168.1.1 10
224.0.0.0 240.0.0.0 85.172.170.200 85.172.170.200 1
255.255.255.255 255.255.255.255 10.0.0.1 10.0.0.1 1
255.255.255.255 255.255.255.255 85.172.170.200 85.172.170.200 1
255.255.255.255 255.255.255.255 192.168.1.1 192.168.1.1 1
255.255.255.255 255.255.255.255 192.168.1.1 10004 1
Основной шлюз: 85.172.170.1
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
192.168.2.0 255.255.255.0 10.0.0.2 1




route print с ВПН-клиента
код:

===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 ff bd 1e dc 22 ...... TAP-Win32 Adapter V8
0x4000004 ...00 13 21 fc b4 aa ...... HP NC7761 Gigabit Server Adapter
0x5000005 ...00 a0 c5 30 55 0e ...... ZyXEL GN650 1000Base-T Adapter

===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 212.38.104.81 212.38.104.82 1
10.0.0.0 255.255.255.0 10.0.0.2 10.0.0.2 1
10.0.0.2 255.255.255.255 127.0.0.1 127.0.0.1 1
10.255.255.255 255.255.255.255 10.0.0.2 10.0.0.2 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 10.0.0.1 10.0.0.2 1
192.168.2.0 255.255.255.0 192.168.2.1 192.168.2.1 1
192.168.2.1 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.2.255 255.255.255.255 192.168.2.1 192.168.2.1 1
212.38.104.80 255.255.255.252 212.38.104.82 212.38.104.82 1
212.38.104.82 255.255.255.255 127.0.0.1 127.0.0.1 1
212.38.104.255 255.255.255.255 212.38.104.82 212.38.104.82 1
224.0.0.0 224.0.0.0 10.0.0.2 10.0.0.2 1
224.0.0.0 224.0.0.0 192.168.2.1 192.168.2.1 1
224.0.0.0 224.0.0.0 212.38.104.82 212.38.104.82 1
255.255.255.255 255.255.255.255 10.0.0.2 10.0.0.2 1
Default Gateway: 212.38.104.81
===========================================================================
Persistent Routes:
None

Добавление от 08.06.2007 14:48:

УРА! заработало!
Ethereal'ом ловил пакеты на ВПН-гейтах. Выяснилось что пакеты дальше ВПН-гейта на другом конце не идут
ТО есть: откуда венда знает че делать с пакетом который предназначен для например 192.168.1.36, который пришол через интерфейс 10.0.0.1?
А это значет что нужно добавить маршрут!

Проблему решил добавлением маршрута на сервере

код:

route -p add 10.0.0.0 mask 255.255.255.0 192.168.1.1


и на клиенте соответсвенно
код:

route -p add 10.0.0.0 mask 255.255.255.0 192.168.2.1


теперь вопрос, как заставить OpenVPN добавлять самому такие маршруты?

266. 100_let, 10.06.2007 05:37
Разрешите неумный вопрос

какими средствами лучше организовывать Firewall на WinXP c OpenVPN?
(шлюз с OpenVPN во внешнюю сеть чем закрыть?) -если ОС -WinXP


и работает ли OpenVPN сервер на WinXP Home или только - WinXP Pro ?

267. begemmmot, 10.06.2007 19:24
Уважаемый vinni
Хочу попросить вашей помощи. У меня на FreeBSD сервер OpenVPN, на Винде ХП клиент.
После загрузки Винды на клиенте через MUI подклчаюсь к серверу в результате пишет что устройство TAP-Win32 занято.
Пока не отключу и не включу его в сетевых подключениях, оно норамально не заработает и так каждый раз при загрузке системы.
Как с этим бороться?
Как вообще организовать при необходимости автоматичекое подключение клиента при старте системы (нужно учесть что есть еще и ВПН провайдера, через который и должен работать этот ВПН на OpenVPN).

Лог клиента:
Sun Jun 10 18:17:12 2007 CreateFile failed on TAP device: \\.\Global\{5A7F6205-51A1-4F3C-A6BD-A692D763D579}.tap
Sun Jun 10 18:17:12 2007 All TAP-Win32 adapters on this system are currently in use.
Sun Jun 10 18:17:12 2007 Exiting

268. mikas, 19.06.2007 10:59
Как сделать более изящно, чтобы клиенты периодически начинали соединение. Т.е. у меня OpenVPN сервер включается только по необходимости, но нужно чтобы после включения клиенты автоматом минут за 10 соединялись с ним.

269. Amir, 19.06.2007 20:56
Такой вопрос, есть компьютер, на котором уже есть настроенное соединение через OpenVpn с сервером в сети. Как сделать, что бы этот компьютер также соединялся по Vpn с другим OpenVpn сервером? Как в конфигах указать два подключения?

270. mikas, 20.06.2007 04:14
Amir
Поставить еще один виртуальный адаптер (C:\OpenVPN\bin\addtap.bat)
Создать еще одну конфигурацию. В обоих конфигурация привязать настройки к опред адаптеру.
См. параметры.
--dev tunX
--dev-type device-type

Добавление от 20.06.2007 05:14:

еще посмотри --dev-node

271. Amir, 20.06.2007 09:22
Что то я не понял, у меня в папке C:\Program Files\OpenVPN\config есть файл "client.ovpn" мне надо будет в этом же файле "client.ovpn" написать вторую конфигурацию. Я правильно понял? То есть надо будет в начале каждого конфига написать например:
dev tun1
dev-type 1
затем конфиг соединения которое уже установлено, затем
dev tun2
dev-type 2
конфиг соединения которое нужно мне.

272. mikas, 20.06.2007 10:56
Amir
не правильно понял. Каждый файл - одно соединение.
и еще ключи нужно для каждого соединения.
посмотри сдесь, там расписал Gvan хоршо твой пример http://www.wincity.ru/index.php?showtopic=13180
в каждом конф файле по строке dev-node XXXX (dev tun1 dev-type 1 НЕПРАВИЛЬНО)? где заместо ХХХХХ ты пишешь имя подключения (можно посмотреть\изменить в панель управления - сетевые подключения).

273. vinni, 21.06.2007 01:21
Всем привет.

terab
а как можно запретить подключаться пользователям , у которых ip-адрес на адаптере openvpn прописан вручную?
Не пробовал с этим химичить и вроде штатных команд не видел.


SBubba
он подключается, но он подключается через совсем другой порт, чем я указал в конфиге. Вместо порта 5000, выдает какой-то порт 63460
Вероятнее всего клиент "сидит" за NAT-ом, вот трафик и приходит с внешнего NAT-порта.
Как минимум, уберите на сервере команду rport 5000.
А лучше оставьте на сервере только port 5000, а на клиентах вообще уберите все команды port и указывайте remote x.x.x.x 5000


satona
keepalive, ping*, читать на первой странице темы


andrew_senik
теперь вопрос, как заставить OpenVPN добавлять самому такие маршруты?
Сорри, вглубь пока не вник, но на процитированный вопрос есть элементарный ответ - команда route, читать на первой странице темы и в документации.


100_let
Выбирайте фильтр, который Вам по душе.
Задача не совсем понятна.
Для простой пакетной фильтрации подойдёт
Бесплатный монитор (включая процесс) и фильтр IP-пакетов (IP, TCP, UDP, ICMP, ICQ, по содержимому пакета (ZIP, RAR, MP3, AVI, EXE, PNG), ограничение скорости) для x86/x64 - вер.2.5 (http://forum.ixbt.com/topic.cgi?id=7:22564)
На XP Home вроде тоже работает, точно не помню, но я на своём ноуте в его первой инкарнации вроде и сервер настраивал. Собственно, для OpenVPN-а невелика разница между клиентом и сервером


begemmmot
Как вообще организовать при необходимости автоматичекое подключение клиента при старте системы
Включить сервис OpenVPNservice, который штатно ставится при установке. Это просто "пускач", который запустит openvpn.exe с каждым из найденных конфиг-ов в папке по умолчанию.
Ну или через tasks "при старте системы".
Собственно, может у Вас сервис и включен и он и занимает TAP-адаптер?
Ну или, если не сможете разобраться, то "на худой конец" просто добавьте ещё 1 адаптер:
"c:\Program Files\OpenVPN\bin\addtap.bat"


mikas
Как сделать более изящно, чтобы клиенты периодически начинали соединение. Т.е. у меня OpenVPN сервер включается только по необходимости, но нужно чтобы после включения клиенты автоматом минут за 10 соединялись с ним.
Так он ведь и так стоит в бесконечном цикле попыток установить связь... Или Вам нужно какое-то особое "изящество"?
Единственное, если у Вас сервер указан FQDN-ом, то можно ещё добавить resolv-retry infinite


Amir
По сути mikas прав - для каждого соединения создайте как минимум свой *.ovpn файл. Ключи и сертификаты могут, в принципе, быть одни и те же, если и на серверах используются одни и теже ключи. Кол-во TAP-адаптеров должно быть >= кол-ву одновременных соединений, если Вы ничего не настраиваете в привязке к конкретному интерфейсу, то можно в конфигах и не указывать конкретное имя интерфейса, исключениями из этого правила являются:
- адаптер, объединённый в мост
- интерфейс, в настройках которого есть особенности (заданные вручную IP-адреса и/или иные параметры)
- настройки фаерволов и/или фильтров на конкретные интерфейсы
- желание всегда знать какой интерфейс используется для какого тунеля
Писать так:
dev tun или dev tap
dev-node Имя_интерфейса_в_Сетевых_подключениях (лучше использовать имя латиницей и без пробелов, не уверен воспримет ли он здесь пробелы (может "закавычить имя с пробелами"?) и кириллицу и не было даже и желания пробовать )

274. omihaz, 21.06.2007 01:25
vinni
Большое тебе спасибо за помощь! Очень рад, что есть такие хорошие и добрые люди как ты!

C VPN все получилось. Дело в NATе было, как ты и сказал. Очень тебе признателен за помощь.

275. vinni, 21.06.2007 01:29
omihaz, пожалуйста.

276. SBubba, 21.06.2007 06:47
vinni
Спасибо, попробую. Видимо действительно у него на DSL-модем NAT поднят. Кстати вопрос в догонку, почему иногда он соединяет по другому порту? У меня была такая ситуация пару раз. Клиент, провернный все отлажено, но вдруг в логе вижу что он соединился по порту 10001. И у меня пару раз так было, когда я из дома подсоединялся, на работу пришел, в логе другой порт, хотя соединение было.

277. vinni, 21.06.2007 12:35
SBubba
Вы в курсе что в TCP/"UDP"-соединениях 2 порта, src и dst? А в случае NAT-ов ещё может быть +1 на каждом NAT-е. Ну и о каком порте Вы говорите?

278. Aik, 21.06.2007 15:29
Есть два офиса, надо соединить туннелем - дать сети второго офиса доступ в первый (наоборот не обязательно).
Первый - внутренняя сеть 10.0.0.0/24, шлюз 10.0.0.1, реальный IP 1.2.3.4
Второй - внутренняя сеть 10.0.3.0/24, шлюз 10.0.3.1, реальный IP 5.6.7.8

Конфиг сервера (первый офис):

dev tun
proto tcp-server
ifconfig 10.8.0.1 10.8.0.2
secret static.key

Конфиг клиента (второй офис):

remote 1.2.3.4
route 10.0.0.0 255.255.255.0
dev tun
proto tcp-client
ifconfig 10.8.0.2 10.8.0.1
secret static.key

VPN поднимаю командой "openvpn --config config", поднимается нормально, сервер пингует клиента, клиент пингует сервера и всю его подсеть. Но машины из сети второго офиса не могут добраться в сеть первого офиса. В чем проблема? Файрволл пока погашен, только НАТ настроен для выхода второго офиса в инет - iptables -t nat -A POSTROUTING -s 10.0.3.0/24 -j SNAT -o eth0 --to-source 5.6.7.8

Таблица маршрутизации с клиента:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.8.0.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
5.6.7.208 0.0.0.0 255.255.255.240 U 0 0 0 eth0
10.0.0.0 10.8.0.1 255.255.255.0 UG 0 0 0 tun0
10.0.3.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 5.6.7.209 0.0.0.0 UG 0 0 0 eth0

eth1 - внутренняя сеть, eth0 - инет, tun0 - созданный туннель.
Когда пингую с компьютера вторго офиса 10.8.0.1 - не пингуется. 10.8.0.2 - пингуется.
Если верить tcpdump'у, то ICMP-пакеты при попытке пропинговать 10.8.0.2 приходят по eth1 и куда-то пропадают, ни на eth0, ни на tun0 не попадают.

ЧТо еще можно попробовать?

279. vinni, 21.06.2007 18:21
Aik
Надо и первому серверу тоже дать маршрут на удалённую сеть:
route 10.0.3.0 255.255.255.0

Когда пингую с компьютера вторго офиса 10.8.0.1 - не пингуется. 10.8.0.2 - пингуется.
Если верить tcpdump'у, то ICMP-пакеты при попытке пропинговать 10.8.0.2 приходят по eth1 и куда-то пропадают, ни на eth0, ни на tun0 не попадают.

Это Вы уже с iptables разбирайтесь.

280. Aik, 21.06.2007 18:32
vinni
Это Вы уже с iptables разбирайтесь.

Если бы все так просто было... :(
То, что я привел - единственное правило.
Пробовал еще вешать на tun0 полный ACCEPT всего (in, out, forward) - не помогло.

281. SBubba, 22.06.2007 07:16
vinni - я о том порте, который в логе сервера отображается, это какой из четырех?

Вот пример из лога.
Thu Jun 21 17:31:35 2007 х.х.х.х:10092 Re-using SSL/TLS context

282. Aik, 22.06.2007 08:14
vinni
Надо и первому серверу тоже дать маршрут на удалённую сеть:
route 10.0.3.0 255.255.255.0


Это помогло, обе сети друг друга видят. Спасибо.

283. vinni, 22.06.2007 10:28
SBubba
Thu Jun 21 17:31:35 2007 х.х.х.х:10092 Re-using SSL/TLS context
Сервер принял пакет от указанного адреса:порта, скорее всего это внешний адрес:порт NAT-транслятора.

284. mikas, 22.06.2007 11:18
vinni
Сейчас клиент по умолчанию пытается каждые 5 сек установить соединение, я хочу чтобы он это делал каждые 10 минут. Keepalive это делает?
Я не хочу, чтобы процесс openvpn попусту грузил систему.

285. borispr, 22.06.2007 12:26
mikas, а что мешает держать сервер постоянно включенным? Клиенты к нему законектятся, но передавать будут только по необходимости

286. mikas, 25.06.2007 03:21
borispr
именно нужно не держать подключенным!

287. islink, 25.06.2007 13:05
кто-нибудь пробовал делать авторизацию клиентов по логину и паролю под Windows?

пожалуйста, приведите пример конфигурации сервера и клиента

288. vinni, 25.06.2007 14:38
islink
Я не пробовал и пока такого функционала в openvpn не припомню.

mikas
Возможности установки канала по требованию я у openvpn не видел. Keepalive позволит держать клиента в режиме постоянной связи или бесконечных попыток установки связи.
Если Вам нужен режим по требованию (или по Вашему расписанию), то придётся это делать внешними средствами, запуская OpenVPN с ком.строки.

289. islink, 25.06.2007 16:02
vinni
такая функция у openvpn есть, только инструкцию видел для linux и то не полные...

290. borispr, 25.06.2007 18:07
некоторый полуофф
недавно ставил Fedora 7 - в нее уже включили OpenVPN в виде RPM-а
Был приятно порадован этим фактом, ибо давно уже во многих местах использую OpenVPN.

Добавление от 25.06.2007 18:24:

цитата:
islink:
кто-нибудь пробовал делать авторизацию клиентов по логину и паролю под Windows?

пожалуйста, приведите пример конфигурации сервера и клиента

http://openvpn.net/howto.html#auth
И в этой теме на 4 странице касались данного вопроса.
Насколько я помню смысл в том, что нужно, чтобы выполнялась программа/скрипт, которая проверяла логин/пароль и возвращала код завершения программы 0.
На клиентской стороне стартовать OVPN надо руками, чтобы при запросе логина-пароля было кому их вводить.

291. glac, 26.06.2007 01:15
Здравствуйте!
У меня небольшая проблема:
Я настроил openVPN на сервере и поставил у себя клинета openvpn tunel (http://www.tunnelblick.net/), выход в интернет идет через роутер. Когда запускаю подключение то все прохдит гладко но почему роутер присваивает openvpn еще один адрес а браузер ка кработал так и работает через старый ip присовенный ранее.
ТЕ
был ip у компутера 192.168.0.6
а при запске openvpn добавляеться на машине еше один аздрес 192.168.0.7

а мой мак как ходил так и ходит через 0.6
ps IP назначаются роутером автоматически.
как поправит где исправит если можно пошагово.

dev tap
comp-lzo
comp-noadapt
#user nobody
#group nobody
client
verb 5
proto udp
remote [IP server]
rport 8000
#log-append /var/log/openvpn.log
tun-mtu 1500
mssfix
fragment 1400
persist-key
persist-tun
#auth-user-pass
#writepid /var/run/openvpn.pid
ca /Users/путь/ca.crt
dh /Users/путь/dh1024.pem
cert /Users/путь/client.crt
key /Users/путь/client.key

За ранее большое спасибо за ответы.

292. vinni, 26.06.2007 02:54
islink
такая функция у openvpn есть, только инструкцию видел для linux и то не полные...
Может я не правильно понял? Мне по первому прочтению показалось "авторизацию клиентов по логину и паролю Windows", то есть что-то типа NTLM-аутентификация. Такого, ИМХО, нет.
А вот сейчас заметил, что Вы спрашиваете под Windows.

Есть аутентификация клиента по логину/паролю, который клиент вводит вручную (вообще предусмотрена опция задания пароля с помощью файла, но в тех компиляциях, которые есть на сайте это специально выключено).
auth-user-pass [up]
Authenticate with server using username/password. up is a file containing username/password on 2 lines (Note: OpenVPN will only read passwords from a file if it has been built with the --enable-password-save configure option, or on Windows by defining ENABLE_PASSWORD_SAVE in config-win32.h).

OpenVPN-сервер проверяет логин/пароль внешним скриптом:
auth-user-pass-verify script method

С этим способом я возился немного, скрипт писал совсем простой, тестовый. В итоге я решил что мне это не нужно (т.к. не может стартовать автономно) и отложил. Но в тестах у меня работало.

Кроме того, есть ещё возможность на стороне клиента закрыть секретный ключ (*.key или *.p12) паролем, в этом варианте OpenVPN-клиент запрашивает пароль для дешифрации ключа. К серверу этот пароль никакого отношения не имеет и ему не передаётся, кроме того клиент может сам снять или изменить этот пароль. Есть также команда задания этого пароля в файле, но она тоже отключена:
askpass [file]
(Note: OpenVPN will only read passwords from a file if it has been built with the --enable-password-save configure option, or on Windows by defining ENABLE_PASSWORD_SAVE in config-win32.h).
Эти пароли на ключи я пробовал - проблем нет, работают.

Добавление от 26.06.2007 03:02:

glac
Приведенного конфига недостаточно. Нужен ещё и конфиг сервера, желательно и route с сервера и клиента.
Но если я Вас понял правильно, то Вам надо изучить команду redirect-gateway

был ip у компутера 192.168.0.6
а при запске openvpn добавляеться на машине еше один адрес 192.168.0.7

Что-то тут кривизной пахнет...

293. islink, 26.06.2007 11:02
vinni
скрипт я нашел в исходниках, поставил перл, теперь под любым логином и паролем не пускает опенВПН.
только не понимаю куда прописывать логин и пароль юзера для авторизации через auth-user-pass

294. vinni, 26.06.2007 11:28
islink
На клиенте логин и пароль вводятся руками (если не ... см.выше)
На сервере - см. в описании того скрипта, который Вы используете.

295. islink, 26.06.2007 12:27
vinni
на клиенте, настроил
на сервере, нужно чтоб логин и пароль брался из обычного файла без всяких шифрований , типа md5
пример скрипта

#!/usr/bin/perl -t

use Authen: AM;
use POSIX;

# This "conversation function" will pass
# $password to PAM when it asks for it.

sub my_conv_func {
my @res;
while ( @_ ) {
my $code = shift;
my $msg = shift;
my $ans = "";

$ans = $password if $msg =~ /[Pp]assword/;

push @res, (PAM_SUCCESS(),$ans);
}
push @res, PAM_SUCCESS();
return @res;
}

# Identify service type to PAM
$service = "login";

# Get username/password from file

if ($ARG = shift @ARGV) {
if (!open (UPFILE, "<$ARG")) {
print "Could not open username/password file: $ARG\n";
exit 1;
}
} else {
print "No username/password file specified on command line\n";
exit 1;
}

$username = <UPFILE>;
$password = <UPFILE>;

if (!$username || !$password) {
print "Username/password not found in file: $ARG\n";
exit 1;
}

chomp $username;
chomp $password;

close (UPFILE);

# Initialize PAM object

if (!ref($pamh = new Authen: AM($service, $username, \&my_conv_func))) {
print "Authen: AM init failed\n";
exit 1;
}

# Authenticate with PAM

$res = $pamh->pam_authenticate;

# Return success or failure

if ($res == PAM_SUCCESS()) {
exit 0;
} else {
print "Auth '$username' failed, PAM said: ", $pamh->pam_strerror($res), "\n";
exit 1;
}

296. vinni, 26.06.2007 12:51
islink
Или читайте описание к этому скрипту или изучайте сам скрипт:
# Get username/password from file
if ($ARG = shift @ARGV) {
if (!open (UPFILE, "<$ARG"))...
Судя по беглому взгляду на этот код имя файла с логинами/паролями передаётся аргументом

297. islink, 26.06.2007 13:01
vinni
а где можно найти готовый скрипт чтоб логин и пароль брался из обычного файла без всяких шифрований , типа md5 ?

298. vinni, 26.06.2007 14:44
islink
Не интересовался. Но в принципе можно написать и самому.

299. islink, 26.06.2007 15:09
vinni
к сожаление в перле познаний нет

300. vinni, 26.06.2007 15:19
islink
VBscript'а хватит. Если не маньячить на тему универсальности, то можно уложиться в 10-20 строк. Если будет время - подумаю, но не сегодня

301. Молния, 26.06.2007 22:14
Появилась такая проблема - каждые 20 (ровно) минут все клиенты стали отваливаться и переподключаться. Причем где то после 10 переподключений вообще не могут подключиться, пока сервис Open VPN не перезапустишь на серваке.
Убрал у сервера keepalive 60 200, не помогло.

Клиент

dev tap
dev-node "хххххх"
tls-client
float
remote хххххх
ifconfig 10.1.1.7 255.255.255.0
ping 60
ping-restart 600
rport 1194
lport 1195
comp-lzo

сервер

dev tap
proto udp
port 1194
client-to-client
server 10.1.1.0 255.255.255.0
comp-lzo
verb 3
mute 5

302. vinni, 26.06.2007 22:54
Молния
А что в логах сервера и клиента во время невозможности переподключения? Если там нет ничего интересного - увеличьте параметр verb

Добавление от 27.06.2007 05:57:

islink
Вот скрипт аутентификации auth.vbs. Использование:

В конфиге клиента указать:
auth-user-pass

В конфиге сервера указать:
auth-user-pass-verify "auth.vbs" via-file
У процесса openvpn.exe должно хватать прав для создания временного файла в текущем каталоге, скорее всего это будет "c:\Program Files\OpenVPN\config"

Вероятнее всего там же, в "c:\Program Files\OpenVPN\config" надо положить файл users.pw (если не там или иное имя - изменить это в скрипте). Файл состоит из требуемого количества пар строк:
имя
пароль
Между этими парами пустые строки (именно абсолютно пустые) игнорируются. Например:

код:
user01
pass01
user02
pass02

TEST-client01
1

example_of_user_with_blank_password

user03
pass03

Вот сам скрипт auth.vbs:
код:
'VBscript auth.vbs для аутентификации в OpenVPN - auth-user-pass-verify auth.vbs via-file
'(c) 2007 vinni http://forum.ixbt.com/users.cgi?id=info:vinni
'Support: http://forum.ixbt.com/topic.cgi?id=14:40906#1

' в скрипте производится сравнение имени пользователя без учёта регистра.
' Если нужно иначе - уберите UCase(...) в 2 или 4 местах

On Error Resume Next

' открываем файл, имя которого передано OpenVPN-ом в скрипт через параметр
Set fso = CreateObject("scripting.filesystemobject")
Set CurrentUserPasswordFile = fso.OpenTextFile(WScript.Arguments(0),1) '1 = for reading
if Err.Number<>0 Then WScript.Quit(1)

' читаем из этого файла 2 строки - имя и пароль, которые ввёл пользователь "на том конце"
if CurrentUserPasswordFile.AtEndOfStream then WScript.Quit(1)
UserName=CurrentUserPasswordFile.ReadLine
if CurrentUserPasswordFile.AtEndOfStream then WScript.Quit(1)
Password=CurrentUserPasswordFile.ReadLine
CurrentUserPasswordFile.Close

' открываем переменную окружения common_name (это CN предъявленного клиентом сертификата)
' и сравниваем её с введенным именем пользователя.
' если это сравнение не нужно, то следующие 2 строки удалить или закомменировать
CurrentCommonName = CreateObject("Wscript.Shell").ExpandEnvironmentStrings("%common_name%")
if UCase(CurrentCommonName) <> UCase(UserName) then WScript.Quit(1)

' открываем наш файл с базой логинов и паролей
' по умолчанию это Users.pw в текущем каталоге
Set UserPasswordFileBase = fso.OpenTextFile("Users.pw",1) '1 = for reading
if Err.Number<>0 Then WScript.Quit(1)

' читаем в цикле пары строк, пропуская пустые МЕЖДУ ЭТИМИ ПАРАМИ,
' и сравниваем их с тем, что ввёл пользователь.
Do while not(UserPasswordFileBase.AtEndOfStream)
NextUserName=UserPasswordFileBase.ReadLine
if Err.Number<>0 Then WScript.Quit(1)
if NextUserName<>"" then
' если имя пользователя надо сравнивать с учётом регистра, то удалите здесь UCase(...)
if UCase(UserName)=UCase(NextUserName) then
if Password=UserPasswordFileBase.ReadLine then
' если имя и пароль совпали с парой из базы, то завершаем скрипт с результатом 0
' так нужно для OpenVPN'a, это признак успешной аутентификации
UserPasswordFileBase.Close
WScript.Quit(0)
end if
else
UserPasswordFileBase.ReadLine
end if
end if
Loop

' если поиск завершился безуспешно, то завершаем скрипт с результатом 1
' так нужно для OpenVPN'a, это признак НЕуспешной аутентификации
UserPasswordFileBase.Close
WScript.Quit(1)

303. Молния, 27.06.2007 11:39
Сделал verb 7. Пока не упала.
Помню что во вчерашних логах была какя то ошибка сокета

Добавление от 27.06.2007 12:05:

А еще сервер стал регулярно ругаться что не может получить доступ к лог файлу. Хотя этот лог файл открыт для полного доступа

Добавление от 27.06.2007 12:40:

Wed Jun 27 13:33:12 2007 us=808870 NOTE: --mute triggered...
Wed Jun 27 13:33:12 2007 us=808930 5 variation(s) on previous 5 message(s) suppressed by --mute
Wed Jun 27 13:33:12 2007 us=808954 TCP/UDP: Closing socket
Wed Jun 27 13:33:12 2007 us=809095 PID packet_id_free
Wed Jun 27 13:33:12 2007 us=809141 MULTI: REAP range 0 -> 256
Wed Jun 27 13:33:12 2007 us=809160 MULTI: REAP DEL 00:ff:14:0d:f0:1b
Wed Jun 27 13:33:12 2007 us=809181 MULTI: REAP DEL 00:ff:4f:e4:fa:30
Wed Jun 27 13:33:12 2007 us=809202 MULTI: REAP DEL 00:ff:01:9e:fb:cf
Wed Jun 27 13:33:12 2007 us=809439 TCP/UDP: Closing socket
Wed Jun 27 13:33:12 2007 us=809568 Closing TUN/TAP interface
Wed Jun 27 13:33:12 2007 us=809600 Attempting CancelIO on TAP-Win32 adapter
Wed Jun 27 13:33:12 2007 us=821241 Attempting close of overlapped read event on TAP-Win32 adapter
Wed Jun 27 13:33:12 2007 us=821274 Attempting close of overlapped write event on TAP-Win32 adapter
Wed Jun 27 13:33:12 2007 us=821291 Attempting CloseHandle on TAP-Win32 adapter
Wed Jun 27 13:33:12 2007 us=821411 PID packet_id_free
Wed Jun 27 13:33:12 2007 us=821441 SIGTERM[hard,] received, process exiting
Wed Jun 27 13:33:12 2007 us=822188 Closing Win32 semaphore 'openvpn_netcmd'

вот последний кусок лога. Перелал на proto tcp , нечего не изменилось

304. islink, 27.06.2007 12:42
vinni
да, все работает, спасибо большое, с меня пиво!

305. Star Lammer, 27.06.2007 12:53
vinni
Странная ситуация, на клиенте после разрыва соединения с инетом (adsl маршрутизатор в режиме роутера, после разрыва и поднятия pppoe получает новый ip) клиент не может соединиться с сервером. Помогает только перезагрузка клиента (перезапуск сервиса не помогает).

Лог клиента
код:
Wed Jun 27 12:38:26 2007 [host1] Inactivity timeout (--ping-restart), restarting
Wed Jun 27 12:38:26 2007 SIGUSR1[soft,ping-restart] received, process restarting
Wed Jun 27 12:38:28 2007 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Wed Jun 27 12:38:28 2007 WARNING: No server certificate verification method has been enabled. See [url=http://openvpn.net/howto.html#mitm]http://openvpn.net/howto.html#mitm[/url] for more info.
Wed Jun 27 12:38:28 2007 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Wed Jun 27 12:38:28 2007 LZO compression initialized
Wed Jun 27 12:38:28 2007 UDPv4 link local (bound): [undef]:1194
Wed Jun 27 12:38:28 2007 UDPv4 link remote: 215.55.215.10:53535
Wed Jun 27 12:39:28 2007 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Jun 27 12:39:28 2007 TLS Error: TLS handshake failed
Wed Jun 27 12:39:28 2007 SIGUSR1[soft,tls-error] received, process restarting
Wed Jun 27 12:39:30 2007 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Wed Jun 27 12:39:30 2007 WARNING: No server certificate verification method has been enabled. See [url=http://openvpn.net/howto.html#mitm]http://openvpn.net/howto.html#mitm[/url] for more info.


Конфиг клиента
код:
remote host1 53535
;remote-cert-tls server
ca ca.crt
cert client1.crt
key client1.key
tls-auth ta.key 1
dev tun
client
dev tun
comp-lzo
float


Конфиг сервера
код:

ca ca.crt
cert host1.crt
key host1.key
tls-auth ta.key 0
dh dh1024.pem
port 53535
comp-lzo
dev tun
keepalive 30 180
server 10.88.88.0 255.255.255.248
client-config-dir cc


Лог сервера
код:

Wed Jun 27 12:24:35 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Wed Jun 27 12:24:35 2007 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Wed Jun 27 12:24:35 2007 TAP-WIN32 device [OVPN] opened: \\.\Global\{FF222817-D61B-459D-AFA1-DC8E7864B965}.tap
Wed Jun 27 12:24:35 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.88.88.1/255.255.255.252 on interface {FF222817-D61B-459D-AFA1-DC8E7864B965} [DHCP-serv: 10.88.88.2, lease-time: 31536000]
Wed Jun 27 12:24:35 2007 Sleeping for 10 seconds...
Wed Jun 27 12:24:45 2007 NOTE: FlushIpNetTable failed on interface [65540] {FF222817-D61B-459D-AFA1-DC8E7864B965} (status=259) : No more data is available.
Wed Jun 27 12:24:45 2007 UDPv4 link local (bound): [undef]:53535
Wed Jun 27 12:24:45 2007 UDPv4 link remote: [undef]
Wed Jun 27 12:24:45 2007 Initialization Sequence Completed
Wed Jun 27 12:26:10 2007 83.237.65.11:1194 Re-using SSL/TLS context
Wed Jun 27 12:26:10 2007 83.237.65.11:1194 LZO compression initialized
Wed Jun 27 12:26:11 2007 83.237.65.11:1194 [client1] Peer Connection Initiated with 83.237.65.11:1194
Wed Jun 27 12:39:37 2007 client1/83.237.65.11:1194 [client1] Inactivity timeout (--ping-restart), restarting


Т.е. клиент, судя по логу сервера, просто не может до него достучаться после реконнекта...

306. vinni, 27.06.2007 15:06
Молния
Пока ясности нет

Star Lammer
Команда float лично мне кажется должна быть в конфиге сервера, хотя в отсутствие remote в сервере (а у Вас сейчас именно так) эта опция и так включена.

А что в логе клиента? Push-команды выполнены? Keepalive (ping, ping-restart) отработал?

Кроме того, возможен ещё такой косяк (у меня он наблюдается на роутере с двумя интерфейсами - MAN + PPTP, у Вас не знаю связано с этим или нет) - в момент старта роутера или повторной установки PPTP после обвала VPN-подключения к домовому провайдеру наблюдается глюк. Если до подъёма PPTP начать пинговать внешний хост (например, ping www.ru -t) или слать другой похожий поток (то есть как раз OpenVPN-овский UDP-flow, но не TCP, т.к. сам ТСР не будет бездумно и бесконечно долбиться в глухую), то даже после подъёма PPTP на роутере трафик всё равно не идёт, то есть ping www.ru как не пинговался, так и не пингуется! Но если на этом же хосте параллельно запустить вторую сессию такого же ping www.ru, то в этой сессии пингуется! Объяснение я вижу только одно - роутер в момент начала потока (ICMP, UDP, etc) создаёт под него динамическое правило NAT через интерфейс MAN и даже после подъёма нового интерфейса РРТР тот старый поток он гонит через то же старое правило через тот же неверный MAN-интерфейс.
Теоретически в этой ситуации может помочь nobind на клиенте, по крайней мере после рестарта сессии по keepalive (ping-restart) он начнёт поток с нового динамического UDP-порта и NAT (если глюк именно в нём) сделает под него новое правило через новый интерфейс.

307. Star Lammer, 27.06.2007 16:15
vinni
Nobind помог. Проблема действительно в роутере (ASUS AM604G), и видимо только с UDP, ибо ICMP отрабатывает четко - при падении линка роутер отвечает "Destination unreachable" при поднятии пинг идет дальше в том же окне...

Полный ребут роутера точно так же помогает (в случае отстутсвия nobind).

308. SBubba, 28.06.2007 07:39
А подскажите такой вопрос, пропал пинг на адрес cервера 10.9.0.1, при том что соединения с VPN-клиентами есть и их адреса пингуются. Обнаружил это случайно, когда от клиента попытался для проверки подключится через RemoteDesktop. Когда пришел к себе, попробовал пинг прямо на машине, тоже не прохдит. Притом, что VPN-канал поднят и до клиента доступ есть. В чем может быть дело?

309. mikas, 28.06.2007 08:12
Иссякли мои силы бится в одиночку с маршрутизацией OpenVPN ((
Мне нужно видеть сеть за клиентом. Пост vinni для молнии читал. Все так же делаю - не выходит. ((
Моя локальная сеть: 172.16.32.0 255.255.255.128
Сеть локалки за клиентом OpenVPN: 172.16.67.0 255.255.255.128
Сеть создаваемая OpenVPN: 10.10.253.0 255.255.255.0
Топология - Подсеть, специально. Это только конфиг для одного подключения.
Да и заодно, может команды какие лишние имеются.

Конфиг сервера:
код:
dev-node "XXX"
dev tun
local XXXXX
mode server
topology subnet
port 80
server 10.10.253.0 255.255.255.0
comp-lzo
dh C:\\OpenVPN\\keys\\dh1024.pem
ca C:\\OpenVPN\\keys\\ca.crt
cert C:\\OpenVPN\\keys\\XXXX.crt
key C:\\OpenVPN\\keys\\XXXXX.key
persist-tun
persist-key
duplicate-cn
client-config-dir ccd
route 172.16.67.0 255.255.255.128 10.10.253.2
#tls-auth C:\\OpenVPN\\keys\\ta.key 0 (Нужен ЛИ???)
tun-mtu 1500
fragment 500
keepalive 10 120
mute 5
status C:\\OpenVPN\\log\\openvpn-status.log
log C:\\OpenVPN\\log\\openvpn.log
verb 3

Конфиг клиента:
код:
dev-node "XXXX"
dev tun
proto udp
remote XXXXXX 80
client
ns-cert-type server
ca C:\\OpenVPN\\keys\\ca.crt
cert C:\\OpenVPN\\keys\\XXX.crt
key C:\\OpenVPN\\keys\\XXX.key
#tls-auth C:\\OpenVPN\\keys\\ta.key 1
comp-lzo
tun-mtu 1500
fragment 500
keepalive 10 60
status C:\\OpenVPN\\log\\XXX-status.log
log C:\\OpenVPN\\log\\XXX.log
verb 3

Добавление от 28.06.2007 08:14:

Duplicate-cn осталось для тестовых нужд, т.к. я делал 2 подключения к одной машине с одними сертификатами но на разные порты и на разные ноды.

Добавление от 28.06.2007 08:15:

в каталоге ccd:

код:
iroute 172.16.67.0 255.255.255.128

Добавление от 28.06.2007 09:18:

Еще вопрос, нужен ли Tls-auth? я так понимаю и без него есть шифрование? как он грузит систему? сжимается ли после него трафик?

310. vinni, 28.06.2007 11:31
SBubba
Проверяйте route на сервере и клиентах, фаервол на сервере.


mikas
нужен ли Tls-auth? я так понимаю и без него есть шифрование? как он грузит систему? сжимается ли после него трафик?
По желанию. Это некая "цифровая подпись пакета" (добавляет примерно 20 байт), соотв. если пакет не имеет верной подписи, то OpenVPN выбрасывает его молча. Таким образом, порт сервера снаружи вообще себя никак не проявляет даже на явные "провокации".
Нагрузку на систему не смотрел.
Сжатие при TLS-auth не смотрел, но думаю, что эти механизмы независимы.

Конфиг клиента:
fragment 500
keepalive 10 60

Зачем такой маленький fragment? Наверное, работать должно, но эффективность упадёт. Или это по опыту?
keepalive - это серверная макрокоманда, на клиенте не нужна.

По сути:
1. Какие ОС-ы?
2. Сеть за клиентом OpenVPN знает маршруты на сети 172.16.32.0 и 10.10.253.0? Или этот "клиент" является основным шлюзом в "своей" сети?
3. Проверьте через route print, отрабатываются ли маршруты с обеих сторон? Если нет, проверяйте команды и/или пробуйте route-method exe

311. mikas, 28.06.2007 12:22
vinni
keepalive уберу. Добавить ping-restart?
Зачем такой маленький fragment? Наверное, работать должно, но эффективность упадёт. Или это по опыту?
на другой стороне dsl, естественно он отдает на более меньшей скорости. Поэтому маленький фрагмент - быстрее отдается. Опыт показывает что есть смысл, но можно конечно и 1000 поставить.
1. ОС - WinXP SP2. На "клиенте" включена маршрутизация (в реестре IPEnableRouter = 1)
2. Сеть за "клиентом" не знает, да это проблема. Получается нужно всем статику прописывать. "Клиент" не является основным шлюзом в "своей" сети.
3. с командой route что-то странное, в логах сервака ошибка, т.к. он запускает эту команду, до того как создаст подключение. Но в таблице на сервере она появляется (а должна ли исчезать после отключения openvpn? (в том числе аварийном), мне не хочется чтоб эти маршруты оставались.) На клиенте в логах про команду iroute нет ничего и в таблице не появляется.

Добавление от 28.06.2007 12:29:

Что точно могу сказать - udp работает быстрее tcp.
Опыт: У меня к "Клиенту" 2 vpn соедингения с разных нодов на разные ноды. Одна для удаленного управления во время отладки будущего vpn. Для управления я использую tcp (был готовый когфиг, его и заюзал, но он не оттточен).
2-й vpn - udp (его конфигу я представил) я периодически включаю, выключаю, т.к. изменяю конфиг.
Скорость проверял по обоим vpn. О скорости сужу по отрисовке экрана rdp.

312. vinni, 28.06.2007 12:34
mikas
Добавить ping-restart?
Нет, keepalive на сервере всё сделает сам - push "ping...", push "ping-restart..."

Поэтому маленький фрагмент - быстрее отдается
Очень странный вывод... А потери на лишние заголовки? Ну да ладно...

Сеть за "клиентом" не знает, да это проблема. Получается нужно всем статику прописывать.
Ясен пень!

с командой route что-то странное, в логах сервака ошибка, т.к. он запускает эту команду, до того как создаст подключение
Странно, может чего напутали? Попробуйте route-method exe

На клиенте в логах про команду iroute нет ничего и в таблице не появляется.
Она исполняется на сервере при подключении клиента. Более того, это внутренняя команда OpenVPN для внутренней маршрутизации ВНУТРИ OpenVPN-а.

Добавление от 28.06.2007 12:46:

mikas
Что точно могу сказать - udp работает быстрее tcp
Да, как минимум чуть больше заголовок + небольшие расходы и задержки на подтверждения пакетов.
Но есть и плюсы у tcp - например:
- multihomed OpenVPN-сервер
- иногда чуть стабильнее внутри L2-тунеля работают приложения с броадкастами, если есть глюки ниже средних на внешнем канале.

313. Молния, 28.06.2007 17:14
глюки с соединением пропали. сами. видимо у провайдера косяки были.
а по поводу доступа за VPN сеть надо на самом сервере VPN делать либо мост, либо общий доступ, либо NAT (все зависит от ОС).
только конфигами Open VPN не обойтись.

314. vinni, 28.06.2007 17:27
Молния
а по поводу доступа за VPN сеть надо на самом сервере VPN делать либо мост, либо общий доступ, либо NAT (все зависит от ОС).
только конфигами Open VPN не обойтись.


50% ереси без объяснения причин - не надо так делать.

В случае тунеля L3 достаточно конфигов OpenVPN и настроенной маршрутизации с 2-ух сторон.
Мост же нужен в случае тунеля L2 и необходимости доступа к Ethernet-сегменту (доступ по IP будет работать и без моста)
"Общий доступ", он же NAT, нужен или для упрощения настройки "одностороннего доступа" или если "та" сеть не хочет/не может сделать маршрутизацию в Вашу сеть.

315. Serg_K, 28.06.2007 17:28
почему возникает ошибка при добавлении маршрута в момент старта сервера?
код:

Thu Jun 28 16:37:44 2007 us=366593 Current Parameter Settings:
Thu Jun 28 16:37:44 2007 us=366802 config = 'server.ovpn'
Thu Jun 28 16:37:44 2007 us=366824 mode = 1
Thu Jun 28 16:37:44 2007 us=366840 show_ciphers = DISABLED
Thu Jun 28 16:37:44 2007 us=366856 show_digests = DISABLED
Thu Jun 28 16:37:44 2007 us=366872 show_engines = DISABLED
Thu Jun 28 16:37:44 2007 us=366888 genkey = DISABLED
Thu Jun 28 16:37:44 2007 us=366904 key_pass_file = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=366920 show_tls_ciphers = DISABLED
Thu Jun 28 16:37:44 2007 us=366935 proto = 0
Thu Jun 28 16:37:44 2007 us=366951 local = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=366966 remote_list = NULL
Thu Jun 28 16:37:44 2007 us=366983 remote_random = DISABLED
Thu Jun 28 16:37:44 2007 us=366999 local_port = 1194
Thu Jun 28 16:37:44 2007 us=367015 remote_port = 1194
Thu Jun 28 16:37:44 2007 us=367030 remote_float = DISABLED
Thu Jun 28 16:37:44 2007 us=367050 ipchange = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=367073 bind_local = ENABLED
Thu Jun 28 16:37:44 2007 us=367089 dev = 'tun'
Thu Jun 28 16:37:44 2007 us=367105 dev_type = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=367121 dev_node = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=367136 tun_ipv6 = DISABLED
Thu Jun 28 16:37:44 2007 us=367152 ifconfig_local = '10.1.5.1'
Thu Jun 28 16:37:44 2007 us=367169 ifconfig_remote_netmask = '10.1.5.2'
Thu Jun 28 16:37:44 2007 us=367185 ifconfig_noexec = DISABLED
Thu Jun 28 16:37:44 2007 us=367201 ifconfig_nowarn = DISABLED
Thu Jun 28 16:37:44 2007 us=367217 shaper = 0
Thu Jun 28 16:37:44 2007 us=367233 tun_mtu = 1500
Thu Jun 28 16:37:44 2007 us=367249 tun_mtu_defined = ENABLED
Thu Jun 28 16:37:44 2007 us=367265 link_mtu = 1500
Thu Jun 28 16:37:44 2007 us=367281 link_mtu_defined = DISABLED
Thu Jun 28 16:37:44 2007 us=367297 tun_mtu_extra = 0
Thu Jun 28 16:37:44 2007 us=367313 tun_mtu_extra_defined = DISABLED
Thu Jun 28 16:37:44 2007 us=367329 fragment = 0
Thu Jun 28 16:37:44 2007 us=367345 mtu_discover_type = -1
Thu Jun 28 16:37:44 2007 us=367361 mtu_test = 0
Thu Jun 28 16:37:44 2007 us=367377 mlock = DISABLED
Thu Jun 28 16:37:44 2007 us=367393 keepalive_ping = 10
Thu Jun 28 16:37:44 2007 us=367409 keepalive_timeout = 120
Thu Jun 28 16:37:44 2007 us=367425 inactivity_timeout = 0
Thu Jun 28 16:37:44 2007 us=367441 ping_send_timeout = 10
Thu Jun 28 16:37:44 2007 us=367457 ping_rec_timeout = 240
Thu Jun 28 16:37:44 2007 us=367473 ping_rec_timeout_action = 2
Thu Jun 28 16:37:44 2007 us=367489 ping_timer_remote = DISABLED
Thu Jun 28 16:37:44 2007 us=367505 remap_sigusr1 = 0
Thu Jun 28 16:37:44 2007 us=367521 explicit_exit_notification = 0
Thu Jun 28 16:37:44 2007 us=367537 persist_tun = ENABLED
Thu Jun 28 16:37:44 2007 us=367553 persist_local_ip = DISABLED
Thu Jun 28 16:37:44 2007 us=367569 persist_remote_ip = DISABLED
Thu Jun 28 16:37:44 2007 us=367585 persist_key = ENABLED
Thu Jun 28 16:37:44 2007 us=367601 mssfix = 1450
Thu Jun 28 16:37:44 2007 us=367618 resolve_retry_seconds = 1000000000
Thu Jun 28 16:37:44 2007 us=367634 connect_retry_seconds = 5
Thu Jun 28 16:37:44 2007 us=367650 username = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=367665 groupname = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=367681 chroot_dir = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=367697 cd_dir = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=367712 writepid = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=367728 up_script = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=367744 down_script = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=367759 down_pre = DISABLED
Thu Jun 28 16:37:44 2007 us=367775 up_restart = DISABLED
Thu Jun 28 16:37:44 2007 us=367791 up_delay = DISABLED
Thu Jun 28 16:37:44 2007 us=367806 daemon = DISABLED
Thu Jun 28 16:37:44 2007 us=367822 inetd = 0
Thu Jun 28 16:37:44 2007 us=367837 log = DISABLED
Thu Jun 28 16:37:44 2007 us=367853 suppress_timestamps = DISABLED
Thu Jun 28 16:37:44 2007 us=367869 nice = 0
Thu Jun 28 16:37:44 2007 us=367885 verbosity = 5
Thu Jun 28 16:37:44 2007 us=367965 mute = 0
Thu Jun 28 16:37:44 2007 us=367981 gremlin = 0
Thu Jun 28 16:37:44 2007 us=367997 status_file = 'openvpn-status.log'
Thu Jun 28 16:37:44 2007 us=368013 status_file_version = 1
Thu Jun 28 16:37:44 2007 us=368029 status_file_update_freq = 60
Thu Jun 28 16:37:44 2007 us=368050 occ = ENABLED
Thu Jun 28 16:37:44 2007 us=368069 rcvbuf = 0
Thu Jun 28 16:37:44 2007 us=368084 sndbuf = 0
Thu Jun 28 16:37:44 2007 us=368100 socks_proxy_server = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=368119 socks_proxy_port = 0
Thu Jun 28 16:37:44 2007 us=368135 socks_proxy_retry = DISABLED
Thu Jun 28 16:37:44 2007 us=368151 fast_io = DISABLED
Thu Jun 28 16:37:44 2007 us=368166 comp_lzo = ENABLED
Thu Jun 28 16:37:44 2007 us=368182 comp_lzo_adaptive = ENABLED
Thu Jun 28 16:37:44 2007 us=368203 route_script = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=368227 route_default_gateway = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=368249 route_noexec = DISABLED
Thu Jun 28 16:37:44 2007 us=368271 route_delay = 0
Thu Jun 28 16:37:44 2007 us=368294 route_delay_window = 30
Thu Jun 28 16:37:44 2007 us=368317 route_delay_defined = DISABLED
Thu Jun 28 16:37:44 2007 us=368344 route 10.1.5.0/255.255.255.0/nil/nil
Thu Jun 28 16:37:44 2007 us=368367 management_addr = 'localhost'
Thu Jun 28 16:37:44 2007 us=368391 management_port = 7505
Thu Jun 28 16:37:44 2007 us=368412 management_user_pass = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=368429 management_log_history_cache = 250
Thu Jun 28 16:37:44 2007 us=368446 management_echo_buffer_size = 100
Thu Jun 28 16:37:44 2007 us=368463 management_query_passwords = DISABLED
Thu Jun 28 16:37:44 2007 us=368479 management_hold = DISABLED
Thu Jun 28 16:37:44 2007 us=368496 shared_secret_file = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=368512 key_direction = 0
Thu Jun 28 16:37:44 2007 us=368528 ciphername_defined = ENABLED
Thu Jun 28 16:37:44 2007 us=368544 ciphername = 'BF-CBC'
Thu Jun 28 16:37:44 2007 us=368560 authname_defined = ENABLED
Thu Jun 28 16:37:44 2007 us=368576 authname = 'SHA1'
Thu Jun 28 16:37:44 2007 us=368592 keysize = 0
Thu Jun 28 16:37:44 2007 us=368608 engine = DISABLED
Thu Jun 28 16:37:44 2007 us=368624 replay = ENABLED
Thu Jun 28 16:37:44 2007 us=368640 mute_replay_warnings = DISABLED
Thu Jun 28 16:37:44 2007 us=368657 replay_window = 64
Thu Jun 28 16:37:44 2007 us=368673 replay_time = 15
Thu Jun 28 16:37:44 2007 us=368689 packet_id_file = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=368704 use_iv = ENABLED
Thu Jun 28 16:37:44 2007 us=368724 test_crypto = DISABLED
Thu Jun 28 16:37:44 2007 us=368747 tls_server = ENABLED
Thu Jun 28 16:37:44 2007 us=368770 tls_client = DISABLED
Thu Jun 28 16:37:44 2007 us=368786 key_method = 2
Thu Jun 28 16:37:44 2007 us=368803 ca_file = 'C:\Program Files\OpenVPN\easy-rsa\keys\ca.crt'
Thu Jun 28 16:37:44 2007 us=368820 dh_file = 'C:\Program Files\OpenVPN\easy-rsa\keys\dh1024.pem'
Thu Jun 28 16:37:44 2007 us=368838 cert_file = 'C:\Program Files\OpenVPN\easy-rsa\keys\vpnserver.crt'
Thu Jun 28 16:37:44 2007 us=368855 priv_key_file = 'C:\Program Files\OpenVPN\easy-rsa\keys\vpnserver.key'
Thu Jun 28 16:37:44 2007 us=368872 pkcs12_file = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=368887 cryptoapi_cert = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=368904 cipher_list = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=368919 tls_verify = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=368935 tls_remote = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=368951 crl_file = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=368967 ns_cert_type = 0
Thu Jun 28 16:37:44 2007 us=368983 tls_timeout = 2
Thu Jun 28 16:37:44 2007 us=368999 renegotiate_bytes = 0
Thu Jun 28 16:37:44 2007 us=369020 renegotiate_packets = 0
Thu Jun 28 16:37:44 2007 us=369043 renegotiate_seconds = 3600
Thu Jun 28 16:37:44 2007 us=369068 handshake_window = 60
Thu Jun 28 16:37:44 2007 us=369085 transition_window = 3600
Thu Jun 28 16:37:44 2007 us=369101 single_session = DISABLED
Thu Jun 28 16:37:44 2007 us=369131 tls_exit = DISABLED
Thu Jun 28 16:37:44 2007 us=369156 tls_auth_file = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=369179 server_network = 10.1.5.0
Thu Jun 28 16:37:44 2007 us=369197 server_netmask = 255.255.255.0
Thu Jun 28 16:37:44 2007 us=369217 server_bridge_ip = 0.0.0.0
Thu Jun 28 16:37:44 2007 us=369238 server_bridge_netmask = 0.0.0.0
Thu Jun 28 16:37:44 2007 us=369256 server_bridge_pool_start = 0.0.0.0
Thu Jun 28 16:37:44 2007 us=369282 server_bridge_pool_end = 0.0.0.0
Thu Jun 28 16:37:44 2007 us=369304 push_list = 'route 10.1.5.0 255.255.255.0,route 10.1.5.1,ping 10,ping-restart 120'
Thu Jun 28 16:37:44 2007 us=369324 ifconfig_pool_defined = ENABLED
Thu Jun 28 16:37:44 2007 us=369350 ifconfig_pool_start = 10.1.5.4
Thu Jun 28 16:37:44 2007 us=369369 ifconfig_pool_end = 10.1.5.251
Thu Jun 28 16:37:44 2007 us=369386 ifconfig_pool_netmask = 0.0.0.0
Thu Jun 28 16:37:44 2007 us=369403 ifconfig_pool_persist_filename = 'ipp.txt'
Thu Jun 28 16:37:44 2007 us=369420 ifconfig_pool_persist_refresh_freq = 600
Thu Jun 28 16:37:44 2007 us=369437 ifconfig_pool_linear = DISABLED
Thu Jun 28 16:37:44 2007 us=369453 n_bcast_buf = 256
Thu Jun 28 16:37:44 2007 us=369469 tcp_queue_limit = 64
Thu Jun 28 16:37:44 2007 us=369485 real_hash_size = 256
Thu Jun 28 16:37:44 2007 us=369501 virtual_hash_size = 256
Thu Jun 28 16:37:44 2007 us=369517 client_connect_script = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=369533 learn_address_script = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=369549 client_disconnect_script = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=369566 client_config_dir = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=369581 ccd_exclusive = DISABLED
Thu Jun 28 16:37:44 2007 us=369597 tmp_dir = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=369613 push_ifconfig_defined = DISABLED
Thu Jun 28 16:37:44 2007 us=369630 push_ifconfig_local = 0.0.0.0
Thu Jun 28 16:37:44 2007 us=369647 push_ifconfig_remote_netmask = 0.0.0.0
Thu Jun 28 16:37:44 2007 us=369663 enable_c2c = DISABLED
Thu Jun 28 16:37:44 2007 us=369679 duplicate_cn = DISABLED
Thu Jun 28 16:37:44 2007 us=369695 cf_max = 0
Thu Jun 28 16:37:44 2007 us=369710 cf_per = 0
Thu Jun 28 16:37:44 2007 us=369726 max_clients = 1024
Thu Jun 28 16:37:44 2007 us=369742 max_routes_per_client = 256
Thu Jun 28 16:37:44 2007 us=369758 client_cert_not_required = DISABLED
Thu Jun 28 16:37:44 2007 us=369775 username_as_common_name = DISABLED
Thu Jun 28 16:37:44 2007 us=369791 auth_user_pass_verify_script = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=369808 auth_user_pass_verify_script_via_file = DISABLED
Thu Jun 28 16:37:44 2007 us=369824 client = DISABLED
Thu Jun 28 16:37:44 2007 us=369839 pull = DISABLED
Thu Jun 28 16:37:44 2007 us=369855 auth_user_pass_file = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=369873 show_net_up = DISABLED
Thu Jun 28 16:37:44 2007 us=369889 route_method = 1
Thu Jun 28 16:37:44 2007 us=369905 ip_win32_defined = DISABLED
Thu Jun 28 16:37:44 2007 us=369921 ip_win32_type = 3
Thu Jun 28 16:37:44 2007 us=369937 dhcp_masq_offset = 0
Thu Jun 28 16:37:44 2007 us=369953 dhcp_lease_time = 31536000
Thu Jun 28 16:37:44 2007 us=369968 tap_sleep = 10
Thu Jun 28 16:37:44 2007 us=369984 dhcp_options = DISABLED
Thu Jun 28 16:37:44 2007 us=370002 dhcp_renew = DISABLED
Thu Jun 28 16:37:44 2007 us=370018 dhcp_pre_release = DISABLED
Thu Jun 28 16:37:44 2007 us=370034 dhcp_release = DISABLED
Thu Jun 28 16:37:44 2007 us=370049 domain = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=370065 netbios_scope = '[UNDEF]'
Thu Jun 28 16:37:44 2007 us=370081 netbios_node_type = 0
Thu Jun 28 16:37:44 2007 us=370096 disable_nbt = DISABLED
Thu Jun 28 16:37:44 2007 us=370116 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Thu Jun 28 16:37:44 2007 us=509989 MANAGEMENT: TCP Socket listening on 127.0.0.1:7505
Thu Jun 28 16:37:44 2007 us=564022 Diffie-Hellman initialized with 1024 bit key
Thu Jun 28 16:37:44 2007 us=565470 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Jun 28 16:37:44 2007 us=569994 TAP-WIN32 device [╧юфъы■ўхэшх яю ыюъры№эющ ёхЄш 5] opened: \\.\Global\{2FCCC92D-4CC1-4F9E-BFC5-9DB11A516A11}.tap
Thu Jun 28 16:37:44 2007 us=570029 TAP-Win32 Driver Version 8.4
Thu Jun 28 16:37:44 2007 us=570052 TAP-Win32 MTU=1500
Thu Jun 28 16:37:44 2007 us=570088 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.1.5.1/255.255.255.252 on interface {2FCCC92D-4CC1-4F9E-BFC5-9DB11A516A11} [DHCP-serv: 10.1.5.2, lease-time: 31536000]
Thu Jun 28 16:37:44 2007 us=570166 Sleeping for 10 seconds...
Thu Jun 28 16:37:54 2007 us=572111 Successful ARP Flush on interface [131074] {2FCCC92D-4CC1-4F9E-BFC5-9DB11A516A11}
Thu Jun 28 16:37:54 2007 us=573693 route ADD 10.1.5.0 MASK 255.255.255.0 10.1.5.2
Сбой добавления маршрута: Либо индекс интерфейса указан неверно, либо шлюз не лежит в той же подсети,
что и данный интерфейс. Проверьте таблицу IP-адресов этого компьютера.

