Переподключение сессий OpenVPN у части клиенто…

lex 0

Добрый день!

Поднят OpenVPN server на pfsense 2.1.5 (Remote Access User Auth + AD). Подключаются порядка 30 клиентов, у 6 клиентов происходит регулярное переподключение сессии (раз в 2 минуты). Интернет каналы стабильные у них. В чем может быть проблема регулярного выборочного дисконнекта у части клиентов? И что надо прописать на сервере, чтобы подключаемых клиентов было видно из внутренней локальной сети?
Вот лог клиента:

Wed Dec 03 13:51:52 2014 OpenVPN 2.3.6 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Dec 1 2014
Wed Dec 03 13:51:52 2014 library versions: OpenSSL 1.0.1j 15 Oct 2014, LZO 2.08
Wed Dec 03 13:52:17 2014 Control Channel Authentication: using 'srv-router-udp-1194-tls.key' as a OpenVPN static key file
Wed Dec 03 13:52:17 2014 UDPv4 link local (bound): [undef]
Wed Dec 03 13:52:17 2014 UDPv4 link remote: [AF_INET]78.40.82.238:1194
Wed Dec 03 13:52:17 2014 WARNING: this configuration may cache passwords in memory – use the auth-nocache option to prevent this
Wed Dec 03 13:52:18 2014 [OVPN_International] Peer Connection Initiated with [AF_INET]78.40.82.238:1194
Wed Dec 03 13:52:21 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Wed Dec 03 13:52:21 2014 open_tun, tt->ipv6=0
Wed Dec 03 13:52:21 2014 TAP-WIN32 device [Подключение по локальной сети 2] opened: \.\Global{459F71EB-E4CA-4B9E-A454-FA0ACB0BFE48}.tap
Wed Dec 03 13:52:21 2014 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.0.8.138/255.255.255.252 on interface {459F71EB-E4CA-4B9E-A454-FA0ACB0BFE48} [DHCP-serv: 10.0.8.137, lease-time: 31536000]
Wed Dec 03 13:52:21 2014 Successful ARP Flush on interface [15] {459F71EB-E4CA-4B9E-A454-FA0ACB0BFE48}
Wed Dec 03 13:52:26 2014 ROUTE: route addition failed using CreateIpForwardEntry: Ýòîò îáúåêò óæå ñóùåñòâóåò. [status=5010 if_index=15]
Wed Dec 03 13:52:26 2014 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Wed Dec 03 13:52:26 2014 Initialization Sequence Completed
Wed Dec 03 13:54:14 2014 [OVPN_International] Inactivity timeout (–ping-restart), restarting
Wed Dec 03 13:54:14 2014 SIGUSR1[soft,ping-restart] received, process restarting
Wed Dec 03 13:54:16 2014 UDPv4 link local (bound): [undef]
Wed Dec 03 13:54:16 2014 UDPv4 link remote: [AF_INET]78.40.82.238:1194
Wed Dec 03 13:54:16 2014 [OVPN_International] Peer Connection Initiated with [AF_INET]78.40.82.238:1194
Wed Dec 03 13:54:19 2014 Preserving previous TUN/TAP instance: Подключение по локальной сети 2
Wed Dec 03 13:54:19 2014 Initialization Sequence Completed
Wed Dec 03 13:56:20 2014 [OVPN_International] Inactivity timeout (–ping-restart), restarting
Wed Dec 03 13:56:20 2014 SIGUSR1[soft,ping-restart] received, process restarting
Wed Dec 03 13:56:22 2014 UDPv4 link local (bound): [undef]
Wed Dec 03 13:56:22 2014 UDPv4 link remote: [AF_INET]78.40.82.238:1194
Wed Dec 03 13:56:23 2014 [OVPN_International] Peer Connection Initiated with [AF_INET]78.40.82.238:1194
Wed Dec 03 13:56:26 2014 Preserving previous TUN/TAP instance: Подключение по локальной сети 2
Wed Dec 03 13:56:26 2014 Initialization Sequence Completed
Wed Dec 03 13:58:17 2014 [OVPN_International] Inactivity timeout (–ping-restart), restarting
Wed Dec 03 13:58:17 2014 SIGUSR1[soft,ping-restart] received, process restarting
Wed Dec 03 13:58:19 2014 UDPv4 link local (bound): [undef]
Wed Dec 03 13:58:19 2014 UDPv4 link remote: [AF_INET]78.40.82.238:1194
Wed Dec 03 13:58:20 2014 [OVPN_International] Peer Connection Initiated with [AF_INET]78.40.82.238:1194
Wed Dec 03 13:58:22 2014 Preserving previous TUN/TAP instance: Подключение по локальной сети 2
Wed Dec 03 13:58:22 2014 Initialization Sequence Completed
Wed Dec 03 14:00:22 2014 [OVPN_International] Inactivity timeout (–ping-restart), restarting
Wed Dec 03 14:00:22 2014 SIGUSR1[soft,ping-restart] received, process restarting
Wed Dec 03 14:00:24 2014 UDPv4 link local (bound): [undef]
Wed Dec 03 14:00:24 2014 UDPv4 link remote: [AF_INET]78.40.82.238:1194
Wed Dec 03 14:00:24 2014 [OVPN_International] Peer Connection Initiated with [AF_INET]78.40.82.238:1194
Wed Dec 03 14:00:27 2014 Preserving previous TUN/TAP instance: Подключение по локальной сети 2
Wed Dec 03 14:00:27 2014 Initialization Sequence Completed
…......

