Переподключение сессий OpenVPN у части клиенто…



  • Добрый день!

    Поднят OpenVPN server на pfsense 2.1.5 (Remote Access User Auth + AD). Подключаются порядка 30 клиентов, у 6 клиентов происходит регулярное переподключение сессии (раз в 2 минуты). Интернет каналы стабильные у них. В чем может быть проблема регулярного выборочного дисконнекта у части клиентов?  И что надо прописать на сервере, чтобы подключаемых клиентов было видно из внутренней локальной сети?
    Вот лог клиента:

    Wed Dec 03 13:51:52 2014 OpenVPN 2.3.6 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Dec  1 2014
    Wed Dec 03 13:51:52 2014 library versions: OpenSSL 1.0.1j 15 Oct 2014, LZO 2.08
    Wed Dec 03 13:52:17 2014 Control Channel Authentication: using 'srv-router-udp-1194-tls.key' as a OpenVPN static key file
    Wed Dec 03 13:52:17 2014 UDPv4 link local (bound): [undef]
    Wed Dec 03 13:52:17 2014 UDPv4 link remote: [AF_INET]78.40.82.238:1194
    Wed Dec 03 13:52:17 2014 WARNING: this configuration may cache passwords in memory – use the auth-nocache option to prevent this
    Wed Dec 03 13:52:18 2014 [OVPN_International] Peer Connection Initiated with [AF_INET]78.40.82.238:1194
    Wed Dec 03 13:52:21 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    Wed Dec 03 13:52:21 2014 open_tun, tt->ipv6=0
    Wed Dec 03 13:52:21 2014 TAP-WIN32 device [Подключение по локальной сети 2] opened: \.\Global{459F71EB-E4CA-4B9E-A454-FA0ACB0BFE48}.tap
    Wed Dec 03 13:52:21 2014 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.0.8.138/255.255.255.252 on interface {459F71EB-E4CA-4B9E-A454-FA0ACB0BFE48} [DHCP-serv: 10.0.8.137, lease-time: 31536000]
    Wed Dec 03 13:52:21 2014 Successful ARP Flush on interface [15] {459F71EB-E4CA-4B9E-A454-FA0ACB0BFE48}
    Wed Dec 03 13:52:26 2014 ROUTE: route addition failed using CreateIpForwardEntry: Ýòîò îáúåêò óæå ñóùåñòâóåò.  [status=5010 if_index=15]
    Wed Dec 03 13:52:26 2014 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
    Wed Dec 03 13:52:26 2014 Initialization Sequence Completed
    Wed Dec 03 13:54:14 2014 [OVPN_International] Inactivity timeout (–ping-restart), restarting
    Wed Dec 03 13:54:14 2014 SIGUSR1[soft,ping-restart] received, process restarting
    Wed Dec 03 13:54:16 2014 UDPv4 link local (bound): [undef]
    Wed Dec 03 13:54:16 2014 UDPv4 link remote: [AF_INET]78.40.82.238:1194
    Wed Dec 03 13:54:16 2014 [OVPN_International] Peer Connection Initiated with [AF_INET]78.40.82.238:1194
    Wed Dec 03 13:54:19 2014 Preserving previous TUN/TAP instance: Подключение по локальной сети 2
    Wed Dec 03 13:54:19 2014 Initialization Sequence Completed

    Wed Dec 03 13:56:20 2014 [OVPN_International] Inactivity timeout (–ping-restart), restarting
    Wed Dec 03 13:56:20 2014 SIGUSR1[soft,ping-restart] received, process restarting
    Wed Dec 03 13:56:22 2014 UDPv4 link local (bound): [undef]
    Wed Dec 03 13:56:22 2014 UDPv4 link remote: [AF_INET]78.40.82.238:1194
    Wed Dec 03 13:56:23 2014 [OVPN_International] Peer Connection Initiated with [AF_INET]78.40.82.238:1194
    Wed Dec 03 13:56:26 2014 Preserving previous TUN/TAP instance: Подключение по локальной сети 2
    Wed Dec 03 13:56:26 2014 Initialization Sequence Completed
    Wed Dec 03 13:58:17 2014 [OVPN_International] Inactivity timeout (–ping-restart), restarting
    Wed Dec 03 13:58:17 2014 SIGUSR1[soft,ping-restart] received, process restarting
    Wed Dec 03 13:58:19 2014 UDPv4 link local (bound): [undef]
    Wed Dec 03 13:58:19 2014 UDPv4 link remote: [AF_INET]78.40.82.238:1194
    Wed Dec 03 13:58:20 2014 [OVPN_International] Peer Connection Initiated with [AF_INET]78.40.82.238:1194
    Wed Dec 03 13:58:22 2014 Preserving previous TUN/TAP instance: Подключение по локальной сети 2
    Wed Dec 03 13:58:22 2014 Initialization Sequence Completed
    Wed Dec 03 14:00:22 2014 [OVPN_International] Inactivity timeout (–ping-restart), restarting
    Wed Dec 03 14:00:22 2014 SIGUSR1[soft,ping-restart] received, process restarting
    Wed Dec 03 14:00:24 2014 UDPv4 link local (bound): [undef]
    Wed Dec 03 14:00:24 2014 UDPv4 link remote: [AF_INET]78.40.82.238:1194
    Wed Dec 03 14:00:24 2014 [OVPN_International] Peer Connection Initiated with [AF_INET]78.40.82.238:1194
    Wed Dec 03 14:00:27 2014 Preserving previous TUN/TAP instance: Подключение по локальной сети 2
    Wed Dec 03 14:00:27 2014 Initialization Sequence Completed
    …......