Thu Jun 28 16:37:54 2007 us=588020 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Jun 28 16:37:54 2007 us=588125 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Jun 28 16:37:54 2007 us=588172 UDPv4 link local (bound): [undef]:1194
Thu Jun 28 16:37:54 2007 us=588197 UDPv4 link remote: [undef]
Thu Jun 28 16:37:54 2007 us=588223 MULTI: multi_init called, r=256 v=256

316. vinni, 28.06.2007 17:47
Serg_K
Пока неясно...
Какая ОС?
Есть ли в конфиге строки route-method и route-delay? (в логе вижу route_method = 1, но не знаю это exe или ~api). Если есть, то покажите. А лучше покажите весь конфиг и ipconfig /all и route print после старта OpenVPN-сервера.

317. Serg_K, 28.06.2007 17:59
цитата:
vinni:
Serg_K
Пока неясно...
Какая ОС?
Есть ли в конфиге строки route-method и route-delay? (в логе вижу route_method = 1, но не знаю это exe или ~api). Если есть, то покажите. А лучше покажите весь конфиг и ipconfig /all и route print после старта OpenVPN-сервера.

ОС - Win2003
а вот конфиг

port 1194
proto udp
dev tun

ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\vpnserver.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\vpnserver.key"
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"

server 10.1.5.0 255.255.255.0
push "route 10.1.5.0 255.255.255.0"
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 5
route-method exe
management localhost 7505

ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . :
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет

Подключение по локальной сети 2 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
Физический адрес. . . . . . . . . : 00-04-23-BA-4F-28
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.1.1.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 10.1.1.24
DNS-серверы . . . . . . . . . . . : 10.1.1.24

Подключение по локальной сети 5 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8
Физический адрес. . . . . . . . . : 00-FF-2F-CC-C9-2D
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 0.0.0.0
Маска подсети . . . . . . . . . . : 0.0.0.0
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 0.0.0.0
NetBIOS через TCP/IP. . . . . . . : отключен

route print

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x10004 ...00 04 23 ba 4f 28 ...... Intel(R) PRO/1000 MT Network Connection
0x20002 ...00 ff 2f cc c9 2d ...... TAP-Win32 Adapter V8
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.1.1.24 10.1.1.1 20
10.1.1.0 255.255.255.0 10.1.1.1 10.1.1.1 20
10.1.1.1 255.255.255.255 127.0.0.1 127.0.0.1 20
10.1.2.0 255.255.255.0 10.1.1.24 10.1.1.1 1
10.1.3.0 255.255.255.0 10.1.1.24 10.1.1.1 1
10.255.255.255 255.255.255.255 10.1.1.1 10.1.1.1 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 240.0.0.0 10.1.1.1 10.1.1.1 20
255.255.255.255 255.255.255.255 10.1.1.1 10.1.1.1 1
255.255.255.255 255.255.255.255 10.1.1.1 20002 1
Основной шлюз: 10.1.1.24
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
10.1.3.0 255.255.255.0 10.1.1.24 1
10.1.2.0 255.255.255.0 10.1.1.24 1

318. mikas, 29.06.2007 06:05
Вот только что нашел такой ресурс: http://openvpn.ru
Может пигодится.
vinni z думаю можно в шапку добавить

Добавление от 29.06.2007 06:07:

мда... никуда его не нужно добавлять... это какой-то платный ресурс.

Добавление от 29.06.2007 08:03:

vinni
ну никак "не выходит каменный цветок".
Я прописал на машине клиенте маршрут до своей сети.
route add 172.16.32.0 mask 255.255.255.128 10.10.253.1
Клиент меня пингует, отлично!
А вот я не могу пингануть внутренний интерфейс клиента, т.е. 172.16.67.21 у него есть на мена маршрут, у меня есть маршрут на 172.16.67.0 255.255.255.128 10.10.153.2
ПОЧЕМУ?

Добавление от 29.06.2007 09:14:

ёпрст... я директорию ccd на клиенте создал

Добавление от 29.06.2007 10:19:

все равно не помогло.

319. vinni, 29.06.2007 13:30
mikas
Вот только что нашел такой ресурс: http://openvpn.ru
AFAIK, это ресурс, предоставляющий услугу... Полезной техн.инф. я там не видел.
А.. Вы уже всё поняли


route add 172.16.32.0 mask 255.255.255.128 10.10.253.1
Неверно! Нужно, вероятнее всего, 10.10.253.5 или .6, см. route print или ipconfig/all на клиенте.
Кроме того, этот маршрут можно сбросить клиентам через конфиг сервера:
push "route 172.16.32.0 255.255.255.128"

ПОЧЕМУ?
RTFM! На первой странице есть объяснение по подсети /30

Какое CN у клиента? Имя файла в ccd соотв. этому CN? Что в логах сервера при подключении клиента?
route print с сервера и клиента после подключения.

Кроме того, если Вы хотите видеть ДРУГИЕ хосты за клиентом, то или на этих хостах или на их осн.шлюзе должны быть прописаны маршруты (лучше оба)
route -p add 172.16.32.0 mask 255.255.255.128 17.16.67.<IP-OpenVPN-клиента>
route -p add 10.10.253.0 mask 255.255.255.0 17.16.67.<IP-OpenVPN-клиента>

320. mikas, 29.06.2007 13:49
vinni
Неверно! Нужно, вероятнее всего, 10.10.253.5 или .6, см. route print или ipconfig/all на клиенте.
Клиент у меня получает ip 10.10.253.2
С другими клиентами я потом разберусь, я не могу добраться до локального интерфейса "клиента". Я так понимаю, как я до него доберусь - остальное дело техники, просто прописать маршруты.
RTFM! На первой странице есть объяснение по подсети /30
У меня топология subnet.
Какое CN у клиента? Имя файла в ccd соотв. этому CN?
Это проверено. Все совпадает.
Что в логах сервера при подключении клиента? route print с сервера и клиента после подключения.
Только в понедельник с утра по МСК вы сможете это увидет

321. vinni, 29.06.2007 14:04
mikas
Клиент у меня получает ip 10.10.253.2
Понял, просто Вы не акцентировали на том, что у Вас версия 2.1, а я её пока вглубь ещё не копал и примечание про topology пропустил мимо ушей. С обеих сторон версия 2.1? TAP-адаптер версии 8.2 и выше?
Кстати, ведь при топологии subnet формально можно обойтись и без iroute, т.к. можно в системных route-ах сразу шлюзом указывать IP клиента. А в http://openvpn.net/man-beta.html об этом ничего не написано...

Ну и фаерволы проверить - пропускают ли они этот трафик?

Добавление от 29.06.2007 14:12:

Serg_K
У Вас TAP-адаптеру не назначается IP-адрес, хотя OpenVPN со своей стороны команду даёт:
Thu Jun 28 16:37:44 2007 us=570088 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.1.5.1/255.255.255.252 on interface {2FCCC92D-4CC1-4F9E-BFC5-9DB11A516A11} [DHCP-serv: 10.1.5.2, lease-time: 31536000]
Thu Jun 28 16:37:44 2007 us=570166 Sleeping for 10 seconds...


В моём опыте это всегда было следствием фильтров-фаерволов, которые не пропускали трафик DHCP (67,68/udp) на TAP-интерфейсе.

322. mikas, 29.06.2007 14:37
vinni
С обеих сторон версия 2.1? TAP-адаптер версии 8.2 и выше?
Последняя бета с офсайта. Версия выше 8.2 (то ли 8.3 то ли 9.3, особо не обращал внимания).
Ну и фаерволы проверить - пропускают ли они этот трафик?
Проверено, все отлично, я на клиента даже по NetBIOS хожу.
Логи чистые и прекрасные. никаких цфктштп, НО и никаких упоминаний про iroute. Там что-то должно быть?
В понедельник я еще раз все конфиги пропишу и логи.

323. vinni, 29.06.2007 14:41
mikas
НО и никаких упоминаний про iroute. Там что-то должно быть?
Не помню. Если будут сомнения - посмтрю...

324. mikas, 29.06.2007 14:46
я чувствую какуюто банальную ошибку. Я сам не в первой с маршрутизацией работаю.

Добавление от 29.06.2007 14:50:

vinni
Если не затруднит, посмотри на мой пост с конфигами. И просто скажи что писать насчет команды route, и где.
Если в понедельник не получится все сделать, ставлю на "клиенте" NAT (CHX-I NAT Советую, за их заслуги их купила IBM) и буду просто натить свои обращения в эту локалку, это железный вариант, работает, но не комильфо все бросать, не разобравшись с маршрутизацией. Я думаю это 100 пудов мне еще пригодится.

325. vinni, 29.06.2007 15:31
mikas
Если не затруднит, посмотри на мой пост с конфигами.
Не поверите, но я смотрел Даже очепятки в сообщениях видел (.253. .153.)
Правильнее будет, если Вы покажете (можно в приват. теме, чтобы здесь не загромождать) с сервера и клиента - конфиги, ipconfig и route.
А также напишете с какого хоста не пингуется какой адрес.

326. Serg_K, 29.06.2007 20:58
ни фильтров, ни фаерволов на сервере нет

327. vinni, 30.06.2007 01:47
Serg_K
Запущен ли сервис DHCP-клиент?

328. shellz, 30.06.2007 05:07
я купил VPS на FreeBSD поставил туда openVPN, моя проблема в том... что мне нужно, что бы весь трафф перенаправлялся через VPN для скрытия реального свого IP-адреса провайдера... что мне делать в этой ситуации, какие конфиги править. VPN у меня работает виртуальную сеть пингуется с обоих сторон, но IP палится

329. vinni, 30.06.2007 11:50
shellz
в конфиге клиента redirect-gateway

Ну и естественно настроить NAT на внешнем интерфейсе сервера или поставить на нём прокси.

330. dimajak, 01.07.2007 19:32
Имеем две локальных сети - Сеть1: 192.168.0.0/24, W2K3S, KWR, поднят OpenVPN как сервер.
Сеть2: 192.168.1.0/24, W2K3S, ISA2006.
Между сетями сеть провайдера 10.2.0.0/255.255.0.0, у первой локалки 10.2.0.23, у второй 10.2.3.54.
С домашнего компа (в той же сети провайдера) я спокойно подключаюсь как клиент OpenVPN, а вот во второй локалке не получается настроить ису, чтобы подключиться к OpenVPN как клиент.
У кого-нить есть опыт настройки исы для OpenVPN? Расскажите, плиз, по шагам что и как в этой исе надо прописывать. С керио ковыряюсь уже не один год и там все я быстро настроил, а вот в исе полный нуб.

331. Serg_K, 01.07.2007 22:39
цитата:
vinni:
Serg_K
Запущен ли сервис DHCP-клиент?

Нет

332. vinni, 02.07.2007 13:57
Serg_K
Запущен ли сервис DHCP-клиент?
Нет

В этом и дело!
Для работы в том режиме, в котором Вы его используете, DHCP-клиент должен быть запущен!
Если же по каким-либо причинам Вы его не хотите запускать, то (варианты):
- поставьте IP-адрес 10.1.5.1/255.255.255.252 в насткойках интерфейса ТАР-адаптере вручную, при этом может быть понадобится команда ip-win32 manual
- или используйте иной метод назначения IP-адресов - ip-win32 netsh

Добавление от 02.07.2007 14:05:

dimajak
Лично я ISA не пользую, послучаем что скажут другие.
Из общих соображений надо объявить OpenVPN-овский ТАР-интерфейс как "private" (не знаю какая там терминология, но смысл такой) и разрешить трафик по этому интерфейсу и между ним и интерфейсом локальной сети.
Ну и ес-нно в конфиге OpenVPN использовать сеть, не пересекающуюся с имеющимися (в т.ч. сетью провайдера).

Кроме того, тема по ISA есть в соседнем форуме - Microsoft ISA Server 2000/2004 - вопросы и ответы (http://forum.ixbt.com/topic.cgi?id=7:19208)
Собственно с точки зрения ISA это будет просто ещё 1 физический интерфейс.

333. NICal, 04.07.2007 05:16
Исправлено vinni: offtopic
Доброго времени суток.

Начитал в этой теме много всего, нашёл много нового, полезного из чего собственно и собрал почти работающий конфиг, но есть одно но: до самого интернета я так и не добрался!
Задача:
Есть компьютер на нём 2 сетевых интерфейса, ПЕРВЫЙ смотрит в локальную сеть провайдера, ВТОРОЙ напрямую соединён с другим компьютером.
У Первого в локальной сети есть ДНС сервера и VPN сервер через который я и получаю интернет.
У Второго компьютера есть только 1 сетевая карта которая и смотрит во вторую сетевую на Первой машине. Необходимо поднять на Первой машине OpenVPN сервер и пустить через него Вторую машину в Интернет.

Добился того что Со стороны клиента (конфиг прилагается внизу) могу выполнить следующее:
код:
>ping www.ru
Обмен пакетами с www.ru [194.87.0.50] по 32 байт:
Заданный узел недоступен.
Заданный узел недоступен.
Заданный узел недоступен.
Заданный узел недоступен.

Если требуется вот такая информация, то прилагаю (если конечно нужна) =>>
В том случае если я пингую этот сервер с Первой машины (лольная сеть провайдера, где в сетевом подключении автоматом выдаётся шлюз, днс и т.д.) БЕЗ подключения к VPN (интернета провайдера) то получается немного по другому:

код:
>ping www.ru
Обмен пакетами с www.ru [194.87.0.50] по 32 байт:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Сервер решил реализовать через "туннель L2" (а стоит ли...)
Т.е. как я понял у меня не работает мост между tap интерфейсом и интерфейсом "WAN (PPP/SLIP) Interface" - интернет от провайдера.
NAT я не поднимал.

Конфиги =>>
Server.ovpn:
код:
mode server
tls-server
proto tcp-server
dev tap
port 1111
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
ifconfig 192.168.0.1 255.255.255.0
route-gateway 192.168.0.1
push "route-gateway 192.168.0.1"
push "dhcp-option DNS 195.14.50.1"
push "dhcp-option DNS 195.14.50.21"
server-bridge 192.168.0.1 255.255.255.0 192.168.0.2 192.168.0.9
push "redirect-gateway local def1"
verb 3
status openvpn-status.log
persist-key
persist-tun
comp-lzo


Client.ovpn:
код:
dev tap
tls-client
remote 10.1.1.2 1111
proto tcp-client
pull
mssfix 1500
tun-mtu 1500
route-gateway 192.168.0.1
ifconfig 192.168.0.2 255.255.255.0
dhcp-option DNS 192.168.0.1
redirect-gateway local def1
verb 3
dh dh1024.pem
ca ca.crt
cert client.crt
key client.key
comp-lzo

Если в клиенте убрать строчку
dhcp-option DNS 192.168.0.1
то определение IP адреса пигуемого сервера вообще исчезнет и узел будет недоступен.
Внутренние PINGи между интерфейсами и виртуальными интерфейсами проходят на ура.

Что добавить, что исправить, что убрать?
Спасибо.

334. vinni, 04.07.2007 09:27
NICal
У Первого в локальной сети есть ДНС сервера и VPN сервер через который я и получаю интернет.
У Второго компьютера есть только 1 сетевая карта которая и смотрит во вторую сетевую на Первой машине. Необходимо поднять на Первой машине OpenVPN сервер и пустить через него Вторую машину в Интернет.

А OpenVPN Вам для этого зачем понадобился?

Что добавить, что исправить, что убрать?
Добавить NAT или прокси на первом ПК.

335. Asgaroth, 04.07.2007 15:46
vinni
у меня похожая проблема: К сетевушке подключена витая пара от провайдера, IP назначается динамически, авторизация по MAC-у сетевушки. Т.е. имеем подключение к локалке провайдера. Для интернета настраивается соединение PPPoE с логином и паролем. Нужно подать инет на второй комп. Стандартными средствами WinXP не получается. Пробовал использовать KERIO, но результат тот же. Если можно опишите подробно, что можно сделать в данной ситуации (какой прокси использовать и как настроить). Буду рад любой информации.

Комментарий vinni:
Данный вопрос не имеет никакого отношения к теме OpenVPN, поэтому Ваше сообщения я отметил как offtopic. Просьба обсуждать его в отдельных темах.

336. NICal, 04.07.2007 17:50
цитата (vinni):
А OpenVPN Вам для этого зачем понадобился?
Ну на самом деле вместо второй машины будет стоять ADSL модем (второй провайдер) и необходимо пропустить двоих пользователей в интернет через их adsl-локальную сеть, в силу того что у них часто возникает обрыв связи и в силу дороговизны трафика адсл. По этому на безлимитке провайдера с Локальной сетью будет выгодней пропускать их через меня.
Ну а чтобы не путаться, я представил картину немного по другому, чтобы не создавать лишних проблем и свести всё к реальной ситуации.

цитата:
Добавить NAT или прокси на первом ПК.
Не совсем подходящий вариант.

И всётаки что надо подправить в данной конфигурации.

337. vinni, 04.07.2007 18:41
NICal
Т.е. как я понял у меня не работает мост между tap интерфейсом и интерфейсом "WAN (PPP/SLIP) Interface" - интернет от провайдера.
Мост между Eth и PPP невозможен, т.к. это разное оборудование с разным типом фреймов.

И всётаки что надо подправить в данной конфигурации?
Надо изменить саму конфигурацию в целом.
Почему бы Вам не изучить/воспользоваться "общим доступом к подключению интернета" или чем-то подобным?

338. Zarc, 09.07.2007 10:49
vinni Подскажите, где глючу...

Задача - у любого из клиентов (по моему желанию) должен устанавливаться фиксированный IP на удаленном конце тоннеля.
Сделано:
1. Взяты стандартные конфиги сервера и клиента, закомментарено только то, что не нужно или не работало (LZO). Пути прописаны. Ключики поделаны. Ручками запускаю сервер и двух клиентов - по динамике адреса распределяются по сетке /30, начиная с 10.8.0.4 (client1 - local=10.8.0.5 remote=10.8.0.6; client2 local=10.8.0.9 remote=10.8.0.10). Адреса "дальних" от сервера концов записались в файлике ipp.txt.
После первой же регистрации адресов в ipp.txt. порядок запуска клиентов не меняет адресов "дальних" концов.
2. Раскомментариваю в серверном конфиге строчки:
client-config-dir ccd
route 10.9.0.0 255.255.255.252
добавляю в каталог ccd файлик - client1 с содержимым: ifconfig-push 10.9.0.1 10.9.0.2
и стираю/переименовываю ipp.txt.

Перезапускаю все. Итог - клиент имеет адрес - 10.8.0.4
??? Где я не догоняю...?

339. vinni, 09.07.2007 13:05
Zarc
Разбейте задачу на 2 - то есть 1) работа самой команды ifconfig-push и 2) использование иного диапазона адресов:
1. Сначала разберитесь с самой командой но со штатным диапазоном - ifconfig-push 10.8.0.129 10.8.0.130
Работает команда?

2. А теперь уже ifconfig-push 10.9.0.1 10.9.0.2 и выясняйте дальше.

На стороне клиента есть команда client или pull ?
Имена файлов в ccd точно соответствуют CN, указанным при генерации ключей?
Ну и смотрите логи и если надо, повышайте детализацию - verb 5, 6

340. Zarc, 10.07.2007 03:28
Vinni, спасибо. Разобрался сам, но в том, что подсказал, что глюк в ином месте мерси Вам!
Для тех, кто будет на сии грабли наступать.

После генерации ключей для сервера и клиента, СТРОГО помнить о поле CN, где содержится имя сервера и клиента для авторизации. При использовании динамической раздачи IP адресов сервером это не так важно. Но когда надо, чтобы одному и более клиентов присваивался фиксированный IP - крайне!!!
В каталоге, где будет лежать упомянутый с конфиге сервера (client-config-dir ccd) файл клиента -
ОН ДОЛЖЕН ИМЕТЬ ИМЯ=CN. Буквально так. Иначе опять динамическая раздача.

Добавление от 10.07.2007 04:39:

Дополнительно к моему посту:
Поле CN - это Ваш ответ на первый вопрос - Common Name ?
во время генерации ключей.

341. SBubba, 10.07.2007 11:56
Такой вопрос. Переустановил операционную систему на машине с ВПН-сервером, установил OpenVPN и заботливо сохраненные конфиги и ключи. Возникла такая проблема.
На машине две сетевых карты с адресами 192.168.0.30 и 192.168.0.199. Плюс интерфейс VPN 10.9.0.1
При подключение VPN нет соединения, стоит запретить один из сетевых интерфейсов (например 199) как VPN-соединение появляется. Поднял NAT чтобы паекеты приходящие с 192.168.0.30 перенаправлялись на 10.9.0.1 - не помогает.
Как решить проблему не запрещая один из интерфейсов?

342. Zarc, 10.07.2007 12:03
2 SBubba
Предваряя Vinni
Уточни - какая ОС...

343. SBubba, 10.07.2007 12:08
Zarc- да забыл Win 2003 Server

344. vinni, 10.07.2007 15:04
SBubba
ipconfig /all и route print покажите.
Кроме того, объясните что за карты, в какие сети включены и где по отношению к ним находится клиент?
Есть шанс, что у Вас трафик приходит и уходит по разным интерфейсам.

345. SBubba, 11.07.2007 06:51
vinni
Есть шанс, что у Вас трафик приходит и уходит по разным интерфейсам.

Есть шанс, даже наверняка. Все устроено просто - обе сетевые карты включены в одну сеть, Интернет-доступ через прокси, прокси все пакеты через порт VPN (=5000) отправляет на эту машину. Клиент всегда подключается извне.

Зачем нужны две сетевые карты, видимо мой предшественник (от которого мне досталось все VPN-хозяйство) рассуждал так, что один интерфейс (например 192.168.0.30) смотрит в интернет, а второй (192.168.0.199) принимает пакеты из локальной сети (например для того чтобы после поднятия VPN с другой машины можно было получить доступ к клиенту через VPN). Все это работало, причем для этого был точно использован NAT. После вынужденной перестановки системы, с такими же настройками клиент не видит сервера, причем я специально смотрел в фаерволле, пакеты приходят, но не туда, на оба интерфеса. А хочется, чтобы с 10.9.0.1 приходили только на 192.168.0.30. Как-то так. Да, в фаерволле все входящие-исходящие по порту 5000 разрешены.


код:
C:\Documents and Settings\sbubba>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : sbubba
Основной DNS-суффикс . . . . . . : sbubba-sib.su
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : sbubba-sib.su

OpenVpnServer - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8
Физический адрес. . . . . . . . . : 00-FF-5A-9B-67-BE
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 10.9.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 10.9.0.0
Аренда получена . . . . . . . . . : 11 июля 2007 г. 9:16:35
Аренда истекает . . . . . . . . . : 10 июля 2008 г. 9:16:35

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : 3Com EtherLink XL 10/100 PCI TX адаптер (
3C905B-TX)
Физический адрес. . . . . . . . . : 00-50-DA-4E-E5-CC
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.30
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.1
DNS-серверы . . . . . . . . . . . : 192.168.0.210
212.20.0.120

Подключение по локальной сети 2 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : NVIDIA nForce Networking Controller
Физический адрес. . . . . . . . . : 00-0F-EA-E9-E1-FE
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.199
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.1
DNS-серверы . . . . . . . . . . . : 192.168.0.210
212.20.0.120


C:\Documents and Settings\sbubba>route print

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 ff 5a 9b 67 be ...... TAP-Win32 Adapter V8
0x10004 ...00 50 da 4e e5 cc ...... 3Com EtherLink XL 10/100 PCI TX рфряЄхЁ (3C9
05B-TX)
0x10005 ...00 0f ea e9 e1 fe ...... NVIDIA nForce Networking Controller
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.30 20
10.9.0.0 255.255.255.0 10.9.0.1 10.9.0.1 30
10.9.0.1 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.9.0.1 10.9.0.1 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.30 192.168.0.30 20
192.168.0.0 255.255.255.0 192.168.0.199 192.168.0.199 10
192.168.0.30 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.199 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.0.255 255.255.255.255 192.168.0.30 192.168.0.30 20
192.168.0.255 255.255.255.255 192.168.0.199 192.168.0.199 10
224.0.0.0 240.0.0.0 10.9.0.1 10.9.0.1 30
224.0.0.0 240.0.0.0 192.168.0.30 192.168.0.30 20
224.0.0.0 240.0.0.0 192.168.0.199 192.168.0.199 10
255.255.255.255 255.255.255.255 10.9.0.1 10.9.0.1 1
255.255.255.255 255.255.255.255 192.168.0.30 192.168.0.30 1
255.255.255.255 255.255.255.255 192.168.0.199 192.168.0.199 1
Основной шлюз: 192.168.0.1
===========================================================================
Постоянные маршруты:
Отсутствует

C:\Documents and Settings\sbubba>

346. mmclub, 11.07.2007 10:01
Есть проблема с OpenVPN. Стоит сервер OpenVPN 2.0.9 на винде 2003 sp1. Работает через TAP. Клиентов много все к нему коннектятся.

Проблема такая. Иногда, в статусе OpenVPN сервера числится подключенный клиент, пинги по внешнему IP адресу до него доходят. В логе сервера видно, что процесс соединения проходит. Но пинги через VPN сеть до клиента не доходят.

Рестар OpenVPN сервера не помогает, клиента тоже. Помогает только перезагрузка компа клиента, после чего все отлично работает.

В чем может быть проблема?

347. vinni, 11.07.2007 12:00
SBubba
Да уж... Вы в будущем всё же разберитесь с этой ерундой...

прокси все пакеты через порт VPN (=5000) отправляет на эту машину
На какой интерфейс? Смотрите в настройках прокси. Если на 192.168.0.30, то, вроде должно работать, а если на 192.168.0.199 то как раз будут глюки.
Кроме того, что в конфиге OpenVPN-сервера, он "привязан" к интерфейсу или нет?

Из вариантов вижу такие:
1. Отключить интерфейс, например, 192.168.0.199
2. Этот адрес 192.168.0.199 назначить вторым на интерфейс 192.168.0.30
3. Возможно понадобится сделать привязку OpenVPN-сервера к одному из IP-адресов:
local 192.168.0.30

Добавление от 11.07.2007 12:08:

mmclub
Похоже на фаервол/фильтр на клиенте. Особенно если он привязывается к номерам интерфейсов, а они в Win и могут и изменяются при включении отключении интерфейсов. Правда, ТАР-интерфейсы обычно это не делают.

348. SBubba, 12.07.2007 06:54
vinni

цитата:
Из вариантов вижу такие:
1. Отключить интерфейс, например, 192.168.0.199
2. Этот адрес 192.168.0.199 назначить вторым на интерфейс 192.168.0.30
3. Возможно понадобится сделать привязку OpenVPN-сервера к одному из IP-адресов:
local 192.168.0.30

Спасибо! Пункт 1 мне понятен, именно так щас и работает. Пункт 3 я попробовал с утра вроде тьфу-тьфу-тьфу соединился без проблем и с включенным интерфейсом 192.168.0.199, но на будущее мало ли что, мне непонятен пункт 2, как назначить второй адрес 192.168.0.199 на интерфейс 192.168.0.30?

349. frs, 12.07.2007 11:12
Господа! Помогите если сможете
Настроена Openvpn со статическим ключем, между WinXP и FreeBSD
соединение устанавливается, НО
ping идет только на те адреса, которые НЕ прописаны в DNS на сервере FreeBSD
те машины, которых нет в DNS отлично видны, можно качать из их шар...
смотрел tcpdump, получается что пакеты которые приходят для машин, прописанных в DNS не уходят больше никуда , а для остальных идут куда нужно...
Что где покрутить?

350. vinni, 12.07.2007 12:54
SBubba
как назначить второй адрес 192.168.0.199 на интерфейс 192.168.0.30?
В свойствах IP-протокола интерфейса 192.168.0.30, кнопка "Дополнительно"

frs
Опишите ДЕТАЛЬНО! Пинг по каким именам или по каким адресам? OpenVPN-конфиг, ipconfig /all и route print клиента и сервера. Если не хотите публиковать открыто - создайте приватную тему.

351. frs, 12.07.2007 14:58
Vinni
Конфиг Windows-клиента

### BEGIN CLIENT SIDE CONFIGURATION FILE ###
# vpn server to contact
remote XX.XX.XX.XX
# port to establish connection on
port 5023
# local tunnel device
dev tun
# interface addresses
tun-mtu 1500
ifconfig 192.168.2.2 192.168.2.1
route-method exe
route 192.168.1.0 255.255.255.0 192.168.2.1
route-delay 5
dhcp-option DNS 192.168.1.155
# key location
secret "c:\\program files\\openvpn\\config\\key.txt"
# enable LZO compression
comp-lzo
# moderate verbosity
verb 0
mute 10
;fragment 1300
;mssfix
; ping-restart 60
; ping-timer-rem
; persist-tun
; persist-key
; resolv-retry 86400
# keep-alive ping
ping 10
# enable LZO compression
comp-lzo
# moderate verbosity
verb 4
mute 10
### END CLIENT SIDE CONFIGURATION FILE ###

Конфиг FreeDSD-сервера
### Start Config File Port 5023 ###
# local tun device
dev tun
# interface addresses
ifconfig 192.168.2.1 192.168.2.2
# key location
secret /etc/openvpn/port5023.key
# port to listen on
port 5023
route-gateway 192.168.1.155
redirect-gateway
# user to run as
user nobody
group nobody
# options
comp-lzo
ping 15
verb 1
### End Config File Port 5023 ###
ifconfig на FreeBSD-машине
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=b<RXCSUM,TXCSUM,VLAN_MTU>
inet6 fe80::216:76ff:fea5:48a0%em0 prefixlen 64 scopeid 0x1
inet XX.XX.XX.XX netmask 0xfffffffc broadcast XX.XX.XX.XX
ether XX:XX:XX:XX:XX
media: Ethernet autoselect (100baseTX <full-duplex>
status: active
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=b<RXCSUM,TXCSUM,VLAN_MTU>
inet6 fe80::216:76ff:fea5:48a10,000000e+00m1 prefixlen 64 scopeid 0x2
inet 192.168.1.155 netmask 0xffffff00 broadcast 192.168.1.255
ether 00:16:76:a5:48:a1
media: Ethernet autoselect (1000baseTX <full-duplex>
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
inet 127.0.0.1 netmask 0xff000000
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
inet6 fe80::216:76ff:fea5:48a0%tun0 prefixlen 64 scopeid 0x4
inet 192.168.2.1 --> 192.168.2.2 netmask 0xffffffff
Opened by PID 45926



ipconfig /all наWindows –машине

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : XXXXX
Основной DNS-суффикс . . . . . . : XXXXX
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : да
Порядок просмотра суффиксов DNS . : XXXXX
XXXXX

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . : XXXXXX
Описание . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet for hp
Физический адрес. . . . . . . . . : XXXXXXXXXXXXXx
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.8.80
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.8.1
DNS-серверы . . . . . . . . . . . : 172.19.5.32
172.19.5.31
172.19.5.30
Основной WINS-сервер . . . . . . : 172.19.5.14
Дополнительный WINS-сервер. . . . : 172.19.5.13


Подключение по локальной сети 5 - Ethernet адаптер:


DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8
Физический адрес. . . . . . . . . : 00-FF-6A-68-87-D1
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.2.2
Маска подсети . . . . . . . . . . : 255.255.255.252
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 192.168.2.1
DNS-серверы . . . . . . . . . . . : 192.168.1.155
Аренда получена . . . . . . . . . : 12 июля 2007 г. 14:32:53
Аренда истекает . . . . . . . . . : 11 июля 2008 г. 14:32:53



Nokia E50 USB Modem (OTA) - PPP адаптер:



DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 172.19.40.190
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 172.19.40.190
DNS-серверы . . . . . . . . . . . : 217.118.66.243
213.129.96.1

NetBIOS через TCP/IP. . . . . . . : отключен

Route print на windows-машине
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 0e 7f 2c 3b ba ...... Broadcom NetXtreme Gigabit Ethernet for hp - Kaspersky Anti-Virus NDIS Miniport
0x3 ...00 ff 6a 68 87 d1 ...... TAP-Win32 Adapter V8 - Kaspersky Anti-Virus NDIS Miniport
0x40005 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 172.19.40.190 172.19.40.190 1
0.0.0.0 0.0.0.0 192.168.8.1 192.168.8.80 2
10.6.6.6 255.255.255.255 172.19.40.190 172.19.40.190 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
172.16.0.0 255.240.0.0 192.168.8.1 192.168.8.80 1
172.19.40.190 255.255.255.255 127.0.0.1 127.0.0.1 50
172.19.255.255 255.255.255.255 172.19.40.190 172.19.40.190 50
192.168.0.0 255.255.0.0 192.168.8.1 192.168.8.80 1
192.168.1.0 255.255.255.0 192.168.2.1 192.168.2.2 1
192.168.2.0 255.255.255.252 192.168.2.2 192.168.2.2 30
192.168.2.2 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.2.255 255.255.255.255 192.168.2.2 192.168.2.2 30
192.168.8.0 255.255.255.0 192.168.8.80 192.168.8.80 20
192.168.8.80 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.8.255 255.255.255.255 192.168.8.80 192.168.8.80 20
224.0.0.0 240.0.0.0 192.168.2.2 192.168.2.2 30
224.0.0.0 240.0.0.0 192.168.8.80 192.168.8.80 20
224.0.0.0 240.0.0.0 172.19.40.190 172.19.40.190 1
255.255.255.255 255.255.255.255 172.19.40.190 172.19.40.190 1
255.255.255.255 255.255.255.255 192.168.2.2 192.168.2.2 1
255.255.255.255 255.255.255.255 192.168.8.80 192.168.8.80 1
Основной шлюз: 172.19.40.190
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
172.16.0.0 255.240.0.0 192.168.8.1 1
192.168.0.0 255.255.0.0 192.168.8.1 1

netstat –rn на FreeBSD-машине
Routing tables

Internet:
Destination Gateway Flags Refs Use Netif Expire
default 195.XX.XX.XX UGS 0 5988752 em0
127.0.0.1 127.0.0.1 UH 0 40557 lo0
192.168.1 link#2 UC 0 0 em1
192.168.1.1 00:17:9a:0b:c2:b4 UHLW 1 40075 em1 1199
192.168.1.2 00:11:11:90:c5:b4 UHLW 1 6568 em1 1169
192.168.1.4 00:11:11:90:c5:7e UHLW 1 969 em1 953
192.168.1.5 00:14:85:83:23:c4 UHLW 1 18896 em1 1134
192.168.1.9 00:11:11:90:c5:8c UHLW 1 26122 em1 760
192.168.1.10 00:11:95:f9:f4:12 UHLW 1 28182 em1 1064
192.168.1.12 00:17:9a:0b:bd:8d UHLW 1 10901 em1 655
192.168.1.16 00:0f:ea:51:14:eb UHLW 1 62413 em1 1050
192.168.1.17 00:01:6c:c5:ca:8e UHLW 1 6181 em1 779
192.168.1.22 00:30:05:e1:a6:8a UHLW 1 30158 em1 766
192.168.1.23 00:80:48:26:75:c6 UHLW 1 2903 em1 987
192.168.1.24 00:30:05:e1:73:af UHLW 1 29825 em1 1140
192.168.1.25 00:30:05:e1:73:ed UHLW 1 37476 em1 726
192.168.1.155 00:16:76:a5:48:a1 UHLW 1 5294 lo0
192.168.2.2 192.168.2.1 UH 1 3197 tun0
192.168.8 192.168.2.2 UGS 0 244 tun0
195.XX.XX.XX/30 link#1 UC 0 0 em0
195.XX.XX.XX 00:a0:c5:46:3a:b5 UHLW 2 258 em0 1147

Internet6:
Destination Gateway Flags Netif Expire
::1 ::1 UH lo0
fe80::%em0/64 link#1 UC em0
fe80::216:76ff:fea5:48a0%em0 00:16:76:a5:48:a0 UHL lo0
fe80::%em1/64 link#2 UC em1
fe80::216:76ff:fea5:48a1%em1 00:16:76:a5:48:a1 UHL lo0
fe80::%lo0/64 fe80::1%lo0 U lo0
fe80::1%lo0 link#3 UHL lo0
fe80::%tun0/64 link#4 UC tun0
fe80::216:76ff:fea5:48a0%tun0 link#4 UHL lo0
ff01:1::/32 link#1 UC em0
ff01:2::/32 link#2 UC em1
ff01:3::/32 ::1 UC lo0
ff01:4::/32 link#4 UC tun0
ff02::%em0/32 link#1 UC em0
ff02::%em1/32 link#2 UC em1
ff02::%lo0/32 ::1 UC lo0
ff02::%tun0/32 link#4 UC tun0

352. vinni, 12.07.2007 15:44
frs
Конфиг FreeDSD-сервера
route-gateway 192.168.1.155
redirect-gateway


Зачем эти 2 команды на сервере?


ping идет только на те адреса, которые НЕ прописаны в DNS на сервере FreeBSD
те машины, которых нет в DNS отлично видны, можно качать из их шар...


И теперь ещё покажите пример данной ситуации. В т.ч.
ping 1.2.3.4 (то есть по адресу)
ping host.domain (то есть по имени, обратите внимание, это DNS-имя или NetBIOS-имя?)
а также nslookup host.domain

353. frs, 12.07.2007 15:56
vinni
эти команды воткнул от безысходности, уберу...

пример успешного пинга (эта машина НЕ прописана в DNS сервера Freebsd)
ping 192.168.1.25
Обмен пакетами с 192.168.1.25 по 32 байт:
Ответ от 192.168.1.25: число байт=32 время=732мс TTL=127
Ответ от 192.168.1.25: число байт=32 время=667мс TTL=127
Ответ от 192.168.1.25: число байт=32 время=627мс TTL=127
Ответ от 192.168.1.25: число байт=32 время=603мс TTL=127
Статистика Ping для 192.168.1.25:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 603мсек, Максимальное = 732 мсек, Среднее = 657 мсек

пример НЕуспешного пинга (эта машина прописана в DNS сервера Freebsd)
Обмен пакетами с 192.168.1.1 по 32 байт:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Статистика Ping для 192.168.1.1:
Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь),

ping и nslookup по символьному имени не работает я думаю из-за того что запросы идут к локальному DNS
но мне собственно не обязательно доставать машины по символьному имени, мне достаточно доступ по IP-адресу, чтобы можно было Radmin' ом туда зайти в случае проблем.

354. vinni, 12.07.2007 16:03
frs
ИМХО, в примере выше (192.168.1.25 и 192.168.1.1) DNS не при чём.
Откуда пингуете? С Win-хоста?
Что за хост 192.168.1.1? ОС, IP-экран (firewall, брандмауэр), route print?
На самом сервере нет никакой фильтрации трафика между 192.168.1.* и 192.168.2.* ?

Ну и просто до кучи:
ping 192.168.1.155 работает?
nslookup - что покажет? К какому серверу идёт запрос?

355. frs, 12.07.2007 16:17
vinni
Пингую с win-хоста
192.168.1.1 - обычный win-хост в сети за сервером FreeBSD, такая же ситуация со всеми хостами, которые не прописаны в DNS FreeBSD
фильтрация полностью отключена, разрешены все пакеты от всех ко всем

пинг на 192.168.1.155
Обмен пакетами с 192.168.1.155 по 32 байт:
Ответ от 192.168.1.155: число байт=32 время=672мс TTL=64
Ответ от 192.168.1.155: число байт=32 время=638мс TTL=64
Ответ от 192.168.1.155: число байт=32 время=657мс TTL=64
Ответ от 192.168.1.155: число байт=32 время=695мс TTL=64
Статистика Ping для 192.168.1.155:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 638мсек, Максимальное = 695 мсек, Среднее = 665 мсек

nslookup начинает перебирать локальные DNS и ничего там не находит естественно
если физически отрубить выход в локалку, тогда он еще обращает в билайновский DNS (я делаю openvpn через gprs) тоже ничего не находит,
а 192.168.1.155 он даже не спрашивает в качестве DNS

356. vinni, 12.07.2007 16:26
frs
Я в упор не готов поверить в причастность DNS...

tracert 192.168.1.1
?

Покажите route print с хоста 192.168.1.1, проверьте на нём фаервол. Попробуйте с этого хоста ping 192.168.2.1, 192.168.2.2

357. frs, 12.07.2007 16:48
если зайти Шеллгардом на сервер, все "его" локальная сетка пингуется на ура


Трассировка маршрута к 192.168.1.1 с максимальным числом прыжков 30
1 929 ms 659 ms 701 ms 192.168.2.1
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.

И для примера
Трассировка маршрута к 192.168.1.24 с максимальным числом прыжков 30
1 907 ms 658 ms 701 ms 192.168.2.1
2 678 ms 720 ms 814 ms 192.168.1.24
Трассировка завершена.

route print показать щас не могу т.к. это в другом конце города, попозже туда доеду сделаю


по поводу ДНС, смотрел tcpdump'ом интерфейс tun0 на сервере, когда приходит пакет для машины, включенных в ДНС, он больше никуда не идет, если машина не в списке, то пакет перенаправляется дальше...
куда копать не знаю

358. vinni, 12.07.2007 17:08
frs
Чудеса... Проведите "чистый" эксперимент - удалите / отключите / закомментируйте в DNS запись для 192.168.1.1, обновите / перезапустите DNS-сервер
И что, теперь 192.168.1.1 будет пинговаться?

359. frs, 13.07.2007 15:31
vinni
Эксперимент провел, результат отрицательный, ДНС похоже не причем
смотрел tcpdump на сервере, как ведет себя интерфейс tun0, если пинговать разные хосты через openvpn,
часть хостов просто не отвечает на ICMP-пакеты, т.е. сервер им все-таки их отправляет, а они в ответ тишина
если же пинговать с сервера, то отвечают все...

360. vinni, 13.07.2007 15:36
frs
Я же говорю - смотрите сначала route print на тех хостах, это наиболее распростанённые "грабли для начинающих садоводов" - когда хост назначения не имеет правильного обратного маршрута. Ну а второе - фильтрация (тут сложнее, надо смотреть по всей цепи)

Добавление от 13.07.2007 15:39:

если же пинговать с сервера, то отвечают все...
А сервер пингует эти хосты со своего локального интерфейса 192.168.1.155, и для тех хостов это прилегающая интерфейсная сеть и на неё они маршрут чаще всего имеют!

361. 2life, 18.07.2007 09:43
Добрый день уважаемые знатоки! Появилась необходимость установить OpenVPN только на машинах с Windows XP SP2. Я сделал для серверной машины следующий конфиг, и сразу попал на "траблы", использую openvpn-2.1_rc4-install.exe версию, почему когда Я выбираю connect в gui оболочке, которая установлена на серверной машине, сетевой интерфейс неполучает адрес? Я пробовал прописать руками, но при коннекте он обнуляется, и хочет получить по DHCP, в чем причина? И вообще нужно ли на серверной машине куда то подключаться?


# Указываем пути для сертификатов сервера
# Сертификат центра сертификации
ca ca.crt
# Сертификат сервера
cert ServerVPN.crt
# Ключ сервера
key ServerVPN.key
# Сертификат для шифровки установки соединения
dh dh1024.pem
# тип интерфейса dev tap
# Порт 1194
port 1194
# признак серверной конфигурации
tls-server
# Включаем сжатие
comp-lzo
# 10.10.0.1 255.255.255.0 это шлюз из лок.сети во внеш.сети и маска,
# 10.10.0.2 10.10.0.10 - диапазон для VPN-хостов
server-bridge 10.10.0.1 255.255.255.0 10.10.0.2 10.10.0.10

362. frs, 18.07.2007 12:47
vinniПродолжаю свои попытки решить вопрос
сделал route print на двух хостах .2 и .24. Первый не пингуется, второй без проблем
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 11 11 90 c5 b4 ...... Intel(R) PRO/100 VE Network Connection - Kaspersky Anti-Virus NDIS Miniport
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.155 192.168.1.2 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.2 192.168.1.2 20
192.168.1.2 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.255 255.255.255.255 192.168.1.2 192.168.1.2 20
224.0.0.0 240.0.0.0 192.168.1.2 192.168.1.2 20
255.255.255.255 255.255.255.255 192.168.1.2 192.168.1.2 1
Основной шлюз: 192.168.1.155
===========================================================================
Постоянные маршруты:
Отсутствует


===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 30 05 e1 73 af ...... Realtek RTL8139 Family PCI Fast Ethernet NIC - ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.155 192.168.1.24 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.24 192.168.1.24 20
192.168.1.24 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.255 255.255.255.255 192.168.1.24 192.168.1.24 20
224.0.0.0 240.0.0.0 192.168.1.24 192.168.1.24 20
255.255.255.255 255.255.255.255 192.168.1.24 192.168.1.24 1
Основной шлюз: 192.168.1.155
===========================================================================
Постоянные маршруты:
Отсутствует


Куда теперь копать?

363. 2life, 18.07.2007 14:01
Запустил службу OpenVPN, IP адрес виртуальный интерфейс на сервере получил,
вот лог:

Wed Jul 18 13:10:00 2007 OpenVPN 2.1_rc4 Win32-MinGW [SSL] [LZO2] built on Apr 25 2007
Wed Jul 18 13:10:01 2007 LZO compression initialized
Wed Jul 18 13:10:01 2007 TAP-WIN32 device [OpenVPN] opened: \\.\Global\{4DC772C2-B23A-4BDB-8A88-B76A2BAE7140}.tap
Wed Jul 18 13:10:02 2007 NETSH: netsh interface ip set address "OpenVPN" dhcp
ЋЉ.

Wed Jul 18 13:10:07 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.10.0.1/255.255.255.0 on interface {4DC772C2-B23A-4BDB-8A88-B76A2BAE7140} [DHCP-serv: 10.10.0.0, lease-time: 31536000]
Wed Jul 18 13:10:07 2007 Successful ARP Flush on interface [65540] {4DC772C2-B23A-4BDB-8A88-B76A2BAE7140}
Wed Jul 18 13:10:07 2007 UDPv4 link local (bound): [undef]:1194
Wed Jul 18 13:10:07 2007 UDPv4 link remote: [undef]

Далее немогу подсоеденится с другой машины:

Конфиг:

# Указываем пути для сертификатов сервера
# Сертификат центра сертификации
ca C:\\Program Files\\OpenVPN\\config\\ca.crt
# Сертификат сервера
cert C:\\Program Files\\OpenVPN\\config\\client1.crt
# Ключ сервера
key C:\\Program Files\\OpenVPN\\config\\client1.key

# тип интерфейса
dev tap

# Включаем сжатие
comp-lzo

# Адрес сервера, к которому подключаемся
remote 192.168.xxx.43 1194

# Метод добавления маршрута
# route-method exe

# Пауза перед добавлением маршрутов (в секундах)
route-delay 3

#Говорим, чтобы клиент забирал информацию о маршрутизации с сервера (push опции)
client

# признак клиентской конфигурации
tls-client

Лог:

Wed Jul 18 13:59:35 2007 OpenVPN 2.1_rc4 Win32-MinGW [SSL] [LZO2] built on Apr 25 2007
Wed Jul 18 13:59:35 2007 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Wed Jul 18 13:59:35 2007 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Jul 18 13:59:35 2007 Cannot load certificate file C:\Program: error:02001002:system library:fopen:No such file or directory: error:20074002:BIO routines:FILE_CTRL:system lib: error:140AD002:SSL routines:SSL_CTX_use_certificate_file:system lib
Wed Jul 18 13:59:35 2007 Exiting

В чем может быть проблема?

364. vinni, 18.07.2007 21:06
frs
Куда теперь копать?

Я думаю, теперь копать сюда:
0x2 ...00 11 11 90 c5 b4 ...... Intel(R) PRO/100 VE Network Connection - Kaspersky Anti-Virus NDIS Miniport

Добавление от 18.07.2007 21:13:

2life
Все пути с пробелами надо "кавычить":
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"

365. 2life, 19.07.2007 11:50
Пути с пробелами закавычил, хотя работает и если просто указать что-то типа ca ca.crt .
Теперь у меня client1 подключается к ServerVPN, НО если на виртуальных интерфейсах неуказан явно IP адрес, то автоматом он получается из сети M$ 169.xx.xx.xx ??? Если забить ручками, то все нормально, в чем проблема? Хочу что бы клиент1 и клиент2 получали автоматически IP Адрес.

Т.е. сейчас у сервера виртуальный адрес 10.10.0.1/255.255.255.255.0 (вручную), у первого клиента 10.10.0.1/255.255.255.255.0 (вручную).
Хочу подключить третий компьютер, и дать ему IP адрес 10.10.0.3/255.255.255.255.0 (похоже опять вручную). Команды client-to-client будет достаточно что бы клиент1 видел клиента2?

366. vinni, 19.07.2007 12:12
2life
работает и если просто указать что-то типа ca ca.crt
RTFM, если файлы лежат в папке по умолчанию, то да.

Хочу что бы клиент1 и клиент2 получали автоматически IP Адрес
В настройках OpenVPN-интерфейсов (в Сетевых подключениях Windows) стоит "получить автоматически"?
Служба "DHCP-клиент" (DHCP) запущена?
Фаервол или иной фильтр на этом интерфейсе не блокирует прохождение DHCP-трафика (67-68/udp)?
Что с логе в этом месте на сервере и клиенте?

Команды client-to-client будет достаточно что бы клиент1 видел клиента2?
Со стороны OpenVPN-сервера да. Остальное дело настройки клиентских Windows.

Кроме того, в указанном выше конфиге сервера:
почему нет dev tap ?
Вы уверены в особенностях использования server-bridge ?

367. 2life, 19.07.2007 12:47
Да служба запущена и работает, но все равно сервер получил "Автоматический частный адрес" 169.254.58.88/255.255.0.0, у меня все файрваллы отключены, и антивируса даже нет. Будут смотреть по DHCP дальше.

вот лог:
Thu Jul 19 11:35:59 2007 OpenVPN 2.1_rc4 Win32-MinGW [SSL] [LZO2] built on Apr 25 2007
Thu Jul 19 11:35:59 2007 WARNING: --keepalive option is missing from server config
Thu Jul 19 11:36:00 2007 TAP-WIN32 device [OpenVPN] opened: \\.\Global\{4DC772C2-B23A-4BDB-8A88-B76A2BAE7140}.tap
Thu Jul 19 11:36:00 2007 Sleeping for 5 seconds...
Thu Jul 19 11:36:05 2007 Successful ARP Flush on interface [65540] {4DC772C2-B23A-4BDB-8A88-B76A2BAE7140}
Thu Jul 19 11:36:05 2007 UDPv4 link local (bound): [undef]:1194
Thu Jul 19 11:36:05 2007 UDPv4 link remote: [undef]
Thu Jul 19 11:36:05 2007 Initialization Sequence Completed
Thu Jul 19 11:39:02 2007 192.168.108.143:1194 Re-using SSL/TLS context
Thu Jul 19 11:39:02 2007 192.168.108.143:1194 LZO compression initialized
Thu Jul 19 11:39:02 2007 192.168.108.143:1194 [Client1] Peer Connection Initiated with 192.168.108.143:1194
Thu Jul 19 12:38:14 2007 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Thu Jul 19 12:38:17 2007 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Thu Jul 19 12:38:25 2007 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)


А как сделать что бы они видели друг друга?

dev tap забыл написать тогда, вот текущий конфиг.
# Указываем пути для сертификатов сервера
# Сертификат центра сертификации
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
# Сертификат сервера
cert "C:\\Program Files\\OpenVPN\\config\\ServerVPN.crt"
# Ключ сервера
key "C:\\Program Files\\OpenVPN\\config\\ServerVPN.key"
# Сертификат для шифровки установки соединения
dh "C:\\Program Files\\OpenVPN\\config\\dh1024.pem"

# тип интерфейса
dev tap

# Порт 1194
port 1194

# чтобы vpn клиенты видели друг друга
client-to-client

# признак серверной конфигурации
tls-server

# Включаем сжатие
comp-lzo

# 10.10.0.1 255.255.255.0 это шлюз из лок.сети во внеш.сети и маска,
# 10.10.0.2 10.10.0.10 - диапазон для VPN-хостов
server-bridge 10.10.0.1 255.255.255.0 10.10.0.2 10.10.0.10

Вы уверены в особенностях использования server-bridge ?
Нет неуверен, просто здесь в примере было так написано, я так и сделал.

p.s. ещё вопрос, какие файлы должны быть в папке у Клиента1 по минимому?
Я положил
17.07.2007 16:07 1 208 ca.crt
17.07.2007 16:07 891 ca.key
17.07.2007 16:11 3 487 client1.crt
17.07.2007 16:11 672 client1.csr
17.07.2007 16:11 887 client1.key
19.07.2007 11:43 661 client1.ovpn

Наверное этого много? Просто в примерах про это ничего ненаписано.

368. vinni, 19.07.2007 13:29
2life
какие файлы должны быть в папке у Клиента1 по минимому?
А разве ответ не очевиден? Те, которые указаны в конфиге клиента, а именно:
17.07.2007 16:07 1 208 ca.crt
17.07.2007 16:11 3 487 client1.crt
17.07.2007 16:11 887 client1.key
19.07.2007 11:43 661 client1.ovpn - это собственно, очевидно, сам конфиг клиента

А вот эти лишние:
17.07.2007 16:11 672 client1.csr
17.07.2007 16:07 891 ca.key - а это вообще САМЫЙ СЕКРЕТНЫЙ файл, его (в рамках маниакальной безопасности) вообще рекомендуют хранить в месте, исключающем доступ по сети
Отдавать его клиентам КАТЕГОРИЧЕСКИ запрещено. Представляете что будет, если, "утечёт" скажем аналогичный ключ CA, например, Verising.com или Microsoft? Это же будет полный улёт...


А давайте Вы для начала покажете ipconfig /all с сервера после старта OpenVPN, клиента подключать необязательно.
А также обясните, доступ откуда и куда Вы хотите получить. И акцентируете ответ на протоколах доступа или на приложениях.

Ещё раз обьясню:
dev tap / server-bridge - это метод подключения OpenVPN-клиентов "прямо" в локальную сеть офиса, то есть получается полная аналогия компа в офисной сети. Работают броадкаст-приложения, например, сетевое окружение. Требуется настройка моста в ОС между интерфейсами OpenVPN и LAN. Из минусов - много лишнего мусора гоняется в канале.
dev tap / server - это виртуальный Ethernet-сегмент для OpenVPN-клиентов, от есть между сервером и клиентами работают броадкаст-приложения, например, сетевое окружение, но доступа между Ethernet-сегментами лок.сети за сервером и сетью OpenVPN-клиентов нет. Из минусов - чуть меньше, но тоже лишний мусор гоняется в канале.
dev tun / server - сегментированная сеть между сервером и клиентами.

369. 2life, 19.07.2007 14:49
код:
>ipconfig /all
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : my_comp_name
Основной DNS-суффикс . . . . . . : xxx.xxx.xxx.ru
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : xxx.xxx.xxx.ru
xxx.xxx.ru
xxx.ru
xxx_lan - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/100 M Desktop Adapter
Физический адрес. . . . . . . . . : 00-07-E9-08-86-E9
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.43
Маска подсети . . . . . . . . . . : 255.255.255.0
IP-адрес . . . . . . . . . . . . : 192.168.108.43
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.108.1
DNS-серверы . . . . . . . . . . . : 192.168.108.114
192.168.108.69
OpenVPN - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : TAP-Win32 Adapter V9
Физический адрес. . . . . . . . . : 00-FF-4D-C7-72-C2
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.10.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :


Все адреса забиты вручную.

При dev tap / server-bridge обязательно бриджевать интерфейсы? Я не стал этого делать, и похоже 10.10.0.1 в сети видится, т.е. я могу на него зайти спокойно. Если небриджевать отчего мы отказываемся? От сетевого окружения за сервером?

Vinni: просьба вырезать из логов несущественное и обрамлять тэгами [ code ]

370. vinni, 19.07.2007 15:19
2life
Если небриджевать отчего мы отказываемся? От сетевого окружения за сервером?
Да, от приложений, требующих броадкаст между хостами, в т.ч. и сетевого окружения (есть ещё чаты, которые так же работают - Vipress Chat)

На сервере маршрутизация выключена - "IP-маршрутизация включена . . . . : нет", поэтому в сеть за сервером Вы с клиента не попадёте.

Ок, теперь покажите ipconfig /all, route print и лог (только существенную часть) с клиента после подключения.
Если не хотите "светить", то или аккуратно затирайте информацию или (если доверяете) - в приват. Только обрамляйте тэгом [ code ] (см. моё исправление выше)

371. 2life, 19.07.2007 15:56
Бриджевать нестал из за того, что в этом случае сервер в ребут уходит с версией Rc4.

Как её включить (маршрутизацию)?

