OpenVPN PKI: Site-to-Site инструкция для обсуждения

KARLAGIN · May 14, 2014, 8:20 AM

_>n-клиентов - n-команд route …. в настройках сервера. Это закон.
...

Как вариант попробуйте на сервере в Client Specific Override для клиента1 прописать клиента 2, а для клиента 2 клиента 1 командой push "route x.x.x.x y.y.y.y" мне это помогло. Режим сервера RA.

PS
@pigbrother:

..

Если сеть 10.0.4.0 убрать из Remote Network, но оставить в Advanced configuration - получаем
"одностороннюю" доступность 10.0.4.0 ->10.0.2.0

Remote Network это на клиенте вы прописываете? Я на DSR - Д-линковском вообще на это забил и без него работает, оставил для самоуспокоения только серверную сеть._

werter · May 14, 2014, 8:50 AM

@ pigbrother

Смотрите логи fw на Микротике.

pigbrother · May 14, 2014, 10:34 AM

Remote Network это на клиенте вы прописываете? Я на DSR - Д-линковском вообще на это забил и без него работает, оставил для самоуспокоения только серверную сеть.

Нет, это настройки сервера.

KARLAGIN · May 14, 2014, 11:17 AM

@pigbrother:

Remote Network это на клиенте вы прописываете? Я на DSR - Д-линковском вообще на это забил и без него работает, оставил для самоуспокоения только серверную сеть.

Нет, это настройки сервера.

Все я понял, у вас режим p2p стоит. Советую все-таки поменять на Remote Access и прописать команды указанные выше.

pigbrother · May 14, 2014, 2:57 PM

@KARLAGIN:

@pigbrother:

Remote Network это на клиенте вы прописываете? Я на DSR - Д-линковском вообще на это забил и без него работает, оставил для самоуспокоения только серверную сеть.

Нет, это настройки сервера.

Все я понял, у вас режим p2p стоит. Советую все-таки поменять на Remote Access и прописать команды указанные выше.

Перевел сервер в RA. client1 (за которым сеть 10.0.4.0) работает адекватно (как и работал с сервером в режиме P2P), сети взаимно доступны.
Если захожу, как client2 (за которым сеть 10.0.5.0) получаю любопытную картину - с pfSense сеть за клиентом доступна, из LAN за pfSense - нет, tracert с машины в LAN показывает, что пакеты уходят в интернет, а не в туннель.
Маршрут в 10.0.5.0 pfSense при этом имеет:
10.0.5.0/24 10.0.9.2 UGS 0 1 1500 ovpns4

>Как вариант попробуйте на сервере в Client Specific Override для клиента1 прописать клиента 2, а для клиента 2 >клиента 1 командой push "route x.x.x.x y.y.y.y"

Если я правильно помню\понимаю - push "route x.x.x.x y.y.y.y" дает возможность сетям за клиентами видеть друг друга?

werter · May 14, 2014, 6:24 PM

получаю любопытную картину - с pfSense сеть за клиентом доступна, из LAN за pfSense - нет, tracert с машины в LAN показывает

А вы случаем явно руками маршрут не добавляли на pfsense ? Если - да, то удалите его.

И еще, посмотрите таблицу маршрутизации на этой машине в LAN - route print (от имени Администратора), если это Win.

Если я правильно помню\понимаю - push "route x.x.x.x y.y.y.y" дает возможность сетям за клиентами видеть друг друга?

Все верно.

Еще можно добавить маршрут на самом клиенте, т.е. добавить директиву route x.x.x.x y.y.y.y ему в Custom options\Advanced.

Ilyuha · May 15, 2014, 2:48 AM

Привет, парни. С обновлением на 2.1.3 у меня появилась проблема с ovpn. Очень часто стало происходить переподключение клиента к серверу в режиме Site-to-Site.
Лог клиента

May 15 09:30:01	openvpn[64470]: Initialization Sequence Completed
May 15 09:30:01	openvpn[64470]: Preserving previous TUN/TAP instance: ovpnc1
May 15 09:29:59	openvpn[64470]: [srv-r1.domain.ru] Peer Connection Initiated with [AF_INET]xxx.xxx.xxx.xxx:11194
May 15 09:29:59	openvpn[64470]: UDPv4 link remote: [AF_INET]xxx.xxx.xxx.xxx:11194
May 15 09:29:59	openvpn[64470]: UDPv4 link local (bound): [AF_INET]yyy.yyy.yyy.yyy
May 15 09:29:59	openvpn[64470]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
May 15 09:29:59	openvpn[64470]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
May 15 09:29:57	openvpn[64470]: SIGUSR1[soft,ping-restart] received, process restarting
May 15 09:29:57	openvpn[64470]: [srv-r1.domain.ru] Inactivity timeout (--ping-restart), restarting

