LINUX.ORG.RU
ФорумAdmin

Проблемы с подключением openvpn-клиента

 


0

1

Есть openvpn на сервере, есть клиентская часть на винде. Клиент подключается, получает адрес в соответствии с настройками, выставленными для него на сервере, но на сервере не создается устройство tun. Один tun-адаптер на сервере присутствует всегда, а при подключении клиента другого не появляется. Куда копать?

На сервере при запущенном опенвпн сервере УЖЕ должен быть тун. И он всегда один, кроме случаев когда client-to-client.

Конфиги сервера и клиента в студию.
Выхлоп логов в студию.

tazhate ★★★★★
()

Клиент подключается, получает адрес в соответствии с настройками, выставленными для него на сервере

значит работает, что не так?

на сервере не создается устройство tun.

и не должно

xtraeft ★★☆☆
()
Ответ на: комментарий от tazhate

Конфиги на сервере:

# cat /etc/openvpn/openvpn.conf

dev tun
server 10.10.100.0 255.255.255.0

tls-server
dh /usr/share/doc/openvpn/examples/sample-keys/dh1024.pem
ca /usr/share/doc/openvpn/examples/sample-keys/ca.crt
cert /usr/share/doc/openvpn/examples/sample-keys/server.crt
key /usr/share/doc/openvpn/examples/sample-keys/server.key
client-config-dir /etc/openvpn/ccd

# cat /etc/openvpn/ccd/Vsevolod 
ifconfig-push 10.10.100.1.10.10.100.2

Конфиг на клиенте:

client
dev tun
proto udp
remote xx.xx.xx.xx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
comp-lzo
verb 4

лог на клиенте:

http://paste.org.ru/?02yngo

лог на сервере:

http://paste.org.ru/?kzpmlf

pianolender ★★★
() автор топика
Ответ на: комментарий от pianolender

А в конфиге то ты этого не написал.
Не стоит опираться на дефолтные параметры.


После подключения клиента он пингует внутренний айпи сервера?

tazhate ★★★★★
()
Ответ на: комментарий от tazhate

Почему это? Я хочу не объединить сеть за виндой с сетью на сервере, а получить в нее доступ.

pianolender ★★★
() автор топика
Ответ на: комментарий от tazhate
# ifconfig 
eth0      Link encap:Ethernet  HWaddr 00:0c:29:7e:c6:3c  
          inet addr:192.168.254.91  Bcast:192.168.254.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fe7e:c63c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:180823 errors:0 dropped:0 overruns:0 frame:0
          TX packets:160840 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:18960280 (18.0 MiB)  TX bytes:29197905 (27.8 MiB)
          Interrupt:18 Base address:0x2000 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:10 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:728 (728.0 B)  TX bytes:728 (728.0 B)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.10.100.1  P-t-P:10.10.100.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
pianolender ★★★
() автор топика
Ответ на: комментарий от tazhate

Ок, это понял.

Нужна теперь связь.

В винде почему-то в маршрутах бардак какой-то, сейчас попробую почистить

pianolender ★★★
() автор топика
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрик
          0.0.0.0          0.0.0.0     172.22.50.34      172.22.1.11     11
      10.10.100.0    255.255.255.0      10.10.100.6      10.10.100.5     30
      10.10.100.0  255.255.255.252         On-link       10.10.100.5     31
      10.10.100.3  255.255.255.255         On-link       10.10.100.5    286
      10.10.100.4  255.255.255.252         On-link       10.10.100.5    286
      10.10.100.5  255.255.255.255         On-link       10.10.100.5    286
      10.10.100.7  255.255.255.255         On-link       10.10.100.5    286
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
       172.22.0.0      255.255.0.0         On-link       172.22.1.11    266
      172.22.1.11  255.255.255.255         On-link       172.22.1.11    266
   172.22.255.255  255.255.255.255         On-link       172.22.1.11    266
    192.168.254.0    255.255.255.0       172.22.0.1      172.22.1.11     11
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       172.22.1.11    266
        224.0.0.0        240.0.0.0         On-link       10.10.100.5    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       172.22.1.11    266
  255.255.255.255  255.255.255.255         On-link       10.10.100.5    286
pianolender ★★★
() автор топика
Ответ на: комментарий от pianolender

