LINUX.ORG.RU
ФорумAdmin

OpenVPN настройка и маршрутизация

 


0

1

1. ПЕРВЫЙ ОФИС. Роутер D-Link DIR-615 поднимает инет соединение (адрес роутера 192.168.1.1)
2. Машина на Debian выступает в качестве шлюза локальной сети, имеет два сетевых интерфейса: eth0=192.168.1.11 и eth1=192.168.0.1 (все компьютеры в сети имеют адрес 192.168.0.х)
3. На этой же машине установлен OpenVPN сервер, согласно инструкции: http://debian-help.ru/articles/ustanovka-nastroika-openvpn-servera-debian-6/
Конфиг сервера:

push "route 192.168.0.0 255.255.255.0"
tls-auth ta.key 0 
cipher DES-EDE3-CBC
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key  
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
verb 3
4. На роутере в разделе virtual server открываю порт 1194 UDP для адреса 192.168.1.11 и запускаю OpenVPN через команду:
/etc/init.d/openvpn start
5. ВТОРОЙ ОФИС. Клиентом OpenVPN выступает машина на windows, внутренний IP=172.17.10.100, подключена к роутеру напрямую.
Передаю ключи и сертификаты клиенту (кстати говоря файлы *.key не хотели даже открываться, но chmod 777 вроде решил данную проблему), создаю конфиг клиента:
client
port 1194
proto udp
dev tun
dev-node "VPN"
remote 78.85.32.29 1194
remote-cert-tls server
ca ca.crt
cert user.crt
key user.key
tls-auth ta.key 1
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
ping-restart 60
ping 10
comp-lzo
persist-key
persist-tun
cipher DES-EDE3-CBC
status "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log"
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
verb 3
mute 20
6. Клиент НЕ подключается к серверу
Лог клиента:
Thu Feb 04 19:42:21 2016 OpenVPN 2.3.10 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Feb  1 2016
Thu Feb 04 19:42:21 2016 Windows version 6.2 (Windows 8 or greater)
Thu Feb 04 19:42:21 2016 library versions: OpenSSL 1.0.1r  28 Jan 2016, LZO 2.09
Thu Feb 04 19:42:21 2016 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Thu Feb 04 19:42:21 2016 Need hold release from management interface, waiting...
Thu Feb 04 19:42:22 2016 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Thu Feb 04 19:42:22 2016 MANAGEMENT: CMD 'state on'
Thu Feb 04 19:42:22 2016 MANAGEMENT: CMD 'log all on'
Thu Feb 04 19:42:22 2016 MANAGEMENT: CMD 'hold off'
Thu Feb 04 19:42:22 2016 MANAGEMENT: CMD 'hold release'
Thu Feb 04 19:42:22 2016 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Thu Feb 04 19:42:22 2016 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Feb 04 19:42:22 2016 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Feb 04 19:42:22 2016 Socket Buffers: R=[65536->65536] S=[65536->65536]
Thu Feb 04 19:42:22 2016 UDPv4 link local (bound): [undef]
Thu Feb 04 19:42:22 2016 UDPv4 link remote: [AF_INET]78.85.32.29:1194
Thu Feb 04 19:42:22 2016 MANAGEMENT: >STATE:1454600542,WAIT,,,
Thu Feb 04 19:43:22 2016 [UNDEF] Inactivity timeout (--ping-restart), restarting
Thu Feb 04 19:43:22 2016 SIGUSR1[soft,ping-restart] received, process restarting
Thu Feb 04 19:43:22 2016 MANAGEMENT: >STATE:1454600602,RECONNECTING,ping-restart,,
Thu Feb 04 19:43:22 2016 Restart pause, 2 second(s)
Thu Feb 04 19:43:24 2016 Socket Buffers: R=[65536->65536] S=[65536->65536]
Thu Feb 04 19:43:24 2016 UDPv4 link local (bound): [undef]
Thu Feb 04 19:43:24 2016 UDPv4 link remote: [AF_INET]78.85.32.29:1194
Thu Feb 04 19:43:24 2016 MANAGEMENT: >STATE:1454600604,WAIT,,,
Лог сервера
Fri Feb  5 01:09:29 2016 OpenVPN 2.2.1 i486-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Dec  1 2014
Fri Feb  5 01:09:29 2016 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Fri Feb  5 01:09:29 2016 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Feb  5 01:09:29 2016 Diffie-Hellman initialized with 1024 bit key
Fri Feb  5 01:09:29 2016 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Fri Feb  5 01:09:29 2016 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Feb  5 01:09:29 2016 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Feb  5 01:09:29 2016 TLS-Auth MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Fri Feb  5 01:09:29 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Fri Feb  5 01:09:29 2016 ROUTE default_gateway=192.168.1.1
Fri Feb  5 01:09:29 2016 TUN/TAP device tun0 opened
Fri Feb  5 01:09:29 2016 TUN/TAP TX queue length set to 100
Fri Feb  5 01:09:29 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Feb  5 01:09:29 2016 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Fri Feb  5 01:09:29 2016 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2
Fri Feb  5 01:09:29 2016 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Feb  5 01:09:29 2016 UDPv4 link local (bound): [undef]
Fri Feb  5 01:09:29 2016 UDPv4 link remote: [undef]
Fri Feb  5 01:09:29 2016 MULTI: multi_init called, r=256 v=256
Fri Feb  5 01:09:29 2016 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Fri Feb  5 01:09:29 2016 IFCONFIG POOL LIST
Fri Feb  5 01:09:29 2016 Initialization Sequence Completed
Кажется сервер даже не видит клиента... Требуется сделать так, что бы все компьютеры из первого офиса (192.168.0.х) видели все компьютеры из второго офиса (172.17.10.х) по их внутренним IP. Помогите пожалуйста.



