OpenVPN "поломался" после переезда
-
После переезда в другой офис, мы сменили внутренний диапазон адресов(со 192.168.0.0/24 на 192.168.10.0/24) и я, чтобы долго не заморачиваться, сохранил полную конфигурацию в xml-файл, затем в текстовом редакторе сделал замену 192.168.0 на 192.168.10 и занал эту конфигурацию обратно в тот же pfSense. Сервер тот же, все то же осталось.
Те же ключи, сертификаты и т.д.
После подключения я могу попасть на веб-интерфейс pfSense(подключаюсь из дома как обычный клиент). Но дальше роутера пройти не могу, пинги не ходят, по ssh на внутренние сервера не попасть и т.д.
Подскажите идеи и инструментарий для отслеживания, где останавливаются пакеты.
трассировка получается такая:
C:\Program Files\OpenVPN\config>tracert 192.168.10.250 Трассировка маршрута к 192.168.10.250 с максимальным числом прыжков 30 1 103 ms 103 ms 104 ms 172.0.0.1 2 * * * Превышен интервал ожидания для запроса. 3 ^C и т.д.
в логе клиента так:
Sat May 08 00:54:19 2010 Attempting to establish TCP connection with XXXXXXXXXXXXX Sat May 08 00:54:19 2010 TCP connection established with XXXXXXXXXXXX Sat May 08 00:54:19 2010 TCPv4_CLIENT link local: [undef] Sat May 08 00:54:19 2010 TCPv4_CLIENT link remote: XXXXXXXXXXXXXXX Sat May 08 00:54:19 2010 TLS: Initial packet from XXXXXXXXXX, sid=9626f39e 7dae8d33 Sat May 08 00:54:21 2010 VERIFY OK: depth=1, XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX Sat May 08 00:54:21 2010 VERIFY OK: depth=0, XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX Sat May 08 00:54:24 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Sat May 08 00:54:24 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Sat May 08 00:54:24 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Sat May 08 00:54:24 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Sat May 08 00:54:24 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA Sat May 08 00:54:24 2010 [server] Peer Connection Initiated with 94.178.98.104:12021 Sat May 08 00:54:24 2010 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1) Sat May 08 00:54:25 2010 PUSH: Received control message: 'PUSH_REPLY,route 192.168.10.0 255.255.255.0,route 172.0.0.1,ping 10,ping-restart 60,ifconfig 172.0.0.6 172.0.0.5' Sat May 08 00:54:25 2010 OPTIONS IMPORT: timers and/or timeouts modified Sat May 08 00:54:25 2010 OPTIONS IMPORT: --ifconfig/up options modified Sat May 08 00:54:25 2010 OPTIONS IMPORT: route options modified Sat May 08 00:54:25 2010 TAP-WIN32 device [Подключение по локальной сети 2] opened: \\.\Global\{8008E05C-A6C6-42F3-870E-3F8DC16CB035}.tap Sat May 08 00:54:25 2010 TAP-Win32 Driver Version 8.4 Sat May 08 00:54:25 2010 TAP-Win32 MTU=1500 Sat May 08 00:54:25 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 172.0.0.6/255.255.255.252 on interface {8008E05C-A6C6-42F3-870E-3F8DC16CB035} [DHCP-serv: 172.0.0.5, lease-time: 31536000] Sat May 08 00:54:25 2010 Successful ARP Flush on interface [65540] {8008E05C-A6C6-42F3-870E-3F8DC16CB035} Sat May 08 00:54:25 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down Sat May 08 00:54:25 2010 Route: Waiting for TUN/TAP interface to come up... Sat May 08 00:54:27 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down Sat May 08 00:54:27 2010 Route: Waiting for TUN/TAP interface to come up... Sat May 08 00:54:28 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down Sat May 08 00:54:28 2010 Route: Waiting for TUN/TAP interface to come up... Sat May 08 00:54:29 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down Sat May 08 00:54:29 2010 Route: Waiting for TUN/TAP interface to come up... Sat May 08 00:54:30 2010 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up Sat May 08 00:54:30 2010 route ADD 192.168.10.0 MASK 255.255.255.0 172.0.0.5 Sat May 08 00:54:30 2010 Route addition via IPAPI succeeded Sat May 08 00:54:30 2010 route ADD 172.0.0.1 MASK 255.255.255.255 172.0.0.5 Sat May 08 00:54:30 2010 Route addition via IPAPI succeeded Sat May 08 00:54:30 2010 Initialization Sequence Completed
маршруты после поднятия туннеля у меня такие:
172.0.0.1 255.255.255.255 172.0.0.5 172.0.0.6 1 172.0.0.4 255.255.255.252 172.0.0.6 172.0.0.6 30 172.0.0.6 255.255.255.255 127.0.0.1 127.0.0.1 30 172.0.255.255 255.255.255.255 172.0.0.6 172.0.0.6 30 192.168.10.0 255.255.255.0 172.0.0.5 172.0.0.6 1
-
Проверьте правила Firewall, смотрите его логи. Кстати 10.x.x.x по-моему намного удобнее.
-
в web фейсе openvpn нажмите просто save.. может сработать.
-
Проверьте правила Firewall, смотрите его логи. Кстати 10.x.x.x по-моему намного удобнее.
Диапазон этот у меня в домашней сети используется;) не получится у меня адекватно работать с одним диапазоном в разных сетях.
Разобрался я с проблемой, вина моя. Я на сервере(который в рабочей сети, а на нем еще два jail'а крутятся) defaultrouter забыл сменить на новый. И он судя по всему ответы на все пакеты гнал не через тот шлюз обратно.
Вопрос закрываем. Спасибо откликнувшимся.