OpenVPN - не видно сетей за сервером и за клиентом, l
-
Уважаемые господа!
Недавно познакомился с этим замечательным творением - pfSense. Остановился на pfSense-2.0-RC1.
Встала задача объединить две сети через VPN. Предполагается использование pfSense-2.0-RC1. Необходимо, чтобы компьютеры из одной сети видели другую и наоборот.Схема простая: (сеть 192.168.2.0/24)==(pfSense)==(Интернет)==(pfSense)==(сеть 192.168.0.0/24)
|| ||
== (OpenVPN)==========На VirtualBox-е поставил две pfSense-2.0 и две WinXP. Одна WinXP имитирует сеть 192.168.2.0/24, другая - 192.168.0.0/24.
В итоге получилась такая схема:
(WinXP>192.168.2.50)==(192.168.2.70<pfsense>192.168.1.70)====(192.168.1.80<pfsense>192.168.0.80)==(192.168.0.50<winxp)<br> ||===adsl(Dlink>>192.168.1.1)По мотивам топика: http://forum.pfsense.org/index.php/topic,32662.msg168997.html#msg168997 составил для себя мануал, попутно совершая все описанные в нем действия. Канал OpenVPN поднялся, однако не добился главного - сети друг друга не видят.
Когда дошел до конца и посмотрел логи, смутило следующее:
1. openvpn[45483]: ERROR: FreeBSD route add command failed: external program exited with error status: 1
2. [DEPRECATED FEATURE ENABLED: random-resolv] Resolving hostnames will use randomisation if more than one IP address is found
3. А потом, сходив туда, куда меня послала эта запись в логе:
WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.И вставив этот параметр в пункт конфигурации клиента - Advanced configuration
remote-cert-tls server;В итоге получил такое:
openvpn[41731]: TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failedВ связи с этим обращаюсь к уважаемому сообществу с просьбой о помощи разобраться с настройкой, а также хочу задать такие вопросы:
1. FreeBSD route add command failed - Почему (и какой) маршрут не прописывается? Судя по выводу netstat –rn, все необходимые маршруты прописались:
На севере:
Routing tables Internet: Destination Gateway Flags Refs Use Netif Expire default 192.168.1.1 UGS 0 345 em0 10.10.100.0/24 10.10.100.2 UGS 0 0 ovpns1 10.10.100.1 link#7 UHS 0 0 lo0 10.10.100.2 link#7 UH 0 0 ovpns1 127.0.0.1 link#3 UH 0 47 lo0 192.168.0.0/24 10.10.100.2 UGS 0 0 ovpns1 192.168.1.0/24 link#1 U 0 14400 em0 192.168.1.70 link#1 UHS 0 0 lo0 192.168.2.0/24 link#2 U 0 2188 em1 192.168.2.70 link#2 UHS 0 0 lo0
И клиенте:
Routing tables Internet: Destination Gateway Flags Refs Use Netif Expire default 192.168.1.1 UGS 0 330 em0 10.10.100.0/24 10.10.100.5 UGS 0 0 ovpnc1 10.10.100.5 link#7 UH 0 0 ovpnc1 10.10.100.6 link#7 UHS 0 0 lo0 127.0.0.1 link#3 UH 0 47 lo0 192.168.0.0/24 link#2 U 0 3000 em1 192.168.0.80 link#2 UHS 0 0 lo0 192.168.1.0/24 link#1 U 0 10700 em0 192.168.1.80 link#1 UHS 0 0 lo0 192.168.2.0/24 10.10.100.5 UGS 0 0 ovpnc1
2. DEPRECATED FEATURE ENABLED: random-resolv – Где можно отключить/включить эту опцию?
3. Почему после включения защиты от Man-in-the-Middle - remote-cert-tls server, появляется "certificate verify failed"? Кстати, если включить ns-cert-type server происходит тоже самое. (недавно настраивал связку ubuntu (сервер) и winXP (клиент) http://forum.ubuntu.ru/index.php?topic=146868.0 - там этот параметр ошибок не вызывал)
4. По-видимому не до конца разобрался c правилами FW.
