OpenVPN - неправильный роутинг на клиентах.

defen2204

Здравствуйте, а Вы не могли бы и мне помочь с openvpn? Дело в том, что внутри локалки все коннектится на ура, а вот если стучу с внешки, все тормозится на хэндшейке и соединение обрывается по таймауту….

настройка сервера:

local 192.168.88.10
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key 
dh dh1024.pem
server 10.8.0.0 255.255.255.0 
ifconfig-pool-persist
client-config-dir ccd
push "route 192.168.88.10 255.255.255.0
push "redirect-gateway def1"     
push "dhcp-option DNS 8.8.8.8"     
client-to-client                   
keepalive 10 120                   
tls-server                         
auth SHA512                         
tls-auth ta.key 0                   
cipher BF-CBC                       
comp-lzo adaptive                 
user nobody                         
group nogroup
persist-key                         
persist-tun                         
status /var/log/openvpn/openvpn-status.log           
log /var/log/openvpn/openvpn.log           
verb 3                             
mute

Клиента:

client
dev tun
proto udp
remote  ххх.ххх.ххх.ххх 1194                     
resolv-retry infinite
nobind
persist-key
persist-tun
ca caR.crt
cert clientR.crt
key clientR.key
tls-auth taR.key 1
auth SHA512
cipher BF-CBC
comp-lzo adaptive
log openvpn.log
status openvpn-status.log
verb 3
mute 20
route 10.8.0.0 255.255.0.0

defen2204

Сервер работает на  "малинеке" на микротике порты проброшены….

defen2204

вот как-то так

werter

Доброе.

Сервер.

push "route 192.168.88.10 255.255.255.0

Только один адрес ? Может должно быть так - 192.168.88.0 255.255.255.0?

push "redirect-gateway def1"

Зачем весь трафик заворачиваете в впн ? Откл. это.

Клиент.

route 10.8.0.0 255.255.0.0

Удалите эту строчку вообще

defen2204

к сожалению ситуация та же(((

defen2204

Логи клиента:
2016-02-09 13:12:49 VERIFY OK: depth=0
cert. version    : 3
serial number    : 01
issuer name      : C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=changeme, CN=changeme, ??=changeme, emailAddress=mail@host.domain
subject name      : C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=changeme, CN=server, ??=changeme, emailAddress=mail@host.domain
issued  on        : 2016-01-22 01:42:02
expires on        : 2026-01-19 01:42:02
signed using      : RSA with SHA1
RSA key size      : 1024 bits
basic constraints : CA=false
cert. type        : SSL Server
key usage        : Digital Signature, Key Encipherment
ext key usage    : TLS Web Server Authentication

2016-02-09 13:13:01 EVENT: CONNECTION_TIMEOUT [ERR]
2016-02-09 13:13:01 EVENT: DISCONNECTED
2016-02-09 13:13:01 Raw stats on disconnect:
  BYTES_IN : 11056
  BYTES_OUT : 48218
  PACKETS_IN : 64
  PACKETS_OUT : 93
  KEEPALIVE_TIMEOUT : 1
  CONNECTION_TIMEOUT : 1
  N_RECONNECT : 1
  PKTID_UDP_REPLAY_WINDOW_BACKTRACK : 1
2016-02-09 13:13:01 Performance stats on disconnect:
  CPU usage (microseconds): 140954
  Network bytes per CPU second: 420520
  Tunnel bytes per CPU second: 0
2016-02-09 13:13:01 EVENT: DISCONNECT_PENDING
2016-02-09 13:13:01 –--- OpenVPN Stop -----

werter

2 defen2204

Четкое ТЗ. И схему.

helper

@defen2204:

Здравствуйте, а Вы не могли бы и мне помочь с openvpn? Дело в том, что внутри локалки все коннектится на ура, а вот если стучу с внешки, все тормозится на хэндшейке и соединение обрывается по таймауту….

настройка сервера:

local 192.168.88.10
…
ca ca.crt
…

Клиента:

ca caR.crt
…

1. Что смущает, вы задали слушать локальный адрес, на компе есть еще интерфейсы, на которых надо слушать? если да, то закомментируйте эту директиву local.
2. Второе, что смущает, разные названия сертификатов, это вы переименовали? Если нет, то похоже, что вы генерили сертификаты клиента и сервера через разные корневые сертификаты.