werter

В Advanced директива неверная. Удалите ее. Если Вы хотели добавить маршрут клиентам до сети за сервером, то это уже было сделано выше.
Ваша же директива добавляет клиентам маршрут в vpn-сеть. Зачем?
Добавьте там же route до сети за клиентом.

Wed Dec 03 13:54:14 2014 [OVPN_International] Inactivity timeout (–ping-restart), restarting
Wed Dec 03 13:54:14 2014 SIGUSR1[soft,ping-restart] received, process restarting

У меня в файле настроек клиента нет директивы –ping-restart

Есть такое :

keepalive 10 60
ping-timer-rem

P.s. У вас на WAN pfsense постоянный белый адрес?

lex 0

@werter:

В Advanced директива неверная. Удалите ее. Если Вы хотели добавить маршрут клиентам до сети за сервером, то это уже было сделано выше.
Ваша же директива добавляет клиентам маршрут в vpn-сеть. Зачем?

Я уже убрал.

Добавьте там же route до сети за клиентом.

Как правильно написать директиву?

Wed Dec 03 13:54:14 2014 [OVPN_International] Inactivity timeout (–ping-restart), restarting
Wed Dec 03 13:54:14 2014 SIGUSR1[soft,ping-restart] received, process restarting

У меня в файле настроек клиента нет директивы –ping-restart

Есть такое :

keepalive 10 60
ping-timer-rem

Не помогло, переподключение наблюдается.

P.s. У вас на WAN pfsense постоянный белый адрес?

Да белый IP.

Вот мои настройки клиента:

dev tun

route 10.0.8.0 255.255.255.0
push "route 192.168.5.0 255.255.255.0"
persist-tun
persist-key
cipher BF-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote 78.40.82.238 1194 udp
lport 0
auth-user-pass
ca srv-router-udp-1194-ca.crt
tls-auth srv-router-udp-1194-tls.key 1
ns-cert-type server
comp-lzo

werter

Если клиент на Win (Vista и выше) пробуйте этот :

dev tun
keepalive 5 10
ping-timer-rem
persist-tun
persist-key
proto udp
cipher BF-CBC
auth SHA1
tls-client
client
script-security 2
resolv-retry infinite
remote 78.40.82.238 1194 udp
lport 0
auth-user-pass
ca srv-router-udp-1194-ca.crt
tls-auth srv-router-udp-1194-tls.key 1
ns-cert-type server
comp-lzo
comp-noadapt
route-delay 5
route-method exe
ip-win32 netsh
pull
verb 3

Важный момент .
Установку OpenVPN на Win проводить от имени Администратора (т.е. правой кнопкой мыши на установочном файле и Запустить от имени Администратора) ! Возможно, что и запускать после установки тоже от имени Администратора (проверить!)

lex 0

При этом конфиге просходит ошибка подключения, вот лог:

Thu Dec 04 18:47:32 2014 OpenVPN 2.3.2 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013
Enter Management Password:
Thu Dec 04 18:47:32 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Thu Dec 04 18:47:32 2014 Need hold release from management interface, waiting…
Thu Dec 04 18:47:32 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Thu Dec 04 18:47:32 2014 MANAGEMENT: CMD 'state on'
Thu Dec 04 18:47:32 2014 MANAGEMENT: CMD 'log all on'
Thu Dec 04 18:47:32 2014 MANAGEMENT: CMD 'hold off'
Thu Dec 04 18:47:32 2014 MANAGEMENT: CMD 'hold release'
Thu Dec 04 18:49:10 2014 MANAGEMENT: CMD 'username "Auth" "tz_tom"'
Thu Dec 04 18:49:10 2014 MANAGEMENT: CMD 'password […]'
Thu Dec 04 18:49:10 2014 Control Channel Authentication: using 'srv-router-udp-1194-tls.key' as a OpenVPN static key file
Thu Dec 04 18:49:10 2014 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Dec 04 18:49:10 2014 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Dec 04 18:49:10 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Dec 04 18:49:10 2014 UDPv4 link local (bound): [undef]
Thu Dec 04 18:49:10 2014 UDPv4 link remote: [AF_INET]78.40.82.238:1194
Thu Dec 04 18:49:10 2014 MANAGEMENT: >STATE:1417697350,WAIT,,,
Thu Dec 04 18:49:10 2014 MANAGEMENT: >STATE:1417697350,AUTH,,,
Thu Dec 04 18:49:10 2014 TLS: Initial packet from [AF_INET]78.40.82.238:1194, sid=af1b1876 a9341935
Thu Dec 04 18:49:10 2014 WARNING: this configuration may cache passwords in memory – use the auth-nocache option to prevent this
Thu Dec 04 18:49:11 2014 VERIFY OK: depth=1, C=RU, ST=Novosibirsk, L=Novosibirsk, O=NL, emailAddress=admin@nlstar.com, CN=NL
Thu Dec 04 18:49:11 2014 VERIFY OK: nsCertType=SERVER
Thu Dec 04 18:49:11 2014 VERIFY OK: depth=0, C=RU, ST=Novosibirsk, L=Novosibirsk, O=NL, emailAddress=admin@nlstar.com, CN=OVPN_International
Thu Dec 04 18:49:11 2014 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Dec 04 18:49:11 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Dec 04 18:49:11 2014 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Dec 04 18:49:11 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Dec 04 18:49:11 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Thu Dec 04 18:49:11 2014 [OVPN_International] Peer Connection Initiated with [AF_INET]78.40.82.238:1194
Thu Dec 04 18:49:12 2014 MANAGEMENT: >STATE:1417697352,GET_CONFIG,,,
Thu Dec 04 18:49:13 2014 SENT CONTROL [OVPN_International]: 'PUSH_REQUEST' (status=1)
Thu Dec 04 18:49:13 2014 PUSH: Received control message: 'PUSH_REPLY,route 192.168.5.0 255.255.255.0,route 10.0.8.0 255.255.255.0,route 10.0.8.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 10.0.8.30 10.0.8.29'
Thu Dec 04 18:49:13 2014 OPTIONS IMPORT: timers and/or timeouts modified
Thu Dec 04 18:49:13 2014 OPTIONS IMPORT: –ifconfig/up options modified
Thu Dec 04 18:49:13 2014 OPTIONS IMPORT: route options modified
Thu Dec 04 18:49:13 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Thu Dec 04 18:49:13 2014 MANAGEMENT: >STATE:1417697353,ASSIGN_IP,,10.0.8.30,
Thu Dec 04 18:49:14 2014 NETSH: C:\Windows\system32\netsh.exe interface ip set address Подключение по локальной сети 2 static 10.0.8.30 255.255.255.252
Thu Dec 04 18:49:16 2014 ERROR: netsh command failed: returned error code 1
Thu Dec 04 18:49:21 2014 NETSH: C:\Windows\system32\netsh.exe interface ip set address Подключение по локальной сети 2 static 10.0.8.30 255.255.255.252
Thu Dec 04 18:49:21 2014 ERROR: netsh command failed: returned error code 1
Thu Dec 04 18:49:26 2014 NETSH: C:\Windows\system32\netsh.exe interface ip set address Подключение по локальной сети 2 static 10.0.8.30 255.255.255.252
Thu Dec 04 18:49:26 2014 ERROR: netsh command failed: returned error code 1
Thu Dec 04 18:49:31 2014 NETSH: C:\Windows\system32\netsh.exe interface ip set address Подключение по локальной сети 2 static 10.0.8.30 255.255.255.252
Thu Dec 04 18:49:32 2014 ERROR: netsh command failed: returned error code 1
Thu Dec 04 18:49:36 2014 MANAGEMENT: Client disconnected
Thu Dec 04 18:49:36 2014 NETSH: command failed
Thu Dec 04 18:49:36 2014 Exiting due to fatal error

pigbrother

Возможно, что и запускать после установки тоже от имени Администратора (проверить!)