Это, скорее всего, основная просьба - помочь с ними разобраться, или подсказать где можно прочесть об их настройке применительно к OpenVPN.Теперь по порядку - что я делал.
Мануал, который составил:1 . Создаем сертификат (Certificate Authority):
System-> Cert Manager ->add or import CAsDescriptive Name = OfficeFilials Method = Create an internal Certificate Authority Key Length = 2048 bits lifetime = 3650 days Distinguished Name Country Code = UA State or province = DP City (город ) = DP Organisation = Mags email Address = rom023@mail.ru common name = Office
2. Создаем сертификат сервера OpenVPN. Вкладка Certificates => добавить
```
Descriptive name (имя сертификата) = OfficeServerOVPN
Method Create an internal certificate = Create an internal Certificate
Certificate authority = OfficeFilials
keylength = 2048 bits
lifetime = 3650 Days
Distinguished name
Country Code = UA
State or province (область) = DP
City (город) = DP
Organisation (организация) = Mags
email Address (адрес) = rom023@mail.ru
common name internal-ca = OfficeServerOVPN[![](http://i071.radikal.ru/1104/1f/1f418e620204t.jpg)](http://i071.radikal.ru/1104/1f/1f418e620204.jpg) 3.Создаем конфигурацию OpenVPN сервера. Выбираем: VPN => OpenVPN =>Добавить
- Server Mode = Remote Access SSL/TSL
- Protocol = UDP
- Interface = WAN
- Local Port = 2813
- Description = ServerOfficeFilials
- TLS Authentication = Ставим галку
- Automatically generate a shared = Ставим галку
TLS authentication key.
- Peer Certification authority server = OfficeFilials
- Server Certificate = OfficeServerOVPN
- DH Parameters = 2048 Bits
- Enryption Algorithm = BF-CBC (128 Bits)
(Можновыбрать лююой другой)
- Tunnel Network = 10.10.100.0/24
(Здесь указываем ip, которые будут выдаваться клиентам)
- Redirect Gateway = Галки нет
- Local Network = 192.168.2.0/24
(Здесь указываем LAN который будет видно клиентам)
- Concurrent connections = 100
- Compression = Ставим галку
- Type-of-Service = Галки нет
- Inter-client communication = Ставим галку
- Duplicate Connections = Галки нет
- Dynamic IP = Ставим галку
Allow connected clients to retain their connect if their IP changes.
- Address Pool = Ставим галку
Provide a virtual adapter IP address to clients (see Tunnel Network)
- DNS Default Domain = Галки нет
Provide a default domain name to clients
- DNS Servers = Галки нет
Provide a DNS server list to clients
- NTP Servers = Галки нет
Provide a NTP server list to clients
- NetBIOS Options = Галки нет
Enable NetBIOS over TCP/IP
If this option is not set, all NetBIOS-over-TCP/IP options (including
WINS) will be disabled.
- Advanced, я вставил такие опции:
route 192.168.0.0 255.255.255.0; - сеть за клиентом
push "route 192.168.3.0 255.255.255.0; - сеть 2 филиала
[![](http://i034.radikal.ru/1104/ee/1d2c6a38b7adt.jpg)](http://i034.radikal.ru/1104/ee/1d2c6a38b7ad.jpg) [![](http://s002.radikal.ru/i198/1104/2f/0fda1e3f4238t.jpg)](http://s002.radikal.ru/i198/1104/2f/0fda1e3f4238.jpg) Вместо ssd директории определил такие настройки клиента: [![](http://s57.radikal.ru/i158/1104/f1/ea67488fa9f7t.jpg)](http://s57.radikal.ru/i158/1104/f1/ea67488fa9f7.jpg) 4\. Добавляем правила в Firewall Firewall=> Rules=>WAN
Добавляем правило
Action = Pass
Interface => WAN
Protocol = UDP
Source = any
