OpenVPN - не видно сетей за сервером и за клиентом, l



  • Уважаемые господа!

    Недавно познакомился с этим замечательным творением - pfSense. Остановился на pfSense-2.0-RC1.
    Встала задача объединить две сети через VPN. Предполагается использование pfSense-2.0-RC1. Необходимо, чтобы компьютеры из одной сети видели другую и наоборот.

    Схема простая: (сеть 192.168.2.0/24)==(pfSense)==(Интернет)==(pfSense)==(сеть 192.168.0.0/24)
                                                                ||                                  ||
                                                                == (OpenVPN)==========

    На VirtualBox-е поставил две  pfSense-2.0 и две WinXP. Одна WinXP имитирует сеть 192.168.2.0/24, другая - 192.168.0.0/24.
    В итоге получилась такая схема:
    (WinXP>192.168.2.50)==(192.168.2.70<pfsense>192.168.1.70)====(192.168.1.80<pfsense>192.168.0.80)==(192.168.0.50<winxp)<br>                                                                                      ||===adsl(Dlink>>192.168.1.1)

    По мотивам топика: http://forum.pfsense.org/index.php/topic,32662.msg168997.html#msg168997 составил для себя мануал, попутно совершая все описанные в нем действия. Канал OpenVPN поднялся, однако не добился главного - сети друг друга не видят.

    Когда дошел до конца и посмотрел логи, смутило следующее:

    1. openvpn[45483]: ERROR: FreeBSD route add command failed: external program exited with error status: 1

    2. [DEPRECATED FEATURE ENABLED: random-resolv] Resolving hostnames will use randomisation if more than one IP address is found

    3. А потом, сходив туда, куда меня послала эта запись в логе:
      WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

    И вставив этот параметр в пункт конфигурации клиента - Advanced configuration
      remote-cert-tls server;

    В итоге получил такое:
    openvpn[41731]: TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

    В связи с этим обращаюсь к уважаемому сообществу с просьбой о помощи разобраться с настройкой, а также хочу задать такие вопросы:

    1. FreeBSD route add command failed - Почему (и какой) маршрут не прописывается? Судя по выводу netstat –rn, все необходимые маршруты прописались:

    На севере:

    Routing tables
    Internet:
    Destination        Gateway            Flags    Refs      Use  Netif Expire
    default            192.168.1.1        UGS         0      345    em0
    10.10.100.0/24 10.10.100.2        UGS         0        0     ovpns1
    10.10.100.1        link#7             UHS         0        0      lo0
    10.10.100.2        link#7             UH           0        0      ovpns1
    127.0.0.1           link#3             UH           0       47      lo0
    192.168.0.0/24 10.10.100.2        UGS         0        0      ovpns1
    192.168.1.0/24    link#1             U            0       14400   em0
    192.168.1.70       link#1             UHS         0        0        lo0
    192.168.2.0/24    link#2             U            0        2188    em1
    192.168.2.70       link#2             UHS         0        0        lo0
    

    И клиенте:

    Routing tables
    Internet:
    Destination        Gateway            Flags    Refs      Use  Netif Expire
    default            192.168.1.1        UGS         0      330     em0
    10.10.100.0/24 10.10.100.5        UGS         0        0      ovpnc1
    10.10.100.5         link#7            UH           0        0      ovpnc1
    10.10.100.6         link#7            UHS          0        0     lo0
    127.0.0.1            link#3            UH            0       47     lo0
    192.168.0.0/24    link#2             U             0     3000    em1
    192.168.0.80       link#2             UHS         0        0      lo0
    192.168.1.0/24    link#1             U             0    10700    em0
    192.168.1.80       link#1             UHS         0        0      lo0
    192.168.2.0/24    10.10.100.5     UGS         0        0      ovpnc1
    
    

    2. DEPRECATED FEATURE ENABLED: random-resolv – Где можно отключить/включить эту опцию?

    3.  Почему после включения защиты от  Man-in-the-Middle - remote-cert-tls server, появляется "certificate verify failed"? Кстати, если включить ns-cert-type server происходит тоже самое. (недавно настраивал связку ubuntu (сервер) и winXP (клиент) http://forum.ubuntu.ru/index.php?topic=146868.0 - там этот параметр ошибок не вызывал)

    4. По-видимому не до конца разобрался c правилами FW.
        Это, скорее всего, основная просьба - помочь с ними разобраться, или подсказать где можно прочесть об их настройке применительно к OpenVPN.