код:
Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\Администратор>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : p4
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет

STPNN_LAN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link DFE-530TX PCI Fast Etherne
dapter (rev.C)
Физический адрес. . . . . . . . . : 00-05-5D-74-65-44
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.108.143
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.108.1
DNS-серверы . . . . . . . . . . . : 192.168.108.114
192.168.108.69

OpenVPN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : TAP-Win32 Adapter V9
Физический адрес. . . . . . . . . : 00-FF-5C-EE-47-F1
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.10.0.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

C:\Documents and Settings\Администратор>


код:
Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\Администратор>route print
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 05 5d 74 65 44 ...... D-Link DFE-530TX PCI Fast Ethernet Adapter (re
C) - ¦шэшяюЁЄ яырэшЁют•шър яръхЄют
0x3 ...00 ff 5c ee 47 f1 ...... TAP-Win32 Adapter V9 - ¦шэшяюЁЄ яырэшЁют•шър я
хЄют
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.108.1 192.168.108.143 20
10.10.0.0 255.255.255.0 10.10.0.2 10.10.0.2 30
10.10.0.2 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.10.0.2 10.10.0.2 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.108.0 255.255.255.0 192.168.108.143 192.168.108.143 20
192.168.108.143 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.108.255 255.255.255.255 192.168.108.143 192.168.108.143 20
224.0.0.0 240.0.0.0 10.10.0.2 10.10.0.2 30
224.0.0.0 240.0.0.0 192.168.108.143 192.168.108.143 20
255.255.255.255 255.255.255.255 10.10.0.2 10.10.0.2 1
255.255.255.255 255.255.255.255 192.168.108.143 192.168.108.143 1
Основной шлюз: 192.168.108.1
===========================================================================
Постоянные маршруты:
Отсутствует

C:\Documents and Settings\Администратор>


код:
Thu Jul 19 15:52:34 2007 OpenVPN 2.1_rc4 Win32-MinGW [SSL] [LZO2] built on Apr 25 2007
Thu Jul 19 15:52:34 2007 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Thu Jul 19 15:52:34 2007 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu Jul 19 15:52:34 2007 LZO compression initialized
Thu Jul 19 15:52:34 2007 TAP-WIN32 device [OpenVPN] opened: \\.\Global\{5CEE47F1-A186-4B5A-99D8-ADED9F42986B}.tap
Thu Jul 19 15:52:34 2007 Successful ARP Flush on interface [3] {5CEE47F1-A186-4B5A-99D8-ADED9F42986B}
Thu Jul 19 15:52:34 2007 UDPv4 link local (bound): [undef]:1194
Thu Jul 19 15:52:34 2007 UDPv4 link remote: 192.168.108.43:1194
Thu Jul 19 15:52:35 2007 [<<<deleted by vinni>>>] Peer Connection Initiated with 192.168.108.43:1194
Thu Jul 19 15:52:39 2007 Initialization Sequence Completed

372. vinni, 19.07.2007 16:14
2life
Как её включить (маршрутизацию)?
Включить автозапуск службы "Маршрутизация и удаленный доступ" (RemoteAccess)
Или одноразовый запуск - net start RemoteAccess

OpenVPN - Ethernet адаптер:
Dhcp включен. . . . . . . . . . . : нет

А Вы говорили Dhcp в интерфейсе включён

373. 2life, 19.07.2007 16:32
Службу запустил.

DHCP включается только тогда, когда я выбираю получать IP автоматом, а автоматом он присваивает себе левый адрес из сетей M$

374. vinni, 19.07.2007 16:47
2life
Значит какие-то траблы с прохождением DHCP-трафика на интерфейсе.
Или может глюки бэта-версии, хотя я её пробовал - работало.

375. frs, 19.07.2007 17:12
vinni
Спасибо. Действительно Касперский Антихакер рубил все,что приходило с интерфейса не прописанного у него.

376. 2life, 19.07.2007 18:00
dhcp некртитчно, ручками забъю, интересует вопрос как можно улучшить конфиги, чего добавит, что лишнее, если нужна кокретная задача, я её обрисую.

377. NewOne, 20.07.2007 13:55
2ALL

А кто-нибудь пробовал делать L2 туннель, если OpenVPN сервер и клиент находятся за NATом, причем каждый за своим?
А то у меня что-то не получается.

378. vinni, 20.07.2007 14:30
2life
Улучшить с какой целью?

Добавление от 20.07.2007 14:34:

NewOne
А у меня получается. NAT для OpenVPN-а не является проблемой, более того, скажу более - OpenVPN вообще беспроблемный по отношению к NAT-у в сравнении с PPTP, IPSec...

379. NewOne, 20.07.2007 14:39
цитата:
vinni:
А у меня получается. NAT для OpenVPN-а не является проблемой, более того, скажу более - OpenVPN вообще беспроблемный по отношению к NAT-у в сравнении с PPTP, IPSec...

Спасибо. Буду думать. Кажется есть идея.
А какие порты надо пробрасывать для OpenVPN сервера через NAT?

380. vinni, 20.07.2007 18:44
NewOne
А какие порты надо пробрасывать для OpenVPN сервера через NAT?
Вы первую страницу читали? OpenVPN-конфиг писали?

381. mikas, 26.07.2007 09:54
NewOne
Не все так просто будет. Нужно будет сервер опубликовать на NAT сервере, иначе вы до него не доберетесь. Можно сделать порт маппинг, как самое простое.

Добавление от 26.07.2007 09:56:

vinni
Что-то я не нашел команды для рограничения размера журнала в OpenVPN. Ну и еще проблема: OpenVPN сервер у меня включается вручную по необходимости, а клиент долбится каждые 2 секунды (в точности после перегрузки машины клиента). Как мне увелисичть время между попытками соединиться?

382. vinni, 30.07.2007 14:01
mikas
Ограничение размеров журнала не видел. Но и не искал.

А как Вы запускаете клиента?
С запуском через внешний скрипт не получится ли обработать код возврата, и если надо, то выждать нужную Вам паузу и пойти на новый цикл?

383. mikas, 31.07.2007 02:21
vinni
Клиента запускает слeжба OpenVPN. Получается что прийдется делать через внешний скрипт.

384. SPV82, 01.08.2007 17:46
Обнаружил проблему привязки win32 OpenVPN-клиента к нужному локальному адресу по TCP. На клиенте интерфейс, у которого 2 адреса IP:
цитата:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC
Физический адрес. . . . . . . . . : 00-E0-4C-65-12-0F
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.57.38
Маска подсети . . . . . . . . . . : 255.255.255.0
IP-адрес . . . . . . . . . . . . : 192.168.57.32
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.57.1
DNS-серверы . . . . . . . . . . . : 195.161.195.198
80.237.48.74
NetBIOS через TCP/IP. . . . . . . : отключен
.32 - основной адрес, .38 - IP-алиас, к которому нужно сделать привязку соединения.
В документации по OpenVPN cказано:
цитата:
--local host
Local host name or IP address. If specified, OpenVPN will bind to this address only. If unspecified, OpenVPN will bind to all interfaces.
Т.е. в моем случае это будет выглядеть так:
цитата:
local 192.168.57.38
Проблема: у меня привязка к указанному адресу работает только в том случае, если туннель организован по UDP-протоколу. В случае proto tcp-client OpenVPN ни в какую не привязывается к IP-алиасу, хотя в логе соединения пишется согласно конфигурации:
цитата:
Wed Aug 01 18:39:35 2007 TCPv4_CLIENT link local: 192.168.57.38
Что делать? Почему в proto udp привязка работает, а в proto tcp-client нет? На UDP перейти не могу.
Версия OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Конфиг клиента таков:
код:
dev tun
proto tcp-client
remote xx.xxx.136.16 8888
local 192.168.57.38
route-method exe
client
ns-cert-type server
persist-key
persist-tun
resolv-retry infinite
ca ca.crt
cert Region_Service.crt
key Region_Service.key
tls-auth ta.key 1
comp-lzo
mssfix 1450
status ..\\log\\openvpn-status.log
status-version 2
verb 3

385. vinni, 01.08.2007 18:21
mikas
цитата:
--connect-retry n
For --proto tcp-client, take n as the number of seconds to wait between connection retries (default=5)

SPV82
ИМХО, особенности реализации протокола TCP.

Если бы 192.168.57.38 был отдельным интерфейсом - ИМХО, варианты были бы выше.

В данном случае для исходящего адреса ТСР-соединения выбирается тот адрес, "с которого исходит" маршрут в заданном направлении. Но вот прописать маршрут в данном случае я вариантов не вижу.

386. SPV82, 01.08.2007 19:15
цитата:
vinni:
ИМХО, особенности реализации протокола TCP.
Если бы 192.168.57.38 был отдельным интерфейсом - ИМХО, варианты были бы выше.
В данном случае для исходящего адреса ТСР-соединения выбирается тот адрес, "с которого исходит" маршрут в заданном направлении. Но вот прописать маршрут в данном случае я вариантов не вижу.
Еще раз замечу - при использовании UDP-туннеля привязка работает.
Кстати, эта проблема решена в версии 2.1 rc4 - только что скачал и убедился, так что баг имеет место именно в OpenVPN, а не в реализации TCP. Если бы было иначе, наверняка в документации это отметили бы.

387. vinni, 01.08.2007 20:43
SPV82
Не берусь утверждать на 100% в чём были грабли, но то что TCP и UDP в OpenVPN (и не только) ведут себя по разному "в вопросах" выбора интерфейсов и т.п. - знаю. У меня было наоборот - сервер с двумя внешними интерфейсами и 0-маршрутами через них, так вот входящие ТСР к OpenVPN-серверу работают нормально по обоим интерфейсам, а по UDP работает только по одному. А вот родной MS-овский DNS-сервер корректно работает по 53/udp по обоим интерфейсам.
Спасибо за инфу про 2.1, если будет время, то посмотрю и на этот нюанс.

388. mikas, 02.08.2007 03:40
vinni
--connect-retry n
For --proto tcp-client, take n as the number of seconds to wait between connection retries (default=5)

Я такое пробовал, вышло ужасно! Клиенте через заданый промежуток времени переподключался! Т.е. это никак не влияло на интервал между попытками, зато при установлении соединения клиент через заданный промежуток времени переподключался.
Я так чуть удаленную сторону не потерял и именно после этого сделал резервный тунель для настройки.

389. Ven, 02.08.2007 23:01
Сервер на Linux, клиенты WinXP SP2. Использую build-key-pkcs12 для генерации ключей на сервере.
Расскажу как я начинал все делать:
1. Сгенерил ключ на сервере.
2. Установил OpenVPN GUI на клиенте.
3. Скопировал .p12 в папку config на клиенте.
4. Скопировал файл client.ovpn в папку config на клиенте.
5. Исправил в файле client.ovpn значение параметра pkcs12 на правильное.
6. Запустил .REG следующего содержания:
код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"openvpn-gui"="C:\\Program Files\\OpenVPN\\bin\\openvpn-gui.exe --connect client.ovpn"

7. Перезагрузка (для того, чтобы убедиться что все ОК).
И все работало.
Но потом выяснилось что часть пользователей работает под учетными записями с правами пользователя.
Я знаю что на сайте OpenVPN GUI есть информация о таком варианте запуска программы и даны описания ключей в реестре, но я не все понимаю что там написано.
На таких клиентах я получаю сообщение об ошибке (типа невозможно писать в лог-файл), но все работает
Мне бы хотелось избавить от этого сообщения и запускать OpenVPN как сервис. Это правильней по всем понятиям.
Перейдем к инфе с сайта http://openvpn.se/files/howto/openvpn-howto_run_open…admin-Rev1.1.html
Я хочу понять точное назначение параметров в реестре:
allow_service
service_only
allow_edit
allow_password

Судя по тому, что я вычитал - для того, чтобы сервис стартовал автоматически - надо ручками это исправить. Ну это не проблема - можно же reg-файлом...мне главное точно понять что значит каждый параметр, каково их взаимодействие.
Кстати, а можно вообще лог отключить? Имхо, он не нужен когда все нормально работает.
Окно, которое отображает процесс подключение тоже лишнее, имхо. Думаю, параметры show_script_window и silent_connection как-то связаны с этим окном.
log_append - что это?
allow_edit, allow_password, allow_proxy - а это?
извините что все так сумбурно, я просто новичек в OpenVPN, а хочу чтоб все было хорошо настроено и юзеры не пугались всяких окошек
Заранее благодарю за подробные ответы!

390. vinni, 03.08.2007 01:48
Ven
На таких клиентах я получаю сообщение об ошибке (типа невозможно писать в лог-файл)
Ну так назначьте в конфиге лог в каталог, доступный пользователям на запись, или дайте права записи на каталог ...\OpenVPN\log

но я не все понимаю что там написано.
Но мы же тоже не можем ВСЁ объяснить, так ведь?


allow_service - OpenVPN-GUI сможет стартовать/стоп-ать сервис OpenVPNservice
service_only - чуть иначе показывает меню управления сервисом и чуть меньше показывает всего остального
allow_edit - показывает пункт редактирования для каждого конфига
allow_password - показывает пункт установки/изменения пароля к секретному ключу для каждого конфига
log_append - добавлять лог в хвост существующего файла
allow_proxy - показывать пункт меню "Proxy Settings"

Судя по тому, что я вычитал - для того, чтобы сервис стартовал автоматически
Надо всего лишь включить автозапуск этого сервиса (OpenVPNservice) в управлении сервисами ОС Windows.

Кстати, а можно вообще лог отключить?
Если не использовать OpenVPN-GUI (или управлять из него сервисом), то если лог не включать (log, log-append), то его и не будет.
А при использовании OpenVPN-GUI лог в конфиге как раз включать не надо, а то GUI будет КАЖДЫЙ РАЗ ругаться, т.к. он "перехватывает" лог.
Может проще сделать лог минимальным? - verb 1
Ну а отключить можно - log nul, но в случае с GUI это будут ещё бОльшие траблы.

391. mikas, 03.08.2007 06:04
vinni
--connect-retry n
For --proto tcp-client, take n as the number of seconds to wait between connection retries (default=5)

Да... и у меня udp используется.

392. Ven, 03.08.2007 09:37
цитата (vinni):
allow_service - OpenVPN-GUI сможет стартовать/стоп-ать сервис OpenVPNservice
Это будут делать пункты connect/disconnect?

Windows.
цитата (vinni):
Надо всего лишь включить автозапуск этого сервиса (OpenVPNservice) в управлении сервисами ОС Windows.
Отлично! Значит я это сделаю с помощью ключа реестра

цитата (vinni):
Если не использовать OpenVPN-GUI (или управлять из него сервисом), то если лог не включать (log, log-append), то его и не будет.
Объясните пожалуйста более подробно. Где log? Я не нашел такого параметра в реестре. Это в конфиге? log-append - такого нет в реестре...там есть log_append. Я не придераюсь к мелочам, я просто хочу разобраться

цитата (vinni):
А при использовании OpenVPN-GUI лог в конфиге как раз включать не надо, а то GUI будет КАЖДЫЙ РАЗ ругаться, т.к. он "перехватывает" лог.
А где его там включать не надо?

цитата (vinni):
Может проще сделать лог минимальным? - verb 1
Не понимаю зачем мне вообще лог если у меня все отлично работает. Будут проблемы - включу лог.

цитата (vinni):
Ну а отключить можно - log nul, но в случае с GUI это будут ещё бОльшие траблы.
Объясните пожалуйста где этот log nul. Что значит в случае с GUI? Я планирую использовать сервис. Запуск openvpn-gui.exe меня вообще мало интересует теперь. А о каких траблах идет речь?

Спасибо!!

393. vinni, 03.08.2007 11:11
цитата (Ven):

1. Это будут делать пункты connect/disconnect?

2. Отлично! Значит я это сделаю с помощью ключа реестра

3. Объясните пожалуйста более подробно. Где log? Я не нашел такого параметра в реестре. Это в конфиге?

4.
цитата (vinni):
А при использовании OpenVPN-GUI лог в конфиге как раз включать не надо, а то GUI будет КАЖДЫЙ РАЗ ругаться, т.к. он "перехватывает" лог.
А где его там включать не надо?

5. Не понимаю зачем мне вообще лог если у меня все отлично работает. Будут проблемы - включу лог.

6. Объясните пожалуйста где этот log nul.

7. Что значит в случае с GUI? А о каких траблах идет речь?
1. Start, Stop, Restart.
2. Мы не ищем лёгких путей?
3. В конфиг-файле (*.ovpn)
4. Ответ дан в моей же фразе - "лог в конфиге"
5. OpenVPN-GUI именно по логу отслеживает сосотояние соединения, поэтому ему (то есть OpenVPN-GUI) лог нужен.
6. В конфиг-файле (*.ovpn). Это конанда создаёт log в файле с именем nul, которое в Win является спец.именем "чёрной дыры"
7. Включите и посмотрите - лучше 1 раз увидеть чем 7 раз услышать. Будут надоедливые сообщения об "ошибках"

И в целом - пожалуйста, побольше личной инициативы. Добрую половину ответов Вы можете посмотреть и проверить сами, потратив 1-2 минуты.

394. Ven, 03.08.2007 11:45
2. Наоборот - я же хочу автоматизировать установку. Кто мешает сделать свой REG-файл, который будет автоматически добавлять инфу в реестр после установки?

Спасибо за помощь! Буду пробовать

395. vinni, 03.08.2007 11:55
Ven
А... Ну тогда да.
Сервис при установке ставится автоматически, он лишь не включается на автозапуск.

396. Ven, 03.08.2007 11:58
Да, это я знаю.

397. SPV82, 04.08.2007 15:04
С чем может быть связано то, что клиенту теперь для успешного подключения пришлось добавить опцию float в конфиг (лог-файл подсказал)? До этого примерно неделю-две все работало исправно. IP сервера статический (ADSL-модем через PPPoE). Клиент - за NAT провайдера. Проблема обнаружилась только с одним сервером, с остальными проблем нет, т.е. видимо проблема не на стороне клиента.

Все бы ничего, но после этого обнаружилась неприятность - после потери связи с сервером клиенту необходимо выполнить reconnect вручную, т.к. теперь сервер после входящего запроса клиента инициирует ответное входящее соединение с динамического порта, а ранее было только исходящее от клиента на указанный порт сервера. Туннель - UDP, а вот при использовании TCP и без float на клиенте все работает. Но TCP использовать по некоторым причинам не могу. Теряюсь в догадках....

398. Ven, 04.08.2007 15:11
А если использовать сервис, то откуда сервис знает о том, какой из конфигов использовать?
ладно, у меня конфиг один...а автоконнект у сервиса есть?

399. SPV82, 04.08.2007 15:25
цитата:
Ven:
А если использовать сервис, то откуда сервис знает о том, какой из конфигов использовать?
ладно, у меня конфиг один...а автоконнект у сервиса есть?
Под Win? У меня сервис запускает все соединения по конфигам, в которых определены их привязки к интерфейсам опцией dev-node.
Автоконнект - при запуске сервиса.

400. Ven, 04.08.2007 15:37
Да, клиенты под Win.
Я не знаю что такое dev-node, но, кажется, у меня какая-то проблема - один из клиентов постоянно реконнектится...не понмаю что за бред...у меня такое впечатлению, что гуи конфликтует с сервисом.

401. SPV82, 04.08.2007 17:12
Про dev-node описано в руководстве на сайте или в "openvpn.exe --help".
Не понимаю зачем вам запуск через GUI, если у вас стартует сервис. Выберите одно.

402. Ven, 04.08.2007 17:56
Можете объяснить как выполняется запуск клиента с помощью сервиса и коннект к серверу?

403. SPV82, 04.08.2007 19:56
services.msc - OpenVPN Service - Тип запуска: Авто

404. Ven, 04.08.2007 20:05
ГУИ при этом вообще лучше не запускать?

405. vinni, 04.08.2007 20:44
цитата (Ven):
А если использовать сервис, то откуда сервис знает о том, какой из конфигов использовать?
ладно, у меня конфиг один...а автоконнект у сервиса есть?
Запускает ВСЕ соединения, то есть все файлы *.ovpn
В паре случаев мне надо было обеспечить запуск всех соединений, кроме одного, я делал просто - уч.записи, под которой запущен сервер, я запрещал доступ к нужному файлу .ovpn

ГУИ при этом вообще лучше не запускать?
Как хотите - можно запускать, можно не запускать. Но запускайте просто OpenVPN-GUI.exe без параметра connect

Добавление от 04.08.2007 21:01:

цитата (SPV82):
С чем может быть связано то, что клиенту теперь для успешного подключения пришлось добавить опцию float в конфиг (лог-файл подсказал)? До этого примерно неделю-две все работало исправно. IP сервера статический (ADSL-модем через PPPoE). Клиент - за NAT провайдера. Проблема обнаружилась только с одним сервером, с остальными проблем нет, т.е. видимо проблема не на стороне клиента.
ИМХО, всё просто, такую же свою ситуацию я Вам и приводил как пример.
Скорее всего, у сервера не совпадает маршрут и/или условия NAT-а. Например, у сервера 2 интерфейса - А и Б, причём основной шлюз используется через интерфейс А. Если Вы соединяетесь на интерфейс Б, то ответный пакет ВСЁ РАВНО уйдёт через интерфейс А и именно с адреса А (см.прим.) Вот эта ситуация (запрос отправлен на Б, а ответ получен с А) и "клинит" клиента. В т.ч. для решения этой проблемы я и использую в нескольких местах proto ТСР* и на серверах задействованы ВСЕ шлюзы по всем всем интерфейсам.

Прим.
Это особенность самих протоколов UDP и ТСР. В случае с ТСР сам протокол обеспечивает корректную отправку пакетов в рамках установленного соединения и ес-нно всегда отвечает с того адреса, на который пришёл запрос. Но тем не менее пакет может пойти иным маршрутом и, например, некорректно пройти через NAT. Тем не менее, например, Win по ТСР корректно отрабатывает ситуацию с несколькими основными шлюзами и отвечает на входящее соединение именно через шлюз того интерфейса, на который это соединение пришло. А вот та же ситуация с UDP не проходит - если UDP-порт открыт на всех интерфейсах (0.0.0.0), то здесь приложение "само" должно указать с какого адреса отправить пакет, иначе Win сама поставит адрес того интерфейса, с которого "исходит" маршрут на указанную цель. OpenVPN не делает анализ адреса источника при использовании UDP, вероятно это можно "вылечить" командой local, привязав его только к нужному интерфейсу. А вот некоторые другие приложения умеют правильно отрабатывать адрес источника при использовании UDP с несколькими интерфейсами - в качестве примера я уже приводил "родной" DNS-сервер.

Добавление от 04.08.2007 21:05:

SPV82
Кстати, похожая ситуация может быть и зеркальной - сервер тоже может "ругаться на клиента", если у того изменился адрес.

Кстати, для увеличения надёжности сервера, особенно при необходимости float указания на сервере, рекомендуется использование tls-auth

406. Ven, 05.08.2007 00:00
Ставлю OpenVPN, меняю тип запуска сервиса, копирую конфиг+ключ в папку config, стартую сервис.
Могу работать.
После ребута все ок?
Никаких ошибок под юзером не получу после ребута?

407. vinni, 05.08.2007 15:01
Ven
Здесь не гадают на коф. гуще. Могут быть десятки иных проблем.
Лучше пробовать, проверять и задавать конкретные вопросы.

408. SPV82, 06.08.2007 10:14
vinni
Спасибо за идею.
VPN-сервер установлен на Win 2003 EE, который имеет один сетевой интерфейс с 2мя IP-адресами из одной подсети. Шлюз по умолчанию - адрес ADSL-модема, на котором включен NAT.
Пробовал указывать на сервере привязку local к основному IP, но в этом случае на клиенте вообще никаких признаков соединения, на сервере в логе тоже ноль. Указал привязку на сервере к IP-алиасу и все заработало... Опять теряюсь в догадках почему на основной IP нет соединения, а на IP-алиас - есть.
К сожалению, последний windump + последний WinPCap не видит на сервере кроме dial-up адаптера ничего, а то можно было бы проследить с какого адреса сервер отвечает в случае без указания привязки local.

409. mikas, 06.08.2007 10:28
vinni
я все же разобрался с маршрутизацией в сети за клиентом. В каталог ccd с CNAME имя файла нужно добавить строку:
iroute x.x.x.x 255.255.255.0
где x.x.x.x - подсеть за клиентом.

410. vinni, 06.08.2007 12:19
SPV82
К сожалению, последний windump + последний WinPCap не видит на сервере кроме dial-up адаптера ничего, а то можно было бы проследить с какого адреса сервер отвечает в случае без указания привязки local.
Возьмите вот это, это не снифер интерфейса, а фильтр/монитор в IP-стеке (он видит даже 127.0.0.1 <-> 127.0.0.1) - Бесплатный монитор (включая процесс) и фильтр IP-пакетов (IP, TCP, UDP, ICMP, ICQ, по содержимому пакета (ZIP, RAR, MP3, AVI, EXE, PNG), ограничение скорости) для x86/x64 - вер.2.5 (http://forum.ixbt.com/topic.cgi?id=7:22564)

mikas
Так вроде iroute уже давно не является военной тайной и именно так и делается.

411. SPV82, 06.08.2007 17:47
цитата:
vinni:
Так вроде iroute уже давно не является военной тайной и именно так и делается.
У меня выдача маршрута на сеть за сервером почему-то заработало только через push "route ...", через iroute - ноль реакции в клиентском логе... Никто не в курсе почему может быть так?

412. Ven, 06.08.2007 18:02
Есть у меня Linux-сервер OpenVPN (типа центральный), к нему коннектятся через инет с разных офисов (Linux, Windows).
Стало нехватать пропускной способности интернет-канала на центральном сервере.

Есть возможность подключить еще один интернет-канал.
Можно будет часть подключающихся клиентов перевести на новый канал, а часть оставить на старом?
Оба канала в инет у меня ADSL+PPPoE - PPPoE сессия поднимается сервером, модем в бридже.

413. vinni, 06.08.2007 20:26
SPV82
iroute - это команда серверная, в режиме tun с сегментированной ovpn-сетью ovpn-сервер должен сам знать (а не ОС, т.к. в ovpn-подсетях маршрутизирует именно ovpn-сервер), в какой из тунелей отправлять пакеты для какой подсети. Без iroute можно обойтись (в 2.0.*) в варианте dev tap, когда на IP-уровне маршрутизирует сама ОС, а ovpn-сервер "раскидывает" по МАС-адресам.

Ven
Вам надо будет тем или иным способом раскидать клиентов по разным каналам. Со стороны клиентов всё просто - remote на разные точки входа. А вот на сервере не так просто.
- Или Вы научите сервер маршрутизировать в 2 интерфейса, что может потребовать source-based-routing
- Или Вы пропишете статические маршруты для клиентов (это проще всего, но недостаточно гибко и терует, чтобы клиенты были из разных подсетей. То есть, если большинство клиентов выходят из одного адреса, то таким способом их раскидать не получится)
- Или поставите внешний роутер, который сумеет роутить в 2 интерфейса
- Или ещё что-то

414. Ven, 07.08.2007 11:02
Из наиболее понятного мне:
цитата:
- Или Вы пропишете статические маршруты для клиентов (это проще всего, но недостаточно гибко и терует, чтобы клиенты были из разных подсетей. То есть, если большинство клиентов выходят из одного адреса, то таким способом их раскидать не получится)
- Или поставите внешний роутер, который сумеет роутить в 2 интерфейса
я хочу разделить пользователей по офисам, то есть:
офис в Киеве...внутри у них сеть 192.168.10.0/255.255.255.0. все пользователи ходят в инет и в впн туннель через линух-сервер...я хочу чтобы все они (эти пользователи), а сл-но и впн-туннель коннектился на донецкий сервер на определенный айпи (второй канал).
еще есть склад (192.168.1.0/255.255.255.0)....это отдельный офис...я хочу чтобы оттуда все коннектились на другой айпи сервера.

как это сделать на клиентах я понимаю - в remote поменять просто айпи сервера.
а вот как настроить сервер я еще не сильно понимаю.

расскажите пожалуйста подробней тех двух вариантах, что я процитировал.

415. vinni, 07.08.2007 12:01
Ven
1. Определить внешние IP, через который подключаются Киев.офис и склад к Вашему серверу.
2. На ovpn-сервере прописать маршруты на эти IP через разные шлюзы (каналы) донецного офиса.

416. Ven, 08.08.2007 15:37
Вот еще вопрос возник.
Есть центральный сервер линуховый, к нему коннектятся десять удаленных клиентов. Все эти 10 клиентов находятся в одном удаленном от центрального сервера офисе. в этом офисе у них адреса из 192.168.1.0/24.
А у линухового сервера есть интерфейс 192.168.0.1 и смотрит он в свою внутреннюю сеть центрального офиса.
мне нужно чтобы вся внутр. сеть центрально офиса (192.168.0.0/24) могла получать доступ ко всем клиентам удаленного доступа, используя айпишники из сети 192.168.1.0/24.

Есть мысль, что без маршрутизатора в удаленном офисе не обойтись...но может быть кто-то обрадует меня другим мнением

417. vinni, 08.08.2007 15:59
Ven
dev tun ?
Если не делать это централизованно, а так и оставить, что "каждый клиент сам за себя", то можно так:

В конфиге ovpn-сервера пропишите
route 192.168.1.0 255.255.255.0

В ccd-файлах клиентов на сервере для каждого клиента напишите
iroute 192.168.1.x (то есть его собственный LAN-овский адрес)

Теперь при подключении клиента к нему можно будет обращаться и по его LAN-адресу.

А можно поднять нормальную межсетевую маршрутизацию, выделив для этого всего 1 хост в той удалённой сети, и получив доступ между всеми хостами сразу.

Добавление от 08.08.2007 16:01:

P.S. на хостах сети 192.168.0.* или шлюзом по умолчанию должен быть 192.168.0.1 или же надо прописать через него маршрут на сеть 192.168.1.0/24

418. Ven, 08.08.2007 17:50
отвечаю последовательно
1. Да, dev tun

2. Открываю: /etc/openvpn/server.conf
добавляю в него строку: route 192.168.1.0 255.255.255.0

3. Открываю: /etc/openvpn/ccd
Тут всего-то два файла:
donetsk:
код:
iroute 192.168.10.0 255.255.255.0

это внутренняя сеть одного киевского офиса

x1:
код:
iroute 192.168.10.0 255.255.255.0


То есть два файла с одинаковым содержанием.
Мне нужно вручную создать остальные файлы или как?


4. А как поднять эту самую "нормальную межсетевую маргрутизацию"?

5. На хостах 192.168.1.0/24 стоит одни шлюз 192.168.0.1.

419. vinni, 08.08.2007 18:11
Ven
Вам понятно что такое ccd?
Если нет, то читайте первую страницу или man
В этом каталоге хранятся дополнительные конфиг файлы, которые сервер исполняет индивидуально для каждого клиента. Имена файлов должны быть в точности равны CN-именам клиентов.

Да, файлы создать вручную.

как поднять эту самую "нормальную межсетевую маргрутизацию"?
1. На одном удалённом узле-клиенте поднять соединение к серверу. Проще всего, если это основной шлюз, тогда пункты 3-4 не нужны.
2. Для этого клиента на сервере в ccd объявить iroute 192.168.1.0 255.255.255.0
3. Включить на нём маршрутизацию.
4. На остальных клиентах обеспечить маршрут в удалённую сеть 192.168.0/24 через этот хост.

420. Ven, 10.08.2007 08:57
Спасибо за помощь. С помощью CCD сделал, работает!

Вот еще проблема на клиенте (Windows Server 2003 Enterprise). Служба маршрутизации отключена, фаервола тоже.

код:
Fri Aug 10 07:50:32 2007 route ADD 192.168.0.0 MASK 255.255.255.0 10.8.0.9
Fri Aug 10 07:50:32 2007 Warning: route gateway is not reachable on any active network adapters: 10.8.0.9
Fri Aug 10 07:50:32 2007 Route addition via IPAPI failed
Fri Aug 10 07:50:32 2007 route ADD 192.168.10.0 MASK 255.255.255.0 10.8.0.9
Fri Aug 10 07:50:32 2007 Warning: route gateway is not reachable on any active network adapters: 10.8.0.9
Fri Aug 10 07:50:32 2007 Route addition via IPAPI failed
Fri Aug 10 07:50:32 2007 route ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.9
Fri Aug 10 07:50:32 2007 Warning: route gateway is not reachable on any active network adapters: 10.8.0.9
Fri Aug 10 07:50:32 2007 Route addition via IPAPI failed
Fri Aug 10 07:50:32 2007 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )

Ссылку смотрел. Там сказано о способах netsh, ipapi и manual.
Объясните пожалуйста что имеется ввиду.

421. vinni, 10.08.2007 17:17
Ven
route print с этого клиента покажите.
Также могут понадобиться конфиги сервера и этого клиента

422. Ven, 11.08.2007 01:00
код:

C:\Documents and Settings\Administrator.HOME-6F1US6PFG5>route print

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 ff a5 1a 42 99 ...... TAP-Win32 Adapter V8
0x10004 ...44 45 53 54 60 08 ...... Kerio VPN adapter
0x10005 ...00 40 f4 b5 e6 ca ...... Realtek RTL8139 Family PCI Fast Ethernet NIC
0x10006 ...00 03 47 a4 74 a2 ...... Intel(R) PRO/100 VM Network Connection
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 172.27.33.3 169.254.18.157 1
10.0.0.1 255.255.255.255 10.0.5.1 10.0.5.210 1
10.0.5.0 255.255.255.0 10.0.5.210 10.0.5.210 20
10.0.5.149 255.255.255.255 10.0.5.210 10.0.5.210 1
10.0.5.210 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.0.5.210 10.0.5.210 20
64.12.0.0 255.255.0.0 10.0.5.1 10.0.5.210 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.0.0 255.255.0.0 169.254.60.30 169.254.60.30 30
169.254.18.0 255.255.255.0 169.254.18.157 169.254.18.157 20
169.254.18.157 255.255.255.255 127.0.0.1 127.0.0.1 20
169.254.60.30 255.255.255.255 127.0.0.1 127.0.0.1 30
169.254.255.255 255.255.255.255 169.254.18.157 169.254.18.157 20
169.254.255.255 255.255.255.255 169.254.60.30 169.254.60.30 30
172.27.33.0 255.255.255.0 172.27.33.1 169.254.18.157 20
172.27.33.1 255.255.255.255 127.0.0.1 127.0.0.1 20
172.27.255.255 255.255.255.255 169.254.18.157 169.254.18.157 20
192.168.254.0 255.255.255.0 192.168.254.1 192.168.254.1 20
192.168.254.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.254.255 255.255.255.255 192.168.254.1 192.168.254.1 20
205.188.0.0 255.255.0.0 10.0.5.1 10.0.5.210 1
224.0.0.0 240.0.0.0 10.0.5.210 10.0.5.210 20
224.0.0.0 240.0.0.0 169.254.18.157 169.254.18.157 20
224.0.0.0 240.0.0.0 169.254.60.30 169.254.60.30 30
224.0.0.0 240.0.0.0 192.168.254.1 192.168.254.1 20
255.255.255.255 255.255.255.255 10.0.5.210 10.0.5.210 1
255.255.255.255 255.255.255.255 169.254.18.157 169.254.18.157 1
255.255.255.255 255.255.255.255 169.254.60.30 169.254.60.30 1
255.255.255.255 255.255.255.255 192.168.254.1 192.168.254.1 1
Основной шлюз: 172.27.33.3
===========================================================================
Постоянные маршруты:
Отсутствует

423. vinni, 11.08.2007 01:45
Покажите также ipconfig /all и до кучи сразу конфиги сервера и клиента

424. Ven, 11.08.2007 01:55
код:

C:\Documents and Settings\Administrator.HOME-6F1US6PFG5>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : home-6f1us6pfg5
Основной DNS-суффикс . . . . . . : dms.ru
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : dms.ru

VPN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8
Физический адрес. . . . . . . . . : 00-FF-A5-1A-42-99
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес автонастройки. . . . . . : 169.254.60.30
Маска подсети . . . . . . . . . . : 255.255.0.0
Основной шлюз . . . . . . . . . . :

Kerio VPN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Kerio VPN adapter
Физический адрес. . . . . . . . . : 44-45-53-54-60-08
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 172.27.33.1
Маска подсети . . . . . . . . . . : 255.255.255.0
IP-адрес . . . . . . . . . . . . : 169.254.18.157
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 172.27.33.3
DHCP-сервер . . . . . . . . . . . : 169.254.18.156
NetBIOS через TCP/IP. . . . . . . : отключен
Аренда получена . . . . . . . . . : 11 августа 2007 г. 0:46:32
Аренда истекает . . . . . . . . . : 11 августа 2007 г. 0:49:32

IRIS - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC
Физический адрес. . . . . . . . . : 00-40-F4-B5-E6-CA
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.0.5.210
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 10.0.0.1

HOME - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/100 VM Network Connection
Физический адрес. . . . . . . . . : 00-03-47-A4-74-A2
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.254.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

C:\Documents and Settings\Administrator.HOME-6F1US6PFG5>


код:

client
dev tun
dev-node VPN
proto tcp
remote <IP-адрес сервера> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
pkcs12 Ven.p12
comp-lzo
verb 3


код:

port 1194
proto tcp
dev tun
ca ca.crt
cert kiev.crt
key kiev.key # This file should be kept secret
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.0.0 255.255.255.0"
client-config-dir ccd
route 192.168.10.0 255.255.255.0
route 192.168.1.0 255.255.255.0
client-to-client
push "route 192.168.10.0 255.255.255.0"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3
mute 20

425. vinni, 11.08.2007 02:31
У Вас OpenVPN-клиент не получает правильный адрес - он должен получить его из сети 10.8.0.0 255.255.255.0, а "получает" 169.254.60.30. Предположу, что нечто блокирует DHCP-трафик на интерфейсе "VPN - Ethernet адаптер" или выключена служба DHCP-клиент.
У Вас стоит Kerio WinRoute Firewall? Тогда может и он "мешать", откройте в нём весь трафик на этом интерфейсе.

426. Ven, 11.08.2007 02:38
Служба работает. Интерфейс стоит в исключениях.

427. vinni, 11.08.2007 02:51
И тем не менее. Что-то "мешает"... Включите более детальные логи (verb 5) и разбирайтесь.

428. Ven, 11.08.2007 02:59
ок, спасибо!

Добавление от 11.08.2007 03:03:

Первое что бросается в глаза:

код:

Sat Aug 11 01:59:36 2007 us=308115 dhcp_options = DISABLED
Sat Aug 11 01:59:36 2007 us=308151 dhcp_renew = DISABLED
Sat Aug 11 01:59:36 2007 us=308187 dhcp_pre_release = DISABLED
Sat Aug 11 01:59:36 2007 us=308223 dhcp_release = DISABLED

Добавление от 11.08.2007 03:14:

Пока что мне помоглу только вот что:
1. Отключил сетевой интерфейс в сетевых подключениях, включил.
2. Перезапустил сервис...и вот теперь интерфейс получил айпишник нормальный.

Добавление от 11.08.2007 03:18:

хм...айпишник получил, а вот ошибки в логе все те же...
перезпустил сервис еще раз и вот теперь все ПОЧТИ ок

код:

Sat Aug 11 02:16:46 2007 us=216724 route ADD 192.168.0.0 MASK 255.255.255.0 10.8.0.9
Sat Aug 11 02:16:46 2007 us=224495 Route addition via IPAPI succeeded
Sat Aug 11 02:16:46 2007 us=224570 route ADD 192.168.10.0 MASK 255.255.255.0 10.8.0.9
Sat Aug 11 02:16:46 2007 us=231532 Route addition via IPAPI succeeded
Sat Aug 11 02:16:46 2007 us=231609 route ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.9
Sat Aug 11 02:16:46 2007 us=245626 Route addition via IPAPI succeeded
Sat Aug 11 02:16:46 2007 us=245701 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )

смущает последняя строка.

429. SPV82, 11.08.2007 09:13
цитата:
Ven:
хм...айпишник получил, а вот ошибки в логе все те же...
перезпустил сервис еще раз и вот теперь все ПОЧТИ ок
Sat Aug 11 02:16:46 2007 us=231609 route ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.9
Sat Aug 11 02:16:46 2007 us=245626 Route addition via IPAPI succeeded
Sat Aug 11 02:16:46 2007 us=245701 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )
смущает последняя строка.
Попробуйте "route-method exe". Только вот в случае с Kerio Winroute/Kerio Server Firewall работает OpenVPN часто нестабильно, у самого такая проблема наблюдалась с Kerio Server Firewall, причем даже при его отключенной службе... Помогал костыль в шедулере при старте винды из devcon.exe disable/enable TAP-Win32 adapter + net start openvpnservice

430. Ka6y4u, 17.08.2007 12:55
люди помогите пл3... настраивал по вашемсу факу VPN один в один все ра6отало ок... а вот router пишет что коннект.. но его нет.. ни4его не понимаю...

клиент пишет
код:
Fri Aug 17 12:40:35 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Fri Aug 17 12:40:35 2007 WARNING: No server certificate verification method has been enabled. See [url=http://openvpn.net/howto.html#mitm]http://openvpn.net/howto.html#mitm[/url] for more info.
Fri Aug 17 12:40:35 2007 LZO compression initialized
Fri Aug 17 12:40:35 2007 Attempting to establish TCP connection with 89.222.146.52:9000
Fri Aug 17 12:40:35 2007 TCP connection established with 89.222.146.52:9000
Fri Aug 17 12:40:35 2007 TCPv4_CLIENT link local: [undef]
Fri Aug 17 12:40:35 2007 TCPv4_CLIENT link remote: 89.222.146.52:9000
Fri Aug 17 12:40:35 2007 [hostname] Peer Connection Initiated with 89.222.146.52:9000
Fri Aug 17 12:40:39 2007 RESOLVE: Cannot resolve host address: -p: [HOST_NOT_FOUND] The specified host is unknown.
Fri Aug 17 12:40:39 2007 OpenVPN ROUTE: failed to parse/resolve route for host/network: -p
Fri Aug 17 12:40:39 2007 TAP-WIN32 device [Подключение по локальной сети 5] opened: \\.\Global\{96E67475-DF2D-408D-96A6-BDEE24BFA08E}.tap
Fri Aug 17 12:40:39 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {96E67475-DF2D-408D-96A6-BDEE24BFA08E} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Fri Aug 17 12:40:39 2007 NOTE: could not get adapter index for \DEVICE\TCPIP_{96E67475-DF2D-408D-96A6-BDEE24BFA08E}, status=55 : Сетевой ресурс или устройство более недоступно.
Fri Aug 17 12:41:09 2007 Warning: route gateway is not reachable on any active network adapters: 10.8.0.5
Fri Aug 17 12:41:09 2007 Warning: route gateway is not reachable on any active network adapters: 10.8.0.5
SYSTEM ROUTING TABLE
0.0.0.0 0.0.0.0 192.168.0.254 p=0 i=2 t=4 pr=3 a=1151 h=0 m=1/-1/-1/-1/-1
127.0.0.0 255.0.0.0 127.0.0.1 p=0 i=1 t=3 pr=2 a=71274 h=0 m=1/-1/-1/-1/-1
192.168.0.0 255.255.255.0 192.168.0.49 p=0 i=2 t=3 pr=2 a=71269 h=0 m=20/-1/-1/-1/-1
192.168.0.49 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=71269 h=0 m=20/-1/-1/-1/-1
192.168.0.255 255.255.255.255 192.168.0.49 p=0 i=2 t=3 pr=2 a=71269 h=0 m=20/-1/-1/-1/-1
224.0.0.0 240.0.0.0 192.168.0.49 p=0 i=2 t=3 pr=2 a=71269 h=0 m=20/-1/-1/-1/-1
255.255.255.255 255.255.255.255 192.168.0.49 p=0 i=2 t=3 pr=2 a=71274 h=0 m=1/-1/-1/-1/-1
SYSTEM ADAPTER LIST
ASUSTeK/Broadcom 440x 10/100 Integrated Controller - Минипорт планировщика пакетов
Index = 2
GUID = {306AB195-16EE-49B0-8D52-8F52373DD298}
IP = 192.168.0.49/255.255.255.0
MAC = 00:0c:6e:34:0e:03
GATEWAY = 192.168.0.254/0.0.0.0
Fri Aug 17 12:41:09 2007 Initialization Sequence Completed With Errors ( see [url=http://openvpn.net/faq.html#dhcpclientserv]http://openvpn.net/faq.html#dhcpclientserv[/url] )


сервер пишет
код:
Fri Aug 17 12:39:46 2007 cert/192.168.0.49:2568 Connection reset, restarting [-1]
Fri Aug 17 12:40:35 2007 Re-using SSL/TLS context
Fri Aug 17 12:40:35 2007 LZO compression initialized
Fri Aug 17 12:40:35 2007 TCP connection established with 192.168.0.49:2580
Fri Aug 17 12:40:35 2007 TCPv4_SERVER link local: [undef]
Fri Aug 17 12:40:35 2007 TCPv4_SERVER link remote: 192.168.0.49:2580
Fri Aug 17 12:40:36 2007 192.168.0.49:2580 [cert] Peer Connection Initiated with 192.168.0.49:2580
Fri Aug 17 12:48:00 2007 SIGTERM[hard,] received, process exiting
Fri Aug 17 12:47:59 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Fri Aug 17 12:48:01 2007 RESOLVE: Cannot resolve host address: -p: [NO_DATA] The requested name is valid but does not have an IP address.
Fri Aug 17 12:48:01 2007 OpenVPN ROUTE: failed to parse/resolve route for host/network: -p
Fri Aug 17 12:48:01 2007 TAP-WIN32 device [sunsar] opened: \\.\Global\{EF6F001C-25D3-4413-BA13-1E74F6D86DC6}.tap
Fri Aug 17 12:48:01 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.1/255.255.255.252 on interface {EF6F001C-25D3-4413-BA13-1E74F6D86DC6} [DHCP-serv: 10.8.0.2, lease-time: 31536000]
Fri Aug 17 12:48:01 2007 Sleeping for 10 seconds...
Fri Aug 17 12:48:11 2007 Successful ARP Flush on interface [196610] {EF6F001C-25D3-4413-BA13-1E74F6D86DC6}
SYSTEM ROUTING TABLE
0.0.0.0 0.0.0.0 89.222.146.1 p=0 i=65542 t=4 pr=3 a=75764 h=0 m=20/-1/-1/-1/-1
10.8.0.0 255.255.255.252 10.8.0.1 p=0 i=196610 t=3 pr=2 a=9 h=0 m=30/-1/-1/-1/-1
10.8.0.0 255.255.255.0 10.8.0.2 p=0 i=196610 t=4 pr=3 a=0 h=0 m=1/-1/-1/-1/-1
10.8.0.1 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=9 h=0 m=30/-1/-1/-1/-1
10.255.255.255 255.255.255.255 10.8.0.1 p=0 i=196610 t=3 pr=2 a=9 h=0 m=30/-1/-1/-1/-1
89.222.146.0 255.255.255.0 89.222.146.52 p=0 i=65542 t=3 pr=2 a=75764 h=0 m=20/-1/-1/-1/-1
89.222.146.52 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=75764 h=0 m=20/-1/-1/-1/-1
89.255.255.255 255.255.255.255 89.222.146.52 p=0 i=65542 t=3 pr=2 a=75764 h=0 m=20/-1/-1/-1/-1
127.0.0.0 255.0.0.0 127.0.0.1 p=0 i=1 t=3 pr=2 a=75764 h=0 m=1/-1/-1/-1/-1
192.168.0.0 255.255.255.0 192.168.0.254 p=0 i=65541 t=3 pr=2 a=75764 h=0 m=20/-1/-1/-1/-1
192.168.0.254 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=75764 h=0 m=20/-1/-1/-1/-1
192.168.0.255 255.255.255.255 192.168.0.254 p=0 i=65541 t=3 pr=2 a=75764 h=0 m=20/-1/-1/-1/-1
224.0.0.0 240.0.0.0 10.8.0.1 p=0 i=196610 t=3 pr=2 a=9 h=0 m=30/-1/-1/-1/-1
224.0.0.0 240.0.0.0 89.222.146.52 p=0 i=65542 t=3 pr=2 a=75764 h=0 m=20/-1/-1/-1/-1
224.0.0.0 240.0.0.0 192.168.0.254 p=0 i=65541 t=3 pr=2 a=75764 h=0 m=20/-1/-1/-1/-1
255.255.255.255 255.255.255.255 10.8.0.1 p=0 i=196610 t=3 pr=2 a=2338 h=0 m=1/-1/-1/-1/-1
255.255.255.255 255.255.255.255 89.222.146.52 p=0 i=65542 t=3 pr=2 a=75764 h=0 m=1/-1/-1/-1/-1
255.255.255.255 255.255.255.255 192.168.0.254 p=0 i=65541 t=3 pr=2 a=75764 h=0 m=1/-1/-1/-1/-1
SYSTEM ADAPTER LIST
TAP-Win32 Adapter V8
Index = 196610
GUID = {EF6F001C-25D3-4413-BA13-1E74F6D86DC6}
IP = 10.8.0.1/255.255.255.252
MAC = 00:ff:ef:6f:00:1c
GATEWAY =
DHCP SERV = 10.8.0.2
DHCP LEASE OBTAINED = Fri Aug 17 12:48:03 2007
DHCP LEASE EXPIRES = Sat Aug 16 12:48:03 2008
Realtek RTL8139 Family PCI Fast Ethernet NIC
Index = 65541
GUID = {F2D5A578-573F-4730-B620-9DAB140A26E5}
IP = 192.168.0.254/255.255.255.0
MAC = 00:40:f4:89:1b:f4
GATEWAY =
3Com 3C905TX-based Ethernet адаптер (универсальный)
Index = 65542
GUID = {3A06EF48-0F21-4D51-8815-CC2B1EA7F503}
IP = 89.222.146.52/255.255.255.0
MAC = 00:60:98:ef:cb:99
GATEWAY = 89.222.146.1/0.0.0.0
Fri Aug 17 12:48:11 2007 Listening for incoming TCP connection on [undef]:9000
Fri Aug 17 12:48:11 2007 TCPv4_SERVER link local (bound): [undef]:9000
Fri Aug 17 12:48:11 2007 TCPv4_SERVER link remote: [undef]
Fri Aug 17 12:48:11 2007 Initialization Sequence Completed
Fri Aug 17 12:48:11 2007 SIGTERM[hard,] received, process exiting
Fri Aug 17 12:48:12 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Fri Aug 17 12:48:15 2007 RESOLVE: Cannot resolve host address: -p: [NO_DATA] The requested name is valid but does not have an IP address.
Fri Aug 17 12:48:15 2007 OpenVPN ROUTE: failed to parse/resolve route for host/network: -p
Fri Aug 17 12:48:15 2007 TAP-WIN32 device [sunsar] opened: \\.\Global\{EF6F001C-25D3-4413-BA13-1E74F6D86DC6}.tap
Fri Aug 17 12:48:15 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.1/255.255.255.252 on interface {EF6F001C-25D3-4413-BA13-1E74F6D86DC6} [DHCP-serv: 10.8.0.2, lease-time: 31536000]
Fri Aug 17 12:48:15 2007 Sleeping for 10 seconds...
Fri Aug 17 12:48:25 2007 Successful ARP Flush on interface [196610] {EF6F001C-25D3-4413-BA13-1E74F6D86DC6}
SYSTEM ROUTING TABLE
0.0.0.0 0.0.0.0 89.222.146.1 p=0 i=65542 t=4 pr=3 a=75776 h=0 m=20/-1/-1/-1/-1
10.8.0.0 255.255.255.252 10.8.0.1 p=0 i=196610 t=3 pr=2 a=9 h=0 m=30/-1/-1/-1/-1
10.8.0.0 255.255.255.0 10.8.0.2 p=0 i=196610 t=4 pr=3 a=0 h=0 m=1/-1/-1/-1/-1
10.8.0.1 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=9 h=0 m=30/-1/-1/-1/-1
10.255.255.255 255.255.255.255 10.8.0.1 p=0 i=196610 t=3 pr=2 a=9 h=0 m=30/-1/-1/-1/-1
89.222.146.0 255.255.255.0 89.222.146.52 p=0 i=65542 t=3 pr=2 a=75776 h=0 m=20/-1/-1/-1/-1
89.222.146.52 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=75776 h=0 m=20/-1/-1/-1/-1
89.255.255.255 255.255.255.255 89.222.146.52 p=0 i=65542 t=3 pr=2 a=75776 h=0 m=20/-1/-1/-1/-1
127.0.0.0 255.0.0.0 127.0.0.1 p=0 i=1 t=3 pr=2 a=75776 h=0 m=1/-1/-1/-1/-1
192.168.0.0 255.255.255.0 192.168.0.254 p=0 i=65541 t=3 pr=2 a=75776 h=0 m=20/-1/-1/-1/-1
192.168.0.254 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=75776 h=0 m=20/-1/-1/-1/-1
192.168.0.255 255.255.255.255 192.168.0.254 p=0 i=65541 t=3 pr=2 a=75776 h=0 m=20/-1/-1/-1/-1
224.0.0.0 240.0.0.0 10.8.0.1 p=0 i=196610 t=3 pr=2 a=9 h=0 m=30/-1/-1/-1/-1
224.0.0.0 240.0.0.0 89.222.146.52 p=0 i=65542 t=3 pr=2 a=75776 h=0 m=20/-1/-1/-1/-1
224.0.0.0 240.0.0.0 192.168.0.254 p=0 i=65541 t=3 pr=2 a=75776 h=0 m=20/-1/-1/-1/-1
255.255.255.255 255.255.255.255 10.8.0.1 p=0 i=196610 t=3 pr=2 a=2350 h=0 m=1/-1/-1/-1/-1
255.255.255.255 255.255.255.255 89.222.146.52 p=0 i=65542 t=3 pr=2 a=75776 h=0 m=1/-1/-1/-1/-1
255.255.255.255 255.255.255.255 192.168.0.254 p=0 i=65541 t=3 pr=2 a=75776 h=0 m=1/-1/-1/-1/-1
SYSTEM ADAPTER LIST
TAP-Win32 Adapter V8
Index = 196610
GUID = {EF6F001C-25D3-4413-BA13-1E74F6D86DC6}
IP = 10.8.0.1/255.255.255.252
MAC = 00:ff:ef:6f:00:1c
GATEWAY =
DHCP SERV = 10.8.0.2
DHCP LEASE OBTAINED = Fri Aug 17 12:48:15 2007
DHCP LEASE EXPIRES = Sat Aug 16 12:48:15 2008
Realtek RTL8139 Family PCI Fast Ethernet NIC
Index = 65541
GUID = {F2D5A578-573F-4730-B620-9DAB140A26E5}
IP = 192.168.0.254/255.255.255.0
MAC = 00:40:f4:89:1b:f4
GATEWAY =
3Com 3C905TX-based Ethernet адаптер (универсальный)
Index = 65542
GUID = {3A06EF48-0F21-4D51-8815-CC2B1EA7F503}
IP = 89.222.146.52/255.255.255.0
MAC = 00:60:98:ef:cb:99
GATEWAY = 89.222.146.1/0.0.0.0
Fri Aug 17 12:48:25 2007 Listening for incoming TCP connection on [undef]:9000
Fri Aug 17 12:48:25 2007 TCPv4_SERVER link local (bound): [undef]:9000
Fri Aug 17 12:48:25 2007 TCPv4_SERVER link remote: [undef]
Fri Aug 17 12:48:25 2007 Initialization Sequence Completed
Fri Aug 17 12:48:28 2007 Re-using SSL/TLS context
Fri Aug 17 12:48:28 2007 LZO compression initialized
Fri Aug 17 12:48:28 2007 TCP connection established with 192.168.0.49:2588
Fri Aug 17 12:48:28 2007 TCPv4_SERVER link local: [undef]
Fri Aug 17 12:48:28 2007 TCPv4_SERVER link remote: 192.168.0.49:2588
Fri Aug 17 12:48:29 2007 192.168.0.49:2588 [cert] Peer Connection Initiated with 192.168.0.49:2588

конфиг клиента
client
ca "D:\\Program Files\\OpenVPN\\easy-rsa\\Keys\\ca.crt"
cert "D:\\Program Files\\OpenVPN\\easy-rsa\\Keys\\cert.crt"
key "D:\\Program Files\\OpenVPN\\easy-rsa\\Keys\\cert.key"
dev tun
proto tcp-client
remote 89.222.146.52 9000
remote-random
resolv-retry infinite
route -p add 10.8.0.0 mask 255.255.255.0 192.168.1.1
show-net-up
keepalive 60 360
port 9000
comp-lzo

конфиг сервера
mode server
ca ca.crt
cert Mikora.crt
key Mikora.key
dh dh1024.pem
dev tun
dev-node sunsar
proto tcp-server
server 10.8.0.0 255.255.255.0
route -p add 10.8.0.0 mask 255.255.255.0 192.168.1.1
show-net-up
keepalive 60 360
port 9000
comp-lzo
push "route 192.168.10.0 255.255.255.0"

я ни4его не понимаю помогите о Боги

Ka6y4u
  1. Предлагаю обойтись без сленга в стиле "ни4его"
  2. Не пренебрегайте форматированием текста , на первый раз исправлю, а дальше могу и проигнорировать, не только с правкой, но и с ответом
vinni

431. vinni, 17.08.2007 13:20
Ka6y4u
  1. Зачем вот эти строки? - route -p add 10.8.0.0 mask 255.255.255.0 192.168.1.1
  2. На клиенте не удалили и не выключили TAP-адаптер?
  3. На клиенте фаервол есть?
  4. Покажите ipconfig /all и route print с клиента после установки ovpn-соединения
  5. Запущена ли служба DHCP-клиент? net start dhcp

432. Ka6y4u, 17.08.2007 14:00
Извините пожалуйста.
1. честно говоря я их добавил полностью запутавшись..
я их убрал.
2.нет я его не удалил и не отключил, TAP-адаптер создался автоматически при установке VPN, и в режиме L2 работал без сбоев.
3. нет.
4.ipconfig /all
Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\Administrator>net start dhcp
Затребованная служба уже запущена.

Для вызова дополнительной справки наберите NET HELPMSG 2182.


C:\Documents and Settings\Administrator>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : uchet
Основной DNS-суффикс . . . . . . : mikora-ho.ru
Тип узла. . . . . . . . . . . . . : смешанный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : mikora-ho.ru

INENET - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : ASUSTeK/Broadcom 440x 10/100 Integra
ted Controller
Физический адрес. . . . . . . . . : 00-0C-6E-34-0E-03
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.49
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.254
DNS-серверы . . . . . . . . . . . : 192.168.0.33
192.168.0.38
route print
C:\Documents and Settings\Administrator>route print
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 0c 6e 34 0e 03 ...... ASUSTeK/Broadcom 440x 10/100 Integrated Controll
er - ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.254 192.168.0.49 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.49 192.168.0.49 20
192.168.0.49 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.49 192.168.0.49 20
224.0.0.0 240.0.0.0 192.168.0.49 192.168.0.49 20
255.255.255.255 255.255.255.255 192.168.0.49 192.168.0.49 1
Основной шлюз: 192.168.0.254
===========================================================================
Постоянные маршруты:
Отсутствует



5. DHCP запущена

Добавление от 17.08.2007 14:26:

я что-то снова не так сделал?

433. vinni, 17.08.2007 14:41
Ka6y4u
я что-то снова не так сделал?
Уже лучше, прогресс налицо! Ещё неделька-другая и или выпишем или переведём в другую палату


TAP-адаптера на клиенте нет, сами же видите - в ipconfig-е только 1 адаптер:
INENET - Ethernet адаптер:
Описание . . . . . . . . . . . . : ASUSTeK/Broadcom 440x 10/100 Integrated Controller

Удалите и создайте заново TAP-адаптер:
"C:\Program Files\OpenVPN\bin\deltapall.bat"
"C:\Program Files\OpenVPN\bin\addtap.bat"

Добавление от 17.08.2007 14:42:

Для начала посмотрите TAP-интерфейс в сетевых подключениях, точно есть? Не отключен?

