Подключение Windows client к pfsense по схеме Site-to-Site



  • Я прошу прощения за скудность языка, у нас возникла следующая проблема, мы имеем два два провайдера с внешними ip адресами, 94.243.137.34 и 185.46.154.10.
    На 94.243.137.34 поднят TMG (ISA SERVER) через него пользователи ходят в интернет
    на 185.46.154.10 поднят RRAS и к нему подключаются по VPN так называемые коробочки, в каждой коробочке находится компьютер с windows server 2008 r2 на котором поднят RRAS и DHCP сервер, 3G USB Модем, контроллер СКУД который фиксирует по отпечаткам пальцев рабочих на стройке, также в коробочке встроена IP камера, ПО которой тоже установлено на компьютере.
    Сейчас коробочки подключаются к 185.46.154.10 по VPN PPTP

    Имя сервера: GSERV на котором Windows server 2008r2 с установленной TMG 2010
    WAN 94.243.137.34 внешний ip
    LAN 10.10.10.0/24 Это внутренняя сеть офиса, в ней находятся все работники сети
    ![](http://tdi-garage.ru/pfsense/network adapters.png)
    ![](http://tdi-garage.ru/pfsense/network connections.png)
    ![](http://tdi-garage.ru/pfsense/route print gserv.png)

    Имя сервера: ROUTER V2 на котором Windows server 2008r2 поднята служба RRAS
    WAN 185.46.154.10 внешний
    LAN 10.10.12.0/25
    ![](http://tdi-garage.ru/pfsense/router v2 ipconfig all.png)
    ![](http://tdi-garage.ru/pfsense/router v2 route print.png)

    ![](http://tdi-garage.ru/pfsense/rras general.png)
    ![](http://tdi-garage.ru/pfsense/rras network.png)
    ![](http://tdi-garage.ru/pfsense/rras static routes.png)

    Сейчас ящики имеют адреса на LAN интерфейсах 10.10.14.1/26, 10.10.14.64/26, 10.10.14.129/26 и тд, есть еще одна коробка с адресацией 10.10.13.1/24.
    Из офисной сети 10.10.10.0/24 доступны устройства по их IP адресам, к примеру 10.10.14.1 сервер, 10.10.14.2 контроллер СКУД для выгрузки данных, загрузке новых сотрудников и их отпечатков, 10.10.14.3 ip камера.
    Привожу скрины с клиента 10.10.14.129
    ![](http://tdi-garage.ru/pfsense/client ipconfig.png)
    ![](http://tdi-garage.ru/pfsense/client rras interf.png)
    ![](http://tdi-garage.ru/pfsense/client rras obshie.png)
    ![](http://tdi-garage.ru/pfsense/client rras stat.png)
    ![](http://tdi-garage.ru/pfsense/route print client.png)

    Router V2 постоянно отваливается, есть подозрение что его досят, но не важно, у меня встал вопрос как заменить Router V2 с RRAS на Pfsense, так чтобы все это продолжило работать, в будущем есть желание отказаться от TMG который установлен на GSERV, тоже мозги выносит конкретно с инетрнетом в офисе. я попробовал на pptp, и пофиг на безопасность, настроить, но я совсем не разбрался после виндузятины как это сделать. может есть какие идеи, можно впринципе и на openvpn замутить, но у меня вопрос как поднимать автоматом соединение при разрыве и как быть в случае. если у меня только один внешний айпи, а коробочки ведь через usb модем коннектяться без внешнего айпишника, платить мобильным операторам за внешний айпи мы не будем. моет у кого есть какие идеи народ, помогите? также на стройках помимо коробочек сидят архитектороы, которые коннектяться по vpn к офисной локальной сети  на wan интерфейс gserv чтобы шары были доступны, сетевые папки. Хотлосьбы чтобы можно было еще коннектить роутеры на tomato по впн чтобы также были доступны внутренние ресурсы сети, также чтобы была доменная авторизация узерей, а не чтобы они под локальными учетками сидели на объектах, вот))
    Сейчас до дома доеду постараюсь изобразить все это чудо в визио