defen2204

1. Не совсем понял что Вы имеете ввиду говоря о ТЗ и схеме, поэтому расскажу что вообще настроено у меня в сети.  Малинка, на которой поднята самба, видеонаблюдение, принтсервер и впн подключена к роутеру микротик. Необходимо, чтобы она через впн пропускала весь трафик от клиента к серверу, включая интернет. На другом стационарном компе в сети крутится фтп (под виндой). На роутере проброшены порты для фтп, ssh, rdp (для малинки) и проброс для DC клиентов на 2х компах. Вроде ни чего не забыл…
2. Имена сертификатов менял сам, т.к. Создавал несколько клиентов для разных серверов

defen2204

Вот что наконец выплюнул сервак:
Wed Feb 10 00:46:44 2016 MULTI: multi_create_instance called
Wed Feb 10 00:46:44 2016 192.168.88.1:26695 Re-using SSL/TLS context
Wed Feb 10 00:46:44 2016 192.168.88.1:26695 LZO compression initialized
Wed Feb 10 00:46:44 2016 192.168.88.1:26695 Control Channel MTU parms[ L:1586 D:210 EF:110 EB:0 ET:0 EL:0 ]
Wed Feb 10 00:46:44 2016 192.168.88.1:26695 Data Channel MTU parms [
L:1586 D:1450 EF:86 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Feb 10 00:46:44 2016 192.168.88.1:26695 Local Options hash
(VER=V4): '5134803b'
Wed Feb 10 00:46:44 2016 192.168.88.1:26695 Expected Remote Options
hash (VER=V4): 'e66044bc'
Wed Feb 10 00:46:44 2016 192.168.88.1:26695 TLS: Initial packet from
[AF_INET]192.168.88.1:26695, sid=7a40b1ff 3b92eccb
Wed Feb 10 00:46:44 2016 192.168.88.1:26695 Replay-window backtrack occurred [1]
Wed Feb 10 00:47:31 2016 MULTI: multi_create_instance called
Wed Feb 10 00:47:31 2016 192.168.88.1:9564 Re-using SSL/TLS context
Wed Feb 10 00:47:31 2016 192.168.88.1:9564 LZO compression initialized
Wed Feb 10 00:47:31 2016 192.168.88.1:9564 Control Channel MTU parms [
L:1586 D:210 EF:110 EB:0 ET:0 EL:0 ]
Wed Feb 10 00:47:31 2016 192.168.88.1:9564 Data Channel MTU parms [
L:1586 D:1450 EF:86 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Feb 10 00:47:31 2016 192.168.88.1:9564 Local Options hash
(VER=V4): '5134803b'
Wed Feb 10 00:47:31 2016 192.168.88.1:9564 Expected Remote Options
hash (VER=V4): 'e66044bc'
Wed Feb 10 00:47:31 2016 192.168.88.1:9564 TLS: Initial packet from
[AF_INET]192.168.88.1:9564, sid=8e73bebb 8b3794d1
Wed Feb 10 00:47:44 2016 192.168.88.1:26695 TLS Error: TLS key
negotiation failed to occur within 60 seconds (check your network
connectivity)
Wed Feb 10 00:47:44 2016 192.168.88.1:26695 TLS Error: TLS handshake failed
Wed Feb 10 00:47:44 2016 192.168.88.1:26695 SIGUSR1[soft,tls-error] received, client-instance restarting
Wed Feb 10 00:48:31 2016 192.168.88.1:9564 TLS Error: TLS key
negotiation failed to occur within 60 seconds (check your network
connectivity)
Wed Feb 10 00:48:31 2016 192.168.88.1:9564 TLS Error: TLS handshake failed
Wed Feb 10 00:48:31 2016 192.168.88.1:9564 SIGUSR1[soft,tls-error]
received, client-instance restarting

OpenVPN CLIENT LIST
Updated,Wed Feb 10 00:57:02 2016
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
GLOBAL STATS
Max bcast/mcast queue length,0
END

werter

2 defen2204

1. Не совсем понял что Вы имеете ввиду говоря о ТЗ и схеме, поэтому расскажу что вообще настроено у меня в сети.  Малинка, на которой поднята самба, видеонаблюдение, принтсервер и впн подключена к роутеру микротик. Необходимо, чтобы она через впн пропускала весь трафик от клиента к серверу, включая интернет. На другом стационарном компе в сети крутится фтп (под виндой). На роутере проброшены порты для фтп, ssh, rdp (для малинки) и проброс для DC клиентов на 2х компах. Вроде ни чего не забыл…

Мил человек, я не увидел в этой схеме pfsense.

defen2204

Pfsense? Ни когда не пользовал его… Он точно нужен?

defen2204

Или имеется ввиду непосредственно проброс портов на роутере?

werter

2 defen2204
Т.е. Вы пришли на форум pfsense и просите решить проблемы в работе совсем других продуктов ?

Буду вежлив. Сходите на форумы "малинки", МТ и что там у Вас еще и задайте вопросы там.

defen2204

Спасибо))) просто гуглил про проблемы с коннектом и забрел на этот сайт))