    Теперь по порядку - что я делал.
    Мануал, который составил:

    1 . Создаем сертификат (Certificate Authority):
      System-> Cert Manager ->add or import CAs

     Descriptive Name   		= OfficeFilials
       Method 				        = Create an internal Certificate Authority
       Key Length 			        = 2048 bits
       lifetime 			                = 3650 days
       Distinguished Name 
                Country Code 	                = UA
                State or province	        = DP
                City (город )	                = DP
                Organisation 	                = Mags
                email Address 	                = rom023@mail.ru
                common name 	                = Office
    

    2. Создаем сертификат сервера OpenVPN. Вкладка Certificates => добавить
     ```
    Descriptive name (имя сертификата) = OfficeServerOVPN
      Method Create an internal certificate         = Create an internal Certificate
      Certificate authority                 = OfficeFilials
      keylength         = 2048 bits
      lifetime                 = 3650 Days
      Distinguished name
                Country Code  = UA
                State or province (область) = DP
                City (город)         = DP
                Organisation (организация) = Mags
                email Address (адрес) = rom023@mail.ru
                common name internal-ca         = OfficeServerOVPN

    [![](http://i071.radikal.ru/1104/1f/1f418e620204t.jpg)](http://i071.radikal.ru/1104/1f/1f418e620204.jpg)
    
    3.Создаем конфигурацию OpenVPN сервера.
      Выбираем: VPN => OpenVPN =>Добавить 
    
    • Server Mode = Remote Access SSL/TSL
        - Protocol = UDP
        - Interface = WAN
        - Local Port = 2813
        - Description    = ServerOfficeFilials
        - TLS Authentication         = Ставим галку
        - Automatically generate a shared = Ставим галку
          TLS authentication key.
        - Peer Certification authority server = OfficeFilials
        - Server Certificate         = OfficeServerOVPN
        - DH Parameters = 2048 Bits
        - Enryption Algorithm = BF-CBC (128 Bits)
          (Можновыбрать лююой другой)
        - Tunnel Network = 10.10.100.0/24
          (Здесь указываем ip, которые будут выдаваться клиентам)
        - Redirect Gateway = Галки нет
        - Local Network = 192.168.2.0/24
          (Здесь указываем LAN который будет видно клиентам)
        - Concurrent connections = 100
        - Compression = Ставим галку
        - Type-of-Service = Галки нет 
        - Inter-client communication = Ставим галку
        - Duplicate Connections = Галки нет
        - Dynamic IP = Ставим галку
          Allow connected clients to retain their connect if their IP changes.
        - Address Pool = Ставим галку
          Provide a virtual adapter IP address to clients (see Tunnel Network)
        - DNS Default Domain = Галки нет
      Provide a default domain name to clients
        - DNS Servers = Галки нет
      Provide a DNS server list to clients
        - NTP Servers = Галки нет
      Provide a NTP server list to clients
        - NetBIOS Options = Галки нет
      Enable NetBIOS over TCP/IP
            If this option is not set, all NetBIOS-over-TCP/IP options (including 
            WINS) will be disabled.
        - Advanced, я вставил такие опции:
      route 192.168.0.0 255.255.255.0; - сеть за клиентом
              push "route 192.168.3.0 255.255.255.0; - сеть 2 филиала
    [![](http://i034.radikal.ru/1104/ee/1d2c6a38b7adt.jpg)](http://i034.radikal.ru/1104/ee/1d2c6a38b7ad.jpg)
    [![](http://s002.radikal.ru/i198/1104/2f/0fda1e3f4238t.jpg)](http://s002.radikal.ru/i198/1104/2f/0fda1e3f4238.jpg)
    
    Вместо ssd директории определил такие настройки клиента:
    [![](http://s57.radikal.ru/i158/1104/f1/ea67488fa9f7t.jpg)](http://s57.radikal.ru/i158/1104/f1/ea67488fa9f7.jpg)
    
    4\. Добавляем правила в Firewall
      Firewall=> Rules=>WAN
    

    Добавляем правило
      Action = Pass
      Interface => WAN
      Protocol = UDP
      Source = any
      Destination = WAN address
      Destination Port Range = 2813
      (указываем порты которые используем для OPENVPN)
      Description

