Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN подключение Клиенты-сеть за OpenVPN

    Scheduled Pinned Locked Moved Russian
    25 Posts 3 Posters 5.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • werterW
      werter
      last edited by

      Конфиг PC-клиента покажите.

      1 Reply Last reply Reply Quote 0
      • D
        dTinside
        last edited by

        Конфиг клиента:

        
        persist-tun
        persist-key
        cipher AES-128-CBC
        auth SHA1
        tls-client
        client
        remote *EXT_IP* 1194 udp
        lport 0
        verify-x509-name "NLB Server Cert" name
        auth-user-pass
        ns-cert-type server
        comp-lzo
        
        
        1 Reply Last reply Reply Quote 0
        • D
          dTinside
          last edited by

          Asus это временное решение, пока я тестю дома с провайдером через Ethernet. А в боевых условиях будет ADSL, который, как я предполагаю, нудо будет настраивать в режим моста.

          В Asusе всё НАТировано на pfSense, всё-таки думаю, что Asus ничего не решает, ведь мобильным клиентам он не мешает. Думаю, проблема на клиенте.

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            Если у вас в кач-ве PC-клиента - win 7\vista\8  - устанавливайте и запускайте клиента от имени Администратора! Это важно.
            Далее, в конфиг клиента добавьте директивы :

            route-delay 5
            route-method exe
            ip-win32 netsh
            pull

            После установления OpenVPN-сессии посмотрите на клиенте вывод команды route print - появился ли там маршрут в удаленную сеть за сервером.

            1 Reply Last reply Reply Quote 0
            • D
              dTinside
              last edited by

              @werter:

              route-delay 5
              route-method exe
              ip-win32 netsh
              pull

              Добавил на клиенте, получаю

              Tue Mar 11 13:31:32 2014 NETSH: C:\WINDOWS\system32\netsh.exe interface ip set address Подключение по локальной сети 3 static 10.10.8.14 255.255.255.252
              Tue Mar 11 13:31:35 2014 ERROR: netsh command failed: returned error code 1
              

              Это WindowsXP HE. Пользователь в группе администраторов.

              Если запускаться без этих строк, то в таблице маршрутизации есть строка
              Адрес - Маска - Адрес Шлюза - Интерфейс - Метрика
              192.168.10.0  255.255.255.0  10.10.8.13    10.10.8.14  1

              Откуда берётся адрес шлюза .13 для меня загадка. Есть идеи?

              Ага, адрес .13 указан в строке DHCP сервер TAP адаптера. Маска 255.255.255.252

              1 Reply Last reply Reply Quote 0
              • werterW
                werter
                last edited by

                Нет ли статических маршрутов на PC-клиенте ?

                1 Reply Last reply Reply Quote 0
                • D
                  dTinside
                  last edited by

                  @werter:

                  Нет ли статических маршрутов на PC-клиенте ?

                  Нет.
                  Нормально ли, что в TAP  адаптере нет шлюза?

                  1 Reply Last reply Reply Quote 0
                  • werterW
                    werter
                    last edited by

                    Есть ли fw\antivirus на клиенте - родной, Касперский, NOD32 etc? Отключите их.

                    1 Reply Last reply Reply Quote 0
                    • D
                      dTinside
                      last edited by

                      @werter:

                      Есть ли fw\antivirus на клиенте - родной, Касперский, NOD32 etc? Отключите их.

                      KIS 14, отключил, перезапустил соединение, та же история - сервер видно, сеть за ним нет.

                      1 Reply Last reply Reply Quote 0
                      • D
                        dTinside
                        last edited by

                        @werter:

                        Далее, в конфиг клиента добавьте директивы :

                        pull

                        Если чтение мануалов для меня не прошло зря, то раз есть Pull, то на стороне сервера должен быть Push, верно?
                        У меня его нет.

                        1 Reply Last reply Reply Quote 0
                        • werterW
                          werter
                          last edited by

                          @dTinside:

                          @werter:

                          Далее, в конфиг клиента добавьте директивы :

                          pull

                          Если чтение мануалов для меня не прошло зря, то раз есть Pull, то на стороне сервера должен быть Push, верно?
                          У меня его нет.

                          Не совсем так. Pull - принятие всех настроек от сервера , т.е. не только тех точ с push.
                          Далее - вы проверяли доступ только к одному адресу за сервером? Проверьте другие и не только ping-ом, но и telnet-ом на открытые порты.