  • или проще как объединить несколько сетей в одну, если публичный айпи только у головного офиса, а у остальных сетей серые айпи?
    кстати сети 10.10.10.0/24 gserv и 10.10.12.0/24 router v2 объединены маршрутом, забыл написать.
    p.s. из опыта имею только настройку pfsense squid и фильтр контента на предыдущей работе настроил по гайду лисяры и забыл, уволился, спустя три года другой админ звонит и жалуется что комп подлх с pfsense что типа делать ыыы, с vpn до этого не имел дело



  • Эх! Какое красивое название темы! А тут…

    @dmitry86:

    или проще как объединить несколько сетей в одну, если публичный айпи только у головного офиса, а у остальных сетей серые айпи.

    Для поднятия VPN один IP необходим и обычно достаточен. Вопрос, кто строил существующую сеть?



  • до меня строили, я доломал, соглашусь решение неверное, иса орет ругается на топологию
    @Scodezan:

    Эх! Какое красивое название темы! А тут…

    @dmitry86:

    или проще как объединить несколько сетей в одну, если публичный айпи только у головного офиса, а у остальных сетей серые айпи.

    Для поднятия VPN один IP необходим и обычно достаточен. Вопрос, кто строил существующую сеть?



  • предыдущий админ аргументировал топологию тем, что сначала была просто сеть с одним провом без всяких там коробочек
    @Scodezan:

    Эх! Какое красивое название темы! А тут…

    @dmitry86:

    или проще как объединить несколько сетей в одну, если публичный айпи только у головного офиса, а у остальных сетей серые айпи.

    Для поднятия VPN один IP необходим и обычно достаточен. Вопрос, кто строил существующую сеть?



  • Ещё интересно, что подразумевается под схемой Site-to-Site?



  • да хз, хочу из 10.10.10.0/24 видеть коробочки эти, скуд и камеры которые в них больаютсч, а также компы в этих коробочках, хотя я как понял сейчас реализовано через точка-точка, познания нулевые в этом
    @Scodezan:

    Ещё интересно, что подразумевается под схемой Site-to-Site?



  • Рисуйте схему со всей (и правильной) адресацией и опишите на ней чего хотите добиться.



  • Роутеры ASUS с прошивкой Tomato, а в ней только PPTP и OpenVPN клиенты, а вот компы с 3G модемами имеют только PPTP клиенты в RRAS, но думаю это ведь не проблема, поднять какой-нибудь OpenVPN клиент, с возможностью возобновления подключения при обрыве? RRAS с этим справлялся отлично и модемное соединение поднимал и PPTP соединение автоматом, было очень удобно. Но не всегда стоит 3G модем, иногда на стройках есть полноценный интернет, тогда заместо модема кидается хвост или через вафлю комп коннектится к роутеру ASUS,  который в свою очередь имеет доступ в интернет. Неплохо бы организовать коннект таких роутеров по ВПН, чтобы все юзеры подключенные к роутеру имели доступ в сеть LAN 1 и к ее ресурсам.

    @werter:

    Рисуйте схему со всей (и правильной) адресацией и опишите на ней чего хотите добиться.



  • Поднимайте OpenVPN и на клиентах и на серверах\ роутерах Asus, настраивайте правила fw и будет Вам счастье.

    P.s.  И MS TMG смените тоже. Например, на pfsense  ;D

    также в коробочке встроена IP камера, ПО которой тоже установлено на компьютере.

    Ели камера IP, то присмотритесь к Ivideon Server для Linux (http://ru.ivideon.com/ivideon-server-linux/) .

    P.p.s. А лучше, если позволяет железо\бюджет, поднимите Proxmox на том сервере , где у Вас TMG. И pfsense будет крутиться в кач-ве вирт. машины.
    Плюс сможете еще поднимать необходимые сервисы в вирт. среде.