  • В Advanced директива неверная. Удалите ее. Если Вы хотели добавить маршрут клиентам до сети за сервером, то это уже было сделано выше.
    Ваша же директива добавляет клиентам маршрут в vpn-сеть. Зачем?
    Добавьте там же route до сети за клиентом.

    Wed Dec 03 13:54:14 2014 [OVPN_International] Inactivity timeout (–ping-restart), restarting
    Wed Dec 03 13:54:14 2014 SIGUSR1[soft,ping-restart] received, process restarting

    У меня в файле настроек клиента нет директивы –ping-restart

    Есть такое :

    keepalive 10 60
    ping-timer-rem

    P.s. У вас на WAN pfsense постоянный белый адрес?



  • @werter:

    В Advanced директива неверная. Удалите ее. Если Вы хотели добавить маршрут клиентам до сети за сервером, то это уже было сделано выше.
    Ваша же директива добавляет клиентам маршрут в vpn-сеть. Зачем?

    Я уже убрал.

    Добавьте там же route до сети за клиентом.

    Как правильно написать директиву?

    Wed Dec 03 13:54:14 2014 [OVPN_International] Inactivity timeout (–ping-restart), restarting
    Wed Dec 03 13:54:14 2014 SIGUSR1[soft,ping-restart] received, process restarting

    У меня в файле настроек клиента нет директивы –ping-restart

    Есть такое :

    keepalive 10 60
    ping-timer-rem

    Не помогло, переподключение наблюдается.

    P.s. У вас на WAN pfsense постоянный белый адрес?

    Да белый IP.

    Вот мои настройки клиента:

    dev tun

    route 10.0.8.0 255.255.255.0
    push "route 192.168.5.0 255.255.255.0"
    persist-tun
    persist-key
    cipher BF-CBC
    auth SHA1
    tls-client
    client
    resolv-retry infinite
    remote 78.40.82.238 1194 udp
    lport 0
    auth-user-pass
    ca srv-router-udp-1194-ca.crt
    tls-auth srv-router-udp-1194-tls.key 1
    ns-cert-type server
    comp-lzo



  • Если клиент на Win (Vista и выше) пробуйте этот :

    dev tun
    keepalive 5 10
    ping-timer-rem
    persist-tun
    persist-key
    proto udp
    cipher BF-CBC
    auth SHA1
    tls-client
    client
    script-security 2
    resolv-retry infinite
    remote 78.40.82.238 1194 udp
    lport 0
    auth-user-pass
    ca srv-router-udp-1194-ca.crt
    tls-auth srv-router-udp-1194-tls.key 1
    ns-cert-type server
    comp-lzo
    comp-noadapt
    route-delay 5
    route-method exe
    ip-win32 netsh
    pull
    verb 3

    Важный момент .
    Установку OpenVPN на Win проводить от имени Администратора (т.е. правой кнопкой мыши на установочном файле и Запустить от имени Администратора) ! Возможно, что и запускать после установки тоже от имени Администратора (проверить!)