434. Ka6y4u, 17.08.2007 16:14
Удалил и заново создал. через сетевые подключения пишет что все работает нормально.. а VPN не видит. в чем может быть проблема не подскажете?

435. vinni, 17.08.2007 16:21
Ka6y4u
В ipconfig /all интерфейс появился?
Чуть инициативнее, не буду же я каждое слово вытягивать.

436. Ka6y4u, 17.08.2007 16:26
нет В ipconfig /all интерфейс не появился.

Добавление от 17.08.2007 16:33:

Мне не понятно почему он исчез после того как я написал новые конфиги под роутер. Конфиги правильные?

Добавление от 17.08.2007 16:33:

Мне не понятно почему он исчез после того как я написал новые конфиги под роутер. Конфиги правильные?

Добавление от 17.08.2007 17:03:

и снова я что-то не так сделал?

437. vinni, 19.08.2007 11:03
Ka6y4u
Разберитесь куда делся интерфейс. В сетевых подключениях интерфейс есть? Выберите в меню "Вид" "Таблица" и расскажите какие интерфейсы Вы видите или покажите скриншот.

438. Ka6y4u, 21.08.2007 10:48
В сетевых подключениях TAP адаптер есть, и после запуска OVPN он пишет что подключен.

К сообщению приложены файлы: 1.gif, 938x198, 44Кb, 2.gif, 910x147, 28Кb

439. vinni, 21.08.2007 10:52
Ka6y4u
В свойствах этого интерфейса IP-протокол включен?

440. Ka6y4u, 21.08.2007 11:11
Да.

К сообщению приложены файлы: 1.gif, 692x178, 39Кb

441. vinni, 21.08.2007 11:13
И что сейчас в ipconfig /all ? Теперь он там есть?

Добавление от 21.08.2007 11:14:

Если нет, то отключите на этом интерфейсе всё кроме IP-протокола

442. Ka6y4u, 21.08.2007 11:20
его там как не было так и нет, но после отключения всего кроме IP-протокола он появился.

К сообщению приложены файлы: 1.gif, 634x433, 16Кb

443. vinni, 21.08.2007 11:25
Мне "не понравился" CommStudio Virtual Adapter by TamoSoft

444. Ka6y4u, 21.08.2007 11:30
а почему я не могу найти клиент а со стороны сервера?

445. vinni, 21.08.2007 11:36
Ka6y4u
а почему я не могу найти клиент а со стороны сервера?
А он там справа за углом, возле дерева стоят 3 бочки с топливом, он за средней обычно прячется, самый простой способ - 1 выстрел в бочку и он "найден".
Как ищете?

446. Ka6y4u, 21.08.2007 11:51
вся сеть. поиск.

Добавление от 21.08.2007 11:52:

а как надо?

447. vinni, 21.08.2007 11:57
Так не найдёте - обозреватель сети Микрософт не работает между маршрутизируемыми сетями (кроме случая с AD-доменом, но у Вас его нет).
Обращайтесь к компу по адресу - \\10.8.0.6

448. Ka6y4u, 21.08.2007 12:37
Можно уточнить. в случае 1+1 клиент втыкался сам в сетевое окружение. а тут нет?

449. vinni, 21.08.2007 12:46
Если я правильно понял что Вы имеете ввиду под "1+1", то там между клиентом и сервером была 1 сеть, а здесь нет. Если Вам действительно нужно именно сетевое окружение (то есть список ПК в сети, а не просто доступ к ПК по \\ip.ip.ip.ip или \\ИМЯ_ПК), то используйте L2-тунель (dev tap)

450. softmaster, 21.08.2007 12:54
Ребята подскажите плз.
хочу соединить две сети

Сервер win2003 ent две сетевые карточки
локальная
IP-адрес . . . . . . . . . . . . : 192.168.0.6
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

интернет

IP-адрес . . . . . . . . . . . . : 213.170.88.103
Маска подсети . . . . . . . . . . : 255.255.255.252
Основной шлюз . . . . . . . . . . : 213.170.88.102

удаленный комп

кабельный модем
Основной шлюз: 87.237.116.1
IP-адрес: 87.237.116.180
Маска подсети: 255.255.255.0

локальный
IP-адрес: 192.168.0.1
Маска подсети: 255.255.255.0

как будут выглядить конфиги
Помогите не разу не настраивал VPN
Маска подсети: 255.255.255.0

451. vinni, 21.08.2007 13:08
softmaster
Вам решение "под ключ"? Счёт на кого выписывать и куда высылать?
Читаете первую страницу, определяетесь с типом VPN, пробуете, показываете что получилось и что не получилось.

452. mikas, 22.08.2007 04:10
Нашел решение для периодического коннекта клиента к серверу, и если он не доступен замиранию на 10 мин ( время настраивается). Утилиту cmdow (избавляет от окошка консоли, прячет кго) можно найти на http://www.commandline.co.uk
Утилиту sleep.exe можно найти в w2k3 ResKit или гуглом.
код:

cmdow @ /HID
@echo off
set gwvpn=IP_АДРЕС_ВИРТУАЛЬНОГО_ИНТЕРФЕЙСА_OPENVPN_СЕРВЕРА
:start
sc query state= inactive |find /i "openvpnservice" >nul
if %errorlevel% EQU 0 (
net start openvpnservice
sleep 10
)
ping %gwvpn%
if %errorlevel% NEQ 0 (
net stop openvpnservice
)
sleep 600
goto :start

Добавление от 22.08.2007 04:15:

Естественно уточнения, исправления, улучшения принимаются.
Забыл добавиьт- все эти команды в BAT, его в автозагрузку, либо (думаю так лучше) в шедулер на запуск при загрузке.

453. vinni, 22.08.2007 07:40
mikas
Sleep.vbs не устроит? Всего 1 строка: WScript.Sleep(WScript.Arguments(0)*1000)

454. mikas, 22.08.2007 07:46
vinni
можно и так, но sleep.exe нормально отрабатывает в bat, а вот vbs нужно запускать командой start. Вижу что больше гемора.

455. SPV82, 22.08.2007 13:22
Есть сервер OpenVPN 2.0.9 win32 (XP SP2), настройки клиентов которого раздаются через client-config-dir. Возникла необходимость добавить еще один маршрут клиенту, прописал в нужном файле, но маршрут при подкключении клиента не назначается. Как можно заставить сервер без перезапуска сервиса перечитать client-config-dir для выдачи новых настроек клиентам?

456. vinni, 22.08.2007 13:26
SPV82
Я думал (и практика вроде так и работала), что эти файлы из ccd он не кэширует, то есть читает их при каждом подключении клиента. CN совпадает? Маршрут корректный? Маршрут должен добавится на сервере или на клиенте? Если на клиенте, то указан через push "route ..." ?

457. SPV82, 22.08.2007 17:18
vinni
CN совпадает. Маршрут корректный, должен добавиться на клиенте, указан именно так. Дело в том что все изменения корректно применяются если перезапустить службу сервера. Но ведь так не дело - клиенты отваливаются... Проверял и обратное - комментировал строку клиентской команды, но команда все равно выполнялась при следующем коннекте к серверу.
В официальном FAQ сказано, что "Files in this directory can be updated on-the-fly, without restarting the server". Немного поэкспериментировав установил, что в случае сервера 2.1rc4 и клиента 2.0.9 все работает как сказано, в случае сервера 2.0.9 и клиента 2.1rc4 - нет.

458. vinni, 22.08.2007 18:23
SPV82
В нюансы поведения разных версий в этом вопросе не вникал.
Я правильно понял, Вы меняете ccd-файл клиента, затем перезапускаете этого клиента, и в варианте "сервера 2.0.9 и клиента 2.1rc4" изменения ccd-файла не отрабатываются? А в логах что?

459. Alp_kurgan, 24.08.2007 15:14
Вопрос такой.
клиент и сервер - WinXP Home
сервер сидит за ADSL модемом на белом IP, port forwarding настроен.
Конфиги - простейшие.
Серверный:
dev tun
proto udp
port 10020
server 192.168.2.0 255.255.255.0
dev-node Kargapolye
ca ca2.crt
cert server.crt
dh dh1024.pem
key server.key
keepalive 30 180
verb 5
mute 10

Клиентский:
client
dev tun
proto udp
port 10020
remote 85.233.144.157
key karg.key
cert karg.crt
ca ca.crt
verb 4
mute 10

все файрволы отрублены

Коннект происходит, пинги между машинами ходят замечательно.
НО
при любой попытке подключения между машинами иначе, чем icmp подключение виснет до таймаута keepalive

идеи?

460. SPV82, 24.08.2007 15:25
Alp_kurgan
По какому именно протоколу подключение? telnet ip tcpport - что происходит? proto tcp-server/tcp-client - не помогло?

461. vinni, 24.08.2007 15:31
Alp_kurgan
Это один и тот же сертификат, просто называется по разному? - ca ca2.crt и ca ca.crt
Покажите ipconfig /all и route print с сервера и с клиента.

Коннект происходит, пинги между машинами ходят замечательно.
Покажите полный лог этой команды ping (включая саму команду) и tracert на тот же адрес

462. Effiord, 24.08.2007 18:43
подскажите пожайлуста, в чем ошибка
ситуация - ввиду своих причин на сервере (win2k3sp2) есть внешний интерфейс 192.168.5.2, он расшарен обычными средствами (как в ХР) для интерфейса тап-адаптера (к настройках возвращено автополучение адреса).
сервер опенВПН нормально стартует 192.168.10.1, на клиенте 192.168.9.3 вроде нормально устанавливается соединение с адресом 192.168.10.253, шлюзом на клиенте становится нужный адрес 192.168.10.254... клиент видит сервер 192.168.10.1, через прокси на сервере выходит в инет... однако нет пинга шлюза 192.168.10.254 и напрямую трафик никуда не уходит((( при пинге шлюза на сервере в Траффик Инспеторе в сетевой статистике вижу пакеты на адрес 192.168.10.254, но ответов на них нет (пробовал даже отключать службу ТИ, не помогло)

конфиг клиента
код:
client
redirect-gateway
dev tun
proto udp
remote 192.168.9.2 5000
resolv-retry infinite
nobind
tls-client
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
tls-auth ta.key 1
cipher BF-CBC
comp-lzo
verb 4


конфиг сервера
код:
local 192.168.9.2
port 5000
proto udp
dev tun
dev-node OVPN
mode server
tls-server
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 192.168.10.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir "M:\\Programs\\OpenVPN\\ccd\\"
client-to-client
keepalive 10 120
tls-auth ta.key 0
cipher BF-CBC
comp-lzo
max-clients 10
persist-key
persist-tun
status openvpn-status.log
verb 4
mute 20

++ в папке ccd файл с именем клиента и
ifconfig-push 192.168.10.253 192.168.10.254
push "redirect-gateway"


заранее спасибо

463. vinni, 24.08.2007 21:40
Effiord
  1. расшарен обычными средствами (как в ХР) для интерфейса тап-адаптера (к настройках возвращено автополучение адреса)
    Давно не пользовался ICS (это так "по науке" называется "расшарен"), тем более под 2003. Но ранее этот механизм работал только если на нём стоял 192.168.0.1/24
  2. напрямую трафик никуда не уходит
    Вероятно, проблема растёт из предыдущего пункта. ИМХО, лечится запуском RRAS и его нормальным NAT-ом.
  3. нет пинга шлюза 192.168.10.254
    by design, внутренние адреса OpenVPN роутера (а это именно 1 из его внутренних адресов) не пингуются. Об этом написано в FAQ на стр.1

464. ubuntu, 26.08.2007 22:56
Здравствуйте, господа эксперты.
Настраивал Openvpn как указано на 1 странице. Сервер - Win2003, клиент - WinXP. Добился пинга клиент-сервер.
Необходимо сделать так, чтоб клиенты выходили в мир (NAT). В линуксе это делается парой команд, но так как в виндах не силен, зашел в тупик. Почитав тред понял, что копать надо кудато в стороу RRAS, но что именно - для меня темнота. Помогите, пожалуйста.
На всякий случай привожу конфиги и доп. информацию
код:

client
dev tun
proto udp
remote 10.10.10.169 23
resolv-retry infinite
persist-key
persist-tun
ca ca.crt
cert kl1.crt
key kl1.key
comp-lzo
verb 3

код:

server
port 23
proto udp
dev tun
persist-key
persist-tun
ca ca.crt
cert server.crt
key server.key
dh dh384.pem
server 192.168.0.0 255.255.255.224
push "redirect-gateway"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3
route exe


при попытке пинговать мир с клиента в логах OpenVpn servera - bad source address
код:
 Клиент:
C:\Documents and Settings\Administrator>ipconfig /all

Windows IP Configuration

Host Name . . . . . . . . . . . . : computer-home
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter Local Area Connection 2:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TAP-Win32 Adapter V8
Physical Address. . . . . . . . . : 00-FF-D6-DA-28-CE
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 192.168.0.6
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . : 192.168.0.5
DHCP Server . . . . . . . . . . . : 192.168.0.5
Lease Obtained. . . . . . . . . . : Sunday, August 26, 2007 11:38:16 PM
Lease Expires . . . . . . . . . . : Monday, August 25, 2008 11:38:16 PM

Ethernet adapter LAN:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : SiS 900 PCI Fast Ethernet Adapter
Physical Address. . . . . . . . . : 00-0A-E6-C0-05-EC
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 10.2.22.127
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DHCP Server . . . . . . . . . . . : 10.2.22.1
DNS Servers . . . . . . . . . . . : 195.14.50.3
Lease Obtained. . . . . . . . . . : Sunday, August 26, 2007 11:17:32 PM
Lease Expires . . . . . . . . . . : Monday, August 27, 2007 1:17:32 AM

C:\Documents and Settings\Administrator>route PRINT
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 ff d6 da 28 ce ...... TAP-Win32 Adapter V8 - Packet Scheduler Miniport

0x10004 ...00 0a e6 c0 05 ec ...... SiS 900 PCI Fast Ethernet Adapter - Packet S
cheduler Miniport
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.0.5 192.168.0.6 1
10.2.22.0 255.255.255.0 10.2.22.127 10.2.22.127 20
10.2.22.127 255.255.255.255 127.0.0.1 127.0.0.1 20
10.10.10.0 255.255.255.0 10.2.22.1 10.2.22.127 1
10.10.10.169 255.255.255.255 10.2.22.1 10.2.22.127 1
10.255.255.255 255.255.255.255 10.2.22.127 10.2.22.127 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.1 255.255.255.255 192.168.0.5 192.168.0.6 1
192.168.0.4 255.255.255.252 192.168.0.6 192.168.0.6 30
192.168.0.6 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.0.255 255.255.255.255 192.168.0.6 192.168.0.6 30
224.0.0.0 240.0.0.0 10.2.22.127 10.2.22.127 20
224.0.0.0 240.0.0.0 192.168.0.6 192.168.0.6 30
255.255.255.255 255.255.255.255 10.2.22.127 10.2.22.127 1
255.255.255.255 255.255.255.255 192.168.0.6 192.168.0.6 1
Default Gateway: 192.168.0.5
===========================================================================
Persistent Routes:
None


Так как с вин-сервером работаю 3-й раз в жизни прошу помочь пошаговой инструкцией.
На Win2003 интерфейсы
WAN - валидка в мир
LAN - невалидка 10.10.*.*
LAN! - tap Openvpn

465. vinni, 27.08.2007 00:06
ubuntu
Почитав тред понял, что копать надо кудато в стороу RRAS, но что именно - для меня темнота.
RRAS = Routing and Remote Access Server (Маршрутизация и удалённый доступ)
Надо установить одноимённую роль и сконфигурировать эту службу.
Общий смысл - внешний интерфейс объявить как public и включить на нём NAT и firewall, а оба внутренних (LAN и LAN!) - private

Опечатка в последней строке конфига сервера, надо: route-method exe

466. ubuntu, 27.08.2007 08:57
спасибо за помощь. справился с помощью Kerio. за это люблю винду - интуитивно-понятный интерфейс.

467. xray79, 27.08.2007 16:25
Господа, а подскажите пожалуйста. Настроены сервер (2003) и один клиент (xp sp2).
На стороне сервера не возникает никаких проблем. На стороне клиента периодически:

Tue Aug 28 01:18:40 2007 [x.x.x.x] Inactivity timeout (--ping-restart), restarting
Tue Aug 28 01:18:40 2007 SIGUSR1[soft,ping-restart] received, process restarting

Отключал брандмауэры на стороне обоих. Бестолку. Менял протокол. При этом, если в фоне постоянно пинговать сервер от клиента, то разрыва не происходит. Сами пинги естественно ходят. Конфиг клиента:

client
dev tap
remote x.x.x.x
ca ca.crt
cert xx.crt
key xx.key
ping-restart 0
keepalive 1 60
persist-key
persist-tun

Надо сказать, что при установке соединения в трее на стороне клиента постоянно имеем иконку интерфейса с попыткой якобы получить ip адрес. Но адрес то фактически уже получен. Клиент фактически находится за nat'ом adsl модема. Правда пробовал тестировать и в локалке при тех же конфигах получил то же самое поведение... Заранее благодарен.

468. vinni, 27.08.2007 18:50
xray79
Скорее всего, ввиду неактивности, на NAT-шлюзе по таймауту удаляется динамическая NAT-запись, т.к. UDP-протокол "не следит сам" за соединением.
Решение штатное и простое:
В конфиге сервера (а не клиента, как у Вас) указать keepalive 10 60
На клиенте можно ничего об этом не писать, нужные параметры будут взяты с сервера.
Описание макрокоманды keepalive см. на первой странице.

при установке соединения в трее на стороне клиента постоянно имеем иконку интерфейса с попыткой якобы получить ip адрес. Но адрес то фактически уже получен. Клиент фактически находится за nat'ом adsl модема.
Это физический интерфейс клиента находится за NAT-ом, к TAP-интерфейсу этот факт имеет мало отношения.
С чего Вы решили, что адрес уже получен? Что показывает ipconfig /all ?

469. xray79, 28.08.2007 04:47
По поводу keepalive похоже помогло. Подключился, пользуюсь, реконнектов не наблюдается. Большое спасибо.

Что до ip. Первое - над иконкой openvpn-gui загорается tool tip с ip адресом. Кроме того, пинги бы не летали на интерфейсе, я так думаю, если бы ip адрес не был назначен.

И в то же время сам windows похоже активно пытается получить адрес (acquiring network address, иконка адаптера в трее)... Как бы от этого избавиться ? В сервисах dhcp клиент активен. Вот что говорит ipconfig по адаптеру openvpn:

Ethernet adapter OpenVPN:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TAP-Win32 Adapter V8
Physical Address. . . . . . . . . : 00-FF-DC-1A-00-3E
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 192.168.117.2
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DHCP Server . . . . . . . . . . . : 192.168.117.0
Lease Obtained. . . . . . . . . . : 28 августа 2007 г. 13:41:39
Lease Expires . . . . . . . . . . : 27 августа 2008 г. 13:41:39

Кстати говоря какой-то странный адрес dhcp получается...

** Убрал написанную мной чепуху **

470. vinni, 28.08.2007 16:14
xray79
IP Address. . . . . . . . . . . . : 192.168.117.2 - вот это странно
DHCP Server . . . . . . . . . . . : 192.168.117.0 - а не странно, это так всегда

471. xray79, 29.08.2007 04:41
Почему странно ? На сервере у меня:
server 192.168.117.0 255.255.255.0
192.168.117.1 берёт себе сервер, остальное - клиентам.

472. vinni, 29.08.2007 13:07
xray79
Версия какая? Версии < 2.1 в режиме dev tun так не умели.

473. xray79, 30.08.2007 04:24
Последний stable релиз. У меня tap. Путаница из-за того, что я не выложил конфиг сервера. Хотя по конфигу клиента (который я выкладывал) в принципе видно, что речь о tap.

474. vinni, 30.08.2007 12:57
xray79
У меня tap
Да, всё так, это я недосмотрел или случайно глянул не туда.

475. rain87, 31.08.2007 21:58
привет всем. искал подобное, но ничего не нашёл

может у кого были такие траблы.

сервер опенвпн поднят под линухом, работает нормально
клиенты сети потихоньку переводятся на него
человек 20 уже перешли, у них работает нормально

но есть некоторые, у которых траблы

трабл 1. пытается подключиться к серверу, не может по DHCP получить адрес. служба DHCP работает, файрволы повыключены
попытался поменять --ip-win32 на netsh, ipapi - адрес стал получать, туннель подымается. казалось бы ура - но - не пингуется даже второй конец туннеля это под хп сп2

трабл 2. ставится, при попытке подключения говорит что нет свободных тап адаптеров. захожу в сетевые подключения - тап адаптер просто выключен. при попытке включения - винда выдаёт "ошибка включения". и ни слова более. это под хп сп1

есть хоть какие-то идеи, что можно было сделать с виндой чтоб довести её до такого состояния?

476. vinni, 31.08.2007 23:03
rain87
не пингуется даже второй конец туннеля
В версии < 2.1 он и не пинговался

что можно было сделать с виндой чтоб довести её до такого состояния?
Не встречал такого. Банальные советы - удалить ТАР-адаптеры и поставить их заново, сброс стека.

477. rain87, 31.08.2007 23:36
vinni
цитата (vinni):
В версии < 2.1 он и не пинговался
ээ?? версия 2.0.9, вполне пингуется. свой трабл 1 решил (как обычно, после поста )
так вот, проблема заключается в касперском _5_. именно 5
причём отключение каспера не помогало, только деинсталляция
причём проблема проявлялась не всегда. т.е. среди подключенных юзеров была куча с 5 каспером, а проблема проявилась пока что только у 2х
решение тривиальное - обновление до 7. текущая стейбл 125 версия работает на ура
цитата (vinni):
Не встречал такого. Банальные советы - удалить ТАР-адаптеры и поставить их заново
увы первым делом попробовал это
цитата (vinni):
сброс стека.
можно поподробнее?

478. vinni, 01.09.2007 00:24
rain87
ээ?? версия 2.0.9, вполне пингуется
Покажите route print и команду ping

сброс стека.
можно поподробнее?

http://support.microsoft.com/kb/299357
"Как сбросить настройки протокола TCP/IP в Windows ХР"

479. rain87, 01.09.2007 01:13
vinni
на всякий случай, вот сначала ipconfig /all для тап адаптера в поднятом состоянии
код:
{FDEAB1DC-97E7-47A2-A102-53CC8CC0E5ED} - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8 - Минипорт планировщика пакетов
Физический адрес. . . . . . . . . : 00-FF-FD-EA-B1-DC
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 10.3.1.1
Маска подсети . . . . . . . . . . : 255.255.0.0
Основной шлюз . . . . . . . . . . : 10.3.0.1
DHCP-сервер . . . . . . . . . . . : 10.3.0.0
Аренда получена . . . . . . . . . : 1 сентября 2007 г. 0:06:43
Аренда истекает . . . . . . . . . : 31 августа 2008 г. 0:06:43

роуты
код:
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x3 ...00 17 31 e4 00 6f ...... NVIDIA nForce Networking Controller - ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют
0x20002 ...00 50 56 c0 00 01 ...... VMware Virtual Ethernet Adapter for VMnet1
0x30004 ...00 ff fd ea b1 dc ...... TAP-Win32 Adapter V8 - ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.1.1.1 10.1.1.2 20
0.0.0.0 0.0.0.0 10.3.0.1 10.3.1.1 1
1.0.0.0 255.0.0.0 1.1.1.2 1.1.1.2 20
1.1.1.2 255.255.255.255 127.0.0.1 127.0.0.1 20
1.255.255.255 255.255.255.255 1.1.1.2 1.1.1.2 20
10.1.1.0 255.255.255.0 10.1.1.2 10.1.1.2 20
10.1.1.2 255.255.255.255 127.0.0.1 127.0.0.1 20
10.3.0.0 255.255.0.0 10.3.1.1 10.3.1.1 30
10.3.1.1 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.1.1.2 10.1.1.2 20
10.255.255.255 255.255.255.255 10.3.1.1 10.3.1.1 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 240.0.0.0 1.1.1.2 1.1.1.2 20
224.0.0.0 240.0.0.0 10.1.1.2 10.1.1.2 20
224.0.0.0 240.0.0.0 10.3.1.1 10.3.1.1 30
255.255.255.255 255.255.255.255 1.1.1.2 1.1.1.2 1
255.255.255.255 255.255.255.255 10.1.1.2 10.1.1.2 1
255.255.255.255 255.255.255.255 10.3.1.1 10.3.1.1 1
Основной шлюз: 10.3.0.1
===========================================================================
Постоянные маршруты:
Отсутствует

ну и пинг
код:
Обмен пакетами с 10.3.0.1 по 32 байт:

Ответ от 10.3.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.3.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.3.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.3.0.1: число байт=32 время<1мс TTL=64

в конфиге сервера, соответственно, строка
server 10.3.0.0 255.255.0.0

"Как сбросить настройки протокола TCP/IP в Windows ХР"
спасибо, попробую

480. vinni, 01.09.2007 20:35
rain87
У Вас "dev tap" ?
Я имел ввиду, что в режиме dev tun не пингуется первый же шлюз интерфейсной сети /30.
Сорри, забыл написать это сразу

481. rain87, 01.09.2007 21:57
vinni
да, конечно тап. я тоже не подумал об этом упомянуть

482. Comrad_dm, 05.09.2007 17:50
цитата:
vinni:
Вот скрипт аутентификации auth.vbs.
<<< остальное пропущено, см. FAQ: OpenVPN (было - Помогите настроить OpenVPN) !, #302 (http://forum.ixbt.com/topic.cgi?id=14:40906:302#302) >>>
Спасибо, работает!!!
А есть ли подобный скрипт для Linux?

Исправлено vinni: удалил излишнее цитиривание. Не стоит излишне загромождать сообщения. Заодно уже и отвечу прямо здесь же на Ваш вопрос:
Ответ от vinni: Не знаю. Этот скрипт писал я сам, для Linux я подобного не писал. Вроде в дистрибутиве исходников есть скрипт на perl - можете пользовать его. Если напишете сами, то будем рады если поделитесь своим скриптом здесь.

Добавление от 05.09.2007 20:02:

Vinni, тот скрипт на перле, что идет в комплекте, использует модуль PAM, т.е. проверяет заведен ли в системе такой юзер с соотв. паролем (кстати, а под винду такое есть?).
В том же комплекте идет и просто модуль *.so, который компилится и выполняет ту же функцию (но уже быстрее .

483. vinni, 05.09.2007 20:48
Comrad_dm
А... Ну тогда попробуйте написать сами
Вообще странно конечно, это же довольно тривиальная вещь, почему автор штатно не включил эту возможность (проверка user/pass по файлу) в OpenVPN? А не смотрели, может в 2.1 что-то из этого уже есть?

Comrad_dm, придумал решение! Запустите на Linux вирт.машину, на ней OpenVPN, а под ним мой скрипт

484. Nekto, 08.09.2007 15:13
У меня такая вот проблема мне нужно обьеденить разные сегменты внутри сети, тобиш компы из разных сегментов в одну сеть, но чтоб я не делал пинга нет, хотя и пытаюсь вроде как делать по конфигам в точь как у других людей.

сервер
local 172.16.20.115
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3

client
dev tap
proto udp
remote 172.16.20.115 1194
resolv-retry infinite
nobind
user nobody
group nobody
persist-key
persist-tun
ca ca.crt
cert 1.crt
key 1.key
comp-lzo
verb 3

зы. возможно ли дело в устройстве сети? У нас городская сеть.
ззы. компы соединяются присваевается айпи и на этом всё. По сути мне это надо чтоб игрушку по сети запустить.

485. vinni, 09.09.2007 00:54
Nekto
сервер
dev tun
client
dev tap

Так нельзя, оба должны быть одинаковы. Если для инрушек, то с большей вероятностью Вам нужен dev tap, чтобы броадкасты ходили между машинами

486. Nekto, 09.09.2007 07:46
Упс, конечно dev tap, дело в том что когда dev tun то пинг есть, с тапом нет, вот последний раз проверяли я забыл изменить прежде чем постить. Может, по мимо этого нужно чтонибудь ещё настроить?

487. vinni, 10.09.2007 03:11
Объявление.
Краткое описание, примеры конфигураций и некоторые советы можно посмотреть на первой странице темы - FAQ: OpenVPN (было - Помогите настроить OpenVPN) !, #1 (http://forum.ixbt.com/topic.cgi?id=14:40906:1#1)

При задании вопросов по конкретным проблемам работы OpenVPN убедительная просьба
сразу предоставлять следующую информацию (напомню, правила конференции запрещают жаргонизмы):
(см. также прим.2 и 3 касательно конфиденциальной информации)

1. Описание сервера
1.1. ОС сервера, версия, ServicePack, язык. Если ОС типа Windows Server, то указать используется ли служба RRAS = "Routing and Remote Access Server" и совсем кратко её настройки
1.2. Наличие в системе фильтров (брандмауэр, фаервол, межсетевой экран) и краткое описание их конфигурации
1.3. Описание задействованных адаптеров, интерфейсов и куда они подключены. В тривиальных случаях, когда всё очевидно из ipconfig /all, который приводится ниже, достаточно написать "см. ipconfig /all"
1.3.1. если в конфигурации задействован мост из сетевых адаптеров, то указать, какие физические адаптеры объединены в мост и, если это неочевидно, то как называется результирующий адаптер "MAC Bridge Miniport", он же "Минипорт MAC-моста"
1.4. Конфиг OpenVPN-сервера и его версия, обрамлённый тегами [ code ]
1.4.1 Метод запуска сервера
1.4.2. Если проблема связана с клиентскими подключениями и используется client-config-dir (здесь в форуме может использоваться сокращение ccd), то показать содержимое дополнительного клиентского ccd-файла.
1.5. ipconfig /all после старта OpenVPN, обрамлённый тегами [ code ], см. прим.1.
1.5.1. Если Вы предполагаете, что проблема связана с изменением конфигурации IP при старте OpenVPN, то приведите и ipconfig /all до старта OpenVPN, обрамлённый тегами [ code ], см. прим.1.
1.6. route print после старта OpenVPN, обрамлённый тегами [ code ], см. прим.1
1.6.1. Если Вы предполагаете, что проблема связана с изменением конфигурации IP при старте OpenVPN, то приведите и route print до старта OpenVPN, обрамлённый тегами [ code ], см. прим.1.
1.7. Log-файл OpenVPN-сервера при первом вопросе приводить ТОЛЬКО ЕСЛИ Вы уверены, что в нём есть существенная информация. Предварительно также попробуйте несколько раз запускать OpenVPN, изменяя параметр verb от 3 до, скажем, 6, чтобы понять, появляется ли дополнительная полезная информация в логе. Если Вы решите показать и лог, то вначале показывайте ТОЛЬКО выдержку касательно ошибки. Не приводите полный лог (тем более в вариантах verb 5 и т.п.) до тех пор, пока Вас об этом явно не попросят.

2. Описание клиента
2.1. ОС клиента, версия, ServicePack, язык
2.2. Наличие в системе фильтров (брандмауэр, фаервол, межсетевой экран) и краткое описание их конфигурации
2.3. Описание задействованных адаптеров, интерфейсов и куда они подключены. В тривиальных случаях, когда всё очевидно из ipconfig /all, который приводится ниже, достаточно написать "см. ipconfig /all"
2.4. Конфиг OpenVPN-клиента и его версия, обрамлённый тегами [ code ].
Версию OpenVPN можно посмотреть так: cmd /k "C:\Program Files\OpenVPN\bin\openvpn.exe" --version
2.4.1. Метод запуска клиента
2.4.2. Если это имеет отношение к вопросу, то проверьте и укажите CN (CommonName) этого клиента - откройте сертификат клиента в виде текста и найдите его в строке "Subject: C=RU, ST=RU, O=XX, CN=Client1/emailAddress=***"
2.5. ipconfig /all после старта OpenVPN, обрамлённый тегами [ code ], см. прим.1
2.5.1. Если Вы предполагаете, что проблема связана с изменением конфигурации IP при старте OpenVPN, то приведите и ipconfig /all до старта OpenVPN, обрамлённый тегами [ code ], см. прим.1.
2.6. route print после старта OpenVPN, обрамлённый тегами [ code ], см. прим.1
2.6.1. Если Вы предполагаете, что проблема связана с изменением конфигурации IP при старте OpenVPN, то приведите и route print до старта OpenVPN, обрамлённый тегами [ code ], см. прим.1.
2.7. Log-файл OpenVPN-клиента при первом вопросе приводить ТОЛЬКО ЕСЛИ Вы уверены, что в нём есть существенная информация. Предварительно также попробуйте несколько раз запускать OpenVPN, изменяя параметр verb от 3 до, скажем, 6, чтобы понять, появляется ли дополнительная полезная информация в логе. Если Вы решите показать и лог, то вначале показывайте ТОЛЬКО выдержку касательно ошибки. Не приводите полный лог (тем более в вариантах verb 5 и т.п.) до тех пор, пока Вас об этом явно не попросят.

3. Описание проблемы
3.1. Что именно, по-Вашему, не работает? Как Вы это пытаетесь делать?
3.2. Если что-то не пингуется, не трассируется, то пишите конкретно и приводите команды в точности как Вы её вводите.
Рекомендую перед и после команды ping делать ещё 2 команды arp (см.пример) и показывать резутьлат последней
Например:
С хоста Y не пингуется хост X:
код:
>arp -d *
>ping 10.1.1.6
Обмен пакетами с 10.1.1.6 по 32 байт:
Превышен интервал ожидания для запроса.
>arp -a
Интерфейс: 10.1.1.3 --- 0x2
Адрес IP Физический адрес Тип
10.1.1.254 00-0f-3d-Z1-Z1-Z1 динамический
Интерфейс: 192.168.2.90 --- 0x5
Адрес IP Физический адрес Тип
192.168.2.1 02-ff-82-Y2-Y2-Y2 динамический

3.3. Что пытались делать и каковы результаты?


Пример (нереальный, данные внутри примера могут не сходиться, лишь для целей понимания что и в каком объёме желательно указать):
цитата:
1.1. ОС сервера Win2003 std SP1 ENG, RRAS используется для входящих РРТР-соединений
1.2. Используется встроенная в RRAS фильтрация, внешний интерфейс обявлен PUBLIC, остальные PRIVATE
1.3. Интерфейс WAN подключен к интернет-провайдеру, физический адаптер LAN объединён в мост с адаптером TAP и мост назван LAN-TAP-Bridge
1.4. Сервер OpenVPN 2.0.9 запускается через сервис openvpnservice, его конфиг:
код:
dev tap
<<< и т.д. >>>

Для клиента используется ccd-файл "Client123":
push "route ..."
1.5. ipconfig после старта OpenVPN:
код:

.6. route посте старта OpenVPN
код:

. Описание секции клиента в данном примере пропущено, но суть аналогична предыдущему
2.4.2. CN клиента: Client123

3.1. Нет никакого доступа с клиента к серверу.
3.2. Интерфейсы сервера не пингуются с клиента:
код:

.3. Предпринималась попытка подключения с другого ПК-клиента с аналогичными настройками клиента CN=Client456, результат, насколько я могу судить, аналогичный.
Другие попытки решить проблему не предпринимались.


Примечания:
Прим.1: Об указании результатов команд в текстовом виде.
Весьма нежелательно приводить скриншоты с результами команд ipconfig и route, приводите эти данные текстом, обрамляя их тегом [ code ]данные команды[ / code ], для вставки этих тэгов используйте кнопку форума "#". Совсем короткие выдержки конфигурационных данных (например, несколько строк ccd-файла) можно приводить и без тэгов [ code ].
Для тех кто не знает как получить данные этих команд в текстовом виде в Windows (я ни в коей мере не намекаю на конкретно Ваши знания, но тем не менее, знают это не все ):
Вариант 1: в любой командной строке (например, "Пуск"-"Выполнить") набрать: ipconfig /all > c:\ipconfig.txt
Затем открыть файл c:\ipconfig.txt, удалить в нём пустые строки и информацию ЗАВЕДОМО НЕ ОТНОСЯЩУЮСЯ к проблеме, если не уверены - не удаляйте ничего ( при удалении желательно оставить названия адаптеров, удалить доп.информацию о нём и написать <<<информация удалена как несущественная>>> )
Аналогично и route print > c:\route.txt
Вариант 2: запустить окно командной строки (например, "Пуск"-"Выполнить"-"cmd"), открыть его на максимум, выполнить в нём команду ipconfig /all, через правую клавишу мыши выбрать "Пометить", выделить прямоугольник и нажать Enter, затем вставить этот текст в веб-браузер
Если в тексте встречаются "крякозяблы" (например, TAP-Win32 Adapter V8 #3 - ¦шэшяюЁЄ яырэшЁют•шър яръхЄют), то или оставьте как есть (в частности, данный пример "означает" "Минипорт планировщика пакетов") или исправьте на кириллицу если знаете как.

Прим.2: О скрытии конфиденциальной и/или частной информации.
Если Вы не хотите указывать в публичном форуме данные, которые Вы считаете конфиденциальными или приватными (это Вы решаете для себя сами), то замените или, как говорят, "заиксуйте" эти данные.
Такими данными могут быть, например:
  • IP-адреса в конфигах сервера и клиента
  • Имена файлов ключей и подобных параметров в конфигах сервера и клиента (например, "ca Ivanov_example_Ivan_Ivanovich.crt". Замените их на типовые имена "ca", "server", "client1").
    Также замечу, что содержимое файлов ca, crt (кроме CN-имени) и т.п. здесь не понадобится (по крайней мере ещё ни разу не понадобилось).
    А содержимое *.key вообще секретное и при его компрометации ключ подлежит исключению или вообще полной замене начиная с CA.
  • Имена ПК в выводе ipconfig /all (замените их на X, Y, Z)
  • IP-адреса в выводе ipconfig /all и route print (о заменах см.ниже)
  • МАС-адреса в выводе ipconfig /all и route print (о заменах см.ниже)
Пожелания к заиксованным параметрам таковы:
  • не должны вводить в заблуждения
  • не должны скрывать информацию до полной неразборчивости
  • не должны подставляться реальные чужие данные
  • весьма часто нет смысла заиксовывать IP-адреса вашей частной сети из диапазонов 10.*.*.*, 172.16-172.31.*.*, 192.168.*.*, 169.254.*.*, кроме случаев, если это сеть Вашего домового провайдера и т.п.

Исходя из вышеперечисленного, рекомендую такие варианты замен:
  • в публичных IP-адресах заменять числа среди первых 1-2-3 на X1 для одного адреса одного хоста (X1.X1.12.45), X2, Х3 и т.д. - других адресов ТОГО ЖЕ хоста (X2.X2.10.1), Y1, Y2 и т.д. для следующего хоста (Y1.Y1.97.23)
  • в частных IP-адресах те же замены делать так, чтобы было понятно, что диапазон частный, например: 10.X1.X1.15, 192.168.Y2.34
  • адреса DNS-серверов провайдера при желании рекомендую заиксовывать dnsA.dnsA.13.2, dnsB.dnsB.7.8, где А и В - разные провайдеры.
  • в МАС-адресах заиксуйте 6 последних цифр, например: 0x2 ...00 12 f0 X1 X1 X1 ...... Intel(R) PRO/Wireless 2200BG
Прим.3: О создании приватных тем. Если Вы
  • считаете Вашу информацию неконфиденциальной, но и не хотите чтобы она была публично доступна,
  • не хотите заиксовывать часть данных или не уверены, что сможете сделать это правильно,
  • и при этом Вы доверяете кому-либо из участников форума (никаких гарантий лично я не предоставляю, своё мнение об участниках форума Вы формируете лично),
то Вы можете на странице "инфо" этого участника создать приватную тему, в которой и указать всю информацию без заиксовывания (думаю, что удобнее писать полный текст согласно данной заметки, а не только конфигурационные данные). Данные приватные темы в нормальном режиме работы сервера доступны только допущенным участникам и, наверное, администрации. Однако, по разным причинам (взлом, кража пароля, перехват), информация может "просочиться наружу", поэтому повторяю, не стоит предполагать каких-либо гарантий конфиденциальности.
Если же Вы решите таки создать приватную тему, то уведомьте об этом допущенных участников личным письмом через ту же страницу "инфо" (были времена, когда извещения об открытых приватных темах автоматически не приходили).
Кроме того, если хотите, то Вы также можете написать описание проблемы и в публичную тему, указав, что полная информация, включающая конфигурационные данные, размещена в приватной теме (желательно и привести ссылку), доступной таким-то участникам.

P.S. Надеюсь на понимание, т.к. скорее именно Вы заинтересованы в получении ответа, поэтому именно за Вами и первый шаг. И чем более чётко и полно Вы сформулируете информацию и вопрос, тем быстрее и охотнее Вам ответят.

488. g00ru, 10.09.2007 11:02
Возникла необходимость включить компьютеры удаленной локальной сети в домен местной локальной сети, две этих сети связаны посредствам openvpn. Хочу спросить у опытных людей, организовать такую свзяь возможно установкой в удаленной локальной сети дополнительного контроллера домена или есть другие варианты?

489. vinni, 10.09.2007 11:37
g00ru
Для работы ПК в домене требуется доступ этих ПК к доменным севисам - "доменный" DNS, AD и т.п. Обеспечить это можно N-ым кол-вом способов, в т.ч. и OpenVPN-ом, раз уж Вы именно о нём и спрашиваете . Один из простых и правильных - это обеспечить маршрутизацию (без NAT) между сетями ПК и доменными серверами. Установка в удалённой сети дополнительного контроллера сама по себе проблему полностью не решит, т.к. ПК будут обращаться относительно случайно на все доступные AD-контроллеры ввиду round-robin'a в DNS-е, но глубоко в эту степь я не копал, это вопрос по большей части в "Системное администрирование".

490. g00ru, 10.09.2007 12:21
Появляется вопрос, подружаться ли между собой на одном ПК с windows 2003, AD и OpenVPN сервер? Если с этим какие-нибудь сложности тонкости?

491. vinni, 10.09.2007 13:38
g00ru
Надо лишь учесть и "обработать" проблему Multihomed AD, она свойственна не связке с OpenVPN, а вообще любому хосту с множественными интерфейсами. Искать на MS, вот кое-какие примеры:
http://support.microsoft.com/kb/191611/
http://support.microsoft.com/kb/272294
http://www.pcreview.co.uk/forums/thread-1450941.php

Проблем с OpenVPN-ом из-за AD лично я не ожидаю. Хотя в моей практике не было совмещённого AD и OpenVPN
Прошу учесть, что данный вопрос выходит за рамки OpenVPN, кроме того, и точнее и лучше Вам ответят уж точно не в этой теме.

492. g00ru, 10.09.2007 15:01
Спасибо, за информацию и ссылки.

Добавление от 10.09.2007 15:13:

А в практике использовалась конфигурация: Proxy + OpenVPN сервер на одном ПК?

493. vinni, 10.09.2007 15:30
g00ru
А в практике использовалась конфигурация: Proxy + OpenVPN сервер на одном ПК?
А в чём сложности? OpenVPN это Level 2 или 3 OSI, а Proxy (если http, то это Level 7) - это для OpenVPN'а такой же вышестоящий сервис как и большинство других.
Да, конечно, это работает и на одном ПК и на разных.

494. ide16rus, 13.09.2007 17:56
У меня проблемы с OpenVPN. Вообще система то периодически работает, но иногда валится в такое непонятное состояние... Вытаскиваю её из такого состояния только восстановлением образа системного диска того состояния, когда всё работало без траблов.

Итак, имеем некую локальную сеть. Существует двое клиентов, которые находятся в другом городе и им надо подключаться к сетке удалённо, для простого и безопасного пользования терминальным режимом, принтерами и перебрасывать инфу. Прошу не обсуждать "А ПОЧЕМУ ТАК, А НЕ ВОТ ТАК?" и т.д. и т.п. - тема не об этом.

Подключение к интернет ADSL. Пинг между маршрутизаторами с задержкой 25-30мс...


прокси:
Windows 2003 Server Enterprise SP2, подключение OVPN+LAN типа мост. Соединение с ИНтернет через ADSL pppoe. Файрволл Kerio WinRoute FireWall. Антивирус NOD32. Версия OpenVPN 2.0.9.

На прокси-сервере установлен OpenVPN. Подключение ovpn (TAP32) находится в мостовом соединении с подключением по локальной сети (которое смотрит в локалку). Интернет соединения отрезаны файрволлом и правилами. Проблема в том, что когда всё НОРМАЛЬНО работает, то при пинге через ovpn идут пинги так, что где-то от 8 до 10 пингов проходят с задержкой, скажем, 50-60мс, а потом следует 1 пинг с задержкой от 250 до 500мс... При этом работать можно, нормально и довольно быстро. Когда ВСЁ ПЛОХО, тогда пиги идут так, что около 8 пингов проходят с задержкой 50-60мс, но следом за этим идут 2 пинга без ответа:


код:

Обмен пакетами с tserver [192.168.8.12] по 32 байт:

Ответ от 192.168.8.12: число байт=32 время=57мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=55мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=54мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=54мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=55мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=55мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=55мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=60мс TTL=128
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Ответ от 192.168.8.12: число байт=32 время=54мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=56мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=54мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=59мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=56мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=297мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=84мс TTL=128
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Ответ от 192.168.8.12: число байт=32 время=54мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=55мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=54мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=56мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=58мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=317мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=321мс TTL=128
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Ответ от 192.168.8.12: число байт=32 время=290мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=55мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=54мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=204мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=55мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=212мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=55мс TTL=128
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Ответ от 192.168.8.12: число байт=32 время=291мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=55мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=84мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=210мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=55мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=55мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=57мс TTL=128
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Ответ от 192.168.8.12: число байт=32 время=55мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=199мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=305мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=55мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=704мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=95мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=298мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=55мс TTL=128
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Ответ от 192.168.8.12: число байт=32 время=55мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=54мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=54мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=55мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=55мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=54мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=55мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=53мс TTL=128
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Ответ от 192.168.8.12: число байт=32 время=56мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=55мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=91мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=55мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=56мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=58мс TTL=128
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Ответ от 192.168.8.12: число байт=32 время=56мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=54мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=57мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=54мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=54мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=59мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=54мс TTL=128
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Ответ от 192.168.8.12: число байт=32 время=222мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=54мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=54мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=241мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=55мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=54мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=250мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=54мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=55мс TTL=128
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Ответ от 192.168.8.12: число байт=32 время=57мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=244мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=219мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=55мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=56мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=115мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=56мс TTL=128
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Ответ от 192.168.8.12: число байт=32 время=55мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=247мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=57мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=55мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=56мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=54мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=55мс TTL=128

Статистика Ping для 192.168.8.12:
Пакетов: отправлено = 111, получено = 89, потеряно = 22 (19% потерь),

Приблизительное время приема-передачи в мс:
Минимальное = 53мсек, Максимальное = 704 мсек, Среднее = 103 мсек

Control-C


Вот такого вида пинг.


В момент перебоев в OpenVPN взаимные пинги внешних интерфейсов (грубо, пинг ip-удалённого маршрутизатора) не показывает ничего. Пинг проходит гладко без скачков и перепадов в задержке пакетов. Оно то и наводит на мысли, что дурит именно OpenVPN.
Разница в задержке между прямым пингом маршрутизатора и пингом машины через ovpn, думаю, обусловлена тем, что OpenVPN всё-таки осуществляет шифрацию и дешифрацию пакетов на пути туда-обратно. Отсюда и задержка. Иль не знай...

Ещё один момент поймал: я винил в этих перебоях серверную часть OpenVPN, но сегодня выяснил, что такие перебои наблюдаются только с моего ноутбука. А другой удалённый клиент отлично работает... Ну, точнее, там пакеты не обрываются, а при отправке на печать документа из 1С и пр. задержка пинга выходит в р-не 250-300мс... иногда 1500 проскакивает, но ни один пакет не теряется и терминальное соединение работает стабильно.
Я на своём ноуте пробовал переустанавливать ovpn... ставил и версию 2.0.5, и снова вернул 2.0.9... Заново слил себе сертификаты, но результат нулевой. Настырно как идёт 8 пакетов ОК и 2 валится... Не пойму в чём прикол. работает через dev tap.

При этом работало ранее стабильно, без перебоев. Начало само дурить.

495. ide16rus, 14.09.2007 23:04
Я ничего не изменял, ничего не перенастраивал, не регулировал ни файрволл, ни сам ovpn... НО как это ни странно - сегодняшний пинг дал вот что:

код:

Обмен пакетами с tserver [192.168.8.12] по 32 байт:

Ответ от 192.168.8.12: число байт=32 время=68мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=68мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=68мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=71мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=71мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=68мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=68мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=71мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=71мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=71мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=72мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=138мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=71мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=256мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=221мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=318мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=71мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=71мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=275мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=71мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=68мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=226мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=68мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=278мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=71мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=71мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=68мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=68мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=68мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=71мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=71мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=68мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=68мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=68мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=71мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=70мс TTL=128
Ответ от 192.168.8.12: число байт=32 время=69мс TTL=128

Статистика Ping для 192.168.8.12:
Пакетов: отправлено = 132, получено = 132, потеряно = 0 (0% потерь),

Приблизительное время приема-передачи в мс:
Минимальное = 68мсек, Максимальное = 318 мсек, Среднее = 78 мсек

Control-C


Типа всё само собой отладилось!?!?!
Не понимаю!!!

496. nicolas, 15.09.2007 13:32
Появилась такая проблема:
Сервер OpenVPN (Linux)
Клиенты OpenVPN (Win, Linux)
Все настроено и работало, но...
появилось такое сообщение после установления соединения через 5 сек (и даже можно пинговать сервер с клиента):
[SIGUSR1][soft, connection-reset]
соединение рвется, через 5 сек опять коннект, и так по кругу...
От клиента не зависит

497. borispr, 16.09.2007 14:14
Вопрос по безопасности OpenVPN.
Есть центральный офис, есть удаленный. Делаем через OpenVPN канал, все нормально, все работает. Скажем, увольняют админа удаленного офиса, но в центральный не сообщили, в результате сертификат/ключ не заблокирован, а значит админ может взять файлы и зайти в центральный офис из любого места.
Чтобы такое придумать, чтобы ключ работал только на одном компе?

498. SPV82, 16.09.2007 18:26
borispr
Ограничивать файрволлом в центральном офисе и отзывать сертификат удаленого офиса в подобных случаях - (см. опцию crl-verify в шапке).

499. borispr, 16.09.2007 22:32
цитата:
SPV82:
Ограничивать файрволлом в центральном офисе и отзывать сертификат удаленого офиса в подобных случаях - (см. опцию crl-verify в шапке).

Файервол не катит - адрес быть динамическим.
Про отзыв сертификата написал сразу - для этого надо знать, что пора отзывать

500. vinni, 17.09.2007 00:51
borispr
Принудительно 1 раз в неделю менять ключ tls-auth, хотя это равносильно уточнению полномочий админа с тем же периодом.
Правда это "шило-на-мыло", т.к. у уволенного админа остаётся вариант заранее настроить удалённый доступ к одному из ресурсов сети и через него иметь доступ через тунель.

Можете подумать в сторону сертификатов, поддерживаемых Windows, там можно отметить, что ключ к сертификату НЕЭКСПОТИТУЕМЫЙ. В Win2000 на такие грабли напарывался. Но тогда это уже не OpenVPN. Ну или IPSec (как минимум AH) внутри OpenVPN.

Здесь скорее надо подумать о включении в трудовой договор обязательства админа в случае прекращения договора или отстранении от исполнения обязанностей прекратить использовать любые административные полномочия и информацию, включая но не ограничиваясь ... (здесь пусть подумают юристы, добавив также что нарушение данного пункта считается несанкционированным доступом, за что предусмотрена ответственность согласно 272 УК)

501. D_K, 19.09.2007 18:02
обясните плиз что не так, почему ошибка вылазит. при подключению к корпоративному серверу из под NATа - все оки, а вот при подключению из под VPN происходит така фигня :

конфиги сервера:

dev tun
port 1194
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.10.10.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
comp-lzo

клиент:
client
dev tun
port 1194
ca ca.crt
cert client3.crt
key client3.key
comp-lzo
remote 213.184.ххх.ххх


вот лог сервера при подключении:

Wed Sep 19 16:49:27 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Wed Sep 19 16:49:27 2007 TAP-WIN32 device [Подключение по VPN] opened: \\.\Global\{2841C1C2-F103-45FC-B27E-BF6556D23B8B}.tap
Wed Sep 19 16:49:27 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.10.10.1/255.255.255.252 on interface {2841C1C2-F103-45FC-B27E-BF6556D23B8B} [DHCP-serv: 10.10.10.2, lease-time: 31536000]
Wed Sep 19 16:49:27 2007 Sleeping for 10 seconds...
Wed Sep 19 16:49:37 2007 Successful ARP Flush on interface [16777220] {2841C1C2-F103-45FC-B27E-BF6556D23B8B}
Wed Sep 19 16:49:37 2007 UDPv4 link local (bound): [undef]:1194
Wed Sep 19 16:49:37 2007 UDPv4 link remote: [undef]
Wed Sep 19 16:49:37 2007 Initialization Sequence Completed
Wed Sep 19 16:49:37 2007 213.152.ххх.ххх:61390 Re-using SSL/TLS context
Wed Sep 19 16:49:37 2007 213.152.ххх.ххх:61390 LZO compression initialized
Wed Sep 19 16:49:37 2007 213.152.ххх.ххх:61390 write UDPv4: No Route to Host (WSAEHOSTUNREACH) (code=10065)
Wed Sep 19 16:49:37 2007 213.152.ххх.ххх:61390 write UDPv4: No Route to Host (WSAEHOSTUNREACH) (code=10065)
......
Wed Sep 19 16:50:37 2007 213.152.ххх.ххх:61390 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Sep 19 16:50:37 2007 213.152.ххх.ххх:61390 TLS Error: TLS handshake failed
Wed Sep 19 16:50:37 2007 213.152.ххх.ххх:61390 Re-using SSL/TLS context
Wed Sep 19 16:50:37 2007 213.152.ххх.ххх:61390 LZO compression initialized
Wed Sep 19 16:50:37 2007 213.152.ххх.ххх:61390 write UDPv4: No Route to Host (WSAEHOSTUNREACH) (code=10065)

502. vinni, 19.09.2007 18:36
D_K
Там же "по-русски" написано: No Route to Host

А чтобы ответить детальнее - http://forum.ixbt.com/post.cgi?id=annc:14:40906

503. D_K, 19.09.2007 19:09
vinni:

ну не понимаю я какого ему маршрута не хватает
когда я коннектюсь к серваку с реального ip или из под ната - нет проблем, но нужно еще будет коннектится из под VPN провайдера

попытаюсь дать информацию для детального ответа:
сервер находится за натом, на роутере стоит форвард на сервак по порту 1194
вот route print на сервере
код:

10.10.10.0 255.255.255.252 10.10.10.1 10.10.10.1 1
10.10.10.0 255.255.255.0 10.10.10.2 10.10.10.1 1
10.10.10.1 255.255.255.255 127.0.0.1 127.0.0.1 1
10.255.255.255 255.255.255.255 10.10.10.1 10.10.10.1 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.2 192.168.1.2 1
192.168.1.2 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.1.255 255.255.255.255 192.168.1.2 192.168.1.2 1
224.0.0.0 224.0.0.0 10.10.10.1 10.10.10.1 1
224.0.0.0 224.0.0.0 192.168.1.2 192.168.1.2 1
255.255.255.255 255.255.255.255 192.168.1.2 192.168.1.2 1

ipconfig /all
код:

Настройка протокола IP для Windows 2000

Имя компьютера . . . . . . . . . : server
Основной DNS суффикс . . . . . . :
Тип узла . . . . . . . . . . . . : Широковещательный
Включена IP-маршрутизация . . . . : Нет
Доверенный WINS-сервер . . . . . : Нет

Адаптер Ethernet Подключение по VPN:

DNS суффикс этого подключения . . :
Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8
Физический адрес. . . . . . . . . : 00-FF-28-41-C1-C2
DHCP разрешен . . . . . . . . . . : Да
Автонастройка включена . . . . . : Да
IP-адрес . . . . . . . . . . . . : 10.10.10.1
Маска подсети . . . . . . . . . . : 255.255.255.252
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 10.10.10.2
DNS-серверы . . . . . . . . . . . :
Аренда получена . . . . . . . . . : 19 сентября 2007 г. 18:20:22
Аренда истекает . . . . . . . . . : 18 сентября 2008 г. 18:20:22

Адаптер Ethernet Подключение по локальной сети:

DNS суффикс этого подключения . . :
Описание . . . . . . . . . . . . : SiS 900 PCI Fast Ethernet Adapter
Физический адрес. . . . . . . . . : 00-E0-18-2B-64-0F
DHCP разрешен . . . . . . . . . . : Нет
IP-адрес . . . . . . . . . . . . : 192.168.1.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . :

504. vinni, 19.09.2007 19:19
D_K
А где основной шлюз у сервера?

попытаюсь дать информацию для детального ответа
Не очень то получилось, прочитайте ещё раз ВНИМАТЕЛЬНО инструкцию по "даче показаний", там же написано что нужно показать, я её (не для себя) больше часа писал, а Вы ленитесь потратить 15 минут (для себя).

505. D_K, 20.09.2007 10:31
vinni

хм. действительно нету. сеть создавалась несколько лет назад и видимо с сервера не требовалось в инет вылезать, а по локалке все нормально функционирует. сейчас поправлю настройки сервака и вечером удаленно попробую. спасиб, всетаки свежий глаз, у меня по поводу отсутствия шлюза даже мысля не проскочила

506. Igor7777777, 20.09.2007 18:23
Вопрос к спецам:
На компьютере стоит ХР и виртуальный комп с W98.
Комп подключен по локалке к Интернету.
Как настроить выход в интернет с виртуального компа используя VPN?
Если можно, объясните по-подробнее.
Заранее СПАСИБО!