  • Это все добрецо уже крутится на hyper-v, понятно что это говнецо редкостное, но все-же пока так, по виндовое уже куплено макроскоп. пришлите пожалуйста ссылочку на гайд по поднятию OpenVPN сервера на публичном айпишнике и подключение к нему клиентов с серыми ip. Чтото так сходу не тыкается пальчиком pfsense в плане openvpv сервиса, если не сложно ссылочки прошу запостить)) Да MS TMG понятно будет сменен попозжя, пока хочется с коробочками разобраться, чтобы по объектам не ездить))
    @werter:

    Поднимайте OpenVPN и на клиентах и на серверах\ роутерах Asus, настраивайте правила fw и будет Вам счастье.

    P.s.  И MS TMG смените тоже. Например, на pfsense  ;D

    также в коробочке встроена IP камера, ПО которой тоже установлено на компьютере.

    Ели камера IP, то присмотритесь к Ivideon Server для Linux (http://ru.ivideon.com/ivideon-server-linux/) .

    P.p.s. А лучше, если позволяет железо\бюджет, поднимите Proxmox на том сервере , где у Вас TMG. И pfsense будет крутиться в кач-ве вирт. машины.
    Плюс сможете еще поднимать необходимые сервисы в вирт. среде.



  • @dmitry86:

    Чтото так сходу не тыкается пальчиком pfsense в плане openvpv сервиса, если не сложно ссылочки прошу запостить))

    Присоединяюсь к вопросу~~, особенно в плане, как получить хотя бы дуплекс 20 Mbit/s~~.



  • @Scodezan:

    @dmitry86:

    Чтото так сходу не тыкается пальчиком pfsense в плане openvpv сервиса, если не сложно ссылочки прошу запостить))

    Присоединяюсь к вопросу~~, особенно в плане, как получить хотя бы дуплекс 20 Mbit/s~~.

    Вы оба издеваетесь, что ли ? Совсем обленились, "одмины" ? Глаза ниже опустите в перечне тем в русскоязычной ветке

    Тема "OpenVPN PKI: Site-to-Site инструкция для обсуждения" для кого писана? Или у нас с вами интернет разный?



  • Видимо, разный. Действующую инструкцию о том как подключить WinOpenVPN клиента к pfsense без пароля и ограничения скорости я не нашёл.  Находил только информацию о том, что я не один такой, и о том как другие смирились с этим.



  • @Scodezan:

    Видимо, разный. Действующую инструкцию о том как подключить WinOpenVPN клиента к pfsense без пароля и ограничения скорости я не нашёл.  Находил только информацию о том, что я не один такой, и о том как другие смирились с этим.

    Шта ?! https://forum.pfsense.org/index.php?topic=59081.0 ?

    Вы начните хотя бы настраивать. После настройки выкладывайте скрины.

    P.s. В Вашем представлении "без пароля" - это на сертификатах? Если это так, то в чем проблема тогда ?



  • @werter:

    @Scodezan:

    Видимо, разный. Действующую инструкцию о том как подключить WinOpenVPN клиента к pfsense без пароля и ограничения скорости я не нашёл.  Находил только информацию о том, что я не один такой, и о том как другие смирились с этим.

    Шта ?! https://forum.pfsense.org/index.php?topic=59081.0 ?

    Вы начните хотя бы настраивать. После настройки выкладывайте скрины.

    P.s. В Вашем представлении "без пароля" - это на сертификатах? Если это так, то в чем проблема тогда ?

    я уже поглядывал на эту статейку, спасибо что подтвердили мои предположения, у меня немного осложнились дела с подключением по ван, а на работе пока другим озадачили, я обязательно начну настраивать, ещё задам вопросы))



  • @werter:

    @Scodezan:

    Видимо, разный. Действующую инструкцию о том как подключить WinOpenVPN клиента к pfsense без пароля и ограничения скорости я не нашёл.  Находил только информацию о том, что я не один такой, и о том как другие смирились с этим.

    Шта ?! https://forum.pfsense.org/index.php?topic=59081.0 ?

    Вы начните хотя бы настраивать. После настройки выкладывайте скрины.

    P.s. В Вашем представлении "без пароля" - это на сертификатах? Если это так, то в чем проблема тогда ?

