OpenVPN ips fijas en clientes Windows 2008, no funciona
-
Buenas tardes a todos,
Estoy teniendo el siguiente problema, he montado un OpenVPN en mi pfsense con sus configuraciones correspondientes, en la pestaña Client Specific Overrides defini el nombre del usuario que tengo dado de alta y con el parametro ifconfig-push 172.16.1.10 172.16.1.10 para asignar esta ip al cliente definido. Al exportar el instalador con el Wizard del OpenVPN y instalarlo en mi clientes Windows me sale el siguiente mensaje: Conneting to cliente-config has failed , There is a problem in your seletion of -ifconfig endpoints (local=172.16.1.10, remote=172.16.1.1). The local and remote VPN enpoints must exist within the same 255.255.255.252 subnet. This is a limitation of -dev tun when used with the TAP-WIN32 driver. Try openvpn -show-valid-subnet options for more info.
Acontinuacion detallo la configuracion del servidor:
dev ovpns1
verb 1
dev-type tun
tun-ipv6
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-256-CBC
auth SHA1
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
client-connect /usr/local/sbin/openvpn.attributes.sh
client-disconnect /usr/local/sbin/openvpn.attributes.sh
local 10.0.0.115
tls-server
server 172.16.1.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
username-as-common-name
auth-user-pass-verify "/usr/local/sbin/ovpn_auth_verify user 'Local Database' false server1" via-env
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'OpenVPN-Certificate' 1 "
lport 1195
management /var/etc/openvpn/server1.sock unix
push "route 10.0.0.0 255.255.255.0"
push "dhcp-option DNS 10.0.0.1"
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.2048
tls-auth /var/etc/openvpn/server1.tls-auth 0
persist-remote-ip
floatAcontinuacion detallo la configuracion del cliente:
ifconfig-push 172.16.1.10 172.16.1.1Tienen alguna idea de por que no asigana la ip o de por que me este mensaje?
De antemano gracias.
-
Porque si quieres poner .10 te sales de la subred.
http://www.subnet-calculator.com/
En Documentación de este foro tenemos explicados los rangos en OpenVPN.
-
Gracias Bellera por tu respuesta, cambie para que la red de la vpn sea: 172.168.1.0/24 y coloque el cliente para que la ip del cliente 172.168.1.6, pero persiste el problema puede ser?
De antemano gracias
-
En todo caso tendria que ser la ip 5 y 6 de la misma subred. /30
-
Gente,
Cuando elimino la opcion de: Client Specific Overrides, el cliente vpn me conecta perfecto, con esta subred… :-\ :-\
-
Entiendo que sólo pueden ser determinadas IPs, tal como funciona OpenVPN:
https://forum.pfsense.org/index.php?topic=63552.msg343710#msg343710
Siempre queda Google openvpn static ip address client
-
El detalle aqui es que no puede ser cualquier IP .
Open VPN crea subredes /30 por cada cliente que se conecta , asi que siempre son en bloques de 4 Ips por usuario. La direccion de red , la del server , la del ciente y la de broadcast.mando un ejemplo de lo que tengo
![Sin título.png](/public/imported_attachments/1/Sin título.png)
![Sin título.png_thumb](/public/imported_attachments/1/Sin título.png_thumb) -
Para asignarles una IP en particular a mis clientes, lo hago de la siguiente manera:
En Client specific overrides, se coloca el CN del certificado, y luego en la opción para asignar una subred en particular, debes colocar una subred de tipo /30 donde la primera IP válida de dicha subred la tomará el servidor y la segunda el cliente.
Ejemplo, si específicas la subred 10.0.0.8/30, el cliente tomará la IP 10.0.0.10
No hacen falta otras directivas
-
Es correcto lo que menciona georgeman, no se requiere otra cosa.
Alguien ha hecho esto con clientes de mikrotik con PFsense como server ? yo lo tengo funcionando con clientes mikrotik, pero no he podido asignar Ips fijas.
Saludos
-
Perfecto muchas gracias, funciono perfecto!
-
Chicos buenas tardes,
Les comento que pude agregar correctamente un cliente con ip estática que es la: 10.0.8.2, pero no me logra conectar cuando quiero agregar otro cliente, siguiendo lo que se menciona anteriormente le coloque la ip 10.0.8.6 y no conecta , me sale el mismo error que mencione al principio del post.