Последнее исправление: IceTony (всего исправлений: 3)

Требуется сделать так, что бы все компьютеры из первого офиса (192.168.0.х) видели все компьютеры из второго офиса

это называется site-to-site vpn

а по теме смотри для начала tcpdump долетают ли пакеты до сервера от клиента на порт на котором он слушает, отбрось эту часть

jasper88
()

Машина на Debian выступает в качестве шлюза локальной сети, имеет два сетевых интерфейса: eth0=192.168.1.11 и eth1=192.168.0.1 (все компьютеры в сети имеют адрес 192.168.0.х)

я как-то не понимаю как шлюз может торчать двумя сетевками в интранет подсети....

jasper88
()
Ответ на: комментарий от jasper88

прослушал через tcpdump, да, пакеты от клиента идут на порт 1194

IceTony
() автор топика
Ответ на: комментарий от jasper88

на dlink настроен проброс порта 1194 UDP на внутренний адрес 192.168.1.11 (это и есть шлюз, он же OpenVPN сервер)

IceTony
() автор топика

Может еще покажите, что пишет сервер при попытке соединения клиента?

anc ★★★★★
()
Ответ на: комментарий от anc

Увеличил уровень логирования до verb=6 и вот что показало:
Клиент:

Fri Feb 05 08:24:51 2016 Current Parameter Settings:
Fri Feb 05 08:24:51 2016   config = 'user.ovpn'
Fri Feb 05 08:24:51 2016   mode = 0
Fri Feb 05 08:24:51 2016   show_ciphers = DISABLED
Fri Feb 05 08:24:51 2016   show_digests = DISABLED
Fri Feb 05 08:24:51 2016   show_engines = DISABLED
Fri Feb 05 08:24:51 2016   genkey = DISABLED
Fri Feb 05 08:24:51 2016   key_pass_file = '[UNDEF]'
Fri Feb 05 08:24:51 2016   show_tls_ciphers = DISABLED
Fri Feb 05 08:24:51 2016 Connection profiles [default]:
Fri Feb 05 08:24:51 2016   proto = udp
Fri Feb 05 08:24:51 2016   local = '[UNDEF]'
Fri Feb 05 08:24:51 2016   local_port = 1194
Fri Feb 05 08:24:51 2016   remote = '78.85.32.29'
Fri Feb 05 08:24:51 2016   remote_port = 1194
Fri Feb 05 08:24:51 2016   remote_float = DISABLED
Fri Feb 05 08:24:51 2016   bind_defined = DISABLED
Fri Feb 05 08:24:51 2016   bind_local = ENABLED
Fri Feb 05 08:24:51 2016   connect_retry_seconds = 5
Fri Feb 05 08:24:51 2016   connect_timeout = 10
Fri Feb 05 08:24:51 2016 NOTE: --mute triggered...
Fri Feb 05 08:24:51 2016 268 variation(s) on previous 20 message(s) suppressed by --mute
Fri Feb 05 08:24:51 2016 OpenVPN 2.3.10 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Feb  1 2016
Fri Feb 05 08:24:51 2016 Windows version 6.2 (Windows 8 or greater)
Fri Feb 05 08:24:51 2016 library versions: OpenSSL 1.0.1r  28 Jan 2016, LZO 2.09
Fri Feb 05 08:24:51 2016 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Fri Feb 05 08:24:51 2016 Need hold release from management interface, waiting...
Fri Feb 05 08:24:52 2016 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Fri Feb 05 08:24:52 2016 MANAGEMENT: CMD 'state on'
Fri Feb 05 08:24:52 2016 MANAGEMENT: CMD 'log all on'
Fri Feb 05 08:24:52 2016 MANAGEMENT: CMD 'hold off'
Fri Feb 05 08:24:52 2016 MANAGEMENT: CMD 'hold release'
Fri Feb 05 08:24:52 2016 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Fri Feb 05 08:24:52 2016 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Feb 05 08:24:52 2016 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Feb 05 08:24:52 2016 LZO compression initialized
Fri Feb 05 08:24:52 2016 Control Channel MTU parms [ L:1574 D:1184 EF:66 EB:0 ET:0 EL:3 ]
Fri Feb 05 08:24:52 2016 Socket Buffers: R=[65536->65536] S=[65536->65536]
Fri Feb 05 08:24:52 2016 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:143 ET:32 EL:3 AF:3/1 ]
Fri Feb 05 08:24:52 2016 Local Options String: 'V4,dev-type tun,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 1,cipher DES-EDE3-CBC,auth SHA1,keysize 192,tls-auth,key-method 2,tls-client'