Лог сервера

May 15 09:30:01	openvpn[64669]: srv-r2.domain.ru/yyy.yyy.yyy.yyy:32885 send_push_reply(): safe_cap=940
May 15 09:29:59	openvpn[64669]: srv-r2.domain.ru/yyy.yyy.yyy.yyy:32885 MULTI_sva: pool returned IPv4=10.0.18.6, IPv6=(Not enabled)
May 15 09:29:59	openvpn[64669]: yyy.yyy.yyy.yyy:32885 [srv-r2.domain.ru] Peer Connection Initiated with [AF_INET]yyy.yyy.yyy.yyy:32885
May 15 09:29:39	openvpn[68832]: Initialization Sequence Completed
May 15 09:29:39	openvpn[68832]: /usr/local/sbin/ovpn-linkup ovpnc2 1500 1541 172.16.202.21 172.16.202.22 init
May 15 09:29:39	openvpn[68832]: /sbin/ifconfig ovpnc2 172.16.202.21 172.16.202.22 mtu 1500 netmask 255.255.255.255 up
May 15 09:29:39	openvpn[68832]: do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0
May 15 09:29:39	openvpn[68832]: TUN/TAP device /dev/tun2 opened
May 15 09:29:39	openvpn[68832]: TUN/TAP device ovpnc2 exists previously, keep at program end
May 15 09:29:37	openvpn[68832]: [ticket-server] Peer Connection Initiated with [AF_INET]zzz.zzz.zzz.zzz:1196
May 15 09:29:36	openvpn[68832]: UDPv4 link remote: [AF_INET]zzz.zzz.zzz.zzz:1196
May 15 09:29:36	openvpn[68832]: UDPv4 link local (bound): [AF_INET]xxx.xxx.xxx.xxx
May 15 09:29:36	openvpn[68420]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
May 15 09:29:36	openvpn[68420]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
May 15 09:29:36	openvpn[68420]: OpenVPN 2.3.2 amd64-portbld-freebsd8.3 [SSL (OpenSSL)] [LZO] [eurephia] [MH] [IPv6] built on Mar 27 2014
May 15 09:29:36	openvpn[1195]: SIGTERM[hard,] received, process exiting
May 15 09:29:36	openvpn[1195]: /usr/local/sbin/ovpn-linkdown ovpnc2 1500 1541 172.16.202.21 172.16.202.22 init
May 15 09:29:36	openvpn[64669]: Initialization Sequence Completed
May 15 09:29:36	openvpn[64669]: UDPv4 link remote: [undef]
May 15 09:29:36	openvpn[64669]: UDPv4 link local (bound): [AF_INET]xxx.xxx.xxx.xxx:11194
May 15 09:29:36	openvpn[1195]: event_wait : Interrupted system call (code=4)
May 15 09:29:36	openvpn[62072]: /usr/local/sbin/ovpn-linkup ovpns1 1500 1557 10.0.18.1 10.0.18.2 init
May 15 09:29:36	openvpn[62072]: /sbin/ifconfig ovpns1 10.0.18.1 10.0.18.2 mtu 1500 netmask 255.255.255.255 up
May 15 09:29:36	openvpn[62072]: do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0
May 15 09:29:36	openvpn[62072]: TUN/TAP device /dev/tun1 opened
May 15 09:29:36	openvpn[62072]: TUN/TAP device ovpns1 exists previously, keep at program end
May 15 09:29:36	openvpn[62072]: Control Channel Authentication: using '/var/etc/openvpn/server1.tls-auth' as a OpenVPN static key file
May 15 09:29:36	openvpn[62072]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
May 15 09:29:36	openvpn[62072]: OpenVPN 2.3.2 amd64-portbld-freebsd8.3 [SSL (OpenSSL)] [LZO] [eurephia] [MH] [IPv6] built on Mar 27 2014
May 15 09:29:36	openvpn[97729]: SIGTERM[hard,] received, process exiting
May 15 09:29:36	openvpn[97729]: /usr/local/sbin/ovpn-linkdown ovpns1 1500 1557 10.0.18.1 10.0.18.2 init
May 15 09:29:36	openvpn[97729]: event_wait : Interrupted system call (code=4)
May 15 09:28:59	openvpn[1195]: Initialization Sequence Completed
May 15 09:28:59	openvpn[1195]: /usr/local/sbin/ovpn-linkup ovpnc2 1500 1541 172.16.202.21 172.16.202.22 init
May 15 09:28:59	openvpn[1195]: /sbin/ifconfig ovpnc2 172.16.202.21 172.16.202.22 mtu 1500 netmask 255.255.255.255 up
May 15 09:28:59	openvpn[1195]: do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0
May 15 09:28:59	openvpn[1195]: TUN/TAP device /dev/tun2 opened
May 15 09:28:59	openvpn[1195]: TUN/TAP device ovpnc2 exists previously, keep at program end
May 15 09:28:57	openvpn[1195]: [ticket-server] Peer Connection Initiated with [AF_INET]zzz.zzz.zzz.zzz:1196
May 15 09:28:57	openvpn[1195]: UDPv4 link remote: [AF_INET]zzz.zzz.zzz.zzz:1196
May 15 09:28:57	openvpn[1195]: UDPv4 link local (bound): [AF_INET]xxx.xxx.xxx.xxx
May 15 09:28:57	openvpn[1114]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
May 15 09:28:57	openvpn[1114]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
May 15 09:28:57	openvpn[1114]: OpenVPN 2.3.2 amd64-portbld-freebsd8.3 [SSL (OpenSSL)] [LZO] [eurephia] [MH] [IPv6] built on Mar 27 2014
May 15 09:28:57	openvpn[3639]: SIGTERM[hard,] received, process exiting
May 15 09:28:57	openvpn[3639]: /usr/local/sbin/ovpn-linkdown ovpnc2 1500 1541 172.16.202.21 172.16.202.22 init
May 15 09:28:57	openvpn[97729]: Initialization Sequence Completed
May 15 09:28:57	openvpn[97729]: UDPv4 link remote: [undef]
May 15 09:28:57	openvpn[97729]: UDPv4 link local (bound): [AF_INET]xxx.xxx.xxx.xxx:11194
May 15 09:28:57	openvpn[3639]: event_wait : Interrupted system call (code=4)
May 15 09:28:57	openvpn[95558]: /usr/local/sbin/ovpn-linkup ovpns1 1500 1557 10.0.18.1 10.0.18.2 init
May 15 09:28:57	openvpn[95558]: /sbin/ifconfig ovpns1 10.0.18.1 10.0.18.2 mtu 1500 netmask 255.255.255.255 up
May 15 09:28:57	openvpn[95558]: do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0
May 15 09:28:57	openvpn[95558]: TUN/TAP device /dev/tun1 opened
May 15 09:28:57	openvpn[95558]: TUN/TAP device ovpns1 exists previously, keep at program end
May 15 09:28:57	openvpn[95558]: Control Channel Authentication: using '/var/etc/openvpn/server1.tls-auth' as a OpenVPN static key file
May 15 09:28:57	openvpn[95558]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
May 15 09:28:57	openvpn[95558]: OpenVPN 2.3.2 amd64-portbld-freebsd8.3 [SSL (OpenSSL)] [LZO] [eurephia] [MH] [IPv6] built on Mar 27 2014
May 15 09:28:57	openvpn[99580]: SIGTERM[hard,] received, process exiting
May 15 09:28:57	openvpn[99580]: /usr/local/sbin/ovpn-linkdown ovpns1 1500 1557 10.0.18.1 10.0.18.2 init
May 15 09:28:57	openvpn[99580]: event_wait : Interrupted system call (code=4)