    
    Еще добавил такие правила FW и NAT:
    Настройки FW и NAT на сервере и клиенте OpenVPN одинаковые, с поправкой на сети:
    [![](http://s47.radikal.ru/i116/1104/3f/0103c7d40fect.jpg)](http://s47.radikal.ru/i116/1104/3f/0103c7d40fec.jpg)
    [![](http://s58.radikal.ru/i159/1104/42/051fa9483ab2t.jpg)](http://s58.radikal.ru/i159/1104/42/051fa9483ab2.jpg)
    [![](http://i080.radikal.ru/1104/40/782884126d95t.jpg)](http://i080.radikal.ru/1104/40/782884126d95.jpg)
    [![](http://s61.radikal.ru/i174/1104/8a/ffd8d2216b84t.jpg)](http://s61.radikal.ru/i174/1104/8a/ffd8d2216b84.jpg)
    
    6\. Создание и экспорт сертификатов клиента.
      System => User Manager => Добавить 
    

    Username => Filial-Kiev001 (или любое другое)
      password => свой
      full name  => Filial-Kiev_Kreschatik
      expiration date  => пусто
      group membership => OpenVPN (предварительно надо создать)

    Создаем сертификат для пользователя
      User Certificates => добавить
      Descriptive Name => Filial-Kiev001
      Certificate Authority server => Office-Filials (как в шаге 1)
      keylength => 2048 Bits
      Lifetime         => 3650 Days

    [![](http://s50.radikal.ru/i128/1104/96/40241561d8c1t.jpg)](http://s50.radikal.ru/i128/1104/96/40241561d8c1.jpg)
    
    Переходим на вкладку OpenVPN=>Client Export,
    здесь есть несколько разных вариантов для экспорта сертификатов и конфигурации:
    1\. Configuration - только конфиг клиента
    2\. Configuration archive  - tls файл (почему-то не совпал с серверным), конфиг клиента и р12 файл (я так понял что это "замена" клиентских .key и .crt)
    3\. Windows Installer - на практике не проверял, подозреваю что аналог п.2 засунутый в инсталлятор
    4\. Viscosity Bundle - пункт 2, только вместо р12 - .key и .crt
    [![](http://s59.radikal.ru/i166/1104/6d/7a6977f27800t.jpg)](http://s59.radikal.ru/i166/1104/6d/7a6977f27800.jpg)
    
    Но пошел по другому пути:
    1. System =>  Cert Manager => Certificates
    2. Нажимаем поочередно кнопки с треугольником напротив нужного сертификата и экспортируем файлы клиента .crt и .key.
    [![](http://s43.radikal.ru/i100/1104/be/54c23583d530t.jpg)](http://s43.radikal.ru/i100/1104/be/54c23583d530.jpg)
    3. System =>  Cert Manager => Certificate Authority Manager
    4. Нажимаем поочередно кнопки с треугольником напротив нужного сертификата и экспортируем файлы .crt и .key.
    [![](http://s004.radikal.ru/i207/1104/8c/7594bdd5de53t.jpg)](http://s004.radikal.ru/i207/1104/8c/7594bdd5de53.jpg)
    5. Далее: VPN=>OpenVPN=>Server=>Edit
    6. Копируем из пункта TLS Authentication 2048 bit OpenVPN static key в любой текстовый файл.
    [![](http://s55.radikal.ru/i147/1104/2b/918ebc38663dt.jpg)](http://s55.radikal.ru/i147/1104/2b/918ebc38663d.jpg)
    
    7.  Настройка OpenVPN  на стороне клиента.
    1\. Импорт сертификатов:
    - System =>  Cert Manager => Certificate Authority Manager => Add
    - Открываем текстовым редактором файлы сертификатов авторизац. центра и копируем в соответствующие поля.
    - Заполняем Descriptive name  и сохраняем.
    - Идем в System =>  Cert Manager => Certificates => Add и таким же образом импортируем сертификаты клиента.
    [![](http://i052.radikal.ru/1104/7c/e8fdb52e1bdct.jpg)](http://i052.radikal.ru/1104/7c/e8fdb52e1bdc.jpg)
    
    2\. Создание конфигурации клиента OpenVPN:  VPN=>OpenVPN=>Client=>Add
    Настройки установил такие:
    