Fri Feb 05 08:24:52 2016 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 0,cipher DES-EDE3-CBC,auth SHA1,keysize 192,tls-auth,key-method 2,tls-server'
Fri Feb 05 08:24:52 2016 Local Options hash (VER=V4): '785d27b4'
Fri Feb 05 08:24:52 2016 Expected Remote Options hash (VER=V4): 'faad5c3e'
Fri Feb 05 08:24:52 2016 UDPv4 link local (bound): [undef]
Fri Feb 05 08:24:52 2016 UDPv4 link remote: [AF_INET]78.85.32.29:1194
Fri Feb 05 08:24:52 2016 MANAGEMENT: >STATE:1454646292,WAIT,,,
Fri Feb 05 08:24:52 2016 UDPv4 WRITE [42] to [AF_INET]78.85.32.29:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #1 ] [ ] pid=0 DATA len=0
Fri Feb 05 08:24:54 2016 UDPv4 WRITE [42] to [AF_INET]78.85.32.29:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #2 ] [ ] pid=0 DATA len=0
Fri Feb 05 08:24:59 2016 UDPv4 WRITE [42] to [AF_INET]78.85.32.29:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #3 ] [ ] pid=0 DATA len=0
Fri Feb 05 08:25:07 2016 UDPv4 WRITE [42] to [AF_INET]78.85.32.29:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #4 ] [ ] pid=0 DATA len=0
Fri Feb 05 08:25:23 2016 UDPv4 WRITE [42] to [AF_INET]78.85.32.29:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #5 ] [ ] pid=0 DATA len=0
Fri Feb 05 08:25:52 2016 [UNDEF] Inactivity timeout (--ping-restart), restarting
Fri Feb 05 08:25:52 2016 TCP/UDP: Closing socket
Fri Feb 05 08:25:52 2016 SIGUSR1[soft,ping-restart] received, process restarting
Fri Feb 05 08:25:52 2016 MANAGEMENT: >STATE:1454646352,RECONNECTING,ping-restart,,
Fri Feb 05 08:25:52 2016 Restart pause, 2 second(s)
Fri Feb 05 08:25:54 2016 Re-using SSL/TLS context
Fri Feb 05 08:25:54 2016 LZO compression initialized
Fri Feb 05 08:25:54 2016 Control Channel MTU parms [ L:1574 D:1184 EF:66 EB:0 ET:0 EL:3 ]
Fri Feb 05 08:25:54 2016 Socket Buffers: R=[65536->65536] S=[65536->65536]
Fri Feb 05 08:25:54 2016 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:143 ET:32 EL:3 AF:3/1 ]
Fri Feb 05 08:25:54 2016 Local Options String: 'V4,dev-type tun,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 1,cipher DES-EDE3-CBC,auth SHA1,keysize 192,tls-auth,key-method 2,tls-client'
Fri Feb 05 08:25:54 2016 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 0,cipher DES-EDE3-CBC,auth SHA1,keysize 192,tls-auth,key-method 2,tls-server'
Fri Feb 05 08:25:54 2016 Local Options hash (VER=V4): '785d27b4'
Fri Feb 05 08:25:54 2016 Expected Remote Options hash (VER=V4): 'faad5c3e'
Fri Feb 05 08:25:54 2016 UDPv4 link local (bound): [undef]
Fri Feb 05 08:25:54 2016 UDPv4 link remote: [AF_INET]78.85.32.29:1194
Fri Feb 05 08:25:54 2016 MANAGEMENT: >STATE:1454646354,WAIT,,,
Fri Feb 05 08:25:54 2016 UDPv4 WRITE [42] to [AF_INET]78.85.32.29:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #1 ] [ ] pid=0 DATA len=0
Fri Feb 05 08:25:56 2016 UDPv4 WRITE [42] to [AF_INET]78.85.32.29:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #2 ] [ ] pid=0 DATA len=0
Fri Feb 05 08:26:00 2016 UDPv4 WRITE [42] to [AF_INET]78.85.32.29:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #3 ] [ ] pid=0 DATA len=0
Fri Feb 05 08:26:08 2016 UDPv4 WRITE [42] to [AF_INET]78.85.32.29:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #4 ] [ ] pid=0 DATA len=0
Fri Feb 05 08:26:24 2016 UDPv4 WRITE [42] to [AF_INET]78.85.32.29:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #5 ] [ ] pid=0 DATA len=0
Fri Feb 05 08:26:55 2016 [UNDEF] Inactivity timeout (--ping-restart), restarting
Fri Feb 05 08:26:55 2016 TCP/UDP: Closing socket
Файл openvpn-status.log почему то пустой:
OpenVPN CLIENT LIST
Updated,Fri Feb  5 08:41:47 2016
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
GLOBAL STATS
Max bcast/mcast queue length,0
END