Igor7777777 !
Не начинайте общение на форуме с нарушения правил и пренебрежения к участникам и той информации, которая уже написана. Вы не удосужились прочитать объявление вверху темы и первую страницу.
Ваш вопрос не имеет никакого отношения к данной теме.
vinni

507. saw3, 23.09.2007 10:29
Господа, нужна помощь.....поставил опенвпн, настроил, все работало отлично, туннель поднимался после ребута автоматом, а теперь не хочет, например, после ребута компа "А" нужно перезапустить службу в ручную на компе "В" и соответственно наобарот, маршруты добавлены.
1
код:
remote 8x.xxx.xx.x3
port 5005
proto udp
dev tap
ifconfig 10.8.200.1 255.255.255.0
dev-node office2
secret key.txt
ping 10
comp-lzo
verb 4
mute 10

C:\Documents and Settings\Администратор>route print

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 ff 51 15 21 62 ...... TAP-Win32 Adapter V8
0x10004 ...00 0c 6e 96 48 43 ...... Realtek RTL8139 Family PCI Fast Ethernet NIC
#2
0x10005 ...00 80 48 3b 52 c6 ...... Realtek RTL8139 Family PCI Fast Ethernet NIC
#3
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 8x.xxx.xx.1 8x.xxx.xx.x2 20
10.8.200.0 255.255.255.0 10.8.200.1 10.8.200.1 30
10.8.200.1 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.8.200.1 10.8.200.1 30
8x.xx.xx.x0 255.255.255.224 8x.xxx.xx.x2 8x.xxx.xx.x2 20
8x.xxx.xx.x2 255.255.255.255 127.0.0.1 127.0.0.1 20
8x.255.255.255 255.255.255.255 8x.xxx.xx.x2 8x.xxx.xx.x2 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.62.0 255.255.255.0 10.8.200.2 10.8.200.1 1
192.168.63.0 255.255.255.0 192.168.63.66 192.168.63.66 20
192.168.63.66 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.63.255 255.255.255.255 192.168.63.66 192.168.63.66 20
224.0.0.0 240.0.0.0 10.8.200.1 10.8.200.1 30
224.0.0.0 240.0.0.0 8x.xxx.xx.x2 8x.xxx.xx.x2 20
224.0.0.0 240.0.0.0 192.168.63.66 192.168.63.66 20
255.255.255.255 255.255.255.255 10.8.200.1 10.8.200.1 1
255.255.255.255 255.255.255.255 8x.xxx.xx.x2 8x.xxx.xx.x2 1
255.255.255.255 255.255.255.255 192.168.63.66 192.168.63.66 1
Основной шлюз: 8x.xxx.xx.1
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
192.168.62.0 255.255.255.0 10.8.200.2 1
C:\Documents and Settings\Администратор>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : office1
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : да

dema - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8
Физический адрес. . . . . . . . . : 00-FF-51-15-21-62
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.8.200.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

Local - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet
NIC #2
Физический адрес. . . . . . . . . : 00-0C-6E-96-48-43
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.63.66
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

Optovolokno - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet
NIC #3
Физический адрес. . . . . . . . . : 00-80-48-3B-52-C6
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 8x.xxx.xx.x2
Маска подсети . . . . . . . . . . : 255.255.255.224
Основной шлюз . . . . . . . . . . : 8x.xxx.xx.1
DNS-серверы . . . . . . . . . . . : 8x.xxx.xx.5
Microsoft Windows [Версия 5.2.3790]
(С) Корпорация Майкрософт, 1985-2003.

2
код:
port 5005
proto udp
dev tap
ifconfig 10.8.200.2 255.255.255.0
dev-node office1
secret key.txt
ping 10
comp-lzo
verb 4
mute 10

C:\Documents and Settings\Администратор>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : office2
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : да

revol - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8
Физический адрес. . . . . . . . . : 00-FF-49-B1-18-B4
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.8.200.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

local - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Compex RL100TX PCI Fast Ethernet Adapter
Физический адрес. . . . . . . . . : 00-80-48-FB-A6-91
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.62.66
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

inet - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : SiS 900-Based PCI Fast Ethernet адаптер
Физический адрес. . . . . . . . . : 00-D0-09-ED-20-91
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 8x.xxx.xx.x3
Маска подсети . . . . . . . . . . : 255.255.255.224
Основной шлюз . . . . . . . . . . : 8x.xxx.xx.x3
DNS-серверы . . . . . . . . . . . : 8x.xxx.xx..5

Microsoft Windows [Версия 5.2.3790]
(С) Корпорация Майкрософт, 1985-2003.

C:\Documents and Settings\Администратор>route print

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 ff 49 b1 18 b4 ...... TAP-Win32 Adapter V8
0x10004 ...00 80 48 fb a6 91 ...... Compex RL100TX PCI Fast Ethernet Adapter
0x10005 ...00 d0 09 ed 20 91 ...... SiS 900-Based PCI Fast Ethernet рфряЄхЁ
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 8x.xxx.xx.x3 8x.xxx.xx.x3 20
10.8.200.0 255.255.255.0 10.8.200.2 10.8.200.2 30
10.8.200.2 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.8.200.2 10.8.200.2 30
8x.xxx.xx.x3 255.255.255.224 8x.xxx.xx.x3 8x.xxx.xx.x3 20
8x.xxx.xx.x3 255.255.255.255 127.0.0.1 127.0.0.1 20
8x.255.255.255 255.255.255.255 8x.xxx.xx.x3 8x.xxx.xx.x3 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.62.0 255.255.255.0 192.168.62.66 192.168.62.66 30
192.168.62.66 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.62.255 255.255.255.255 192.168.62.66 192.168.62.66 30
192.168.63.0 255.255.255.0 10.8.200.1 10.8.200.2 1
224.0.0.0 240.0.0.0 10.8.200.2 10.8.200.2 30
224.0.0.0 240.0.0.0 8x.xxx.xx.x3 8x.xxx.xx.x3 20
224.0.0.0 240.0.0.0 192.168.62.66 192.168.62.66 30
255.255.255.255 255.255.255.255 10.8.200.2 10.8.200.2 1
255.255.255.255 255.255.255.255 8x.xxx.xx.x3 8x.xxx.xx.x3 1
255.255.255.255 255.255.255.255 192.168.62.66 192.168.62.66 1
Основной шлюз: 8x.xxx.xx.x3
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
192.168.63.0 255.255.255.0 10.8.200.1 1

508. vinni, 23.09.2007 23:26
saw3
ping-restart 30
числовой параметр подобрать "по вкусу"

509. saw3, 24.09.2007 09:05
vinni, спасибо, на сколько я понял надо добавить в *.ovpn строку ping-restart 30, на обеих сторонах?
если не трудно можно как нибудь прокоментировать происходящие у меня, из-за чего так это случилось?

510. vinni, 24.09.2007 12:54
saw3
А нечего пока комментировать, т.к. 100%-ой ясности нет, я лишь высказал наиболее вероятный метод лечения.
Да и, если честно, я с тунелями peer-to-peer почти не возился (за ненадобностью, у меня все туннели клиент-сервер) и особенностей их работы с точки зрения рестарта точно не знаю.

Смотрите описание этих команд (ping и ping-restart) на первой стр.темы и в MAN-ах, включайте более высокую детализацию LOG-ов (verb 5 и выше) и смотрите что там происходит.

511. rain87, 24.09.2007 21:19
в общем такая проблема. после переключения сети на получение инета по опенвпну юзеры стали жаловаться на следующее:

кто-то создаёт у себя игровой сервер (контра, варкрафт, етс)
другие его не видят - т.е. в игровом клиенте просто не видят локального сервера.

наверняка если указать ИП сервера явно, то всё будет работать, но юзеры на такое неспособны

как мне кажется, это связано с тем, что игра рассылает бродкаст сообщения в опенвпн, ответа оттуда не получает, и по локальной сети почему-то не рассылает бродкастов
в общем, это только домыслы, что происходит на самом деле не знаю

какие есть идеи?

512. vinni, 24.09.2007 21:27
rain87
Идеи простые:
- понять структуру сетевого трафика игры
- попробовать менять порядок сетевых интерфейсов в "Сетевые подключения" - "Дополнительно" - "Дополнительные параметры..."

513. rain87, 24.09.2007 22:36
vinni
думал о втором пункте. а нет какого-нить программного способа это сделать? через netsh, или как-то ещё
и ещё, можно как-нить (тоже программно) отключить виндовые службы доступа к файлам и папкам (клиентскую и серверную) на адаптере опенвпн?

514. vinni, 24.09.2007 22:46
rain87
думал о втором пункте. а нет какого-нить программного способа это сделать?
Вы издеваетесь? Надо мной или над собой? Я же Вам русским по белому написал куда идти, там же справа есть кнопки со стрелками, которые меняют порядок этих интерфейсов.

можно как-нить (тоже программно) отключить виндовые службы доступа к файлам и папкам (клиентскую и серверную) на адаптере опенвпн?

515. rain87, 25.09.2007 00:38
vinni
блин. сам я вполне соображу, где находятся стрелочки. но объяснять это пользователям напряжно крайне. потому и задал вопрос

ладно, проехали. в принципе мой вопрос не в тему

516. Ven, 30.09.2007 12:37
Не могу побороть проблему добавления маршрута. Помогите пожалуйста.
код:
WRWRWWRRWRRRWWRWRWRRWWRWRWRRWWRWRWRRWWRWRWRRWWRWRWRRWWRWWWWRWRRRWWWRWRWRRWWRWRWRRWWRWRWRRWWRWRWRRRRWWWWRRRRRRWWWRRRRWWWRRWRWRWRWRWRWRWRWRWRWRWRWRWSun Sep 30 11:27:10 2007 us=287000 Current Parameter Settings:
Sun Sep 30 11:27:10 2007 us=287000 config = 'client.ovpn'
Sun Sep 30 11:27:10 2007 us=287000 mode = 0
Sun Sep 30 11:27:10 2007 us=287000 show_ciphers = DISABLED
Sun Sep 30 11:27:10 2007 us=287000 show_digests = DISABLED
Sun Sep 30 11:27:10 2007 us=287000 show_engines = DISABLED
Sun Sep 30 11:27:10 2007 us=287000 genkey = DISABLED
Sun Sep 30 11:27:10 2007 us=287000 key_pass_file = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=287000 show_tls_ciphers = DISABLED
Sun Sep 30 11:27:10 2007 us=287000 proto = 2
Sun Sep 30 11:27:10 2007 us=287000 local = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=287000 remote_list[0] = {'82.207.118.225', 1194}
Sun Sep 30 11:27:10 2007 us=287000 remote_random = DISABLED
Sun Sep 30 11:27:10 2007 us=287000 local_port = 0
Sun Sep 30 11:27:10 2007 us=287000 remote_port = 1194
Sun Sep 30 11:27:10 2007 us=287000 remote_float = DISABLED
Sun Sep 30 11:27:10 2007 us=287000 ipchange = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=287000 bind_defined = DISABLED
Sun Sep 30 11:27:10 2007 us=287000 bind_local = DISABLED
Sun Sep 30 11:27:10 2007 us=287000 dev = 'tun'
Sun Sep 30 11:27:10 2007 us=287000 dev_type = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=287000 dev_node = 'VPN'
Sun Sep 30 11:27:10 2007 us=287000 lladdr = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=287000 topology = 1
Sun Sep 30 11:27:10 2007 us=287000 tun_ipv6 = DISABLED
Sun Sep 30 11:27:10 2007 us=287000 ifconfig_local = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=287000 ifconfig_remote_netmask = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=287000 ifconfig_noexec = DISABLED
Sun Sep 30 11:27:10 2007 us=287000 ifconfig_nowarn = DISABLED
Sun Sep 30 11:27:10 2007 us=287000 shaper = 0
Sun Sep 30 11:27:10 2007 us=287000 tun_mtu = 1500
Sun Sep 30 11:27:10 2007 us=287000 tun_mtu_defined = ENABLED
Sun Sep 30 11:27:10 2007 us=287000 link_mtu = 1500
Sun Sep 30 11:27:10 2007 us=287000 link_mtu_defined = DISABLED
Sun Sep 30 11:27:10 2007 us=287000 tun_mtu_extra = 0
Sun Sep 30 11:27:10 2007 us=287000 tun_mtu_extra_defined = DISABLED
Sun Sep 30 11:27:10 2007 us=287000 fragment = 0
Sun Sep 30 11:27:10 2007 us=287000 mtu_discover_type = -1
Sun Sep 30 11:27:10 2007 us=287000 mtu_test = 0
Sun Sep 30 11:27:10 2007 us=287000 mlock = DISABLED
Sun Sep 30 11:27:10 2007 us=287000 keepalive_ping = 0
Sun Sep 30 11:27:10 2007 us=287000 keepalive_timeout = 0
Sun Sep 30 11:27:10 2007 us=287000 inactivity_timeout = 0
Sun Sep 30 11:27:10 2007 us=287000 ping_send_timeout = 0
Sun Sep 30 11:27:10 2007 us=287000 ping_rec_timeout = 0
Sun Sep 30 11:27:10 2007 us=287000 ping_rec_timeout_action = 0
Sun Sep 30 11:27:10 2007 us=287000 ping_timer_remote = DISABLED
Sun Sep 30 11:27:10 2007 us=287000 remap_sigusr1 = 0
Sun Sep 30 11:27:10 2007 us=287000 explicit_exit_notification = 0
Sun Sep 30 11:27:10 2007 us=287000 persist_tun = ENABLED
Sun Sep 30 11:27:10 2007 us=287000 persist_local_ip = DISABLED
Sun Sep 30 11:27:10 2007 us=287000 persist_remote_ip = DISABLED
Sun Sep 30 11:27:10 2007 us=287000 persist_key = ENABLED
Sun Sep 30 11:27:10 2007 us=287000 mssfix = 1450
Sun Sep 30 11:27:10 2007 us=287000 resolve_retry_seconds = 1000000000
Sun Sep 30 11:27:10 2007 us=287000 connect_retry_seconds = 5
Sun Sep 30 11:27:10 2007 us=287000 connect_timeout = 10
Sun Sep 30 11:27:10 2007 us=287000 connect_retry_max = 0
Sun Sep 30 11:27:10 2007 us=287000 username = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=287000 groupname = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=287000 chroot_dir = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=287000 cd_dir = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=287000 writepid = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=287000 up_script = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=287000 down_script = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=287000 down_pre = DISABLED
Sun Sep 30 11:27:10 2007 us=287000 up_restart = DISABLED
Sun Sep 30 11:27:10 2007 us=287000 up_delay = DISABLED
Sun Sep 30 11:27:10 2007 us=287000 daemon = DISABLED
Sun Sep 30 11:27:10 2007 us=387000 inetd = 0
Sun Sep 30 11:27:10 2007 us=387000 log = DISABLED
Sun Sep 30 11:27:10 2007 us=387000 suppress_timestamps = DISABLED
Sun Sep 30 11:27:10 2007 us=387000 nice = 0
Sun Sep 30 11:27:10 2007 us=387000 verbosity = 5
Sun Sep 30 11:27:10 2007 us=387000 mute = 0
Sun Sep 30 11:27:10 2007 us=387000 gremlin = 0
Sun Sep 30 11:27:10 2007 us=387000 status_file = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=387000 status_file_version = 1
Sun Sep 30 11:27:10 2007 us=387000 status_file_update_freq = 60
Sun Sep 30 11:27:10 2007 us=387000 occ = ENABLED
Sun Sep 30 11:27:10 2007 us=387000 rcvbuf = 0
Sun Sep 30 11:27:10 2007 us=387000 sndbuf = 0
Sun Sep 30 11:27:10 2007 us=387000 sockflags = 0
Sun Sep 30 11:27:10 2007 us=387000 socks_proxy_server = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=387000 socks_proxy_port = 0
Sun Sep 30 11:27:10 2007 us=437000 socks_proxy_retry = DISABLED
Sun Sep 30 11:27:10 2007 us=437000 fast_io = DISABLED
Sun Sep 30 11:27:10 2007 us=437000 lzo = 7
Sun Sep 30 11:27:10 2007 us=437000 route_script = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=437000 route_default_gateway = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=437000 route_default_metric = 0
Sun Sep 30 11:27:10 2007 us=437000 route_noexec = DISABLED
Sun Sep 30 11:27:10 2007 us=437000 route_delay = 5
Sun Sep 30 11:27:10 2007 us=437000 route_delay_window = 30
Sun Sep 30 11:27:10 2007 us=437000 route_delay_defined = ENABLED
Sun Sep 30 11:27:10 2007 us=437000 route_nopull = DISABLED
Sun Sep 30 11:27:10 2007 us=437000 management_addr = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=437000 management_port = 0
Sun Sep 30 11:27:10 2007 us=437000 management_user_pass = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=437000 management_log_history_cache = 250
Sun Sep 30 11:27:10 2007 us=467000 management_echo_buffer_size = 100
Sun Sep 30 11:27:10 2007 us=467000 management_query_passwords = DISABLED
Sun Sep 30 11:27:10 2007 us=467000 management_hold = DISABLED
Sun Sep 30 11:27:10 2007 us=467000 management_client = DISABLED
Sun Sep 30 11:27:10 2007 us=467000 management_write_peer_info_file = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=467000 shared_secret_file = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=467000 key_direction = 0
Sun Sep 30 11:27:10 2007 us=467000 ciphername_defined = ENABLED
Sun Sep 30 11:27:10 2007 us=467000 ciphername = 'BF-CBC'
Sun Sep 30 11:27:10 2007 us=467000 authname_defined = ENABLED
Sun Sep 30 11:27:10 2007 us=467000 authname = 'SHA1'
Sun Sep 30 11:27:10 2007 us=467000 keysize = 0
Sun Sep 30 11:27:10 2007 us=467000 engine = DISABLED
Sun Sep 30 11:27:10 2007 us=467000 replay = ENABLED
Sun Sep 30 11:27:10 2007 us=467000 mute_replay_warnings = DISABLED
Sun Sep 30 11:27:10 2007 us=467000 replay_window = 0
Sun Sep 30 11:27:10 2007 us=497000 replay_time = 0
Sun Sep 30 11:27:10 2007 us=497000 packet_id_file = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=497000 use_iv = ENABLED
Sun Sep 30 11:27:10 2007 us=497000 test_crypto = DISABLED
Sun Sep 30 11:27:10 2007 us=497000 tls_server = DISABLED
Sun Sep 30 11:27:10 2007 us=497000 tls_client = ENABLED
Sun Sep 30 11:27:10 2007 us=497000 key_method = 2
Sun Sep 30 11:27:10 2007 us=497000 ca_file = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=497000 ca_path = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=497000 dh_file = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=497000 cert_file = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=497000 priv_key_file = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=497000 pkcs12_file = 'Ven.p12'
Sun Sep 30 11:27:10 2007 us=497000 cryptoapi_cert = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=497000 cipher_list = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=497000 tls_verify = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=497000 tls_remote = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=527000 crl_file = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=527000 ns_cert_type = 0
Sun Sep 30 11:27:10 2007 us=527000 remote_cert_ku[i] = 0
Sun Sep 30 11:27:10 2007 us=527000 remote_cert_ku[i] = 0
Sun Sep 30 11:27:10 2007 us=527000 remote_cert_ku[i] = 0
Sun Sep 30 11:27:10 2007 us=527000 remote_cert_ku[i] = 0
Sun Sep 30 11:27:10 2007 us=527000 remote_cert_ku[i] = 0
Sun Sep 30 11:27:10 2007 us=527000 remote_cert_ku[i] = 0
Sun Sep 30 11:27:10 2007 us=527000 remote_cert_ku[i] = 0
Sun Sep 30 11:27:10 2007 us=527000 remote_cert_ku[i] = 0
Sun Sep 30 11:27:10 2007 us=527000 remote_cert_ku[i] = 0
Sun Sep 30 11:27:10 2007 us=527000 remote_cert_ku[i] = 0
Sun Sep 30 11:27:10 2007 us=527000 remote_cert_ku[i] = 0
Sun Sep 30 11:27:10 2007 us=527000 remote_cert_ku[i] = 0
Sun Sep 30 11:27:10 2007 us=527000 remote_cert_ku[i] = 0
Sun Sep 30 11:27:10 2007 us=527000 remote_cert_ku[i] = 0
Sun Sep 30 11:27:10 2007 us=527000 remote_cert_ku[i] = 0
Sun Sep 30 11:27:10 2007 us=548000 remote_cert_ku[i] = 0
Sun Sep 30 11:27:10 2007 us=548000 remote_cert_eku = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=548000 tls_timeout = 2
Sun Sep 30 11:27:10 2007 us=548000 renegotiate_bytes = 0
Sun Sep 30 11:27:10 2007 us=548000 renegotiate_packets = 0
Sun Sep 30 11:27:10 2007 us=548000 renegotiate_seconds = 3600
Sun Sep 30 11:27:10 2007 us=548000 handshake_window = 60
Sun Sep 30 11:27:10 2007 us=548000 transition_window = 3600
Sun Sep 30 11:27:10 2007 us=548000 single_session = DISABLED
Sun Sep 30 11:27:10 2007 us=548000 tls_exit = DISABLED
Sun Sep 30 11:27:10 2007 us=548000 tls_auth_file = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=548000 pkcs11_protected_authentication = DISABLED
Sun Sep 30 11:27:10 2007 us=548000 pkcs11_protected_authentication = DISABLED
Sun Sep 30 11:27:10 2007 us=548000 pkcs11_protected_authentication = DISABLED
Sun Sep 30 11:27:10 2007 us=548000 pkcs11_protected_authentication = DISABLED
Sun Sep 30 11:27:10 2007 us=578000 pkcs11_protected_authentication = DISABLED
Sun Sep 30 11:27:10 2007 us=578000 pkcs11_protected_authentication = DISABLED
Sun Sep 30 11:27:10 2007 us=578000 pkcs11_protected_authentication = DISABLED
Sun Sep 30 11:27:10 2007 us=578000 pkcs11_protected_authentication = DISABLED
Sun Sep 30 11:27:10 2007 us=578000 pkcs11_protected_authentication = DISABLED
Sun Sep 30 11:27:10 2007 us=578000 pkcs11_protected_authentication = DISABLED
Sun Sep 30 11:27:10 2007 us=578000 pkcs11_protected_authentication = DISABLED
Sun Sep 30 11:27:10 2007 us=578000 pkcs11_protected_authentication = DISABLED
Sun Sep 30 11:27:10 2007 us=578000 pkcs11_protected_authentication = DISABLED
Sun Sep 30 11:27:10 2007 us=578000 pkcs11_protected_authentication = DISABLED
Sun Sep 30 11:27:10 2007 us=578000 pkcs11_protected_authentication = DISABLED
Sun Sep 30 11:27:10 2007 us=578000 pkcs11_protected_authentication = DISABLED
Sun Sep 30 11:27:10 2007 us=598000 pkcs11_cert_private = DISABLED
Sun Sep 30 11:27:10 2007 us=598000 pkcs11_cert_private = DISABLED
Sun Sep 30 11:27:10 2007 us=598000 pkcs11_cert_private = DISABLED
Sun Sep 30 11:27:10 2007 us=598000 pkcs11_cert_private = DISABLED
Sun Sep 30 11:27:10 2007 us=598000 pkcs11_cert_private = DISABLED
Sun Sep 30 11:27:10 2007 us=598000 pkcs11_cert_private = DISABLED
Sun Sep 30 11:27:10 2007 us=598000 pkcs11_cert_private = DISABLED
Sun Sep 30 11:27:10 2007 us=598000 pkcs11_cert_private = DISABLED
Sun Sep 30 11:27:10 2007 us=598000 pkcs11_cert_private = DISABLED
Sun Sep 30 11:27:10 2007 us=598000 pkcs11_cert_private = DISABLED
Sun Sep 30 11:27:10 2007 us=598000 pkcs11_cert_private = DISABLED
Sun Sep 30 11:27:10 2007 us=598000 pkcs11_cert_private = DISABLED
Sun Sep 30 11:27:10 2007 us=598000 pkcs11_cert_private = DISABLED
Sun Sep 30 11:27:10 2007 us=598000 pkcs11_cert_private = DISABLED
Sun Sep 30 11:27:10 2007 us=628000 pkcs11_cert_private = DISABLED
Sun Sep 30 11:27:10 2007 us=628000 pkcs11_cert_private = DISABLED
Sun Sep 30 11:27:10 2007 us=628000 pkcs11_pin_cache_period = -1
Sun Sep 30 11:27:10 2007 us=628000 pkcs11_slot_type = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=628000 pkcs11_slot = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=628000 pkcs11_id_type = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=628000 pkcs11_id = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=628000 server_network = 0.0.0.0
Sun Sep 30 11:27:10 2007 us=628000 server_netmask = 0.0.0.0
Sun Sep 30 11:27:10 2007 us=628000 server_bridge_ip = 0.0.0.0
Sun Sep 30 11:27:10 2007 us=628000 server_bridge_netmask = 0.0.0.0
Sun Sep 30 11:27:10 2007 us=628000 server_bridge_pool_start = 0.0.0.0
Sun Sep 30 11:27:10 2007 us=628000 server_bridge_pool_end = 0.0.0.0
Sun Sep 30 11:27:10 2007 us=628000 ifconfig_pool_defined = DISABLED
Sun Sep 30 11:27:10 2007 us=628000 ifconfig_pool_start = 0.0.0.0
Sun Sep 30 11:27:10 2007 us=648000 ifconfig_pool_end = 0.0.0.0
Sun Sep 30 11:27:10 2007 us=648000 ifconfig_pool_netmask = 0.0.0.0
Sun Sep 30 11:27:10 2007 us=648000 ifconfig_pool_persist_filename = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=648000 ifconfig_pool_persist_refresh_freq = 600
Sun Sep 30 11:27:10 2007 us=648000 n_bcast_buf = 256
Sun Sep 30 11:27:10 2007 us=648000 tcp_queue_limit = 64
Sun Sep 30 11:27:10 2007 us=648000 real_hash_size = 256
Sun Sep 30 11:27:10 2007 us=648000 virtual_hash_size = 256
Sun Sep 30 11:27:10 2007 us=648000 client_connect_script = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=648000 learn_address_script = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=648000 client_disconnect_script = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=648000 client_config_dir = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=658000 ccd_exclusive = DISABLED
Sun Sep 30 11:27:10 2007 us=658000 tmp_dir = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=658000 push_ifconfig_defined = DISABLED
Sun Sep 30 11:27:10 2007 us=678000 push_ifconfig_local = 0.0.0.0
Sun Sep 30 11:27:10 2007 us=678000 push_ifconfig_remote_netmask = 0.0.0.0
Sun Sep 30 11:27:10 2007 us=678000 enable_c2c = DISABLED
Sun Sep 30 11:27:10 2007 us=678000 duplicate_cn = DISABLED
Sun Sep 30 11:27:10 2007 us=678000 cf_max = 0
Sun Sep 30 11:27:10 2007 us=678000 cf_per = 0
Sun Sep 30 11:27:10 2007 us=678000 max_clients = 1024
Sun Sep 30 11:27:10 2007 us=678000 max_routes_per_client = 256
Sun Sep 30 11:27:10 2007 us=678000 client_cert_not_required = DISABLED
Sun Sep 30 11:27:10 2007 us=678000 username_as_common_name = DISABLED
Sun Sep 30 11:27:10 2007 us=678000 auth_user_pass_verify_script = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=678000 auth_user_pass_verify_script_via_file = DISABLED
Sun Sep 30 11:27:10 2007 us=678000 client = ENABLED
Sun Sep 30 11:27:10 2007 us=678000 pull = ENABLED
Sun Sep 30 11:27:10 2007 us=678000 auth_user_pass_file = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=678000 show_net_up = DISABLED
Sun Sep 30 11:27:10 2007 us=698000 route_method = 0
Sun Sep 30 11:27:10 2007 us=698000 ip_win32_defined = DISABLED
Sun Sep 30 11:27:10 2007 us=698000 ip_win32_type = 3
Sun Sep 30 11:27:10 2007 us=698000 dhcp_masq_offset = 0
Sun Sep 30 11:27:10 2007 us=698000 dhcp_lease_time = 31536000
Sun Sep 30 11:27:10 2007 us=698000 tap_sleep = 0
Sun Sep 30 11:27:10 2007 us=698000 dhcp_options = DISABLED
Sun Sep 30 11:27:10 2007 us=698000 dhcp_renew = DISABLED
Sun Sep 30 11:27:10 2007 us=698000 dhcp_pre_release = DISABLED
Sun Sep 30 11:27:10 2007 us=698000 dhcp_release = DISABLED
Sun Sep 30 11:27:10 2007 us=698000 domain = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=698000 netbios_scope = '[UNDEF]'
Sun Sep 30 11:27:10 2007 us=698000 netbios_node_type = 0
Sun Sep 30 11:27:10 2007 us=698000 disable_nbt = DISABLED
Sun Sep 30 11:27:10 2007 us=698000 OpenVPN 2.1_rc4 Win32-MinGW [SSL] [LZO2] built on Apr 25 2007
Sun Sep 30 11:27:10 2007 us=718000 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sun Sep 30 11:27:10 2007 us=738000 LZO compression initialized
Sun Sep 30 11:27:10 2007 us=738000 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Sun Sep 30 11:27:10 2007 us=748000 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Sep 30 11:27:10 2007 us=748000 Local Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Sun Sep 30 11:27:10 2007 us=748000 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Sun Sep 30 11:27:10 2007 us=748000 Local Options hash (VER=V4): '69109d17'
Sun Sep 30 11:27:10 2007 us=748000 Expected Remote Options hash (VER=V4): 'c0103fa8'
Sun Sep 30 11:27:10 2007 us=748000 Attempting to establish TCP connection with 82.207.118.225:1194
Sun Sep 30 11:27:10 2007 us=888000 TCP connection established with 82.207.118.225:1194
Sun Sep 30 11:27:10 2007 us=888000 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Sep 30 11:27:10 2007 us=888000 TCPv4_CLIENT link local: [undef]
Sun Sep 30 11:27:10 2007 us=888000 TCPv4_CLIENT link remote: 82.207.118.225:1194
Sun Sep 30 11:27:11 2007 us=18000 TLS: Initial packet from 82.207.118.225:1194, sid=ad235b94 88cf76fd
Sun Sep 30 11:27:13 2007 us=111000 VERIFY OK: depth=1, /C=UA/ST=NA/L=Kiev/O=Amigotoys/CN=mail.amigotoys.kiev.ua/emailAddress=alm@amigotoys.kiev.ua
Sun Sep 30 11:27:13 2007 us=111000 VERIFY OK: depth=0, /C=UA/ST=NA/O=Amigotoys/CN=mail.amigotoys.kiev.ua/emailAddress=alm@amigotoys.kiev.ua
Sun Sep 30 11:27:16 2007 us=626000 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Sep 30 11:27:16 2007 us=626000 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Sep 30 11:27:16 2007 us=626000 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Sep 30 11:27:16 2007 us=626000 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Sep 30 11:27:16 2007 us=626000 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sun Sep 30 11:27:16 2007 us=626000 [mail.amigotoys.kiev.ua] Peer Connection Initiated with 82.207.118.225:1194
Sun Sep 30 11:27:17 2007 us=878000 SENT CONTROL [mail.amigotoys.kiev.ua]: 'PUSH_REQUEST' (status=1)
Sun Sep 30 11:27:18 2007 us=329000 PUSH: Received control message: 'PUSH_REPLY,route 192.168.0.0 255.255.255.0,route 192.168.10.0 255.255.255.0,route 10.8.0.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 10.8.0.10 10.8.0.9'
Sun Sep 30 11:27:18 2007 us=329000 OPTIONS IMPORT: timers and/or timeouts modified
Sun Sep 30 11:27:18 2007 us=329000 OPTIONS IMPORT: --ifconfig/up options modified
Sun Sep 30 11:27:18 2007 us=329000 OPTIONS IMPORT: route options modified
Sun Sep 30 11:27:18 2007 us=379000 TAP-WIN32 device [VPN] opened: \\.\Global\{061B697D-B2BF-4E47-AB55-830013D0501D}.tap
Sun Sep 30 11:27:18 2007 us=389000 TAP-Win32 Driver Version 9.3
Sun Sep 30 11:27:18 2007 us=389000 TAP-Win32 MTU=1500
Sun Sep 30 11:27:19 2007 us=390000 NETSH: netsh interface ip set address "VPN" dhcp
ОК.
Sun Sep 30 11:27:21 2007 us=714000 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.10/255.255.255.252 on interface {061B697D-B2BF-4E47-AB55-830013D0501D} [DHCP-serv: 10.8.0.9, lease-time: 31536000]
Sun Sep 30 11:27:21 2007 us=714000 Successful ARP Flush on interface [2] {061B697D-B2BF-4E47-AB55-830013D0501D}
Sun Sep 30 11:27:27 2007 us=101000 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Sun Sep 30 11:27:27 2007 us=101000 Route: Waiting for TUN/TAP interface to come up...
Sun Sep 30 11:27:31 2007 us=217000 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Sun Sep 30 11:27:31 2007 us=217000 Route: Waiting for TUN/TAP interface to come up...
Sun Sep 30 11:27:32 2007 us=369000 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Sun Sep 30 11:27:32 2007 us=369000 Route: Waiting for TUN/TAP interface to come up...
Sun Sep 30 11:27:33 2007 us=631000 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Sun Sep 30 11:27:33 2007 us=631000 Route: Waiting for TUN/TAP interface to come up...
Sun Sep 30 11:27:34 2007 us=893000 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Sun Sep 30 11:27:34 2007 us=893000 Route: Waiting for TUN/TAP interface to come up...
Sun Sep 30 11:27:36 2007 us=164000 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Sun Sep 30 11:27:36 2007 us=164000 Route: Waiting for TUN/TAP interface to come up...
Sun Sep 30 11:27:37 2007 us=426000 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Sun Sep 30 11:27:37 2007 us=426000 Route: Waiting for TUN/TAP interface to come up...
Sun Sep 30 11:27:38 2007 us=688000 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Sun Sep 30 11:27:38 2007 us=688000 Route: Waiting for TUN/TAP interface to come up...
Sun Sep 30 11:27:39 2007 us=950000 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Sun Sep 30 11:27:39 2007 us=950000 Route: Waiting for TUN/TAP interface to come up...
Sun Sep 30 11:27:41 2007 us=212000 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Sun Sep 30 11:27:41 2007 us=212000 Route: Waiting for TUN/TAP interface to come up...
Sun Sep 30 11:27:42 2007 us=373000 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Sun Sep 30 11:27:42 2007 us=373000 Route: Waiting for TUN/TAP interface to come up...
Sun Sep 30 11:27:43 2007 us=445000 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Sun Sep 30 11:27:43 2007 us=445000 Route: Waiting for TUN/TAP interface to come up...
Sun Sep 30 11:27:44 2007 us=606000 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Sun Sep 30 11:27:44 2007 us=606000 Route: Waiting for TUN/TAP interface to come up...
Sun Sep 30 11:27:45 2007 us=768000 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Sun Sep 30 11:27:45 2007 us=768000 Route: Waiting for TUN/TAP interface to come up...
Sun Sep 30 11:27:46 2007 us=930000 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Sun Sep 30 11:27:46 2007 us=930000 Route: Waiting for TUN/TAP interface to come up...
Sun Sep 30 11:27:48 2007 us=81000 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Sun Sep 30 11:27:48 2007 us=81000 Route: Waiting for TUN/TAP interface to come up...
Sun Sep 30 11:27:49 2007 us=243000 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Sun Sep 30 11:27:49 2007 us=243000 Route: Waiting for TUN/TAP interface to come up...
Sun Sep 30 11:27:50 2007 us=405000 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Sun Sep 30 11:27:50 2007 us=405000 Route: Waiting for TUN/TAP interface to come up...
Sun Sep 30 11:27:51 2007 us=566000 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Sun Sep 30 11:27:51 2007 us=566000 Route: Waiting for TUN/TAP interface to come up...
Sun Sep 30 11:27:52 2007 us=668000 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Sun Sep 30 11:27:52 2007 us=668000 Route: Waiting for TUN/TAP interface to come up...
Sun Sep 30 11:27:53 2007 us=780000 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Sun Sep 30 11:27:53 2007 us=780000 Route: Waiting for TUN/TAP interface to come up...
Sun Sep 30 11:27:54 2007 us=991000 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Sun Sep 30 11:27:54 2007 us=991000 Route: Waiting for TUN/TAP interface to come up...
Sun Sep 30 11:27:56 2007 us=93000 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Sun Sep 30 11:27:56 2007 us=93000 route ADD 192.168.0.0 MASK 255.255.255.0 10.8.0.9
Sun Sep 30 11:27:56 2007 us=103000 Warning: route gateway is not reachable on any active network adapters: 10.8.0.9
Sun Sep 30 11:27:56 2007 us=103000 Route addition via IPAPI failed [adaptive]
Sun Sep 30 11:27:56 2007 us=103000 Route addition fallback to route.exe
Сбой добавления маршрута: Либо индекс интерфейса указан неверно, либо шлюз не лежит в той же подсети,
что и данный интерфейс. Проверьте таблицу IP-адресов этого компьютера.
Sun Sep 30 11:27:56 2007 us=173000 route ADD 192.168.10.0 MASK 255.255.255.0 10.8.0.9
Sun Sep 30 11:27:56 2007 us=183000 Warning: route gateway is not reachable on any active network adapters: 10.8.0.9
Sun Sep 30 11:27:56 2007 us=183000 Route addition via IPAPI failed [adaptive]
Sun Sep 30 11:27:56 2007 us=183000 Route addition fallback to route.exe
Сбой добавления маршрута: Либо индекс интерфейса указан неверно, либо шлюз не лежит в той же подсети,
что и данный интерфейс. Проверьте таблицу IP-адресов этого компьютера.
Sun Sep 30 11:27:56 2007 us=303000 route ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.9
Sun Sep 30 11:27:56 2007 us=303000 Warning: route gateway is not reachable on any active network adapters: 10.8.0.9
Sun Sep 30 11:27:56 2007 us=303000 Route addition via IPAPI failed [adaptive]
Sun Sep 30 11:27:56 2007 us=303000 Route addition fallback to route.exe
Сбой добавления маршрута: Либо индекс интерфейса указан неверно, либо шлюз не лежит в той же подсети,
что и данный интерфейс. Проверьте таблицу IP-адресов этого компьютера.
SYSTEM ROUTING TABLE
0.0.0.0 0.0.0.0 172.27.33.3 p=0 i=65540 t=4 pr=3 a=550 h=0 m=1/-1/-1/-1/-1
10.0.0.1 255.255.255.255 10.0.5.1 p=0 i=65541 t=4 pr=3 a=98852 h=0 m=1/-1/-1/-1/-1
10.0.5.0 255.255.255.0 10.0.5.210 p=0 i=65541 t=3 pr=2 a=98998 h=0 m=20/-1/-1/-1/-1
10.0.5.149 255.255.255.255 10.0.5.210 p=0 i=65541 t=3 pr=3 a=550 h=0 m=1/-1/-1/-1/-1
10.0.5.210 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=98998 h=0 m=20/-1/-1/-1/-1
10.10.10.0 255.255.255.0 10.0.5.1 p=0 i=65541 t=4 pr=3 a=98852 h=0 m=1/-1/-1/-1/-1
10.255.255.255 255.255.255.255 10.0.5.210 p=0 i=65541 t=3 pr=2 a=98998 h=0 m=20/-1/-1/-1/-1
64.12.0.0 255.255.0.0 10.0.5.1 p=0 i=65541 t=4 pr=3 a=98852 h=0 m=1/-1/-1/-1/-1
127.0.0.0 255.0.0.0 127.0.0.1 p=0 i=1 t=3 pr=2 a=98998 h=0 m=1/-1/-1/-1/-1
169.254.18.0 255.255.255.0 169.254.18.157 p=0 i=65540 t=3 pr=2 a=216 h=0 m=20/-1/-1/-1/-1
169.254.18.157 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=216 h=0 m=20/-1/-1/-1/-1
169.254.255.255 255.255.255.255 169.254.18.157 p=0 i=65540 t=3 pr=2 a=216 h=0 m=20/-1/-1/-1/-1
172.27.33.0 255.255.255.0 172.27.33.1 p=0 i=65540 t=3 pr=2 a=550 h=0 m=20/-1/-1/-1/-1
172.27.33.1 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=550 h=0 m=20/-1/-1/-1/-1
172.27.255.255 255.255.255.255 169.254.18.157 p=0 i=65540 t=3 pr=2 a=550 h=0 m=20/-1/-1/-1/-1
192.168.254.0 255.255.255.0 192.168.254.1 p=0 i=65542 t=3 pr=2 a=98998 h=0 m=20/-1/-1/-1/-1
192.168.254.1 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=98998 h=0 m=20/-1/-1/-1/-1
192.168.254.255 255.255.255.255 192.168.254.1 p=0 i=65542 t=3 pr=2 a=98998 h=0 m=20/-1/-1/-1/-1
205.188.0.0 255.255.0.0 10.0.5.1 p=0 i=65541 t=4 pr=3 a=98852 h=0 m=1/-1/-1/-1/-1
224.0.0.0 240.0.0.0 10.0.5.210 p=0 i=65541 t=3 pr=2 a=98998 h=0 m=20/-1/-1/-1/-1
224.0.0.0 240.0.0.0 169.254.18.157 p=0 i=65540 t=3 pr=2 a=216 h=0 m=20/-1/-1/-1/-1
224.0.0.0 240.0.0.0 192.168.254.1 p=0 i=65542 t=3 pr=2 a=98998 h=0 m=20/-1/-1/-1/-1
255.255.255.255 255.255.255.255 10.0.5.210 p=0 i=65541 t=3 pr=2 a=98998 h=0 m=1/-1/-1/-1/-1
255.255.255.255 255.255.255.255 169.254.18.157 p=0 i=65540 t=3 pr=2 a=550 h=0 m=1/-1/-1/-1/-1
255.255.255.255 255.255.255.255 172.27.33.1 p=0 i=2 t=3 pr=2 a=98998 h=0 m=1/-1/-1/-1/-1
255.255.255.255 255.255.255.255 192.168.254.1 p=0 i=65542 t=3 pr=2 a=98998 h=0 m=1/-1/-1/-1/-1
SYSTEM ADAPTER LIST
TAP-Win32 Adapter V9
Index = 2
GUID = {061B697D-B2BF-4E47-AB55-830013D0501D}
IP = 0.0.0.0/0.0.0.0
MAC = 00:ff:06:1b:69:7d
GATEWAY =
DHCP SERV = 255.255.255.255
DHCP LEASE OBTAINED = Sun Sep 30 11:27:21 2007
DHCP LEASE EXPIRES = Sun Sep 30 12:27:21 2007
DNS SERV =
Intel(R) PRO/100 VM Network Connection
Index = 65542
GUID = {E4EF0297-441A-40F4-82F9-E31A215C2384}
IP = 192.168.254.1/255.255.255.0
MAC = 00:03:47:a4:74:a2
GATEWAY =
DNS SERV =
Realtek RTL8139 Family PCI Fast Ethernet NIC
Index = 65541
GUID = {4E81A4EC-1303-4A97-AA24-4F0C514320C0}
IP = 10.0.5.210/255.255.255.0
MAC = 00:40:f4:b5:e6:ca
GATEWAY =
DNS SERV = 10.0.0.1
Kerio VPN adapter
Index = 65540
GUID = {BF74EAA5-E6B8-4B0B-9230-04F2D3C68099}
IP = 172.27.33.1/255.255.255.0 169.254.18.157/255.255.255.0
MAC = 44:45:53:54:60:08
GATEWAY = 172.27.33.3/0.0.0.0
DHCP SERV = 169.254.18.156
DHCP LEASE OBTAINED = Sun Sep 30 11:27:54 2007
DHCP LEASE EXPIRES = Sun Sep 30 11:30:54 2007
DNS SERV =
Sun Sep 30 11:27:56 2007 us=433000 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )

517. Genacid, 01.10.2007 08:19
Помогите пожалуйста. Проблема в следующем: настраиваю впн все работает нормально, примерно через 2 часа соединение обрывается(keepalive у сервера указан), и перезапуск клиента не помогает, спасал только перезапуск сервера. Через три дня мучений клиент вообще перестал подключаться к серверу, то есть при запуске openvpn не показывает подключение на виртуальном адаптере.
Конфигурация сервера:
код:

dev tap
dev-node "vpn"
proto udp
port 8888

server-bridge 192.168.10.1 255.255.255.0 192.168.10.200 192.168.10.210

keepalive 10 60
comp-lzo

dh e:\\OpenVPN\\ssl\\dh1024.pem
ca e:\\OpenVPN\\ssl\\ca.crt
cert e:\\OpenVPN\\ssl\\FirstVPN.crt
key e:\\OpenVPN\\ssl\\FirstVPN.key
tls-auth e:\\OpenVPN\\ssl\\ta.key 0

status e:\\OpenVPN\\log\\openvpn-status.log
log e:\\OpenVPN\\log\\openvpn.log

verb 7

Конфиг клиента:
код:

dev tap
dev-node "vpn"
proto udp
port 8888

remote 217.217.217.217 8888

client

ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\tereshkovoyvpn.crt
key C:\\OpenVPN\\ssl\\tereshkovoyvpn.key
tls-auth C:\\OpenVPN\\ssl\\ta.key 1
dh c:\\Openvpn\\ssl\\dh1024.pem

comp-lzo

status C:\\OpenVPN\\log\\openvpn-status.log
log C:\\OpenVPN\\log\\openvpn.log

verb 7

И в логе клиента:
код:

Mon Oct 01 09:22:22 2007 us=458793 Current Parameter Settings:
Mon Oct 01 09:22:22 2007 us=459565 config = 'TereshkovaOffice.ovpn'
Mon Oct 01 09:22:22 2007 us=459652 mode = 0
Mon Oct 01 09:22:22 2007 us=459706 show_ciphers = DISABLED
Mon Oct 01 09:22:22 2007 us=459759 show_digests = DISABLED
Mon Oct 01 09:22:22 2007 us=459814 show_engines = DISABLED
Mon Oct 01 09:22:22 2007 us=459867 genkey = DISABLED
Mon Oct 01 09:22:22 2007 us=459920 key_pass_file = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=459974 show_tls_ciphers = DISABLED
Mon Oct 01 09:22:22 2007 us=460027 proto = 0
Mon Oct 01 09:22:22 2007 us=460078 local = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=460138 remote_list[0] = {'217.116.156.156', 8888}
Mon Oct 01 09:22:22 2007 us=460193 remote_random = DISABLED
Mon Oct 01 09:22:22 2007 us=460258 local_port = 8888
Mon Oct 01 09:22:22 2007 us=460312 remote_port = 8888
Mon Oct 01 09:22:22 2007 us=460365 remote_float = DISABLED
Mon Oct 01 09:22:22 2007 us=460418 ipchange = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=460470 bind_local = ENABLED
Mon Oct 01 09:22:22 2007 us=460521 dev = 'tap'
Mon Oct 01 09:22:22 2007 us=460573 dev_type = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=460626 dev_node = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=460678 tun_ipv6 = DISABLED
Mon Oct 01 09:22:22 2007 us=460731 ifconfig_local = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=460786 ifconfig_remote_netmask = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=460840 ifconfig_noexec = DISABLED
Mon Oct 01 09:22:22 2007 us=460893 ifconfig_nowarn = DISABLED
Mon Oct 01 09:22:22 2007 us=460946 shaper = 0
Mon Oct 01 09:22:22 2007 us=460997 tun_mtu = 1500
Mon Oct 01 09:22:22 2007 us=461051 tun_mtu_defined = ENABLED
Mon Oct 01 09:22:22 2007 us=461105 link_mtu = 1500
Mon Oct 01 09:22:22 2007 us=461158 link_mtu_defined = DISABLED
Mon Oct 01 09:22:22 2007 us=461211 tun_mtu_extra = 32
Mon Oct 01 09:22:22 2007 us=461276 tun_mtu_extra_defined = ENABLED
Mon Oct 01 09:22:22 2007 us=461328 fragment = 0
Mon Oct 01 09:22:22 2007 us=461380 mtu_discover_type = -1
Mon Oct 01 09:22:22 2007 us=461432 mtu_test = 0
Mon Oct 01 09:22:22 2007 us=461482 mlock = DISABLED
Mon Oct 01 09:22:22 2007 us=461534 keepalive_ping = 0
Mon Oct 01 09:22:22 2007 us=461585 keepalive_timeout = 0
Mon Oct 01 09:22:22 2007 us=461637 inactivity_timeout = 0
Mon Oct 01 09:22:22 2007 us=461690 ping_send_timeout = 0
Mon Oct 01 09:22:22 2007 us=461743 ping_rec_timeout = 120
Mon Oct 01 09:22:22 2007 us=461796 ping_rec_timeout_action = 2
Mon Oct 01 09:22:22 2007 us=461848 ping_timer_remote = DISABLED
Mon Oct 01 09:22:22 2007 us=461901 remap_sigusr1 = 0
Mon Oct 01 09:22:22 2007 us=461955 explicit_exit_notification = 0
Mon Oct 01 09:22:22 2007 us=462007 persist_tun = DISABLED
Mon Oct 01 09:22:22 2007 us=462060 persist_local_ip = DISABLED
Mon Oct 01 09:22:22 2007 us=462113 persist_remote_ip = DISABLED
Mon Oct 01 09:22:22 2007 us=462165 persist_key = DISABLED
Mon Oct 01 09:22:22 2007 us=462218 mssfix = 1450
Mon Oct 01 09:22:22 2007 us=462283 resolve_retry_seconds = 1000000000
Mon Oct 01 09:22:22 2007 us=462336 connect_retry_seconds = 5
Mon Oct 01 09:22:22 2007 us=462388 username = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=462438 groupname = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=462490 chroot_dir = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=462542 cd_dir = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=462595 writepid = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=462647 up_script = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=462699 down_script = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=462750 down_pre = DISABLED
Mon Oct 01 09:22:22 2007 us=462831 up_restart = DISABLED
Mon Oct 01 09:22:22 2007 us=462888 up_delay = DISABLED
Mon Oct 01 09:22:22 2007 us=462940 daemon = DISABLED
Mon Oct 01 09:22:22 2007 us=462991 inetd = 0
Mon Oct 01 09:22:22 2007 us=463040 log = ENABLED
Mon Oct 01 09:22:22 2007 us=463093 suppress_timestamps = DISABLED
Mon Oct 01 09:22:22 2007 us=463144 nice = 0
Mon Oct 01 09:22:22 2007 us=463194 verbosity = 7
Mon Oct 01 09:22:22 2007 us=463879 mute = 0
Mon Oct 01 09:22:22 2007 us=463956 gremlin = 0
Mon Oct 01 09:22:22 2007 us=464011 status_file = 'C:\OpenVPN\log\openvpn-status.log'
Mon Oct 01 09:22:22 2007 us=464067 status_file_version = 1
Mon Oct 01 09:22:22 2007 us=464121 status_file_update_freq = 60
Mon Oct 01 09:22:22 2007 us=464172 occ = ENABLED
Mon Oct 01 09:22:22 2007 us=464223 rcvbuf = 0
Mon Oct 01 09:22:22 2007 us=464286 sndbuf = 0
Mon Oct 01 09:22:22 2007 us=464340 socks_proxy_server = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=464417 socks_proxy_port = 0
Mon Oct 01 09:22:22 2007 us=464474 socks_proxy_retry = DISABLED
Mon Oct 01 09:22:22 2007 us=464527 fast_io = DISABLED
Mon Oct 01 09:22:22 2007 us=464578 comp_lzo = ENABLED
Mon Oct 01 09:22:22 2007 us=464632 comp_lzo_adaptive = ENABLED
Mon Oct 01 09:22:22 2007 us=464685 route_script = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=464739 route_default_gateway = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=464793 route_noexec = DISABLED
Mon Oct 01 09:22:22 2007 us=464844 route_delay = 0
Mon Oct 01 09:22:22 2007 us=464897 route_delay_window = 30
Mon Oct 01 09:22:22 2007 us=464950 route_delay_defined = ENABLED
Mon Oct 01 09:22:22 2007 us=465004 management_addr = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=465056 management_port = 0
Mon Oct 01 09:22:22 2007 us=465110 management_user_pass = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=465166 management_log_history_cache = 250
Mon Oct 01 09:22:22 2007 us=465222 management_echo_buffer_size = 100
Mon Oct 01 09:22:22 2007 us=465286 management_query_passwords = DISABLED
Mon Oct 01 09:22:22 2007 us=465340 management_hold = DISABLED
Mon Oct 01 09:22:22 2007 us=465395 shared_secret_file = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=465448 key_direction = 2
Mon Oct 01 09:22:22 2007 us=465500 ciphername_defined = ENABLED
Mon Oct 01 09:22:22 2007 us=465552 ciphername = 'BF-CBC'
Mon Oct 01 09:22:22 2007 us=465605 authname_defined = ENABLED
Mon Oct 01 09:22:22 2007 us=465658 authname = 'SHA1'
Mon Oct 01 09:22:22 2007 us=465709 keysize = 0
Mon Oct 01 09:22:22 2007 us=465760 engine = DISABLED
Mon Oct 01 09:22:22 2007 us=465812 replay = ENABLED
Mon Oct 01 09:22:22 2007 us=465865 mute_replay_warnings = DISABLED
Mon Oct 01 09:22:22 2007 us=465917 replay_window = 64
Mon Oct 01 09:22:22 2007 us=465970 replay_time = 15
Mon Oct 01 09:22:22 2007 us=466023 packet_id_file = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=466076 use_iv = ENABLED
Mon Oct 01 09:22:22 2007 us=466127 test_crypto = DISABLED
Mon Oct 01 09:22:22 2007 us=466179 tls_server = DISABLED
Mon Oct 01 09:22:22 2007 us=466255 tls_client = ENABLED
Mon Oct 01 09:22:22 2007 us=466309 key_method = 2
Mon Oct 01 09:22:22 2007 us=466363 ca_file = 'C:\OpenVPN\ssl\ca.crt'
Mon Oct 01 09:22:22 2007 us=466419 dh_file = 'c:\Openvpn\ssl\dh1024.pem'
Mon Oct 01 09:22:22 2007 us=466477 cert_file = 'C:\OpenVPN\ssl\tereshkovoyvpn.crt'
Mon Oct 01 09:22:22 2007 us=466536 priv_key_file = 'C:\OpenVPN\ssl\tereshkovoyvpn.key'
Mon Oct 01 09:22:22 2007 us=466591 pkcs12_file = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=466644 cryptoapi_cert = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=466697 cipher_list = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=466750 tls_verify = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=466802 tls_remote = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=466853 crl_file = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=466904 ns_cert_type = 0
Mon Oct 01 09:22:22 2007 us=466955 tls_timeout = 2
Mon Oct 01 09:22:22 2007 us=467006 renegotiate_bytes = 0
Mon Oct 01 09:22:22 2007 us=467058 renegotiate_packets = 0
Mon Oct 01 09:22:22 2007 us=467112 renegotiate_seconds = 3600
Mon Oct 01 09:22:22 2007 us=467164 handshake_window = 60
Mon Oct 01 09:22:22 2007 us=467216 transition_window = 3600
Mon Oct 01 09:22:22 2007 us=467276 single_session = DISABLED
Mon Oct 01 09:22:22 2007 us=467327 tls_exit = DISABLED
Mon Oct 01 09:22:22 2007 us=467380 tls_auth_file = 'C:\OpenVPN\ssl\ta.key'
Mon Oct 01 09:22:22 2007 us=467485 server_network = 0.0.0.0
Mon Oct 01 09:22:22 2007 us=467552 server_netmask = 0.0.0.0
Mon Oct 01 09:22:22 2007 us=467612 server_bridge_ip = 0.0.0.0
Mon Oct 01 09:22:22 2007 us=467672 server_bridge_netmask = 0.0.0.0
Mon Oct 01 09:22:22 2007 us=467732 server_bridge_pool_start = 0.0.0.0
Mon Oct 01 09:22:22 2007 us=467794 server_bridge_pool_end = 0.0.0.0
Mon Oct 01 09:22:22 2007 us=467852 ifconfig_pool_defined = DISABLED
Mon Oct 01 09:22:22 2007 us=467911 ifconfig_pool_start = 0.0.0.0
Mon Oct 01 09:22:22 2007 us=467969 ifconfig_pool_end = 0.0.0.0
Mon Oct 01 09:22:22 2007 us=468029 ifconfig_pool_netmask = 0.0.0.0
Mon Oct 01 09:22:22 2007 us=468087 ifconfig_pool_persist_filename = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=468147 ifconfig_pool_persist_refresh_freq = 600
Mon Oct 01 09:22:22 2007 us=468201 ifconfig_pool_linear = DISABLED
Mon Oct 01 09:22:22 2007 us=468263 n_bcast_buf = 256
Mon Oct 01 09:22:22 2007 us=468315 tcp_queue_limit = 64
Mon Oct 01 09:22:22 2007 us=468368 real_hash_size = 256
Mon Oct 01 09:22:22 2007 us=468420 virtual_hash_size = 256
Mon Oct 01 09:22:22 2007 us=468473 client_connect_script = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=468528 learn_address_script = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=468584 client_disconnect_script = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=468638 client_config_dir = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=468690 ccd_exclusive = DISABLED
Mon Oct 01 09:22:22 2007 us=468741 tmp_dir = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=468795 push_ifconfig_defined = DISABLED
Mon Oct 01 09:22:22 2007 us=468855 push_ifconfig_local = 0.0.0.0
Mon Oct 01 09:22:22 2007 us=468917 push_ifconfig_remote_netmask = 0.0.0.0
Mon Oct 01 09:22:22 2007 us=468973 enable_c2c = DISABLED
Mon Oct 01 09:22:22 2007 us=469025 duplicate_cn = DISABLED
Mon Oct 01 09:22:22 2007 us=469076 cf_max = 0
Mon Oct 01 09:22:22 2007 us=469127 cf_per = 0
Mon Oct 01 09:22:22 2007 us=469178 max_clients = 1024
Mon Oct 01 09:22:22 2007 us=469231 max_routes_per_client = 256
Mon Oct 01 09:22:22 2007 us=469293 client_cert_not_required = DISABLED
Mon Oct 01 09:22:22 2007 us=469349 username_as_common_name = DISABLED
Mon Oct 01 09:22:22 2007 us=469406 auth_user_pass_verify_script = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=469464 auth_user_pass_verify_script_via_file = DISABLED
Mon Oct 01 09:22:22 2007 us=469517 client = ENABLED
Mon Oct 01 09:22:22 2007 us=469568 pull = ENABLED
Mon Oct 01 09:22:22 2007 us=469622 auth_user_pass_file = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=469685 show_net_up = DISABLED
Mon Oct 01 09:22:22 2007 us=469737 route_method = 0
Mon Oct 01 09:22:22 2007 us=469791 ip_win32_defined = DISABLED
Mon Oct 01 09:22:22 2007 us=469843 ip_win32_type = 3
Mon Oct 01 09:22:22 2007 us=469896 dhcp_masq_offset = 0
Mon Oct 01 09:22:22 2007 us=469950 dhcp_lease_time = 31536000
Mon Oct 01 09:22:22 2007 us=470002 tap_sleep = 0
Mon Oct 01 09:22:22 2007 us=470053 dhcp_options = DISABLED
Mon Oct 01 09:22:22 2007 us=470104 dhcp_renew = DISABLED
Mon Oct 01 09:22:22 2007 us=470156 dhcp_pre_release = DISABLED
Mon Oct 01 09:22:22 2007 us=470208 dhcp_release = DISABLED
Mon Oct 01 09:22:22 2007 us=470267 domain = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=470319 netbios_scope = '[UNDEF]'
Mon Oct 01 09:22:22 2007 us=470370 netbios_node_type = 0
Mon Oct 01 09:22:22 2007 us=470422 disable_nbt = DISABLED
Mon Oct 01 09:22:22 2007 us=470496 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Mon Oct 01 09:22:22 2007 us=470993 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Oct 01 09:22:22 2007 us=482192 Control Channel Authentication: using 'C:\OpenVPN\ssl\ta.key' as a OpenVPN static key file
Mon Oct 01 09:22:22 2007 us=482828 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Oct 01 09:22:22 2007 us=482970 Outgoing Control Channel Authentication: HMAC KEY: 505db94c f604cb36 ec954281 c936b1ba 3dfb0ea2
Mon Oct 01 09:22:22 2007 us=483091 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Oct 01 09:22:22 2007 us=483194 Incoming Control Channel Authentication: HMAC KEY: 16705509 84db3d72 69658f91 95f44c4c 386fa302
Mon Oct 01 09:22:22 2007 us=483335 LZO compression initialized
Mon Oct 01 09:22:22 2007 us=483420 MTU DYNAMIC mtu=0, flags=1, 0 -> 166
Mon Oct 01 09:22:22 2007 us=483513 PID packet_id_init seq_backtrack=64 time_backtrack=15
Mon Oct 01 09:22:22 2007 us=483753 PID packet_id_init seq_backtrack=64 time_backtrack=15
Mon Oct 01 09:22:22 2007 us=483843 PID packet_id_init seq_backtrack=64 time_backtrack=15
Mon Oct 01 09:22:22 2007 us=484028 PID packet_id_init seq_backtrack=64 time_backtrack=15
Mon Oct 01 09:22:22 2007 us=484122 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Mon Oct 01 09:22:22 2007 us=484222 MTU DYNAMIC mtu=1450, flags=2, 1574 -> 1450
Mon Oct 01 09:22:22 2007 us=484303 REMOTE_LIST len=1 current=0
Mon Oct 01 09:22:22 2007 us=484356 [0] 217.116.156.156:8888
Mon Oct 01 09:22:22 2007 us=521531 RESOLVE_REMOTE flags=0x0001 phase=1 rrs=0 sig=-1 status=1
Mon Oct 01 09:22:22 2007 us=521667 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Oct 01 09:22:22 2007 us=521858 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 1,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Mon Oct 01 09:22:22 2007 us=521933 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 0,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Mon Oct 01 09:22:22 2007 us=522075 Local Options hash (VER=V4): '13a273ba'
Mon Oct 01 09:22:22 2007 us=522177 Expected Remote Options hash (VER=V4): '360696c5'
Mon Oct 01 09:22:22 2007 us=522366 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Oct 01 09:22:22 2007 us=522499 UDPv4 link local (bound): [undef]:8888
Mon Oct 01 09:22:22 2007 us=522568 UDPv4 link remote: 217.116.156.156:8888
Mon Oct 01 09:22:22 2007 us=525155 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #1 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:22:24 2007 us=663541 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #2 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:22:26 2007 us=800443 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #3 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:22:28 2007 us=938186 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #4 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:22:31 2007 us=74961 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #5 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:22:33 2007 us=211864 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #6 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:22:34 2007 us=346429 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #7 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:22:36 2007 us=614405 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #8 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:22:38 2007 us=889905 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #9 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:22:41 2007 us=157254 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #10 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:22:43 2007 us=453489 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #11 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:22:45 2007 us=540126 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #12 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:22:47 2007 us=626865 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #13 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:22:49 2007 us=740540 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #14 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:22:51 2007 us=856413 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #15 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:22:53 2007 us=977502 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #16 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:22:56 2007 us=358874 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #17 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:22:58 2007 us=745009 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #18 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:23:01 2007 us=130228 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #19 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:23:03 2007 us=507654 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #20 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:23:05 2007 us=642456 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #21 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:23:07 2007 us=777529 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #22 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:23:09 2007 us=897103 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #23 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:23:12 2007 us=28837 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #24 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:23:14 2007 us=174190 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #25 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:23:15 2007 us=398919 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #26 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:23:18 2007 us=4136 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #27 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:23:20 2007 us=524705 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #28 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:23:22 2007 us=914866 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Oct 01 09:23:22 2007 us=914962 TLS Error: TLS handshake failed
Mon Oct 01 09:23:22 2007 us=915014 PID packet_id_free
Mon Oct 01 09:23:22 2007 us=915402 PID packet_id_free
Mon Oct 01 09:23:22 2007 us=915478 PID packet_id_free
Mon Oct 01 09:23:22 2007 us=915578 PID packet_id_init seq_backtrack=64 time_backtrack=15
Mon Oct 01 09:23:22 2007 us=915764 PID packet_id_init seq_backtrack=64 time_backtrack=15
Mon Oct 01 09:23:22 2007 us=915882 PID packet_id_free
Mon Oct 01 09:23:22 2007 us=916021 PID packet_id_free
Mon Oct 01 09:23:22 2007 us=916074 PID packet_id_free
Mon Oct 01 09:23:22 2007 us=916121 PID packet_id_free
Mon Oct 01 09:23:22 2007 us=917488 PID packet_id_free
Mon Oct 01 09:23:22 2007 us=917590 PID packet_id_free
Mon Oct 01 09:23:22 2007 us=917640 PID packet_id_free
Mon Oct 01 09:23:22 2007 us=917688 PID packet_id_free
Mon Oct 01 09:23:22 2007 us=918255 TCP/UDP: Closing socket
Mon Oct 01 09:23:22 2007 us=919675 PID packet_id_free
Mon Oct 01 09:23:22 2007 us=919806 SIGUSR1[soft,tls-error] received, process restarting
Mon Oct 01 09:23:22 2007 us=919868 Restart pause, 2 second(s)
Mon Oct 01 09:23:24 2007 us=919737 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Oct 01 09:23:24 2007 us=928132 Control Channel Authentication: using 'C:\OpenVPN\ssl\ta.key' as a OpenVPN static key file
Mon Oct 01 09:23:24 2007 us=928302 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Oct 01 09:23:24 2007 us=928410 Outgoing Control Channel Authentication: HMAC KEY: 505db94c f604cb36 ec954281 c936b1ba 3dfb0ea2
Mon Oct 01 09:23:24 2007 us=928500 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Oct 01 09:23:24 2007 us=928622 Incoming Control Channel Authentication: HMAC KEY: 16705509 84db3d72 69658f91 95f44c4c 386fa302
Mon Oct 01 09:23:24 2007 us=928758 LZO compression initialized
Mon Oct 01 09:23:24 2007 us=928827 MTU DYNAMIC mtu=0, flags=1, 0 -> 166
Mon Oct 01 09:23:24 2007 us=928921 PID packet_id_init seq_backtrack=64 time_backtrack=15
Mon Oct 01 09:23:24 2007 us=929095 PID packet_id_init seq_backtrack=64 time_backtrack=15
Mon Oct 01 09:23:24 2007 us=929181 PID packet_id_init seq_backtrack=64 time_backtrack=15
Mon Oct 01 09:23:24 2007 us=929314 PID packet_id_init seq_backtrack=64 time_backtrack=15
Mon Oct 01 09:23:24 2007 us=929394 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Mon Oct 01 09:23:24 2007 us=929466 MTU DYNAMIC mtu=1450, flags=2, 1574 -> 1450
Mon Oct 01 09:23:24 2007 us=929520 REMOTE_LIST len=1 current=0
Mon Oct 01 09:23:24 2007 us=929568 [0] 217.116.156.156:8888
Mon Oct 01 09:23:24 2007 us=931464 RESOLVE_REMOTE flags=0x0001 phase=1 rrs=0 sig=-1 status=1
Mon Oct 01 09:23:24 2007 us=931602 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Oct 01 09:23:24 2007 us=931775 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 1,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Mon Oct 01 09:23:24 2007 us=931848 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 0,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Mon Oct 01 09:23:24 2007 us=931972 Local Options hash (VER=V4): '13a273ba'
Mon Oct 01 09:23:24 2007 us=932072 Expected Remote Options hash (VER=V4): '360696c5'
Mon Oct 01 09:23:24 2007 us=932359 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Oct 01 09:23:24 2007 us=932473 UDPv4 link local (bound): [undef]:8888
Mon Oct 01 09:23:24 2007 us=932540 UDPv4 link remote: 217.116.156.156:8888
Mon Oct 01 09:23:24 2007 us=932954 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #1 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:23:26 2007 us=982553 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #2 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:23:29 2007 us=33398 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #3 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:23:31 2007 us=82618 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #4 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:23:33 2007 us=131132 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #5 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:23:35 2007 us=186792 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #6 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:23:37 2007 us=211206 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #7 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:23:39 2007 us=270764 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #8 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:23:41 2007 us=293198 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #9 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:23:43 2007 us=405794 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #10 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:23:44 2007 us=417115 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #11 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:23:46 2007 us=706164 UDPv4 WRITE [42] to 217.116.156.156:8888: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #12 ] [ ] pid=0 DATA len=0
Mon Oct 01 09:23:47 2007 us=271193 PID packet_id_free
Mon Oct 01 09:23:47 2007 us=271583 PID packet_id_free
Mon Oct 01 09:23:47 2007 us=271657 PID packet_id_free
Mon Oct 01 09:23:47 2007 us=271706 PID packet_id_free
Mon Oct 01 09:23:47 2007 us=271869 PID packet_id_free
Mon Oct 01 09:23:47 2007 us=271929 PID packet_id_free
Mon Oct 01 09:23:47 2007 us=271990 PID packet_id_free
Mon Oct 01 09:23:47 2007 us=272068 PID packet_id_free
Mon Oct 01 09:23:47 2007 us=272610 TCP/UDP: Closing socket
Mon Oct 01 09:23:47 2007 us=272996 PID packet_id_free
Mon Oct 01 09:23:47 2007 us=307397 SIGTERM[hard,] received, process exiting
Mon Oct 01 09:23:47 2007 us=310151 Closing Win32 semaphore 'openvpn_netcmd'