  • При этом конфиге просходит ошибка подключения, вот лог:

    Thu Dec 04 18:47:32 2014 OpenVPN 2.3.2 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013
    Enter Management Password:
    Thu Dec 04 18:47:32 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
    Thu Dec 04 18:47:32 2014 Need hold release from management interface, waiting…
    Thu Dec 04 18:47:32 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
    Thu Dec 04 18:47:32 2014 MANAGEMENT: CMD 'state on'
    Thu Dec 04 18:47:32 2014 MANAGEMENT: CMD 'log all on'
    Thu Dec 04 18:47:32 2014 MANAGEMENT: CMD 'hold off'
    Thu Dec 04 18:47:32 2014 MANAGEMENT: CMD 'hold release'
    Thu Dec 04 18:49:10 2014 MANAGEMENT: CMD 'username "Auth" "tz_tom"'
    Thu Dec 04 18:49:10 2014 MANAGEMENT: CMD 'password […]'
    Thu Dec 04 18:49:10 2014 Control Channel Authentication: using 'srv-router-udp-1194-tls.key' as a OpenVPN static key file
    Thu Dec 04 18:49:10 2014 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Thu Dec 04 18:49:10 2014 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Thu Dec 04 18:49:10 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Thu Dec 04 18:49:10 2014 UDPv4 link local (bound): [undef]
    Thu Dec 04 18:49:10 2014 UDPv4 link remote: [AF_INET]78.40.82.238:1194
    Thu Dec 04 18:49:10 2014 MANAGEMENT: >STATE:1417697350,WAIT,,,
    Thu Dec 04 18:49:10 2014 MANAGEMENT: >STATE:1417697350,AUTH,,,
    Thu Dec 04 18:49:10 2014 TLS: Initial packet from [AF_INET]78.40.82.238:1194, sid=af1b1876 a9341935
    Thu Dec 04 18:49:10 2014 WARNING: this configuration may cache passwords in memory – use the auth-nocache option to prevent this
    Thu Dec 04 18:49:11 2014 VERIFY OK: depth=1, C=RU, ST=Novosibirsk, L=Novosibirsk, O=NL, emailAddress=admin@nlstar.com, CN=NL
    Thu Dec 04 18:49:11 2014 VERIFY OK: nsCertType=SERVER
    Thu Dec 04 18:49:11 2014 VERIFY OK: depth=0, C=RU, ST=Novosibirsk, L=Novosibirsk, O=NL, emailAddress=admin@nlstar.com, CN=OVPN_International
    Thu Dec 04 18:49:11 2014 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Thu Dec 04 18:49:11 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Thu Dec 04 18:49:11 2014 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Thu Dec 04 18:49:11 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Thu Dec 04 18:49:11 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
    Thu Dec 04 18:49:11 2014 [OVPN_International] Peer Connection Initiated with [AF_INET]78.40.82.238:1194
    Thu Dec 04 18:49:12 2014 MANAGEMENT: >STATE:1417697352,GET_CONFIG,,,
    Thu Dec 04 18:49:13 2014 SENT CONTROL [OVPN_International]: 'PUSH_REQUEST' (status=1)
    Thu Dec 04 18:49:13 2014 PUSH: Received control message: 'PUSH_REPLY,route 192.168.5.0 255.255.255.0,route 10.0.8.0 255.255.255.0,route 10.0.8.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 10.0.8.30 10.0.8.29'
    Thu Dec 04 18:49:13 2014 OPTIONS IMPORT: timers and/or timeouts modified
    Thu Dec 04 18:49:13 2014 OPTIONS IMPORT: –ifconfig/up options modified
    Thu Dec 04 18:49:13 2014 OPTIONS IMPORT: route options modified
    Thu Dec 04 18:49:13 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    Thu Dec 04 18:49:13 2014 MANAGEMENT: >STATE:1417697353,ASSIGN_IP,,10.0.8.30,
    Thu Dec 04 18:49:14 2014 NETSH: C:\Windows\system32\netsh.exe interface ip set address Подключение по локальной сети 2 static 10.0.8.30 255.255.255.252
    Thu Dec 04 18:49:16 2014 ERROR: netsh command failed: returned error code 1
    Thu Dec 04 18:49:21 2014 NETSH: C:\Windows\system32\netsh.exe interface ip set address Подключение по локальной сети 2 static 10.0.8.30 255.255.255.252
    Thu Dec 04 18:49:21 2014 ERROR: netsh command failed: returned error code 1
    Thu Dec 04 18:49:26 2014 NETSH: C:\Windows\system32\netsh.exe interface ip set address Подключение по локальной сети 2 static 10.0.8.30 255.255.255.252
    Thu Dec 04 18:49:26 2014 ERROR: netsh command failed: returned error code 1
    Thu Dec 04 18:49:31 2014 NETSH: C:\Windows\system32\netsh.exe interface ip set address Подключение по локальной сети 2 static 10.0.8.30 255.255.255.252
    Thu Dec 04 18:49:32 2014 ERROR: netsh command failed: returned error code 1
    Thu Dec 04 18:49:36 2014 MANAGEMENT: Client disconnected
    Thu Dec 04 18:49:36 2014 NETSH: command failed
    Thu Dec 04 18:49:36 2014 Exiting due to fatal error



  • Возможно, что и запускать после установки тоже от имени Администратора (проверить!)

