OpenVPN и Asus RT-AC51U
-
Здравствуйте
Такая проблема, хочу подружить pfsense и маршрутизатор Asus RT-AC51UГлавный офис, стоит pfsense 192.168.1.*
Доп. офис стоит выше указанный роутер 192.168.2.*На pfsense поднят openvpn, на роутере выбираю клиент openvpn выбираю конфиг, вручную прописываю в поля ca и прочее.
В итоге он не подключается. ЛогJul 7 07:44:50 rc_service: httpd 207:notify_rc restart_vpncall Jul 7 07:44:51 openvpn[1380]: OpenVPN 2.3.2 mipsel-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [eurephia] [MH] [IPv6] built on Sep 23 2015 Jul 7 07:44:51 openvpn[1380]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. Jul 7 07:44:51 openvpn[1380]: Socket Buffers: R=[116736->131072] S=[116736->131072] Jul 7 07:44:51 openvpn[1380]: RESOLVE: Cannot resolve host address: 1194: Name or service not known Jul 7 07:44:51 openvpn[1386]: RESOLVE: Cannot resolve host address: 1194: Name or service not known Jul 7 07:44:56 openvpn[1386]: RESOLVE: Cannot resolve host address: 1194: Name or service not known Jul 7 07:45:01 openvpn[1386]: RESOLVE: Cannot resolve host address: 1194: Name or service not known
При этом, если ставить openvpn на комп\телефон, то все отлично подключается.
P.S. порт openvpn с 1194 менял на случайный пятизначный, в конфиге прописан. При этом пробовал ставить стандартный 1194, лог тот же, и меня udp на tcp. Лог тот же
P.s.s. щас стоит pfsense 2.2.5 стоит ли обновляться на последнюю, как там с багами? ))
конфиг сервера впн
http://i.imgur.com/vXQ1stQ.png http://i.imgur.com/MMxsaAt.png http://i.imgur.com/F7qUPUz.png -
Доброе
Главный офис, стоит pfsense 192.168.1.*
Что на WAN пф ? Нужна белая статика\динамика
Jul 7 07:44:51 openvpn[1380]: RESOLVE: Cannot resolve host address: 1194: Name or service not known
Обратитесь с асуса к пф по IP, а не по имени. Если настраиваете на пф впн на нестандартном порту - проверяйте , появилось ли разреш. правило
fw на WAN пф для впн . Само оно там может не появиться.Asus RT-AC51U
Смените прошивку на http://forum.ixbt.com/topic.cgi?id=14:63015
Стабильнее, шустрее etc. Ваша с full в названии - https://bitbucket.org/padavan/rt-n56u/downloadsЧто еще умеет - https://bitbucket.org/padavan/rt-n56u/wiki/browse/RU
-
в главном ип белый, статика
Обратитесь с асуса к пф по IP, а не по имени. Если настраиваете на пф впн на нестандартном порту - проверяйте , появилось ли разреш. правило
fw на WAN пф для впн . Само оно там может не появиться.обращается по ип, ddns не делал, в конфигах ип стоит.
Порт нестандартный, в правилах стоит (с компа и телефона же подключается :) )Попробую прошивку, позже отпишусь
-
Что в нате для исходящих пакетов?
попробуйте создать другой, новый сервер и настроить. Проверьте не используется ли этот порт где-либо еще.У меня все проще, вместо интернета на вторую точку проброшен канал провайдером до филиала, интернет берем с головного офиса.
-
Смените прошивку
Спасибо, прошивка помогла, теперь без проблем подключается )
Но, подскажите, из главного офиса (192.168.1.) не видно сеть доп. офиса(192.168.2.). Из доп офиса, пингует сеть гл. офиса, но на расшаренные папки клиентов не заходит. Что и куда добавить? )
Или же, для этого каждому ставить openvpn клиент и заходить на шару через подсеть впн?(10.7.7.*)У меня все проще, вместо интернета на вторую точку проброшен канал провайдером до филиала, интернет берем с головного офиса.
Как раз сейчас на нового провайдера переходим, нам предлагали такой же вариант, я был за него. Но вышестоящее начальство решила иначе :-X
-
но на расшаренные папки клиентов не заходит. Что и куда добавить? )
Вы по ип обратитесь к шаре. Типа Пуск-> Выполнить -> \xxx.xxx.xxx.xxx
-
но на расшаренные папки клиентов не заходит. Что и куда добавить? )
Вы по ип обратитесь к шаре. Типа Пуск-> Выполнить -> \xxx.xxx.xxx.xxx
да, так и делал
из доп.офиса заходит на сенс и по 10.7.7.1 и по 192.168.1.1 Пк в сети не пингует, хотя на вебморды серверов сети лезет.
А из главного офиса 192.168.2.* не пингует и не доступен -
подскажите, из главного офиса (192.168.1.) не видно сеть доп. офиса(192.168.2.).
1. iroute для 192.168.2.0/24 в client specific overrides указан?
2. На pfSense правило видаIPv4 * LAN net * 192.168.2.0/24 * * none
создано?
-
подскажите, из главного офиса (192.168.1.) не видно сеть доп. офиса(192.168.2.).
1. iroute для 192.168.2.0/24 в client specific overrides указан?
2. На pfSense правило видаIPv4 * LAN net * 192.168.2.0/24 * * none
создано?
Прописал и то и то, результата нет
где то, что то я не так делаю…
-
Проверяйте настройки.
Asus и pfSense при поднятом туннеле должны иметь маршруты в сети друг друга.
На pfSense маршруты смотреть тут:
Diagnostics: Routing tablesВозможно в Asus маршрут нужно добавить вручную.
-
Проверяйте настройки.
Asus и pfSense при поднятом туннеле должны иметь маршруты в сети друг друга.
