TAP win32 driver mask 255.255.255.252 siempre?



  • Hola a todos.

    Hace tiempo que uso openvpn i funciona ok, pero cuando he querido simultanear la conexión vpn con dos clientes distintos, no es posible porque siempre la TAP pone una máscara /30 (255.255.255.252).
    Eso se puede modificar?
    La solución consiste en generar otro certificado en el lado servidor, uno para cada cliente?

    Muchas gracias



  • Cada cliente tiene que tener su propio certificado (de cliente).

    Es la manera de saber la identidad de cada equipo/usuario y diferenciarlo.

    http://www.bellera.cat/josep/pfsense/openvpn_cs.html

    De todas maneras el hecho de usar un solo certificado de cliente no sé si influye en la asignación de direcciones IP (no lo he probado).

    El rango de direcciones IP viene determinado por **VPN - OpenVPN - Server - Tunnel Settings

    • Tunnel Network**

    This is the virtual network used for private communications between this server and client hosts expressed using CIDR (eg. 10.0.8.0/24). The first network address will be assigned to the server virtual interface. The remaining network addresses can optionally be assigned to connecting clients. (see Address Pool)

    En la 1.2.3 ponía Address Pool.



  • Gracias por la respuesta Bellera,

    me expliqué fatal antes:

    -ya tengo certificados diferentes para cada cliente (dos)
    -los dos se conectan perfectamente por separado y si no coinciden en el tiempo
    -pero si son simultáneas solo se conecta el primero que lo hace. al segundo le sale un error que dice que el driver de la TAP solo puede poner una mascara /30 (255.255.255.252).

    • los clientes són wxp.
    • en la configuracion tanto del server (un pfsense) como del fichero de configuracion de los clientes he cambiado la mascara i he provado tanto con dhp como con ipfija, i siempre sale el mismo error. deduzco que cuendo se instala la targeta de red virtual TAP lo hace con unos drivers que solo permiten una mascara /30…
    • en fin : a alguien le funciona que con un mismo certificado de servidor y diferentes certificados de clientes (sobre ese mismo certificado de servidor), los clientes se puedan conectar simultáneamente desde clientes wxp?. Si es así yo no sé como se hace.
    • Uso pfsense 1.2.3 y openvpn para crear los certificados e instalar la TAP, todo siguiendo el manual de Bellera.

    muy agradecido



  • A alguien le funciona que con un mismo certificado de servidor y diferentes certificados de clientes (sobre ese mismo certificado de servidor), los clientes se puedan conectar simultáneamente desde clientes wxp?

    Tengo esto funcionando (60 usuarios road warrior) y nadie se ha quejado hasta ahora.

    Es del todo normal la máscara. Explico por qué.

    Supongamos que configuras en el servidor OpenVPN de pfSense que vas a emplear la subred 192.168.125.0/24.

    • El servidor se pone en marcha tomando como su IP la 192.168.125.1
    • El servidor toma como puerta de salida 192.168.125.2
    • La subred del servidor es pues 192.168.125.0/30, es decir 192.168.125.0/255.255.255.252
    • La dirección de broadcast de dicha subred será 192.168.125.3

    Puedes observar esto con el comando en consola:

    ifconfig ovpns1
    ifconfig ovpns2

    (pongo dos porque en mi caso tengo 2 servidores OpenVPN funcionando).

    A partir de esto los clientes que se conectan montan también su propia red con máscara de 30 bit, de ahí que observes siempre 255.255.255.252.

    • El equipo toma, por ejemplo, la IP 192.168.125.86
    • El equipo tiene como servidor DHCP la IP anterior, 192.168.125.85
    • La subred es 192.168.125.84/30, es decir 192.168.125.84/255.255.255.252
    • La dirección de broadcast de dicha subred será 192.168.125.87

    Puedes ver todo esto en un WinXP con cmd:

    ipconfig /all
    route print

    Tanto el servidor como cada cliente emplean pues su propia subred ocupando un bloque de 4 IPs.

    Esto me hace pensar que empleando una máscara de 24 bits en el servidor sólo permitirá unos 60 clientes simultáneos. Menos mal que no tengo más.

    Esta tarde hago una prueba con dos clientes simultáneos desde de casa… Como te dije antes nadie se ha quejado pero a veces los usuarios... cuando no se conectan prueban en otro momento.

    Saludos,

    Josep Pujadas



  • Funciona sin problemas… Ver imagen.

    Debes tener algún lío con la configuración del servidor OpenVPN. Postea imagen sin datos "privados".

    El rango de direcciones IP viene determinado por VPN - OpenVPN - Server - Tunnel Settings

    • Tunnel Network
         
      This is the virtual network used for private communications between this server and client hosts expressed using CIDR (eg. 10.0.8.0/24). The first network address will be assigned to the server virtual interface. The remaining network addresses can optionally be assigned to connecting clients. (see Address Pool)

    En la 1.2.3 ponía Address Pool.



Log in to reply