    Да, обязательно

    Цитата из \Program Files\OpenVPN\doc

    IMPORTANT NOTE FOR WINDOWS VISTA/7 USERS

    Note that on Windows Vista, you will need to run the OpenVPN
    GUI with administrator privileges, so that it can add routes
    to the routing table that are pulled from the OpenVPN server.
    You can do this by right-clicking on the OpenVPN GUI
    desktop icon, and selecting "Run as administrator".

    В логе клиента, запущенного без прав администратора будут видны ошибки добавления маршрута(ов)



  • Переименуйте ваш TAP-адаптер (именно его!) в Win в OpenVPN (именно большие и маленькие буквы !)

    Теперь конфиг будет таким :

    dev tun
    dev-node OpenVPN
    keepalive 5 10
    ping-timer-rem
    persist-tun
    persist-key
    proto udp
    cipher BF-CBC
    auth SHA1
    tls-client
    client
    script-security 2
    resolv-retry infinite
    remote 78.40.82.238 1194 udp
    lport 0
    auth-user-pass
    ca srv-router-udp-1194-ca.crt
    tls-auth srv-router-udp-1194-tls.key 1
    ns-cert-type server
    comp-lzo
    comp-noadapt
    route-delay 5
    route-method exe
    ip-win32 netsh
    pull
    verb 3

    Важный момент .
    Установку OpenVPN на Win проводить от имени Администратора (т.е. правой кнопкой мыши на установочном файле и Запустить от имени Администратора) ! Возможно, что и запускать после установки тоже от имени Администратора (проверить!)

    Это выполнили?!



  • @pigbrother:

    Возможно, что и запускать после установки тоже от имени Администратора (проверить!)

    Да, обязательно

    Цитата из \Program Files\OpenVPN\doc

    IMPORTANT NOTE FOR WINDOWS VISTA/7 USERS

    Note that on Windows Vista, you will need to run the OpenVPN
    GUI with administrator privileges, so that it can add routes
    to the routing table that are pulled from the OpenVPN server.
    You can do this by right-clicking on the OpenVPN GUI
    desktop icon, and selecting "Run as administrator".

    В логе клиента, запущенного без прав администратора будут видны ошибки добавления маршрута(ов)

    Видимо я зря пишу. А зачем читать, тов. lex ?

    P.s. После этого и помогать не хочется  :-\



  • Я очень признателен за ВАШУ помощь!!! Спасибо что помогаете разобраться.

    Важный момент .
    Установку OpenVPN на Win проводить от имени Администратора (т.е. правой кнопкой мыши на установочном файле и Запустить от имени Администратора) ! Возможно, что и запускать после установки тоже от имени Администратора (проверить!)

    Это выполнили?

    ЭТО ОБЯЗАТЕЛЬНО сделал при установке и запуске!!!

    Обновил конфиг, запустил, вот опять такая ошибка подключения:

    Thu Dec 04 19:07:31 2014 OpenVPN 2.3.2 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013
    Enter Management Password:
    Thu Dec 04 19:07:31 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
    Thu Dec 04 19:07:31 2014 Need hold release from management interface, waiting…
    Thu Dec 04 19:07:32 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
    Thu Dec 04 19:07:32 2014 MANAGEMENT: CMD 'state on'
    Thu Dec 04 19:07:32 2014 MANAGEMENT: CMD 'log all on'
    Thu Dec 04 19:07:32 2014 MANAGEMENT: CMD 'hold off'
    Thu Dec 04 19:07:32 2014 MANAGEMENT: CMD 'hold release'
    Thu Dec 04 19:07:42 2014 MANAGEMENT: CMD 'username "Auth" "lex"'
    Thu Dec 04 19:07:42 2014 MANAGEMENT: CMD 'password […]'
    Thu Dec 04 19:07:43 2014 Control Channel Authentication: using 'srv-router-udp-1194-tls.key' as a OpenVPN static key file
    Thu Dec 04 19:07:43 2014 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Thu Dec 04 19:07:43 2014 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Thu Dec 04 19:07:43 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Thu Dec 04 19:07:43 2014 UDPv4 link local (bound): [undef]
    Thu Dec 04 19:07:43 2014 UDPv4 link remote: [AF_INET]78.40.82.238:1194
    Thu Dec 04 19:07:43 2014 MANAGEMENT: >STATE:1417698463,WAIT,,,
    Thu Dec 04 19:07:43 2014 MANAGEMENT: >STATE:1417698463,AUTH,,,
    Thu Dec 04 19:07:43 2014 TLS: Initial packet from [AF_INET]78.40.82.238:1194, sid=5aabb88e b808939f
    Thu Dec 04 19:07:43 2014 WARNING: this configuration may cache passwords in memory – use the auth-nocache option to prevent this
    Thu Dec 04 19:07:43 2014 VERIFY OK: depth=1, C=RU, ST=Novosibirsk, L=Novosibirsk, O=NL, emailAddress=admin@nlstar.com, CN=NL
    Thu Dec 04 19:07:43 2014 VERIFY OK: nsCertType=SERVER
    Thu Dec 04 19:07:43 2014 VERIFY OK: depth=0, C=RU, ST=Novosibirsk, L=Novosibirsk, O=NL, emailAddress=admin@nlstar.com, CN=OVPN_International
    Thu Dec 04 19:07:44 2014 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Thu Dec 04 19:07:44 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Thu Dec 04 19:07:44 2014 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Thu Dec 04 19:07:44 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Thu Dec 04 19:07:44 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
    Thu Dec 04 19:07:44 2014 [OVPN_International] Peer Connection Initiated with [AF_INET]78.40.82.238:1194
    Thu Dec 04 19:07:45 2014 MANAGEMENT: >STATE:1417698465,GET_CONFIG,,,
    Thu Dec 04 19:07:46 2014 SENT CONTROL [OVPN_International]: 'PUSH_REQUEST' (status=1)
    Thu Dec 04 19:07:46 2014 PUSH: Received control message: 'PUSH_REPLY,route 192.168.5.0 255.255.255.0,route 10.0.8.0 255.255.255.0,route 10.0.8.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 10.0.8.245 10.0.8.246'
    Thu Dec 04 19:07:46 2014 OPTIONS IMPORT: timers and/or timeouts modified
    Thu Dec 04 19:07:46 2014 OPTIONS IMPORT: –ifconfig/up options modified
    Thu Dec 04 19:07:46 2014 OPTIONS IMPORT: route options modified
    Thu Dec 04 19:07:46 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    Thu Dec 04 19:07:46 2014 MANAGEMENT: >STATE:1417698466,ASSIGN_IP,,10.0.8.245,
    Thu Dec 04 19:07:46 2014 MANAGEMENT: Client disconnected
    Thu Dec 04 19:07:46 2014 Error: When using --ip-win32 netsh, if you have more than one TAP-Windows adapter, you must also specify --dev-node
    Thu Dec 04 19:07:46 2014 Exiting due to fatal error



  • Thu Dec 04 19:07:46 2014 Error: When using –ip-win32 netsh, if you have more than one TAP-Windows adapter, you must also specify --dev-node

    Переименуйте ваш TAP-адаптер (именно его!) в Win в OpenVPN (именно большие и маленькие буквы !)

    Теперь конфиг будет таким :

    dev tun
    dev-node OpenVPN

    Да что же такое-то?  >:(
    Нашли какой из адаптеров является TAP-адаптером у вас в системе? Вы его переименовали в OpenVPN (именно так!) ?
    Перезагрузитесь.

    P.s.

    Thu Dec 04 19:07:46 2014 PUSH: Received control message: 'PUSH_REPLY,route 192.168.5.0 255.255.255.0,route 10.0.8.0 255.255.255.0,route 10.0.8.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 10.0.8.245 10.0.8.246'

    Вы директиву удалили из Advanced (route 10.0.8.0 255.255.255.0) ? Вам сеть за клиентом нужна, т.е. доступ из сети за сервером в сеть за клиентом? Или у вас клиент один и за ним никого нет?



  • Уважаемый WERTER, большое вам спасибо, у меня коннект есть, сделал согласно вашим замечаниям!!! Вот только завтра смогу проверить на проблемных клиентах, у которых замечалось переподключение. Как проверю отпишусь!

    Вы директиву удалили из Advanced (route 10.0.8.0 255.255.255.0) ?

    Директиву удалил, но не сохранил, сейчас все исправил!

    Вам сеть за клиентом нужна, т.е. доступ из сети за сервером в сеть за клиентом? Или у вас клиент один и за ним никого нет?

    У нас только клиенты, за ними ничего нет. Нам нужно видеть подключенных клиентов к серверу OpenVPN, для того чтобы у нас была возможность видеть их расшаренные ресурсы, печатать в терминале на принтер штрих кодов в автомате, итд. Какой и где надо прописать маршрут, подскажите пожалуйста!