Destination = WAN address
Destination Port Range = 2813
(указываем порты которые используем для OPENVPN)
DescriptionЕще добавил такие правила FW и NAT: Настройки FW и NAT на сервере и клиенте OpenVPN одинаковые, с поправкой на сети: [![](http://s47.radikal.ru/i116/1104/3f/0103c7d40fect.jpg)](http://s47.radikal.ru/i116/1104/3f/0103c7d40fec.jpg) [![](http://s58.radikal.ru/i159/1104/42/051fa9483ab2t.jpg)](http://s58.radikal.ru/i159/1104/42/051fa9483ab2.jpg) [![](http://i080.radikal.ru/1104/40/782884126d95t.jpg)](http://i080.radikal.ru/1104/40/782884126d95.jpg) [![](http://s61.radikal.ru/i174/1104/8a/ffd8d2216b84t.jpg)](http://s61.radikal.ru/i174/1104/8a/ffd8d2216b84.jpg) 6\. Создание и экспорт сертификатов клиента. System => User Manager => Добавить
Username => Filial-Kiev001 (или любое другое)
password => свой
full name => Filial-Kiev_Kreschatik
expiration date => пусто
group membership => OpenVPN (предварительно надо создать)Создаем сертификат для пользователя
User Certificates => добавить
Descriptive Name => Filial-Kiev001
Certificate Authority server => Office-Filials (как в шаге 1)
keylength => 2048 Bits
Lifetime => 3650 Days[![](http://s50.radikal.ru/i128/1104/96/40241561d8c1t.jpg)](http://s50.radikal.ru/i128/1104/96/40241561d8c1.jpg) Переходим на вкладку OpenVPN=>Client Export, здесь есть несколько разных вариантов для экспорта сертификатов и конфигурации: 1\. Configuration - только конфиг клиента 2\. Configuration archive - tls файл (почему-то не совпал с серверным), конфиг клиента и р12 файл (я так понял что это "замена" клиентских .key и .crt) 3\. Windows Installer - на практике не проверял, подозреваю что аналог п.2 засунутый в инсталлятор 4\. Viscosity Bundle - пункт 2, только вместо р12 - .key и .crt [![](http://s59.radikal.ru/i166/1104/6d/7a6977f27800t.jpg)](http://s59.radikal.ru/i166/1104/6d/7a6977f27800.jpg) Но пошел по другому пути: 1. System => Cert Manager => Certificates 2. Нажимаем поочередно кнопки с треугольником напротив нужного сертификата и экспортируем файлы клиента .crt и .key. [![](http://s43.radikal.ru/i100/1104/be/54c23583d530t.jpg)](http://s43.radikal.ru/i100/1104/be/54c23583d530.jpg) 3. System => Cert Manager => Certificate Authority Manager 4. Нажимаем поочередно кнопки с треугольником напротив нужного сертификата и экспортируем файлы .crt и .key. [![](http://s004.radikal.ru/i207/1104/8c/7594bdd5de53t.jpg)](http://s004.radikal.ru/i207/1104/8c/7594bdd5de53.jpg) 5. Далее: VPN=>OpenVPN=>Server=>Edit 6. Копируем из пункта TLS Authentication 2048 bit OpenVPN static key в любой текстовый файл. [![](http://s55.radikal.ru/i147/1104/2b/918ebc38663dt.jpg)](http://s55.radikal.ru/i147/1104/2b/918ebc38663d.jpg) 7. Настройка OpenVPN на стороне клиента. 1\. Импорт сертификатов: - System => Cert Manager => Certificate Authority Manager => Add - Открываем текстовым редактором файлы сертификатов авторизац. центра и копируем в соответствующие поля. - Заполняем Descriptive name и сохраняем. - Идем в System => Cert Manager => Certificates => Add и таким же образом импортируем сертификаты клиента. [![](http://i052.radikal.ru/1104/7c/e8fdb52e1bdct.jpg)](http://i052.radikal.ru/1104/7c/e8fdb52e1bdc.jpg) 2\. Создание конфигурации клиента OpenVPN: VPN=>OpenVPN=>Client=>Add Настройки установил такие:
Server Mode = Peer-To-Peer (SSL/TSL)
Protocol = UDP
Device mode = tun
Interface = WAN
Local port = (пусто)
Server host or address = 192.168.1.70
Server port = 2813
Proxy host or address = (пусто)
Proxy port = (пусто)
Proxy authentication extra options = (пусто)
Server host name resolution = галка
Description = (пусто)
TLS Authentication = галка и тут вставил tls ключ сервера
Peer Certificate Authority = OfficeFilials
Client Certificate = Filial-Kiev001
Encryption algorithm = BF-CBC
Hardware Crypto = (пусто)
Tunnel Network = 10.10.100.0/24
Remote Network = 192.168.2.0/24
Limit outgoing bandwidth = (пусто)
Compression = галка
Type-of-Service = (пусто)
Advanced = (пусто)[![](http://s61.radikal.ru/i172/1104/51/9302df9dbcb7t.jpg)](http://s61.radikal.ru/i172/1104/51/9302df9dbcb7.jpg) [![](http://s44.radikal.ru/i103/1104/21/8b4f36fe7250t.jpg)](http://s44.radikal.ru/i103/1104/21/8b4f36fe7250.jpg) Все говорит о том, что связь установлена и работает: [![](http://s58.radikal.ru/i159/1104/96/b887544fc484t.jpg)](http://s58.radikal.ru/i159/1104/96/b887544fc484.jpg) [![](http://s55.radikal.ru/i147/1104/04/48bc5cc3753bt.jpg)](http://s55.radikal.ru/i147/1104/04/48bc5cc3753b.jpg) [![](http://i078.radikal.ru/1104/a5/b126e2bed09ft.jpg)](http://i078.radikal.ru/1104/a5/b126e2bed09f.jpg) [![](http://i076.radikal.ru/1104/a4/2f5f7628993ct.jpg)](http://i076.radikal.ru/1104/a4/2f5f7628993c.jpg) Но, как писал, пинги не идут, WinXP друг друга не видят. Спасибо заранее всем откликнувшимся!</winxp)<br></pfsense></pfsense>
- Server Mode = Remote Access SSL/TSL
-
В общем разобрался я…
Идеология iptables ввела в заблуждение.
Чего сделал:
1. Сброс до дефолтных настроек.
2. Обновился до последней версии.
3. Настройка сервера и клиента по новой.
4. NAT исходящий - выставил автоматические правила. (знаю, что не совсем правильно, буду экспериментировать)
5. Интерфейс OpenVPN - разрешено все. (тоже самое).
6. LAN - разрешил трафик из вирт. сети OpenVPN и сетей за сервером и клиентом (соответственно).
7. TLS аутентификацию отключил.Все заработало.
-
Оказалось еще проще - надо разрешить трафик с/на OpenVPN/
Осталось только изучить ман по PF… -
Наш человек! Осталось только изучить ман по PF… мы тоже сначала тыкаем потом мануал читаем ;D
-
Ну так как же не потыкать… :)
-
хотелось бы очень посмотреть на правила, а то такая же проблема
-
хотелось бы очень посмотреть на правила, а то такая же проблема
да и мне бы тоже хотелось!
как-то сильно неочевидно реализовано все
канал поднимается ок, но пакеты даже внутри канала не ходят
-
Это как раз правильно сделано.
поднятие канала рассматривайте как втыкание провода в сетевуху.
"провод воткнули", а что у вас там дальше накручено это совершенно другая песня. -
Столкнулся с такой же проблемой.
делал все по мануалу.
не выходит =(
проблема в маршрутизации… ступор, вроде везде разрешил подсети(nat, rule,openvpn)
192.168.105.0/24 офис (ovpns4=10.5.0.1)
10.5.0.0/24 туннель
192.168.0.0 филиал (ovpns4=10.5.0.2)роут с офиса
10.5.0.0/24 10.5.0.2 UGS 0 0 1500 ovpns4
10.5.0.1 127.0.0.1 UH 0 0 16384 lo0
10.5.0.2 link#12 UH 0 3 1500 ovpns4роут с филиала
10.5.0.0/24 10.5.0.1 UGS 0 0 1500 ovpnc5
10.5.0.1 link#9 UH 0 0 1500 ovpnc5
10.5.0.2 link#9 UHS 0 0 16384 lo0туннель поднялся, все нормально, но в туннеле не пингуются.
