OpenVPN "поломался" после переезда



  • После переезда в другой офис, мы сменили внутренний диапазон адресов(со 192.168.0.0/24 на 192.168.10.0/24) и я, чтобы долго не заморачиваться, сохранил полную конфигурацию в xml-файл, затем в текстовом редакторе сделал замену 192.168.0 на 192.168.10 и занал эту конфигурацию обратно в тот же pfSense. Сервер тот же, все то же осталось.

    Те же ключи, сертификаты и т.д.

    После подключения я могу попасть на веб-интерфейс pfSense(подключаюсь из дома как обычный клиент). Но дальше роутера пройти не могу, пинги не ходят, по ssh на внутренние сервера не попасть и т.д.

    Подскажите идеи и инструментарий для отслеживания, где останавливаются пакеты.

    трассировка получается такая:

    C:\Program Files\OpenVPN\config>tracert 192.168.10.250
    
    Трассировка маршрута к 192.168.10.250 с максимальным числом прыжков 30
    
      1   103 ms   103 ms   104 ms  172.0.0.1
      2     *        *        *     Превышен интервал ожидания для запроса.
      3  ^C 
    и т.д.
    

    в логе клиента так:

    Sat May 08 00:54:19 2010 Attempting to establish TCP connection with XXXXXXXXXXXXX
    Sat May 08 00:54:19 2010 TCP connection established with XXXXXXXXXXXX
    Sat May 08 00:54:19 2010 TCPv4_CLIENT link local: [undef]
    Sat May 08 00:54:19 2010 TCPv4_CLIENT link remote: XXXXXXXXXXXXXXX
    Sat May 08 00:54:19 2010 TLS: Initial packet from XXXXXXXXXX, sid=9626f39e 7dae8d33
    Sat May 08 00:54:21 2010 VERIFY OK: depth=1, XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    Sat May 08 00:54:21 2010 VERIFY OK: depth=0, XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    Sat May 08 00:54:24 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Sat May 08 00:54:24 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Sat May 08 00:54:24 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Sat May 08 00:54:24 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Sat May 08 00:54:24 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
    Sat May 08 00:54:24 2010 [server] Peer Connection Initiated with 94.178.98.104:12021
    Sat May 08 00:54:24 2010 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
    Sat May 08 00:54:25 2010 PUSH: Received control message: 'PUSH_REPLY,route 192.168.10.0 255.255.255.0,route 172.0.0.1,ping 10,ping-restart 60,ifconfig 172.0.0.6 172.0.0.5'
    Sat May 08 00:54:25 2010 OPTIONS IMPORT: timers and/or timeouts modified
    Sat May 08 00:54:25 2010 OPTIONS IMPORT: --ifconfig/up options modified
    Sat May 08 00:54:25 2010 OPTIONS IMPORT: route options modified
    Sat May 08 00:54:25 2010 TAP-WIN32 device [Подключение по локальной сети 2] opened: \\.\Global\{8008E05C-A6C6-42F3-870E-3F8DC16CB035}.tap
    Sat May 08 00:54:25 2010 TAP-Win32 Driver Version 8.4 
    Sat May 08 00:54:25 2010 TAP-Win32 MTU=1500
    Sat May 08 00:54:25 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 172.0.0.6/255.255.255.252 on interface {8008E05C-A6C6-42F3-870E-3F8DC16CB035} [DHCP-serv: 172.0.0.5, lease-time: 31536000]
    Sat May 08 00:54:25 2010 Successful ARP Flush on interface [65540] {8008E05C-A6C6-42F3-870E-3F8DC16CB035}
    Sat May 08 00:54:25 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Sat May 08 00:54:25 2010 Route: Waiting for TUN/TAP interface to come up...
    Sat May 08 00:54:27 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Sat May 08 00:54:27 2010 Route: Waiting for TUN/TAP interface to come up...
    Sat May 08 00:54:28 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Sat May 08 00:54:28 2010 Route: Waiting for TUN/TAP interface to come up...
    Sat May 08 00:54:29 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Sat May 08 00:54:29 2010 Route: Waiting for TUN/TAP interface to come up...
    Sat May 08 00:54:30 2010 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
    Sat May 08 00:54:30 2010 route ADD 192.168.10.0 MASK 255.255.255.0 172.0.0.5
    Sat May 08 00:54:30 2010 Route addition via IPAPI succeeded
    Sat May 08 00:54:30 2010 route ADD 172.0.0.1 MASK 255.255.255.255 172.0.0.5
    Sat May 08 00:54:30 2010 Route addition via IPAPI succeeded
    Sat May 08 00:54:30 2010 Initialization Sequence Completed
    
    

    маршруты после поднятия туннеля у меня такие:

    
            172.0.0.1  255.255.255.255        172.0.0.5       172.0.0.6       1
            172.0.0.4  255.255.255.252        172.0.0.6       172.0.0.6       30
            172.0.0.6  255.255.255.255        127.0.0.1       127.0.0.1       30
        172.0.255.255  255.255.255.255        172.0.0.6       172.0.0.6       30
         192.168.10.0    255.255.255.0        172.0.0.5       172.0.0.6       1
    


  • Проверьте правила Firewall, смотрите его логи. Кстати 10.x.x.x по-моему намного удобнее.



  • в web фейсе openvpn нажмите просто save.. может сработать.



  • @deutsche:

    Проверьте правила Firewall, смотрите его логи. Кстати 10.x.x.x по-моему намного удобнее.

    Диапазон этот у меня в домашней сети используется;) не получится у меня адекватно работать с одним диапазоном в разных сетях.

    Разобрался я с проблемой, вина моя. Я на сервере(который в рабочей сети, а на нем еще два jail'а крутятся) defaultrouter забыл сменить на новый. И он судя по всему ответы на все пакеты гнал не через тот шлюз обратно.

    Вопрос закрываем. Спасибо откликнувшимся.


Locked