518. vinni, 01.10.2007 10:03
Ven
Прочитайте, пожалуйста, внимательно объявление вверху страницы (красный текст), там написано, что надо показывать в вопросе, а что не надо.

Добавление от 01.10.2007 10:09:

Genacid
Клиент вообще не получает ответы от сервера. Причин может быть много. Начните с этого:
1. Посмотрите лог сервера.
2. Проверьте, одинаков ли ключ ta.key с обеих сторон.
3. Уберите у клиента dh c:\\Openvpn\\ssl\\dh1024.pem - это команда сервера

519. Genacid, 01.10.2007 12:15
цитата:
vinni:
Клиент вообще не получает ответы от сервера. Причин может быть много. Начните с этого:
1. Посмотрите лог сервера.
2. Проверьте, одинаков ли ключ ta.key с обеих сторон.
3. Уберите у клиента dh c:\\Openvpn\\ssl\\dh1024.pem - это команда сервера

Вот лог сервера, я ничего подозрительного в нем не увидел, кроме того, что он действительно не отвечает клиенту, так как после инициализации не видит его:

код:

Mon Oct 01 10:40:32 2007 us=149966 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Mon Oct 01 10:40:32 2007 us=191507 Diffie-Hellman initialized with 1024 bit key
Mon Oct 01 10:40:32 2007 us=193441 Control Channel Authentication: using 'e:\OpenVPN\ssl\ta.key' as a OpenVPN static key file
Mon Oct 01 10:40:32 2007 us=193471 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Oct 01 10:40:32 2007 us=193489 Outgoing Control Channel Authentication: HMAC KEY: 16705509 84db3d72 69658f91 95f44c4c 386fa302
Mon Oct 01 10:40:32 2007 us=193508 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Oct 01 10:40:32 2007 us=193524 Incoming Control Channel Authentication: HMAC KEY: 505db94c f604cb36 ec954281 c936b1ba 3dfb0ea2
Mon Oct 01 10:40:32 2007 us=193545 MTU DYNAMIC mtu=0, flags=1, 0 -> 166
Mon Oct 01 10:40:32 2007 us=193560 TLS-Auth MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Mon Oct 01 10:40:32 2007 us=193569 MTU DYNAMIC mtu=1450, flags=2, 1574 -> 1450
Mon Oct 01 10:40:32 2007 us=237946 TAP-WIN32 device [vpn] opened: \\.\Global\{C0F895A9-0926-4819-A1E7-A21EFEC82CF8}.tap
Mon Oct 01 10:40:32 2007 us=237978 TAP-Win32 Driver Version 8.4
Mon Oct 01 10:40:32 2007 us=237991 TAP-Win32 MTU=1500
Mon Oct 01 10:40:32 2007 us=238025 Sleeping for 10 seconds...
Mon Oct 01 10:40:42 2007 us=248872 Successful ARP Flush on interface [65541] {C0F895A9-0926-4819-A1E7-A21EFEC82CF8}
SYSTEM ROUTING TABLE
0.0.0.0 0.0.0.0 192.168.1.254 p=0 i=2 t=4 pr=3 a=35 h=0 m=10/-1/-1/-1/-1
127.0.0.0 255.0.0.0 127.0.0.1 p=0 i=1 t=3 pr=2 a=35 h=0 m=1/-1/-1/-1/-1
192.168.0.0 255.255.255.0 192.168.0.1 p=0 i=3 t=3 pr=2 a=35 h=0 m=10/-1/-1/-1/-1
192.168.0.1 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=35 h=0 m=10/-1/-1/-1/-1
192.168.0.255 255.255.255.255 192.168.0.1 p=0 i=3 t=3 pr=2 a=35 h=0 m=10/-1/-1/-1/-1
192.168.1.0 255.255.255.0 192.168.1.253 p=0 i=2 t=3 pr=2 a=35 h=0 m=10/-1/-1/-1/-1
192.168.1.253 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=35 h=0 m=10/-1/-1/-1/-1
192.168.1.255 255.255.255.255 192.168.1.253 p=0 i=2 t=3 pr=2 a=35 h=0 m=10/-1/-1/-1/-1
192.168.10.0 255.255.255.0 192.168.10.1 p=0 i=65541 t=3 pr=2 a=5 h=0 m=30/-1/-1/-1/-1
192.168.10.1 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=5 h=0 m=30/-1/-1/-1/-1
192.168.10.255 255.255.255.255 192.168.10.1 p=0 i=65541 t=3 pr=2 a=5 h=0 m=30/-1/-1/-1/-1
224.0.0.0 240.0.0.0 192.168.0.1 p=0 i=3 t=3 pr=2 a=35 h=0 m=10/-1/-1/-1/-1
224.0.0.0 240.0.0.0 192.168.1.253 p=0 i=2 t=3 pr=2 a=35 h=0 m=10/-1/-1/-1/-1
224.0.0.0 240.0.0.0 192.168.10.1 p=0 i=65541 t=3 pr=2 a=5 h=0 m=30/-1/-1/-1/-1
255.255.255.255 255.255.255.255 192.168.0.1 p=0 i=3 t=3 pr=2 a=35 h=0 m=1/-1/-1/-1/-1
255.255.255.255 255.255.255.255 192.168.1.253 p=0 i=2 t=3 pr=2 a=35 h=0 m=1/-1/-1/-1/-1
255.255.255.255 255.255.255.255 192.168.10.1 p=0 i=65541 t=3 pr=2 a=35 h=0 m=1/-1/-1/-1/-1
SYSTEM ADAPTER LIST
TAP-Win32 Adapter V8 - TI miniport driver
Index = 65541
GUID = {C0F895A9-0926-4819-A1E7-A21EFEC82CF8}
IP = 192.168.10.1/255.255.255.0
MAC = 00:ff:c0:f8:95:a9
GATEWAY =
D-Link DGE-530T Gigabit Ethernet Adapter - TI miniport driver
Index = 2
GUID = {5E863290-9708-4143-B097-4C7BFF6BF10E}
IP = 192.168.1.253/255.255.255.0
MAC = 00:15:e9:3d:c7:d4
GATEWAY = 192.168.1.254/0.0.0.0
Marvell Yukon 88E8056 PCI-E Gigabit Ethernet Controller - TI miniport driver
Index = 3
GUID = {DC8E0D44-02F0-4BE8-AD31-D3DC44DAF0F3}
IP = 192.168.0.1/255.255.255.0
MAC = 00:1a:4d:48:a7:ae
GATEWAY =
Mon Oct 01 10:40:42 2007 us=254226 MTU DYNAMIC mtu=1500, flags=3, 1450 -> 1450
Mon Oct 01 10:40:42 2007 us=254249 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Oct 01 10:40:42 2007 us=254284 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Oct 01 10:40:42 2007 us=254304 UDPv4 link local (bound): [undef]:8888
Mon Oct 01 10:40:42 2007 us=254313 UDPv4 link remote: [undef]
Mon Oct 01 10:40:42 2007 us=254324 MULTI: multi_init called, r=256 v=256
Mon Oct 01 10:40:42 2007 us=254347 IFCONFIG POOL: base=192.168.10.200 size=11
Mon Oct 01 10:40:42 2007 us=254377 Initialization Sequence Completed
Mon Oct 01 10:40:42 2007 us=254423 MULTI: REAP range 0 -> 16
Mon Oct 01 10:40:52 2007 us=250342 MULTI: REAP range 16 -> 32
Mon Oct 01 10:40:53 2007 us=424845 MULTI: REAP range 32 -> 48
Mon Oct 01 10:40:54 2007 us=41992 MULTI: REAP range 48 -> 64
Mon Oct 01 10:40:54 2007 us=719334 MULTI: REAP range 64 -> 80
Mon Oct 01 10:40:56 2007 us=31695 MULTI: REAP range 80 -> 96
Mon Oct 01 10:40:56 2007 us=984938 MULTI: REAP range 96 -> 112
Mon Oct 01 10:40:57 2007 us=734971 MULTI: REAP range 112 -> 128
Mon Oct 01 10:40:59 2007 us=344200 MULTI: REAP range 128 -> 144
Mon Oct 01 10:41:02 2007 us=16174 MULTI: REAP range 144 -> 160
Mon Oct 01 10:41:08 2007 us=94970 MULTI: REAP range 160 -> 176
Mon Oct 01 10:41:08 2007 us=844440 MULTI: REAP range 176 -> 192
Mon Oct 01 10:41:11 2007 us=236387 MULTI: REAP range 192 -> 208
Mon Oct 01 10:41:11 2007 us=985316 MULTI: REAP range 208 -> 224
Mon Oct 01 10:41:12 2007 us=735340 MULTI: REAP range 224 -> 240
Mon Oct 01 10:41:13 2007 us=782085 MULTI: REAP range 240 -> 256
Mon Oct 01 10:41:14 2007 us=657149 MULTI: REAP range 0 -> 16
Mon Oct 01 10:41:18 2007 us=157533 MULTI: REAP range 16 -> 32
Mon Oct 01 10:41:18 2007 us=907206 MULTI: REAP range 32 -> 48
Mon Oct 01 10:41:19 2007 us=657248 MULTI: REAP range 48 -> 64
Mon Oct 01 10:41:22 2007 us=407467 MULTI: REAP range 64 -> 80
итд ad infinitum


Ключи абсолютно идентичны, строку я уберу, но думаю вряд ли дело в ней.

И, еще, сегодня появилась странность - во время запуска клиента, прекращается всяческая активность по исходящим направлениям на интерфейсе 192.168.0.1 сервера(интерфейсы: 192.168.0.1 - локальная сеть, 192.168.1.1 - интернет, 192.168.10.1 - tap). Лечится только перезагрузкой.

520. vinni, 01.10.2007 14:38
Genacid
2. Проверьте, одинаков ли ключ ta.key с обеих сторон. Или удалите временно с обеих сторон tls-auth

521. Genacid, 02.10.2007 07:22
vinni
Про ключ я в предыдущем посте писал.
цитата:
Ключи абсолютно идентичны
Кажется нашел причину, сегодня обнаружил в установке и удалении traffic inspector network driver, удалил инспектора полностью и соединение пошло без проблем.

522. Nubsaybot, 04.10.2007 17:34
Мужики подскажите, есть сеть-офис, там стоит сервак с двумя сетевыми 10.0.0.90 и 212.26...... на нем поднят опенвпн сервер и есть удаленный офис на одном компе стоит опенвпн клиент, все компы удаленного офиса выход в нет через роутер, т. е. у всех стоит шлюз по умолчанию 192.168.88.1. Да сетка 192.168.88.0
вот конфиг клиента
dev tun
port 4778
remote 212.26........
proto tcp-client
ifconfig 192.168.190.2 192.168.190.1
secret blabla.key
comp-lzo
его ип 192.168.88.3
задача всем компам сети удаленной досучатся до терминального сервера ( 10.0.0.175) офиса
на терминале офиса route add 192.168.88.0 mask 255.255.255.0 10.0.0.90 -p
на клиенте
route add 10.0.0.175 mask 255.255.255.255 192.168.190.1 -p
на компах удаленной сети
route add 10.0.0.175 mask 255.255.255.255 192.168.88.3 -p
вот клиент 192.168.88.3 (тот на котором установлен опенвпн клиент) видит терминал 10.0.0.175
а компы у которых route add 10.0.0.175 mask 255.255.255.255 192.168.88.3 по трейсерту не проходят дальше 192.168.88.3
маршрутизация включена на 192.168.88.3, система 2000 про
что не так где рыть

523. vinni, 04.10.2007 18:12
Nubsaybot
Или в ovpn-конфиге сервера: route 192.168.88.0 255.255.255.0
Или в самой ОС сервера (про которую Вы так ничего и не сказали): route -p add 192.168.88.0 mask 255.255.255.0 192.168.190.2

Остальное у Вас уже вроде есть.

Ну и фильтры/фаерволы (если есть) не должны блокировать нужный трафик.

524. Nubsaybot, 05.10.2007 00:58
попробую утром, но ведь по моему трейсерт 10,0,0,175 с компа в удаленной сети , который за клиентом, тогда прошел бы чуть дальше если бы дело было в route -p add 192.168.88.0 mask 255.255.255.0 192.168.190.2 а он доходит только до 192.168.88.3. или я ошибаюсь?

525. vinni, 05.10.2007 01:14
Nubsaybot
Ошибаетесь. В случае трафика с ovpn-клиента трафик имеет src-адрес ovpn-интерфейса и ovpn-сервер знает обратный маршрут на него. А в случае с LAN-клиентом трафик имеет src-адрес LAN-интерфейса и ovpn-сервер НЕ знает обратный маршрут на него, именно его и надо добавить.

526. Nubsaybot, 05.10.2007 09:58
Ось впн сервера w2kserver

код:
0x1 ........................... MS TCP Loopback interface
0x2 ...00 ff 65 4f d1 7c ...... TAP-Win32 Adapter V8
0x3 ...00 ff 1d 00 e1 37 ...... TAP-Win32 Adapter V8
0x4 ...00 ff d7 a9 c9 c5 ...... TAP-Win32 Adapter V8
0x5 ...00 ff 2a 08 17 8b ...... TAP-Win32 Adapter V8
0x6 ...00 ff 76 c3 5a 4e ...... TAP-Win32 Adapter V8
0x1000008 ...00 80 48 25 1a 9c ...... NDIS 5.0 driver
0x1000009 ...00 0a 48 02 8a 86 ...... 3Com 3CSOHO100B-TX PCI Driver
===========================================================================
0.0.0.0 0.0.0.0 212.26....... 212.26............ 1
10.0.0.0 255.0.0.0 10.0.0.91 10.0.0.91 1
10.0.0.91 255.255.255.255 127.0.0.1 127.0.0.1 1
10.255.255.255 255.255.255.255 10.0.0.91 10.0.0.91 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.50.0 255.255.255.252 192.168.50.1 192.168.50.1 1
192.168.50.1 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.50.255 255.255.255.255 192.168.50.1 192.168.50.1 1
192.168.88.0 255.255.255.0 192.168.190.2 192.168.190.1 1
192.168.190.0 255.255.255.252 192.168.190.1 192.168.190.1 1
192.168.190.1 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.190.255 255.255.255.255 192.168.190.1 192.168.190.1 1
192.168.192.0 255.255.255.252 192.168.192.1 192.168.192.1 1
192.168.192.1 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.192.255 255.255.255.255 192.168.192.1 192.168.192.1 1
212.26.......... 255.255.255.252 212.26........... 212.26........... 1
212.26........... 255.255.255.255 127.0.0.1 127.0.0.1 1
212.26......255 255.255.255.255 212.26.......... 212.26......... 1
224.0.0.0 224.0.0.0 10.0.0.91 10.0.0.91 1
224.0.0.0 224.0.0.0 192.168.50.1 192.168.50.1 1
224.0.0.0 224.0.0.0 192.168.190.1 192.168.190.1 1
224.0.0.0 224.0.0.0 192.168.192.1 192.168.192.1 1
224.0.0.0 224.0.0.0 212.26...... 212.26....... 1
255.255.255.255 255.255.255.255 192.168.190.1 192.168.190.1 1
???????? ????: 212.26..........
===========================================================================
?????????? ????????:
??????? ????? ????? ????? ????? ???????
192.168.88.0 255.255.255.0 192.168.190.2 1


Клиент
код:
          0.0.0.0          0.0.0.0     192.168.88.1    192.168.88.3       1
10.0.0.0 255.0.0.0 192.168.190.1 192.168.190.2 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.88.0 255.255.255.0 192.168.88.3 192.168.88.3 1
192.168.88.3 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.88.255 255.255.255.255 192.168.88.3 192.168.88.3 1
192.168.190.0 255.255.255.252 192.168.190.2 192.168.190.2 1
192.168.190.2 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.190.255 255.255.255.255 192.168.190.2 192.168.190.2 1
224.0.0.0 224.0.0.0 192.168.88.3 192.168.88.3 1
224.0.0.0 224.0.0.0 192.168.190.2 192.168.190.2 1
255.255.255.255 255.255.255.255 192.168.190.2 192.168.190.2 1
Основной шлюз: 192.168.88.1
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
10.0.0.0 255.0.0.0 192.168.190.1 1


Пинга с мпн сервера се равно нет до LAN-клиента, удаленного офиса
трейсерт с впс сервера доходит только до 192.168.190.2

P.S. от vinni: Люди! Имейте совесть! Оформляйте свои сообщения!
Ну а 2 последние строки как понимать?

527. dpgwdovw, 06.10.2007 06:51
Vinni
У меня возникла на сервере такая ошибка. Я смотрел логи:
"NOTE: FlushIpNetTable failed on interface [2] {427E6BDF-F41F-4E7A-B8C4-4F12B25A6C11} (status=1413) : Invalid index."

Это ваше решение, но ничего не помогает, но хоть VPN работает нормально. То есть пакеты нормально идут до сервера и потом с него выходят, то есть на выходе имею IP сервака. На сервере стоит Win 2003 WE c SP2
цитата:
Не происходит добавление маршрута в таблицу маршрутизации, вероятно при включенной службе RRAS (чаще всего возникает на серверных ОС, например, Windows Server 2003, но встречал и на XP) - ошибка:
"NOTE: FlushIpNetTable failed on interface [2] {427E6BDF-F41F-4E7A-B8C4-4F12B25A6C11} (status=1413) : Invalid index."
Похоже дело в Win-довом глюке, по API-команде windows должна добавить маршрут, при этом если в конфиг OpenVPN вставить show-net-up, то OpenVPN запросит windows через API всю таблицу маршрутизации и выведет её в лог, там нужный маршрут будет. А если сделать "route print", то маршрута не будет...
Решение: "route-method exe" в конфиг.файле - это указывает OpenVPN-у, что добавление маршрута надо делать не через API, а через route.exe. Кроме того, может потребоваться небольшая задержка перед добавлением маршрута через route.exe (встречалось, что без задержки route.exe ещё не видит только что появившийся интерфейс и не добавляет маршрут), это делается route-delay 10 (на серверах лично меня "не напрягает" задержка 10 секунд, на клиентах можно уменьшить до экспериментально вычисленного предела)

Это мой конфиг сервера

dev tun
ifconfig 10.8.0.1 10.8.0.2
secret static.key
port 5001
proto udp
comp-lzo
route-method exe
route-delay 10
push "redirect-gateway def1"
verb 0

Это конфиг клиента

remote xxx.xxx.xxx.xxx
dev tun
ifconfig 10.8.0.2 10.8.0.1
secret static.key
port 5001
proto udp
comp-lzo
redirect-gateway
ping-restart 60
ping-timer-rem
ping 10
route-method exe
route-delay 10

P.S Заранее блогадарен.

P.S. от vinni: старайтесь нормально оформлять текст и, по возможности, писать без ошибок или корректировать их

528. darkday_ccr, 08.10.2007 11:21
Доброго дня!
Подскажите, плз, правильно ли я копаю:
Имеются два оффиса, в каждом локальная сеть вида 192.168.1.0/0, адреса раздаются руками, (DHCP нет), поєтому уникальность обеспечивается. Хочу на OVPN создать L2 соединение с помощью моста. Т.е. цель - получить совершенно прозрачную общую локалку, а потом уже в каждой настроить на клиентах свои инет-шлюзы (ну чтобы не дублировать трафик). VPN - сервера (они же инет-сервера и тп.) W2003serv. На каждом есть интерфейс глядящий в локалку (192.168.1.10 и 192.168.1.50) и интерфейсы глядящие в инет. Ставлю OVPN. Делаю мосты с локальными интерфейсами на обоих машинах. Мостам назначаю адреса локалок (192.168.1.10 и 192.168.1.50 соответственно). Конфиги OVPN следующие:
-----------------------------------
На оффисе №1
-----------------------------------
remote <office1 ip>
proto udp
port 4090
dev tap
#dev-node OVPN
#ifconfig 192.168.1.50 255.255.255.0
#route 192.168.221.0 255.255.255.0 10.3.0.2
secret office12
comp-lzo
auth md5
cipher DES-CBC
tun-mtu 1500
ping 15
verb 3

-----------------------------------
На оффисе №2
-----------------------------------
remote <office2 ip>
proto udp
port 4090
dev tap
secret office12
comp-lzo
auth md5
cipher DES-CBC
tun-mtu 1500
ping 15
verb 3

Запускаю службу. 2 секунды и коннект есть, все видится, все прекрасно.
Далее начинаются проблемы.
Перезагружаю второй сервер. (первый не пробовал, там сейчас крутятся задачи = невозможность перегружаться ради эксперимента)
После загрузки OVPN коннектится, но!
Сервер перестает видеть свою локальную сеть, и соответственно перестает видеть первый оффис. Удаляю мост. Создаю мост. Рестарт OVPN. Все работает. До перезагрузки.
Файрволы есть, но их включение/отключение принципиально не влияет.
Судя по тому, что отпадает локалка, я скорее всего ошибаюсь где-то в создании моста. Но где?

логи ипконфига, роута, арпа и овпн имеются, но пока не выкладываю, чтобы не засорять.. возможно, все же, проблема на поверхности.

Буду благдарен за помощь.

529. CasperSKY, 09.10.2007 07:53
Уважаемый , vinni !
Столкнулся с проблемой не могу понять , что делать !
Вообщем лучше расскажу задачу, что хочу сделать !

У меня на площадке провайдера, стоит выделенный сервер
и он смотрит в интернет, его данные:
IP: 87.34.117.226
Маска подсети: 255.255.255.224
Основн. Шлюз: 87.34.117.225
DNS первич.: 87.34.96.70
DNS вторич.: 87.34.96.124

Также у провайдера есть ADSL-клиенты...
Весь трафик для клиентов поделен на несколько тарифных зон !(организован по средствам PPPoE)
Мой сервер находиться в тарифной зоне "LOCAL" (стоимость - 2 копейки за 1 мб)

Далее проблема начинается при игре в p2p игры. (такие как WarCraft III)
Для игры в WarCraft III, пользователю требуется включить ещё одно PPPoE соедниение,
под тарифной зоной "P2P" (стоимость - 10 копеек за 1 мб).
Иначе просто пользователи не смогут передовать данные , между собой,
так как весь P2P трафик между ними режится.

От сюда я посидел и подумал, что будет не плохо организовать OpenVPN сервер,
для удобства пользователей:
1-ое.: для экономии (если они будут гонять трафик по внутри впна, то он им будет стоить 2копейки)
2-oe.: для игры в P2P игры , без двух PPPoE соединений, а именно без "P2P"(pppoe) соединения.

Итог:
1. Требуется сделать, так, чтобы пользователи заходили под OPenVPN , и видели друг друга,
то есть могли играть на пример на PvPGN сервере в WarCraft III.
И в другие игры которые играются по LAN.
2. Чтобы они видели мой сервер 87.34.117.226, желательно если можно, чтобы IP сервера не сменился...
3. Ну и чтобы они ушли от использования 10 PPPoE соединений, а пользовались одним PPPoE соединением,
то есть "LOCAL"`om по 2 копейки.
4. Желательно чтобы пользователи видели, только мою тачку 87.34.117.226, но не могли выйти в интернет !
Так как внешний интернет на этой машине, есть и не дай бог, если кто-то по случайности на качает пару гигов.
Хотя я так предполагаю , что до интернета , они скорей всего не доберутся , так как NAT'a нету, соединение в
принципе не расшаренно!

С уважением, Артур !

530. vinni, 10.10.2007 13:39
Всем: извините, был сильно занят, вопросы вижу, постараюсь ответить сегодня.

Добавление от 10.10.2007 20:12:

CasperSKY
Пользователи могут "достучаться" до Вашего внешнего IP-адреса? Если да, то ок.
Ставьте у себя OpenVPN-сервер.
наверное, проще в варианте L2, но тогда пользователи могут гонять трафик между собой через Ваш хост внутри тунеля и если Вася передаст Пете пару DVD-юков, то Вы заплатите за входящий от Васи, а Петя заплатит за входящий от Вас. Фильтровать трафик между пользователями Вы не сможете, разве что шейпить собственно внешний туннельный трафик. Но L2-тунель более универсальный для разных игр, а если требуется броадкаст, то нужен именно такой.
Образцы конфигов на первой странице.
Чтобы не лезли через Вас в и-нет - не включайте NAT + поставьте и настройте фильтр / фаервол, запрещающий принимать с OpenVPN-интерфейса пакеты кроме как DestinationIP=адрес-VPN-сервера.

Добавление от 10.10.2007 20:31:

darkday_ccr
А если добавить "ip-win32 manual" ?

После загрузки OVPN коннектится, но!
Сервер перестает видеть свою локальную сеть, и соответственно перестает видеть первый оффис.

А что в этот момент покажут:
ping внешний_шлюз
ping внутренний_хост_из_своей_физической_LAN
arp -a
route print
?

Добавление от 10.10.2007 20:45:

dpgwdovw
Эта ошибка возникает часто, но она не всегда "мешает жить". Если после неё маршруты назначаются, то можно "забить" на неё. Или попробовать "tap-sleep n", n подобрать "по вкусу", начать можно с 5.

Добавление от 10.10.2007 20:57:

Nubsaybot
Что-то я тормознул, наверное, показалось что у Вас dev tap.
В Вашем случае с dev tun из предложенных мною двух вариантов, вероятно, сработает только один, а именно:
в ovpn-конфиге сервера: route 192.168.88.0 255.255.255.0
При этом из route -p add можно маршрут и не удалять.
Но это тоже не на 100%, я просто с тунелями peer-to-peer вообще не работаю и поэтому пользуюсь командой iroute, но у Вас непонятно ка её прикрутить.

Добавление от 10.10.2007 20:58:

Nubsaybot
Кстати, а маршрутизация на клиенте включена? Что показывает ipconfig /all на клиенте?

Добавление от 10.10.2007 21:00:

Ну вот, вроде всем ответил

531. CasperSKY, 11.10.2007 03:19
vinni
Да ... пользователи могут до стучаться до сервера ... только не из под ОпенВПН.
Вот проблема то что не могу настроить так как мне надо по моей инструкции...
А то что там передаст внутри локалки виртуальной (мне без разницы) я не плачу за трафик ЛОКАЛ, а они платят !
Фильтровать трафик не надо !
Образцы конфигов на первой странице. - ... да вот замучился не могу настроить... если можете скиньтте ,
личным сообщением свой телефон или почтовый адрес или же аську ...
оч. надо правда...

Далли бы конфиг , под мои сетевые настройки и нужды, вот правда век бы не забыл, и был бы очень благодарен !

532. vinni, 11.10.2007 08:41
CasperSKY
Образцы конфигов на первой странице. - ... да вот замучился не могу настроить...
Генерацию ключей Вы должны сделать самостоятельно. Это "процедура" (п.3.1 первой страницы), а не просто конфиг.

А конфиги там лежат почти готовые к первичному употреблению, остальное доводится по месту рашпилем.
Сервер:
код:
ca ca.crt       # этот файл Вы должны сгенерировать самостоятельно
cert server.crt # этот файл Вы должны сгенерировать самостоятельно
key server.key # этот файл Вы должны сгенерировать самостоятельно
dh dh1024.pem # этот файл Вы должны сгенерировать самостоятельно
dev tap
server 10.8.0.0 255.255.255.0 # эта сеть не должна конфликтовать с Вашими
comp-lzo

Клиент:
код:
ca ca.crt # этот файл Вы должны сгенерировать самостоятельно
cert client.crt # этот файл Вы должны сгенерировать самостоятельно
key client.key # этот файл Вы должны сгенерировать самостоятельно
dev tap
client
remote server.com 1194 # вместо server.com укажите свой "внешний" IP и обеспечьте на нём доступ к порту 1194/udp

если можете скиньтте, личным сообщением свой телефон или почтовый адрес или же аську ...
Исключено. Общение только здесь в форуме или в приватной теме. Прямые вопросы на e-mail я в 95% случаев игнорирую, о чём прямо написано в моём профиле, т.к. получить e-mail адрес ввиду некоторых особенностей форума не является проблемой. Я ведь тоже не резиновый, на всех разорваться не могу.

533. Sko, 13.10.2007 15:39
А можно ли связать 2 офиса, имеющие выход в интернет, но без возможности, что-либо менять на DSL модемах? Они (модемы) предоставляются провайдером и уже жестко настроены, т.е. промапить порты нельзя..

534. SPV82, 13.10.2007 22:05
Sko
Разве что если для этих 2ух офисов найти внешний сервер, к которому они будут подключаться как клиенты...

535. Sko, 14.10.2007 12:41
Даа, это понятно, но думалось - вдруг я чего упустил...

536. deeonis, 16.10.2007 21:44
Здравтвуйте, OVPN не хочет правильно работать. В логе выдается следующее:
код:
Mon Oct 08 11:12:40 2007 SHVPN 2.0.9 Win32-MSVC++ [SSL] [LZO] built on Aug 21 2007
Mon Oct 08 11:12:40 2007 IMPORTANT: SHVPN's default port number is now 1194, based on an official port number assignment by IANA.
Mon Oct 08 11:12:40 2007 WARNING: No server certificate verification method has been enabled.
Mon Oct 08 11:12:40 2007 LZO compression initialized
Mon Oct 08 11:12:40 2007 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Oct 08 11:12:40 2007 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Oct 08 11:12:40 2007 Local Options hash (VER=V4): '41690919'
Mon Oct 08 11:12:40 2007 Expected Remote Options hash (VER=V4): '530fdded'
Mon Oct 08 11:12:40 2007 UDPv4 link local: [undef]
Mon Oct 08 11:12:40 2007 UDPv4 link remote: 72.232.197.18:53
Mon Oct 08 11:12:44 2007 TLS: Initial packet from 72.232.197.18:53, sid=7756bd24 acef2f11
Mon Oct 08 11:12:45 2007 VERIFY OK: depth=1, /C=US/ST=RU/L=NY/O=OpenVPN-TEST/CN=OpenVPN-CA/emailAddress=me@myhost.mydomain
Mon Oct 08 11:12:45 2007 VERIFY OK: depth=0, /C=US/ST=RU/O=OpenVPN-TEST/CN=server/emailAddress=me@myhost.mydomain
Mon Oct 08 11:12:46 2007 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Oct 08 11:12:46 2007 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Oct 08 11:12:46 2007 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Oct 08 11:12:46 2007 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Oct 08 11:12:46 2007 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Mon Oct 08 11:12:46 2007 [server] Peer Connection Initiated with 72.232.197.18:53
Mon Oct 08 11:12:47 2007 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Mon Oct 08 11:12:47 2007 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS 72.232.192.3,route 10.8.0.1,ping 10,ping-restart 60,ifconfig 10.8.0.10 10.8.0.9'
Mon Oct 08 11:12:47 2007 OPTIONS IMPORT: timers and/or timeouts modified
Mon Oct 08 11:12:47 2007 OPTIONS IMPORT: --ifconfig/up options modified
Mon Oct 08 11:12:47 2007 OPTIONS IMPORT: route options modified
Mon Oct 08 11:12:47 2007 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Mon Oct 08 11:12:47 2007 TAP-WIN32 device [NULL] opened: \\.\Global\{02A1A7F7-3A20-425E-8433-34BD609E453E}.tap
Mon Oct 08 11:12:47 2007 TAP-Win32 Driver Version 8.4 (DEBUG)
Mon Oct 08 11:12:47 2007 TAP-Win32 MTU=1500
Mon Oct 08 11:12:47 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.10/255.255.255.252 on interface {02A1A7F7-3A20-425E-8433-34BD609E453E} [DHCP-serv: 10.8.0.9, lease-time: 31536000]
Mon Oct 08 11:12:47 2007 Successful ARP Flush on interface [196611] {02A1A7F7-3A20-425E-8433-34BD609E453E}
Mon Oct 08 11:12:47 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 08 11:12:47 2007 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 08 11:12:48 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 08 11:12:48 2007 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 08 11:12:49 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 08 11:12:49 2007 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 08 11:12:51 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 08 11:12:51 2007 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 08 11:12:52 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 08 11:12:52 2007 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 08 11:12:53 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 08 11:12:53 2007 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 08 11:12:54 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 08 11:12:54 2007 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 08 11:12:55 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 08 11:12:55 2007 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 08 11:12:56 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 08 11:12:56 2007 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 08 11:12:57 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 08 11:12:57 2007 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 08 11:12:59 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 08 11:12:59 2007 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 08 11:13:00 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 08 11:13:00 2007 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 08 11:13:01 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 08 11:13:01 2007 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 08 11:13:02 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 08 11:13:02 2007 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 08 11:13:03 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 08 11:13:03 2007 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 08 11:13:04 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 08 11:13:04 2007 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 08 11:13:06 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 08 11:13:06 2007 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 08 11:13:07 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 08 11:13:07 2007 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 08 11:13:08 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 08 11:13:08 2007 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 08 11:13:09 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 08 11:13:09 2007 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 08 11:13:10 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 08 11:13:10 2007 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 08 11:13:12 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 08 11:13:12 2007 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 08 11:13:13 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 08 11:13:13 2007 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 08 11:13:14 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 08 11:13:14 2007 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 08 11:13:15 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 08 11:13:15 2007 Route: Waiting for TUN/TAP interface to come up...
Mon Oct 08 11:13:16 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Mon Oct 08 11:13:16 2007 route ADD 72.232.197.18 MASK 255.255.255.255 84.92.126.155
Mon Oct 08 11:13:16 2007 Route addition via IPAPI succeeded
Mon Oct 08 11:13:16 2007 route ADD 0.0.0.0 MASK 128.0.0.0 10.8.0.9
Mon Oct 08 11:13:16 2007 Warning: route gateway is not reachable on any active network adapters: 10.8.0.9
Mon Oct 08 11:13:16 2007 Route addition via IPAPI failed
Mon Oct 08 11:13:16 2007 route ADD 128.0.0.0 MASK 128.0.0.0 10.8.0.9
Mon Oct 08 11:13:16 2007 Warning: route gateway is not reachable on any active network adapters: 10.8.0.9
Mon Oct 08 11:13:16 2007 Route addition via IPAPI failed
Mon Oct 08 11:13:16 2007 route ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.9
Mon Oct 08 11:13:16 2007 Warning: route gateway is not reachable on any active network adapters: 10.8.0.9
Mon Oct 08 11:13:16 2007 Route addition via IPAPI failed
Mon Oct 08 11:13:16 2007 Initialization Sequence Completed With Errors

Т.е. на лицо проблемы с маршрутиризаций. ОС Windows XP SP2, фаервол: Comodo Firewall, служба DHCP включена. ipconfig /all ниже:
код:
Windows IP Configuration

Host Name . . . . . . . . . . . . : terrys
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter {9C98CF01-5AD9-427D-ABC0-A7AA59AE3E3E}:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Smarthide TAP driver - Packet Schedu
ler Miniport
Physical Address. . . . . . . . . : 00-FF-9C-98-CF-01
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Autoconfiguration IP Address. . . : 169.254.214.231
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Default Gateway . . . . . . . . . :

PPP adapter Voyager 105 ADSL Modem Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physical Address. . . . . . . . . : 00-53-45-00-00-00
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 84.92.126.155
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 84.92.126.155
DNS Servers . . . . . . . . . . . : 212.159.6.10
212.159.6.9
NetBIOS over Tcpip. . . . . . . . : Disabled

В чем может быть проблема? неужели дело в том что подключение к интернету идет через PPPoE и там DHCP не активен, а больше интерфейсов кроме интерфейса ОВПН нет??

537. igox, 17.10.2007 09:35
Всем привет!
Не подскажите со след. вопросами:
от vinni: Подскажем прямо здесь, надеюсь не возражаете? ИМХО, так удобнее, быстрее и информативнее.
Нужно сделать подключение сервер и много клиентов.
1. Прочитав этот топик что-то так и непонял какие всётаки файлы нужны на сервере а какие на клиенте. Подтвердите правильность или поправьте
СЕРВЕР:
ca ca.crt Да.
cert server.crt Да.
key server.key Да.
dh dh1024.pem - этот файл для чего нужен? он обязателен? Да.
Это Диффи-Хелман-параметры, если интересно - копайте в теорию. Вроде обязателен для tls-server.


при генерации build-ca.bat появляется файл ca.key что с ним делать?
Держать в безопасности и сделать архивную копию (архивировать имеет смысл всю папку keys после генерации ключей CA и сервера). Это ключ CA, им подписываются все последующие сертификаты. Он нужен только скриптам генерации для операций управления ключами - генерация, отзыв и т.п. Ни серверу, ни тем более клиентам этот файл не нужен. При его хищении у злоумышленника есть возможность "плодить" клиентов под Ваш VPN. В случаях средней маниакальности этот файл должен лежать в недоступном по сети месте (влоть до изолированного как минимум носителя и как максимум хоста).

КЛИЕНТ:
ca ca.crt Да.
cert client.crt Да.
key client.key Да.
или вместо 3х этих один файл pkcs12 клиент.p12 Да.

и при генерации появляются файлы с расширением .PEM это просто информативные файлы или они для чего-то нужны?
Это копии соотв. *.crt в порядке их генерации. Зачем нужны? Точно не знаю, предположу что это некоторые особенности внутренней реализации скриптов генерации.

файл index.txt только информативный или еще для чего-то нужен?
Это журнал рецистрации ключей. Зачем нужен? Точно не знаю, предположу что это некоторые особенности внутренней реализации скриптов генерации.

2. Если мне надо отключить одного клиента то надо сделать revoke-full КЛИЕНТ после чего появляется crl.pem кот. указывается в конфиге сервера crl-verify crl.pem. А что если надо отключить еще несколько клиентов, то что делать, просто переименовывать файлы и добавлять crl-verify crl1.pem или как быть?
Для каждого отзываемого клиента делается команда revoke-full (можно сколько угодно сразу подряд), отозванные сертификаты добавляются накопительным способом в тот же файл crl.pem, и затем новое содержимое этого файла crl.pem должно быть доступно OpenVPN-серверу по инструкции crl-verify. То есть этот файл может быть переименован, скопирован и т.д., но важно, чтобы в нём было именно новое содержимое после последнего revoke-full. Перезагрузка OpenVPN-сервера АФАИК не требуется, он этот файл каждый раз берёт с диска и не кэширует.

538. vinni, 18.10.2007 15:49
igox
Ответил прямо в Вашем сообщении.

539. Jinglebens, 18.10.2007 15:57
Конфигурация:

Windows 2003 Server SP2, OpenVPN server 2.0.9 с конфигом содержащим следующие строки:

proto udp
dev tun
server 10.8.0.0 255.255.0.0
route 10.9.0.0 255.255.0.0
client-to-client

Если оба клиента в 10.8.0.0 всё работает: клиенты видят друг друга и сервер.
Если один клиент (Windows) в 10.9.0.0, a другой (Linux) в 10.8.0.0 то клиенты видят только сервер.

Задача: клиенты из 10.9.0.0 (админы) должны видеть тех кто в 10.8.0.0 (юзеры), а они (юзеры, 10.8.0.0) не должны видеть админов из 10.9.0.0. Всё происходит внутри VPN.

Предполагаю, что дело в недостающих маршрутах.

Это route print 10* на клиенте 10.8.0.0

10.8.0.0 255.255.0.0 10.9.1.18 169.254.30.14 1
10.9.1.16 255.255.255.252 10.9.1.17 169.254.30.14 30
10.9.1.17 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 169.254.30.14 169.254.30.14 30

Это route print 10* на сервере

10.8.0.0 255.255.255.252 10.8.0.1 10.8.0.1 30
10.8.0.0 255.255.0.0 10.8.0.2 10.8.0.1 1
10.8.0.1 255.255.255.255 127.0.0.1 127.0.0.1 30
10.9.0.0 255.255.0.0 10.8.0.2 10.8.0.1 1
10.255.255.255 255.255.255.255 10.8.0.1 10.8.0.1 30

tracert до существующего клиента 10.8.2.17 со стороны 10.9.1.17:
1 * * *

tracert до несуществующего клиента 10.8.2.121 со стороны 10.9.1.17:
1 <1 ms 1 ms <1 ms 10.8.0.1
2 * * *

С благодарностью надеюсь на помощь знающих людей.

540. vinni, 18.10.2007 15:58
deeonis
Вероятно, фаервол блокирует DHCP трафик, поэтому и не назначается IP-адрес интерфейсу.

P.S. А что это такое?
SHVPN 2.0.9
Smarthide TAP driver

541. deeonis, 18.10.2007 16:09
vinni
Просто использую немного модифицированный код ОВПН...

542. vinni, 18.10.2007 16:12
Jinglebens
Что-то Вы как-то хитрО намудрили с 10.9/16...
Как минимум одна очевидная проблема уже здесь - ИМХО что-то не совсем так с назначением нужного адреса интерфейсу:
10.8.0.0 255.255.0.0 10.9.1.18 169.254.30.14 1
10.9.1.16 255.255.255.252 10.9.1.17 169.254.30.14 30
10.9.1.17 255.255.255.255 127.0.0.1 127.0.0.1 30

Кроме того, у клиентов нет маршрута на 10.9, надо в конфиге сервера дописать
push "route 10.9.0.0 255.255.0.0"

Задача: клиенты из 10.9.0.0 (админы) должны видеть тех кто в 10.8.0.0 (юзеры), а они (юзеры, 10.8.0.0) не должны видеть админов из 10.9.0.0. Всё происходит внутри VPN.
Управлять доступом внутри одной OpenVPN-сети средствами OpenVPN НЕ ПОЛУЧИТСЯ. Делайте это или на клиентах или посредством двух OpenVPN-серверов (не железок, а двух процессов и двух конфигов), тогда маршрутизацию между ними будет делать ОС и тогда можно фильтровать этот трафик средствами ОС.

543. Jinglebens, 18.10.2007 18:02
Спасибо, Vinni, за конструктивный ответ. Буду пробовать два виртуальных адаптера (через 2 конфига для OpenVPN на сервере). Вопрос при этом такой: для маршрутизации средствами ОС должен ли я что-то доставлять на сервере или достаточно просто добавить маршруты? Нужно ли как-то менять маршруты на клиентах? Мне понятно, что какой-то процесс на сервере должен пересылать пакеты из одной сетки в другую, но пока не знаю чем и как это настраивается. Буду благодарен за наводку. Спасибо еще раз.

544. wasphawk, 18.10.2007 19:02
Добрый день.

Помогите плиз настроить доступ в ВПН.
Клиент коннектится с сервером нормально.
Клиент пингует 10.8.0.1 а сервер пингует 10.8.0.10
Но IP адрес клиента в инете остается прежним внешним IP от провайдера.

DHCP и RRS службы на сервере запущены.



Конфигурация удаленного сервера Win2003
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;push "redirect-gateway"
;push "dhcp-option DNS 10.8.0.1"
;push "dhcp-option WINS 10.8.0.1"
keepalive 10 120
tls-auth ta.key 0 # This file is secret
comp-lzo
max-clients 3
persist-key
persist-tun
status openvpn-status.log
verb 3

====================
ipconfig /all



Windows IP Configuration

Host Name . . . . . . . . . . . . : C32339-41712
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : Yes
WINS Proxy Enabled. . . . . . . . : Yes

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
Physical Address. . . . . . . . . : 00-11-11-20-67-CF
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 70.87.198.186
Subnet Mask . . . . . . . . . . . : 255.255.255.248
Default Gateway . . . . . . . . . : 70.87.198.185
DNS Servers . . . . . . . . . . . : 70.84.161.11
70.84.160.11



Ethernet adapter Local Area Connection 3:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TAP-Win32 Adapter V8
Physical Address. . . . . . . . . : 00-FF-C7-AD-77-00
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 10.8.0.1
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :
DHCP Server . . . . . . . . . . . : 10.8.0.2
Lease Obtained. . . . . . . . . . : Thursday, October 18, 2007 9:53:57 AM
Lease Expires . . . . . . . . . . : Friday, October 17, 2008 9:53:57 AM

==============================================
route print


IPv4 Route Table
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 11 11 20 67 cf ...... Intel(R) PRO/1000 MT Network Connection - Packet Scheduler Miniport
0x30004 ...00 ff c7 ad 77 00 ...... TAP-Win32 Adapter V8 - Packet Scheduler Miniport
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
.............0.0.0.0.................0.0.0.0....70.87.198.185......70.87.198.186 1
............10.8.0.0....255.255.255.252............10.8.0.1..............10.8.0.1 30
............10.8.0.1....255.255.255.255...........127.0.0.1............127.0.0.1 30
...10.255.255.255....255.255.255.255............10.8.0.1..............10.8.0.1 30
.....70.87.198.184....255.255.255.248....70.87.198.186......70.87.198.186 10
.....70.87.198.186....255.255.255.255...........127.0.0.1............127.0.0.1 10
...70.255.255.255.....255.255.255.255....70.87.198.186......70.87.198.186 10
...........127.0.0.0...............255.0.0.0..........127.0.0.1............127.0.0.1 1
.....202.64.220.99.....255.255.255.255....70.87.198.185.....70.87.198.186 1
...........224.0.0.0...............240.0.0.0............10.8.0.1.............10.8.0.1 30
...........224.0.0.0...............240.0.0.0....70.87.198.186.....70.87.198.186 10
..255.255.255.255..255.255.255.255...............10.8.0.1.............10.8.0.1 1
..255.255.255.255..255.255.255.255.......70.87.198.186.....70.87.198.186 1
Default Gateway: 70.87.198.185



===========================================================================
Persistent Routes:
None


Кофигурация Win2000 компьютера


client
dev tun
proto udp
remote 70.87.198.186 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client2.crt
key client2.key
ns-cert-type server
tls-auth ta.key 1
comp-lzo
verb 3
;mute 20
;redirect-gateway

=============================

ipconfig /all




Windows 2000 IP Configuration



Host Name . . . . . . . . . . . . : comp11
Primary DNS Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter Local Area Connection 4:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TAP-Win32 Adapter V8
Physical Address. . . . . . . . . : 00-FF-81-7C-56-42
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 10.8.0.10
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :
DHCP Server . . . . . . . . . . . : 10.8.0.9
DNS Servers . . . . . . . . . . . :
Lease Obtained. . . . . . . . . . : 18 октября 2007 г. 17:56:35
Lease Expires . . . . . . . . . . : 17 октября 2008 г. 17:56:35


Ethernet adapter Local Area Connection 2:

Media State . . . . . . . . . . . : Cable Disconnected
Description . . . . . . . . . . . : Bluetooth PAN Network Adapter
Physical Address. . . . . . . . . : 00-0A-94-11-7E-D9

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connection
Physical Address. . . . . . . . . : 00-15-F2-4B-6B-42
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 172.16.0.81
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 172.16.0.1
DNS Servers . . . . . . . . . . . : 172.16.0.1
===============================

route print

===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 0a 94 11 7e d9 ...... Bluetooth PAN Network Adapter NDIS Driver
0x1000004 ...00 15 f2 4b 6b 42 ...... Intel(R) PRO/100 VE Network Connection
0x1000005 ...00 ff 81 7c 56 42 ...... TAP-Win32 Adapter V8
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
..........0.0.0.0...................0.0.0.0.......172.16.0.1....172.16.0.81 1
.........10.8.0.1......255.255.255.255..........10.8.0.9.......10.8.0.10 1
.........10.8.0.8......255.255.255.252.........10.8.0.10.......10.8.0.10 1
........10.8.0.10......255.255.255.255........127.0.0.1.......127.0.0.1 1
.10.255.255.255.....255.255.255.255........10.8.0.10.......10.8.0.10 1
.........127.0.0.0..............255.0.0.0.........127.0.0.1......127.0.0.1 1
.......172.16.0.0........255.255.255.0......172.16.0.81....172.16.0.81 1
.....172.16.0.81.....255.255.255.255.........127.0.0.1........127.0.0.1 1
.172.16.255.255.....255.255.255.255.....172.16.0.81.....172.16.0.81 1
.........224.0.0.0..............224.0.0.0.........10.8.0.10........10.8.0.10 1
.........224.0.0.0..............224.0.0.0......172.16.0.81.....172.16.0.81 1
..255.255.255.255..255.255.255.255.........10.8.0.10 ..................2 1
Default Gateway: 172.16.0.1
===========================================================================
Persistent Routes:
None

545. vinni, 18.10.2007 23:57
Jinglebens
Вопрос при этом такой: для маршрутизации средствами ОС должен ли я что-то доставлять на сервере или достаточно просто добавить маршруты? Нужно ли как-то менять маршруты на клиентах? Мне понятно, что какой-то процесс на сервере должен пересылать пакеты из одной сетки в другую, но пока не знаю чем и как это настраивается. Буду благодарен за наводку.
"На водку" не даю
Служба RRAS (Routing and Remote Access)
При этом в 4-ой строке ipconfig /all будет также написано:
IP Routing Enabled. . . . . . . . : Yes

Добавление от 19.10.2007 00:02:

wasphawk
Но IP адрес клиента в инете остается прежним внешним IP от провайдера.
Ну так у Вас же соотв. строка "не работает", она забита комментарием:
;redirect-gateway

546. wasphawk, 22.10.2007 14:03
Добрый день.

