OpenVPN PSK: Site-to-Site инструкция для обсуждения
-
Сделал все один в один по инструкции (кроме коннекта через .dyndns.org адреса вместо IP), у клиентов
Service not running? Unable to contact daemon
В логах
Jul 1 08:16:26 openvpn[1357]: OpenVPN 2.3.6 amd64-portbld-freebsd10.1 [SSL (OpenSSL)] [LZO] [MH] [IPv6] built on Apr 8 2015
Jul 1 08:16:26 openvpn[1357]: library versions: OpenSSL 1.0.1l-freebsd 15 Jan 2015, LZO 2.09
Jul 1 08:16:26 openvpn[1667]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
Jul 1 08:16:26 openvpn[1667]: TUN/TAP device /dev/tun1 opened
Jul 1 08:16:26 openvpn[1667]: do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0
Jul 1 08:16:26 openvpn[1667]: /sbin/ifconfig ovpnc1 10.0.8.2 10.0.8.1 mtu 1500 netmask 255.255.255.255 up
Jul 1 08:16:26 openvpn[1667]: FreeBSD ifconfig failed: external program exited with error status: 1
Jul 1 08:16:26 openvpn[1667]: Exiting due to fatal errorЧЯДНТ?
-
А кто ж его знает.
Ни скринов, ни версии пф. -
Все в точности как в первом посте. Отличаются только локальные сети (192.168.2.0/24 и 192.168.4.0\24) и способ получения внешнего IP (dyndns).
Версия 2.2.2.
Настройки сервера и клиента:
-
Status -> Openvpn и скрин лога (выкладывал выше)
-
ifconfig обычно вылетает, если в системе уже есть адрес/маршрут 10.0.8.1/10.0.8.2
посмотрите в Diagnostics > Routes так ли это -
Проверил, нет маршрута
-
Проблема вот в чем :
1. У Вас локальный интерфейс (физ.) re2 нах-ся в сети 10.0.0.0\8
2. В настройках OpenVPN Вы создаете пересекающуюся туннельную сеть 10.0.8.0\24Смените адресацию туннельной сети на что-то отличное от 10.х.х.х
-
Заменил туннельную сеть, ничего не поменялось, та же ошибка. ???
Jul 4 21:35:27 Gate openvpn[15552]: OpenVPN 2.3.6 amd64-portbld-freebsd10.1 [SSL (OpenSSL)] [LZO] [MH] [IPv6] built on Apr 8 2015
Jul 4 21:35:27 Gate openvpn[15552]: library versions: OpenSSL 1.0.1l-freebsd 15 Jan 2015, LZO 2.09
Jul 4 21:35:27 Gate openvpn[15713]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
Jul 4 21:35:27 Gate openvpn[15713]: TUN/TAP device /dev/tun1 opened
Jul 4 21:35:27 Gate openvpn[15713]: do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0
Jul 4 21:35:27 Gate openvpn[15713]: /sbin/ifconfig ovpnc1 168.0.8.2 168.0.8.1 mtu 1500 netmask 255.255.255.255 up
Jul 4 21:35:27 Gate openvpn[15713]: FreeBSD ifconfig failed: external program exited with error status: 1
Jul 4 21:35:27 Gate openvpn[15713]: Exiting due to fatal error -
Заменил туннельную сеть, ничего не поменялось, та же ошибка. ???
Jul 4 21:35:27 Gate openvpn[15713]: /sbin/ifconfig ovpnc1 168.0.8.2 168.0.8.1 mtu 1500 netmask 255.255.255.255 up
Jul 4 21:35:27 Gate openvpn[15713]: FreeBSD ifconfig failed: external program exited with error status: 1
Jul 4 21:35:27 Gate openvpn[15713]: Exiting due to fatal error168.0.8.2 168.0.8.1 mtu 1500 netmask 255.255.255.255 up
Это что такое?? Что это за адресация такая??
Для понимания :
http://linkmeup.ru/tag/сети%20для%20самых%20маленьких/ -
Это уже пережитки глубокого вечера ::)
178.64.42.0/24 и 192.168.10.0/24, та же история. -
178.64.42.0/24
Похожее пережитки так и не пережились :'(
Почитайте про "серые" \ приватные сети и их адресацию.
P.s. Не стоит выкладывать каждый пшик по изменению . Изучите теоретическую часть, по-мозгуйте, попробуйте и только потом обращайтесь. Здесь не твиттер - "я поел", "я поспал", "я …. "
-
Доброго времени суток!
С ВПН работаю в первый раз, прошу не пинать… по возможности:)
Вопрос следующий:
При настройке как в первом посте OpenVPN “Peer to Peer (Shared Key) необходимы ли дополнительные манипуляции для того чтобы например пингом видеть машины за проксей?
Тобишь если опираться на пример - 192.168.10.2 при пинге видит 192.168.20.2.
В настройках сети локальной машины серый статический IP:
IP 192.168.10.2
M 255.255.255.0
G 192.168.2.2
DNS 192.168.2.2
PFSense 2.2.4+squid+Lightsquid. LAN+WANP.s. vpn сервер, клиент подняты, пингуют друг друга. Но вот с локальной машины не могу ничего пропинговать в соседней сети.
-
Доброго.
Схему с адресацией рисуйте. -
Схама точно такая же как в первой инструкции.