                          1 Reply Last reply Reply Quote 0
                          • D
                            dTinside
                            last edited by

                            @werter:

                            @dTinside:

                            @werter:

                            Далее, в конфиг клиента добавьте директивы :

                            pull

                            Если чтение мануалов для меня не прошло зря, то раз есть Pull, то на стороне сервера должен быть Push, верно?
                            У меня его нет.

                            Не совсем так. Pull - принятие всех настроек от сервера , т.е. не только тех точ с push.
                            Далее - вы проверяли доступ только к одному адресу за сервером? Проверьте другие и не только ping-ом, но и telnet-ом на открытые порты.

                            С другими ПК локалки тоже самое. Повторюсь, доступ с телефона и планшета есть, полагаю, что с сервером и локалкой за ним всё в порядке. Может быть дело всё-таки в настройках клиента?

                            1 Reply Last reply Reply Quote 0
                            • werterW
                              werter
                              last edited by

                              Попробуйте другую машину, установив на нее OpenVPN-клиент.

                              1 Reply Last reply Reply Quote 0
                              • D
                                dTinside
                                last edited by

                                @werter:

                                Попробуйте другую машину, установив на нее OpenVPN-клиент.

                                Уже делал. Подключался из нескольких мест с 2008R2, 7, XP - результат один и тот же.

                                1 Reply Last reply Reply Quote 0
                                • werterW
                                  werter
                                  last edited by

                                  2 dTinside
                                  Прочтите ЛС.

                                  1 Reply Last reply Reply Quote 0
                                  • D
                                    dTinside
                                    last edited by

                                    Рабочий конфиг клиента на стороне Windows

                                    
                                    dev tun
                                    keepalive 5 10
                                    ping-timer-rem
                                    persist-tun
                                    persist-key
                                    cipher AES-128-CBC
                                    auth SHA1
                                    tls-client
                                    client
                                    resolv-retry infinite
                                    remote *** 1194 udp
                                    lport 0
                                    verify-x509-name "***" name
                                    auth-user-pass
                                    pkcs12 ***.p12
                                    tls-auth ***.key 1
                                    ns-cert-type server
                                    comp-lzo
                                    comp-noadapt
                                    route-delay 5
                                    route-method exe
                                    # ip-win32 netsh
                                    pull
                                    verb 3
                                    auth-user-pass pwd.txt 
                                    
                                    

                                    Проблема решена! Огромнейшее спасибо Werter!

                                    1 Reply Last reply Reply Quote 0
                                    • werterW
                                      werter
                                      last edited by

                                      Рад , что вышло.

                                      P.s. Кстати ключи и сертификаты можно хранить не в разных файлах + файл конфига (.ovpn), а в одном. В pfsense во вкладке экспорта конфигурации есть inline-экспорт. На выходе получаем один файл .ovpn, в теле к-ого хранятся и настройки и файлы ключей, сертификатов.

                                      1 Reply Last reply Reply Quote 0
                                      • K
                                        kuznetsov_anton
                                        last edited by

                                        @dTinside:

                                        Рабочий конфиг клиента на стороне Windows

                                        
                                        dev tun
                                        keepalive 5 10
                                        ping-timer-rem
                                        persist-tun
                                        persist-key
                                        cipher AES-128-CBC
                                        auth SHA1
                                        tls-client
                                        client
                                        resolv-retry infinite
                                        remote *** 1194 udp
                                        lport 0
                                        verify-x509-name "***" name
                                        auth-user-pass
                                        pkcs12 ***.p12
                                        tls-auth ***.key 1
                                        ns-cert-type server
                                        comp-lzo
                                        comp-noadapt
                                        route-delay 5
                                        route-method exe
                                        # ip-win32 netsh
                                        pull
                                        verb 3
                                        auth-user-pass pwd.txt 
                                        
                                        

                                        Проблема решена! Огромнейшее спасибо Werter!

                                        У меня такая же проблема, все равно нет пинга к локальной сети(

                                        1 Reply Last reply Reply Quote 0
                                        • werterW
                                          werter
                                          last edited by

                                          @kuznetsov_anton:

                                          У меня такая же проблема, все равно нет пинга к локальной сети(

                                          И как вам помочь, мил человек ?
                                          Ни описания структуры, ни схемы.

                                          1 Reply Last reply Reply Quote 0
                                          • First post
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.