Помогите пожалуйста разобраться что изменилось в настройках после обновления.

KARLAGIN · May 15, 2014, 5:30 AM

@pigbrother:

Перевел сервер в RA. client1 (за которым сеть 10.0.4.0) работает адекватно (как и работал с сервером в режиме P2P), сети взаимно доступны.
Если захожу, как client2 (за которым сеть 10.0.5.0) получаю любопытную картину - с pfSense сеть за клиентом доступна, из LAN за pfSense - нет, tracert с машины в LAN показывает, что пакеты уходят в интернет, а не в туннель.
Маршрут в 10.0.5.0 pfSense при этом имеет:
10.0.5.0/24 10.0.9.2 UGS 0 1 1500 ovpns4

Обратите внимание на https://forum.pfsense.org/index.php?topic=59081.msg401867#msg401867 этот пост. Мне в схожей ситуации это тоже все вылечило.

pigbrother · May 15, 2014, 9:20 AM

@KARLAGIN:

@pigbrother:

Перевел сервер в RA. client1 (за которым сеть 10.0.4.0) работает адекватно (как и работал с сервером в режиме P2P), сети взаимно доступны.
Если захожу, как client2 (за которым сеть 10.0.5.0) получаю любопытную картину - с pfSense сеть за клиентом доступна, из LAN за pfSense - нет, tracert с машины в LAN показывает, что пакеты уходят в интернет, а не в туннель.
Маршрут в 10.0.5.0 pfSense при этом имеет:
10.0.5.0/24 10.0.9.2 UGS 0 1 1500 ovpns4

Обратите внимание на https://forum.pfsense.org/index.php?topic=59081.msg401867#msg401867 этот пост. Мне в схожей ситуации это тоже все вылечило.

Сходил по ссылке. Добавил на LAN самым первым
TCP/UDP LAN net * 10.0.5.0/24 * * none
Все равно при трассировке с машины за pfsense пакеты уходят в интернет.

С самого pfsense - все ОК.

Ping c LAN pfsense:
ING 10.0.5.100 (10.0.5.100) from 10.0.2.111: 56 data bytes
64 bytes from 10.0.5.100: icmp_seq=0 ttl=127 time=22.595 ms

Traceroute c pfsense:
1 10.0.9.6 (10.0.9.6) 36.029 ms 21.866 ms 48.023 ms
2 10.0.5.100 (10.0.5.100) 45.926 ms 46.530 ms 42.703 ms

10.0.5.100 - PC за клиентом.

Добавил в настройки сервера еще одного потенциального клиента:
route 10.0.5.0 255.255.255.0;route 10.0.4.0 255.255.255.0**;route 10.0.7.0** 255.255.255.0;

Соответственно, имеем в routes pfsense:
10.0.4.0/24 10.0.9.2 UGS 0 91 1500 ovpns4
10.0.5.0/24 10.0.9.2 UGS 0 8484 1500 ovpns4
10.0.7.0/24 10.0.9.2 UGS 0 0 1500 ovpns4

И тут начинается интересное - при трассировке 10.0.5.0 и 10.0.7.0 с PC за pfsense пакеты шлются интернет.
При трассировке 10.0.4.0 - все ОК, уходят на основной шлюз - pFsense

pigbrother · May 15, 2014, 9:39 AM

@werter:

получаю любопытную картину - с pfSense сеть за клиентом доступна, из LAN за pfSense - нет, tracert с машины в LAN показывает

А вы случаем явно руками маршрут не добавляли на pfsense ? Если - да, то удалите его.

И еще, посмотрите таблицу маршрутизации на этой машине в LAN - route print (от имени Администратора), если это Win.

Если я правильно помню\понимаю - push "route x.x.x.x y.y.y.y" дает возможность сетям за клиентами видеть друг друга?

Все верно.

Еще можно добавить маршрут на самом клиенте, т.е. добавить директиву route x.x.x.x y.y.y.y ему в Custom options\Advanced.

