OpenVPN подключение Клиенты-сеть за OpenVPN

werter

Конфиг PC-клиента покажите.

dTinside

Конфиг клиента:

persist-tun
persist-key
cipher AES-128-CBC
auth SHA1
tls-client
client
remote *EXT_IP* 1194 udp
lport 0
verify-x509-name "NLB Server Cert" name
auth-user-pass
ns-cert-type server
comp-lzo

dTinside

Asus это временное решение, пока я тестю дома с провайдером через Ethernet. А в боевых условиях будет ADSL, который, как я предполагаю, нудо будет настраивать в режим моста.

В Asusе всё НАТировано на pfSense, всё-таки думаю, что Asus ничего не решает, ведь мобильным клиентам он не мешает. Думаю, проблема на клиенте.

werter

Если у вас в кач-ве PC-клиента - win 7\vista\8  - устанавливайте и запускайте клиента от имени Администратора! Это важно.
Далее, в конфиг клиента добавьте директивы :

route-delay 5
route-method exe
ip-win32 netsh
pull

После установления OpenVPN-сессии посмотрите на клиенте вывод команды route print - появился ли там маршрут в удаленную сеть за сервером.

dTinside

@werter:

route-delay 5
route-method exe
ip-win32 netsh
pull

Добавил на клиенте, получаю

Tue Mar 11 13:31:32 2014 NETSH: C:\WINDOWS\system32\netsh.exe interface ip set address Подключение по локальной сети 3 static 10.10.8.14 255.255.255.252
Tue Mar 11 13:31:35 2014 ERROR: netsh command failed: returned error code 1

Это WindowsXP HE. Пользователь в группе администраторов.

Если запускаться без этих строк, то в таблице маршрутизации есть строка
Адрес - Маска - Адрес Шлюза - Интерфейс - Метрика
192.168.10.0  255.255.255.0  10.10.8.13    10.10.8.14  1

Откуда берётся адрес шлюза .13 для меня загадка. Есть идеи?

Ага, адрес .13 указан в строке DHCP сервер TAP адаптера. Маска 255.255.255.252

werter

Нет ли статических маршрутов на PC-клиенте ?

dTinside

@werter:

Нет ли статических маршрутов на PC-клиенте ?

Нет.
Нормально ли, что в TAP  адаптере нет шлюза?

werter

Есть ли fw\antivirus на клиенте - родной, Касперский, NOD32 etc? Отключите их.

dTinside

@werter:

Есть ли fw\antivirus на клиенте - родной, Касперский, NOD32 etc? Отключите их.

KIS 14, отключил, перезапустил соединение, та же история - сервер видно, сеть за ним нет.

dTinside

@werter:

Далее, в конфиг клиента добавьте директивы :

pull

Если чтение мануалов для меня не прошло зря, то раз есть Pull, то на стороне сервера должен быть Push, верно?
У меня его нет.

werter

@dTinside:

@werter:

Далее, в конфиг клиента добавьте директивы :

pull

Если чтение мануалов для меня не прошло зря, то раз есть Pull, то на стороне сервера должен быть Push, верно?
У меня его нет.

Не совсем так. Pull - принятие всех настроек от сервера , т.е. не только тех точ с push.
Далее - вы проверяли доступ только к одному адресу за сервером? Проверьте другие и не только ping-ом, но и telnet-ом на открытые порты.

dTinside

@werter:

@dTinside:

@werter:

Далее, в конфиг клиента добавьте директивы :

pull

Если чтение мануалов для меня не прошло зря, то раз есть Pull, то на стороне сервера должен быть Push, верно?
У меня его нет.

Не совсем так. Pull - принятие всех настроек от сервера , т.е. не только тех точ с push.
Далее - вы проверяли доступ только к одному адресу за сервером? Проверьте другие и не только ping-ом, но и telnet-ом на открытые порты.

С другими ПК локалки тоже самое. Повторюсь, доступ с телефона и планшета есть, полагаю, что с сервером и локалкой за ним всё в порядке. Может быть дело всё-таки в настройках клиента?

werter

Попробуйте другую машину, установив на нее OpenVPN-клиент.

dTinside

@werter:

Попробуйте другую машину, установив на нее OpenVPN-клиент.

Уже делал. Подключался из нескольких мест с 2008R2, 7, XP - результат один и тот же.

werter

2 dTinside
Прочтите ЛС.

dTinside

Рабочий конфиг клиента на стороне Windows

dev tun
keepalive 5 10
ping-timer-rem
persist-tun
persist-key
cipher AES-128-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote *** 1194 udp
lport 0
verify-x509-name "***" name
auth-user-pass
pkcs12 ***.p12
tls-auth ***.key 1
ns-cert-type server
comp-lzo
comp-noadapt
route-delay 5
route-method exe
# ip-win32 netsh
pull
verb 3
auth-user-pass pwd.txt 

Проблема решена! Огромнейшее спасибо Werter!

werter

Рад , что вышло.

P.s. Кстати ключи и сертификаты можно хранить не в разных файлах + файл конфига (.ovpn), а в одном. В pfsense во вкладке экспорта конфигурации есть inline-экспорт. На выходе получаем один файл .ovpn, в теле к-ого хранятся и настройки и файлы ключей, сертификатов.

kuznetsov_anton

@dTinside:

Рабочий конфиг клиента на стороне Windows

dev tun
keepalive 5 10
ping-timer-rem
persist-tun
persist-key
cipher AES-128-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote *** 1194 udp
lport 0
verify-x509-name "***" name
auth-user-pass
pkcs12 ***.p12
tls-auth ***.key 1
ns-cert-type server
comp-lzo
comp-noadapt
route-delay 5
route-method exe
# ip-win32 netsh
pull
verb 3
auth-user-pass pwd.txt 

Проблема решена! Огромнейшее спасибо Werter!

У меня такая же проблема, все равно нет пинга к локальной сети(

werter

@kuznetsov_anton:

У меня такая же проблема, все равно нет пинга к локальной сети(

И как вам помочь, мил человек ?
Ни описания структуры, ни схемы.