OpenVPN через VLAN на виртуальном интерфейсе, не видl

A Former User

@dvserg:

Надо посмотреть таблицы роутинга на серверах. Маршруты на 192.168.0 и 192.168.2 идти через туннель.

ПС И попробуйте галки Compression и type-of-Service включить на OpenVPN сервере/клиенте.

Где это можно настроить? Я в роутах писал виртуальный интерфейс VPN как шлюз с ип 10.1.1.2, и в роутах статических ставил его по дефолту и писал в этом правиле ип 192.168.2.0/24. Не помогало…
И еще у меня сомнения что моя карточка нормально поддерживает vlan... Хотя тогда она по пппое не соединилась поидее. Потому как виртуальный интерфейс на котором висит PPPoE работает стабильно уже 3 дня...

dvserg

http://forum.pfsense.org/index.php/topic,52932.msg282962.html#msg282962

A Former User

@dvserg:

http://forum.pfsense.org/index.php/topic,52932.msg282962.html#msg282962

Хорошо, завтра буду на работе и скину все логи сюда )
Спасибо большое за проявленный интерес.

A Former User

Логи с сервера:

Feb 12 16:26:52	openvpn[10388]: OpenVPN 2.2.0 i386-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Aug 11 2011
Feb 12 16:26:52	openvpn[10388]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Feb 12 16:26:52	openvpn[10388]: TUN/TAP device /dev/tun1 opened
Feb 12 16:26:52	openvpn[10388]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Feb 12 16:26:52	openvpn[10388]: /sbin/ifconfig ovpns1 10.0.8.1 10.0.8.2 mtu 1500 netmask 255.255.255.255 up
Feb 12 16:26:52	openvpn[10388]: /usr/local/sbin/ovpn-linkup ovpns1 1500 1560 10.0.8.1 10.0.8.2 init
Feb 12 16:26:52	openvpn[10388]: ERROR: FreeBSD route add command failed: external program exited with error status: 1
Feb 12 16:26:52	openvpn[11300]: UDPv4 link local (bound): [AF_INET]10.1.1.1:1194
Feb 12 16:26:52	openvpn[11300]: UDPv4 link remote: [undef]
Feb 12 16:27:01	openvpn[11300]: Peer Connection Initiated with [AF_INET]10.1.1.2:46067
Feb 12 16:27:01	openvpn[11300]: Initialization Sequence Completed

Запросы в адвансед:

route 192.168.2.0 255.255.255.0; push "route 10.1.1.0 255.255.255.255"; push "route 192.168.2.0 255.255.255.0";

Настройка оверрайд на сервере:

Роутинги сервера:

Роутинги клиента:

На команду pull клиент реагирует неадекватно и не поднимает канал…
Когда пишешь просто роут на серве то появляется ошибка как в логах выше
Не понятно почему на сервере пишет remoute undef, хотя в статусе все норм и у клиента все прописано нормально...

dvserg

Наверное правила на OpenVPN интерфейсах не добавлены.

rubic

У вас сервер в режиме Shared Key. Никакие Client specific override в нем не действуют т.к. нет PKI и, соответственно нет у клиента Common Name. Не действуют также директивы push, судя по тестам.
В общем, убирайте все, что у вас есть в Advanced configuration, на сервере и на клиенте. Убирайте все Client specific override.
Ставьте Remote network на сервере 192.168.2.0/24, а на клиенте - 192.168.0.0/24
Local network оставьте пустым и там, и там.
Этого достаточно, ну не считая конечно, что в файерволе и сервера, и клиента на вкладке OpenVPN должно быть разрешено все всем.

