Пытаюсь настроить OpenVPN сервер. Где искать кон
-
Уважаемые знатоки, понимаю, что мой вопрос снабжен недостаточным количеством описаний и скриншотов. Просто мне не очень понятно, что надо добавить и куда смотреть:
Настроен с помощью визарда openVPN на pfSense 2.2.6. Сделан клиент, выгружен в клиентскую машину и инсталлирован.
При попытке открыть соединение, всё проходит вроде бы штатно, но передачи информации не происходит и в логах Status->System Logs->OpenVPN я вижу странные записи:
Jan 18 18:24:16 openvpn[99779]: test/192.168.10.118:50297 send_push_reply(): safe_cap=940
Jan 18 18:24:16 openvpn[99779]: test/192.168.10.118:50297 SENT CONTROL [test]: 'PUSH_REPLY,route 172.16.138.0 255.255.255.0,route 192.168.89.1,topology net30,ping 10,ping-restart 60,ifconfig 192.168.89.6 192.168.89.5' (status=1)
Jan 18 18:24:17 openvpn[99779]: test/192.168.10.118:50297 MULTI: bad source address from client [::], packet dropped
Jan 18 18:24:19 openvpn[99779]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
Jan 18 18:24:20 openvpn[99779]: MANAGEMENT: CMD 'status 2'
Jan 18 18:24:20 openvpn[99779]: MANAGEMENT: CMD 'quit'
Jan 18 18:24:20 openvpn[99779]: MANAGEMENT: Client disconnected
Jan 18 18:25:21 openvpn[99779]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
Jan 18 18:25:21 openvpn[99779]: MANAGEMENT: CMD 'status 2'
Jan 18 18:25:21 openvpn[99779]: MANAGEMENT: CMD 'quit'
Jan 18 18:25:21 openvpn[99779]: MANAGEMENT: Client disconnected
Jan 18 18:26:23 openvpn[99779]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
Что может означать вот это:
test/192.168.10.118:50297 MULTI: bad source address from client [::], packet dropped ? Я везде старался пользоваться только ipv4….Любая потребная информация будет добавлена завтра...
-
Что может означать вот это:
test/192.168.10.118:50297 MULTI: bad source address from client [::], packet dropped ? Я везде старался пользоваться только ipv4….Быстрый поиск говорит вроде как о том, что что-то не в порядке с конфигом клиента\неправильной настройке Client Specific Overrides .
test/192.168.10.118:50297
вместо 192.168.10.118 здесь должен быть внешний белый IP клиента test
Любая потребная информация будет добавлена завтра…
потребная информация - скриншоты настроек.
-
Спасибо за ответ. Ну, кроме скриншотов я еще добавлю куски конфигурации… Итак:
WAN: 192.168.10.0/24, так что ip клиента правильное - именно 192.168.10.118. Его конфигурация будет выглядеть как ( файл kappa-udp-1194-test-config.ovpn):
dev tun
persist-tun
persist-key
cipher AES-128-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote 192.168.10.82 1194 udp
lport 0
verify-x509-name "KappaVPNServCert" name
pkcs12 kappa-udp-1194-test.p12
tls-auth kappa-udp-1194-test-tls.key 1
ns-cert-type server
comp-lzo adaptive
А описание интерфейсов pfSense из конфигурации будет выглядеть так:
<interfaces><wan><enable><if>re2</if>
<blockbogons><spoofmac><ipaddr>192.168.10.82</ipaddr>
<subnet>24</subnet>
<gateway>GW_WAN</gateway></spoofmac></blockbogons></enable></wan>
<lan><enable><if>re0</if><spoofmac><ipaddr>172.16.14.142</ipaddr>
<subnet>24</subnet>
<ipaddrv6>track6</ipaddrv6>
<track6-interface>wan</track6-interface>
<track6-prefix-id>0</track6-prefix-id></spoofmac></enable></lan>
<opt1><if>re1</if>
<enable><blockbogons><spoofmac><ipaddr>172.16.138.142</ipaddr>
<subnet>24</subnet></spoofmac></blockbogons></enable></opt1></interfaces>
Теперь скрины с настройками openVPN server:
- openVPN server General + Cripto settings
- openVPN server Tonnel settings
- openVPN server Client SettingsЧто еще может помочь в поиске явных ошибок?
-
Вставляйте картинки прямо в пост, через Attachments and other options.