В винде почему-то в маршрутах бардак какой-то, сейчас попробую почистить

Проверь фраер на винде и тд. Проблема в ней, собсна. Проверь не совпадают ли подсети на винде и в впне.

tazhate ★★★★★
()
Ответ на: комментарий от pianolender

ifconfig-push 10.10.100.1.10.10.100.2


Ты лишнюю точку поставил.
Должно быть так:

ifconfig-push 10.10.100.1 10.10.100.2

да и вапще нарушена топология.
Правильно так:

ifconfig-push 10.10.100.4 10.10.100.1
То есть сначала айпи клиента, потом гейтвей. гейт у тебя, судя по ifconfig - 10.10.100.1

tazhate ★★★★★
()
Последнее исправление: tazhate (всего исправлений: 1)
Ответ на: комментарий от tazhate

Проверь фраер на винде и тд

отключен

Проверь не совпадают ли подсети на винде и в впне

не совпадают - там 172.22..., из которой у нее дефолт роут (видно в таблице маршрутизации), а тут 10.10...

pianolender ★★★
() автор топика
Ответ на: комментарий от pianolender

А ничего, что сервер себе эти 1 и 2 взял?

Я опечатался. И уже поправил.

Я поменял на 5 и 6 (кстати, клиент и так их брал).

На 6 и 5!

tazhate ★★★★★
()
Ответ на: комментарий от pianolender

Там вообще нельзя ставить 1 и 4 - в опенвпн концы туннеля должны быть в одной сетке /30

Нет. Можно поставить спокойно 10.0.0.100 клиенту и 10.0.0.1 гейтом. Линуксу пофиг, а вот венда будет ругаться, да.

tazhate ★★★★★
()
Последнее исправление: tazhate (всего исправлений: 2)
Ответ на: комментарий от tazhate

На 6 и 5!

А если не совпадает с адресом сервера, то не пофиг ли? Поменял, не спасло.

ip route
10.10.100.2 dev tun0  proto kernel  scope link  src 10.10.100.1 
10.10.100.0/24 via 10.10.100.2 dev tun0 
192.168.254.0/24 dev eth0  proto kernel  scope link  src 192.168.254.91 
default via 192.168.254.1 dev eth0 

Таблица на сервере. Как сервер должен понять, куда слать пакеты на 10.10.100.6/30, если в этой сети у него нет ни одного интерфейса?

pianolender ★★★
() автор топика
Ответ на: комментарий от tazhate

Вот в pptp создается tunX с адресом xxx1 p-t-p xxx2 под каждого клиента (на которых эти адреса выглядят, соответственно, наоборот).

Почему тут не так?

pianolender ★★★
() автор топика
Ответ на: комментарий от pianolender

Как сервер должен понять

man openvpn

Я тебе уже написал, как сделать:
ifconfig-push 10.10.100.6 10.10.100.5

После этого рестарти и сервер и клиента впна, пробовуй пинговать 10.10.100.5 и 10.10.100.1 и натрави tcpdump -n -i tun0

tazhate ★★★★★
()
Ответ на: комментарий от tazhate

пробовуй пинговать 10.10.100.5 и 10.10.100.1

пингуя с клиента с 6 адресом 1 адрес, получаю dhu

обратно - молчит просто.

pianolender ★★★
() автор топика
Ответ на: комментарий от xtraeft

что не так

пинга нет с клиента на сервер, вот что.

pianolender ★★★
() автор топика
Ответ на: комментарий от tazhate
#iptables -vnL
Chain INPUT (policy [b]ACCEPT[/b] 5879 packets, 523K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 5879  523K LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 

Chain FORWARD (policy [b]ACCEPT[/b] 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy [b]ACCEPT[/b] 4916 packets, 803K bytes)
 pkts bytes target     prot opt in     out     source               destination 
pianolender ★★★
() автор топика
Ответ на: комментарий от tazhate
# sysctl -p
net.ipv4.ip_forward = 1

На винде? Он по дефолту пинги не разрешает.

