Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN подключение Клиенты-сеть за OpenVPN

    Scheduled Pinned Locked Moved Russian
    25 Posts 3 Posters 5.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      dTinside
      last edited by

      @werter:

      Рисуем понятную схему сети, выкладываем конфиги OpenVPN-сервера и клиентов, выкладываем скрины настроек OpenVPN-сервера (вкладки Server , Client), скрины правил fw и NAT.

      Схема, сейчас и настройки пришлю.

      Scheme.jpg
      Scheme.jpg_thumb

      1 Reply Last reply Reply Quote 0
      • D
        dTinside
        last edited by

        Настройки сервера и NAT

        Сервер.jpg
        Сервер.jpg_thumb
        НАТ.jpg
        НАТ.jpg_thumb

        1 Reply Last reply Reply Quote 0
        • D
          dTinside
          last edited by

          Firewall

          Фаервол.jpg
          Фаервол.jpg_thumb

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            Ваш Асус - проблемное звено, однозначно. Зачем он Вам ? Если для ви-фи - переводите его в режим ТД \ отключайте DHCP и пускай pfsense всем "рулит".

            P.s. Повторюсь, если у вас rt-n12 c1\d1 - прошивайте его TomatoUSB shibby's mode - не пожалеете.

            1 Reply Last reply Reply Quote 0
            • werterW
              werter
              last edited by

              Конфиг PC-клиента покажите.

              1 Reply Last reply Reply Quote 0
              • D
                dTinside
                last edited by

                Конфиг клиента:

                
                persist-tun
                persist-key
                cipher AES-128-CBC
                auth SHA1
                tls-client
                client
                remote *EXT_IP* 1194 udp
                lport 0
                verify-x509-name "NLB Server Cert" name
                auth-user-pass
                ns-cert-type server
                comp-lzo
                
                
                1 Reply Last reply Reply Quote 0
                • D
                  dTinside
                  last edited by

                  Asus это временное решение, пока я тестю дома с провайдером через Ethernet. А в боевых условиях будет ADSL, который, как я предполагаю, нудо будет настраивать в режим моста.

                  В Asusе всё НАТировано на pfSense, всё-таки думаю, что Asus ничего не решает, ведь мобильным клиентам он не мешает. Думаю, проблема на клиенте.

                  1 Reply Last reply Reply Quote 0
                  • werterW
                    werter
                    last edited by

                    Если у вас в кач-ве PC-клиента - win 7\vista\8  - устанавливайте и запускайте клиента от имени Администратора! Это важно.
                    Далее, в конфиг клиента добавьте директивы :

                    route-delay 5
                    route-method exe
                    ip-win32 netsh
                    pull

                    После установления OpenVPN-сессии посмотрите на клиенте вывод команды route print - появился ли там маршрут в удаленную сеть за сервером.

                    1 Reply Last reply Reply Quote 0
                    • D
                      dTinside
                      last edited by

                      @werter:

                      route-delay 5
                      route-method exe
                      ip-win32 netsh
                      pull

                      Добавил на клиенте, получаю

                      Tue Mar 11 13:31:32 2014 NETSH: C:\WINDOWS\system32\netsh.exe interface ip set address Подключение по локальной сети 3 static 10.10.8.14 255.255.255.252
                      Tue Mar 11 13:31:35 2014 ERROR: netsh command failed: returned error code 1
                      

                      Это WindowsXP HE. Пользователь в группе администраторов.

                      Если запускаться без этих строк, то в таблице маршрутизации есть строка
                      Адрес - Маска - Адрес Шлюза - Интерфейс - Метрика
                      192.168.10.0  255.255.255.0  10.10.8.13    10.10.8.14  1

                      Откуда берётся адрес шлюза .13 для меня загадка. Есть идеи?

                      Ага, адрес .13 указан в строке DHCP сервер TAP адаптера. Маска 255.255.255.252

                      1 Reply Last reply Reply Quote 0
                      • werterW
                        werter
                        last edited by

                        Нет ли статических маршрутов на PC-клиенте ?

                        1 Reply Last reply Reply Quote 0
                        • D
                          dTinside
                          last edited by

                          @werter:

                          Нет ли статических маршрутов на PC-клиенте ?

