Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Настроить OpenVPN по конфигу от Windows клиента

    Scheduled Pinned Locked Moved Russian
    12 Posts 3 Posters 4.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      pigbrother
      last edited by

      Попробуйте убрать, если использовали
      link-mtu 1500
      также
      Auth digest algorithm выставить в None
      compression явно указать lzo\enabled

      По поводу похожей ошибки в логе
      https://forum.pfsense.org/index.php?topic=97238.0

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Доброе.

        С одной стороны шлюзом стоит какой то линукс (сервер vpn)

        Для Linux есть отличн. штука - Pritunl.  Устанавливаете в пару-тройку кликов и через web-GUI создаете\управляете Openvpn-сервером.

        1 Reply Last reply Reply Quote 0
        • P
          pigbrother
          last edited by

          @werter:

          Доброе.

          С одной стороны шлюзом стоит какой то линукс (сервер vpn)

          Для Linux есть отличн. штука - Pritunl.  Устанавливаете в пару-тройку кликов и через web-GUI создаете\управляете Openvpn-сервером.

          Для ТС администрирование серверной стороны недоступно.

          1 Reply Last reply Reply Quote 0
          • F
            fanofdogs
            last edited by

            @pigbrother:

            Попробуйте убрать, если использовали
            link-mtu 1500
            также
            Auth digest algorithm выставить в None
            compression явно указать lzo\enabled

            Я настраивал клиента через WEB интерфейс.
            Там вообще отсутствует (по крайней мере в моем варианте соединения PSK) поле для указания link-mtu
            Auth digest algorithm - я изначально выставил в None
            А по поводу компрессии, то что в WEB интерфейсе соответствует lzo\enabled

            No Preference
            No Preference and Adaptive Compression Disabled
            Disabled - No Compression
            Enabled with Adaptive Compression
            Enabled without Adaptive Compression

            Но Вы натолкнули на хорошую мысль - посмотреть на содержимое самого файла конфигурации. И там я обнаружил много опций, которые в WEB интерфейсе вообще не "светятся", но по факту присутствуют (убрал лишнее):

            verb 1
            dev-type tun
            tun-ipv6
            script-security 3
            keepalive 10 60
            ping-timer-rem
            persist-tun
            persist-key
            proto udp
            cipher none
            auth none
            local 81.27..
            lport 5000
            remote 92.243.. 5000
            ifconfig 10.1.1.2 10.1.1.1
            route 192.168.0.0 255.255.255.0
            secret /var/etc/openvpn/client1.secret
            resolv-retry infinite

            Возникли вопросы:

            • в старом конфиге был явно указан link-mtu 1500, а в текущем его нет. Может наоборот имеет смысл его указать?
            • соответственно, можно ли править конфиг руками? Он сохраниться или перезатрется при перезагрузке OpenVPN/pfSense?

            @pigbrother:

            По поводу похожей ошибки в логе
            https://forum.pfsense.org/index.php?topic=97238.0

            Посмотрел эту тему. Там вопрос не решили, но приходят к выводу о дублировании пакетов. Чисто с практической точки зрения - а что их может дублировать? Желез, программа, драйвер? Мне этот вопрос вообще не понятен…

            Сам спросил, сам ответил:

            Внес руками изменения в конфиг. После перезапуска vpn конфиг вернулся к исходному состоянию…  :(

            Возникает вопрос, а где править/менять опции, которые недоступны из WEB интерфейса? Откуда их берет pfSense?

            1 Reply Last reply Reply Quote 0
            • F
              fanofdogs
              last edited by

              @werter:

              Доброе.

              С одной стороны шлюзом стоит какой то линукс (сервер vpn)

              Для Linux есть отличн. штука - Pritunl.  Устанавливаете в пару-тройку кликов и через web-GUI создаете\управляете Openvpn-сервером.

              Мне удалось выяснить, что с серверной стороны стоит Debian 6.
              Настроен vpn был лет 6-7 назад. Соответственно какая там версия OpenVPN стоит можно только предполагать. Скорее всего что то 2.0

              Может ли быть проблема из-за расхождения версий на сервере (2.0) и клиенте (2.3.14)?

              1 Reply Last reply Reply Quote 0
              • P
                pigbrother
                last edited by

                Может ли быть проблема из-за расхождения версий на сервере (2.0) и клиенте (2.3.14)?
                Теоретически - да. Не сталкивался.