IceTony
() автор топика
Ответ на: комментарий от IceTony

var/log/openvpn.log

Fri Feb  5 05:51:10 2016 us=678239 OpenVPN 2.2.1 i486-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Dec  1 2014
Fri Feb  5 05:51:10 2016 us=678651 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Fri Feb  5 05:51:10 2016 us=678732 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Feb  5 05:51:10 2016 us=686173 Diffie-Hellman initialized with 1024 bit key
Fri Feb  5 05:51:10 2016 us=688297 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Fri Feb  5 05:51:10 2016 us=688400 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Feb  5 05:51:10 2016 us=688461 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Feb  5 05:51:10 2016 us=688524 TLS-Auth MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Fri Feb  5 05:51:10 2016 us=688610 Socket Buffers: R=[163840->131072] S=[163840->131072]
Fri Feb  5 05:51:10 2016 us=688975 ROUTE default_gateway=192.168.1.1
Fri Feb  5 05:51:10 2016 us=692169 TUN/TAP device tun0 opened
Fri Feb  5 05:51:10 2016 us=692292 TUN/TAP TX queue length set to 100
Fri Feb  5 05:51:10 2016 us=692365 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Feb  5 05:51:10 2016 us=692450 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Fri Feb  5 05:51:10 2016 us=703565 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2
Fri Feb  5 05:51:10 2016 us=716838 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Feb  5 05:51:10 2016 us=719820 UDPv4 link local (bound): [undef]
Fri Feb  5 05:51:10 2016 us=720017 UDPv4 link remote: [undef]
Fri Feb  5 05:51:10 2016 us=720089 MULTI: multi_init called, r=256 v=256
Fri Feb  5 05:51:10 2016 us=720251 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Fri Feb  5 05:51:10 2016 us=720320 IFCONFIG POOL LIST
Fri Feb  5 05:51:10 2016 us=720417 Initialization Sequence Completed

IceTony
() автор топика
Ответ на: комментарий от IceTony

Еще раз:
«Может еще покажите, что пишет сервер при попытке соединения клиента?»
А то как-то:

Fri Feb 05 08:26:55 2016 TCP/UDP: Closing socket
в части времени !=
Fri Feb  5 05:51:10 2016 us=720417 Initialization Sequence Completed
даже если предположить что они в разных часовых поясах

anc ★★★★★
()
Ответ на: комментарий от anc

Время настроил, такая картина: в логе сервере последняя запись:

Fri Feb  5 10:51:57 2016 us=627262 Initialization Sequence Completed
В логе клиента первая запись:
Fri Feb 05 10:52:14 2016 Current Parameter Settings:
Следовательно, сервер не видит подключений от клиента? Но tcpdump видит пакеты от клиента. Куда копать?