Да, обязательно

Цитата из \Program Files\OpenVPN\doc

IMPORTANT NOTE FOR WINDOWS VISTA/7 USERS

Note that on Windows Vista, you will need to run the OpenVPN
GUI with administrator privileges, so that it can add routes
to the routing table that are pulled from the OpenVPN server.
You can do this by right-clicking on the OpenVPN GUI
desktop icon, and selecting "Run as administrator".

В логе клиента, запущенного без прав администратора будут видны ошибки добавления маршрута(ов)

werter

Переименуйте ваш TAP-адаптер (именно его!) в Win в OpenVPN (именно большие и маленькие буквы !)

Теперь конфиг будет таким :

dev tun
dev-node OpenVPN
keepalive 5 10
ping-timer-rem
persist-tun
persist-key
proto udp
cipher BF-CBC
auth SHA1
tls-client
client
script-security 2
resolv-retry infinite
remote 78.40.82.238 1194 udp
lport 0
auth-user-pass
ca srv-router-udp-1194-ca.crt
tls-auth srv-router-udp-1194-tls.key 1
ns-cert-type server
comp-lzo
comp-noadapt
route-delay 5
route-method exe
ip-win32 netsh
pull
verb 3

Важный момент .
Установку OpenVPN на Win проводить от имени Администратора (т.е. правой кнопкой мыши на установочном файле и Запустить от имени Администратора) ! Возможно, что и запускать после установки тоже от имени Администратора (проверить!)

Это выполнили?!

werter

@pigbrother:

Возможно, что и запускать после установки тоже от имени Администратора (проверить!)

Да, обязательно

Цитата из \Program Files\OpenVPN\doc

IMPORTANT NOTE FOR WINDOWS VISTA/7 USERS

Note that on Windows Vista, you will need to run the OpenVPN
GUI with administrator privileges, so that it can add routes
to the routing table that are pulled from the OpenVPN server.
You can do this by right-clicking on the OpenVPN GUI
desktop icon, and selecting "Run as administrator".

В логе клиента, запущенного без прав администратора будут видны ошибки добавления маршрута(ов)

Видимо я зря пишу. А зачем читать, тов. lex ?

P.s. После этого и помогать не хочется :-\

lex 0

Я очень признателен за ВАШУ помощь!!! Спасибо что помогаете разобраться.

Важный момент .
Установку OpenVPN на Win проводить от имени Администратора (т.е. правой кнопкой мыши на установочном файле и Запустить от имени Администратора) ! Возможно, что и запускать после установки тоже от имени Администратора (проверить!)

Это выполнили?

ЭТО ОБЯЗАТЕЛЬНО сделал при установке и запуске!!!

Обновил конфиг, запустил, вот опять такая ошибка подключения:

