OpenVPN PKI: Site-to-Site инструкция для обсуждения

werter

@ pigbrother
Спасибо за ответ по Mikrotik.

Но с ценой не соглашусь :

Mikrotik

http://hotline.ua/network/besprovodnoe-oborudovanie/?q=mikrotik (для перевода в $ делите на 12) . Сколько стоит самый дешевый с wi-fi ?

vs

Asus :

http://hotline.ua/network-besprovodnoe-oborudovanie/asus-rt-n10p/
http://hotline.ua/network-besprovodnoe-oborudovanie/asus-rt-n12-d1/
http://hotline.ua/network-besprovodnoe-oborudovanie/asus-rt-n10u-b1/

pigbrother

Спасибо за ответ по Mikrotik.

Ну это я описывал тоько плюсы. Минусов\трудностей тоже хватает.

Что же касается цены… Если учесть стоимость открытия новой площадки (склада\магазина\офиса) переплата в $20-30 просто не видна. Для дома выбор Mikrotik - скорее удел энтузиастов, чем реальная необходимость.

Из перечисленных ранее плюсов, выделю, пожалуй,  п.3

Ilyuha

@Ilyuha:

Привет, парни. С обновлением на 2.1.3 у меня появилась проблема с ovpn. Очень часто стало происходить переподключение клиента к серверу в режиме Site-to-Site.
Лог клиента

May 15 09:30:01	openvpn[64470]: Initialization Sequence Completed
May 15 09:30:01	openvpn[64470]: Preserving previous TUN/TAP instance: ovpnc1
May 15 09:29:59	openvpn[64470]: [srv-r1.domain.ru] Peer Connection Initiated with [AF_INET]xxx.xxx.xxx.xxx:11194
May 15 09:29:59	openvpn[64470]: UDPv4 link remote: [AF_INET]xxx.xxx.xxx.xxx:11194
May 15 09:29:59	openvpn[64470]: UDPv4 link local (bound): [AF_INET]yyy.yyy.yyy.yyy
May 15 09:29:59	openvpn[64470]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
May 15 09:29:59	openvpn[64470]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
May 15 09:29:57	openvpn[64470]: SIGUSR1[soft,ping-restart] received, process restarting
May 15 09:29:57	openvpn[64470]: [srv-r1.domain.ru] Inactivity timeout (--ping-restart), restarting