  • У нас только клиенты, за ними ничего нет. Нам нужно видеть подключенных клиентов к серверу OpenVPN, для того чтобы у нас была возможность видеть их расшаренные ресурсы, печатать в терминале на принтер штрих кодов в автомате, итд. Какой и где надо прописать маршрут, подскажите пожалуйста!

    1. Использовать tap , а не tun-туннель. Для этого перенастроить и сервер и клиента. Возможно, что на клиентах прийдется создавать мост из их локальных сетевых подключений и OpenVPN-подключения.

    2. Обращаться к удаленным клиентам (к их шарам) по ip-адресам, а не по именам.

    P.s. Может Вам будет проще использовать в таком случае PPTP. Это если совсем туго с настройками будет.



  • К сожалению, переподлючение наблюдается через каждые 2 минуты, у тех клиентов у которых оно и было, сегодня протестировал, вот выложил лог.  Уважаемый WERTER, подскажите, что можно еще попробовать?

    Fri Dec 05 15:49:20 2014 OpenVPN 2.3.2 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013
    Enter Management Password:
    Fri Dec 05 15:49:20 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
    Fri Dec 05 15:49:20 2014 Need hold release from management interface, waiting…
    Fri Dec 05 15:49:20 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
    Fri Dec 05 15:49:21 2014 MANAGEMENT: CMD 'state on'
    Fri Dec 05 15:49:21 2014 MANAGEMENT: CMD 'log all on'
    Fri Dec 05 15:49:21 2014 MANAGEMENT: CMD 'hold off'
    Fri Dec 05 15:49:21 2014 MANAGEMENT: CMD 'hold release'
    Fri Dec 05 15:51:40 2014 MANAGEMENT: CMD 'username "Auth" "tz_tom"'
    Fri Dec 05 15:51:40 2014 MANAGEMENT: CMD 'password […]'
    Fri Dec 05 15:51:41 2014 Control Channel Authentication: using 'srv-router-udp-1194-tls.key' as a OpenVPN static key file
    Fri Dec 05 15:51:41 2014 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Fri Dec 05 15:51:41 2014 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Fri Dec 05 15:51:41 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Fri Dec 05 15:51:41 2014 UDPv4 link local (bound): [undef]
    Fri Dec 05 15:51:41 2014 UDPv4 link remote: [AF_INET]78.40.82.238:1194
    Fri Dec 05 15:51:41 2014 MANAGEMENT: >STATE:1417773101,WAIT,,,
    Fri Dec 05 15:51:41 2014 MANAGEMENT: >STATE:1417773101,AUTH,,,
    Fri Dec 05 15:51:41 2014 TLS: Initial packet from [AF_INET]78.40.82.238:1194, sid=08ffcfd4 1517c784
    Fri Dec 05 15:51:41 2014 WARNING: this configuration may cache passwords in memory – use the auth-nocache option to prevent this
    Fri Dec 05 15:51:41 2014 VERIFY OK: depth=1, C=RU, ST=Novosibirsk, L=Novosibirsk, O=NL, emailAddress=admin@nlstar.com, CN=NL
    Fri Dec 05 15:51:41 2014 VERIFY OK: nsCertType=SERVER
    Fri Dec 05 15:51:41 2014 VERIFY OK: depth=0, C=RU, ST=Novosibirsk, L=Novosibirsk, O=NL, emailAddress=admin@nlstar.com, CN=OVPN_International
    Fri Dec 05 15:51:41 2014 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Fri Dec 05 15:51:41 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Fri Dec 05 15:51:41 2014 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Fri Dec 05 15:51:41 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Fri Dec 05 15:51:41 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
    Fri Dec 05 15:51:41 2014 [OVPN_International] Peer Connection Initiated with [AF_INET]78.40.82.238:1194
    Fri Dec 05 15:51:42 2014 MANAGEMENT: >STATE:1417773102,GET_CONFIG,,,
    Fri Dec 05 15:51:43 2014 SENT CONTROL [OVPN_International]: 'PUSH_REQUEST' (status=1)
    Fri Dec 05 15:51:43 2014 PUSH: Received control message: 'PUSH_REPLY,route 192.168.5.0 255.255.255.0,route 10.0.8.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 10.0.8.190 10.0.8.189'