Я в курсе. В винде брандмауера тоже нет, я бы его убил сто раз уже, если бы был включен.

pianolender ★★★
() автор топика
Ответ на: комментарий от tazhate

Ясно все.

Двадцать раз этот openvpn «с полпинка настраивается» - весь день убил.

Валю с работы ждут другие дела.

Спасибо за помощь, продолжу, возможно, завтра.

pianolender ★★★
() автор топика
Ответ на: комментарий от pianolender

Двадцать раз этот openvpn «с полпинка настраивается» - весь день убил.

Я всегада заводил его сразу. То, что у тебя конфиги на половину не написаны - не значит, что с опенвпном что-то не так.

tazhate ★★★★★
()
Ответ на: комментарий от pianolender

Давно pptp создаёт tunX интерфейсы?

Попробуйте «topology subnet» на сервере и клиенте.

На сервере с помощью tcpdump на физическом инерфейсе убедитесь, что udp-пакеты (порт 1194) от винды приходят.

mky ★★★★★
()
Ответ на: комментарий от pianolender

Двадцать раз этот openvpn «с полпинка настраивается» - весь день убил.

он и настраивается с полпинка.

xtraeft ★★☆☆
()
Последнее исправление: xtraeft (всего исправлений: 1)
Ответ на: комментарий от tazhate

Меняй на tap.

нахрена ему тап?

В винде тебе тун НЕ нужен.

для его целей tun в винде ему отлично подходит

xtraeft ★★☆☆
()
Последнее исправление: xtraeft (всего исправлений: 1)

почитав тред, могу посоветовать только почитать официальную документацию по openvpn дабы избавиться от каши в голове

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

официальную документацию

Пытался. Это как раз каша ещё та.

pianolender ★★★
() автор топика
Ответ на: комментарий от tazhate

Если вы не смогли сходу сказать, что не так, значит, конфиги вы пишете не сами, а берете дефолтные на доработку, и все опции наизусть не знаете.

Мои конфиги «на половину не написаны» потому, что я не хочу иметь ни одной опции, про которую я не знаю, что она делает.

не значит, что с опенвпном что-то не так

ну да, не так что-то у меня в конфигах. А что?

pianolender ★★★
() автор топика
Ответ на: комментарий от pianolender

Это как раз каша ещё та.

вот это чудеса, у всех получается - а у тебя нет.
и впрямь документация видимо виновата.

ну да, не так что-то у меня в конфигах. А что?

на первый взгляд у тебя все нормально с конфигами, не затруднит тебя выложить текущую версию конфигов сервера и клиента?
вообще, openvpn сервер заведется даже с дефолтным конфигом и пинги от клиента уж точно будут ходить

xtraeft ★★☆☆
()
Последнее исправление: xtraeft (всего исправлений: 1)
Ответ на: комментарий от xtraeft

пинги от клиента уж точно будут ходить

и таки не ходят.

не затруднит тебя выложить текущую версию конфигов сервера и клиента?

не менял, только verb на 7 поменял

pianolender ★★★
() автор топика
Ответ на: комментарий от mky

Давно pptp создаёт tunX интерфейсы?

pppX, пардон.

pianolender ★★★
() автор топика
Ответ на: комментарий от pianolender

Если вы не смогли сходу сказать, что не так, значит, конфиги вы пишете не сами, а берете дефолтные на доработку, и все опции наизусть не знаете.

Тут не хабр, мы разговариваем на ты. Опции и не надо все знать наизусть, есличо. Надо их понимать, какая что делает. А то, что у тебя конфиг через жопу написан, поменены гейты и айпишники местами - сразу видно.

ну да, не так что-то у меня в конфигах. А что?

Логи ты так с verb 7 и не показал, поэтому разбирайся сам.

Аривидерчи.

tazhate ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.