Лог сервера

May 15 09:30:01	openvpn[64669]: srv-r2.domain.ru/yyy.yyy.yyy.yyy:32885 send_push_reply(): safe_cap=940
May 15 09:29:59	openvpn[64669]: srv-r2.domain.ru/yyy.yyy.yyy.yyy:32885 MULTI_sva: pool returned IPv4=10.0.18.6, IPv6=(Not enabled)
May 15 09:29:59	openvpn[64669]: yyy.yyy.yyy.yyy:32885 [srv-r2.domain.ru] Peer Connection Initiated with [AF_INET]yyy.yyy.yyy.yyy:32885
May 15 09:29:39	openvpn[68832]: Initialization Sequence Completed
May 15 09:29:39	openvpn[68832]: /usr/local/sbin/ovpn-linkup ovpnc2 1500 1541 172.16.202.21 172.16.202.22 init
May 15 09:29:39	openvpn[68832]: /sbin/ifconfig ovpnc2 172.16.202.21 172.16.202.22 mtu 1500 netmask 255.255.255.255 up
May 15 09:29:39	openvpn[68832]: do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0
May 15 09:29:39	openvpn[68832]: TUN/TAP device /dev/tun2 opened
May 15 09:29:39	openvpn[68832]: TUN/TAP device ovpnc2 exists previously, keep at program end
May 15 09:29:37	openvpn[68832]: [ticket-server] Peer Connection Initiated with [AF_INET]zzz.zzz.zzz.zzz:1196
May 15 09:29:36	openvpn[68832]: UDPv4 link remote: [AF_INET]zzz.zzz.zzz.zzz:1196
May 15 09:29:36	openvpn[68832]: UDPv4 link local (bound): [AF_INET]xxx.xxx.xxx.xxx
May 15 09:29:36	openvpn[68420]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
May 15 09:29:36	openvpn[68420]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
May 15 09:29:36	openvpn[68420]: OpenVPN 2.3.2 amd64-portbld-freebsd8.3 [SSL (OpenSSL)] [LZO] [eurephia] [MH] [IPv6] built on Mar 27 2014
May 15 09:29:36	openvpn[1195]: SIGTERM[hard,] received, process exiting
May 15 09:29:36	openvpn[1195]: /usr/local/sbin/ovpn-linkdown ovpnc2 1500 1541 172.16.202.21 172.16.202.22 init
May 15 09:29:36	openvpn[64669]: Initialization Sequence Completed
May 15 09:29:36	openvpn[64669]: UDPv4 link remote: [undef]
May 15 09:29:36	openvpn[64669]: UDPv4 link local (bound): [AF_INET]xxx.xxx.xxx.xxx:11194
May 15 09:29:36	openvpn[1195]: event_wait : Interrupted system call (code=4)
May 15 09:29:36	openvpn[62072]: /usr/local/sbin/ovpn-linkup ovpns1 1500 1557 10.0.18.1 10.0.18.2 init
May 15 09:29:36	openvpn[62072]: /sbin/ifconfig ovpns1 10.0.18.1 10.0.18.2 mtu 1500 netmask 255.255.255.255 up
May 15 09:29:36	openvpn[62072]: do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0
May 15 09:29:36	openvpn[62072]: TUN/TAP device /dev/tun1 opened
May 15 09:29:36	openvpn[62072]: TUN/TAP device ovpns1 exists previously, keep at program end
May 15 09:29:36	openvpn[62072]: Control Channel Authentication: using '/var/etc/openvpn/server1.tls-auth' as a OpenVPN static key file
May 15 09:29:36	openvpn[62072]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
May 15 09:29:36	openvpn[62072]: OpenVPN 2.3.2 amd64-portbld-freebsd8.3 [SSL (OpenSSL)] [LZO] [eurephia] [MH] [IPv6] built on Mar 27 2014
May 15 09:29:36	openvpn[97729]: SIGTERM[hard,] received, process exiting
May 15 09:29:36	openvpn[97729]: /usr/local/sbin/ovpn-linkdown ovpns1 1500 1557 10.0.18.1 10.0.18.2 init
May 15 09:29:36	openvpn[97729]: event_wait : Interrupted system call (code=4)
May 15 09:28:59	openvpn[1195]: Initialization Sequence Completed
May 15 09:28:59	openvpn[1195]: /usr/local/sbin/ovpn-linkup ovpnc2 1500 1541 172.16.202.21 172.16.202.22 init
May 15 09:28:59	openvpn[1195]: /sbin/ifconfig ovpnc2 172.16.202.21 172.16.202.22 mtu 1500 netmask 255.255.255.255 up
May 15 09:28:59	openvpn[1195]: do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0
May 15 09:28:59	openvpn[1195]: TUN/TAP device /dev/tun2 opened
May 15 09:28:59	openvpn[1195]: TUN/TAP device ovpnc2 exists previously, keep at program end
May 15 09:28:57	openvpn[1195]: [ticket-server] Peer Connection Initiated with [AF_INET]zzz.zzz.zzz.zzz:1196
May 15 09:28:57	openvpn[1195]: UDPv4 link remote: [AF_INET]zzz.zzz.zzz.zzz:1196
May 15 09:28:57	openvpn[1195]: UDPv4 link local (bound): [AF_INET]xxx.xxx.xxx.xxx
May 15 09:28:57	openvpn[1114]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
May 15 09:28:57	openvpn[1114]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
May 15 09:28:57	openvpn[1114]: OpenVPN 2.3.2 amd64-portbld-freebsd8.3 [SSL (OpenSSL)] [LZO] [eurephia] [MH] [IPv6] built on Mar 27 2014
May 15 09:28:57	openvpn[3639]: SIGTERM[hard,] received, process exiting
May 15 09:28:57	openvpn[3639]: /usr/local/sbin/ovpn-linkdown ovpnc2 1500 1541 172.16.202.21 172.16.202.22 init
May 15 09:28:57	openvpn[97729]: Initialization Sequence Completed
May 15 09:28:57	openvpn[97729]: UDPv4 link remote: [undef]
May 15 09:28:57	openvpn[97729]: UDPv4 link local (bound): [AF_INET]xxx.xxx.xxx.xxx:11194
May 15 09:28:57	openvpn[3639]: event_wait : Interrupted system call (code=4)
May 15 09:28:57	openvpn[95558]: /usr/local/sbin/ovpn-linkup ovpns1 1500 1557 10.0.18.1 10.0.18.2 init
May 15 09:28:57	openvpn[95558]: /sbin/ifconfig ovpns1 10.0.18.1 10.0.18.2 mtu 1500 netmask 255.255.255.255 up
May 15 09:28:57	openvpn[95558]: do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0
May 15 09:28:57	openvpn[95558]: TUN/TAP device /dev/tun1 opened
May 15 09:28:57	openvpn[95558]: TUN/TAP device ovpns1 exists previously, keep at program end
May 15 09:28:57	openvpn[95558]: Control Channel Authentication: using '/var/etc/openvpn/server1.tls-auth' as a OpenVPN static key file
May 15 09:28:57	openvpn[95558]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
May 15 09:28:57	openvpn[95558]: OpenVPN 2.3.2 amd64-portbld-freebsd8.3 [SSL (OpenSSL)] [LZO] [eurephia] [MH] [IPv6] built on Mar 27 2014
May 15 09:28:57	openvpn[99580]: SIGTERM[hard,] received, process exiting
May 15 09:28:57	openvpn[99580]: /usr/local/sbin/ovpn-linkdown ovpns1 1500 1557 10.0.18.1 10.0.18.2 init
May 15 09:28:57	openvpn[99580]: event_wait : Interrupted system call (code=4)

