LINUX.ORG.RU
ФорумAdmin

Проблемы с VPN


0

1

ось Centos 6.4

 
eth0      Link encap:Ethernet  HWaddr 08:00:27:2D:F0:FC
          inet addr:192.168.0.14  Bcast:192.168.0.255  Mask:255.255.255.0 

 tap0      Link encap:Ethernet  HWaddr 46:B3:3B:FF:41:80
          inet addr:10.10.10.1  Bcast:10.10.10.255  Mask:255.255.255.0 
server.conf
local 192.168.0.14
port 1194
proto tcp-server
dev tap
ca /etc/openvpn/ca.crt
cert /etc/openvpn/vpn.crt
key /etc/openvpn/vpn.key  # This file should be kept secret
dh /etc/openvpn/dh1024.pem
mode server
ifconfig 10.10.10.1 255.255.255.0
ifconfig-pool 10.10.10.2 10.10.10.50
ifconfig-pool-persist /etc/openvpn/ipp.txt
push "route 192.168.0.14 255.255.255.0"
client-config-dir /etc/openvpn/ccd
#route 192.168.0.14 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 192.168.0.1"
keepalive 10 120
tls-server
tls-auth /etc/openvpn/ta.key 0 # This file is secret
;cipher BF-CBC        # Blowfish (default)
;cipher AES-128-CBC   # AES
;cipher DES-EDE3-CBC  # Triple-DES
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
log         openvpn.log
log-append  openvpn.log
verb 3
mute 20
на клиенте windows xp
client
tls-client
dev tap
proto tcp
remote 192.168.0.14 1194
resolv-retry infinite

user nobody
group nobody
persist-key
persist-tun
ca C:\\Program Files\\OpenVPN\\config\\ca.crt
cert C:\\Program Files\\OpenVPN\\config\\kab34o.crt
key C:\\Program Files\\OpenVPN\\config\\kab34o.key
#ns-cert-type server
tls-auth C:\\Program Files\\OpenVPN\\config\\ta.key 1
log-append C:\\Program Files\\OpenVPN\\config\\openvpn.log
comp-lzo
ver 3
mute 20
sysctl.conf ipv4 =1 на клиенте нажимаешь подключится и тишина. подключение не возможно. логи чистые. iptables
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 1194 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
~

      --proto p
              Use protocol p for communicating with remote host.  p can be udp, tcp-client, or tcp-server.

              The default protocol is udp when --proto is not specified.

на клиенте windows xp изменить строки

proto tcp
ver 3
mute 20
на
proto tcp-client
verb 3
#на время отладки
#mute 20

DiMoN ★★★ ()
Последнее исправление: DiMoN (всего исправлений: 2)
Ответ на: комментарий от anonymous

cat openvpn-status.log

OpenVPN CLIENT LIST
Updated,Tue Dec 10 14:27:41 2013
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
GLOBAL STATS
Max bcast/mcast queue length,0
END

kresh1 ()
Ответ на: комментарий от kresh1

The tls-auth directive adds an additional HMAC signature to all SSL/TLS handshake packets for integrity verification. Any UDP packet not bearing the correct HMAC signature can be dropped without further processing.

покаместь попробуй без tls-auth

anonymous ()
Ответ на: комментарий от anonymous

закоментил только на сервере.. результата нет, закоментин и на клиенте

 WARNING: No server certificate verificationmethod has been enabled
Cannot load certificate.....
без сертификата работать не хочет..
iptables -A INPUT  -p tcp  --dport 1194 -j ACCEPT
пока не решено

kresh1 ()
Ответ на: комментарий от kresh1

openvpn.log

Tue Dec 10 17:11:55 2013 OpenVPN 2.3.2 i686-redhat-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [IPv6] built on Sep 12 2013
Tue Dec 10 17:11:56 2013 Diffie-Hellman initialized with 1024 bit key
Tue Dec 10 17:11:56 2013 Control Channel Authentication: using '/etc/openvpn/tls.key' as a OpenVPN static key file
Tue Dec 10 17:11:56 2013 Outgoing Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Tue Dec 10 17:11:56 2013 Incoming Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Tue Dec 10 17:11:56 2013 Socket Buffers: R=[188416->131072] S=[188416->131072]
Tue Dec 10 17:11:56 2013 ROUTE: default_gateway=UNDEF
Tue Dec 10 17:11:56 2013 OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options
Tue Dec 10 17:11:56 2013 OpenVPN ROUTE: failed to parse/resolve route for host/network: 10.10.10.0
Tue Dec 10 17:11:56 2013 TUN/TAP device tap0 opened
Tue Dec 10 17:11:56 2013 TUN/TAP TX queue length set to 100
Tue Dec 10 17:11:56 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Tue Dec 10 17:11:56 2013 /sbin/ip link set dev tap0 up mtu 1500
Tue Dec 10 17:11:56 2013 /sbin/ip addr add dev tap0 10.10.10.1/24 broadcast 10.10.10.255
Tue Dec 10 17:11:56 2013 GID set to nobody
Tue Dec 10 17:11:56 2013 UID set to nobody
Tue Dec 10 17:11:56 2013 UDPv4 link local (bound): [undef]
Tue Dec 10 17:11:56 2013 UDPv4 link remote: [undef]
Tue Dec 10 17:11:56 2013 MULTI: multi_init called, r=256 v=256
Tue Dec 10 17:11:56 2013 IFCONFIG POOL: base=10.10.10.2 size=49, ipv6=0
Tue Dec 10 17:11:56 2013 IFCONFIG POOL LIST
Tue Dec 10 17:11:56 2013 Initialization Sequence Completed
что-то пошло не так здесь
OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options
Tue Dec 10 17:11:56 2013 OpenVPN ROUTE: failed to parse/resolve route for host/network: 10.10.10.0

kresh1 ()
Ответ на: комментарий от kresh1

Была проблема на вин7 из-за UAC. Не хватало прав для добавления маршрута...

tvorrrrojjjjok ()
Ответ на: комментарий от kresh1
-A INPUT -i tun0 -j ACCEPT
-A FORWARD -i tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.10.200.0/24 -o eth0 -j MASQUERADE

теперь в логах у клиента есть такая запись

WARNING: No server certificate verification method has been enabled

kresh1 ()
Ответ на: комментарий от kresh1

спустя некоторое время. все же клиент с сервером соединился, не клиент не видит сеть за сервером. в моем случае нужен

server-bridge
? может кто написать правила для iptables ? :)

kresh1 ()
Ответ на: комментарий от kresh1

клиент(tap0 10.10.200.2)->сервер(tap10.10.200.1 он же eth0 192.168.1.9)->локальная сеть(eth1 192.168.0.14) клиенту tap0 нужно попасть в сеть eth1 на клиенте пингуется eth1, а адрес 192.168.0.1 уже нет

kresh1 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.