OpenVPN - неправильный роутинг на клиентах.
-
Доброе.
Сервер.
push "route 192.168.88.10 255.255.255.0
Только один адрес ? Может должно быть так - 192.168.88.0 255.255.255.0?
push "redirect-gateway def1"
Зачем весь трафик заворачиваете в впн ? Откл. это.
Клиент.
route 10.8.0.0 255.255.0.0
Удалите эту строчку вообще
-
к сожалению ситуация та же(((
-
Логи клиента:
2016-02-09 13:12:49 VERIFY OK: depth=0
cert. version : 3
serial number : 01
issuer name : C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=changeme, CN=changeme, ??=changeme, emailAddress=mail@host.domain
subject name : C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=changeme, CN=server, ??=changeme, emailAddress=mail@host.domain
issued on : 2016-01-22 01:42:02
expires on : 2026-01-19 01:42:02
signed using : RSA with SHA1
RSA key size : 1024 bits
basic constraints : CA=false
cert. type : SSL Server
key usage : Digital Signature, Key Encipherment
ext key usage : TLS Web Server Authentication2016-02-09 13:13:01 EVENT: CONNECTION_TIMEOUT [ERR]
2016-02-09 13:13:01 EVENT: DISCONNECTED
2016-02-09 13:13:01 Raw stats on disconnect:
BYTES_IN : 11056
BYTES_OUT : 48218
PACKETS_IN : 64
PACKETS_OUT : 93
KEEPALIVE_TIMEOUT : 1
CONNECTION_TIMEOUT : 1
N_RECONNECT : 1
PKTID_UDP_REPLAY_WINDOW_BACKTRACK : 1
2016-02-09 13:13:01 Performance stats on disconnect:
CPU usage (microseconds): 140954
Network bytes per CPU second: 420520
Tunnel bytes per CPU second: 0
2016-02-09 13:13:01 EVENT: DISCONNECT_PENDING
2016-02-09 13:13:01 –--- OpenVPN Stop ----- -
2 defen2204
Четкое ТЗ. И схему.
-
Здравствуйте, а Вы не могли бы и мне помочь с openvpn? Дело в том, что внутри локалки все коннектится на ура, а вот если стучу с внешки, все тормозится на хэндшейке и соединение обрывается по таймауту….
настройка сервера:
local 192.168.88.10
…
ca ca.crt
…Клиента:
ca caR.crt
…- Что смущает, вы задали слушать локальный адрес, на компе есть еще интерфейсы, на которых надо слушать? если да, то закомментируйте эту директиву local.
- Второе, что смущает, разные названия сертификатов, это вы переименовали? Если нет, то похоже, что вы генерили сертификаты клиента и сервера через разные корневые сертификаты.
-
1. Не совсем понял что Вы имеете ввиду говоря о ТЗ и схеме, поэтому расскажу что вообще настроено у меня в сети. Малинка, на которой поднята самба, видеонаблюдение, принтсервер и впн подключена к роутеру микротик. Необходимо, чтобы она через впн пропускала весь трафик от клиента к серверу, включая интернет. На другом стационарном компе в сети крутится фтп (под виндой). На роутере проброшены порты для фтп, ssh, rdp (для малинки) и проброс для DC клиентов на 2х компах. Вроде ни чего не забыл…
2. Имена сертификатов менял сам, т.к. Создавал несколько клиентов для разных серверов -
Вот что наконец выплюнул сервак:
Wed Feb 10 00:46:44 2016 MULTI: multi_create_instance called
Wed Feb 10 00:46:44 2016 192.168.88.1:26695 Re-using SSL/TLS context
Wed Feb 10 00:46:44 2016 192.168.88.1:26695 LZO compression initialized
Wed Feb 10 00:46:44 2016 192.168.88.1:26695 Control Channel MTU parms[ L:1586 D:210 EF:110 EB:0 ET:0 EL:0 ]