    Fri Dec 05 15:51:43 2014 OPTIONS IMPORT: timers and/or timeouts modified
    Fri Dec 05 15:51:43 2014 OPTIONS IMPORT: –ifconfig/up options modified
    Fri Dec 05 15:51:43 2014 OPTIONS IMPORT: route options modified
    Fri Dec 05 15:51:43 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    Fri Dec 05 15:51:43 2014 MANAGEMENT: >STATE:1417773103,ASSIGN_IP,,10.0.8.190,
    Fri Dec 05 15:51:44 2014 NETSH: C:\Windows\system32\netsh.exe interface ip set address OpenVPN static 10.0.8.190 255.255.255.252
    Fri Dec 05 15:51:48 2014 NETSH: C:\Windows\system32\netsh.exe interface ip delete dns OpenVPN all
    Fri Dec 05 15:51:50 2014 NETSH: C:\Windows\system32\netsh.exe interface ip delete wins OpenVPN all
    Fri Dec 05 15:51:51 2014 open_tun, tt->ipv6=0
    Fri Dec 05 15:51:51 2014 TAP-WIN32 device [OpenVPN] opened: \.\Global{DA86EC7A-C268-46D1-B95D-1FF1CBFC4BEF}.tap
    Fri Dec 05 15:51:51 2014 TAP-Windows Driver Version 9.9
    Fri Dec 05 15:51:51 2014 Successful ARP Flush on interface [18] {DA86EC7A-C268-46D1-B95D-1FF1CBFC4BEF}
    Fri Dec 05 15:51:56 2014 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
    Fri Dec 05 15:51:57 2014 MANAGEMENT: >STATE:1417773116,ADD_ROUTES,,,
    Fri Dec 05 15:51:57 2014 C:\Windows\system32\route.exe ADD 192.168.5.0 MASK 255.255.255.0 10.0.8.189
    Fri Dec 05 15:51:57 2014 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
    Fri Dec 05 15:51:57 2014 C:\Windows\system32\route.exe ADD 10.0.8.0 MASK 255.255.255.0 10.0.8.189
    Fri Dec 05 15:51:57 2014 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
    Fri Dec 05 15:51:57 2014 Initialization Sequence Completed
    Fri Dec 05 15:51:57 2014 MANAGEMENT: >STATE:1417773117,CONNECTED,SUCCESS,10.0.8.190,78.40.82.238
    Fri Dec 05 15:53:38 2014 [OVPN_International] Inactivity timeout (–ping-restart), restarting
    Fri Dec 05 15:53:38 2014 SIGUSR1[soft,ping-restart] received, process restarting
    Fri Dec 05 15:53:38 2014 MANAGEMENT: >STATE:1417773218,RECONNECTING,ping-restart,,
    Fri Dec 05 15:53:38 2014 Restart pause, 2 second(s)
    Fri Dec 05 15:53:40 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Fri Dec 05 15:53:40 2014 UDPv4 link local (bound): [undef]
    Fri Dec 05 15:53:40 2014 UDPv4 link remote: [AF_INET]78.40.82.238:1194
    Fri Dec 05 15:53:40 2014 MANAGEMENT: >STATE:1417773220,WAIT,,,
    Fri Dec 05 15:53:40 2014 MANAGEMENT: >STATE:1417773220,AUTH,,,
    Fri Dec 05 15:53:40 2014 TLS: Initial packet from [AF_INET]78.40.82.238:1194, sid=19b95b1b c137ef80
    Fri Dec 05 15:53:41 2014 VERIFY OK: depth=1, C=RU, ST=Novosibirsk, L=Novosibirsk, O=NL, emailAddress=admin@nlstar.com, CN=NL
    Fri Dec 05 15:53:41 2014 VERIFY OK: nsCertType=SERVER
    Fri Dec 05 15:53:41 2014 VERIFY OK: depth=0, C=RU, ST=Novosibirsk, L=Novosibirsk, O=NL, emailAddress=admin@nlstar.com, CN=OVPN_International
    Fri Dec 05 15:53:41 2014 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Fri Dec 05 15:53:41 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Fri Dec 05 15:53:41 2014 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Fri Dec 05 15:53:41 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Fri Dec 05 15:53:41 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
    Fri Dec 05 15:53:41 2014 [OVPN_International] Peer Connection Initiated with [AF_INET]78.40.82.238:1194
    Fri Dec 05 15:53:42 2014 MANAGEMENT: >STATE:1417773222,GET_CONFIG,,,
    Fri Dec 05 15:53:44 2014 SENT CONTROL [OVPN_International]: 'PUSH_REQUEST' (status=1)
    Fri Dec 05 15:53:44 2014 PUSH: Received control message: 'PUSH_REPLY,route 192.168.5.0 255.255.255.0,route 10.0.8.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 10.0.8.190 10.0.8.189'