Маршруты нигде вручную добавлялись.

route print с PC за pfsense:

Список интерфейсов
0x1 …........................ MS TCP Loopback interface
0x2 ...00 07 e9 0b 37 21 ...... Intel(R) PRO/100 M Desktop Adapter

===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.0.2.111 10.0.2.91 20
10.0.2.0 255.255.255.0 10.0.2.91 10.0.2.91 20
10.0.2.91 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.0.2.91 10.0.2.91 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.0.0 255.255.0.0 10.0.2.91 10.0.2.91 20
224.0.0.0 240.0.0.0 10.0.2.91 10.0.2.91 20
255.255.255.255 255.255.255.255 10.0.2.91 10.0.2.91 1
Основной шлюз: 10.0.2.111

Постоянные маршруты:
Отсутствует

werter · May 15, 2014, 9:51 AM

Невнимательно сходили :

**IPv4 *** LAN Net * 192.168.101.0/24 * * none

Добавил в настройки сервера еще одного потенциального клиента

А iroute добавили на сервере?

P.s. Покажите скрин разделов Certificates и OpenVPN-> Client-specific overrides на сервере.

werter · May 15, 2014, 10:01 AM

Mikrotik as OpenVPN client - http://unblockvpn.com/support/how-to-set-up-openvpn-on-router-mikrotik.html

pigbrother · May 15, 2014, 10:55 AM

@werter:

Невнимательно сходили :

**IPv4 *** LAN Net * 192.168.101.0/24 * * none

Добавил в настройки сервера еще одного потенциального клиента

А iroute добавили на сервере?

P.s. Покажите скрин разделов Certificates и OpenVPN-> Client-specific overrides на сервере.

Исправил правило, спасибо и для сети 10.0.5.0 все заработало.
Отсюда вопросы:
1**. Почему для 10.0.4.0 такого правила создавать не было нужно?**
2. Такие правила нужно будет создавать для всех сетей за клиентами?
3. Если это так - не внести ли необходимость их создания в FAQ? Вопросы недоступности сетей - самые популярные.

За ссылку на настройке Микротик - был там в свое время. В свое время задавал тут вопрос как раз на эту тему. Был послан искать решение по непрофильному продукту :). Нашел. Проблема состояла в том, что Микротик не дает настроить OVPN-клиента без указания user\password котрые в обсуждаемых конфигурациях не используются. На деле в user\password следует вписать все что угодно.

Да и реально работающая настройка OVPN-клиента Микротик применительно к обсуждаемой конфигурации pfsense гораздо проще.

Спасибо werter за терпеливость, KARLAGIN за правильную подсказку, rubic за инструкцию и саму тему.

werter · May 15, 2014, 10:52 AM

@ pigbrother

А всего-то нужно было включить логирование fw на pfsense, запустить ping на машине за сервером и смотреть логи fw при этом.

pigbrother · May 15, 2014, 10:54 AM

@werter:

@ pigbrother

А всего-то нужно было включить логирование fw на pfsense, запустить ping на машине за сервером и смотреть логи fw при этом.

Согласен.
И все же - можно надеяться на ответы по вопросам 1,2,3?

pigbrother · May 15, 2014, 10:58 AM

@pigbrother:

@werter:

@ pigbrother

А всего-то нужно было включить логирование fw на pfsense, запустить ping на машине за сервером и смотреть логи fw при этом.

Согласен. Хотя предположить блокировку файрволлом в этом случае в голову бы не пришло никак - ведь для 10.0.4.0 не требовалось никаких усилий.
И все же - можно надеяться на ответы по вопросам 1,2,3?

werter · May 15, 2014, 11:02 AM

1. Почему для 10.0.4.0 такого правила создавать не было нужно?

Не скажу, ибо не видел скрин правил fw в тот момент (особенно на LAN)

2. Такие правила нужно будет создавать для всех сетей за клиентами?

Может создать одно.

3. Если это так - не внести ли необходимость их создания в FAQ? Вопросы недоступности сетей - самые популярные.

Я это уже предлагал. Кстати, кажется, такая проблема возникла только с переходом на вер. 2.1

werter · May 15, 2014, 11:03 AM

Согласен. Хотя предположить блокировку файрволлом в этом случае в голову бы не пришло никак

Золотое правило сисадмина - всегда первым делом читать\смотреть логи

pigbrother · May 15, 2014, 11:17 AM

Кстати, кажется, такая проблема возникла только с переходом на вер. 2.1

Да, тут пытаются объяснить, почему:
https://forum.pfsense.org/index.php?topic=73825.msg403581#msg403581

Но у меня то - вообще 2.0.х.

werter · May 15, 2014, 12:07 PM

@ pigbrother

Но у меня то - вообще 2.0.х.

Это легко проверить, создав на LAN самым верхним нижеследующее правило (правило, касаемое OpenVPN временно задизейблить) :

* LAN subnet * * * *

И после этого проверьте доступность всех ваших впн-клиентов и сетей за ними. Заработает - ок, потом обновитесь до 2.1.х и проверьте снова - уже не должно работать без явного указания в Destination адресов сетей OpenVPN-клиентов.

P.s. А почему не самые дешевые роутеры выбрали в кач-ве клиентов ? Присмотритесь к Asus - модели rt-n12 d1, rt-n10p, rt-n10u + прошивка TomatoUSB shibby's mode (http://tomato.groov.pl/) . Возможности - более чем.

pigbrother · May 15, 2014, 12:44 PM

* LAN subnet * * * *
Правило временное, верно?

Заработает - ок, потом обновитесь до 2.1.х и проверьте снова - уже не должно работать без явного указания в >Destination адресов сетей OpenVPN-клиентов.

Так и поступлю.