Del lado del cliente saliendo por el mismo enlace de internet
server1 (10.0.8.2) conecta ok–---
Firewall ----------------------------------OPENVPN PFSENSE
server2 (10.0.8.6) no conecta-----
Detallo los logs que me salen de parte del openvpn
Jul 7 17:23:34 openvpn[32984]: MANAGEMENT: CMD 'status 2'
Jul 7 17:23:34 openvpn[32984]: MANAGEMENT: CMD 'quit'
Jul 7 17:23:34 openvpn[32984]: MANAGEMENT: Client disconnected
Jul 7 17:23:38 openvpn[32984]: MULTI: multi_create_instance called
Jul 7 17:23:38 openvpn[32984]: 190.xxx.yyy.zzz:4132 Re-using SSL/TLS context
Jul 7 17:23:38 openvpn[32984]: 190.xxx.yyy.zzz:4132 Control Channel MTU parms [ L:1557 D:166 EF:66 EB:0 ET:0 EL:3 ]
Jul 7 17:23:38 openvpn[32984]: 190.xxx.yyy.zzz:4132 Data Channel MTU parms [ L:1557 D:1450 EF:57 EB:12 ET:0 EL:3 ]
Jul 7 17:23:38 openvpn[32984]: 190.xxx.yyy.zzz:4132 Local Options String: 'V4,dev-type tun,link-mtu 1557,tun-mtu 1500,proto UDPv4,keydir 0,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-server'
Jul 7 17:23:38 openvpn[32984]: 190.xxx.yyy.zzz:4132 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1557,tun-mtu 1500,proto UDPv4,keydir 1,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-client'
Jul 7 17:23:38 openvpn[32984]: 190.xxx.yyy.zzz:4132 Local Options hash (VER=V4): '8a244582'
Jul 7 17:23:38 openvpn[32984]: 190.xxx.yyy.zzz:4132 Expected Remote Options hash (VER=V4): 'ed844052'
Jul 7 17:23:38 openvpn[32984]: 190.xxx.yyy.zzz:4132 TLS: Initial packet from [AF_INET]190.xxx.yyy.zzz:4132, sid=5269f49e 8e124a0e
Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 VERIFY SCRIPT OK: depth=1, C=AR, ST=CABA, L=CABA, O=TASSO, emailAddress=infraestructura@tasso.com.ar, CN=OpenVPN-CA
Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 VERIFY OK: depth=1, C=AR, ST=CABA, L=CABA, O=TASSO, emailAddress=infraestructura@tasso.com.ar, CN=OpenVPN-CA
Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 VERIFY SCRIPT OK: depth=0, C=AR, ST=CABA, L=CABA, O=TASSO, emailAddress=infraestructura@tasso.com.ar, CN=grg
Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 VERIFY OK: depth=0, C=AR, ST=CABA, L=CABA, O=TASSO, emailAddress=infraestructura@tasso.com.ar, CN=grg
Jul 7 17:23:43 openvpn: user 'grg' authenticated
Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 TLS: Username/Password authentication succeeded for username 'grg' [CN SET]
Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 [grg] Peer Connection Initiated with [AF_INET]190.xxx.yyy.zzz:4132
Jul 7 17:23:43 openvpn[32984]: grg/190.xxx.yyy.zzz:4132 OPTIONS IMPORT: reading client specific options from: /var/etc/openvpn-csc/grg
Jul 7 17:23:43 openvpn[32984]: grg/190.xxx.yyy.zzz:4132 OPTIONS IMPORT: reading client specific options from: /tmp/openvpn_cc_6afcde8256ad8dac8ed1bacf04020524.tmp
Jul 7 17:23:43 openvpn[32984]: grg/190.xxx.yyy.zzz:4132 MULTI: Learn: 10.0.8.6 -> grg/190.xxx.yyy.zzz:4132
Jul 7 17:23:43 openvpn[32984]: grg/190.xxx.yyy.zzz:4132 MULTI: primary virtual IP for grg/190.xxx.yyy.zzz:4132: 10.0.8.6De antemano gracias