Разница только в IPшниках. Я для простоты указал те, что в примере. -
У линка OVPNS1 - OVPNC1 метрика меньше чем у OVPNS2 - OVPNC2 поэтому все идет сейчас через него. Но если линк оборвать в головном офисе (отключить WAN1), то маршрутизаторы по оставшемуся линку посредством OSPF договорятся, что линк упал и перестроят таблицы. Все пойдет по OVPNS2 - OVPNC2. Это довольно быстро происходит, пропадает буквально один пинг))
Добрый вечер! Настроил в офисе все по инструкции OSPF, работет отменно, переключает правильно. Вот только нюанс, при переключени с основного openvpn на резервный пропадает больше (а точнее 8 пингов, примерно 40 сек) пингов чем было заверенно в инструкции (а при переключении с резервного на основной ни одного пинга не пропадает). Покопавшись по нету, нарыл в настройках OpenVPN опция "keepalive 10 60" которая отвечает за то, что данный канал впн лежит. При изменении этого параметра, перезапуск сервера впн всюравно возвращает стандартные настройки. Кто-то сталкивался с такой ситуацией?
-
Там еще написано, что "результаты получены на стенде и требуют проверки". OSPF сам определяет, что канал лежит и не ориентируется при этом на состояние туннеля OpenVPN.
40 сек. - это RouterDeadInterval по дефолту. -
Благодарю за скорый ответ!
Попытался подправить конфиги в веб-интерфейсе (pfsense 2.2.6) Services: Quagga OSPFd -> Inteface settings -> ovpncX -> "Hello Interval" = 5 and "Dead Timer" = 15 на двух роутерах (перезагрузил оба роутера) все поднялось, за исключением того, что OSPF перестал автоматом перестраивать маршруты. Вернул "Hello Interval" and "Dead Timer" в дефолтные настройки - все отлично работает и перестривает маршруты при падении или востановлении основного впн.Сначало настраивал по инструкциям в топике плюс замечания - итог, не работало как надо. Нашел вот такой ман: http://www.pfsense-br.org/blog/2014/01/configuracao-do-quagga-ospfd/ - заработало.
Вопрос состоит в следующем, как уменьшить время переключения с дефолтных 40 сек до 20 сек. Кто сталкивался с данной задачей?
Главный офис
bce1 - локальная сеть
Во вкладке "Interface Settings" добавлены только следующие впн-ы (а интерфейс локальной сети в данной вкладке не добавлен)
ovpns3 - главный впн
ovpns4 - резервный впнQuagga OSPF Interfaces (вкладка Status):
bce1 is up ifindex 6, MTU 1500 bytes, BW 0 Kbit <up,broadcast,running,simplex,multicast>Internet Address 192.168.5.3/16, Broadcast 192.168.255.255, Area 0.0.0.1 MTU mismatch detection:enabled Router ID 0.0.0.1, Network Type BROADCAST, Cost: 10 Transmit Delay is 1 sec, State DR, Priority 1 Designated Router (ID) 0.0.0.1, Interface Address 192.168.5.3 No backup designated router on this network Multicast group memberships: OSPFAllRouters OSPFDesignatedRouters Timer intervals configured, Hello 10s, Dead 40s, Wait 40s, Retransmit 5 Hello due in 3.070s Neighbor Count is 0, Adjacent neighbor count is 0 ovpns3 is up ifindex 13, MTU 1500 bytes, BW 0 Kbit <up,pointopoint,running,multicast>Internet Address 10.0.1.1/32, Peer 10.0.1.2, Area 0.0.0.1 MTU mismatch detection:enabled Router ID 0.0.0.1, Network Type POINTOPOINT, Cost: 5 Transmit Delay is 1 sec, State Point-To-Point, Priority 1 No designated router on this network No backup designated router on this network Multicast group memberships: OSPFAllRouters Timer intervals configured, Hello 10s, Dead 40s, Wait 40s, Retransmit 5 Hello due in 5.833s Neighbor Count is 1, Adjacent neighbor count is 1 ovpns4 is up ifindex 14, MTU 1500 bytes, BW 0 Kbit <up,pointopoint,running,multicast>Internet Address 10.0.2.1/32, Peer 10.0.2.2, Area 0.0.0.1 MTU mismatch detection:enabled Router ID 0.0.0.1, Network Type POINTOPOINT, Cost: 10 Transmit Delay is 1 sec, State Point-To-Point, Priority 1 No designated router on this network No backup designated router on this network Multicast group memberships: OSPFAllRouters Timer intervals configured, Hello 10s, Dead 40s, Wait 40s, Retransmit 5 Hello due in 3.682s Neighbor Count is 1, Adjacent neighbor count is 1</up,pointopoint,running,multicast></up,pointopoint,running,multicast></up,broadcast,running,simplex,multicast> -
В настройках есть вкладка Raw Config. Можно поместить туда текущее содержимое /var/etc/quagga/ospfd.conf и /var/etc/quagga/zebra.conf, потом править опции, которые недоступны из GUI. Сам не пробовал.
-
Спасибо за ответ, но настройка данный опций есть в GUI, раздел настройки интерфейсов OSPF. Вопрос в том, как это правильно сделать, учитывая мой предыдущий пост.
-
Проглядел, извиняюсь. Пробуйте другие значения, Dead Timer кратен Hello Interval, на интерфейсах, смотрящих друг на друга, настройки одинаковые. Готовых ответов тут нет, только метод тыка и аккуратность.