Локальная сеть у вас 172.16.14.0/24? Тогда почему в настройках сервера IPv4 Local Network/s задана как 172.16.138.0/24
Адрес WAN-интерфейса у вас "серый" - 192.168.10.82.
Как удаленный клиент будет подключаться к серверу? Или планируются клиенты только из 192.168.10.0/24? -
По поводу серого адреса WAN - это сделано сознательно на период отладки и учебы, чтобы я понимал хоть, что происходит и куда смотреть. Потом адрес будет заменен…
Поэтому в описании wan интерфейса сброшен псица в Block privete networks (см. скриншот настроек WAN в aattachments. Как его в текст то перетащить без ссылки на внешний сайт?)
Теперь по поводу LAN - а разве я обязан в настройках локальной подсети жестко указывать адреса подсетки ТОЛЬКО LAN интерфейса? Я указал подсетку FSBresc интерфейса (он же OPT1). Это критично?
-
Я указал подсетку FSBresc интерфейса (он же OPT1). Это критично?
Не знаю, не использовал дополнительных интерфейсов
Попробуйте для начала указать только только LAN 172.16.14.0/24 или обе подсети через запятую:
172.16.14.0/24,172.16.138.0/24 -
Давайте опробуем ваше резонное предложение.
Изменяем настройку openVPN server Tunnel Settings на LAN (см. attaching) и на всякий случай вообще перезагружаем устройство pfSense.
Подключаем клиента. Делаем у него в окне cmd: route print и следом ping в подсетку 172.16.14.131
Microsoft Windows [Version 10.0.10586]
Корпорация Майкрософт (Microsoft Corporation), 2015. Все права защищены.C:\Users\trop>route print
Список интерфейсов
5...7c 5c f8 28 bb 5d ......Intel(R) Dual Band Wireless-AC 7260
8...7c 5c f8 28 bb 5e ......Microsoft Wi-Fi Direct Virtual Adapter
13...3c 1e 04 f3 a2 bb ......D-Link DUB-E100 USB2.0 to Fast Ethernet Adapter
9...00 ff a4 02 f7 96 ......TAP-Windows Adapter V9
11...7c 5c f8 28 bb 61 ......Bluetooth Device (Personal Area Network)
1...........................Software Loopback Interface 1
12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
16...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
7...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3IPv4 таблица маршрута
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.10.222 192.168.10.118 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.14.0 255.255.255.0 192.168.89.5 192.168.89.6 20
192.168.10.0 255.255.255.0 On-link 192.168.10.118 276
192.168.10.118 255.255.255.255 On-link 192.168.10.118 276
192.168.10.255 255.255.255.255 On-link 192.168.10.118 276
192.168.89.1 255.255.255.255 192.168.89.5 192.168.89.6 20
192.168.89.4 255.255.255.252 On-link 192.168.89.6 276
192.168.89.6 255.255.255.255 On-link 192.168.89.6 276
192.168.89.7 255.255.255.255 On-link 192.168.89.6 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.10.118 276
224.0.0.0 240.0.0.0 On-link 192.168.89.6 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.10.118 276
255.255.255.255 255.255.255.255 On-link 192.168.89.6 276Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.10.222 По умолчаниюIPv6 таблица маршрута
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 306 ::1/128 On-link
9 276 fe80::/64 On-link
9 276 fe80::5879:a9d8:97d5:64c9/128
On-link
1 306 ff00::/8 On-link
9 276 ff00::/8 On-linkПостоянные маршруты:
ОтсутствуетC:\Users\trop>ping 192.16.14.131
Обмен пакетами с 192.16.14.131 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.Статистика Ping для 192.16.14.131:
Пакетов: отправлено = 4, получено = 0, потеряно = 4
(100% потерь)
Видим, что настройка таблицы роутинга верна, а пинг не проходит. На всякий случай проверяем пингуемость адреса из pfSense:
PING 172.16.14.131 (172.16.14.131): 56 data bytes
64 bytes from 172.16.14.131: icmp_seq=0 ttl=128 time=1.500 ms
64 bytes from 172.16.14.131: icmp_seq=1 ttl=128 time=0.405 ms
64 bytes from 172.16.14.131: icmp_seq=2 ttl=128 time=0.371 ms--- 172.16.14.131 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.371/0.759/1.500/0.524 ms