    Fri Dec 05 15:53:44 2014 OPTIONS IMPORT: timers and/or timeouts modified
    Fri Dec 05 15:53:44 2014 OPTIONS IMPORT: –ifconfig/up options modified
    Fri Dec 05 15:53:44 2014 OPTIONS IMPORT: route options modified
    Fri Dec 05 15:53:44 2014 Preserving previous TUN/TAP instance: OpenVPN
    Fri Dec 05 15:53:44 2014 Initialization Sequence Completed
    Fri Dec 05 15:53:44 2014 MANAGEMENT: >STATE:1417773224,CONNECTED,SUCCESS,10.0.8.190,78.40.82.238
    Fri Dec 05 15:55:44 2014 [OVPN_International] Inactivity timeout (–ping-restart), restarting
    Fri Dec 05 15:55:44 2014 SIGUSR1[soft,ping-restart] received, process restarting
    Fri Dec 05 15:55:44 2014 MANAGEMENT: >STATE:1417773344,RECONNECTING,ping-restart,,
    Fri Dec 05 15:55:44 2014 Restart pause, 2 second(s)
    Fri Dec 05 15:55:46 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Fri Dec 05 15:55:46 2014 UDPv4 link local (bound): [undef]
    Fri Dec 05 15:55:46 2014 UDPv4 link remote: [AF_INET]78.40.82.238:1194
    Fri Dec 05 15:55:46 2014 MANAGEMENT: >STATE:1417773346,WAIT,,,
    Fri Dec 05 15:55:46 2014 MANAGEMENT: >STATE:1417773346,AUTH,,,
    Fri Dec 05 15:55:46 2014 TLS: Initial packet from [AF_INET]78.40.82.238:1194, sid=ee86432d 97afe189
    Fri Dec 05 15:55:47 2014 VERIFY OK: depth=1, C=RU, ST=Novosibirsk, L=Novosibirsk, O=NL, emailAddress=admin@nlstar.com, CN=NL
    Fri Dec 05 15:55:47 2014 VERIFY OK: nsCertType=SERVER
    Fri Dec 05 15:55:47 2014 VERIFY OK: depth=0, C=RU, ST=Novosibirsk, L=Novosibirsk, O=NL, emailAddress=admin@nlstar.com, CN=OVPN_International
    Fri Dec 05 15:55:47 2014 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Fri Dec 05 15:55:47 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Fri Dec 05 15:55:47 2014 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Fri Dec 05 15:55:47 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Fri Dec 05 15:55:47 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
    Fri Dec 05 15:55:47 2014 [OVPN_International] Peer Connection Initiated with [AF_INET]78.40.82.238:1194
    Fri Dec 05 15:55:48 2014 MANAGEMENT: >STATE:1417773348,GET_CONFIG,,,
    Fri Dec 05 15:55:50 2014 SENT CONTROL [OVPN_International]: 'PUSH_REQUEST' (status=1)
    Fri Dec 05 15:55:50 2014 PUSH: Received control message: 'PUSH_REPLY,route 192.168.5.0 255.255.255.0,route 10.0.8.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 10.0.8.190 10.0.8.189'
    Fri Dec 05 15:55:50 2014 OPTIONS IMPORT: timers and/or timeouts modified
    Fri Dec 05 15:55:50 2014 OPTIONS IMPORT: –ifconfig/up options modified
    Fri Dec 05 15:55:50 2014 OPTIONS IMPORT: route options modified
    Fri Dec 05 15:55:50 2014 Preserving previous TUN/TAP instance: OpenVPN
    Fri Dec 05 15:55:50 2014 Initialization Sequence Completed
    Fri Dec 05 15:55:50 2014 MANAGEMENT: >STATE:1417773350,CONNECTED,SUCCESS,10.0.8.190,78.40.82.238
    ........



  • Если клиенты исп. один и тот же сертификат, то сделайте так на сервере, сохранитесь и переподключите клиентов:

    P.s. http://tuxnotes.ru/articles.php?a_id=26

    ![2014-12-06 12_33_10-Переподключение сессий OpenVPN.png](/public/imported_attachments/1/2014-12-06 12_33_10-Переподключение сессий OpenVPN.png)
    ![2014-12-06 12_33_10-Переподключение сессий OpenVPN.png_thumb](/public/imported_attachments/1/2014-12-06 12_33_10-Переподключение сессий OpenVPN.png_thumb)



  • Уважаемый WERTER, огромное вам спасибо за терпение и помощь! Тему можно закрыть! Проблема решилась, все было в множественном подключении клиентов за  белым  ip  и одинакового логина АД, сделал как вы и советовали!



  • Пожалуйста.
    P.s. Качайте скил Внимательность :)


Log in to reply