Проблема при настройке в итоге вот какая:

После запуска сервера и клиента, они пингуют друг друга.
На клиенте из браузера инет перестает быть виден.

Запустил на сервере службу RRA. Перезапускаю openvpn сервер и клиент. После этого я перестаю пинговать друг друга.

В чем может быть проблема?

547. Rooh, 24.10.2007 10:19
vinni, здравия желаю.

Меня интересует один простой вопрос: подразумевает ли использование различных ключей и сертификатов шифрование всего трафика? Или для шифрования нужно что-то дополнительно сделать?

548. vinni, 24.10.2007 10:44
Rooh
vinni, здравия желаю.
Вольно!


Шифрование трафика включено всегда, если не отключено явно командой cipher none в конфигах
Список алгоритмов - openvpn.exe --show-ciphers

549. Rooh, 24.10.2007 21:18
Понял. Спасибо большое...
Твой FAQ во втором мессаге очень помог разобраться в механике всего происходящего. Более понятного FAQ по OpenVPN на русском языке я не видел. Теперь любые конфигурации с VPNом, NATом и GATEом посилам, что в свою очередь даёт огромные возможности. Вечный респект и уважуха...

550. AxeLeus, 28.10.2007 13:51
Есть такая проблема. Поставил Openvpn на CenOS 4 или Redhat 4 кому как... в общем после настройки впна виндовые клиенты подключаются со скоростью 10 Мб/с, реальная скорость обмена естественно 90кб/с. Как поднять скорость до 100 Мб/с как при обычном VPN через Poptop.

551. NiTr0, 28.10.2007 18:36
Поднял OpenVPN на 2х виндовых машинах (одна смотрит в инет, другая - подключена к ней). Пинги бродят. Поднял NAT на керио 6 (пробовал потом и средствами винды - никакого результата). Пингуются только интерфейсы сервера, дальше - глухо В чем причина?

552. SPV82, 28.10.2007 20:56
NiTr0
код:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"IPEnableRouter"=dword:00000001

Это если XP. Если же винда серверная и поднят RRAS, то и без этого должно...

553. grokinn, 30.10.2007 20:09
Есть такая специфическая проблема: решили заменить openvpn-ом популярную программу hamachi которая перестала устраивать ибо не работает корректно. Собстсвенно основная цель объеденить компы под разными провайдерами в виртуальную локалку для сетевых игр. Создали простейшую конфигурацию точка-точка на финдовых машинах в качествей ОС-ей vista-xp или vista-vista

server.ovpn

proto udp
dev tun
dev-node openvpn
port 1194
comp-lzo
ping 15
verb 3
ifconfig 10.3.0.9 10.3.0.10
secret key.txt
cipher DES-CBC
tun-mtu 1500

client.ovpn

remote 80.75.84.71 1194
dev tun
dev-node openvpn
ifconfig 10.3.0.10 10.3.0.9
secret key.txt
cipher DES-CBC
comp-lzo
verb 3

туннель нормально создается, адреса пингуются. В играх же, в частности в той же counter-strike 1.6 не видим друг друга в списке игр в локальной сети. Если ввести vpn ip в игре напрямую то другой компьютер отлично видно, проблема только в том что далеко не все игры поддерживают прямой ввод ip. А в локальных мы не видимся. Я думаю возможно это какая то проблема с роутингом, кто что сможет подсказать?

ЗЫ что же касается hamachi то она выдает странные результаты. В некоторых играх (warcraft) нормально работает, в некоторых (company of heroes) один из нас видит другого в других видимость наборот а в ряде игр никто никого не видит. Хотя раньше все отлично работало.

554. vinni, 31.10.2007 11:52
grokinn
Для игр более предпочтительно ИМХО использовать dev tap, т.к. заранее неизвестно, используются броадкасты или нет. Кроме того, возможно поможет, если поднять OpenVPN-итерфейс наверх в привязках.
А почему именно cipher DES-CBC ? Он же медленный, неэффективный.
Ну и последнее - надо устранить проблему фрагментации. Для proto udp надо на обе стороны добавить, например:
tun-mtu 1500
fragment 1400
mssfix

AxeLeus
У меня и 40+Мбит/сек через OpenVPN бегало, так что "заявленная" скорость адаптера думаю не при чём.

NiTr0
Недостаточно информации. В красном обявлении вверху написано что нужно.

555. Insomniac_DINK, 31.10.2007 19:59
Ребята, помогите пожалуйста настроить OpenVPN для игр. Дайте наипростейшие конфиги для сервера и клиентов. Сеть будет полностью доверенная. Подключены все к одному провайдеру через adsl, у всех соединение модема через Bridge. Сидим все в интрасети. ip постоянные, начинаются с 10.152.x.x

556. vinni, 31.10.2007 23:34
Insomniac_DINK
Общепринятый вариант действий такой - Вы читаете то что уже написано и задаёте конкретные вопросы. На варианты "изготовления под ключ" лично я не готов.

557. zlobax, 01.11.2007 18:22
Подскажите пожалуйста по OpenVPN 2.0.9.
существует сервер под FreeBSD, на котором установлен OpenVPN в режиме route
И два клиента на Windows XP. Клиен1, внутри локальной сети, для которой сервер также является шлюзом в интернет. Клиент2 в интернет подключен через wifi, в режиме моста. Точка доступа смотрит в инетернет с прямым IP. Нужно соединить два клиента через vpn.

вот конфигурационный файл сервера:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 10.8.0.0 255.255.255.0"
route 10.8.0.0 255.255.255.0
client-to-client
keepalive 10 120
persist-key
persist-tun
status openvpn-status.log
verb 3

конфигурационный файл первого клиента (внутри локальной сети)
client
dev tun
proto udp
remote 172.30.0.99 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
verb 3

конфигурационный файл второго клиента (тот что в интернете)
такойже, за исключением строчки remote (она указывает на реальный ip сервера freebsd)

Firewall'ы на клиентах и сервере настроены

Все подключаются, ошибок OpenVPN не пишет, клиент1 пингует сервер, клиент2 тоже пингует сервер.
В начале работы клиент1 пингует клиент2 и наоборот, через 2 минуты простоя клиент1 перестает пинговать клиента2. Наоборот же все отлично! И как только клиент2 пропингует клиента1, все восстанавливается. Что посоветуете?

558. vinni, 01.11.2007 22:46
zlobax
Просмотреть таблицы маршрутизации на всех хостах.
В режиме неактивности клиентов с периодом 10-20 секунд смотреть файл openvpn-status.log (ну или в консоли управления по телнету давать команду status) и анализировать, нет ли изменений.
Включить побольше verb, скажем verb 6 (точно не помню, но чтобы он писал rw по трафику пакетов)
На сервере запустить мониторинг 1194/udp

559. zlobax, 02.11.2007 09:41
vinni

Маршрутизации:
Клиент1
======================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.8.0.1 10.8.0.6 30
10.8.0.0 255.255.255.0 10.8.0.5 10.8.0.6 1
10.8.0.4 255.255.255.252 10.8.0.6 10.8.0.6 30
10.8.0.6 255.255.255.255 127.0.0.1 127.0.0.1 30
224.0.0.0 240.0.0.0 10.8.0.6 10.8.0.6 30
255.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 1
Постоянные маршруты:
Отсутствует
===========================================================================

Клиент2:
===========================================================================
10.8.0.0 255.255.255.0 10.8.0.13 10.8.0.14 1
10.8.0.12 255.255.255.252 10.8.0.14 10.8.0.14 30
10.8.0.14 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.8.0.14 10.8.0.14 30
224.0.0.0 240.0.0.0 10.8.0.14 10.8.0.14 30
255.255.255.255 255.255.255.255 10.8.0.14 10.8.0.14 1
===========================================================================

Сервер:
=========================================================================
10.8/24 10.8.0.2 UGSc 0 10 tun0
10.8.0.1 127.0.0.1 UH 0 0 lo0
10.8.0.2 10.8.0.1 UH 1 0 tun0
=========================================================================

openvpn-status.log помоему все время примерно один и тот же
=========================================================================

OpenVPN CLIENT LIST
Updated,Fri Nov 2 09:18:02 2007
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
client1,ВНУТРЕННИЙ.IP,312409,326989,Thu Nov 1 19:29:56 2007
client3,ВНЕШНИЙ.IP:4437,219307,230290,Thu Nov 1 23:32:20 2007
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
10.8.0.14,client3, ВНЕШНИЙ.IP:4437,Fri Nov 2 09:13:03 2007
10.8.0.6,client1,ВНУТРЕННИЙ.IP:16644,Fri Nov 2 09:13:03 2007
GLOBAL STATS
Max bcast/mcast queue length,1
END
=========================================================================

включил verb 6, идет стандартная информация по обоим клиентам. READ/WRITE туда-сюда
=========================================================================
Fri Nov 2 09:37:27 2007 us=293206 client1/ВНУТРЕННИЙ IP:18538 TCPv4_SERVER READ [53] from ВНУТРЕННИЙ IP:18538: P_DATA_V1 kid=0 DATA len=52
Fri Nov 2 09:37:28 2007 us=582476 client3/ВНЕШНИЙ IP:3729 TCPv4_SERVER WRITE [53] to ВНЕШНИЙ IP:3729: P_DATA_V1 kid=0 DATA len=52
Fri Nov 2 09:37:35 2007 us=803131 client3/ВНЕШНИЙ IP:3729 TCPv4_SERVER READ [53] from ВНЕШНИЙ IP:3729: P_DATA_V1 kid=0 DATA len=52
Fri Nov 2 09:37:37 2007 us=432306 client1/ВНУТРЕННИЙ IP:18538 TCPv4_SERVER WRITE [53] to ВНУТРЕННИЙ IP:18538: P_DATA_V1 kid=0 DATA len=52
Fri Nov 2 09:37:37 2007 us=433074 client1/ВНУТРЕННИЙ IP:18538 TCPv4_SERVER READ [53] from ВНУТРЕННИЙ IP:18538: P_DATA_V1 kid=0 DATA len=52
Fri Nov 2 09:37:38 2007 us=682284 client3/ВНЕШНИЙ IP:3729 TCPv4_SERVER WRITE [53] to ВНЕШНИЙ IP:3729: P_DATA_V1 kid=0 DATA len=52
Fri Nov 2 09:37:45 2007 us=870565 client3/ВНЕШНИЙ IP:3729 TCPv4_SERVER READ [53] from ВНЕШНИЙ IP:3729: P_DATA_V1 kid=0 DATA len=52

========================================================================================================

560. vinni, 02.11.2007 11:23
zlobax
Вы не полностью таблицы показали? А зря...

цитата:
Клиент1
======================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.8.0.1 10.8.0.6 30
Откуда взялась эта строка? У Вас в конфигах не было команд назначения шлюза. Кроме того, маршрут вообще нерабочий - шлюз вне сети интерфейса.
Может у Вас несколько 0-маршрутов и как раз срабатывает DeadGatewayDetection?

561. zlobax, 02.11.2007 11:37
vinni

действительно на клиенте1 несколько 0-маршрутов

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.8.0.1 10.8.0.6 30
0.0.0.0 0.0.0.0 172.30.0.99 172.30.0.42 20

562. vinni, 02.11.2007 11:44
zlobax
Ну так основной вопрос был "откуда взялся этот неправильный маршрут?"
Вы конфиги точно показали? В ccd ничего нет?

563. zlobax, 02.11.2007 12:32
vinni

Конфиги точно такие, а какая роутинг таблица должна быть на клиентах чтобы они друг друга видели бесприкословно?
ccd строчка закомментирована

564. vinni, 02.11.2007 12:47
zlobax
Чудес не бывает. Ищите откуда берётся этот липовый маршрут...
Подключитесь этим клиентом и проанализуйте его лог, там будут указаны все активные опции, в т.ч. и инфа о маршрутах.

а какая роутинг таблица должна быть на клиентах чтобы они друг друга видели бесприкословно?
Правильная! Она, знаете ли, не у всех одинаковая

565. zlobax, 02.11.2007 12:48
vinni

липовый это 0.0.0.0 0.0.0.0 10.8.0.1 10.8.0.6 30 ?

566. vinni, 02.11.2007 13:01
zlobax, да, липовый это этот.

К этой теме 05.11.2007 10:42 split подклеил тему "Настройка конфигов OpenVPN v2.0.9 в Windows XP" (автор: Dadikin)

568. Dadikin, 05.11.2007 07:58
Я использовал поиск, нашёл тему про настройку OpenVPN. Но я человек не сильно знакомый с сетевыми технологиями и у меня возникли проблемы при чтении той темы (я просто не понял, что пишут).


Помогите настроить OpenVPN v2.0.9 в Windows XP.
Уже около недели мучаюсь, всё не могу настроить конфиги.

Что мне надо? Надо в локальной сети на одном компьютере сделать сервер OpenVPN. Также нужно сделать клиенты. Надо сделать так, чтобы каждый клиент, зайдя на сервер, видел других клиентов. Цель: чтобы каждый игрок, запустивший клиент OpenVPN и зашедший в какой-либо игре в меню локальной сети - увидел созданные игры другими игроками, которые тоже зашли через клиент OpenVPN.

Сетевой адаптер сделал.
Сертификаты с ключами сделал.
Осталось сделать лишь конфиг сервера и конфиг клиента.

Дайте, пожалуйста, готовое содержимое конфигов как для сервера, так и для клиента: чтобы я сразу туда вписал то, что вы напишите - и чтобы сервер сразу заработал, и чтобы клиенты к нему сразу нормально цеплялись (и чтобы клиенты в этой виртуальной сети "видели" друг друга).

Вот данные:
Название сетевого адаптера: My Adapter V8
IP-адрес компьютера, на котором надо запустить сервер OpenVPN: 192.168.30.196
Порт, по которому должен работать OpenVPN: 4444
Виртуальная сеть, создаваемая сервером OpenVPN, должна иметь IP-адреса вида: 44.4.4.x
Максимальное количество клиентов: 100

569. Sky Tiger, 07.11.2007 13:13
Очень хочется, чтобы при загрузке 2003 сервера OpenVPN автоматически запускал свой сервер. Возможно ли это и как это сделать?

570. SPV82, 07.11.2007 18:44
Sky Tiger
Службе openvpnservice назначить тип запуска "Авто"

Добавление от 07.11.2007 20:58:

Подскажите, каковы могут быть причины невозможности установки TLS-соединения со стороны провайдера? Т.е. клиент с одного провайдера соединяется без проблем, а с другого провайдера тот же самый клиент соединиться не может. В логах клиента вот что:

код:
Wed Nov 07 17:04:41 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Wed Nov 07 17:04:41 2007 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Wed Nov 07 17:04:41 2007 Control Channel Authentication: using '..\keys\client\ta.key' as a OpenVPN static key file
Wed Nov 07 17:04:41 2007 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 07 17:04:41 2007 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 07 17:04:41 2007 LZO compression initialized
Wed Nov 07 17:04:41 2007 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Wed Nov 07 17:04:41 2007 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Nov 07 17:04:41 2007 Local Options hash (VER=V4): '504e774e'
Wed Nov 07 17:04:41 2007 Expected Remote Options hash (VER=V4): '14168603'
Wed Nov 07 17:04:41 2007 UDPv4 link local: [undef]
Wed Nov 07 17:04:41 2007 UDPv4 link remote: хх.хх.199.231:8888
Wed Nov 07 17:04:41 2007 TLS: Initial packet from хх.хх.199.231:8888, sid=e01925a5 ebe1815a
Wed Nov 07 17:05:01 2007 VERIFY OK: depth=1, /C=RU/ST=Ural/L=Kurgan/O=Pogromov/CN=Pogromov_VPNServer/emailAddress=mail@host.domain
Wed Nov 07 17:05:01 2007 VERIFY OK: nsCertType=SERVER
Wed Nov 07 17:05:01 2007 VERIFY OK: depth=0, /C=RU/ST=Ural/O=Pogromov/OU=Tehnicheskaya-5A/CN=VPNServer/emailAddress=mail@host.domain
Wed Nov 07 17:05:41 2007 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Nov 07 17:05:41 2007 TLS Error: TLS handshake failed
Wed Nov 07 17:05:41 2007 TCP/UDP: Closing socket
Wed Nov 07 17:05:41 2007 SIGUSR1[soft,tls-error] received, process restarting
Wed Nov 07 17:05:41 2007 Restart pause, 2 second(s)

Конфигурация сервера (XP SP2, интернет через ADSL2+)
код:
dev tun
proto udp
port 8888
server 10.88.0.0 255.255.255.0
route-method exe
route-delay 10
comp-lzo
client-to-client
client-config-dir ..\\ccd
ifconfig-pool-persist ..\\ccd\\ipp.txt
ca ..\\keys\\server\\ca.crt
cert ..\\keys\\server\\VPNServer.crt
key ..\\keys\\server\\VPNServer.key
tls-auth ..\\keys\\server\\ta.key 0
dh ..\\keys\\server\\dh1024.pem
persist-tun
persist-key
mssfix 1450
keepalive 10 120
status ..\\log\\openvpn-status-ServerVPN.log
verb 3

Конфигурация клиента (XP SP1, интернет через Ethernet):
код:
dev tun
proto udp
remote хх.хх.199.231 8888
route-method exe
client
ns-cert-type server
persist-key
persist-tun
resolv-retry infinite
nobind
ca ..\\keys\\client\\ca.crt
cert ..\\keys\\client\\Nekrasova.crt
key ..\\keys\\client\\Nekrasova.key
tls-auth ..\\keys\\client\\ta.key 1
comp-lzo
mssfix 1450
status ..\\log\\openvpn-status.log
verb 3

В случае отключения на обоих сторонах tls-auth проблема остается. Прочитав ветку, не нашел ничего похожего. Думаю попробовать добавить --tun-mtu 1500 --fragment 1400 --mssfix на сервер и на клиента. Но это только завтра смогу на месте. Что еще есть смысл попробовать? Увеличение времени ожидания установки TLS-сессии?

PS. Связь с удаленным хостом сервера вцелом хорошая. ICMP-запросы и RDP-сессия работают на ура.

571. vinni, 08.11.2007 01:20
SPV82
А почему такие задержки? 20 сек, затем 40 секунд:
17:04:41
17:05:01
17:05:41

А проверьте всё же MTU на маршруте методом ping -f -l 1472
А то может надо link-mtu ?

Добавление от 08.11.2007 01:48:

Dadikin
OpenVPN "вещь" специфическая, его хотя бы без минимального понимания особо не запустишь. Поэтому, всё же Вам придётся начать разбираться в том, что написано на первой странице. Тем более, что из приведённых Вами данных до конфигов рукой подать.
Как я уже говорил, лично я на варианты "под ключ" не готов.

572. a398, 16.11.2007 16:19
Используется redirect-gateway.
Клиентам через push отдаются новые адреса DNS-серверов.
У клиентов в remote прописано полное DNS-имя ovpn-сервера.
При обрыве связи (ADSL такой падучий) реконнект не возможен, поскольку зачем-то заново делается резолвинг имени из remote, но резолвинг не возможен, поскольку DNS-серверы переопределены, и не доступны в момент падения канала.

Как выход, можно в remote на клиентах прописать IP-адрес. Но рассылать клиентам новые конфиги не желательно, и через push новый remote не передать.

М.б. есть какой еще выход?

573. vinni, 16.11.2007 17:00
a398
Я прописывал клиентам несколько remote, и по именам и по адресам.
Когда у меня переезжал сервер, я менял адрес во внешнем DNS-е, а затем потихоньку в рабочем режиме менял конфиги.
Но у меня была другая причина - у некоторых глючили DNS-ы, у некоторых мы фаерволом НАГЛУХО запирали всё кроме VPN-трафика.

574. vikqw, 18.11.2007 11:27
Доброе время суток!

Имеется проблема - нужно связать две удаленные машины через GPRS модемы, оператор выдает реальные ip адреса, но динамические . Проблема в том, что программные продукты стоящие на данных компах (операционка - WinXP SP2) обращаются друг к другу ТОЛЬКО по статичным ip адресам.

Вопрос способна ли в данной ситуации нам помочь OpenVPN?

Заранее спасибо за ответ

575. NiTr0, 18.11.2007 15:24
помочь-то поможет, но каждый раз определять адресс сервера - лишняя морока. проще намного использовать тот же hamachi

576. vikqw, 18.11.2007 22:54
К сожалению, hamachi - не решение проблемы, т.к. не возможно предсказать какой адрес будет выдан, а в настройках программы для которой создается соединение - жестко прописывается в ручную ip. В принципе его можно указать любым, но только на момент конфигурирования системы, т.к в процессе работы оборудования менять его в ручную - некому

577. NiTr0, 18.11.2007 23:10
как это невозможно? насколько я помню, каждому клиенту выдается статический адрес.

578. vikqw, 18.11.2007 23:49
меняется ли выдаваемый ip со временем? hamachi знаю крайне мало, практически не юзал, только для игр, но в данной ситуации некому будет править адреса - оборудование стоит в сотнях км. друг от друга и просто не наездишься для того, чтобы его перенастраивать

579. NiTr0, 19.11.2007 00:40
нет. выдается при регистрации клиента, и в дальнейшем не меняется. хотя я могу и ошибаться... но ведь это легко проверить

580. vikqw, 19.11.2007 00:47
т.е тоже не спитсо... ICQ#: 329-426-203

581. vinni, 19.11.2007 08:41
vikqw
оператор выдает реальные ip адреса, но динамические
Используйте на сервере динамический DNS, а клиент пусть обращается по DNS-имени.

582. dpgwdovw, 19.11.2007 16:45
Доброе время суток.
Обранто нужна помощ. Проблема такая имею 3 провайдера интернета скажем A, B, C. A и B провайдеры подключен кабелем, а провайдер C диал-ап. Вобщем с провайдера A и B openVPN работает нормально тоесть на выходе имею IP сервера, но вот с провайдером C сразу возникает проблема соединяюсь с сервером сервер пингуется нормально, но пакеты невыходят из за сервера. Вот прос такой кто всречался с такой проблемо может подскажете как ее исправит. Конфиг использовал идин и тотже. Сервер на Win 2003 WE клиент на Win XP.

Конфиг сервера

ca ca.crt
cert server.crt
key server.key
dev tun
server 10.8.0.0 255.255.255.0
dh dh1024.pem
port 1194
proto udp
comp-lzo
push "redirect-gateway def1"
tun-mtu 1500
route-method exe
keepalive 10 120
verb 0

Конфиг клиента

ca ca.crt
cert client2.crt
key client2.key
dev tun
client
remote xxx.xxx.xxx.xxx
port 1194
redirect-gateway
tun-mtu 1500
comp-lzo
ping-restart 60
ping-timer-rem
ping 10

сетевые устройства

код:
Windows IP Configuration

Host Name . . . . . . . . . . . . : fat
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter Local Area Connection:

Media State . . . . . . . . . . . : Media disconnected
Description . . . . . . . . . . . : Marvell Yukon 88E8001/8003/8010 PCI
Gigabit Ethernet Controller
Physical Address. . . . . . . . . : 00-18-F3-C4-EB-23

Ethernet adapter Local Area Connection 3:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TechniSat DVB-PC TV Star PCI
Physical Address. . . . . . . . . : 00-D0-D7-83-17-37
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.238.238
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :

Ethernet adapter Local Area Connection 4:

Media State . . . . . . . . . . . : Media disconnected
Description . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Eth
ernet NIC
Physical Address. . . . . . . . . : 00-02-44-71-79-E7

Ethernet adapter Local Area Connection 2:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Marvell Yukon 88E8056 PCI-E Gigabit
Ethernet Controller
Physical Address. . . . . . . . . : 00-18-F3-C4-F9-39
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Autoconfiguration IP Address. . . : 169.254.3.136
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Default Gateway . . . . . . . . . :

Ethernet adapter Local Area Connection 5:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TAP-Win32 Adapter V9
Physical Address. . . . . . . . . : 00-FF-F5-58-40-EA
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 10.8.0.14
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . : 10.8.0.13
DHCP Server . . . . . . . . . . . : 10.8.0.13
Lease Obtained. . . . . . . . . . : 16 ноября 2007 г. 9:20:54
Lease Expires . . . . . . . . . . : 15 ноября 2008 г. 9:20:54

PPP adapter 111:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physical Address. . . . . . . . . : 00-53-45-00-00-00
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 82.209.241.235
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 82.209.241.235
DNS Servers . . . . . . . . . . . : 82.209.240.241
82.209.243.241

роут таблица

код:
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 128.0.0.0 10.8.0.13 10.8.0.14 1
0.0.0.0 0.0.0.0 82.209.241.235 82.209.241.235 1
10.8.0.1 255.255.255.255 10.8.0.13 10.8.0.14 1
10.8.0.12 255.255.255.252 10.8.0.14 10.8.0.14 30
10.8.0.14 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.8.0.14 10.8.0.14 30
xxx.xxx.xxx.xxx 255.255.255.255 82.209.241.235 82.209.241.235 1
82.209.241.235 255.255.255.255 127.0.0.1 127.0.0.1 50
82.209.241.249 255.255.255.255 82.209.241.235 82.209.241.235 1
82.255.255.255 255.255.255.255 82.209.241.235 82.209.241.235 50
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
128.0.0.0 128.0.0.0 10.8.0.13 10.8.0.14 1
169.254.0.0 255.255.0.0 169.254.3.136 169.254.3.136 20
169.254.3.136 255.255.255.255 127.0.0.1 127.0.0.1 20
169.254.255.255 255.255.255.255 169.254.3.136 169.254.3.136 20
192.168.238.0 255.255.255.0 192.168.238.238 192.168.238.238 20
192.168.238.238 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.238.255 255.255.255.255 192.168.238.238 192.168.238.238 20
224.0.0.0 240.0.0.0 10.8.0.14 10.8.0.14 30
224.0.0.0 240.0.0.0 169.254.3.136 169.254.3.136 20
224.0.0.0 240.0.0.0 192.168.238.238 192.168.238.238 20
224.0.0.0 240.0.0.0 82.209.241.235 82.209.241.235 1
255.255.255.255 255.255.255.255 10.8.0.14 4 1
255.255.255.255 255.255.255.255 10.8.0.14 2 1
255.255.255.255 255.255.255.255 10.8.0.14 10.8.0.14 1
255.255.255.255 255.255.255.255 169.254.3.136 169.254.3.136 1
255.255.255.255 255.255.255.255 192.168.238.238 192.168.238.238 1
Default Gateway: 10.8.0.13


P.S. За ранее благадарю за помощ.

583. vinni, 19.11.2007 18:02
dpgwdovw
с провайдером C сразу возникает проблема: соединяюсь с сервером, сервер пингуется нормально, но пакеты не выходят из-за сервера
Что значит "не выходят из-за сервера". Приведите конретные команды, которыми Вы это проверяете, и полученные результаты.

Провайдер С - это dialup модем по коммутируемой линии?
Там может быть проблема с MTU и/или прохождением "больших" или фрагментированных UDP-пакетов.

Можете попробовать добавить в оба конфига (в сервер и во всех клиентов) строку link-mtu 1000
Значение 1000 можно попробовать уменьшать с шагом 50 до 500 (или увеличивать до 1500)

584. vadim_us, 19.11.2007 23:02
Приветствую.
Имеется OpenVPN-сервер дома:

--------------------------------------------------------------------------------------------
код:

Ethernet adapter NVidia nForce network controller:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : NVIDIA nForce Networking Controller
Physical Address. . . . . . . . . : 00-0C-6E-FF-DF-9D
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.1.2
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1
DNS Servers . . . . . . . . . . . : 192.168.1.1

Ethernet adapter OpenVPN:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TAP-Win32 Adapter V9
Physical Address. . . . . . . . . : 00-FF-FE-7F-B8-74
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 10.8.0.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DHCP Server . . . . . . . . . . . : 10.8.0.0

===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 50 56 c0 00 08 ...... VMware Virtual Ethernet Adapter for VMnet8
0x3 ...00 50 56 c0 00 01 ...... VMware Virtual Ethernet Adapter for VMnet1
0x4 ...00 0c 6e ff df 9d ...... NVIDIA nForce Networking Controller - Packet Sch
eduler Miniport
0x5 ...00 ff fe 7f b8 74 ...... TAP-Win32 Adapter V9 - Packet Scheduler Miniport

===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.2 20
10.0.0.0 255.255.255.0 10.8.0.9 10.8.0.1 1
10.8.0.0 255.255.255.0 10.8.0.1 10.8.0.1 30
10.8.0.1 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.8.0.1 10.8.0.1 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.2 192.168.1.2 20
192.168.1.2 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.255 255.255.255.255 192.168.1.2 192.168.1.2 20
192.168.10.0 255.255.255.0 192.168.10.1 192.168.10.1 20
192.168.10.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.10.255 255.255.255.255 192.168.10.1 192.168.10.1 20
192.168.79.0 255.255.255.0 192.168.79.1 192.168.79.1 20
192.168.79.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.79.255 255.255.255.255 192.168.79.1 192.168.79.1 20
224.0.0.0 240.0.0.0 10.8.0.1 10.8.0.1 30
224.0.0.0 240.0.0.0 192.168.1.2 192.168.1.2 20
224.0.0.0 240.0.0.0 192.168.10.1 192.168.10.1 20
224.0.0.0 240.0.0.0 192.168.79.1 192.168.79.1 20
255.255.255.255 255.255.255.255 10.8.0.1 10.8.0.1 1
255.255.255.255 255.255.255.255 192.168.1.2 192.168.1.2 1
255.255.255.255 255.255.255.255 192.168.10.1 192.168.10.1 1
255.255.255.255 255.255.255.255 192.168.79.1 192.168.79.1 1
Default Gateway: 192.168.1.1
===========================================================================
Persistent Routes:
None


--------------------------------------------------------------------------------------------

К этому серверу коннектится клиент с работы (не наоборот):

--------------------------------------------------------------------------------------------

код:

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
Physical Address. . . . . . . . . : 00-0B-DB-66-21-CB
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 10.0.0.101
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 10.0.0.4
DNS Servers . . . . . . . . . . . : 10.0.0.5

Ethernet adapter OpenVPN:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TAP-Win32 Adapter V9
Physical Address. . . . . . . . . : 00-FF-00-0C-D7-93
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 10.8.0.9
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DHCP Server . . . . . . . . . . . : 10.8.0.0
Lease Obtained. . . . . . . . . . : Monday, November 19, 2007 2:32:59 PM
Lease Expires . . . . . . . . . . : Tuesday, November 18, 2008 2:32:59 PM

0x1 ........................... MS TCP Loopback interface
0x10003 ...00 0b db 66 21 cb ...... Intel(R) PRO/1000 MT Network Connection - Vi
rtual Machine Network Services Driver
0x10004 ...00 ff 00 0c d7 93 ...... TAP-Win32 Adapter V9 - Virtual Machine Netwo
rk Services Driver
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.0.0.4 10.0.0.101 20
10.0.0.0 255.255.255.0 10.0.0.101 10.0.0.101 1
10.0.0.101 255.255.255.255 127.0.0.1 127.0.0.1 20
10.8.0.0 255.255.255.0 10.8.0.9 10.8.0.9 30
10.8.0.9 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.0.0.101 10.0.0.101 20
10.255.255.255 255.255.255.255 10.8.0.9 10.8.0.9 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 240.0.0.0 10.0.0.101 10.0.0.101 20
224.0.0.0 240.0.0.0 10.8.0.9 10.8.0.9 30
255.255.255.255 255.255.255.255 10.0.0.101 10.0.0.101 1
255.255.255.255 255.255.255.255 10.8.0.9 10.8.0.9 1
Default Gateway: 10.0.0.4
===========================================================================
Persistent Routes:
None


--------------------------------------------------------------------------------------------

Хочется получить из дома доступ в локальную сеть на работе (10.0.0.0/24). Пока ситуация
выглядит так: из дома удается пинговать 10.0.0.101, и ничего больше из 10.0.0.0/24. Как решить
проблему?
Если что-то похожее уже было - пожалуйста, ткните носом.

585. vinni, 19.11.2007 23:50
vadim_us
Наиболее вероятно, что в сети офиса (кроме Вашего VPN-клиента) нет правильного маршрута на сеть 10.8.0/24, поэтому обратные пакеты уходят не туда, вероятно, в интернет. Надо прописать маршрут (в Win это так):
route -p add 10.8.0.0 mask 255.255.255.0 10.0.0.101
Это надо сделать или на всех устройствах, на которые нужен доступ, или 1 раз на шлюзе (10.0.0.4), если он является шлюзом для всех.

Ну и проверьте, включена ли маршрутизация на офисном клиенте (ipconfig /all)

Ну или "нетрадиционный" выход - NAT-ить на клиенте сеть 10.8.0/24 на интерфейсе 10.0.0.101.

Или ещё 1 "горбатый" вариант: (как я понял, причина такого направления тунеля в том, что нет прямомго доступа к офисному компу?) внутри этого туннеля поднять тунель в обратную сторону, то есть сервером будет офисный комп, режим работы - server-bridge, его tap-интерфейс связан в мост с LAN-интерфейсом, а VPN-клиентом будет теперь уже домашний комп. Соответственно, на домашнем компе будет Eth-интерфейс из LAN-сегмента офиса и IP-шником 10.0.0.*, соответственно, будут ходить и ARP-ы, и броадкасты, можно сделать и сетевое окружение и не надо никаких маршрутов.

586. vadim_us, 20.11.2007 00:07
vinni:

Спасибо за ответ.

цитата:

Наиболее вероятно, что в сети офиса (кроме Вашего VPN-клиента) нет правильного маршрута на сеть 10.8.0/24, поэтому обратные пакеты уходят не туда, вероятно, в интернет. Надо прописать маршрут (в Win это так):
route -p add 10.8.0.0 mask 255.255.255.0 10.0.0.101
Это надо сделать или на всех устройствах, на которые нужен доступ, или 1 раз на шлюзе (10.0.0.4), если он является шлюзом для всех.
Не согласятся на это админы. Не потому, что небезопасно, а потому, что и так у них забот хватает.

цитата:

Ну и проверьте, включена ли маршрутизация на офисном клиенте (ipconfig /all)
IP Routing Enabled. . . . . . . . : Yes

цитата:

Ну или "нетрадиционный" выход - NAT-ить на клиенте сеть 10.8.0/24 на интерфейсе 10.0.0.101.
А нельзя ли поподробнее? Я попробовал сегодня первый раз поиграться с RRAS в Win2003, правда, не для NAT, а чтобы добиться нужного раутинга - не получилось.

цитата:

Или ещё 1 "горбатый" вариант: (как я понял, причина такого направления тунеля в том, что нет прямомго доступа к офисному компу?)
Именно так

цитата:
внутри этого туннеля поднять тунель в обратную сторону, то есть сервером будет офисный комп, режим работы - server-bridge, его tap-интерфейс связан в мост с LAN-интерфейсом, а VPN-клиентом будет теперь уже домашний комп. Соответственно, на домашнем компе будет Eth-интерфейс из LAN-сегмента офиса и IP-шником 10.0.0.*, соответственно, будут ходить и ARP-ы, и броадкасты, можно сделать и сетевое окружение и не надо никаких маршрутов.
Я думал об этом. А при таком раскладе (двойное шифрование + возможные двойные задержки) с терминальной сессией все еще можно работать будет? И так-то при наборе символы с заметной задержкой появляются...

P.S. А, вспомнил. Не надо про NAT подробнее. Потому что на IP офисного компа (10.0.0.101) завязан доступ к таким ресурсам сети, которые не получают другие компы в 10.0.0.x. Терять его в результате NAT нельзя.

587. vinni, 20.11.2007 00:18
vadim_us
Не согласятся на это админы.
Вы слишком близко к запрещённым вопросам. Ещё есть время одуматься!

В RRAS'е это делается тривиально - в секции Routing / NAT обявляете LAN-интерфейс 10.0.0.101 внешним и включаете на нём NAT, а OpenVPN-интерфейс внутренним. Но тогда для всех сервисов этого хоста, доступных из LAN, надо будет писать правила трансляции. Но в этом варианте доступ с удалённого компа в сеть будет виден именно "от лица" 10.0.0.101.

Потому что на IP офисного компа (10.0.0.101) завязан доступ к таким ресурсам сети, которые не получают другие компы в 10.0.0.x. Терять его в результате NAT нельзя.
Он никуда не теряется.

Я думал об этом. А при таком раскладе (двойное шифрование + возможные двойные задержки)
ИМХО, "современный" комп обработает это ощутимо быстрее, чем оно передастся по интернету.

588. vadim_us, 20.11.2007 00:45
Добавление от 20.11.2007 00:50:

vinni:

цитата:

Не согласятся на это админы.
Вы слишком близко к запрещённым вопросам. Ещё есть время одуматься!
Да не нужны мне эти запрещенные вопросы. Вопрос с OpenVPN встал только потому, что уже имеющаяся VPN на основе PPTP ("стандартная виндовская") работает весьма нестабильно, тогда как OpenVPN, как ни странно, никаких фокусов не вытворяет, вообще. Так что цель поиметь с OpenVPN больше доступа в сети, чем я имею сейчас, не преследуется...

цитата:

В RRAS'е это делается тривиально - в секции Routing / NAT обявляете LAN-интерфейс 10.0.0.101 внешним и включаете на нём NAT, а OpenVPN-интерфейс внутренним. Но тогда для всех сервисов этого хоста, доступных из LAN, надо будет писать правила трансляции. Но в этом варианте доступ с удалённого компа в сеть будет виден именно "от лица" 10.0.0.101.
Понял, попробую.

цитата:

Потому что на IP офисного компа (10.0.0.101) завязан доступ к таким ресурсам сети, которые не получают другие компы в 10.0.0.x. Терять его в результате NAT нельзя.
Он никуда не теряется.
Как же так? Я так понимал, что в результате NAT мой домашний комп получит адрес в десятке (10.0.0.x), следовательно весь доступ будет потерян... Я неправ?

цитата:

Я думал об этом. А при таком раскладе (двойное шифрование + возможные двойные задержки)
ИМХО, "современный" комп обработает это ощутимо быстрее, чем оно передастся по интернету.
ОК

P.S. Да, поднял NAT, и все получилось. Почти все. Доступ к ресурсам сети, который разрешен только для адреса 10.0.0.101, получить из дома невозможно (с рабочего компа в то же время - пожалуйста), как я и говорил. Вот если бы не NAT, а PAT...

589. vinni, 20.11.2007 00:52
vadim_us
Как же так? Я так понимал, что в результате NAT мой домашний комп получит адрес в десятке (10.0.0.x), следовательно весь доступ будет потерян... Я неправ?
Слишком упрощённое понимание, лучше ознакомиться с хорошим "букварём". В двух словах не объясню. Ну а про правила трансляции я уже сказал.

OpenVPN, как ни странно, никаких фокусов не вытворяет, вообще
Как показало "вскрытие", "вообще" вытворять чудеса он умеет Я за этими чудесами уже 4-ый день охочусь со снифером

Добавление от 20.11.2007 00:57:

Доступ к ресурсам сети, который разрешен только для адреса 10.0.0.101, получить из дома невозможно
Что за ресурсы, что за протоколы? Может дело в механизмах доменной аутентификации? Ну так ясен пень, не прокатит такой цирк.

Вот если бы не NAT, а PAT
Да это именно он есть - динамическая трансляция адреса и порта (DNAPT, или десяток иных названий).
NAT как термин в последнее время в 95% случаев используется как название семейства методов, но подразумевается в 90% именно DNAPT.

590. vadim_us, 20.11.2007 00:59
цитата:

Как же так? Я так понимал, что в результате NAT мой домашний комп получит адрес в десятке (10.0.0.x), следовательно весь доступ будет потерян... Я неправ?
Слишком упрощённое понимание, лучше ознакомиться с хорошим "букварём". В двух словах не объясню. Ну а про правила трансляции я уже сказал.
В букварь загляну. А все равно "special" доступ для 10.0.0.101 в варианте NAT не работает. Чтобы не томить со "special", приведу пример. Конкретно для 10.0.0.101 на Сиске разрешен доступ к некому хосту сабнета 172 (единственный порт). Из дома через NAT - не работает.

цитата:

OpenVPN, как ни странно, никаких фокусов не вытворяет, вообще
Как показало "вскрытие", "вообще" вытворять чудеса он умеет Я за этими чудесами уже 4-ый день охочусь со снифером

Ну, а у меня Microsoft VPN фокусничает противнее, чем OpenVPN...

591. vinni, 20.11.2007 01:38
vadim_us
Конкретно для 10.0.0.101 на Сиске разрешен доступ к некому хосту сабнета 172 (единственный порт). Из дома через NAT - не работает.
Я же не зря спросил адрес (он в сети 10.0.0/24 ? Если не в этой, то что же Вы хотите? Вы настроили в OpenVPN и на удалённом хосте маршрутизацию ещё и этой сети?), протокол (могут быть заморочки внутри протокола)

592. vadim_us, 20.11.2007 01:46
цитата:
vinni:
Конкретно для 10.0.0.101 на Сиске разрешен доступ к некому хосту сабнета 172 (единственный порт). Из дома через NAT - не работает.
Я же не зря спросил адрес (он в сети 10.0.0/24 ? Если не в этой, то что же Вы хотите? Вы настроили в OpenVPN и на удалённом хосте маршрутизацию ещё и этой сети?), протокол (могут быть заморочки внутри протокола)

Да, извиняюсь, совсем бес попутал в конце рабочего дня. После прописывания маршрута в 172 на домашнем компе все заработало. Спасибо большое.

593. vinni, 20.11.2007 01:51
vadim_us, в конце рабочего дня... Ну не знаю как у Вас, а у нас как раз середина между концом одного раб дня и началом следующего Не помню точно как называется

594. vadim_us, 20.11.2007 01:55
цитата:
vinni:
vadim_us, в конце рабочего дня... Ну не знаю как у Вас, а у нас как раз середина между концом одного раб дня и началом следующего Не помню точно как называется

Так у нас это 17.55 называется...

595. IOric, 20.11.2007 11:11
Имеется server_linux (далее s_inux) и два клиента (Win XP SP2, c_linux). За c_linux находятся локальные сети 10.xx.0.0/16 10.yy.0.0/16 10.zzz.0.0/16. В локальной сети есть свой DNS сервер, что бы я мог зайти к Васе, скажем - http://Vasya.ku. Естественно маршруты на c_linux до этих сетей и DNS прописаны. S_linux находится в интете с белым ипшником, поэтому коннескт к openVPN сети идёт через инет. На c_linux поднят NAT (SNAT) чтобы в этиx сетях clienta Win XP видели от определённого ип ( ип самого клиента в лок. сети = 10.xx.25.85 так надо ). Задача как раз в этом и состоит - "впускать" clienta Win XP через openVPN в эти самые сети. Все бегает, все рабоает, все пингуется, если не одна маленькая неприятность, для которой я пока не могу найти решения. В этой openVPN сети s_linux имеет ип 192.168.233.5/24; c_linux - 192.168.233.6/24; Win XP - 192.168.233.8/24 ему же сервер даёт DNS 10.yy.99.99/16 который нужен чтобы к ресурсам в локальной сети я мог обратиться по имени. При установлении соединения все машины видятся (ping). На интерфейсах все сетевые настройки прописываются. И вот здесь начинается проблема. Clietn Win XP спокойно видит эти локальные сети, а иногда на нём перестают работать DNS имена, т.е. вместо ping vasya.ku я получаю, нечто вроде "При проверке связи не удалось обнаружить узел vasya.ku Проверьте имя узла и повторите попытку." Команда nslookup vasya.ku выдала следующее:

Server: bla.blabla.ku
Address: 10.yy.99.99
Name: vasya.ku
Address: 10.zzz.6.48


С этого же компа я пингую без проблем 10.yy.99.99 и 10.zzz.6.48, а вот "Васю" ну никак. Интересно то, что с с_linux я и "Васю" пингую и 10.yy.99.99 и 10.zzz.6.48, т.е. все на нём работает. Возвращаюсь на Win XP, делаю tracert vasya.ku - "Не удается разрешить системное имя узла vasya.ku" ах да да, не работает... Пробую tracert 10.zzz.6.48 -
1 <1 мс <1 мс <1 мс 192.168.233.8
2 10 ms <11 мс <16 мс 10.xx.24.254
3 17 ms 10 ms 12 ms 10.yy.24.254
4 20 ms 12 ms 12 ms 10.zzz.6.48"

Вполне сносный результат. Пробовал бутать сам openVPN сервак- иногда помогало, иногда нет. Некоторое время работает, то неожиданно падает. Может быть кто то сталкивался с такой проблемой??? Или может быть что-то подобное у кого-то было??? Думаю проблема не в системе, а гдето на стороне openVPN. Народ помогите мне. Очень хочу пинговать "Васю"
Спасибо.

596. vinni, 20.11.2007 18:01
IOric
Почитал, но располагая лишь 5-ю минутами не осознал пока картинку... Попробую почитать позже, часа через 3-4...

Добавление от 20.11.2007 18:04:

IOric
Покажите ipconfig и route print с WinXP
а также весь вывод:
nslookup vasya.ku

597. IOric, 21.11.2007 02:00
код:
C:\Documents and Settings\Admin>nslookup vasya.ku
Server: bla.blabla.ku
Address: 10.yy.99.99

Name: vasya.ku
Address: 10.zzz.6.48


C:\Documents and Settings\Admin>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : PCabcd
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет

TUN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8
Физический адрес. . . . . . . . . : 00-66-66-66-66-6A
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.233.8
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 192.168.233.0
DNS-серверы . . . . . . . . . . . : 10.yy.99.99
Основной WINS-сервер . . . . . . : 10.xyz.200.254
Аренда получена . . . . . . . . . : 20 ноября 2007 г. 23:31:28
Аренда истекает . . . . . . . . . : 19 ноября 2008 г. 23:31:28

LAN LOCAL - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethe
rnet NIC
Физический адрес. . . . . . . . . : 00-66-66-66-66-6B
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 62.y1.zxy.z6
Маска подсети . . . . . . . . . . : *.*.*.*
Основной шлюз . . . . . . . . . . : 62.y45.x3z.1x
DNS-серверы . . . . . . . . . . . : *.*.*.*
*.*.*.*

C:\Documents and Settings\Admin>

Все правильно, на интерфейсе TUN - нету основного шлюза. Маршруты до сетей забиваются скриптом при установлении соединения

код:
route add -p 101.xx.0.0 mask 255.255.0.0 192.168.233.6
route add -p 101.yy.0.0 mask 255.255.0.0 192.168.233.6
route add -p 101.zzz.0.0 mask 255.255.0.0 192.168.233.6
route add -p 101.xyz.200.254 mask 255.255.0.0 192.168.233.6


P.s. хм... а вот сейчас всё подключилось нормально и "Василий" пинговался. Поробовал покачать что нить с его компа - все нормально. Пробовал специально реконнект- на удивление все работало. Ну это наверно до след раза. Все таки повторю вопрос. Может быть дело гдето на стороне? есть какие нить идеи?

598. vinni, 21.11.2007 08:57
IOric
Очевидной проблемы не вижу. Может кратковременно пропадает связь? Запустите непрерывный пинг к DNS-серверу.
Или косяк с использованием нескольких DNS-ов. Тут я нюансов пока не знаю, но интересно. Вот создал тему, жду ответов:
Как Win* выбирает текущий DNS-сервер из числа нескольких, указанных в разных интерфейсах? (http://forum.ixbt.com/topic.cgi?id=14:45584)

599. vikqw, 23.11.2007 06:53
vinni
Проблема в том, что программа ради которой городится огород не может обращаться к DNS адресам, а только к IP адресам (такая вот суровая действительность...) По этму решить проблему через DynDNS или ее аналоги - не представляется возможным...

600. vinni, 23.11.2007 12:39
vikqw
Вы бы после столь долгого молчания хотя бы цитату привели, на что именно Вы отвечаете...

Ну а в вопрос Вы решили не вникать, так я понял?

оператор выдает реальные ip адреса, но динамические
Вот и чудно, это адрес ВНЕШНЕГО интерфейса, и именно его Вы привязываете к динамическому DNS-у. Далее, на этом хосте настраиваете OpenVPN-сервер, к которому по этому "динамическому" имени подключается OpenVPN-клиент. Адреса В OpenVPN-сети Вы можете назначать как Вам вздумается, в том числе и статически.

программа ради которой городится огород не может обращаться к DNS адресам, а только к IP адресам
Так вот и используйте для неё Ваши статические адреса OpenVPN-сети!

601. MagTux, 29.11.2007 23:37
Доброго времени суток!

Долго бился над настройкой OpenVPN, читал статьи, форумы, факи и ховту - не нашёл своей информации. Подскажите, пожалуйста, где косяк.
Система следующая ([img=http://tux.vo.uz/files/myvpn.jpg]рисунок здесь[/img], рисовал в MSPaint, не судите строго):
1) два ПК под управлением WinXPSP2 через ADSL модемы (режим роутер) выходят в Интернет
2) с модемами внутренняя сеть 192.168.1.0, наружу динамические адреса
3) на обоих роутерах поднят НАТ (если его отключить - интернет пропадает)
4) брандмауеры и файрволы отключил
5) на обоих машинах установлен OpenVPN 2.0.9 + GUI 1.0.3
6) конфиги минимальные
код:

dev tun
ifconfig 10.8.0.1 10.8.0.2
secret key.txt

и
код:

remote 92.xxx.xx.xxx
dev tun
ifconfig 10.8.0.2 10.8.0.1
secret key.txt

Ключ один и тот же, адрес подключения верный
7) Connect на сервере - ок. Connect на клиенте - ок. Сетевые подключения поднимаются на обоих машинах, но связь так и не устанавливается.
В логе клиента:
код:

Thu Nov 29 21:51:35 2007 us=610651 UDPv4 link remote: 92.112.xx.xxx:1194
Thu Nov 29 21:53:34 2007 us=758082 NOTE: failed to obtain options consistency info from peer -- this could occur if the remote peer is running a version of OpenVPN before 1.5-beta8 or if there is a network connectivity problem, and will not necessarily prevent OpenVPN from running (0 bytes received from peer, 0 bytes authenticated data channel traffic) -- you can disable the options consistency check with --disable-occ.

Куда дальше? Имею физический доступ к обоим машинам и роутерам.
Спасибо!

P.S. route print
код:

===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...xx xx xx xx xx xx ...... Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют
0x3 ...yy yy yy yy yy yy ...... TAP-Win32 Adapter V8 - ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.4 20
10.8.0.0 255.255.255.252 10.8.0.1 10.8.0.1 30
10.8.0.1 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.8.0.1 10.8.0.1 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.4 192.168.1.4 20
192.168.1.4 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.255 255.255.255.255 192.168.1.4 192.168.1.4 20
224.0.0.0 240.0.0.0 10.8.0.1 10.8.0.1 30
224.0.0.0 240.0.0.0 192.168.1.4 192.168.1.4 20
255.255.255.255 255.255.255.255 10.8.0.1 10.8.0.1 1
255.255.255.255 255.255.255.255 192.168.1.4 192.168.1.4 1
Основной шлюз: 192.168.1.1
===========================================================================
Постоянные маршруты:
Отсутствует

602. vinni, 29.11.2007 23:52
MagTux
Portmapping на роутере 92.xxx.xx.xxx:udp:1194 -> 192.168.1.2:udp:1194

Добавление от 29.11.2007 23:54:

MagTux
Будьте внимательны! На рисунке у Вас 192.168.1.2, а в route print - 192.168.1.4. Ес-нно, надо указать правильный

Добавление от 29.11.2007 23:56:

MagTux
Ну а на будущее, Вы что-нибудь собираетесь делать с этим - "наружу динамические адреса"?

603. MagTux, 30.11.2007 00:28
vinni
C локальным адресом действительно просто очепятка. 192.168.1.4 правильный.

А динамический адрес меня устраивает вполне. Компьютер домашний. Куплю статический если будет необходимость большая.

На счёт портмапинга буду разбираться. Я в маршрутизации чайник полный.

Спасибо!

604. vinni, 30.11.2007 00:29
MagTux
А что там разбираться? Заходите в веб-интерфейс (есть такой?) роутера и прописываете.

605. MagTux, 30.11.2007 00:44
Всё. Работает.

Чем плох дин. адрес понял. Не проблема. Не часто нужно будет.

Спасибо большое!!!

606. vinni, 30.11.2007 00:50
MagTux
Это решаемо - на сервер ставите https://www.dyndns.com/services/dns/dyndns/
На клиенте используете имя вместо адреса

607. MagTux, 30.11.2007 01:31
vinni
У меня уже стоит no-ip. И клиент я подключаю именно так. Но портмаппинг то прописывается по IP адресу!

608. vinni, 30.11.2007 01:38
MagTux
Тогда всё ок.
Ну а в портмаппинге часто адрес WAN-интерфейса не указывается и используется текущий.

609. MagTux, 30.11.2007 01:51
vinni
Ок. Буду дальше сам разбираться. Главное, что соединение прошло. Спасибо за подсказку.

610. Halfer, 02.12.2007 16:16
Здравствуйте.
Возникла необходимость организовать vpn-соединение по схеме ДОМ-РАБОТА. Связь с интернет организована с помощью aDSL-модемов. Я имею очень смутные представления о программе OpenVPN. Но есть интерес и желание понять программу. Прошу Вас мне в этом помочь и дать вводную информацию, так сказать провести ЛикБез. В простом варианте соединить компьютеры у меня вроде получилось.. но мне нужно получить доступ из дома ко всем компьютерам в рабочей локальной сети. Ещё одним требованием является использование одного адресного пространства и на работе и дома, т.к. используется сеть вида 192.168.0.0/255.255.255.0. Я так понимаю, нужно настроить программу в режиме моста. С чего начать? Помогите определить точку отсчёта.

611. vinni, 02.12.2007 18:35
Halfer
В офисе на OpenVPN-сервере средствами ОС объединить tap-интерфейс и LAN-интерфейс ((Windows? выбрать оба интерфейса и правой кнопкой - "...мост"). Вновь образованному интерфейсу назначить, например, тот IP, который был у LAN-интерфейса. OpenVPN-конфиги перевести в режим dev tap, далее см. первую страницу этой темы.

Ещё одним требованием является использование одного адресного пространства и на работе и дома, т.к. используется сеть вида 192.168.0.0/255.255.255.0
То есть у Вас и в офисе LAN с таким адр.пространством и дома точно такая же? Не советую! Сделайте разные.

612. otmarozok, 02.12.2007 21:35
Ребят помогите, нужно закрыть обмен информацией по некторым портам между клиентами VPN, как это реализовать?
ось Win2003
isa 2006
режим dev tun
Пробовал созданием правила в isa, по ходу она не контролирует сеть также как встроенную ВПН.

613. vinni, 02.12.2007 22:39
otmarozok
Очень информативно... Хотя нет - уже исправлено.
Да и ник, честно говоря, не шибко располагающий к общению. Здесь несколько иной форум.


Не включать режим client-to-client, в этом режиме трафик между клиентами маршрутизировать будет ОС сервера и этим надо заниматься на ней.

Добавление от 02.12.2007 22:46:

otmarozok, будьте добры, исправьте 2 ошибки в слове "пробовал", а то глаз режет.

614. maaboo, 04.12.2007 22:56
У меня вопрос такой.

Если необходимо, чтобы весь IP-траффик шёл по дефолтовому гейту, а IP-траффик на определённый адрес - через ВПН, то необходимо и достаточно всего лишь прописать на клиенте строчку:

route add адрес_нужного_хоста MASK 255.255.255.255 адрес_шлюза_впн

?

Как бы организовать такую схему наиболее корректно и удобно?

Добавление от 04.12.2007 23:05:

Забыл уточнить, что имеется ввиду внешние хосты, а не хосты внутри локальной сети или впн.

615. vinni, 04.12.2007 23:39
maaboo
Командой в конфиг-файле клиента:
route адрес_нужного_хоста
или
route адрес_нужного_хоста 255.255.255.255

Или тоже самое на стороне сервера push "route ..."

Однако надо понимать, что OpenVPN-клиент "запихнёт" этот трафик в тунель, сервер "выпихнет" из тунеля в ОС сервера, а дальше дело за ОС сервера, маршрутизаторами, NAT-ами и т.п. инфраструктурой - именно они должны корректно "выпустить" этот трафик наружу и вернуть обратные пакеты по назначению.

616. OpenVPN, 05.12.2007 17:06
Здравствуйте,

Есть сервер с установленным openVPN
И машина клиента под Win XP с openVPN GUI v.1.0.3.
Все нормально соединяется, но работают и есть коннект ТОЛЬКО С ЦИФРОВЫМИ IP адресами. То есть если дать на клиентской машине команду ping site.ru - ни ответа, ни привета, а если написать ping 194.226.215.67 – то отлично все работает.

Да, на других компах таких проблем нет, вот есть именно одна машина, которая категорически отказывается понимать символьные адреса и признает только цифровые.

Если, есть необходимость, выложу все route print, ifconfig, логи и т.д.

Помогите, пожалуйста победить

617. indjke, 05.12.2007 18:06
Клиентская машина не может перевести доменное имя site.ru (или как ты говоришь "символьный адрес") в IP-адрес (цифровой). Если я правильно понял, 194.226.х.х - это локальная сеть, в которой находится VPN-сервер. В таком случае в конфиг сервера надо добавить строку:

push "dhcp-option DNS x.x.x.x"

Где х.х.х.х - это адрес DNS-сервера сети.

Но в этом случае, если DNS-сервер той сети только локальный и не имеет выхода в интернет, клиенты VPN не смогут выходить в интернет, пока будут подключены к VPN.

Подробнее тут: http://openvpn.net/howto.html#dhcp

618. OpenVPN, 05.12.2007 18:35
indjke спасибо за ответ.

Нет, 194.226.215.67 это всего лишь IP адрес домена site.ru
Взят просто для примера, чтобы показать, что с клиентской машины ping site.ru - не работает, а ping 194.226.215.67 - работает.
То есть работают только цифровые IP адреса на клиентской машины с включенным openVPN.