    Пользуясь статьей по вашему совету, получилось увидеть сам сервер pfsense 10.10.12.2 через броузер, на пинги он не отвечает, но через броузер конфигурируется хорошо, компьютер win 7 10.10.12.20 не пингуется по рдп не доступен, хотя с этого компьютера(win 7 10.10.12.20) виден в броузере и попингуй ходит на асусий роутер 192.168.1.1, а также с него пингются клиенты сети 192.168.1.0/24, которые подключены к асусему роутеру 192.168.1.1, что впринципе радует. Но увы из сети 10.10.10.0/24 не пингуется никто из сети 192.168.1.0/24, а также недоступен, не пингуется и не видна в броузере веб морда асусего роутера 192.168.1.1

    ниже привожу скриншоты настроек пифа, чуть позже накатаю схемку откуда куда ходят попингуйчики и видны веб морды))
    Помогите хочется видеть из сети 10.10.10.0/24 сеть 192.168.1.0/24, если это не возможно, прошу посоветовать как перестроить сеть






















    настройки TMG 10.10.10.5



  • 1. На вкладке fw PPTP достаточно будет одного правила (временно ?) - разрешено всё всем (т.е. везде *)
    2. Не надо создавать маршруты руками. OpenVPN и сам прекрасно это умеет с помощью директив route\push "route … "
    3. Во кладке fw LAN на pfsense необходимо специально создать правило разр. прохождение трафика из LAN в сеть за клиентом.

    И я бы исп. клиент-серверный вариант OpenVPN, а не p2p как у Вас.
    Старайтесь исп. везде OpenVPN, а не PPTP. Или объясните особенность исп. только PPTP.



  • 1. На вкладке fw PPTP достаточно будет одного правила (временно ?) - разрешено всё всем (т.е. везде *)

    2. Не надо создавать маршруты руками. OpenVPN и сам прекрасно это умеет с помощью директив route\push "route … "

    В чем их различие, что в какую вкладку писать?

    3. Во кладке fw LAN на pfsense необходимо специально создать правило разр. прохождение трафика из LAN в сеть за клиентом.

    Я правильно понял про правила?

    И я бы исп. клиент-серверный вариант OpenVPN, а не p2p как у Вас.

    Подскажите как использовать клиент-серверный вариант, я нашел только Remote Access?

    Старайтесь исп. везде OpenVPN, а не PPTP. Или объясните особенность исп. только PPTP.

    PPTP использую как запасной вариант, при экспериментах, потом уберу.