Помогите пожалуйста разобраться что изменилось в настройках после обновления.

Отцы, а мне поможете?

werter

@ Ilyuha
1. Удалите старый сервер OpenVPN \ клиент OpenVPN
2. Настройте заново в том же режиме или в режиме Remote access (SSL/TLS)

Вы бы это давно уже сделали и забыли про проблему.

Ilyuha

@werter:

@ Ilyuha
1. Удалите старый сервер OpenVPN \ клиент OpenVPN
2. Настройте заново в том же режиме или в режиме Remote access (SSL/TLS)

Вы бы это давно уже сделали и забыли про проблему.

Сделал все по новой: перегенерировал сертификаты, настроил в режиме P2P - результат тотже. Настораживает первая строчка в логе перед разрывом соединения

May 21 10:35:08	openvpn[99686]: [srv-r1.домен.ru] Inactivity timeout (--ping-restart), restarting

Где можно посмотреть настройки параметра неактивности?
PS Отключил пока мониторинг ВПН шлюза со стороны клиента, может он думает что нет связи.
PPS Не помогло отключение мониторинга шлюза ВПН…

werter

У меня в настройках клиента :

keepalive 5 10
ping-timer-rem

Если для вас это слишком часто :

keepalive 60 120

http://tuxnotes.ru/articles.php?a_id=26 :

keepalive < seconds > < seconds > - является совмещением сразу двух команд - ping и ping-restart. Использует сразу два параметра в секундах, перечисленных через пробел. Пример:
keepalive 10 180
Означает следующее: каждые 10 секунд посылать ping на удаленный хост, и, если за 180 секунд не было получено ни одного пакета - то перезапускать туннель.

Ilyuha

@werter:

У меня в настройках клиента :

keepalive 5 10
ping-timer-rem

Это слишком часто , согласен, смените, например, на :

keepalive 60 120

http://tuxnotes.ru/articles.php?a_id=26 :

keepalive < seconds > < seconds > - является совмещением сразу двух команд - ping и ping-restart. Использует сразу два параметра в секундах, перечисленных через пробел. Пример:
keepalive 10 180
Означает следующее: каждые 10 секунд посылать ping на удаленный хост, и, если за 180 секунд не было получено ни одного пакета - то перезапускать туннель.

На клиенте в Advanced configuration добавить```
keepalive 60 120

werter

Верно. Пробуйте.

Ilyuha

werter
Увеличил keepalive 60 300 и по прежнему происходит реконнект.