IceTony
() автор топика
Ответ на: комментарий от IceTony

Следовательно, сервер не видит подключений от клиента? Но tcpdump видит пакеты от клиента. Куда копать?

По тому же tcpdump сервер отвечает? Лучше конечно выложить сюда его дампы. И дампы с роутера если есть возможность.

anc ★★★★★
()
Ответ на: комментарий от IceTony

да, это косяк, на сервере не верно настроено время)

Бить вас за это надо, долго и мучительно больно :) Тем более на серверной части. :(
Одна из первых команд которую я даю на «вскрытой» машинке, это ntpdate -b по_настроению & hwclock --systohc, и вам того же советую.

anc ★★★★★
()
Ответ на: комментарий от anc

tcpdump src port 1194

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
11:27:17.358559 IP 91.146.56.29.openvpn > 192.168.1.11.openvpn: UDP, length 42
11:27:21.678346 IP 91.146.56.29.openvpn > 192.168.1.11.openvpn: UDP, length 42
11:27:29.585231 IP 91.146.56.29.openvpn > 192.168.1.11.openvpn: UDP, length 42
11:27:45.551119 IP 91.146.56.29.openvpn > 192.168.1.11.openvpn: UDP, length 42
11:28:17.206558 IP 91.146.56.29.openvpn > 192.168.1.11.openvpn: UDP, length 42
11:28:19.325321 IP 91.146.56.29.openvpn > 192.168.1.11.openvpn: UDP, length 42
11:28:23.565839 IP 91.146.56.29.openvpn > 192.168.1.11.openvpn: UDP, length 42
11:28:31.393652 IP 91.146.56.29.openvpn > 192.168.1.11.openvpn: UDP, length 42
11:28:47.368889 IP 91.146.56.29.openvpn > 192.168.1.11.openvpn: UDP, length 42
11:29:19.364166 IP 91.146.56.29.openvpn > 192.168.1.11.openvpn: UDP, length 42
11:29:21.592988 IP 91.146.56.29.openvpn > 192.168.1.11.openvpn: UDP, length 42
11:29:26.053511 IP 91.146.56.29.openvpn > 192.168.1.11.openvpn: UDP, length 42
11:29:33.999441 IP 91.146.56.29.openvpn > 192.168.1.11.openvpn: UDP, length 42
11:29:49.202085 IP 91.146.56.29.openvpn > 192.168.1.11.openvpn: UDP, length 42
11:30:21.977024 IP 91.146.56.29.openvpn > 192.168.1.11.openvpn: UDP, length 42
11:30:23.175681 IP 91.146.56.29.openvpn > 192.168.1.11.openvpn: UDP, length 42
11:30:27.976172 IP 91.146.56.29.openvpn > 192.168.1.11.openvpn: UDP, length 42
11:30:35.637050 IP 91.146.56.29.openvpn > 192.168.1.11.openvpn: UDP, length 42
18 packets captured
19 packets received by filter
0 packets dropped by kernel
в роутере, в разделе status-internet sessions:
Local	NAT	Internet	Protocol	State	Dir	Time Out
192.168.1.11:53643	53643	91.146.56.29:62832	UDP	-	OUT	179

IceTony
() автор топика
Ответ на: комментарий от IceTony

Это

11:30:35.637050 IP 91.146.56.29.openvpn > 192.168.1.11.openvpn: UDP, length 42
на сервере с openvpn я надеюсь?
Так он у вас и не отвечает, он вообще работает?
ЗЫ И еще, не знаю почему, но читая эту тему все больше склоняет на dh - точно все правильно сделано и скопировано?

anc ★★★★★
()
Ответ на: комментарий от anc

Да, tcpdump запускал на сервере. Я уже тоже начинаю подозревать что сам сервер не работает) Так, давайте порядку, я запускаю команду: service openvpn start, на что получаю:

[ ok ] Starting virtual private network daemon: server.
ОК- горит зеленым.

IceTony
() автор топика
Ответ на: комментарий от anc

На счет сертификатов и ключей, вроде все делал по инструкции. Единственное только,когда перекидывал *.key-файлы клиенту, они не копировались из-за прав, пришлось выполнить chmod 777, это ведь никак не влияет на них?
Можно попробовать сделать все с нуля, только подскажите мне как перед этим удалить openvpn под чистую?