    Server Mode = Peer-To-Peer (SSL/TSL)
    Protocol = UDP
    Device mode = tun
    Interface = WAN
    Local port = (пусто)
    Server host or address = 192.168.1.70
    Server port = 2813
    Proxy host or address = (пусто)
    Proxy port = (пусто)
    Proxy authentication extra options = (пусто)
    Server host name resolution = галка
    Description = (пусто)
    TLS Authentication         = галка и тут вставил tls ключ сервера
    Peer Certificate Authority = OfficeFilials
    Client Certificate         = Filial-Kiev001
    Encryption algorithm = BF-CBC
    Hardware Crypto = (пусто)
    Tunnel Network = 10.10.100.0/24
    Remote Network = 192.168.2.0/24
    Limit outgoing bandwidth = (пусто)
    Compression = галка
    Type-of-Service = (пусто)
    Advanced = (пусто)

    [![](http://s61.radikal.ru/i172/1104/51/9302df9dbcb7t.jpg)](http://s61.radikal.ru/i172/1104/51/9302df9dbcb7.jpg)
    [![](http://s44.radikal.ru/i103/1104/21/8b4f36fe7250t.jpg)](http://s44.radikal.ru/i103/1104/21/8b4f36fe7250.jpg)
    
    Все говорит о том, что связь установлена и работает:
    [![](http://s58.radikal.ru/i159/1104/96/b887544fc484t.jpg)](http://s58.radikal.ru/i159/1104/96/b887544fc484.jpg)
    [![](http://s55.radikal.ru/i147/1104/04/48bc5cc3753bt.jpg)](http://s55.radikal.ru/i147/1104/04/48bc5cc3753b.jpg)
    [![](http://i078.radikal.ru/1104/a5/b126e2bed09ft.jpg)](http://i078.radikal.ru/1104/a5/b126e2bed09f.jpg)
    [![](http://i076.radikal.ru/1104/a4/2f5f7628993ct.jpg)](http://i076.radikal.ru/1104/a4/2f5f7628993c.jpg)
    
    Но, как писал, пинги не идут, WinXP друг друга не видят.
    
    Спасибо заранее всем откликнувшимся!</winxp)<br></pfsense></pfsense>


  • В общем разобрался я…

    Идеология iptables ввела в заблуждение.

    Чего сделал:
    1. Сброс до дефолтных настроек.
    2. Обновился до последней версии.
    3. Настройка сервера и клиента по новой.
    4. NAT исходящий - выставил автоматические правила. (знаю, что не совсем правильно, буду экспериментировать)
    5. Интерфейс OpenVPN - разрешено все. (тоже самое).
    6. LAN - разрешил трафик из вирт. сети OpenVPN и сетей за сервером и клиентом (соответственно).
    7. TLS аутентификацию отключил.

    Все заработало.



  • Оказалось еще проще - надо разрешить трафик с/на OpenVPN/
    Осталось только изучить ман по PF…



  • Наш человек! Осталось только изучить ман по PF…  мы тоже сначала тыкаем потом мануал читаем  ;D



  • Ну так как же не потыкать…  :)



  • хотелось бы очень посмотреть на правила, а то такая же проблема



  • @schmel:

    хотелось бы очень посмотреть на правила, а то такая же проблема

    да и мне бы тоже хотелось!

    как-то сильно неочевидно реализовано все

    канал поднимается ок, но пакеты даже внутри канала не ходят



  • Это как раз правильно сделано.
    поднятие канала рассматривайте как втыкание провода в сетевуху.
    "провод воткнули", а что у вас там дальше накручено это совершенно другая песня.



  • Столкнулся с такой же проблемой.
    делал все по мануалу.
    не выходит =(
    проблема в маршрутизации… ступор, вроде везде разрешил подсети(nat, rule,openvpn)
    192.168.105.0/24 офис (ovpns4=10.5.0.1)
    10.5.0.0/24 туннель
    192.168.0.0 филиал (ovpns4=10.5.0.2)

    роут с офиса
    10.5.0.0/24 10.5.0.2 UGS 0 0 1500 ovpns4
    10.5.0.1 127.0.0.1 UH 0 0 16384 lo0
    10.5.0.2 link#12 UH 0 3 1500 ovpns4

    роут с филиала
    10.5.0.0/24 10.5.0.1 UGS 0 0 1500 ovpnc5
    10.5.0.1 link#9 UH 0 0 1500 ovpnc5
    10.5.0.2 link#9 UHS 0 0 16384 lo0

    туннель поднялся, все нормально, но в туннеле не пингуются.



  • В роутах не видно маршрутов на 192.168.** сетки.