Thu Dec 04 19:07:31 2014 OpenVPN 2.3.2 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013
Enter Management Password:
Thu Dec 04 19:07:31 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Thu Dec 04 19:07:31 2014 Need hold release from management interface, waiting…
Thu Dec 04 19:07:32 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Thu Dec 04 19:07:32 2014 MANAGEMENT: CMD 'state on'
Thu Dec 04 19:07:32 2014 MANAGEMENT: CMD 'log all on'
Thu Dec 04 19:07:32 2014 MANAGEMENT: CMD 'hold off'
Thu Dec 04 19:07:32 2014 MANAGEMENT: CMD 'hold release'
Thu Dec 04 19:07:42 2014 MANAGEMENT: CMD 'username "Auth" "lex"'
Thu Dec 04 19:07:42 2014 MANAGEMENT: CMD 'password […]'
Thu Dec 04 19:07:43 2014 Control Channel Authentication: using 'srv-router-udp-1194-tls.key' as a OpenVPN static key file
Thu Dec 04 19:07:43 2014 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Dec 04 19:07:43 2014 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Dec 04 19:07:43 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Dec 04 19:07:43 2014 UDPv4 link local (bound): [undef]
Thu Dec 04 19:07:43 2014 UDPv4 link remote: [AF_INET]78.40.82.238:1194
Thu Dec 04 19:07:43 2014 MANAGEMENT: >STATE:1417698463,WAIT,,,
Thu Dec 04 19:07:43 2014 MANAGEMENT: >STATE:1417698463,AUTH,,,
Thu Dec 04 19:07:43 2014 TLS: Initial packet from [AF_INET]78.40.82.238:1194, sid=5aabb88e b808939f
Thu Dec 04 19:07:43 2014 WARNING: this configuration may cache passwords in memory – use the auth-nocache option to prevent this
Thu Dec 04 19:07:43 2014 VERIFY OK: depth=1, C=RU, ST=Novosibirsk, L=Novosibirsk, O=NL, emailAddress=admin@nlstar.com, CN=NL
Thu Dec 04 19:07:43 2014 VERIFY OK: nsCertType=SERVER
Thu Dec 04 19:07:43 2014 VERIFY OK: depth=0, C=RU, ST=Novosibirsk, L=Novosibirsk, O=NL, emailAddress=admin@nlstar.com, CN=OVPN_International
Thu Dec 04 19:07:44 2014 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Dec 04 19:07:44 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Dec 04 19:07:44 2014 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Dec 04 19:07:44 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Dec 04 19:07:44 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Thu Dec 04 19:07:44 2014 [OVPN_International] Peer Connection Initiated with [AF_INET]78.40.82.238:1194
Thu Dec 04 19:07:45 2014 MANAGEMENT: >STATE:1417698465,GET_CONFIG,,,
Thu Dec 04 19:07:46 2014 SENT CONTROL [OVPN_International]: 'PUSH_REQUEST' (status=1)
Thu Dec 04 19:07:46 2014 PUSH: Received control message: 'PUSH_REPLY,route 192.168.5.0 255.255.255.0,route 10.0.8.0 255.255.255.0,route 10.0.8.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 10.0.8.245 10.0.8.246'
Thu Dec 04 19:07:46 2014 OPTIONS IMPORT: timers and/or timeouts modified
Thu Dec 04 19:07:46 2014 OPTIONS IMPORT: –ifconfig/up options modified
Thu Dec 04 19:07:46 2014 OPTIONS IMPORT: route options modified
Thu Dec 04 19:07:46 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Thu Dec 04 19:07:46 2014 MANAGEMENT: >STATE:1417698466,ASSIGN_IP,,10.0.8.245,
Thu Dec 04 19:07:46 2014 MANAGEMENT: Client disconnected
Thu Dec 04 19:07:46 2014 Error: When using --ip-win32 netsh, if you have more than one TAP-Windows adapter, you must also specify --dev-node
Thu Dec 04 19:07:46 2014 Exiting due to fatal error

werter

Thu Dec 04 19:07:46 2014 Error: When using –ip-win32 netsh, if you have more than one TAP-Windows adapter, you must also specify --dev-node

Переименуйте ваш TAP-адаптер (именно его!) в Win в OpenVPN (именно большие и маленькие буквы !)

Теперь конфиг будет таким :

dev tun
dev-node OpenVPN

Да что же такое-то? >:(
Нашли какой из адаптеров является TAP-адаптером у вас в системе? Вы его переименовали в OpenVPN (именно так!) ?
Перезагрузитесь.

P.s.

Thu Dec 04 19:07:46 2014 PUSH: Received control message: 'PUSH_REPLY,route 192.168.5.0 255.255.255.0,route 10.0.8.0 255.255.255.0,route 10.0.8.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 10.0.8.245 10.0.8.246'

Вы директиву удалили из Advanced (route 10.0.8.0 255.255.255.0) ? Вам сеть за клиентом нужна, т.е. доступ из сети за сервером в сеть за клиентом? Или у вас клиент один и за ним никого нет?

lex 0

Уважаемый WERTER, большое вам спасибо, у меня коннект есть, сделал согласно вашим замечаниям!!! Вот только завтра смогу проверить на проблемных клиентах, у которых замечалось переподключение. Как проверю отпишусь!

Вы директиву удалили из Advanced (route 10.0.8.0 255.255.255.0) ?

Директиву удалил, но не сохранил, сейчас все исправил!

Вам сеть за клиентом нужна, т.е. доступ из сети за сервером в сеть за клиентом? Или у вас клиент один и за ним никого нет?

У нас только клиенты, за ними ничего нет. Нам нужно видеть подключенных клиентов к серверу OpenVPN, для того чтобы у нас была возможность видеть их расшаренные ресурсы, печатать в терминале на принтер штрих кодов в автомате, итд. Какой и где надо прописать маршрут, подскажите пожалуйста!

werter

У нас только клиенты, за ними ничего нет. Нам нужно видеть подключенных клиентов к серверу OpenVPN, для того чтобы у нас была возможность видеть их расшаренные ресурсы, печатать в терминале на принтер штрих кодов в автомате, итд. Какой и где надо прописать маршрут, подскажите пожалуйста!

1. Использовать tap , а не tun-туннель. Для этого перенастроить и сервер и клиента. Возможно, что на клиентах прийдется создавать мост из их локальных сетевых подключений и OpenVPN-подключения.