Wed Feb 10 00:46:44 2016 192.168.88.1:26695 Data Channel MTU parms [
L:1586 D:1450 EF:86 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Feb 10 00:46:44 2016 192.168.88.1:26695 Local Options hash
(VER=V4): '5134803b'
Wed Feb 10 00:46:44 2016 192.168.88.1:26695 Expected Remote Options
hash (VER=V4): 'e66044bc'
Wed Feb 10 00:46:44 2016 192.168.88.1:26695 TLS: Initial packet from
[AF_INET]192.168.88.1:26695, sid=7a40b1ff 3b92eccb
Wed Feb 10 00:46:44 2016 192.168.88.1:26695 Replay-window backtrack occurred [1]
Wed Feb 10 00:47:31 2016 MULTI: multi_create_instance called
Wed Feb 10 00:47:31 2016 192.168.88.1:9564 Re-using SSL/TLS context
Wed Feb 10 00:47:31 2016 192.168.88.1:9564 LZO compression initialized
Wed Feb 10 00:47:31 2016 192.168.88.1:9564 Control Channel MTU parms [
L:1586 D:210 EF:110 EB:0 ET:0 EL:0 ]
Wed Feb 10 00:47:31 2016 192.168.88.1:9564 Data Channel MTU parms [
L:1586 D:1450 EF:86 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Feb 10 00:47:31 2016 192.168.88.1:9564 Local Options hash
(VER=V4): '5134803b'
Wed Feb 10 00:47:31 2016 192.168.88.1:9564 Expected Remote Options
hash (VER=V4): 'e66044bc'
Wed Feb 10 00:47:31 2016 192.168.88.1:9564 TLS: Initial packet from
[AF_INET]192.168.88.1:9564, sid=8e73bebb 8b3794d1
Wed Feb 10 00:47:44 2016 192.168.88.1:26695 TLS Error: TLS key
negotiation failed to occur within 60 seconds (check your network
connectivity)
Wed Feb 10 00:47:44 2016 192.168.88.1:26695 TLS Error: TLS handshake failed
Wed Feb 10 00:47:44 2016 192.168.88.1:26695 SIGUSR1[soft,tls-error] received, client-instance restarting
Wed Feb 10 00:48:31 2016 192.168.88.1:9564 TLS Error: TLS key
negotiation failed to occur within 60 seconds (check your network
connectivity)
Wed Feb 10 00:48:31 2016 192.168.88.1:9564 TLS Error: TLS handshake failed
Wed Feb 10 00:48:31 2016 192.168.88.1:9564 SIGUSR1[soft,tls-error]
received, client-instance restartingOpenVPN CLIENT LIST
Updated,Wed Feb 10 00:57:02 2016
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
GLOBAL STATS
Max bcast/mcast queue length,0
END -
2 defen2204
1. Не совсем понял что Вы имеете ввиду говоря о ТЗ и схеме, поэтому расскажу что вообще настроено у меня в сети. Малинка, на которой поднята самба, видеонаблюдение, принтсервер и впн подключена к роутеру микротик. Необходимо, чтобы она через впн пропускала весь трафик от клиента к серверу, включая интернет. На другом стационарном компе в сети крутится фтп (под виндой). На роутере проброшены порты для фтп, ssh, rdp (для малинки) и проброс для DC клиентов на 2х компах. Вроде ни чего не забыл…
Мил человек, я не увидел в этой схеме pfsense.
-
Pfsense? Ни когда не пользовал его… Он точно нужен?
-
Или имеется ввиду непосредственно проброс портов на роутере?
-
2 defen2204
Т.е. Вы пришли на форум pfsense и просите решить проблемы в работе совсем других продуктов ?Буду вежлив. Сходите на форумы "малинки", МТ и что там у Вас еще и задайте вопросы там.
-
Спасибо))) просто гуглил про проблемы с коннектом и забрел на этот сайт))