А почему не самые дешевые роутеры выбрали в кач-ве клиентов ? Присмотритесь к Asus - модели rt-n12 d1, rt-n10p, >rt-n10u + прошивка TomatoUSB shibby's mode

1. Сначала понравилась работа WDS-WiFi в Микротик, да и вообще работа с WiFi в них сделана замечательно.
2. Повторяемость решений на любых моделях, единые настройки, которые переносятся в секунды.
3. Возможность купить Микротик взамен сгоревшего\украденного и не зависеть от наличия на рынке моделей с возможностью заливки альтернативной прошивки.
4. Цены на простые Микротик в абсолютном выражении уже весьма близки к ценам того же Asus.
5. Аппаратные плюшки - watchdog, POE…
......
Не сказать что я уж очень горячий сторонник Микротик, многие вещи в pfsense, например, мне нравятся намного больше, но как устройство класса "поставил-забыл" Микротик вполне достоин рассмотрения.

werter · May 15, 2014, 2:49 PM

@ pigbrother
Спасибо за ответ по Mikrotik.

Но с ценой не соглашусь :

Mikrotik

http://hotline.ua/network/besprovodnoe-oborudovanie/?q=mikrotik (для перевода в $ делите на 12) . Сколько стоит самый дешевый с wi-fi ?

vs

Asus :

http://hotline.ua/network-besprovodnoe-oborudovanie/asus-rt-n10p/
http://hotline.ua/network-besprovodnoe-oborudovanie/asus-rt-n12-d1/
http://hotline.ua/network-besprovodnoe-oborudovanie/asus-rt-n10u-b1/

pigbrother · May 16, 2014, 6:28 AM

Спасибо за ответ по Mikrotik.

Ну это я описывал тоько плюсы. Минусов\трудностей тоже хватает.

Что же касается цены… Если учесть стоимость открытия новой площадки (склада\магазина\офиса) переплата в $20-30 просто не видна. Для дома выбор Mikrotik - скорее удел энтузиастов, чем реальная необходимость.

Из перечисленных ранее плюсов, выделю, пожалуй, п.3

Ilyuha · May 16, 2014, 4:24 AM

@Ilyuha:

Привет, парни. С обновлением на 2.1.3 у меня появилась проблема с ovpn. Очень часто стало происходить переподключение клиента к серверу в режиме Site-to-Site.
Лог клиента

May 15 09:30:01	openvpn[64470]: Initialization Sequence Completed
May 15 09:30:01	openvpn[64470]: Preserving previous TUN/TAP instance: ovpnc1
May 15 09:29:59	openvpn[64470]: [srv-r1.domain.ru] Peer Connection Initiated with [AF_INET]xxx.xxx.xxx.xxx:11194
May 15 09:29:59	openvpn[64470]: UDPv4 link remote: [AF_INET]xxx.xxx.xxx.xxx:11194
May 15 09:29:59	openvpn[64470]: UDPv4 link local (bound): [AF_INET]yyy.yyy.yyy.yyy
May 15 09:29:59	openvpn[64470]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
May 15 09:29:59	openvpn[64470]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
May 15 09:29:57	openvpn[64470]: SIGUSR1[soft,ping-restart] received, process restarting
May 15 09:29:57	openvpn[64470]: [srv-r1.domain.ru] Inactivity timeout (--ping-restart), restarting