-
В роутах не видно маршрутов на 192.168.** сетки.
-
В роутах не видно маршрутов на 192.168.** сетки.
Гмм.
Офис
$ netstat -rn
Routing tablesInternet:
Destination Gateway Flags Refs Use Netif Expire
default х.х.х.х UGS 0 132489229 rl0
10.5.0.0/24 10.5.0.2 UGS 0 0 ovpns4
10.5.0.1 127.0.0.1 UH 0 0 lo0
10.5.0.2 link#12 UH 0 0 ovpns4
10.7.13.0/24 10.7.13.2 UGS 0 24 ovpns1
10.7.13.1 link#8 UHS 0 0 lo0
10.7.13.2 link#8 UH 0 0 ovpns1
х.х.х.х/24 link#2 U 0 2092509 rl0
х.х.х.х link#2 UHS 0 0 lo0
127.0.0.1 link#4 UH 0 571780 lo0
192.168.0.0/24 10.7.13.2 UGS 0 0 ovpns1
192.168.105.0/24 link#1 U 0 109264405 re0
192.168.105.1 link#1 UHS 0 0 lo0филиал
Internet:
Destination Gateway Flags Refs Use Netif Expire
default х.х.х.х UGS 0 3907023 re0
8.8.8.8 х.х.х.х UGHS 0 5493 re0
10.5.0.0/24 10.5.0.1 UGS 0 0 ovpnc5
10.5.0.1 link#9 UH 0 51 ovpnc5
10.5.0.2 127.0.0.1 UH 0 0 lo0
10.8.0.0/24 10.8.0.2 UGS 0 17149 ovpns1
10.8.0.1 127.0.0.1 UH 0 0 lo0
10.8.0.2 link#8 UH 0 0 ovpns1
х.х.х.х /24 link#2 U 0 10886 re0
х.х.х.х link#2 UHS 0 0 lo0
х.х.х.х х.х.х.х UGHS 0 20099 re0
х.х.х.х х.х.х.х UGHS 0 2244 re0
127.0.0.1 link#4 UH 0 1832 lo0
192.168.0.0/24 link#1 U 0 3903480 alc0
192.168.0.246 link#1 UHS 0 3 lo0
192.168.105.0/24 10.5.0.1 UGS 0 18 ovpnc5на серверe в advanced
route 192.168.0.0 255.255.255.0;
push "route 192.168.105.0 255.255.255.0";В Client Specific Override
iroute 192.168.105.0 255.255.255.0; -
В роутах не видно маршрутов на 192.168.** сетки.
Или же вам предоставить полную последовательность того что делал?
т.е. картинки + код -
В роутах не видно маршрутов на 192.168.** сетки.
Или же вам предоставить полную последовательность того что делал?
т.е. картинки + кодНарод прошу помощи уже голову сломал
тунель есть, внутри туннеля не пингуются =( правила пооткрывал для тунеля.конфиг сервера
dev ovpns4 dev-type tun dev-node /dev/tun4 writepid /var/run/openvpn_server4.pid #user nobody #group nobody script-security 3 daemon keepalive 10 60 ping-timer-rem persist-tun persist-key proto tcp-server cipher BF-CBC up /usr/local/sbin/ovpn-linkup down /usr/local/sbin/ovpn-linkdown local x.x.x.x tls-server server 10.5.0.0 255.255.255.0 client-config-dir /var/etc/openvpn-csc tls-verify /var/etc/openvpn/server4.tls-verify.php lport 950 management /var/etc/openvpn/server4.sock unix max-clients 15 push "route 192.168.105.0 255.255.255.0" client-to-client ca /var/etc/openvpn/server4.ca cert /var/etc/openvpn/server4.cert key /var/etc/openvpn/server4.key dh /etc/dh-parameters.2048 tls-auth /var/etc/openvpn/server4.tls-auth 0 comp-lzo persist-remote-ip float route 192.168.0.0 255.255.255.0 #route 192.168.105.0 255.255.255.0 #route 10.5.0.0 255.255.255.0 push "route 192.168.0.0 255.255.255.0" push "route 192.168.105.0 255.255.255.0" push "route 10.5.0.0 255.255.255.0" verb 3
ccd c сервера
push-reset ifconfig-push 10.5.0.2 10.5.0.1 iroute 192.168.0.0 255.255.255.0 route 10.5.0.0 255.255.255.0