A Former User

@rubic:

У вас сервер в режиме Shared Key. Никакие Client specific override в нем не действуют т.к. нет PKI и, соответственно нет у клиента Common Name. Не действуют также директивы push, судя по тестам.
В общем, убирайте все, что у вас есть в Advanced configuration, на сервере и на клиенте. Убирайте все Client specific override.
Ставьте Remote network на сервере 192.168.2.0/24, а на клиенте - 192.168.0.0/24
Local network оставьте пустым и там, и там.
Этого достаточно, ну не считая конечно, что в файерволе и сервера, и клиента на вкладке OpenVPN должно быть разрешено все всем.

То есть обязательно сервак должен быть 192.168.2.0 а клиент 192.168.0.0? или можно например подсеть за серваком 192.168.1.0 а за клиентом 192.168.2.0?
Можно ли сделать физический адрес серва опенвпн 10.10.1.0/30 а клиента 10.10.2.0?
Ну у меня на вкладке опенвпн разрешено все по протоколу UDP а в интерфейсе ван и впн по протоколу UDP по порту openvpn

dvserg

@Bansardo:

@rubic:

У вас сервер в режиме Shared Key. Никакие Client specific override в нем не действуют т.к. нет PKI и, соответственно нет у клиента Common Name. Не действуют также директивы push, судя по тестам.
В общем, убирайте все, что у вас есть в Advanced configuration, на сервере и на клиенте. Убирайте все Client specific override.
Ставьте Remote network на сервере 192.168.2.0/24, а на клиенте - 192.168.0.0/24
Local network оставьте пустым и там, и там.
Этого достаточно, ну не считая конечно, что в файерволе и сервера, и клиента на вкладке OpenVPN должно быть разрешено все всем.

То есть обязательно сервак должен быть 192.168.2.0 а клиент 192.168.0.0? или можно например подсеть за серваком 192.168.1.0 а за клиентом 192.168.2.0?
Можно ли сделать физический адрес серва опенвпн 10.10.1.0/30 а клиента 10.10.2.0?
Ну у меня на вкладке опенвпн разрешено все по протоколу UDP а в интерфейсе ван и впн по протоколу UDP по порту openvpn

Подсети можно и такие.
Адреса ВПН туннеля назначаются автоматом из одной подсети.
Правила -просто разрешите все для любого протокола.

A Former User

@dvserg:

Подсети можно и такие.
Адреса ВПН туннеля назначаются автоматом из одной подсети.
Правила -просто разрешите все для любого протокола.

У меня в ручную прописаны на интерфейсах… сам не захотел назначать. Писал как вкопанный undef на local и remote и все

A Former User

Опа! Соединились, все пошло! Только как теперь инет разздать по каналу?

rubic

@Bansardo:

Опа! Соединились, все пошло! Только как теперь инет разздать по каналу?

В Interfaces -> (assign) клиента кнопкой "+" добавить новый интерфейс (выбрать ovpnс1), потом в Interfaces выбрать этот новый интерфейс (OPTn), установить галку в Enable interface, тип интерфейса оставить None и вообще ничего не трогать, только имя поменять например на OVPNС1. После этого в System -> Routing появится новый gateway: "Interface OVPNC1 Dynamic Gateway". Зайти в его свойства и поставить галку Default Gateway.
На сервере в Firewall -> NAT вкладка Outbound должно быть правило для 10.0.8.0/24 (сети туннеля) или, если стоит Automatic outbound NAT rule generation, то ничего не надо.
Пробуйте и отпишитесь, что вышло.

A Former User

rubic, Отдельное спасибо за помощь!
Пока что упала связь между подсетями, счас перегружу клиента, причем канал не упал, а именно маршруты как я понял между подсетями…
Интернета нет, но виртуальный интерфейс получил адрес сервера туннеля )

rubic

Упс! Тогда уберите Default Gateway c OVPNC1 а в Firewall -> Rules на вкладке LAN в правиле, которое пускает локальную сеть в интернет в Advanced features -> Gateway выберите OVPNC1.

A Former User

Lan net? Добавил, пойду проверю
Нет интернета…

rubic

@Bansardo:

Эт которое по портам 441 и 443?