2. Обращаться к удаленным клиентам (к их шарам) по ip-адресам, а не по именам.

P.s. Может Вам будет проще использовать в таком случае PPTP. Это если совсем туго с настройками будет.

lex 0

К сожалению, переподлючение наблюдается через каждые 2 минуты, у тех клиентов у которых оно и было, сегодня протестировал, вот выложил лог. Уважаемый WERTER, подскажите, что можно еще попробовать?

Fri Dec 05 15:49:20 2014 OpenVPN 2.3.2 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013
Enter Management Password:
Fri Dec 05 15:49:20 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Fri Dec 05 15:49:20 2014 Need hold release from management interface, waiting…
Fri Dec 05 15:49:20 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Fri Dec 05 15:49:21 2014 MANAGEMENT: CMD 'state on'
Fri Dec 05 15:49:21 2014 MANAGEMENT: CMD 'log all on'
Fri Dec 05 15:49:21 2014 MANAGEMENT: CMD 'hold off'
Fri Dec 05 15:49:21 2014 MANAGEMENT: CMD 'hold release'
Fri Dec 05 15:51:40 2014 MANAGEMENT: CMD 'username "Auth" "tz_tom"'
Fri Dec 05 15:51:40 2014 MANAGEMENT: CMD 'password […]'
Fri Dec 05 15:51:41 2014 Control Channel Authentication: using 'srv-router-udp-1194-tls.key' as a OpenVPN static key file
Fri Dec 05 15:51:41 2014 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 05 15:51:41 2014 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 05 15:51:41 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Dec 05 15:51:41 2014 UDPv4 link local (bound): [undef]
Fri Dec 05 15:51:41 2014 UDPv4 link remote: [AF_INET]78.40.82.238:1194
Fri Dec 05 15:51:41 2014 MANAGEMENT: >STATE:1417773101,WAIT,,,
Fri Dec 05 15:51:41 2014 MANAGEMENT: >STATE:1417773101,AUTH,,,
Fri Dec 05 15:51:41 2014 TLS: Initial packet from [AF_INET]78.40.82.238:1194, sid=08ffcfd4 1517c784
Fri Dec 05 15:51:41 2014 WARNING: this configuration may cache passwords in memory – use the auth-nocache option to prevent this
Fri Dec 05 15:51:41 2014 VERIFY OK: depth=1, C=RU, ST=Novosibirsk, L=Novosibirsk, O=NL, emailAddress=admin@nlstar.com, CN=NL
Fri Dec 05 15:51:41 2014 VERIFY OK: nsCertType=SERVER
Fri Dec 05 15:51:41 2014 VERIFY OK: depth=0, C=RU, ST=Novosibirsk, L=Novosibirsk, O=NL, emailAddress=admin@nlstar.com, CN=OVPN_International
Fri Dec 05 15:51:41 2014 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Dec 05 15:51:41 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 05 15:51:41 2014 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Dec 05 15:51:41 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 05 15:51:41 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Fri Dec 05 15:51:41 2014 [OVPN_International] Peer Connection Initiated with [AF_INET]78.40.82.238:1194
Fri Dec 05 15:51:42 2014 MANAGEMENT: >STATE:1417773102,GET_CONFIG,,,
Fri Dec 05 15:51:43 2014 SENT CONTROL [OVPN_International]: 'PUSH_REQUEST' (status=1)
Fri Dec 05 15:51:43 2014 PUSH: Received control message: 'PUSH_REPLY,route 192.168.5.0 255.255.255.0,route 10.0.8.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 10.0.8.190 10.0.8.189'
Fri Dec 05 15:51:43 2014 OPTIONS IMPORT: timers and/or timeouts modified
Fri Dec 05 15:51:43 2014 OPTIONS IMPORT: –ifconfig/up options modified
Fri Dec 05 15:51:43 2014 OPTIONS IMPORT: route options modified
Fri Dec 05 15:51:43 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Dec 05 15:51:43 2014 MANAGEMENT: >STATE:1417773103,ASSIGN_IP,,10.0.8.190,
Fri Dec 05 15:51:44 2014 NETSH: C:\Windows\system32\netsh.exe interface ip set address OpenVPN static 10.0.8.190 255.255.255.252
Fri Dec 05 15:51:48 2014 NETSH: C:\Windows\system32\netsh.exe interface ip delete dns OpenVPN all
Fri Dec 05 15:51:50 2014 NETSH: C:\Windows\system32\netsh.exe interface ip delete wins OpenVPN all
Fri Dec 05 15:51:51 2014 open_tun, tt->ipv6=0
Fri Dec 05 15:51:51 2014 TAP-WIN32 device [OpenVPN] opened: \.\Global{DA86EC7A-C268-46D1-B95D-1FF1CBFC4BEF}.tap
Fri Dec 05 15:51:51 2014 TAP-Windows Driver Version 9.9
Fri Dec 05 15:51:51 2014 Successful ARP Flush on interface [18] {DA86EC7A-C268-46D1-B95D-1FF1CBFC4BEF}
Fri Dec 05 15:51:56 2014 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Fri Dec 05 15:51:57 2014 MANAGEMENT: >STATE:1417773116,ADD_ROUTES,,,
Fri Dec 05 15:51:57 2014 C:\Windows\system32\route.exe ADD 192.168.5.0 MASK 255.255.255.0 10.0.8.189
Fri Dec 05 15:51:57 2014 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Fri Dec 05 15:51:57 2014 C:\Windows\system32\route.exe ADD 10.0.8.0 MASK 255.255.255.0 10.0.8.189
Fri Dec 05 15:51:57 2014 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Fri Dec 05 15:51:57 2014 Initialization Sequence Completed
Fri Dec 05 15:51:57 2014 MANAGEMENT: >STATE:1417773117,CONNECTED,SUCCESS,10.0.8.190,78.40.82.238