И странные вещи пишутся в логе openVPN:
Jan 19 12:12:10 openvpn[17697]: auth_user_pass_verify_script_via_file = DISABLED
Jan 19 12:12:10 openvpn[17697]: port_share_host = '[UNDEF]'
Jan 19 12:12:10 openvpn[17697]: port_share_port = 0
Jan 19 12:12:10 openvpn[17697]: client = DISABLED
Jan 19 12:12:10 openvpn[17697]: pull = DISABLED
Jan 19 12:12:10 openvpn[17697]: auth_user_pass_file = '[UNDEF]'
Jan 19 12:12:10 openvpn[17697]: OpenVPN 2.3.8 i386-portbld-freebsd10.1 [SSL (OpenSSL)] [LZO] [MH] [IPv6] built on Aug 21 2015
Jan 19 12:12:10 openvpn[17697]: library versions: OpenSSL 1.0.1l-freebsd 15 Jan 2015, LZO 2.09
Jan 19 12:12:10 openvpn[18494]: MANAGEMENT: unix domain socket listening on /var/etc/openvpn/server1.sock
Jan 19 12:12:10 openvpn[18494]: Could not retrieve default gateway from route socket:: No such process (errno=3)
Jan 19 12:12:10 openvpn[18494]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
Jan 19 12:12:10 openvpn[18494]: Diffie-Hellman initialized with 2048 bit key
Jan 19 12:12:10 openvpn[18494]: Control Channel Authentication: using '/var/etc/openvpn/server1.tls-auth' as a OpenVPN static key file
Jan 19 12:12:10 openvpn[18494]: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Jan 19 12:12:10 openvpn[18494]: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Jan 19 12:12:10 openvpn[18494]: TLS-Auth MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:3 ]
Jan 19 12:12:10 openvpn[18494]: Socket Buffers: R=[42080->65536] S=[57344->65536]
Jan 19 12:12:10 openvpn[18494]: Could not retrieve default gateway from route socket:: No such process (errno=3)
Jan 19 12:12:10 openvpn[18494]: ROUTE: default_gateway=UNDEF
Jan 19 12:12:10 openvpn[18494]: TUN/TAP device ovpns1 exists previously, keep at program end
Jan 19 12:12:10 openvpn[18494]: TUN/TAP device /dev/tun1 opened
Jan 19 12:12:10 openvpn[18494]: ioctl(TUNSIFMODE): Device busy: Device busy (errno=16)
Jan 19 12:12:10 openvpn[18494]: do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0
Jan 19 12:12:10 openvpn[18494]: /sbin/ifconfig ovpns1 192.168.89.1 192.168.89.2 mtu 1500 netmask 255.255.255.255 up
Jan 19 12:12:10 openvpn[18494]: /usr/local/sbin/ovpn-linkup ovpns1 1500 1558 192.168.89.1 192.168.89.2 init
Jan 19 12:12:10 openvpn[18494]: /sbin/route add -net 192.168.89.0 192.168.89.2 255.255.255.0
Jan 19 12:12:10 openvpn[18494]: Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:143 ET:0 EL:3 AF:3/1 ]
Jan 19 12:12:10 openvpn[18494]: UDPv4 link local (bound): [AF_INET]192.168.10.82:1194
Jan 19 12:12:10 openvpn[18494]: UDPv4 link remote: [undef]
Jan 19 12:12:10 openvpn[18494]: MULTI: multi_init called, r=256 v=256
Jan 19 12:12:10 openvpn[18494]: IFCONFIG POOL: base=192.168.89.4 size=62, ipv6=0
Jan 19 12:12:10 openvpn[18494]: Initialization Sequence Completed
Jan 19 12:12:30 openvpn[18494]: MANAGEMENT: CMD 'status 2'
Jan 19 12:12:32 openvpn[18494]: MANAGEMENT: CMD 'quit'
Jan 19 12:12:32 openvpn[18494]: MANAGEMENT: Client disconnected
Jan 19 12:12:45 openvpn[18494]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
Jan 19 12:12:45 openvpn[18494]: MANAGEMENT: CMD 'status 2'
Jan 19 12:12:45 openvpn[18494]: MANAGEMENT: Client disconnected
Jan 19 12:13:33 openvpn[18494]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
Jan 19 12:13:33 openvpn[18494]: MANAGEMENT: CMD 'status 2'
Jan 19 12:13:33 openvpn[18494]: MANAGEMENT: CMD 'quit'
Jan 19 12:13:33 openvpn[18494]: MANAGEMENT: Client disconnected
Jan 19 12:13:49 openvpn[18494]: MULTI: multi_create_instance called
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Re-using SSL/TLS context
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 LZO compression initialized