  • @dvserg:

    В роутах не видно маршрутов на 192.168.** сетки.

    Гмм.

    Офис
    $ netstat -rn
    Routing tables

    Internet:
    Destination        Gateway            Flags    Refs      Use  Netif Expire
    default              х.х.х.х        UGS        0 132489229    rl0
    10.5.0.0/24        10.5.0.2          UGS        0        0 ovpns4
    10.5.0.1            127.0.0.1          UH          0        0    lo0
    10.5.0.2              link#12            UH          0        0 ovpns4
    10.7.13.0/24      10.7.13.2          UGS        0      24 ovpns1
    10.7.13.1            link#8            UHS        0        0    lo0
    10.7.13.2            link#8            UH          0        0 ovpns1
    х.х.х.х/24            link#2            U          0  2092509    rl0
    х.х.х.х                link#2            UHS        0        0    lo0
    127.0.0.1            link#4            UH          0  571780    lo0
    192.168.0.0/24    10.7.13.2          UGS        0        0 ovpns1
    192.168.105.0/24  link#1            U          0 109264405    re0
    192.168.105.1      link#1            UHS        0        0    lo0

    филиал

    Internet:
    Destination        Gateway            Flags    Refs      Use  Netif Expire
    default                х.х.х.х        UGS        0  3907023    re0
    8.8.8.8                х.х.х.х        UGHS        0    5493    re0
    10.5.0.0/24        10.5.0.1          UGS        0        0 ovpnc5
    10.5.0.1              link#9            UH          0      51 ovpnc5
    10.5.0.2          127.0.0.1          UH          0        0    lo0
    10.8.0.0/24        10.8.0.2          UGS        0    17149 ovpns1
    10.8.0.1          127.0.0.1          UH          0        0    lo0
    10.8.0.2              link#8            UH          0        0 ovpns1
    х.х.х.х /24            link#2            U          0    10886    re0
    х.х.х.х                link#2            UHS        0        0    lo0
    х.х.х.х                х.х.х.х        UGHS        0    20099    re0
    х.х.х.х                х.х.х.х      UGHS        0    2244    re0
    127.0.0.1              link#4            UH          0    1832    lo0
    192.168.0.0/24      link#1            U          0  3903480  alc0
    192.168.0.246        link#1            UHS        0        3    lo0
    192.168.105.0/24  10.5.0.1          UGS        0      18 ovpnc5

    на серверe в advanced
    route 192.168.0.0 255.255.255.0;
    push "route 192.168.105.0 255.255.255.0";

    В Client Specific Override
    iroute 192.168.105.0 255.255.255.0;



  • @dvserg:

    В роутах не видно маршрутов на 192.168.** сетки.

    Или же вам предоставить полную последовательность того что делал?
    т.е. картинки + код



  • @1qoot1:

    @dvserg:

    В роутах не видно маршрутов на 192.168.** сетки.

    Или же вам предоставить полную последовательность того что делал?
    т.е. картинки + код

    Народ прошу помощи уже голову сломал
    тунель есть, внутри туннеля не пингуются =( правила пооткрывал для тунеля.

    конфиг сервера

    dev ovpns4
    dev-type tun
    dev-node /dev/tun4
    writepid /var/run/openvpn_server4.pid
    #user nobody
    #group nobody
    script-security 3
    daemon
    keepalive 10 60
    ping-timer-rem
    persist-tun
    persist-key
    proto tcp-server
    cipher BF-CBC
    up /usr/local/sbin/ovpn-linkup
    down /usr/local/sbin/ovpn-linkdown
    local x.x.x.x
    tls-server
    server 10.5.0.0 255.255.255.0
    client-config-dir /var/etc/openvpn-csc
    tls-verify /var/etc/openvpn/server4.tls-verify.php
    lport 950
    management /var/etc/openvpn/server4.sock unix
    max-clients 15
    push "route 192.168.105.0 255.255.255.0"
    client-to-client
    ca /var/etc/openvpn/server4.ca
    cert /var/etc/openvpn/server4.cert
    key /var/etc/openvpn/server4.key
    dh /etc/dh-parameters.2048
    tls-auth /var/etc/openvpn/server4.tls-auth 0
    comp-lzo
    persist-remote-ip
    float
    route 192.168.0.0 255.255.255.0
    