IceTony
() автор топика
Ответ на: комментарий от IceTony

скорее всего что-то не так или с сертификатами или DH, так как сервер поднимается и на него приходят пакеты инициализации сессии

jasper88
()
Ответ на: комментарий от jasper88

Ответьте на пару вопросов выше пожалуйста)

IceTony
() автор топика
Ответ на: комментарий от IceTony

Единственное только,когда перекидывал *.key-файлы клиенту, они не копировались из-за прав, пришлось выполнить chmod 777, это ведь никак не влияет на них?

Да, так и должно быть. Вы же это делали надеюсь на копии файлов?

anc ★★★★★
()
Ответ на: комментарий от IceTony

Эм, нет, на оригиналах))))

Хм... а простите это вы зачем именно так делали? Я вот честно говоря боюсь предположить что еще сделали.

anc ★★★★★
()
Ответ на: комментарий от anc

По неопытности, я думал что если проблема будет в ключах, логи об этом предуппредят, но там ни словах о ключах нет

IceTony
() автор топика
Ответ на: комментарий от IceTony

Мне действительно интересно стало «а простите это вы зачем именно так делали?»
Не поясните?

anc ★★★★★
()
Ответ на: комментарий от anc

Создал заново все сертификаты, сделал копии *.key-файлов, на копии chmod 777, передал клиенту, подключаюсь к серверу - ничего не поменялось, все те же ошибки...

IceTony
() автор топика
Ответ на: комментарий от IceTony

Если только начинаете экспериментировать, забэкапьте каталог /etc/openvpn, потом вынесете все что там наделали и повторите сначала по инструкции (не пропуская, а то иногда свойственно ньюфагам пропустить пару абзацев думая что все сделали по инструкции :) )

anc ★★★★★
()
Ответ на: комментарий от arsik
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
IceTony
() автор топика
Ответ на: комментарий от IceTony

Мальчик, ты так и будешь мне по одному орешку носить? (с) 1
Я тащюсь зеленый как ты ныряешь (с) 2
Эммм вот можно было с этого (у меня там еще 100500 правил iptables) начать, а не с «OpenVPN настройка и маршрутизация» ?

iptables -I INPUT -p udp --dport 1194 -j ACCEPT
iptables -I OUTPUT -p udp --sport 1194 -j ACCEPT

как-то так

anc ★★★★★
()
Ответ на: комментарий от IceTony

Чувак, ты решил вообще не напрягаться?
«Клиент не подключается» и все, сидишь себе довольный, щас пацаны будут тебя умолять показать логи и tcpdump.

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от IceTony

Чел, ты буковку I от A отличаешь?

anc ★★★★★
()
Ответ на: комментарий от IceTony

если ты добавляешь правило через iptables-save тогда должно иметь вид

iptables -I INPUT -p udp --dport 1194 -j ACCEPT

если напрямую в конфиг то

-A INPUT -p udp --dport 1194 -j ACCEPT

jasper88
()
Ответ на: комментарий от jasper88

просто зачем плодить ненужные правила

Задача «найти пуговицу» что бы у ТС заработал openvpn. Шо там он наплодил в правилах, это отдельный топик, решаем конкретную задачу.

anc ★★★★★
()
Ответ на: комментарий от jasper88

Эврика! после

iptables -I INPUT -p udp --dport 1194 -j ACCEPT
клиент подключился к серверу!
Итак, сервер пингует клиент по адресу 10.8.0.6, но клиент не пингует сервер по адресу 10.8.0.1

IceTony
() автор топика
Ответ на: комментарий от IceTony

Машина на которой установлен OpenVPN сервер выступает в качестве шлюза локальной сети, имеет два сетевых интерфейса: eth0=192.168.1.11 и eth1=192.168.0.1 (все компьютеры в сети имеют адрес 192.168.0.х). Как сделать так, что бы все компьютеры из одного офиса (192.168.0.0) видели все компьютеры из другого офиса (172.17.10.0) и наоборот?

IceTony
() автор топика
Ответ на: комментарий от IceTony

Маршруты настрой в одну сторону он у тебя есть. push «route 192.168.0.0 255.255.255.0» - это клиенту пропишется. В другую сторону, при помощи команды iroute вроде.

arsik
()
Ответ на: комментарий от arsik

ЗЫ Но нужно знать какая подсеть на стороне клиента.

arsik
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.