OpenVPN "поломался" после переезда

volag

После переезда в другой офис, мы сменили внутренний диапазон адресов(со 192.168.0.0/24 на 192.168.10.0/24) и я, чтобы долго не заморачиваться, сохранил полную конфигурацию в xml-файл, затем в текстовом редакторе сделал замену 192.168.0 на 192.168.10 и занал эту конфигурацию обратно в тот же pfSense. Сервер тот же, все то же осталось.

Те же ключи, сертификаты и т.д.

После подключения я могу попасть на веб-интерфейс pfSense(подключаюсь из дома как обычный клиент). Но дальше роутера пройти не могу, пинги не ходят, по ssh на внутренние сервера не попасть и т.д.

Подскажите идеи и инструментарий для отслеживания, где останавливаются пакеты.

трассировка получается такая:

C:\Program Files\OpenVPN\config>tracert 192.168.10.250

Трассировка маршрута к 192.168.10.250 с максимальным числом прыжков 30

  1   103 ms   103 ms   104 ms  172.0.0.1
  2     *        *        *     Превышен интервал ожидания для запроса.
  3  ^C 
и т.д.

в логе клиента так:

Sat May 08 00:54:19 2010 Attempting to establish TCP connection with XXXXXXXXXXXXX
Sat May 08 00:54:19 2010 TCP connection established with XXXXXXXXXXXX
Sat May 08 00:54:19 2010 TCPv4_CLIENT link local: [undef]
Sat May 08 00:54:19 2010 TCPv4_CLIENT link remote: XXXXXXXXXXXXXXX
Sat May 08 00:54:19 2010 TLS: Initial packet from XXXXXXXXXX, sid=9626f39e 7dae8d33
Sat May 08 00:54:21 2010 VERIFY OK: depth=1, XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Sat May 08 00:54:21 2010 VERIFY OK: depth=0, XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Sat May 08 00:54:24 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat May 08 00:54:24 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat May 08 00:54:24 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat May 08 00:54:24 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat May 08 00:54:24 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sat May 08 00:54:24 2010 [server] Peer Connection Initiated with 94.178.98.104:12021
Sat May 08 00:54:24 2010 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Sat May 08 00:54:25 2010 PUSH: Received control message: 'PUSH_REPLY,route 192.168.10.0 255.255.255.0,route 172.0.0.1,ping 10,ping-restart 60,ifconfig 172.0.0.6 172.0.0.5'
Sat May 08 00:54:25 2010 OPTIONS IMPORT: timers and/or timeouts modified
Sat May 08 00:54:25 2010 OPTIONS IMPORT: --ifconfig/up options modified
Sat May 08 00:54:25 2010 OPTIONS IMPORT: route options modified
Sat May 08 00:54:25 2010 TAP-WIN32 device [Подключение по локальной сети 2] opened: \\.\Global\{8008E05C-A6C6-42F3-870E-3F8DC16CB035}.tap
Sat May 08 00:54:25 2010 TAP-Win32 Driver Version 8.4 
Sat May 08 00:54:25 2010 TAP-Win32 MTU=1500
Sat May 08 00:54:25 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 172.0.0.6/255.255.255.252 on interface {8008E05C-A6C6-42F3-870E-3F8DC16CB035} [DHCP-serv: 172.0.0.5, lease-time: 31536000]
Sat May 08 00:54:25 2010 Successful ARP Flush on interface [65540] {8008E05C-A6C6-42F3-870E-3F8DC16CB035}
Sat May 08 00:54:25 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Sat May 08 00:54:25 2010 Route: Waiting for TUN/TAP interface to come up...
Sat May 08 00:54:27 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Sat May 08 00:54:27 2010 Route: Waiting for TUN/TAP interface to come up...
Sat May 08 00:54:28 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Sat May 08 00:54:28 2010 Route: Waiting for TUN/TAP interface to come up...
Sat May 08 00:54:29 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Sat May 08 00:54:29 2010 Route: Waiting for TUN/TAP interface to come up...
Sat May 08 00:54:30 2010 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Sat May 08 00:54:30 2010 route ADD 192.168.10.0 MASK 255.255.255.0 172.0.0.5
Sat May 08 00:54:30 2010 Route addition via IPAPI succeeded
Sat May 08 00:54:30 2010 route ADD 172.0.0.1 MASK 255.255.255.255 172.0.0.5
Sat May 08 00:54:30 2010 Route addition via IPAPI succeeded
Sat May 08 00:54:30 2010 Initialization Sequence Completed

маршруты после поднятия туннеля у меня такие:

        172.0.0.1  255.255.255.255        172.0.0.5       172.0.0.6       1
        172.0.0.4  255.255.255.252        172.0.0.6       172.0.0.6       30
        172.0.0.6  255.255.255.255        127.0.0.1       127.0.0.1       30
    172.0.255.255  255.255.255.255        172.0.0.6       172.0.0.6       30
     192.168.10.0    255.255.255.0        172.0.0.5       172.0.0.6       1

deutsche

Проверьте правила Firewall, смотрите его логи. Кстати 10.x.x.x по-моему намного удобнее.

fox

в web фейсе openvpn нажмите просто save.. может сработать.

volag

@deutsche:

Проверьте правила Firewall, смотрите его логи. Кстати 10.x.x.x по-моему намного удобнее.

Диапазон этот у меня в домашней сети используется;) не получится у меня адекватно работать с одним диапазоном в разных сетях.

Разобрался я с проблемой, вина моя. Я на сервере(который в рабочей сети, а на нем еще два jail'а крутятся) defaultrouter забыл сменить на новый. И он судя по всему ответы на все пакеты гнал не через тот шлюз обратно.

Вопрос закрываем. Спасибо откликнувшимся.