Да нет. В общем отложим пока, надо тестировать, завтра-послезавтра займусь.

A Former User

@rubic:

@Bansardo:

Эт которое по портам 441 и 443?

Да нет. В общем отложим пока, надо тестировать, завтра-послезавтра займусь.

Нету интернета… (

A Former User

Слушай, а в интерфейсе WAN и моем виртуальном интерфейсе VPN (не openvpn) у меня такие правила прописаны, они нужны?
TCP/UDP * * * 1194 (OpenVPN) * none    
и кстате, у меня прокси стоит и в настройках она смотрит на интерфейс лан и виртуальный VPN может тут чтото?

Еще интересно полчему у серва андефайн стоит вместо ип клиента…
Feb 13 17:26:37 openvpn[37330]: OpenVPN 2.2.0 i386-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Aug 11 2011
Feb 13 17:26:37 openvpn[37330]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
Feb 13 17:26:37 openvpn[37330]: TUN/TAP device /dev/tun1 opened
Feb 13 17:26:37 openvpn[37330]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Feb 13 17:26:37 openvpn[37330]: /sbin/ifconfig ovpns1 10.0.8.1 10.0.8.2 mtu 1500 netmask 255.255.255.255 up
Feb 13 17:26:37 openvpn[37330]: /usr/local/sbin/ovpn-linkup ovpns1 1500 1560 10.0.8.1 10.0.8.2 init
Feb 13 17:26:37 openvpn[38121]: UDPv4 link local (bound): [AF_INET]10.1.1.1:1194
Feb 13 17:26:37 openvpn[38121]: UDPv4 link remote: [undef]
Feb 13 17:26:37 openvpn[38121]: Peer Connection Initiated with [AF_INET]10.1.1.2:51552
Feb 13 17:26:38 openvpn[38121]: Initialization Sequence Completed

rubic

Если туннель поднимается и сети видят друг-друга, правила лучше не трогать, прокси не при чем. Чтобы был интернет на клиенте через сервер, нужно подумать, но это не сегодня уже.

A Former User

@rubic:

Если туннель поднимается и сети видят друг-друга, правила лучше не трогать, прокси не при чем. Чтобы был интернет на клиенте через сервер, нужно подумать, но это не сегодня уже.

Ок, спасибо!

A Former User

Нифига не могу понять ((((
После того как днс прописал на главной странице начались непонятные вещи. Прописывал на клиенте а на сервере теперь пообще впн поднимается с ошибкой
Feb 14 15:59:22 openvpn[26869]: ERROR: FreeBSD route add command failed: external program exited with error status: 1
Ничего не работает… в статусе на сервере:
Name ▴ Status Connected Since Virtual Addr Remote Host Bytes Sent Bytes Received
Malunceva-Pereleta UDP:1194

и все... статус пустой...
на клиенте статус down
Логи с сервера:

Feb 14 18:23:13	openvpn[8333]: OpenVPN 2.2.0 i386-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Aug 11 2011
Feb 14 18:23:13	openvpn[8333]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Feb 14 18:23:13	openvpn[8333]: TUN/TAP device /dev/tun1 opened
Feb 14 18:23:13	openvpn[8333]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Feb 14 18:23:13	openvpn[8333]: /sbin/ifconfig ovpns1 10.0.8.1 10.0.8.2 mtu 1500 netmask 255.255.255.255 up
Feb 14 18:23:13	openvpn[8333]: /usr/local/sbin/ovpn-linkup ovpns1 1500 1560 10.0.8.1 10.0.8.2 init
Feb 14 18:23:13	openvpn[9815]: UDPv4 link local (bound): [AF_INET]10.1.1.1:1194
Feb 14 18:23:13	openvpn[9815]: UDPv4 link remote: [undef]

Логи с клиента:

Feb 14 18:25:45	openvpn[3125]: OpenVPN 2.2.0 i386-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Aug 11 2011
Feb 14 18:25:45	openvpn[3125]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Feb 14 18:25:45	openvpn[3125]: TUN/TAP device /dev/tun1 opened
Feb 14 18:25:45	openvpn[3125]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Feb 14 18:25:45	openvpn[3125]: /sbin/ifconfig ovpnc1 10.0.8.2 10.0.8.1 mtu 1500 netmask 255.255.255.255 up
Feb 14 18:25:45	openvpn[3125]: /usr/local/sbin/ovpn-linkup ovpnc1 1500 1560 10.0.8.2 10.0.8.1 init
Feb 14 18:25:45	openvpn[4402]: UDPv4 link local (bound): [AF_INET]10.1.1.2
Feb 14 18:25:45	openvpn[4402]: UDPv4 link remote: [AF_INET]10.1.1.1:1194
Feb 14 18:26:46	openvpn[4402]: Inactivity timeout (--ping-restart), restarting
Feb 14 18:26:46	openvpn[4402]: SIGUSR1[soft,ping-restart] received, process restarting
Feb 14 18:26:48	openvpn[4402]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Feb 14 18:26:48	openvpn[4402]: Re-using pre-shared static key
Feb 14 18:26:48	openvpn[4402]: Preserving previous TUN/TAP instance: ovpnc1
Feb 14 18:26:48	openvpn[4402]: UDPv4 link local (bound): [AF_INET]10.1.1.2
Feb 14 18:26:48	openvpn[4402]: UDPv4 link remote: [AF_INET]10.1.1.1:1194
Feb 14 18:27:18	openvpn[4402]: write UDPv4: Host is down (code=64)
Feb 14 18:27:28	openvpn[4402]: write UDPv4: Host is down (code=64)
Feb 14 18:27:28	openvpn[4402]: write UDPv4: Host is down (code=64)
Feb 14 18:27:38	openvpn[4402]: write UDPv4: Host is down (code=64)
Feb 14 18:27:38	openvpn[4402]: write UDPv4: Host is down (code=64)
Feb 14 18:27:48	openvpn[4402]: Inactivity timeout (--ping-restart), restarting
Feb 14 18:27:48	openvpn[4402]: SIGUSR1[soft,ping-restart] received, process restarting
Feb 14 18:27:50	openvpn[4402]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Feb 14 18:27:50	openvpn[4402]: Re-using pre-shared static key
Feb 14 18:27:50	openvpn[4402]: Preserving previous TUN/TAP instance: ovpnc1
Feb 14 18:27:50	openvpn[4402]: UDPv4 link local (bound): [AF_INET]10.1.1.2
Feb 14 18:27:50	openvpn[4402]: UDPv4 link remote: [AF_INET]10.1.1.1:1194
Feb 14 18:27:50	openvpn[4402]: write UDPv4: Host is down (code=64)
Feb 14 18:28:00	openvpn[4402]: write UDPv4: Host is down (code=64)
Feb 14 18:28:00	openvpn[4402]: write UDPv4: Host is down (code=64)
Feb 14 18:28:50	openvpn[4402]: Inactivity timeout (--ping-restart), restarting
Feb 14 18:28:50	openvpn[4402]: SIGUSR1[soft,ping-restart] received, process restarting
Feb 14 18:28:52	openvpn[4402]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Feb 14 18:28:52	openvpn[4402]: Re-using pre-shared static key
Feb 14 18:28:52	openvpn[4402]: Preserving previous TUN/TAP instance: ovpnc1
Feb 14 18:28:52	openvpn[4402]: UDPv4 link local (bound): [AF_INET]10.1.1.2
Feb 14 18:28:52	openvpn[4402]: UDPv4 link remote: [AF_INET]10.1.1.1:1194

Переустановил все с нуля, все равно такое чудо творится, думал может в коммутаторе дело, подрубил напрямую в ван интерфейс сервака, все равно такая же ерунда…