Лог сервера

May 15 09:30:01	openvpn[64669]: srv-r2.domain.ru/yyy.yyy.yyy.yyy:32885 send_push_reply(): safe_cap=940
May 15 09:29:59	openvpn[64669]: srv-r2.domain.ru/yyy.yyy.yyy.yyy:32885 MULTI_sva: pool returned IPv4=10.0.18.6, IPv6=(Not enabled)
May 15 09:29:59	openvpn[64669]: yyy.yyy.yyy.yyy:32885 [srv-r2.domain.ru] Peer Connection Initiated with [AF_INET]yyy.yyy.yyy.yyy:32885
May 15 09:29:39	openvpn[68832]: Initialization Sequence Completed
May 15 09:29:39	openvpn[68832]: /usr/local/sbin/ovpn-linkup ovpnc2 1500 1541 172.16.202.21 172.16.202.22 init
May 15 09:29:39	openvpn[68832]: /sbin/ifconfig ovpnc2 172.16.202.21 172.16.202.22 mtu 1500 netmask 255.255.255.255 up
May 15 09:29:39	openvpn[68832]: do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0
May 15 09:29:39	openvpn[68832]: TUN/TAP device /dev/tun2 opened
May 15 09:29:39	openvpn[68832]: TUN/TAP device ovpnc2 exists previously, keep at program end
May 15 09:29:37	openvpn[68832]: [ticket-server] Peer Connection Initiated with [AF_INET]zzz.zzz.zzz.zzz:1196
May 15 09:29:36	openvpn[68832]: UDPv4 link remote: [AF_INET]zzz.zzz.zzz.zzz:1196
May 15 09:29:36	openvpn[68832]: UDPv4 link local (bound): [AF_INET]xxx.xxx.xxx.xxx
May 15 09:29:36	openvpn[68420]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
May 15 09:29:36	openvpn[68420]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
May 15 09:29:36	openvpn[68420]: OpenVPN 2.3.2 amd64-portbld-freebsd8.3 [SSL (OpenSSL)] [LZO] [eurephia] [MH] [IPv6] built on Mar 27 2014
May 15 09:29:36	openvpn[1195]: SIGTERM[hard,] received, process exiting
May 15 09:29:36	openvpn[1195]: /usr/local/sbin/ovpn-linkdown ovpnc2 1500 1541 172.16.202.21 172.16.202.22 init
May 15 09:29:36	openvpn[64669]: Initialization Sequence Completed
May 15 09:29:36	openvpn[64669]: UDPv4 link remote: [undef]
May 15 09:29:36	openvpn[64669]: UDPv4 link local (bound): [AF_INET]xxx.xxx.xxx.xxx:11194
May 15 09:29:36	openvpn[1195]: event_wait : Interrupted system call (code=4)
May 15 09:29:36	openvpn[62072]: /usr/local/sbin/ovpn-linkup ovpns1 1500 1557 10.0.18.1 10.0.18.2 init
May 15 09:29:36	openvpn[62072]: /sbin/ifconfig ovpns1 10.0.18.1 10.0.18.2 mtu 1500 netmask 255.255.255.255 up
May 15 09:29:36	openvpn[62072]: do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0
May 15 09:29:36	openvpn[62072]: TUN/TAP device /dev/tun1 opened
May 15 09:29:36	openvpn[62072]: TUN/TAP device ovpns1 exists previously, keep at program end
May 15 09:29:36	openvpn[62072]: Control Channel Authentication: using '/var/etc/openvpn/server1.tls-auth' as a OpenVPN static key file
May 15 09:29:36	openvpn[62072]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
May 15 09:29:36	openvpn[62072]: OpenVPN 2.3.2 amd64-portbld-freebsd8.3 [SSL (OpenSSL)] [LZO] [eurephia] [MH] [IPv6] built on Mar 27 2014
May 15 09:29:36	openvpn[97729]: SIGTERM[hard,] received, process exiting
May 15 09:29:36	openvpn[97729]: /usr/local/sbin/ovpn-linkdown ovpns1 1500 1557 10.0.18.1 10.0.18.2 init
May 15 09:29:36	openvpn[97729]: event_wait : Interrupted system call (code=4)
May 15 09:28:59	openvpn[1195]: Initialization Sequence Completed
May 15 09:28:59	openvpn[1195]: /usr/local/sbin/ovpn-linkup ovpnc2 1500 1541 172.16.202.21 172.16.202.22 init
May 15 09:28:59	openvpn[1195]: /sbin/ifconfig ovpnc2 172.16.202.21 172.16.202.22 mtu 1500 netmask 255.255.255.255 up
May 15 09:28:59	openvpn[1195]: do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0
May 15 09:28:59	openvpn[1195]: TUN/TAP device /dev/tun2 opened
May 15 09:28:59	openvpn[1195]: TUN/TAP device ovpnc2 exists previously, keep at program end
May 15 09:28:57	openvpn[1195]: [ticket-server] Peer Connection Initiated with [AF_INET]zzz.zzz.zzz.zzz:1196
May 15 09:28:57	openvpn[1195]: UDPv4 link remote: [AF_INET]zzz.zzz.zzz.zzz:1196
May 15 09:28:57	openvpn[1195]: UDPv4 link local (bound): [AF_INET]xxx.xxx.xxx.xxx
May 15 09:28:57	openvpn[1114]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
May 15 09:28:57	openvpn[1114]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
May 15 09:28:57	openvpn[1114]: OpenVPN 2.3.2 amd64-portbld-freebsd8.3 [SSL (OpenSSL)] [LZO] [eurephia] [MH] [IPv6] built on Mar 27 2014
May 15 09:28:57	openvpn[3639]: SIGTERM[hard,] received, process exiting
May 15 09:28:57	openvpn[3639]: /usr/local/sbin/ovpn-linkdown ovpnc2 1500 1541 172.16.202.21 172.16.202.22 init
May 15 09:28:57	openvpn[97729]: Initialization Sequence Completed
May 15 09:28:57	openvpn[97729]: UDPv4 link remote: [undef]
May 15 09:28:57	openvpn[97729]: UDPv4 link local (bound): [AF_INET]xxx.xxx.xxx.xxx:11194
May 15 09:28:57	openvpn[3639]: event_wait : Interrupted system call (code=4)
May 15 09:28:57	openvpn[95558]: /usr/local/sbin/ovpn-linkup ovpns1 1500 1557 10.0.18.1 10.0.18.2 init
May 15 09:28:57	openvpn[95558]: /sbin/ifconfig ovpns1 10.0.18.1 10.0.18.2 mtu 1500 netmask 255.255.255.255 up
May 15 09:28:57	openvpn[95558]: do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0
May 15 09:28:57	openvpn[95558]: TUN/TAP device /dev/tun1 opened
May 15 09:28:57	openvpn[95558]: TUN/TAP device ovpns1 exists previously, keep at program end
May 15 09:28:57	openvpn[95558]: Control Channel Authentication: using '/var/etc/openvpn/server1.tls-auth' as a OpenVPN static key file
May 15 09:28:57	openvpn[95558]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
May 15 09:28:57	openvpn[95558]: OpenVPN 2.3.2 amd64-portbld-freebsd8.3 [SSL (OpenSSL)] [LZO] [eurephia] [MH] [IPv6] built on Mar 27 2014
May 15 09:28:57	openvpn[99580]: SIGTERM[hard,] received, process exiting
May 15 09:28:57	openvpn[99580]: /usr/local/sbin/ovpn-linkdown ovpns1 1500 1557 10.0.18.1 10.0.18.2 init
May 15 09:28:57	openvpn[99580]: event_wait : Interrupted system call (code=4)

Помогите пожалуйста разобраться что изменилось в настройках после обновления.

Отцы, а мне поможете?

werter · May 16, 2014, 7:13 AM

@ Ilyuha
1. Удалите старый сервер OpenVPN \ клиент OpenVPN
2. Настройте заново в том же режиме или в режиме Remote access (SSL/TLS)

Вы бы это давно уже сделали и забыли про проблему.

Ilyuha · May 21, 2014, 6:50 AM

@werter:

@ Ilyuha
1. Удалите старый сервер OpenVPN \ клиент OpenVPN
2. Настройте заново в том же режиме или в режиме Remote access (SSL/TLS)

Вы бы это давно уже сделали и забыли про проблему.