    #route 192.168.105.0 255.255.255.0
    
    #route 10.5.0.0 255.255.255.0
    
    push "route 192.168.0.0 255.255.255.0"
    
    push "route 192.168.105.0 255.255.255.0"
    
    push "route 10.5.0.0 255.255.255.0"
    
    verb 3
    

    ccd  c сервера

    push-reset
    ifconfig-push 10.5.0.2 10.5.0.1
    iroute 192.168.0.0 255.255.255.0
    route 10.5.0.0 255.255.255.0
    
    

    конфиг клиента

    $ cat /var/etc/openvpn/client5.conf
    dev ovpnc5
    dev-type tun
    dev-node /dev/tun5
    writepid /var/run/openvpn_client5.pid
    #user nobody
    #group nobody
    script-security 3
    daemon
    keepalive 10 60
    ping-timer-rem
    persist-tun
    persist-key
    proto tcp-client
    cipher BF-CBC
    up /usr/local/sbin/ovpn-linkup
    down /usr/local/sbin/ovpn-linkdown
    local y.y.y.y
    tls-client
    client
    lport 0
    management /var/etc/openvpn/client5.sock unix
    remote x.x.x.x yyyy
    ifconfig 10.5.0.2 10.5.0.1
    route 192.168.105.0 255.255.255.0
    ca /var/etc/openvpn/client5.ca 
    cert /var/etc/openvpn/client5.cert 
    key /var/etc/openvpn/client5.key 
    tls-auth /var/etc/openvpn/client5.tls-auth 1
    comp-lzo
    remote-cert-tls server
    
    push "route 192.168.0.0 255.255.255.0"
    
    #route 192.168.105.0 255.255.255.0
    
    verb 5
    
    