May 22 13:31:10	openvpn[15065]: Initialization Sequence Completed
May 22 13:31:10	openvpn[15065]: Preserving previous TUN/TAP instance: ovpnc2
May 22 13:31:08	openvpn[15065]: [srv-r1.domain.ru] Peer Connection Initiated with [AF_INET]xxx.xxx.xxx.xxx:11194
May 22 13:31:08	openvpn[15065]: UDPv4 link remote: [AF_INET]xxx.xxx.xxx.xxx:11194
May 22 13:31:08	openvpn[15065]: UDPv4 link local (bound): [AF_INET]yyy.yyy.yyy.yyy
May 22 13:31:08	openvpn[15065]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
May 22 13:31:08	openvpn[15065]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
May 22 13:31:06	openvpn[15065]: SIGUSR1[soft,ping-restart] received, process restarting
May 22 13:31:06	openvpn[15065]: [srv-r1.domain.ru] Inactivity timeout (--ping-restart), restarting

В чем еще может быть проблема?

werter

1.

keepalive 60 300

Слишком много . Хотя бы :

keepalive 10 60

2. Далее, возможно что-то с настройками сервиса OpenVPN на сервере\клиенте.
Попробуйте грознуть и настройить с нуля.

3. След. момент - проблемы у провайдера с каналом. Как с одной так и с другой стороны.

EternalTear

Подскажите пожалуйста…
настроил по инструкции...  работает.... но только с 1 филиалом... не могу добавить еще двух..

Сеть офиса            - 192.168.0.0/24
Сеть филиала №1 - 192.168.10.0/24
Сеть филиала №2 - 192.168.11.0/24
Сеть филиала №3 - 192.168.12.0/24

в настройках Сервера

указал сеть IPv4 Local Network/s - 192.168.0.0/24

поле IPv4 Remote Network/s оставил пустым
и добавил маршруты в поле Advanced
route 192.168.10.0 255.255.255.0;
route 192.168.11.0 255.255.255.0;
route 192.168.12.0 255.255.255.0;

В Client Specific Override создал записи с командой iroute
названия соответствуют common name в сгенерированных сертификатах
у каждого клиента iroute на свою сеть

в фаерволе на вкладке OpenVPN создал разрешающие правила на сервере и клиентах…

с первым соеденилось успешно пинги бегают связь есть... а другие соединение OpenVPN поднимается.... но доступа нет и пингов нет... пингует клиент №2 и №3 только свой виртуальный IP а виртуальный сервера - нет и другого клиента - нет....

не пойму что и как первый раз настраиваю pfsense и OpenVPN

отличие от инструкции это поле Comon Name я тут прописал названия городов филиалов а не "opvnc1" как в примере... вижу просто в таблице Роутинга в столбике Netif как раз фигурируют opvnc1 у первого клиента opvnc2 у второго и opvnc3 у третьего..... это имеет значение?... нужно ли переделывать сертификаты с "common name" - opvnc1 ...2 ...3 ???

а в Client Specific Override-> Tunnel Settings : Tunnel Network
точно ничего указывать не нужно на сервере?

werter

@ EternalTear

Рисуйте схему со всеми адресами и укажите что хотите получить.

EternalTear

OpenVPN

сейчас добавил команду на сервер в поле Advanced

topology subnet;

так понятнее один сервер и клиенты
так же поле IPv4 Remote Network/s оставил пустым и добавил в Advanced

route 192.168.10.0 255.255.255.0;
route 192.168.11.0 255.255.255.0;
route 192.168.12.0 255.255.255.0;

тут не нужно указывать gateway и метрику?

Клиенты получают адреса
10.8.0.2
10.8.0.3
10.8.0.4

с 10.8.0.2 пинги на 10.8.0.1 есть.. а с остальных нет… сами себя пингуют а ни сервер 0.1... ни друг друга... не видят...
правила в фаерволе есть... на вкладке OpenVPN разрешено все + отдельно разрешен протокол ICMP тоже отовсюду и везде

Status - OpenVPN там ниже есть Show Routing Table

Common Name             Real Address Target Network Last Used

Boguslav zzz.zz.z.55:12017         10.8.0.2                 Sun Jun 1 18:44:17 2014
KrHutor yyy.y.yy.47:38106         192.168.12.0/24 Sun Jun 1 18:36:46 2014
Boguslav zzz.zz.z.55:12017         192.168.10.0/24 Sun Jun 1 18:35:34 2014
KrHutor yyy.y.yy.47:38106         10.8.0.4                 Sun Jun 1 18:40:39 2014
Dybyn xxx.x.xx.171:3465         192.168.11.0/24 Sun Jun 1 18:42:32 2014
Dybyn xxx.x.xx.171:3465         10.8.0.3                 Sun Jun 1 18:44:14 2014

тут маршруты есть.... а вот в Diagnostics - Routes на сервере ничего не вижу......