А команда:
push "dhcp-option DNS x.x.x.x"
добавляет DNS сервер как еще один дополнительный?

И каким образом другие клиентские машины, которые работают и распознают символьные адреса выбирают какой использовать DNS?


P.S. И какой командой на сервере можно посмотреть какие DNS сервера уже добавленны?

619. vinni, 05.12.2007 19:50
OpenVPN
Давайте не мешать мягкое с тёплым.
ping site.ru на клиентской машине работает до установки VPN? А после?
Затем ВНИМАТЕЛЬНО читаем объявление красным шрифтом вверху темы и выполняем БУКВАЛЬНО, а то так можно долго задавать наводящие вопросы и получать ответы мимо кассы.

indjke
если DNS-сервер той сети только локальный и не имеет выхода в интернет
Давайте скажем чуть точнее - "если DNS-сервер не делает рекурсивное разрешение имён *." (то есть не в выходе в интернет дело, он может не иметь выхода в интернет но иметь форвард на следующий сервер)

Добавление от 05.12.2007 19:57:

OpenVPN
Кроме того, на проблемной машине проверяем без VPN и с ним:
nslookup -q=any www.ru
Результат показываем сюда.

Кроме того, делаем:
net stop dnscache
net start dnscache
Результат сюда

С никнеймом Вы, конечно, не поскромничали... Правда он заметно диссонирует с ...

620. maaboo, 05.12.2007 22:34
Я так понимаю, что если до этих хостов и портов с серверной части вне ВПН всё видится и ходит нормально (предположим нет NAT, другой сложной маршрутизации), то сервер ВПН должен корректно обработать пакеты и вернуть их по назначению?

621. OpenVPN, 05.12.2007 22:45
vinni простите если что не так.

ping site.ru на клиентской машине работает до установки VPN? А после?

До работает, то есть без openVPN. После установки соединения - нет. Пинг не проходит.
Пингуются только цифровые IP адреса.


Команды до установления соединения:

код:
    
C:\Documents and Settings\x>nslookup -q=any [url=http://www.ru]www.ru[/url]
*** Can't find server name for address 172.20.0.1: Non-existent domain
*** Default servers are not available
Server: UnKnown
Address: 172.20.0.1

Non-authoritative answer:
[url=http://www.ru]www.ru[/url] internet address = 194.87.0.50
[url=http://www.ru]www.ru[/url] nameserver = ns.demos.su
[url=http://www.ru]www.ru[/url] nameserver = ns1.demos.net

[url=http://www.ru]www.ru[/url] nameserver = ns1.demos.net
[url=http://www.ru]www.ru[/url] nameserver = ns.demos.su
ns.demos.su internet address = 194.87.0.8
ns.demos.su internet address = 194.87.0.9
ns1.demos.net internet address = 194.58.241.26




C:\Documents and Settings\x>net stop dnscache

Служба "DNS-клиент" успешно остановлена.


C:\Documents and Settings\x>net start dnscache
Служба "DNS-клиент" запускается.
Служба "DNS-клиент" успешно запущена.



Команды после установления соединения:

код:
   
C:\Documents and Settings\x>nslookup -q=any [url=http://www.ru]www.ru[/url]
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 172.20.0.1: Timed out
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 172.20.0.1: Timed out
*** Default servers are not available
Server: UnKnown
Address: 172.20.0.1

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out


C:\Documents and Settings\x>net stop dnscache

Служба "DNS-клиент" успешно остановлена.


C:\Documents and Settings\x>net start dnscache
Служба "DNS-клиент" запускается.
Служба "DNS-клиент" успешно запущена.


622. vinni, 05.12.2007 22:45
maaboo, это к чему? Как-нибудь более конкретно и адресно можете изложить вопрос?

Добавление от 05.12.2007 22:50:

OpenVPN
До "простите" дело не дошло

Очевидно нет правильного маршрута на 172....

Затем ВНИМАТЕЛЬНО читаем объявление красным шрифтом вверху темы и выполняем БУКВАЛЬНО
Подсказываю, там детально описаны волшебные слова про ipconfig, route, openvpn-конфиги...
http://forum.ixbt.com/post.cgi?id=annc:14:40906

623. OpenVPN, 05.12.2007 22:59
vinni, не думал, что понадобится.

Вот все "волшебные слова" со включенным openVPN

код:

C:\Documents and Settings\x>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : x-c95c570543834
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет

Подключение по локальной сети 4 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connect
ion
Физический адрес. . . . . . . . . : 00-13-D4-CC-FC-5B
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.125.25.154
Маска подсети . . . . . . . . . . : 255.255.252.0
Основной шлюз . . . . . . . . . . : 10.125.24.1
DNS-серверы . . . . . . . . . . . : 172.20.0.1

Подключение по локальной сети 19 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8
Физический адрес. . . . . . . . . : 00-FF-FA-A7-A4-BA
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 10.168.168.9
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 10.168.168.1
DHCP-сервер . . . . . . . . . . . : 10.168.168.0
DNS-серверы . . . . . . . . . . . : 172.20.0.1
Аренда получена . . . . . . . . . : 5 декабря 2007 г. 22:55:02
Аренда истекает . . . . . . . . . : 4 декабря 2008 г. 22:55:02





C:\Documents and Settings\x>route print
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 13 d4 cc fc 5b ...... Intel(R) PRO/1000 MT Network Connection - ╠шэшя
ЁЄ яырэшЁют∙шър яръхЄют
0x3 ...00 ff fa a7 a4 ba ...... TAP-Win32 Adapter V8 - ╠шэшяюЁЄ яырэшЁют∙шър яр
хЄют


Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.125.24.1 10.125.25.154 20
0.0.0.0 128.0.0.0 10.168.168.1 10.168.168.9 1
10.125.24.0 255.255.252.0 10.125.25.154 10.125.25.154 20
10.125.25.154 255.255.255.255 127.0.0.1 127.0.0.1 20
10.168.168.0 255.255.255.0 10.168.168.9 10.168.168.9 30
10.168.168.9 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.125.25.154 10.125.25.154 20
10.255.255.255 255.255.255.255 10.168.168.9 10.168.168.9 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
128.0.0.0 128.0.0.0 10.168.168.1 10.168.168.9 1
208.70.x.x 255.255.255.255 10.125.24.1 10.125.25.154 1
224.0.0.0 240.0.0.0 10.125.25.154 10.125.25.154 20
224.0.0.0 240.0.0.0 10.168.168.9 10.168.168.9 30
255.255.255.255 255.255.255.255 10.125.25.154 10.125.25.154 1
255.255.255.255 255.255.255.255 10.168.168.9 10.168.168.9 1
Основной шлюз: 10.168.168.1

Постоянные маршруты:
Отсутствует

C:\Documents and Settings\x>



Конфиг OpenVPN


remote 208.70.x.x 1194
client
dev tap
ping 10
proto tcp-client
tls-client
dhcp-option DNS 172.20.0.1
# тут заменить путь на реальный, клежит сертификат
pkcs12 C:\\progra~1\\openvpn\\config\\testtest.p12
verb 5
pull



624. indjke, 05.12.2007 23:16
vinni
Действительно, спасибо за уточнение)

Для полной картины тут не хватает еще конфига VPN-сервера, но насколько я понимаю, проблему должно решить добавление маршрута на машине клиента:
route add 172.20.0.1 mask 255.255.255.255 10.125.24.1
или (более глобально)
route add 172.20.0.0 mask 255.255.255.0 10.125.24.1

625. vinni, 05.12.2007 23:53
OpenVPN
Именно так, как написал indjke

Непонятен смысл "dhcp-option DNS 172.20.0.1"

626. OpenVPN, 06.12.2007 00:05
vinni, indjke, ура ! Спасибо большое все заработало.

Непонятен смысл "dhcp-option DNS 172.20.0.1"

Это я тут мудрствовал и от безысходности добавил сею команду.





А подскажите пожалуйста, где можно про эти "маршруты" почитать?
Или может книжка есть толковая?

627. maaboo, 06.12.2007 13:22
цитата:
vinni:
maaboo
Командой в конфиг-файле клиента:
route адрес_нужного_хоста
или
route адрес_нужного_хоста 255.255.255.255

Или тоже самое на стороне сервера push "route ..."

Однако надо понимать, что OpenVPN-клиент "запихнёт" этот трафик в тунель, сервер "выпихнет" из тунеля в ОС сервера, а дальше дело за ОС сервера, маршрутизаторами, NAT-ами и т.п. инфраструктурой - именно они должны корректно "выпустить" этот трафик наружу и вернуть обратные пакеты по назначению.

Я так понимаю, что если до этих хостов и портов с серверной части вне ВПН всё видится и ходит нормально (предположим нет NAT, другой сложной маршрутизации), то сервер ВПН должен корректно обработать пакеты и вернуть их по назначению без каких либо дополнительных настроек?

628. vinni, 06.12.2007 14:53
maaboo
Нет, в общем случае это неверно, тем более, как Вы говорите, если нет NAT. Трафик с сервера пойдёт с интерфейсов и адресов сервера, а трафик VPN-клиента - с интерфейсов и адресов клиента. И не факт, что целевой хост знает правильный маршрут к VPN-клиенту. Это весьма частая и распространённая ошибка - прямой маррут есть, а обратного нет.

Сорри, в предыдущий раз тормознул и не понял

629. maaboo, 06.12.2007 15:34
А что делать, если необходимо прописать все маршруты? Я не пойму...

Идея такая. Имеется некий список хостов, доступный из подсети OVPN-сервер (который в общем-то внешним фейсом торчит наружу без промежуточных), но недоступный из локальной сети. Для обеспечения доступа только для данных хостов подключается VPN-сеть и соответственно рисуются маршруты. Доступ для всех остальных клиентов и хостов осуществляется проксей, то есть данные хосты будут недоступны.

Я сделал некую минимальную конфигурацию. В режиме P2P всё работает (благодаря этому я получил возможность поднимать RDP на севере без опасения открытия портов наружу), однако вторая часть, из за которой и весь замут - не выполнена.

Какие действия выполнять? Какая информация от меня нужна (с учётом того, что сервер в общем-то случае работает, так что технических проблем с работоспособностью нет)?

У знакомого линкусоида спрашивал - но он прописал одной строчкой в iptables маскарадингом и всё. А у меня винда... ((

630. vinni, 06.12.2007 16:10
maaboo
А Вы опишите всё детально, а то много непонятного... Разговор в общем случае - это одно, частный - другое.
Играть в угадайку не буду, описывать все возможные ситуации тоже.

А у меня винда
Сами скажете какая или пытать будем?

Какая информация от меня нужна?
Вверху темы ссылка на объявление, в нём всё подробно описано.

631. maaboo, 06.12.2007 17:31
Что именно непонятного? Я достаточно детально указал:

Есть:
подсеть 1: клиент - сервер1 - сеть1
подсеть 2: сервер2 - сеть2
Клиент не имеет доступа к сеть2.
Сервер2 имеет соединение через сеть1 с сервер2 и клиент.
Надо:
Клиент через сервер2 получает доступ к сеть2.

Всё!

Добавление от 06.12.2007 17:39:

Винда в данном случае на конечных точках будет XP.

Высылать тонны информации не вижу смысла ибо клиент-сервер работает. Надо настроить. То есть что-то где-то прописать. Да?

632. SPV82, 06.12.2007 18:32
Доброго времени суток.

Из-за чего могут дублироваться записи в файле, определенным в конфиге сервера как "ifconfig-pool-persist ..\\ccd\\ipp.txt" ? Т.е. когда запускаешь сервер, поочередно коннектишь клиентов - все клиенты прописываются в этом файле с определенными CN и IP. Но спустя какое-то время некоторые клиенты повторно регистрируются в этом файле с новыми очередными IP, но на момент обнаружения дубля они доступны по первично назначенному IP. Клиентов в сумме совсем немного (5-10).

633. vinni, 06.12.2007 20:43
SPV82
Не встречал и/или не замечал. Ну а ответ "почему" скорее всего в исходниках
цитата:
Note that the entries in this file are treated by OpenVPN as suggestions only, based on past associations between a common name and IP address. They do not guarantee that the given common name will always receive the given IP address. If you want guaranteed assignment, use --ifconfig-push
duplicate-cn не используете?

maaboo
Надо настроить. То есть что-то где-то прописать. Да?
Конечно! Естественно! Что-то где-то прописать...
Надо или понять что и где (для этого Вам желательно показать свои данные) или угадать (здесь всё в Ваших и только в Ваших руках).

Я достаточно детально указал:
Есть:
подсеть 1: клиент - сервер1 - сеть1
подсеть 2: сервер2 - сеть2
Клиент не имеет доступа к сеть2.
Сервер2 имеет соединение через сеть1 с сервер2 и клиент.
Надо:
Клиент через сервер2 получает доступ к сеть2.


Лично я не понял Ваши обозначения подсетей. А также, как видим, у Вас (по Вашему описанию) серверы не связаны, сервер2 живёт "тихо сам с собою" через сеть1


Общее направление мысли на первый взгляд таково - или на сервере1 включать трансляцию для адресов/сети клиента или разбираться с маршрутизацией адресов/сети клиента по всему машруту от сервера1 до сети2

634. maaboo, 06.12.2007 21:43
В данном случае пока интересна маршрутизация, без затрагивания сервера1. На нём всё отлично работает.

код:

Windows IP Configuration

Host Name . . . . . . . . . . . . : hidden
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter Local Area Connection:

Physical Address. . . . . . . . . : 00-14-85-1C-FF-D7
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes

Ethernet adapter VPN:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TAP-Win32 Adapter V8
Physical Address. . . . . . . . . : 00-FF-8D-26-A3-35
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 10.8.0.1
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :
DHCP Server . . . . . . . . . . . : 10.8.0.2

PPP adapter Net2:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physical Address. . . . . . . . . : 00-53-45-00-00-00
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 80.208.12.121
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 80.208.12.121
DNS Servers . . . . . . . . . . . : 80.208.11.11, 80.208.12.12


Я вижу что нет гейта для 10.8.0.1. Это не очень хорошо, как я понимаю. Это из за того, что IP Routing Enabled. . . . . . . . : No? Что зедсь предпринимать?

код:

ca ca.crt
cert server2.crt
key server2.key
dh dh1024.pe

dev tun

server 10.8.0.0 255.255.255.0

comp-lzo
status openvpn-status.log
verb 5


Собственно пока ничего не добавлял, потому как не совсем понимаю, что именно надо. Это всё конфигурация сервера2. Который отовсюду нормально виден. Частная сеть работает на ура. Осталось связать частную сеть на сервере2 с сетью2 (считай внешней).

635. vinni, 07.12.2007 00:02
maaboo
Я вижу что нет гейта для 10.8.0.1. Это не очень хорошо, как я понимаю.
Это хорошо и всегда именно так. OpenVPN прописывает маршруты прямо в таблицу, а не привязывает шлюз к интерфейсу.

Это из за того, что IP Routing Enabled. . . . . . . . : No? Что зедсь предпринимать?
Нет, это не из-за того, см.выше.
Где "здесь"?
А вот маршрутизацию включить надо - служба RemoteAccess. И, вероятнее всего, ещё и NAT - возиться с netsh или ставить иное ПО.

По сути проблемы: чтобы найти где и что добавить/включить надо задавать кучу вопросов. Облегчить этот процесс Вы можете, предоставив нормальную информацию. Но по каким-то соображениям Вы этого не делаете. Ваше право... А строить предположения и догадки дальше я не вижу смысла - потеря времени.

636. maaboo, 07.12.2007 10:55
Ок, раскидаю как только доберусь до всех хостов.

637. otmarozok, 08.12.2007 00:00
цитата:
vinni:
otmarozok
Очень информативно... Хотя нет - уже исправлено.
Да и ник, честно говоря, не шибко располагающий к общению. Здесь несколько иной форум.


Не включать режим client-to-client, в этом режиме трафик между клиентами маршрутизировать будет ОС сервера и этим надо заниматься на ней.



Добавление от 02.12.2007 22:46:

otmarozok, будьте добры, исправьте 2 ошибки в слове "п[color="red"]роб<font color="red">о[/color]вал", а то глаз режет.</font>


По делу. Отключил обмен client-to-client, создал правило разрешающее на ISA обмен трафиком между клиентами, IP диапазон OpenVPN, и обмен даными с самим сервером. Получилось так, что с сервером все работает, а между клиентами нет. Я не понимаю принцип работы клиентов без режима client-to-client. У них сервер выходит как шлюз?

Спасибо за столь много замечаний, но ник есть ник, у вас тоже замечу ник не серьезный. У всех они разные также как и имена. Ошибки исправил.

638. vinni, 08.12.2007 00:27
otmarozok
Я не понимаю принцип работы клиентов без режима client-to-client. У них сервер выходит как шлюз?

Формально в OpenVPN < v2.1 в режиме dev tun интерфейс хоста сервера (то есть tap-адаптер) не является шлюзом для клиентов, он им даже не доступен непосредственно на интерфейсе. На первой странице темы есть рисунок иллюстрирующий эту схему с промежуточным виртуальным маршрутизатором и сетями /30.

Так вот, в режиме client-to-client трафик между клиентами маршрутизируется "классически" на этом виртуальном маршрутизаторе и в IP-интерфейс хостовой ОС (то есть в Win2003, например) не попадают. Таким образом и фильтровать его нельзя, т.к. внутри OpenVPN этих функций нет (то есть фильтровать надо на самих клиентах).

Если client-to-client выключен (то есть этой инструкции нет), то весь трафик вошедший в тунель от клиента независимо от его назначения "выпихивается" в IP-интерфейс хостовой ОС (то есть в Win2003, например) и уже эта ОС должна форвардить пакет дальше согласно своих настроек. В случае если это был пакет от клиента клиенту она (при включенной маршрутизации и отсутствии запрещающих фильтров) запихнёт его обратно в тот же TUN-интерфейс и OpenVPN "прокинет" его destination-клиенту.

639. Anton99, 14.12.2007 21:33
Пожалуйста помогите решить проблему.
OpenVPN настраивается через 2 adsl-модема, связь устанавливается пинги проходят как с сервера так и с клиента. После того как на сервере на сетевом адаптере разрешается общий доступ к интернету, пинги не проходят и все.

640. vinni, 15.12.2007 20:02
Anton99
После того как на сервере на сетевом адаптере разрешается общий доступ к интернету...
С этого места подробнее. Кроме того читаем объявление вверху темы.

641. Anton99, 16.12.2007 18:29
На сетевом адаптере выбираю Свойства->Дополнительно->Общий доступ к подключению к Интернету.
Включаю "Разрешить другим пользователям сети использовать подключение к Интернету данного компьютера"
После этого не пингуется сервер и клиент.

642. vinni, 16.12.2007 18:55
Anton99
Скорее всего надо открывать порт (portmapping) для входящих соединений через NAT к OpenVPN-серверу.
Без детального объяснения с Вашей стороны больше объяснять смысла нет.

643. Anton99, 16.12.2007 19:10
Подскажите пожалуйста что еще надо сообщить чтобы можно было решить эту проблему

644. vinni, 16.12.2007 19:49
Anton99
Уже подсказывал - читаем объявление вверху темы
"Прочитать перед тем как задавать вопрос" http://forum.ixbt.com/post.cgi?id=annc:14:40906

645. Anton99, 16.12.2007 19:49
ОС Windows XP SP 1 русская, брандмауэр отключен, адаптер один подключен к adsl модему.
OpenVPN v2.0.9

код:
tls-server 
;local a.b.c.d
port 36701
;proto tcp
proto udp
;dev tap
dev tun
max-clients 30
connect-freq 1 10
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\server.crt"
key "C:\\Program Files\\OpenVPN\\config\\server.key" # This file should be kept secret
dh "C:\\Program Files\\OpenVPN\\config\\dh1024.pem"
server 172.20.1.0 255.255.255.0
push "dhcp-option DNS 212.12.0.2"
ifconfig-pool-persist ipp.txt
client-config-dir "C:\\Program Files\\OpenVPN\\ccd"
ccd-exclusive
push "redirect-gateway"
keepalive 20 40
mssfix 1400
fragment 1400
cipher BF-CBC #
comp-lzo
persist-key
persist-tun
;log openvpn.log
;log-append /log/openvpn.log
verb 3
mute 5
#sndbuf 8192 8192

код:
OpenVPN adapter - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8
Физический адрес. . . . . . . . . : 00-FF-43-77-9D-E2
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 172.20.1.1
Маска подсети . . . . . . . . . . : 255.255.255.252
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 172.20.1.2
Аренда получена . . . . . . . . . : 16 декабря 2007 г. 19:46:50
Аренда истекает . . . . . . . . . : 15 декабря 2008 г. 19:46:50

Adsl adapter - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : NVIDIA nForce MCP Networking Controller
Физический адрес. . . . . . . . . : 00-04-61-5E-3C-9A
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.1.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.1
DHCP-сервер . . . . . . . . . . . : 192.168.1.1
DNS-серверы . . . . . . . . . . . : 192.168.1.1
Аренда получена . . . . . . . . . : 16 декабря 2007 г. 18:09:43
Аренда истекает . . . . . . . . . : 17 декабря 2007 г. 18:09:43

Добавление от 16.12.2007 20:06:

код:
client
dev tun
;dev-node MyTap
;proto tcp
proto udp

remote 10.250.138.55 36701
;remote my-server-2 1194
;remote-random

resolv-retry infinite

nobind

persist-key
persist-tun

keepalive 20 120

ca ca.crt
cert client1.crt
key client1.key

ns-cert-type server
tls-exit

cipher BF-CBC

comp-lzo

verb 3

# Silence repeating messages
;mute 20

mssfix 1400
fragment 1400

646. vinni, 16.12.2007 20:06
Anton99
А зачем Вы включаете ICS (общий доступ к интернету)? На каком адаптере? Вы в курсе, что он принудительно сменит IP внутреннего интерфейса на 192.168.0.1 ?

Что ещё есть в сети 192.168.1.* ?

Вариантов 3:
1 - оставить всё как есть, включить портмаппинг на интерфейсе для 36701/udp, далее вероятно придётся воевать с ICS-ом (править IP-адрес)

2 - согласиться с ISC на адрес 192.168.0.1 и исправить ovpn-конфиги, вероятно перейти на mode tap

3 - отказаться от ICS, сделать мост между "OpenVPN adapter" и "Adsl adapter", перейти на mode tap, теперь шлюзом для ovpn-клиентов будет 192.168.1.1

Добавление от 16.12.2007 20:07:

Anton99, разберитесь с оформлением, ок?

647. Anton99, 16.12.2007 20:10
Включаю ICS для того чтобы клиент получил доступ в интернет т.к. сервер у меня дома, а клиент стоит на работе.
В сети 192.168.1.1 - adsl модем
192.168.1.2 - интерфейс к которому он подключен.
Если можно поподробнее как реализовать 1 вариант у меня квалификации пока не достаточно

648. vinni, 16.12.2007 20:21
Anton99
Включаю ICS для того чтобы клиент получил доступ в интернет
Тогда в конфиге клиента нужно ещё redirect-gateway Всё, увидел, она у Вас в сервере через push

поподробнее как реализовать 1 вариант
В окне включения ICS есть кнопка параметры, там надо "добавить службу" OpenVPN: IP-адрес 192.168.1.2 (плохо что адрес динамический, лучше статический), оба порта 36701, "для udp"
Но это не всё! Основные траблы как раз дальше (я даже не уверен, что они решаемы на 100%), а Вы на них не обратили внимание.

649. Anton99, 16.12.2007 20:25
Подскажите пожалуйста если использовать 2 вариант обязательно ли переходит на mode tap

650. vinni, 16.12.2007 20:39
Anton99
ISC в штатном режиме хочет на интерфейсе 192.168.0.1 / 24 и DHCP-клиентов. Иные варианты могут вызывать проблемы. Действительно ли это вызывает проблемы и лечатся ли они - не знаю, не пользуюсь ISC. Но если проблемы есть, то "лечить" их надо так как я написал.
Или переходить на OpenVPN 2.1, он умеет работать с tun-клиентами без "нарезки подсетей /30"

651. Anton99, 16.12.2007 22:09
Решил согласиться с адресом 192.168.0.1
Исправил
server 172.20.1.0 255.255.255.0 на server 192.168.0.0 255.255.255.0
Сервер соединяется нормально с этим адресом
Исправил в CCD
ifconfig-push 172.20.1.2 172.20.1.1 на ifconfig-push 192.168.0.2 192.168.0.1
после чего клиент категорически отказывается соединяться
На сервере в логах выдает
код:

Sun Dec 16 21:58:04 2007 10.250.138.55:1536 TLS: Initial packet from 10.250.138.55:1536, sid=42f5bdb6 d891cfdc
Sun Dec 16 21:58:16 2007 10.250.138.55:1536 VERIFY OK: depth=1, /C=ZZ/ST=ZZ/L=ZZZ/O=ZZZ/CN=server/emailAddress=zz@zzz.zz
Sun Dec 16 21:58:16 2007 10.250.138.55:1536 VERIFY OK: depth=0, /C=ZZ/ST=ZZ/O=ZZZ/CN=client1/emailAddress=zz@zzz.zz
Sun Dec 16 21:58:18 2007 10.250.138.55:1536 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Dec 16 21:58:18 2007 10.250.138.55:1536 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Dec 16 21:58:18 2007 10.250.138.55:1536 NOTE: --mute triggered...
Sun Dec 16 21:58:20 2007 10.250.138.55:1536 3 variation(s) on previous 5 message(s) suppressed by --mute
Sun Dec 16 21:58:20 2007 10.250.138.55:1536 [client1] Peer Connection Initiated with 10.250.138.55:1536
Sun Dec 16 21:58:20 2007 client1/10.250.138.55:1536 OPTIONS IMPORT: reading client specific options from: C:\Program Files\OpenVPN\ccd\client1
Sun Dec 16 21:58:20 2007 client1/10.250.138.55:1536 MULTI: Learn: 192.168.0.2 -> client1/10.250.138.55:1536
Sun Dec 16 21:58:20 2007 client1/10.250.138.55:1536 MULTI: primary virtual IP for client1/10.250.138.55:1536: 192.168.0.2
Sun Dec 16 21:58:20 2007 read UDPv4: Сделана попытка выполнить операцию на объекте, не являющемся сокетом. (code=10038)

Подскажите пожалуйста что не так

652. vinni, 16.12.2007 22:24
Anton99
Не первой странице темы описан принцип нарезки подсетей /30, Вы пытаетесь ему противоречить. Варианты выхода я Вам сказал - или tap или OpenVPN 2.1

653. Anton99, 16.12.2007 22:26
Получилось с адресами 192.168.0.1 192.168.0.2 только в локалке, модемы пока сопротивляются

654. midnighte, 21.12.2007 17:28
Доброго времени суток! Помогите пожалуйста настроить сервак - как не старался все время не получается.
Вот то что я имею:
Стоит WinXP SP2, OpenVPN 2.0.9
2 Сети, соответственно 2 сетевые карты, с одной из которых идет доступ к инету посредству подключения к другому VPN серверу.
Ип адресс первой сетевой карты 192.169.0.1 - клиенты в данной сети идут дальше с ип адрессами 192.169.0.n
Ип адресс второй сетевой карты 192.168.103.41 (для того чтобы работал инет и сеть вместе прописан route add 192.168.0.0 mask 255.255.0.0 192.168.103.1 -p)- клиенты в данной сети имеют ип адреса типа 192.168.n.n + Через данную сети идет подключение к VPN-инет серверу. Ип сервера 192.168.2.100 Получаемый адресс после подкючения 87.245.146.190
Вот я пытаюсь настроить так чтобы из первой сети клиенты подключаясь получали доступ и к ресурсам второй сети и самого инета; из второй сети чтобы доступ был только к Интернету.
Как не пытался ниче не получается. Помогите настроить конфиги.
Заранее спасибо.

655. Miller_Omsk, 24.12.2007 11:05
Здраствуйте Уважаемые!!
Очень много вопросов по данной теме.. Начнем сначала есть две сети удаленные друг от друга.. у каждой из них сервер связи под управление 2003 server c Traffic Inspector на борту
1 сеть
внешний 90.188.х.х
Внутренний в сети 192.168.0.4
2 сеть
внешний 90.188.у.у
внутренний 192.168.2.1
Пока желание сделать со статическим ключом
server.ovpn
proto tcp-server
dev tun
dev-node office
port 5002
ifconfig 10.8.0.1 10.8.0.2
secret office.txt
route 192.168.2.0 255.255.255.255 10.8.0.2
ping 15
verb 3
comp-lzo
tun-mtu 1500
auth MD5
cipher DES-CBC

client.ovpn

proto tcp-client
dev tun
dev-node home
port 5002
ifconfig 10.8.0.2 10.8.0.1
secret office.txt
remote 90.188.x.x
route 192.168.0.0 255.255.255.255 10.8.0.1
ping 15
verb 3
comp-lzo
tun-mtu 1500
auth MD5
cipher DES-CBC

Соединение происходит, машины сети 192.168.0.0 пингуют машину 192.168.2.1 иобратно пинги есть но в общей сети не появляються. Сеть ужасно тормозит. Подскажи что и где подправить

656. vinni, 24.12.2007 11:14
Miller_Omsk
пинги есть но в общей сети не появляються
Что в Вашем понимании "общая сеть"? Список ПК в окне сетевое окружение? И не появятся просто так. Для поддержания такого списка в сети, разделённой маршрутизатором(-ами) нужна доменная огранизация сети. Это не в эту тему, ищите на MS (или вот: http://www.microsoft.com/technet/network/evaluate/te…appc.mspx?pf=true)

Добавление от 24.12.2007 11:20:

midnighte
Как минимум опишите более ясно.
А в общем - OpenVPN сам организует только туннель, вопросами разграничения доступа и т.п. должен заниматься фильтр на сервере. Это можно пытаться решить маршрутами, но это будет или ненадёжно (клиент может добавить маршрут самостоятельно) или криво (например, "убить" обратный машрут на всех хостах "защищаемой" сети).

657. SPV82, 24.12.2007 11:27
Miller_Omsk
Сеть ужасно тормозит. Подскажи что и где подправить

Перейти на dev tap

658. Miller_Omsk, 24.12.2007 11:38
Вот сейчас вожусь с получение сертификатов не как не могу понять что и как и где в каких батниках что править...
основная задача..
Есть две удаленных сети в одной стоит контроллер домена (он же сервер терминала) ... надо соединить их в единую сеть.. так чтоб доступ к терминалу был из любой сети.. далее хотелось бы видеть обе сети в сетевом обозреватели... за ранее приношу свои извениния за глупые вопросы ибо пока я чайник.

Самое лучшее было бы с кем нибудь переговорить по аське... мои номер 335620313... очень нужна помощь

659. vinni, 24.12.2007 12:42
SPV82
Сеть ужасно тормозит. Подскажи что и где подправить
Перейти на dev tap


И чем, по-Вашему, это поможет? Просто будет чуть больше мусора гоняться в этом "сегменте" из 2-ух узлов.

Miller_Omsk
Поменьше многоточий и поконкретнее.
Зачем Вам сертификаты? Это не повлияет на то, о чём Вы писали выше. Если у Вас тунель просто между двумя серверами, то сертификаты это действие не первой необходимости.
Вы уверены, что стоит возиться с единым списком сетевого обозревателя? Может достаточно обойтись \\1.2.3.4 или \\имя_ПК или \\имя_ПК.имя_домена ?

с кем нибудь переговорить по аське
Лично я "пас", может кто другой. К тому же аська отнимет ещё больше времени.

660. Miller_Omsk, 24.12.2007 13:55
В принципе я тоже особо не вижу смысла на данном этапе в сертификатах. А вот возиться действитель надо. простом пользователям не объяснишь как находить ту или иную машину в сети если это не наглядно уложено в одном окне... далее в одной сети есть контроллер домена и хотелось чтоб машины второй сети в него входили (но неверное это из области фантастики) а так же есть внутрення почта и несколько программ сетевой направленности которые работают в одной локально сети. Скажи какую информацию надо выложить для лучшего понимаю моей проблемы?

661. vinni, 24.12.2007 14:06
Miller_Omsk
Смешались в кучу кони, люди... Давайте мухи отдельно, котлеты отдельно. На вопросы, сваленные в одну непонятную кучу отвечать не буду. К тому же, здесь тема про OpenVPN, решать в ней все проблемы связи сетей не стоит.

в одной сети есть контроллер домена и хотелось чтоб машины второй сети в него входили (но неверное это из области фантастики)
Никаких проблем.
Лишь бы канал работал стабильно и обеспечивал требуемую полосу.

662. Miller_Omsk, 25.12.2007 06:25
Вот новое продвижение, вчера настроил Wins сервер на контроллере домена. После чего компьютеры второй локалки сали видеть компьютеры первой.. но войти на них не могу(но компы первой локалки не видят компы из второй). Как сделать так чтоб при включении компа второй локлки, он сверел учетную запись с контроллером домена? Можно ли поставить Wins сервер на маршрутизаторе? Можно ли сделать во втрой сети переодически обовляющиюся копию актив директори? И еще вопрос что лучше поднимать соединение по TCP или по UDP в сети есть сетевое ПО которое использует UDP протокол. Если отключить компресию трафика увеличиться ли скорость?

663. Volex, 25.12.2007 14:01
Помогите
Конфигурирую вирт сеть в режиме роутера (dev tun, mode server)
пытаюсь открыть доступ к сети за клиентом.
Использую команды
client-config-dir ccd
route 192.168.0.0 255.255.255.0
в файле ccd\клиент
iroute 192.168.0.0 255.255.255.0

В итоге: клиент и сервер пингуются по адресам впн; пингуются все машины в сети за сервером; в таблицу маршрутизации на сервере добавлен маршрут на сеть 192.168.0.0/24.
При попытке пинга с сервера любой машины в сети за клиетом получаем "Превышен интервал ожидания ответа". Пакеты с сервера уходят в сеть впн(видно на счетчике пакетов в винде), но до клиента через канал впн недоходят.

Подскажите кто-нибудь в чем дело?

664. SPV82, 25.12.2007 16:21
Volex
Что машины в сети за клиентом знают про VPN ? Самого VPN-клиента они пингуют?

665. vinni, 26.12.2007 05:12
Miller_Omsk
Вопросы по домену не сюда. Но ответ - это делается без проблем.

И еще вопрос что лучше поднимать соединение по TCP или по UDP в сети есть сетевое ПО которое использует UDP протокол.
Если не знаете ответ на этот вопрос, то имеет смысл начинать с UDP, он чуть быстрее.
ТСР имеет смысл при:
- необходимости гарантированного прохождения пакетов "ненадёжных" протоколов (например, UDP)
- multihomed серверах
- при явной необходимости использования именно ТСР, обусловленной "внешней средой"

Если отключить компресию трафика увеличиться ли скорость?
Вряд ли. Только если слабый комп или очень нагруженный канал.
То же относится (вероятно даже в большей мере) и к шифрованию.

Добавление от 26.12.2007 05:19:

Volex
На клиенте включена маршрутизация?
На хостах в сети за клиентом текущий используемый маршрут (или явный маршрут на OpenVPN-сеть или маршрут по умолчанию) на OpenVPN-сеть пролегает через OpenVPN-клиента?
Какая-либо фильтрация (фаерволы и т.п.) на клиенте или хостах за ним имеется?

666. Miller_Omsk, 26.12.2007 06:42
Фаерволы отключены на клиент и сервер связи добавлены постоянным маршруты а так же в конфигах описан route

667. Volex, 26.12.2007 10:36
SPV82
1. ВПН сервер(10.0.0.1) пингует впн клиента(10.0.0.6) по впн каналу
2. ВПН сервер не пингует сетевой интерфейс ВПН клиента(192.168.0.1), принадлежащий сети за клиентом(192.168.0.0/24), все машины в сети клиента пингуют впн клиента по адресу(192.168.0.1).
3. При пинге с ВПН сервера клиента по адресу(192.168.0.1) пакеты от ВПН сервера уходят в канал ВПН, но до клиента недоходят.

vinni
1. На клиенте маршрутизация работает (ipconfog /all)
2. Настроить в винде маршрутизацию не проблема
3. Фаерволы присутствуют, правила настроены, пробовал отключать все без изменений.

Проблема: пакеты посланные на любой интерфейс в сеть клиента(на клиета), уходят с ВПН сервера, но не приходят на ВПН клиента(сам интерфейс ВПН 10.0.0.6), ощущуение, что они теряются в канале ВПН.

668. vinni, 26.12.2007 13:14
Volex
Посмотрите/покажите внутреннюю таблицу маршртузации самого процесса OpenVPN.exe на сервере. Она есть или в файле OpenVPN-status.log (или может Вы назвали его иначе) или доступна через его управляющую консоль по команде, если не ошибаюсь, status

669. Volex, 26.12.2007 13:42
ХА-ХА-ХА смеюсь, на своей невнимательностью!!!
Ведь везде сказано:
Что создаваемый файл в папке ccd\клиент (client-config-dir ccd) должен иметь CN-имя!!!!!
А у меня CN-имя не совпадает с именем сертификатов и именем клиентов, а я пихаю туда файл с именем сертификата.
Поправил имя файла на CN-имя и все заработало

Огромное спасибо всем откликнувшимся.
Отдельное спасибо vinni.

670. SPV82, 26.12.2007 15:01
Volex
Покажите "openvpn --show-net" как с клиента так и с сервера

671. angord, 27.12.2007 09:39
Добрый день.

Помогите решить задачу.

Есть офисная сеть 192.168.0.0. одна из машин смотрит в и-нет и имеет два интерфейса
Вн. 192.168.0.35 внешний Х1.Х2.205.6

Складская сеть 10.10.0.0 имеет выход в и-нет через WiFi маршрутизатор D-Link (DI-524
AirPlus G высокоскоростной 2.4ГГц (802.11g) беспроводной 4-х портовый маршрутизатор, до 54 Мбит/с) к нему привязан внешний адрес Х1.Х2.216.34

Есть ли возможность организовать VPN канал между этими сетями

672. vinni, 27.12.2007 09:46
angord
Есть.

673. angord, 27.12.2007 10:30
vinni - подскажите как!? Приследующих настройках ничего не работает. Как пройти роутер, ведь внешний адрес Х1.Х2.216.34 привязан к нему, а OpenVPn запускается на машине за ним с вн. адресом
10.10.0.10
На всех машинах WinXP SP2

remote X1.X2.216.34
port 1199
dev-node to-sklad
dev tap
tun-mtu 1500
ifconfig 10.7.0.197 255.255.255.252
secret key.txt
route 10.10.0.0 255.255.255.0 10.7.0.198
ping -restart
comp-lzo
verb 5
mute 20

remote X1.X2.205.6 1194
nobind
dev-node to-office
dev tap
tun-mtu 1500
ifconfig 10.7.0.198 255.255.255.252
secret key.txt
route 192.168.0.0 255.255.255.0 10.7.0.197
ping -restart
comp-lzo
verb 5
mute 20

Добавление от 27.12.2007 10:47:

Прошу прощения в настройках во второй половине указан неверный порт
должно быть так

remote X1.X2.205.6 1199
nobind
dev-node to-office
dev tap
tun-mtu 1500
ifconfig 10.7.0.198 255.255.255.252
secret key.txt
route 192.168.0.0 255.255.255.0 10.7.0.197
ping -restart
comp-lzo
verb 5
mute 20

674. vinni, 27.12.2007 12:53
angord
Настроить Port Forwarding в роутере (в этом D-Link'e он наверняка называется Virtual Server)

675. kuaz, 05.01.2008 10:32
Здравствуйте.
такая ситуация. все работает отлично, клиенты коннектятся по client-config-dir.
клиенты могут коннектится со своими сертификатами(pkc12) с любого IP адреса.
появилась задача:
надо чтобы каждый клиент и сертификат клиента привязался к статическому IP адресу клиента.
т.е. он со своим сертификатом мог коннектится только с определенного IP адреса а с других не мог.

кто знает, подскажите

676. vinni, 06.01.2008 16:37
kuaz
Я так понимаю, что речь идёт о "внешнем" адресе клиента? То есть, например, чтобы "Петя" со своим ноутбуком мог подключаться только из своего дома, а "Серёжа" только из своего?

Похожую функцию делает команда remote на стороне сервера в режиме tcp, но AFAIK она глобальная и распространяется на всех клиентов сразу. Можете конечно попробовать "воткнуть" её в client-config-dir-файл, но думаю, что она будет проигнорирована с сообщением об ошибке.

Штатно это должно делаться с помощью внешнего скрипта client-connect
цитата:
--client-connect script
Run script on client connection. The script is passed the common name and IP address of the just-authenticated client as environmental variables (see environmental variable section below). The script is also passed the pathname of a not-yet-created temporary file as $1 (i.e. the first command line argument), to be used by the script to pass dynamically generated config file directives back to OpenVPN.
If the script wants to generate a dynamic config file to be applied on the server when the client connects, it should write it to the file named by $1.
See the --client-config-dir option below for options which can be legally used in a dynamically generated config file.
Note that the return value of script is significant. If script returns a non-zero error status, it will cause the client to be disconnected.
С первого прочтения не совсем ясно, что имеется ввиду под "The script is passed the ... IP address", какой именно адрес? Но скорее всего именно внешний, т.к. соединения ещё нет и следовательно внутреннего адреса тоже нет. Значит, анализируете скриптом на соответсвие common name и IP address и возвращаете статус 0 или 1.

Решить это можно также немного кривым способом на внешнем шлюзе, если такой есть. Настроить трансляции на целевой порт сервера с разных произвольных внешних портов, то есть для каждого пользователя свой внешний порт. И уже фильтром отфильтровать трафик по этим внешним портам только для нужных адресов. Но эта система нестойкая, то есть опирается на незнание клиентом других номеров портов. Но это криво, не совсем надёжно и проблематично при большом количестве клиентов.

677. kuaz, 07.01.2008 13:40
vinni
да речь идет о внешнем адресе клиента.
есть клиенты с динамическими адресами, есть с статическими адресами. и те которые с статическими адресами надо привязать к сертификатам. с командой remote не получится. надо чтоб было в client-config-dir\CN .
тоже читал про --client-connect script но ничего внятного не понял.
через фильтр невозможно.так как есть клиенты с динамическими адресами.
Спсаибо, за внимание.
будем стараться что нибудь сделать. буду ждать еще ваших советов

678. vinni, 07.01.2008 18:37
kuaz
Можете использовать образец скрипта auth-user-pass-verify "auth.vbs":
FAQ: OpenVPN (было - Помогите настроить OpenVPN) !, #302 (http://forum.ixbt.com/topic.cgi?id=14:40906:302#302)

679. kuaz, 08.01.2008 10:51
vinni
этот скрипт побежит под солярой? опенвпн сервер стоит на Solaris е

680. vinni, 08.01.2008 18:58
kuaz
Нет, это скрипт на VBScript'е. Пишите свой.

681. MARDEN, 13.01.2008 00:37
Доброго времени суток! Длительное время применял OpenVPN в XP, чтобы создать виртуальную сеть для игр в режиме LAN. Все работало замечательно: клиенты коннектились и заходили в игру, которая успешно находила эту сеть. После перехода на Vista Ultimate x86 начались проблемы. Сначала пришлось установить последнюю версию OpenVPN 2.1 rc4. Конфиги поставил от старой версию (см. ниже). В итоге, несмотря на то, что клиенты успешно подключаются (и пингуются), ни одна игра не воспринимает виртуальную сеть за настоящую, т.е. попросто не видит созданную сервером игру. В чем может быть проблема?

Вот конфиги:
server.ovpn
код:
local 192.168.14.205
port 1194
proto udp
dev tap
ca ca.crt
cert d-server.crt
key d-server.key # This file should be kept secret
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

client.ovpn
код:
client
dev tap
proto udp
remote 192.168.14.205 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3

ipconfig
код:
Ethernet adapter My OpenVPN:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : TAP-Win32 Adapter V9
Физический адрес. . . . . . . . . : 00-FF-F0-BD-F3-5D
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.8.0.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 13 января 2008 г. 0:10:47
Срок аренды истекает. . . . . . . . . . : 12 января 2009 г. 0:10:46
Основной шлюз. . . . . . . . . :
DHCP-сервер. . . . . . . . . . . : 10.8.0.0
NetBios через TCP/IP. . . . . . . . : Включен

route print
код:
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
10.8.0.0 255.255.255.0 10.8.0.2 10.8.0.1 31
10.8.0.0 255.255.255.252 On-link 10.8.0.1 286
10.8.0.1 255.255.255.255 On-link 10.8.0.1 286
10.8.0.3 255.255.255.255 On-link 10.8.0.1 286
10.10.0.0 255.255.0.0 10.10.14.1 10.10.14.205 21
10.10.14.0 255.255.255.0 On-link 10.10.14.205 276
10.10.14.205 255.255.255.255 On-link 10.10.14.205 276
10.10.14.255 255.255.255.255 On-link 10.10.14.205 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.0.0 255.255.255.0 On-link 172.16.0.1 276
172.16.0.1 255.255.255.255 On-link 172.16.0.1 276
172.16.0.255 255.255.255.255 On-link 172.16.0.1 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.8.0.1 286
224.0.0.0 240.0.0.0 On-link 172.16.0.1 279
224.0.0.0 240.0.0.0 On-link 10.10.14.205 280
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.8.0.1 286
255.255.255.255 255.255.255.255 On-link 172.16.0.1 276
255.255.255.255 255.255.255.255 On-link 10.10.14.205 276
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
10.10.0.0 255.255.0.0 10.10.14.1 1

682. vinni, 13.01.2008 21:18
MARDEN
Не знаю точно осталось ли это в Висте и куда его "пристроили" (а Висты сейчас под рукой нет), но я бы посмотрел порядок привязки интерфейсов и сделал бы VPN первым. В ХР это было "Сетевые подключения", "дополнительно", "дополнительные параметры".

Кроме того, вероятно придётся ковырять в Висте настройки брандмауэра (он там сильно иной по сравнению с ХР) и/или его привязки к сетям.

683. MARDEN, 13.01.2008 22:56
vinni
Брандмауэр выключен. Порядок привязки интерфейсов в Висте я не обнаружил. Облазил все, что можно, но судя по всему, её попросту убрали.

Удалось решить проблему, путем добавления двух строчек в конфиги.
код:
route-method exe
route-delay 2

684. vinni, 13.01.2008 23:46
MARDEN
Удалось решить проблему, путем добавления двух строчек в конфиги.
Этого не может быть, т.к.:
  1. С Ваших слов: клиенты успешно подключаются (и пингуются)
  2. Маршрут присутствует: 10.8.0.0 255.255.255.0 10.8.0.2 10.8.0.1
Вероятно Вы или что-то напутали (как минимум в предоставленной инфе нестыковки: в конфиге "local 192.168.14.205", а в route такого интерфейса нет) или недоглядели. Ну а про route-method exe написано на первой странице. Я на это сразу смотрел, но ввиду 1 и 2 сделал очевидный вывод, что дело не в этом.

685. MARDEN, 14.01.2008 00:22
vinni
Да, вы правы. После этих строчек удалось "заставить видеть" только одну игру, путем выбора интерфейса 10.8.х.х. А вот другие игры по-прежнему "слепы". Отсутствие маршрута из-за того, что я просто отключился от интернета (он работает через PPPoE). Вот список маршрутов после включения интернета:
код:
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 On-link 192.168.14.205 21
10.8.0.0 255.255.255.0 On-link 10.8.0.1 4511
10.8.0.1 255.255.255.255 On-link 10.8.0.1 4511
10.8.0.255 255.255.255.255 On-link 10.8.0.1 4511
10.10.0.0 255.255.0.0 10.10.14.1 10.10.14.205 4246
10.10.14.0 255.255.255.0 On-link 10.10.14.205 4501
10.10.14.205 255.255.255.255 On-link 10.10.14.205 4501
10.10.14.255 255.255.255.255 On-link 10.10.14.205 4501
127.0.0.0 255.0.0.0 On-link 127.0.0.1 4531
127.0.0.1 255.255.255.255 On-link 127.0.0.1 4531
127.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
192.168.14.1 255.255.255.255 192.168.14.1 192.168.14.205 21
192.168.14.205 255.255.255.255 On-link 192.168.14.205 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 4531
224.0.0.0 240.0.0.0 On-link 10.8.0.1 4511
224.0.0.0 240.0.0.0 On-link 10.10.14.205 4502
224.0.0.0 240.0.0.0 On-link 192.168.14.205 21
255.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
255.255.255.255 255.255.255.255 On-link 10.8.0.1 4511
255.255.255.255 255.255.255.255 On-link 10.10.14.205 4501
255.255.255.255 255.255.255.255 On-link 192.168.14.205 276
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
10.10.0.0 255.255.0.0 10.10.14.1 1
===========================================================================

686. vinni, 14.01.2008 02:41
MARDEN
Завтра может быть будет под рукой Виста - гляну куда зарыли привязку интерфейсов. Но не обещаю.

687. MARDEN, 14.01.2008 12:13
vinni
Буду крайне признателен!

Да, я все-таки нашел этот пункт. Дело в том, что в проводнике по умолчанию отключено верхнее меню. После его включения удалось открыть дополнительные параметры:
http://savepic.ru/105302.png
Судя по списку, адаптер VPN идет первым, однако это не спасает положение

688. vinni, 14.01.2008 18:40
MARDEN
Дело в том, что в проводнике по умолчанию отключено верхнее меню.
А Вы не знали? В него можно войти и так - нажать Alt и строка меню появится.
Ну и это меню осталось в том же самом месте.
Ну а по сути пока больше предложений нет

689. MARDEN, 14.01.2008 19:12
vinni
Печально. А может ли влиять на эту ситуацию какие-нибудь службы? Вот например:
  • Вспомогательная служба IP
  • Группировка сетевых участников
  • Диспетчер удостоверения сетевых участников
  • Модуль поддержки NetBIOS через TCP/IP
  • Обозреватель компьютеров
  • Служба базовой фильтрации
  • Служба общего доступа к портам Net.Tcp
  • Службы терминалов
Часть из них запущена, часть - отключена.

690. vinni, 15.01.2008 11:43
MARDEN
Это зависит от Ваших игр и здесь оффтоп. NetBIOS и оборзеватель запущены, надеюсь?

691. --what?, 18.01.2008 04:12
Прошу помощи. Все сделал как надо, VPN заработал, со стороны клиентов пингуются все машины за сервером OpenVPN, а со стороны локальной сети, в которой сервер, пингуются только удаленный шлюз и клиент OpenVPN, остальные машины удаленной сети не пингуются. Проблема не в фаерволе, а в маршрутизации. Фактически проблема решается просто добавлением маршрута на удаленном DSL, но вот что то я уже совсем запутался...

Так вот из сети 192.168.1.0/24 пингуется удаленный DSL маршрутизатор c внешним IP xx.xx.xx.8/30 и внутренним 192.168.3.1, а также OpenVPN клиент в этой сети 192.168.3.10, а вот остальные клиенты 192.168.3.0/24 не пингуются.
На DSL рутере есть маршрут 192.168.1.0/24 192.168.3.10. Из сети 192.168.3.0/24 сеть 192.168.1.0/24 отлично пингуется, но не наоборот.

Сервер OpenVPN
код:

daemon openvpn
local 10.151.10.2
port 1194
proto udp
dev tun0

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
tls-auth /etc/openvpn/keys/ta.key 0

server 192.168.50.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.3.0 255.255.255.0"
push "route 192.168.20.0 255.255.255.0"

route 192.168.3.0 255.255.255.0
route 192.168.7.0 255.255.255.0
route 192.168.20.0 255.255.255.0

ccd-exclusive
client-config-dir /etc/openvpn/ccd
client-to-client
auth MD5
cipher BF-CBC
keepalive 10 120
comp-lzo
max-clients 10
user _openvpn
group _openvpn
persist-key
persist-tun
verb 3
mute 20
writepid /var/run/openvpn.pid
status /var/log/openvpn-status.log 10
log /var/log/openvpn.log


маршруты на сервере
код:

Internet:
Destination Gateway Flags Refs Use Mtu Interface
default qq.qq.qq.qq UGS 3 7699496 - xl0
10.151.10.0/30 link#4 UC 1 0 - ne3
10.151.10.1 00:90:1a:42:49:86 UHLc 3 4 - ne3
zz.zz.zz.225 10.151.10.1 UGHS 0 40347 - ne3
xx.xx.xx.8/30 10.151.10.1 UGS 1 335109 - ne3
yy.yy.yy.152/30 10.151.10.1 UGS 0 124266 - ne3
127/8 127.0.0.1 UGRS 0 0 33208 lo0
127.0.0.1 127.0.0.1 UH 3 1401255 33208 lo0
192.168.1/24 link#2 UC 54 0 - xl1
192.168.1.2 00:10:22:ff:75:76 UHLc 0 10238 - xl1
192.168.1.4 00:15:17:02:7f:90 UHLc 0 2401 - xl1
192.168.1.6 00:20:ed:51:1a:1a UHLc 0 24195 - xl1
192.168.1.7 00:10:22:ff:6e:79 UHLc 0 4 - xl1
192.168.1.8 00:a0:c9:42:64:ee UHLc 0 87 - xl1
192.168.1.9 00:20:ed:99:aa:20 UHLc 0 603186 - xl1
192.168.1.10 00:0a:48:12:f0:31 UHLc 0 933968 - xl1
192.168.1.29 00:01:6c:f5:d9:21 UHLc 0 12 - xl1
192.168.1.110 00:14:85:1c:51:8b UHLc 1 2672 - xl1
192.168.1.111 00:0f:ea:36:ab:2e UHLc 0 0 - xl1
192.168.1.112 00:80:48:1a:cc:d9 UHLc 0 76 - xl1
192.168.1.113 00:01:6c:e0:c4:de UHLc 0 0 - xl1
192.168.1.114 00:90:f5:0a:6e:0e UHLc 0 2 - xl1
192.168.1.115 00:15:e9:3d:3a:3a UHLc 0 0 - xl1
192.168.1.117 00:04:79:67:c2:3b UHLc 0 13 - xl1
192.168.1.119 00:19:21:9a:4e:a1 UHLc 0 3 - xl1
192.168.1.120 00:14:2a:b3:25:a3 UHLc 0 4159 - xl1
192.168.1.123 00:01:6c:f5:d9:33 UHLc 0 255 - xl1
192.168.1.124 00:16:17:dd:11:2a UHLc 0 11 - xl1
192.168.1.127 00:50:22:91:ba:78 UHLc 0 13 - xl1
192.168.1.129 00:0d:61:27:d2:b5 UHLc 0 113 - xl1
192.168.1.130 00:50:22:82:63:b9 UHLc 0 310 - xl1
192.168.1.132 00:50:22:98:a5:f0 UHLc 0 5 - xl1
192.168.1.134 00:14:85:2b:16:23 UHLc 0 12 - xl1
192.168.1.136 00:0f:ea:35:50:d1 UHLc 0 4 - xl1
192.168.1.138 00:0d:61:90:41:57 UHLc 0 0 - xl1
192.168.1.140 00:50:22:91:ba:7e UHLc 0 4 - xl1
192.168.1.141 00:50:22:d3:dc:36 UHLc 0 0 - xl1
192.168.1.144 00:0f:ea:30:e5:97 UHLc 0 14 - xl1
192.168.1.148 00:10:22:ff:75:8c UHLc 0 0 - xl1
192.168.1.149 00:16:ec:4c:e3:7b UHLc 0 12 - xl1
192.168.1.150 00:14:85:e6:fc:36 UHLc 0 0 - xl1
192.168.1.151 00:50:22:98:a5:f6 UHLc 0 0 - xl1
192.168.1.154 00:01:6c:f5:da:17 UHLc 0 1033 - xl1
192.168.1.155 00:80:48:1a:ee:cf UHLc 0 0 - xl1
192.168.1.157 00:02:44:72:5f:f3 UHLc 0 0 - xl1
192.168.1.159 00:0d:61:27:d2:f5 UHLc 0 0 - xl1
192.168.1.160 00:e0:18:38:39:63 UHLc 0 15 - xl1
192.168.1.161 00:e0:18:38:38:71 UHLc 0 24478 - xl1
192.168.1.162 00:01:6c:f5:d9:09 UHLc 0 677 - xl1
192.168.1.165 00:11:09:00:f8:79 UHLc 0 4 - xl1
192.168.1.166 00:e0:18:38:38:14 UHLc 0 13 - xl1
192.168.1.168 00:0f:ea:ff:ca:32 UHLc 0 409 - xl1
192.168.1.169 00:50:22:98:a5:ec UHLc 1 18 - xl1
192.168.1.170 00:00:e2:62:71:c8 UHLc 0 0 - xl1
192.168.1.171 00:0d:61:90:e6:16 UHLc 0 0 - xl1
192.168.1.172 00:14:85:28:d5:fd UHLc 0 0 - xl1
192.168.1.173 00:16:ec:13:45:3e UHLc 0 0 - xl1
192.168.1.174 00:50:22:39:55:2d UHLc 0 7 - xl1
192.168.1.175 00:02:44:59:ca:10 UHLc 0 57 - xl1
192.168.1.176 00:0f:ea:1c:9d:82 UHLc 0 11 - xl1
192.168.1.177 00:e0:4c:d5:5c:9d UHLc 0 24 - xl1
192.168.1.179 00:50:22:8d:89:9e UHLc 0 2 - xl1
192.168.1.182 00:0f:ea:ff:cd:6c UHLc 0 15 - xl1
192.168.3/24 192.168.50.2 UGS 0 67332 - tun0
192.168.7/24 192.168.50.2 UGS 0 0 - tun0
192.168.20/24 192.168.50.2 UGS 0 17 - tun0
192.168.27/24 link#3 UC 0 0 - xl2
192.168.50/24 192.168.50.2 UGS 0 82018 - tun0
192.168.50.2 192.168.50.1 UH 4 0 - tun0
qq.qq.qq.qq/30 link#1 UC 1 0 - xl0
qq.qq.qq.qq 00:07:b3:59:93:e0 UHLc 1 10 - xl0
224/4 127.0.0.1 URS 0 0 33208 lo0

маршрут на клиенте за сервером
код:

Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.1.3 0.0.0.0 UG 0 0 0 eth0


конфиг клиента OpenVPN
код:

dev tun
proto udp
remote 10.151.10.2
port 1194
client
resolv-retry infinite
ca ca.crt
cert client.crt
key client.key
tls-client
tls-auth ta.key 1
auth MD5
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
verb 3

маршруты с OpenVPN клиента удаленной сети