Сделал все по новой: перегенерировал сертификаты, настроил в режиме P2P - результат тотже. Настораживает первая строчка в логе перед разрывом соединения

May 21 10:35:08	openvpn[99686]: [srv-r1.домен.ru] Inactivity timeout (--ping-restart), restarting

Где можно посмотреть настройки параметра неактивности?
PS Отключил пока мониторинг ВПН шлюза со стороны клиента, может он думает что нет связи.
PPS Не помогло отключение мониторинга шлюза ВПН…

werter · May 21, 2014, 7:09 AM

У меня в настройках клиента :

keepalive 5 10
ping-timer-rem

Если для вас это слишком часто :

keepalive 60 120

http://tuxnotes.ru/articles.php?a_id=26 :

keepalive < seconds > < seconds > - является совмещением сразу двух команд - ping и ping-restart. Использует сразу два параметра в секундах, перечисленных через пробел. Пример:
keepalive 10 180
Означает следующее: каждые 10 секунд посылать ping на удаленный хост, и, если за 180 секунд не было получено ни одного пакета - то перезапускать туннель.

Ilyuha · May 21, 2014, 7:06 AM

@werter:

У меня в настройках клиента :

keepalive 5 10
ping-timer-rem

Это слишком часто , согласен, смените, например, на :

keepalive 60 120

http://tuxnotes.ru/articles.php?a_id=26 :

keepalive < seconds > < seconds > - является совмещением сразу двух команд - ping и ping-restart. Использует сразу два параметра в секундах, перечисленных через пробел. Пример:
keepalive 10 180
Означает следующее: каждые 10 секунд посылать ping на удаленный хост, и, если за 180 секунд не было получено ни одного пакета - то перезапускать туннель.

На клиенте в Advanced configuration добавить```
keepalive 60 120

werter · May 21, 2014, 7:10 AM

Верно. Пробуйте.

Ilyuha · May 22, 2014, 6:44 AM

werter
Увеличил keepalive 60 300 и по прежнему происходит реконнект.

May 22 13:31:10	openvpn[15065]: Initialization Sequence Completed
May 22 13:31:10	openvpn[15065]: Preserving previous TUN/TAP instance: ovpnc2
May 22 13:31:08	openvpn[15065]: [srv-r1.domain.ru] Peer Connection Initiated with [AF_INET]xxx.xxx.xxx.xxx:11194
May 22 13:31:08	openvpn[15065]: UDPv4 link remote: [AF_INET]xxx.xxx.xxx.xxx:11194
May 22 13:31:08	openvpn[15065]: UDPv4 link local (bound): [AF_INET]yyy.yyy.yyy.yyy
May 22 13:31:08	openvpn[15065]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
May 22 13:31:08	openvpn[15065]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
May 22 13:31:06	openvpn[15065]: SIGUSR1[soft,ping-restart] received, process restarting
May 22 13:31:06	openvpn[15065]: [srv-r1.domain.ru] Inactivity timeout (--ping-restart), restarting

В чем еще может быть проблема?

werter · May 22, 2014, 8:53 AM

1.

keepalive 60 300

Слишком много . Хотя бы :

keepalive 10 60

2. Далее, возможно что-то с настройками сервиса OpenVPN на сервере\клиенте.
Попробуйте грознуть и настройить с нуля.

3. След. момент - проблемы у провайдера с каналом. Как с одной так и с другой стороны.

EternalTear · May 31, 2014, 6:51 PM

Подскажите пожалуйста…
настроил по инструкции... работает.... но только с 1 филиалом... не могу добавить еще двух..

Сеть офиса - 192.168.0.0/24
Сеть филиала №1 - 192.168.10.0/24
Сеть филиала №2 - 192.168.11.0/24
Сеть филиала №3 - 192.168.12.0/24

в настройках Сервера

указал сеть IPv4 Local Network/s - 192.168.0.0/24

поле IPv4 Remote Network/s оставил пустым
и добавил маршруты в поле Advanced
route 192.168.10.0 255.255.255.0;
route 192.168.11.0 255.255.255.0;
route 192.168.12.0 255.255.255.0;

В Client Specific Override создал записи с командой iroute
названия соответствуют common name в сгенерированных сертификатах
у каждого клиента iroute на свою сеть

в фаерволе на вкладке OpenVPN создал разрешающие правила на сервере и клиентах…

с первым соеденилось успешно пинги бегают связь есть... а другие соединение OpenVPN поднимается.... но доступа нет и пингов нет... пингует клиент №2 и №3 только свой виртуальный IP а виртуальный сервера - нет и другого клиента - нет....

не пойму что и как первый раз настраиваю pfsense и OpenVPN

отличие от инструкции это поле Comon Name я тут прописал названия городов филиалов а не "opvnc1" как в примере... вижу просто в таблице Роутинга в столбике Netif как раз фигурируют opvnc1 у первого клиента opvnc2 у второго и opvnc3 у третьего..... это имеет значение?... нужно ли переделывать сертификаты с "common name" - opvnc1 ...2 ...3 ???

а в Client Specific Override-> Tunnel Settings : Tunnel Network
точно ничего указывать не нужно на сервере?

werter · May 31, 2014, 7:36 PM

@ EternalTear

Рисуйте схему со всеми адресами и укажите что хотите получить.

EternalTear · Jun 1, 2014, 5:10 PM

OpenVPN

сейчас добавил команду на сервер в поле Advanced

topology subnet;

так понятнее один сервер и клиенты
так же поле IPv4 Remote Network/s оставил пустым и добавил в Advanced

route 192.168.10.0 255.255.255.0;
route 192.168.11.0 255.255.255.0;
route 192.168.12.0 255.255.255.0;

тут не нужно указывать gateway и метрику?