конфиг клиента
$ cat /var/etc/openvpn/client5.conf dev ovpnc5 dev-type tun dev-node /dev/tun5 writepid /var/run/openvpn_client5.pid #user nobody #group nobody script-security 3 daemon keepalive 10 60 ping-timer-rem persist-tun persist-key proto tcp-client cipher BF-CBC up /usr/local/sbin/ovpn-linkup down /usr/local/sbin/ovpn-linkdown local y.y.y.y tls-client client lport 0 management /var/etc/openvpn/client5.sock unix remote x.x.x.x yyyy ifconfig 10.5.0.2 10.5.0.1 route 192.168.105.0 255.255.255.0 ca /var/etc/openvpn/client5.ca cert /var/etc/openvpn/client5.cert key /var/etc/openvpn/client5.key tls-auth /var/etc/openvpn/client5.tls-auth 1 comp-lzo remote-cert-tls server push "route 192.168.0.0 255.255.255.0" #route 192.168.105.0 255.255.255.0 verb 5
логи ovpn сервера
Feb 17 11:48:21 openvpn[35604]: riga/y.y.y.y:12980 SENT CONTROL [riga]: 'PUSH_REPLY,ifconfig 10.5.0.2 10.5.0.1' (status=1) Feb 17 11:48:21 openvpn[35604]: riga/y.y.y.y:12980 send_push_reply(): safe_cap=960 Feb 17 11:48:21 openvpn[35604]: riga/y.y.y.y:12980 PUSH: Received control message: 'PUSH_REQUEST' Feb 17 11:48:19 openvpn[35604]: riga/y.y.y.y:12980 MULTI: Learn: 192.168.0.0/24 -> riga/y.y.y.y:12980 Feb 17 11:48:19 openvpn[35604]: riga/y.y.y.y:12980 MULTI: internal route 192.168.0.0/24 -> riga/y.y.y.y:12980 Feb 17 11:48:19 openvpn[35604]: riga/y.y.y.y:12980 MULTI: primary virtual IP for riga/y.y.y.y:12980: 10.5.0.2 Feb 17 11:48:19 openvpn[35604]: riga/y.y.y.y:12980 MULTI: Learn: 10.5.0.2 -> riga/y.y.y.y:12980 Feb 17 11:48:19 openvpn[35604]: riga/y.y.y.y:12980 Options error: option 'route' cannot be used in this context Feb 17 11:48:19 openvpn[35604]: riga/y.y.y.y:12980 OPTIONS IMPORT: reading client specific options from: /var/etc/openvpn-csc/riga Feb 17 11:48:19 openvpn[35604]: y.y.y.y:12980 [riga] Peer Connection Initiated with [AF_INET]y.y.y.y:12980 Feb 17 11:48:19 openvpn[35604]: y.y.y.y:12980 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA Feb 17 11:48:19 openvpn[35604]: y.y.y.y:12980 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Feb 17 11:48:19 openvpn[35604]: y.y.y.y:12980 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Feb 17 11:48:19 openvpn[35604]: y.y.y.y:12980 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Feb 17 11:48:19 openvpn[35604]: y.y.y.y:12980 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Feb 17 11:48:18 openvpn[35604]: y.y.y.y:12980 TLS: Initial packet from [AF_INET]y.y.y.y:12980, sid=c8f547c0 79893fe5 Feb 17 11:48:17 openvpn[35604]: TCPv4_SERVER link remote: [AF_INET]y.y.y.y:12980 Feb 17 11:48:17 openvpn[35604]: TCPv4_SERVER link local: [undef] Feb 17 11:48:17 openvpn[35604]: TCP connection established with [AF_INET]y.y.y.y:12980 Feb 17 11:48:17 openvpn[35604]: Expected Remote Options hash (VER=V4): 'ee93268d' Feb 17 11:48:17 openvpn[35604]: Local Options hash (VER=V4): 'bd577cd1' Feb 17 11:48:17 openvpn[35604]: Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ] Feb 