                          Нет.
                          Нормально ли, что в TAP  адаптере нет шлюза?

                          1 Reply Last reply Reply Quote 0
                          • werterW
                            werter
                            last edited by

                            Есть ли fw\antivirus на клиенте - родной, Касперский, NOD32 etc? Отключите их.

                            1 Reply Last reply Reply Quote 0
                            • D
                              dTinside
                              last edited by

                              @werter:

                              Есть ли fw\antivirus на клиенте - родной, Касперский, NOD32 etc? Отключите их.

                              KIS 14, отключил, перезапустил соединение, та же история - сервер видно, сеть за ним нет.

                              1 Reply Last reply Reply Quote 0
                              • D
                                dTinside
                                last edited by

                                @werter:

                                Далее, в конфиг клиента добавьте директивы :

                                pull

                                Если чтение мануалов для меня не прошло зря, то раз есть Pull, то на стороне сервера должен быть Push, верно?
                                У меня его нет.

                                1 Reply Last reply Reply Quote 0
                                • werterW
                                  werter
                                  last edited by

                                  @dTinside:

                                  @werter:

                                  Далее, в конфиг клиента добавьте директивы :

                                  pull

                                  Если чтение мануалов для меня не прошло зря, то раз есть Pull, то на стороне сервера должен быть Push, верно?
                                  У меня его нет.

                                  Не совсем так. Pull - принятие всех настроек от сервера , т.е. не только тех точ с push.
                                  Далее - вы проверяли доступ только к одному адресу за сервером? Проверьте другие и не только ping-ом, но и telnet-ом на открытые порты.

                                  1 Reply Last reply Reply Quote 0
                                  • D
                                    dTinside
                                    last edited by

                                    @werter:

                                    @dTinside:

                                    @werter:

                                    Далее, в конфиг клиента добавьте директивы :

                                    pull

                                    Если чтение мануалов для меня не прошло зря, то раз есть Pull, то на стороне сервера должен быть Push, верно?
                                    У меня его нет.

                                    Не совсем так. Pull - принятие всех настроек от сервера , т.е. не только тех точ с push.
                                    Далее - вы проверяли доступ только к одному адресу за сервером? Проверьте другие и не только ping-ом, но и telnet-ом на открытые порты.

                                    С другими ПК локалки тоже самое. Повторюсь, доступ с телефона и планшета есть, полагаю, что с сервером и локалкой за ним всё в порядке. Может быть дело всё-таки в настройках клиента?

                                    1 Reply Last reply Reply Quote 0
                                    • werterW
                                      werter
                                      last edited by

                                      Попробуйте другую машину, установив на нее OpenVPN-клиент.

                                      1 Reply Last reply Reply Quote 0
                                      • D
                                        dTinside
                                        last edited by

                                        @werter:

                                        Попробуйте другую машину, установив на нее OpenVPN-клиент.

                                        Уже делал. Подключался из нескольких мест с 2008R2, 7, XP - результат один и тот же.

                                        1 Reply Last reply Reply Quote 0
                                        • werterW
                                          werter
                                          last edited by

                                          2 dTinside
                                          Прочтите ЛС.

                                          1 Reply Last reply Reply Quote 0
                                          • D
                                            dTinside
                                            last edited by

                                            Рабочий конфиг клиента на стороне Windows

                                            
                                            dev tun
                                            keepalive 5 10
                                            ping-timer-rem
                                            persist-tun
                                            persist-key
                                            cipher AES-128-CBC
                                            auth SHA1
                                            tls-client
                                            client
                                            resolv-retry infinite
                                            remote *** 1194 udp
                                            lport 0
                                            verify-x509-name "***" name
                                            auth-user-pass
                                            pkcs12 ***.p12
                                            tls-auth ***.key 1
                                            ns-cert-type server
                                            comp-lzo
                                            comp-noadapt
                                            route-delay 5
                                            route-method exe
                                            # ip-win32 netsh
                                            pull
                                            verb 3
                                            auth-user-pass pwd.txt 
                                            
                                            

                                            Проблема решена! Огромнейшее спасибо Werter!

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.