Fri Dec 05 15:53:38 2014 [OVPN_International] Inactivity timeout (–ping-restart), restarting
Fri Dec 05 15:53:38 2014 SIGUSR1[soft,ping-restart] received, process restarting
Fri Dec 05 15:53:38 2014 MANAGEMENT: >STATE:1417773218,RECONNECTING,ping-restart,,
Fri Dec 05 15:53:38 2014 Restart pause, 2 second(s)
Fri Dec 05 15:53:40 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Dec 05 15:53:40 2014 UDPv4 link local (bound): [undef]
Fri Dec 05 15:53:40 2014 UDPv4 link remote: [AF_INET]78.40.82.238:1194
Fri Dec 05 15:53:40 2014 MANAGEMENT: >STATE:1417773220,WAIT,,,
Fri Dec 05 15:53:40 2014 MANAGEMENT: >STATE:1417773220,AUTH,,,
Fri Dec 05 15:53:40 2014 TLS: Initial packet from [AF_INET]78.40.82.238:1194, sid=19b95b1b c137ef80
Fri Dec 05 15:53:41 2014 VERIFY OK: depth=1, C=RU, ST=Novosibirsk, L=Novosibirsk, O=NL, emailAddress=admin@nlstar.com, CN=NL
Fri Dec 05 15:53:41 2014 VERIFY OK: nsCertType=SERVER
Fri Dec 05 15:53:41 2014 VERIFY OK: depth=0, C=RU, ST=Novosibirsk, L=Novosibirsk, O=NL, emailAddress=admin@nlstar.com, CN=OVPN_International
Fri Dec 05 15:53:41 2014 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Dec 05 15:53:41 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 05 15:53:41 2014 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Dec 05 15:53:41 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 05 15:53:41 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Fri Dec 05 15:53:41 2014 [OVPN_International] Peer Connection Initiated with [AF_INET]78.40.82.238:1194
Fri Dec 05 15:53:42 2014 MANAGEMENT: >STATE:1417773222,GET_CONFIG,,,
Fri Dec 05 15:53:44 2014 SENT CONTROL [OVPN_International]: 'PUSH_REQUEST' (status=1)
Fri Dec 05 15:53:44 2014 PUSH: Received control message: 'PUSH_REPLY,route 192.168.5.0 255.255.255.0,route 10.0.8.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 10.0.8.190 10.0.8.189'
Fri Dec 05 15:53:44 2014 OPTIONS IMPORT: timers and/or timeouts modified
Fri Dec 05 15:53:44 2014 OPTIONS IMPORT: –ifconfig/up options modified
Fri Dec 05 15:53:44 2014 OPTIONS IMPORT: route options modified
Fri Dec 05 15:53:44 2014 Preserving previous TUN/TAP instance: OpenVPN
Fri Dec 05 15:53:44 2014 Initialization Sequence Completed
Fri Dec 05 15:53:44 2014 MANAGEMENT: >STATE:1417773224,CONNECTED,SUCCESS,10.0.8.190,78.40.82.238
Fri Dec 05 15:55:44 2014 [OVPN_International] Inactivity timeout (–ping-restart), restarting
Fri Dec 05 15:55:44 2014 SIGUSR1[soft,ping-restart] received, process restarting
Fri Dec 05 15:55:44 2014 MANAGEMENT: >STATE:1417773344,RECONNECTING,ping-restart,,
Fri Dec 05 15:55:44 2014 Restart pause, 2 second(s)
Fri Dec 05 15:55:46 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Dec 05 15:55:46 2014 UDPv4 link local (bound): [undef]
Fri Dec 05 15:55:46 2014 UDPv4 link remote: [AF_INET]78.40.82.238:1194
Fri Dec 05 15:55:46 2014 MANAGEMENT: >STATE:1417773346,WAIT,,,
Fri Dec 05 15:55:46 2014 MANAGEMENT: >STATE:1417773346,AUTH,,,
Fri Dec 05 15:55:46 2014 TLS: Initial packet from [AF_INET]78.40.82.238:1194, sid=ee86432d 97afe189
Fri Dec 05 15:55:47 2014 VERIFY OK: depth=1, C=RU, ST=Novosibirsk, L=Novosibirsk, O=NL, emailAddress=admin@nlstar.com, CN=NL
Fri Dec 05 15:55:47 2014 VERIFY OK: nsCertType=SERVER
Fri Dec 05 15:55:47 2014 VERIFY OK: depth=0, C=RU, ST=Novosibirsk, L=Novosibirsk, O=NL, emailAddress=admin@nlstar.com, CN=OVPN_International
Fri Dec 05 15:55:47 2014 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Dec 05 15:55:47 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 05 15:55:47 2014 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Dec 05 15:55:47 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 05 15:55:47 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Fri Dec 05 15:55:47 2014 [OVPN_International] Peer Connection Initiated with [AF_INET]78.40.82.238:1194
Fri Dec 05 15:55:48 2014 MANAGEMENT: >STATE:1417773348,GET_CONFIG,,,
Fri Dec 05 15:55:50 2014 SENT CONTROL [OVPN_International]: 'PUSH_REQUEST' (status=1)
Fri Dec 05 15:55:50 2014 PUSH: Received control message: 'PUSH_REPLY,route 192.168.5.0 255.255.255.0,route 10.0.8.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 10.0.8.190 10.0.8.189'
Fri Dec 05 15:55:50 2014 OPTIONS IMPORT: timers and/or timeouts modified
Fri Dec 05 15:55:50 2014 OPTIONS IMPORT: –ifconfig/up options modified
Fri Dec 05 15:55:50 2014 OPTIONS IMPORT: route options modified
Fri Dec 05 15:55:50 2014 Preserving previous TUN/TAP instance: OpenVPN
Fri Dec 05 15:55:50 2014 Initialization Sequence Completed
Fri Dec 05 15:55:50 2014 MANAGEMENT: >STATE:1417773350,CONNECTED,SUCCESS,10.0.8.190,78.40.82.238
........