                Все отсутствующие в WEB интерфейсе опции добавляются в поле Advanced-Custom options клиента.
                Либо через ; - точку с запятой, либо по одной директиве в каждой строке.
                lport 5000 - вряд ли нужен, это  необязательная привязка локального клиента к порту.

                По поводу компрессии, попробуйте  Enabled without Adaptive Compression. Не поможет - No Preference,
                а в Advanced-Custom options клиента добавить
                comp-lzo

                1 Reply Last reply Reply Quote 0
                • werterW
                  werter
                  last edited by

                  Доброе.
                  @fanofdogs:

                  Мне удалось выяснить, что с серверной стороны стоит Debian 6.
                  Настроен vpn был лет 6-7 назад. Соответственно какая там версия OpenVPN стоит можно только предполагать. Скорее всего что то 2.0

                  А есть ли кто-то на том конце, кто поправит /etc/apt/sources.list и сделает sudo apt-get update && sudo apt-get dist-upgrade ? Потому как Deb 6 - давно не поддерживается.
                  Или вам даст доступ туда.

                  https://blog.rimuhosting.com/2016/02/13/debian-squeeze-6-ends-support-time-to-upgrade/
                  http://linuxlookup.com/howto/upgrade_debian_6_squeeze_7_wheezy

                  1 Reply Last reply Reply Quote 0
                  • P
                    pigbrother
                    last edited by

                    Смотря какое ПО крутится на удаленной машине.
                    Обновление может потянуть за собой обновление кучи пакетов, установленного софта с потенциальной потерей работоспособности.

                    1 Reply Last reply Reply Quote 0
                    • werterW
                      werter
                      last edited by

                      Доброе.
                      Верно. Важное замечание. Прошу прощения , что не упомянул.

                      1 Reply Last reply Reply Quote 0
                      • F
                        fanofdogs
                        last edited by

                        Спасибо всем принимавшим участие!

                        Нашелся админ на удаленный сервер. Там действительно оказался Debian 6. Причем в плачевном состоянии. Обновить OpenVPN толком не удалось, из-за за кучи зависимостей. Получилось  поднять ВПН поменяв направление, pfSense стал сервером, а Debian клиентом (с минимальным набором параметров в конфиге).

                        Грабли конечно остались, по логам на pfSense соединение очень часто рвется, весь лог забит таким:

                        May 18 16:35:15  openvpn  17763  MANAGEMENT: Client disconnected 
                        May 18 16:35:15  openvpn  17763  MANAGEMENT: CMD 'status 2' 
                        May 18 16:35:15  openvpn  17763  MANAGEMENT: CMD 'state 1' 
                        May 18 16:35:15  openvpn  17763  MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock

                        Но поднимается быстро, так что на уровне пользователей это вообще не заметно. Решили больше Debian не трогать и смотреть в сторону замены на pfSense

                        1 Reply Last reply Reply Quote 0
                        • P
                          pigbrother
                          last edited by

                          @fanofdogs:

                          Спасибо всем принимавшим участие!

                          Нашелся админ на удаленный сервер. Там действительно оказался Debian 6. Причем в плачевном состоянии. Обновить OpenVPN толком не удалось, из-за за кучи зависимостей. Получилось  поднять ВПН поменяв направление, pfSense стал сервером, а Debian клиентом (с минимальным набором параметров в конфиге).

                          Грабли конечно остались, по логам на pfSense соединение очень часто рвется, весь лог забит таким:

                          May 18 16:35:15  openvpn  17763  MANAGEMENT: Client disconnected 
                          May 18 16:35:15  openvpn  17763  MANAGEMENT: CMD 'status 2' 
                          May 18 16:35:15  openvpn  17763  MANAGEMENT: CMD 'state 1' 
                          May 18 16:35:15  openvpn  17763  MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock

                          Но поднимается быстро, так что на уровне пользователей это вообще не заметно. Решили больше Debian не трогать и смотреть в сторону замены на pfSense

                          Это нормально (С)

                          Причина:

                          That's normal and it's from the Dashboard or Status > OpenVPN checking on the daemon. Your "verb" level is higher than it needs to be if you're seeing that in the logs.
                          https://forum.pfsense.org/index.php?topic=79363.0

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.