хм.... в поле IPv4 Remote Network/s можно писать несколько сетей?

EternalTear

Хм… странно раньше маршруты добавлялись...
изменил в Advanced роуты с добавлением gateway

route 192.168.10.0 255.255.255.0 10.8.0.1;
route 192.168.11.0 255.255.255.0 10.8.0.1;
route 192.168.12.0 255.255.255.0 10.8.0.1;

заработало... теперь к двум станциям есть таки доступ.... одна выделывается... постоянно рвется связь...
этот совет нашел здесь
хотя тут написано что нужно как в примере

кстати там же на форуме пишет человек что и в Client Specific Override где команда iroute так же указывать vpn_gateway и когда я так попробовал….. то произошло вообще нечто фантастическое..... те станции что уже работали перестали пинговаться... а вот та что никак не пинговалась стала работать .... Оо

мдее ничего не понятно... а можно как-то сделать что бы Virtual Address клиентам выдавало всегда один и тот же...?

werter

http://fastinetserver.wordpress.com/2013/03/09/pfsense-openvpn-static-ip-for-clients/

http://www.iceflatline.com/2014/01/how-to-assign-static-ip-addresses-to-openvpn-clients-in-pfsense/

EternalTear

Oo ….мдее..... очередной раз перезагрузил удаленные роутеры, перезагрузил свой..... и все запустилось.... но только с указанием gateway в командах iroute и route а не только сети и маски....

Заметил так же что правила фаервола иногда применяются сразу... а иногда нужно обязательно перезагрузить... очень путает... :(

за ссылки благодарю... завтра поэксперементирую...

werter

Можно попробовать вместо ребута делать reset states.

P.s. А версия продукта-то у вас какая ?  Не х64 часом?

pigbrother

@EternalTear

С радостью увидел бы ваши окончательные настройки.

Настройка  OpenVPN в pfSense 2.1.х - весьма своеобразный квест.

EternalTear

@werter:

P.s. А версия продукта-то у вас какая ?  Не х64 часом?

У всех стоит
2.1.3-RELEASE (i386)
built on Thu May 01 15:52:17 EDT 2014
FreeBSD 8.3-RELEASE-p16

@pigbrother:

С радостью увидел бы ваши окончательные настройки.

чуть позже…. хотя у меня все как в инструкции... на первой странице....

только в поле Advanced на сервере добавил (выделено жирным)
topology subnet;
route 192.168.10.0 255.255.255.0 10.8.0.1;
route 192.168.11.0 255.255.255.0 10.8.0.1;
route 192.168.12.0 255.255.255.0 10.8.0.1;
route 192.168.13.0 255.255.255.0 10.8.0.1;

где 10.8.0.1 - адрес VPN сервера в тунеле… а сети 192.168.10.0 - .....11.0 - .....12.0 - .....13.0 - это сети филиалов которые подключаются как клиенты

и Client Specific Override выглядит так:
для каждого клиента свой IP (192.168.10.0 - .....11.0 - .....12.0 - .....13.0)
iroute 192.168.10.0 255.255.255.0 10.8.0.1

главное в точности написать Common Name (CN - в сертификате клиента)

В фаерволе на интерфейсах WAN (у меня их аж три  :D ) не забыть открыть доступ на тот порт на котором настроен сервер OpenVPN
Ну и не забывайте перезагружать все устройства  ;) на всякий случай… если что-то не запустилось, а настроено правильно... (будьте внимательны  8) если что я не виноват коли вы себе доступ на ВебИнтерфейс закроете)

werter

А если 10.8.0.1 сменить на vpn_gateway; . Ибо явно указывать адрес шлюза - не комильфо.