17 11:48:17 openvpn[35604]: Control Channel MTU parms [ L:1544 D:168 EF:68 EB:0 ET:0 EL:0 ] Feb 17 11:48:17 openvpn[35604]: LZO compression initialized Feb 17 11:48:17 openvpn[35604]: Re-using SSL/TLS context Feb 17 11:48:17 openvpn[35604]: MULTI: multi_create_instance called Feb 17 11:48:13 openvpn[35604]: Initialization Sequence Completed Feb 17 11:48:13 openvpn[35604]: MULTI: TCP INIT maxclients=15 maxevents=19 Feb 17 11:48:13 openvpn[35604]: IFCONFIG POOL: base=10.5.0.4 size=62, ipv6=0 Feb 17 11:48:13 openvpn[35604]: MULTI: multi_init called, r=256 v=256 Feb 17 11:48:13 openvpn[35604]: TCPv4_SERVER link remote: [undef] Feb 17 11:48:13 openvpn[35604]: TCPv4_SERVER link local (bound): [AF_INET]x.x.x.x Feb 17 11:48:13 openvpn[35604]: Listening for incoming TCP connection on [AF_INET]x.x.x.x:yyy Feb 17 11:48:13 openvpn[34204]: Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ] Feb 17 11:48:13 openvpn[34204]: /sbin/route add -net 10.5.0.0 10.5.0.2 255.255.255.0 Feb 17 11:48:13 openvpn[34204]: ERROR: FreeBSD route add command failed: external program exited with error status: 1 Feb 17 11:48:13 openvpn[34204]: /sbin/route add -net 192.168.0.0 10.5.0.2 255.255.255.0 Feb 17 11:48:13 openvpn[34204]: /usr/local/sbin/ovpn-linkup ovpns4 1500 1544 10.5.0.1 10.5.0.2 init Feb 17 11:48:13 openvpn[34204]: /sbin/ifconfig ovpns4 10.5.0.1 10.5.0.2 mtu 1500 netmask 255.255.255.255 up Feb 17 11:48:13 openvpn[34204]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0 Feb 17 11:48:13 openvpn[34204]: TUN/TAP device /dev/tun4 opened Feb 17 11:48:13 openvpn[34204]: ROUTE default_gateway=x.x.x.x Feb 17 11:48:13 openvpn[34204]: Socket Buffers: R=[65228->65536] S=[65228->65536] Feb 17 11:48:13 openvpn[34204]: TLS-Auth MTU parms [ L:1544 D:168 EF:68 EB:0 ET:0 EL:0 ] Feb 17 11:48:13 openvpn[34204]: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Feb 17 11:48:13 openvpn[34204]: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Feb 17 11:48:13 openvpn[34204]: Control Channel Authentication: using '/var/etc/openvpn/server4.tls-auth' as a OpenVPN static key file Feb 17 11:48:13 openvpn[34204]: Diffie-Hellman initialized with 2048 bit key Feb 17 11:48:13 openvpn[34204]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts Feb 17 11:48:13 openvpn[34204]: MANAGEMENT: unix domain socket listening on /var/etc/openvpn/server4.sock Feb 17 11:48:13 openvpn[34204]: OpenVPN 2.2.0 i386-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Aug 11 2011
логи клиента