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Control Channel MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:3 ]
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:143 ET:0 EL:3 AF:3/1 ]
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Local Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-128-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-128-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Local Options hash (VER=V4): 'a2e63101'
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Expected Remote Options hash (VER=V4): '272f1b58'
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 TLS: Initial packet from [AF_INET]192.168.10.118:63287, sid=b52da94e 4a59a085
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 VERIFY SCRIPT OK: depth=1, C=RU, ST=Russia, L=Moscow, O=Finnet-Service, emailAddress=someaddress@fnts.ru, CN=KappaAuthCert
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 VERIFY OK: depth=1, C=RU, ST=Russia, L=Moscow, O=Finnet-Service, emailAddress=someaddress@fnts.ru, CN=KappaAuthCert
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 VERIFY SCRIPT OK: depth=0, C=RU, ST=Russia, L=Moscow, O=Finnet-Service, emailAddress=someaddress@fnts.ru, CN=test
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 VERIFY OK: depth=0, C=RU, ST=Russia, L=Moscow, O=Finnet-Service, emailAddress=someaddress@fnts.ru, CN=test
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 [test] Peer Connection Initiated with [AF_INET]192.168.10.118:63287
Jan 19 12:13:49 openvpn[18494]: test/192.168.10.118:63287 MULTI_sva: pool returned IPv4=192.168.89.6, IPv6=(Not enabled)
Jan 19 12:13:49 openvpn[18494]: test/192.168.10.118:63287 MULTI: Learn: 192.168.89.6 -> test/192.168.10.118:63287
Jan 19 12:13:49 openvpn[18494]: test/192.168.10.118:63287 MULTI: primary virtual IP for test/192.168.10.118:63287: 192.168.89.6
Jan 19 12:13:51 openvpn[18494]: test/192.168.10.118:63287 PUSH: Received control message: 'PUSH_REQUEST'
Jan 19 12:13:51 openvpn[18494]: test/192.168.10.118:63287 send_push_reply(): safe_cap=940
Jan 19 12:13:51 openvpn[18494]: test/192.168.10.118:63287 SENT CONTROL [test]: 'PUSH_REPLY,route 172.16.14.0 255.255.255.0,route 192.168.89.1,topology net30,ping 10,ping-restart 60,ifconfig 192.168.89.6 192.168.89.5' (status=1)
Jan 19 12:13:52 openvpn[18494]: test/192.168.10.118:63287 MULTI: bad source address from client [::], packet dropped
Jan 19 12:14:35 openvpn[18494]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
Jan 19 12:14:35 openvpn[18494]: MANAGEMENT: CMD 'status 2'
Jan 19 12:14:35 openvpn[18494]: MANAGEMENT: CMD 'quit'
Jan 19 12:14:35 openvpn[18494]: MANAGEMENT: Client disconnected
Jan 19 12:15:37 openvpn[18494]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
Jan 19 12:15:37 openvpn[18494]: MANAGEMENT: CMD 'status 2'
Jan 19 12:15:37 openvpn[18494]: MANAGEMENT: CMD 'quit'
Jan 19 12:15:37 openvpn[18494]: MANAGEMENT: Client disconnected
Что означает непрерывное Client connected, …, Client disconnected ?
Как-то не помогает...
-
Господа, вы будете смеяться, но найдя в документации следующий раздел: https://doc.pfsense.org/index.php/Why_can%27t_I_ping_some_OpenVPN_adapter_addresses, в котором рассказывается что ping сплошь и рядом не проходит через локальный openVPN, я решил отказаться от ping и начал пробовать RDP, чтобы хоть как-то убедиться в наличии связи.
Сработало. Я смог подключиться к своему серверу за openVPN указав его адрес 172.16.14.131 после установления связи клиента openVPN…
Странно. Более того, ПОСЛЕ этого заработал и ping и tracert ...
Единственное, что могу предположить, что я от отчаяния тронул командой pfSense Diagnostic->Edit File сокет /var/etc/openvpn/server1.sock
И он, падла, испугался...
Не понимаю... А если перегрузить pfSense? А если отключить клиент openVPN и подключиться снова? Работает...
Тля...