    логи ovpn сервера

    Feb 17 11:48:21	openvpn[35604]: riga/y.y.y.y:12980 SENT CONTROL [riga]: 'PUSH_REPLY,ifconfig 10.5.0.2 10.5.0.1' (status=1)
    Feb 17 11:48:21	openvpn[35604]: riga/y.y.y.y:12980 send_push_reply(): safe_cap=960
    Feb 17 11:48:21	openvpn[35604]: riga/y.y.y.y:12980 PUSH: Received control message: 'PUSH_REQUEST'
    Feb 17 11:48:19	openvpn[35604]: riga/y.y.y.y:12980 MULTI: Learn: 192.168.0.0/24 -> riga/y.y.y.y:12980
    Feb 17 11:48:19	openvpn[35604]: riga/y.y.y.y:12980 MULTI: internal route 192.168.0.0/24 -> riga/y.y.y.y:12980
    Feb 17 11:48:19	openvpn[35604]: riga/y.y.y.y:12980 MULTI: primary virtual IP for riga/y.y.y.y:12980: 10.5.0.2
    Feb 17 11:48:19	openvpn[35604]: riga/y.y.y.y:12980 MULTI: Learn: 10.5.0.2 -> riga/y.y.y.y:12980
    Feb 17 11:48:19	openvpn[35604]: riga/y.y.y.y:12980 Options error: option 'route' cannot be used in this context
    Feb 17 11:48:19	openvpn[35604]: riga/y.y.y.y:12980 OPTIONS IMPORT: reading client specific options from: /var/etc/openvpn-csc/riga
    Feb 17 11:48:19	openvpn[35604]: y.y.y.y:12980 [riga] Peer Connection Initiated with [AF_INET]y.y.y.y:12980
    Feb 17 11:48:19	openvpn[35604]: y.y.y.y:12980 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
    Feb 17 11:48:19	openvpn[35604]: y.y.y.y:12980 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Feb 17 11:48:19	openvpn[35604]: y.y.y.y:12980 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Feb 17 11:48:19	openvpn[35604]: y.y.y.y:12980 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Feb 17 11:48:19	openvpn[35604]: y.y.y.y:12980 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Feb 17 11:48:18	openvpn[35604]: y.y.y.y:12980 TLS: Initial packet from [AF_INET]y.y.y.y:12980, sid=c8f547c0 79893fe5
    Feb 17 11:48:17	openvpn[35604]: TCPv4_SERVER link remote: [AF_INET]y.y.y.y:12980
    Feb 17 11:48:17	openvpn[35604]: TCPv4_SERVER link local: [undef]
    Feb 17 11:48:17	openvpn[35604]: TCP connection established with [AF_INET]y.y.y.y:12980
    Feb 17 11:48:17	openvpn[35604]: Expected Remote Options hash (VER=V4): 'ee93268d'
    Feb 17 11:48:17	openvpn[35604]: Local Options hash (VER=V4): 'bd577cd1'
    Feb 17 11:48:17	openvpn[35604]: Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
    Feb 17 11:48:17	openvpn[35604]: Control Channel MTU parms [ L:1544 D:168 EF:68 EB:0 ET:0 EL:0 ]
    Feb 17 11:48:17	openvpn[35604]: LZO compression initialized
    Feb 17 11:48:17	openvpn[35604]: Re-using SSL/TLS context
    Feb 17 11:48:17	openvpn[35604]: MULTI: multi_create_instance called
    Feb 17 11:48:13	openvpn[35604]: Initialization Sequence Completed
    Feb 17 11:48:13	openvpn[35604]: MULTI: TCP INIT maxclients=15 maxevents=19
    Feb 17 11:48:13	openvpn[35604]: IFCONFIG POOL: base=10.5.0.4 size=62, ipv6=0
    Feb 17 11:48:13	openvpn[35604]: MULTI: multi_init called, r=256 v=256
    Feb 17 11:48:13	openvpn[35604]: TCPv4_SERVER link remote: [undef]
    Feb 17 11:48:13	openvpn[35604]: TCPv4_SERVER link local (bound): [AF_INET]x.x.x.x
    Feb 17 11:48:13	openvpn[35604]: Listening for incoming TCP connection on [AF_INET]x.x.x.x:yyy
    Feb 17 11:48:13	openvpn[34204]: Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
    Feb 17 11:48:13	openvpn[34204]: /sbin/route add -net 10.5.0.0 10.5.0.2 255.255.255.0
    Feb 17 11:48:13	openvpn[34204]: ERROR: FreeBSD route add command failed: external program exited with error status: 1
    Feb 17 11:48:13	openvpn[34204]: /sbin/route add -net 192.168.0.0 10.5.0.2 255.255.255.0
    Feb 17 11:48:13	openvpn[34204]: /usr/local/sbin/ovpn-linkup ovpns4 1500 1544 10.5.0.1 10.5.0.2 init
    Feb 17 11:48:13	openvpn[34204]: /sbin/ifconfig ovpns4 10.5.0.1 10.5.0.2 mtu 1500 netmask 255.255.255.255 up
    Feb 17 11:48:13	openvpn[34204]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    Feb 17 11:48:13	openvpn[34204]: TUN/TAP device /dev/tun4 opened
    Feb 17 11:48:13	openvpn[34204]: ROUTE default_gateway=x.x.x.x
    Feb 17 11:48:13	openvpn[34204]: Socket Buffers: R=[65228->65536] S=[65228->65536]
    Feb 17 11:48:13	openvpn[34204]: TLS-Auth MTU parms [ L:1544 D:168 EF:68 EB:0 ET:0 EL:0 ]
    Feb 17 11:48:13	openvpn[34204]: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Feb 17 11:48:13	openvpn[34204]: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Feb 17 11:48:13	openvpn[34204]: Control Channel Authentication: using '/var/etc/openvpn/server4.tls-auth' as a OpenVPN static key file
    Feb 17 11:48:13	openvpn[34204]: Diffie-Hellman initialized with 2048 bit key
    Feb 17 11:48:13	openvpn[34204]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    Feb 17 11:48:13	openvpn[34204]: MANAGEMENT: unix domain socket listening on /var/etc/openvpn/server4.sock
    Feb 17 11:48:13	openvpn[34204]: OpenVPN 2.2.0 i386-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Aug 11 2011
    
    

    логи клиента

    Feb 17 11:48:21	openvpn[37845]: Initialization Sequence Completed
    Feb 17 11:48:21	openvpn[37845]: Preserving previous TUN/TAP instance: ovpnc5
    Feb 17 11:48:21	openvpn[37845]: OPTIONS IMPORT: --ifconfig/up options modified
    Feb 17 11:48:21	openvpn[37845]: PUSH: Received control message: 'PUSH_REPLY,ifconfig 10.5.0.2 10.5.0.1'
    Feb 17 11:48:21	openvpn[37845]: SENT CONTROL [Site-to-site]: 'PUSH_REQUEST' (status=1)
    Feb 17 11:48:19	openvpn[37845]: [Site-to-site] Peer Connection Initiated with [AF_INET]x.x.x.x:yyyy
    Feb 17 11:48:19	openvpn[37845]: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
    Feb 17 11:48:19	openvpn[37845]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Feb 17 11:48:19	openvpn[37845]: Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Feb 17 11:48:19	openvpn[37845]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Feb 17 11:48:19	openvpn[37845]: Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    