Feb 17 11:48:21 openvpn[37845]: Initialization Sequence Completed Feb 17 11:48:21 openvpn[37845]: Preserving previous TUN/TAP instance: ovpnc5 Feb 17 11:48:21 openvpn[37845]: OPTIONS IMPORT: --ifconfig/up options modified Feb 17 11:48:21 openvpn[37845]: PUSH: Received control message: 'PUSH_REPLY,ifconfig 10.5.0.2 10.5.0.1' Feb 17 11:48:21 openvpn[37845]: SENT CONTROL [Site-to-site]: 'PUSH_REQUEST' (status=1) Feb 17 11:48:19 openvpn[37845]: [Site-to-site] Peer Connection Initiated with [AF_INET]x.x.x.x:yyyy Feb 17 11:48:19 openvpn[37845]: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA Feb 17 11:48:19 openvpn[37845]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Feb 17 11:48:19 openvpn[37845]: Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Feb 17 11:48:19 openvpn[37845]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Feb 17 11:48:19 openvpn[37845]: Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
routes сервер
default x.x.x.x UGS 0 147005207 1500 rl0 10.5.0.0/24 10.5.0.2 UGS 0 0 1500 ovpns4 10.5.0.1 link#12 UHS 0 0 16384 lo0 10.5.0.2 link#12 UH 0 0 1500 ovpns4 10.7.13.0/24 10.7.13.2 UGS 0 91987 1500 ovpns1 10.7.13.1 127.0.0.1 UH 0 0 16384 lo0 10.7.13.2 link#8 UH 0 0 1500 ovpns1 x.x.x.x/24 link#2 U 0 2338550 1500 rl0 x.x.x.x link#2 UHS 0 0 16384 lo0 127.0.0.1 link#4 UH 0 638068 16384 lo0 192.168.0.0/24 10.7.13.2 UGS 0 340 1500 ovpns1 192.168.105.0/24 link#1 U 0 122087149 1500 re0 192.168.105.1 link#1 UHS 0 0 16384 lo0
routes клиент
10.5.0.1 link#9 UH 0 6 1500 ovpnc5 10.5.0.2 link#9 UHS 0 0 16384 lo0 10.8.0.0/24 10.8.0.2 UGS 0 36376 1500 ovpns1 10.8.0.1 127.0.0.1 UH 0 0 16384 lo0 10.8.0.2 link#8 UH 0 0 1500 ovpns1 127.0.0.1 link#4 UH 0 9292 16384 lo0 192.168.0.0/24 link#1 U 0 22111649 1500 alc0 192.168.0.246 link#1 UHS 0 3 16384 lo0 192.168.105.0/24 10.5.0.1 UGS 0 81 1500 ovpnc5
проблемы 2
1. внутри туннеля не пингуются
2. из 1. вытекает локалки не пингуются =(правила ната есть на обоих сторонах, в firewall rules разрешены подсети.
pass Feb 17 12:25:31 ovpns4 192.168.0.100:4167 192.168.105.2:500 TCP:S
-
В роутах не видно маршрутов на 192.168.** сетки.
Или же вам предоставить полную последовательность того что делал?
т.е. картинки + кодНарод прошу помощи уже голову сломал
тунель есть, внутри туннеля не пингуются =( правила пооткрывал для тунеля.Решено, кого интересует, могу дать пояснение по глупым вопросам =)
-
Решение можно выложить здесь. А то так и будут одни вопросы без ответов.
-
Решение можно выложить здесь. А то так и будут одни вопросы без ответов.
default x.x.x.x UGS 0 147005207 1500 rl0
10.5.0.0/24 10.5.0.2 UGS 0 0 1500 ovpns4
10.5.0.1 link#12 UHS 0 0 16384 lo0
10.5.0.2 link#12 UH 0 0 1500 ovpns4
10.7.13.0/24 10.7.13.2 UGS 0 91987 1500 ovpns1
10.7.13.1 127.0.0.1 UH 0 0 16384 lo0
10.7.13.2 link#8 UH 0 0 1500 ovpns1
x.x.x.x/24 link#2 U 0 2338550 1500 rl0
x.x.x.x link#2 UHS 0 0 16384 lo0
127.0.0.1 link#4 UH 0 638068 16384 lo0
192.168.0.0/24 10.7.13.2 UGS 0 340 1500 ovpns1 –-- проблема была в этом настраивал с включенным ovpn со своей машины(мой комп на сервер клиента)
192.168.105.0/24 link#1 U 0 122087149 1500 re0
192.168.105.1 link#1 UHS 0 0 16384 lo0решилось route delete 192.168.0.0/24
и перезапуском сервера vpnсуть проблем была в том что линк поднялся, но ни чего не пинговалось даже внутри туннеля...