LINUX.ORG.RU
ФорумAdmin

OpenVPN, Connection Timed Out

 , ,


0

2

Итак, имеется:

1. Серверная машина

192.168.1.2 на ней висит OVPN сервер. Настроен ок (из локалки подключиться реально).

2. Роутер

локальный: 192.168.1.1, внешний: 12.34.56.78 порты проброшены. по внешнему адресу можно попасть на веб морду роутера. онлайн чекалка портов кажет, что 1194 открыт.

3. Клиент

сеть левая. настройки openvpn клиента корректные. брандмауэр отсутствует. при подключении пишет «Connection timed out». Собственно, WTF?

На сервере udp, на клиенте tcp.

Собственно, WTF?

Не, я реально не понимаю, что тут непонятного - «Connection timed out»

Вы когда пишите такую херь на форуме, вы правда считаете, что все может быть сделано правильно, но не работать? Эдакая магия может происходить, да? Что писать то - возьми и проверь сам, настрой клиента - подключись снаружи. 5 минут займет.

zgen ★★★★★
()
Ответ на: комментарий от CHIPOK

Лучше бы он конфиг клиента и сервера показал - больше пользы было бы.

Если не врет и на клиенте действительно ctm - то логи сервера будут молчать, хрен ли - никто ведь не подключался.

zgen ★★★★★
()

онлайн чекалка портов кажет, что 1194 открыт

а про другие порты что она говорит?

(как вообще работает эта онлайн чекалка?)

user_id_68054 ★★★★★
()
Ответ на: комментарий от zgen

Специально для вас:

client.ovpn


client


dev tun

proto tcp

remote 12.34.56.78 1194

resolv-retry infinite
nobind

persist-key
persist-tun

ca certs/ca.crt
cert certs/test.crt
key certs/test.key

cipher BF-CBC

verb 3

server.conf

port 1194
proto tcp

dev tun

ca    keys/ca.crt
cert  keys/server.crt
key   keys/server.key  # This file should be kept secret

dh keys/dh1024.pem

server 10.8.50.0 255.255.255.224

ifconfig-pool-persist ipp.txt

client-to-client

keepalive 10 120

cipher BF-CBC        # Blowfish (default)

max-clients 25

user nobody
group nogroup

persist-key
persist-tun

status openvpn-status.log

log         openvpn.log
log-append  openvpn.log

verb 3
jamesbin
() автор топика

проблема может быть например если есть ошибка при передачи фрагментированных IP-пакетов.

например если интернет-провайдер (на стороне клиента, или на стороне сервера. или и там и там) — *портит* процесс фрагментирования IP-пакетов.

попробуй в конфиг пропиши строчку:

fragment 1400

(и в конфиг клиент и в конфиг сервера)

user_id_68054 ★★★★★
()
Ответ на: комментарий от jamesbin

ну вот теперь возьми с клиента и telnet'ом проверь подключение на 1194

zgen ★★★★★
()

так как у тебя TCP — то я биру свой коммент обратно, про «fragment 1400» (и про фрагментацию)

user_id_68054 ★★★★★
()
Последнее исправление: user_id_68054 (всего исправлений: 1)
Ответ на: комментарий от user_id_68054

Ругнулся, что с tcp так нельзя. Ок, переиграл. Гоняю по udp. Теперь висит на этом этапе.

Sat Jan 24 19:09:29 2015 UDPv4 link local: [undef]
Sat Jan 24 19:09:29 2015 UDPv4 link remote [AF_INET]12.34.56.78:1194

NMAP scan:

Nmap scan report for 12.34.56.78
Host is up (0.089s latency).

PORT STATE SERVICE
1194/udp open|filtered openvpn 
jamesbin
() автор топика
Ответ на: комментарий от jamesbin

а с другие порты\сервисы — нормально пробрасываются? :-)

я понмиаю что глупый вопрос, конечно, был.. но он сам собой напрашивается..

по внешнему адресу можно попасть на веб морду роутера

имеется ввиду что web-морда роутера находится на «192.168.1.2» или «192.168.1.1» ?

--------------------------------------------------

а что будет, если например если если ты сделаешь:

fragment 1400
(протокол udp)

НО(!!) и при это заиспользуешь порт номер 53 вместо 1194 !

тоже самое будет?

или порт 443 (и протокол TCP, без «fragment 1400»)

user_id_68054 ★★★★★
()
Последнее исправление: user_id_68054 (всего исправлений: 3)
Ответ на: комментарий от user_id_68054

в качестве эксперимента (проверить, работает ли внешний IP) предложил роутеру «посветить» вебморду всему свету (12.34.56.78), да еще и по 80 порту.

Попробую поднять Apache, отпишусь.

jamesbin
() автор топика
Ответ на: комментарий от user_id_68054

Короче, западло было настраивать Apache, поставил tftp. Проблема та же. Таймаут.

jamesbin
() автор топика

Настрой на tcp обратно.
На клиенте:

telnet 12.34.56.78 1194
Пустой экран или же не подключается.

На сервере покажи вывод

sudo tcpdump -tpln | grep 1194
Вывод на сервере и клиенте:
sudo iptables-save

Nao ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.