    routes сервер

    default	x.x.x.x	UGS	0	147005207	1500	rl0	 
    10.5.0.0/24	10.5.0.2	UGS	0	0	1500	ovpns4	 
    10.5.0.1	link#12	UHS	0	0	16384	lo0	 
    10.5.0.2	link#12	UH	0	0	1500	ovpns4	 
    10.7.13.0/24	10.7.13.2	UGS	0	91987	1500	ovpns1	 
    10.7.13.1	127.0.0.1	UH	0	0	16384	lo0	 
    10.7.13.2	link#8	UH	0	0	1500	ovpns1	 
    x.x.x.x/24	link#2	U	0	2338550	1500	rl0	 
    x.x.x.x	link#2	UHS	0	0	16384	lo0	 
    127.0.0.1	link#4	UH	0	638068	16384	lo0	 
    192.168.0.0/24	10.7.13.2	UGS	0	340	1500	ovpns1	 
    192.168.105.0/24	link#1	U	0	122087149	1500	re0	 
    192.168.105.1	link#1	UHS	0	0	16384	lo0	 
    

    routes клиент

    10.5.0.1	link#9	UH	0	6	1500	ovpnc5	 
    10.5.0.2	link#9	UHS	0	0	16384	lo0	 
    10.8.0.0/24	10.8.0.2	UGS	0	36376	1500	ovpns1	 
    10.8.0.1	127.0.0.1	UH	0	0	16384	lo0	 
    10.8.0.2	link#8	UH	0	0	1500	ovpns1	 
    
    127.0.0.1	link#4	UH	0	9292	16384	lo0	 
    192.168.0.0/24	link#1	U	0	22111649	1500	alc0	 
    192.168.0.246	link#1	UHS	0	3	16384	lo0	 
    192.168.105.0/24	10.5.0.1	UGS	0	81	1500	ovpnc5	 
    

    проблемы 2
    1. внутри туннеля не пингуются
    2. из 1. вытекает локалки не пингуются =(

    правила ната есть на обоих сторонах, в firewall rules разрешены подсети.

    pass Feb 17 12:25:31 ovpns4   192.168.0.100:4167   192.168.105.2:500 TCP:S



  • @1qoot1:

    @1qoot1:

    @dvserg:

    В роутах не видно маршрутов на 192.168.** сетки.

    Или же вам предоставить полную последовательность того что делал?
    т.е. картинки + код

    Народ прошу помощи уже голову сломал
    тунель есть, внутри туннеля не пингуются =( правила пооткрывал для тунеля.

    Решено, кого интересует, могу дать пояснение по глупым вопросам =)



  • Решение можно выложить здесь. А  то так и будут одни вопросы без ответов.



  • @dvserg:

    Решение можно выложить здесь. А  то так и будут одни вопросы без ответов.

    default   x.x.x.x UGS 0 147005207 1500 rl0
    10.5.0.0/24 10.5.0.2 UGS 0 0 1500 ovpns4
    10.5.0.1 link#12 UHS 0 0 16384 lo0
    10.5.0.2 link#12 UH 0 0 1500 ovpns4
    10.7.13.0/24 10.7.13.2 UGS 0 91987 1500 ovpns1
    10.7.13.1 127.0.0.1 UH 0 0 16384 lo0
    10.7.13.2 link#8 UH 0 0 1500 ovpns1
    x.x.x.x/24 link#2 U 0 2338550 1500 rl0
    x.x.x.x link#2 UHS 0 0 16384 lo0
    127.0.0.1 link#4 UH 0 638068 16384 lo0
    192.168.0.0/24 10.7.13.2 UGS 0 340 1500 ovpns1 –-- проблема была в этом настраивал с включенным ovpn со своей машины(мой комп на сервер клиента)
    192.168.105.0/24 link#1 U 0 122087149 1500 re0
    192.168.105.1 link#1 UHS 0 0 16384 lo0

    решилось route delete 192.168.0.0/24
    и перезапуском сервера vpn

    суть проблем была в том что линк поднялся, но ни чего не пинговалось даже внутри туннеля...


Log in to reply