На pfSense маршруты смотреть тут:
Diagnostics: Routing tablesда да, как раз мониторю таблицу маршрутизации.
маршрута к 192.168.2.* там нет, и я не знаю куда и что прописать -
В общем удалось добиться что у доп. офиса открывается шары компов и гл.офиса. Но в гл. офисе по прежнему не видно ни шар ни пинга сети доп офиса.
1 - таблица сервера http://i.imgur.com/c4N3kTk.png
2 - таблица клиента http://i.imgur.com/RLQydVB.pngp.s. добился путем добавления route 192.168.2.0 255.255.255.0; push "route 192.168.1.0 255.255.255.0" в Advanced на сервере. Client Specific Override пуст.
Что еще сделать мне?
-
Все сделал, все получилось
Итоговый вариант в конфиге сервера
route 192.168.2.0 255.255.255.0; push "route 192.168.1.0 255.255.255.0"; push "route 192.168.2.0 255.255.255.0"
в Client Specific Override
iroute 192.168.2.0 255.255.255.0
Спасибо за помощь :)
-
Рекомендую в настр. сервера в Адвансед добавить :
sndbuf 100000;
rcvbuf 100000;
push "sndbuf 100000";
push "rcvbuf 100000"; -
Рекомендую в настр. сервера в Адвансед добавить :
sndbuf 100000;
rcvbuf 100000;
push "sndbuf 100000";
push "rcvbuf 100000";Спасибо, добавил
-
Апну темку
Сменили провайдера и на сервере и на клиенте, перестал подключаться впн. ( и с роутера, и с пк через клиент)
Конфиги не менялись (исключая ip). При этом с телефона и домашнего компа, другого провайдера, подключается.
На роутере в логах спамится строчка```
Aug 9 12:04:36 openvpn-cli[697]: NOTE: the current --script-security setting may allow this configuration to call user-defined scriptsВ клиенте лог``` Fri Aug 05 08:35:08 2016 OpenVPN 2.3.11 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on May 10 2016 Fri Aug 05 08:35:08 2016 Windows version 6.1 (Windows 7) 64bit Fri Aug 05 08:35:08 2016 library versions: OpenSSL 1.0.1t 3 May 2016, LZO 2.09 Fri Aug 05 08:35:09 2016 Control Channel Authentication: using 'бла-бла-бла-tls.key' as a OpenVPN static key file Fri Aug 05 08:35:09 2016 UDPv4 link local (bound): [undef] Fri Aug 05 08:35:09 2016 UDPv4 link remote: [AF_INET]Айпи:Порт Fri Aug 05 08:36:09 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Fri Aug 05 08:36:09 2016 TLS Error: TLS handshake failed Fri Aug 05 08:36:09 2016 SIGUSR1[soft,tls-error] received, process restarting Fri Aug 05 08:36:11 2016 UDPv4 link local (bound): [undef] Fri Aug 05 08:36:11 2016 UDPv4 link remote: [AF_INET]Айпи:Порт
-
TLS key negotiation failed to occur within 60 seconds
Наиболее общая ошибка, говорящая о невозможности начать соединение (о недоступности IP или порта OVPN-сервера).
https://openvpn.net/index.php/open-source/faq/79-client/253-tls-error-tls-key-negotiation-failed-to-occur-within-60-seconds-check-your-network-connectivity.html
Убедитесь, что OVPN-сервер привязан к правильному интерфейсу, что для этого интерфейса и порта создано на WAN правило, что провайдер действительно дает "белый" IP и не блокирует нужный порт.
Проверить, к примеру можно так - перевести сервер в TCP (UDP так не протестировать) и проверить снаружи этот IP:порт телнетом или nmap, этим, например, сервисом
http://hideme.ru/ports/
Указав свой порт. -
Сменили провайдера и на сервере
1. У вас теперь серый ип на WAN
2. Провайдер блокирует порты. -
Убедитесь, что OVPN-сервер привязан к правильному интерфейсу, что для этого интерфейса и порта создано на WAN правило, что провайдер действительно дает "белый" IP и не блокирует нужный порт.
Проверить, к примеру можно так - перевести сервер в TCP (UDP так не протестировать) и проверить снаружи этот IP:порт телнетом или nmap, этим, например, сервисом
http://hideme.ru/ports/
Указав свой порт.Привязан правильно, порт открыт. С телефона (через мобильного оператора) и через другого провайдера на домашнем ПК же подключается.
PORT STATE SERVICE ****/tcp open unknown Nmap done: 1 IP address (1 host up) scanned in 0.20 seconds
Перевел в tcp сервер, лог клиента```
Tue Aug 09 16:12:52 2016 OpenVPN 2.3.11 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on May 10 2016
Tue Aug 09 16:12:52 2016 Windows version 6.1 (Windows 7) 32bit
Tue Aug 09 16:12:52 2016 library versions: OpenSSL 1.0.1t 3 May 2016, LZO 2.09
Tue Aug 09 16:12:52 2016 Control Channel Authentication: using 'блабла-tls.key' as a OpenVPN static key file
Tue Aug 09 16:12:52 2016 Attempting to establish TCP connection with [AF_INET]Ип:порт [nonblock]
Tue Aug 09 16:13:02 2016 TCP: connect to [AF_INET]Ип:порт failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)
Tue Aug 09 16:13:17 2016 TCP: connect to [AF_INET]Ип:порт failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)
Tue Aug 09 16:13:32 2016 TCP: connect to [AF_INET]Ип:порт failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)
Tue Aug 09 16:13:47 2016 TCP: connect to [AF_INET]Ип:порт failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)а роутер так же строчку
NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
-
NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
Это на поднятие туннеля не влияет.
Конфиг на WIN7 верный? Запускаете клиента от администратора?