Клиенты получают адреса
10.8.0.2
10.8.0.3
10.8.0.4

с 10.8.0.2 пинги на 10.8.0.1 есть.. а с остальных нет… сами себя пингуют а ни сервер 0.1... ни друг друга... не видят...
правила в фаерволе есть... на вкладке OpenVPN разрешено все + отдельно разрешен протокол ICMP тоже отовсюду и везде

Status - OpenVPN там ниже есть Show Routing Table

Common Name Real Address Target Network Last Used

Boguslav zzz.zz.z.55:12017 10.8.0.2 Sun Jun 1 18:44:17 2014
KrHutor yyy.y.yy.47:38106 192.168.12.0/24 Sun Jun 1 18:36:46 2014
Boguslav zzz.zz.z.55:12017 192.168.10.0/24 Sun Jun 1 18:35:34 2014
KrHutor yyy.y.yy.47:38106 10.8.0.4 Sun Jun 1 18:40:39 2014
Dybyn xxx.x.xx.171:3465 192.168.11.0/24 Sun Jun 1 18:42:32 2014
Dybyn xxx.x.xx.171:3465 10.8.0.3 Sun Jun 1 18:44:14 2014

тут маршруты есть.... а вот в Diagnostics - Routes на сервере ничего не вижу......

хм.... в поле IPv4 Remote Network/s можно писать несколько сетей?

EternalTear · Jun 1, 2014, 7:17 PM

Хм… странно раньше маршруты добавлялись...
изменил в Advanced роуты с добавлением gateway

route 192.168.10.0 255.255.255.0 10.8.0.1;
route 192.168.11.0 255.255.255.0 10.8.0.1;
route 192.168.12.0 255.255.255.0 10.8.0.1;

заработало... теперь к двум станциям есть таки доступ.... одна выделывается... постоянно рвется связь...
этот совет нашел здесь
хотя тут написано что нужно как в примере

кстати там же на форуме пишет человек что и в Client Specific Override где команда iroute так же указывать vpn_gateway и когда я так попробовал….. то произошло вообще нечто фантастическое..... те станции что уже работали перестали пинговаться... а вот та что никак не пинговалась стала работать .... Оо

мдее ничего не понятно... а можно как-то сделать что бы Virtual Address клиентам выдавало всегда один и тот же...?

werter · Jun 1, 2014, 7:30 PM

http://fastinetserver.wordpress.com/2013/03/09/pfsense-openvpn-static-ip-for-clients/

http://www.iceflatline.com/2014/01/how-to-assign-static-ip-addresses-to-openvpn-clients-in-pfsense/

EternalTear · Jun 2, 2014, 2:53 PM

Oo ….мдее..... очередной раз перезагрузил удаленные роутеры, перезагрузил свой..... и все запустилось.... но только с указанием gateway в командах iroute и route а не только сети и маски....

Заметил так же что правила фаервола иногда применяются сразу... а иногда нужно обязательно перезагрузить... очень путает... :(

за ссылки благодарю... завтра поэксперементирую...

werter · Jun 2, 2014, 7:58 PM

Можно попробовать вместо ребута делать reset states.

P.s. А версия продукта-то у вас какая ? Не х64 часом?

pigbrother · Jun 3, 2014, 7:44 AM

@EternalTear

С радостью увидел бы ваши окончательные настройки.

Настройка OpenVPN в pfSense 2.1.х - весьма своеобразный квест.

EternalTear · Jun 4, 2014, 11:12 AM

@werter:

P.s. А версия продукта-то у вас какая ? Не х64 часом?

У всех стоит
2.1.3-RELEASE (i386)
built on Thu May 01 15:52:17 EDT 2014
FreeBSD 8.3-RELEASE-p16

@pigbrother:

С радостью увидел бы ваши окончательные настройки.

чуть позже…. хотя у меня все как в инструкции... на первой странице....

только в поле Advanced на сервере добавил (выделено жирным)
topology subnet;
route 192.168.10.0 255.255.255.0 10.8.0.1;
route 192.168.11.0 255.255.255.0 10.8.0.1;
route 192.168.12.0 255.255.255.0 10.8.0.1;
route 192.168.13.0 255.255.255.0 10.8.0.1;

где 10.8.0.1 - адрес VPN сервера в тунеле… а сети 192.168.10.0 - .....11.0 - .....12.0 - .....13.0 - это сети филиалов которые подключаются как клиенты

и Client Specific Override выглядит так:
для каждого клиента свой IP (192.168.10.0 - .....11.0 - .....12.0 - .....13.0)
iroute 192.168.10.0 255.255.255.0 10.8.0.1

главное в точности написать Common Name (CN - в сертификате клиента)

В фаерволе на интерфейсах WAN (у меня их аж три :D ) не забыть открыть доступ на тот порт на котором настроен сервер OpenVPN
Ну и не забывайте перезагружать все устройства ;) на всякий случай… если что-то не запустилось, а настроено правильно... (будьте внимательны 8) если что я не виноват коли вы себе доступ на ВебИнтерфейс закроете)

OpenVPN PKI: Site-to-Site инструкция для обсуждения

Список интерфейсов 0x1 …........................ MS TCP Loopback interface 0x2 ...00 07 e9 0b 37 21 ...... Intel(R) PRO/100 M Desktop Adapter

Список интерфейсов
0x1 …........................ MS TCP Loopback interface
0x2 ...00 07 e9 0b 37 21 ...... Intel(R) PRO/100 M Desktop Adapter