werter

Если клиенты исп. один и тот же сертификат, то сделайте так на сервере, сохранитесь и переподключите клиентов:

P.s. http://tuxnotes.ru/articles.php?a_id=26

![2014-12-06 12_33_10-ÐŸÐµÑ€ÐµÐ¿Ð¾Ð´ÐºÐ»ÑŽÑ‡ÐµÐ½Ð¸Ðµ ÑÐµÑÑÐ¸Ð¹ OpenVPN.png](/public/imported_attachments/1/2014-12-06 12_33_10-ÐŸÐµÑ€ÐµÐ¿Ð¾Ð´ÐºÐ»ÑŽÑ‡ÐµÐ½Ð¸Ðµ ÑÐµÑÑÐ¸Ð¹ OpenVPN.png)
![2014-12-06 12_33_10-ÐŸÐµÑ€ÐµÐ¿Ð¾Ð´ÐºÐ»ÑŽÑ‡ÐµÐ½Ð¸Ðµ ÑÐµÑÑÐ¸Ð¹ OpenVPN.png_thumb](/public/imported_attachments/1/2014-12-06 12_33_10-ÐŸÐµÑ€ÐµÐ¿Ð¾Ð´ÐºÐ»ÑŽÑ‡ÐµÐ½Ð¸Ðµ ÑÐµÑÑÐ¸Ð¹ OpenVPN.png_thumb)

lex 0

Уважаемый WERTER, огромное вам спасибо за терпение и помощь! Тему можно закрыть! Проблема решилась, все было в множественном подключении клиентов за белым ip и одинакового логина АД, сделал как вы и советовали!

werter

Пожалуйста.
P.s. Качайте скил Внимательность :)