    ТОлько вот при таких настройках асусий роутер перестал коннектиться, грусть((

    Логи с асусего роутера 192.168.1.1
    May 13 21:52:39 asus daemon.notice openvpn[16893]: Auth read bytes,0
    May 13 21:52:39 asus daemon.notice openvpn[16893]: END
    May 13 21:52:42 asus daemon.err openvpn[16893]: event_wait : Interrupted system call (code=4)
    May 13 21:52:42 asus daemon.notice openvpn[16893]: OpenVPN STATISTICS
    May 13 21:52:42 asus daemon.notice openvpn[16893]: Updated,Wed May 13 21:52:42 2015
    May 13 21:52:42 asus daemon.notice openvpn[16893]: TUN/TAP read bytes,0
    May 13 21:52:42 asus daemon.notice openvpn[16893]: TUN/TAP write bytes,0
    May 13 21:52:42 asus daemon.notice openvpn[16893]: TCP/UDP read bytes,0
    May 13 21:52:42 asus daemon.notice openvpn[16893]: TCP/UDP write bytes,84
    May 13 21:52:42 asus daemon.notice openvpn[16893]: Auth read bytes,0
    May 13 21:52:42 asus daemon.notice openvpn[16893]: END
    May 13 21:52:44 asus daemon.err openvpn[16893]: event_wait : Interrupted system call (code=4)
    May 13 21:52:44 asus daemon.notice openvpn[16893]: OpenVPN STATISTICS
    May 13 21:52:44 asus daemon.notice openvpn[16893]: Updated,Wed May 13 21:52:44 2015
    May 13 21:52:44 asus daemon.notice openvpn[16893]: TUN/TAP read bytes,0
    May 13 21:52:44 asus daemon.notice openvpn[16893]: TUN/TAP write bytes,0
    May 13 21:52:44 asus daemon.notice openvpn[16893]: TCP/UDP read bytes,0
    May 13 21:52:44 asus daemon.notice openvpn[16893]: TCP/UDP write bytes,84
    May 13 21:52:44 asus daemon.notice openvpn[16893]: Auth read bytes,0
    May 13 21:52:44 asus daemon.notice openvpn[16893]: END
    May 13 21:53:39 asus daemon.err openvpn[16893]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    May 13 21:53:39 asus daemon.err openvpn[16893]: TLS Error: TLS handshake failed
    May 13 21:53:39 asus daemon.notice openvpn[16893]: SIGUSR1[soft,tls-error] received, process restarting
    May 13 21:53:39 asus daemon.notice openvpn[16893]: Restart pause, 2 second(s)
    May 13 21:53:41 asus daemon.notice openvpn[16893]: Socket Buffers: R=[114688->131072] S=[114688->131072]
    May 13 21:53:41 asus daemon.notice openvpn[16893]: UDPv4 link local: [undef]
    May 13 21:53:41 asus daemon.notice openvpn[16893]: UDPv4 link remote: [AF_INET]185.46.154.10:1194
    May 13 21:54:41 asus daemon.err openvpn[16893]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    May 13 21:54:41 asus daemon.err openvpn[16893]: TLS Error: TLS handshake failed
    May 13 21:54:41 asus daemon.notice openvpn[16893]: SIGUSR1[soft,tls-error] received, process restarting
    May 13 21:54:41 asus daemon.notice openvpn[16893]: Restart pause, 2 second(s)
    May 13 21:54:43 asus daemon.notice openvpn[16893]: Socket Buffers: R=[114688->131072] S=[114688->131072]
    May 13 21:54:43 asus daemon.notice openvpn[16893]: UDPv4 link local: [undef]
    May 13 21:54:43 asus daemon.notice openvpn[16893]: UDPv4 link remote: [AF_INET]185.46.154.10:1194
    May 13 21:55:43 asus daemon.err openvpn[16893]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    May 13 21:55:43 asus daemon.err openvpn[16893]: TLS Error: TLS handshake failed
    May 13 21:55:43 asus daemon.notice openvpn[16893]: SIGUSR1[soft,tls-error] received, process restarting
    May 13 21:55:43 asus daemon.notice openvpn[16893]: Restart pause, 2 second(s)
    May 13 21:55:45 asus daemon.notice openvpn[16893]: Socket Buffers: R=[114688->131072] S=[114688->131072]
    May 13 21:55:45 asus daemon.notice openvpn[16893]: UDPv4 link local: [undef]
    May 13 21:55:45 asus daemon.notice openvpn[16893]: UDPv4 link remote: [AF_INET]185.46.154.10:1194
    May 13 21:56:45 asus daemon.err openvpn[16893]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    May 13 21:56:45 asus daemon.err openvpn[16893]: TLS Error: TLS handshake failed
    May 13 21:56:45 asus daemon.notice openvpn[16893]: SIGUSR1[soft,tls-error] received, process restarting
    May 13 21:56:45 asus daemon.notice openvpn[16893]: Restart pause, 2 second(s)
    May 13 21:56:47 asus daemon.notice openvpn[16893]: Socket Buffers: R=[114688->131072] S=[114688->131072]
    May 13 21:56:47 asus daemon.notice openvpn[16893]: UDPv4 link local: [undef]
    May 13 21:56:47 asus daemon.notice openvpn[16893]: UDPv4 link remote: [AF_INET]185.46.154.10:1194
    May 13 21:57:48 asus daemon.err openvpn[16893]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    May 13 21:57:48 asus daemon.err openvpn[16893]: TLS Error: TLS handshake failed
    May 13 21:57:48 asus daemon.notice openvpn[16893]: SIGUSR1[soft,tls-error] received, process restarting
    May 13 21:57:48 asus daemon.notice openvpn[16893]: Restart pause, 2 second(s)
    May 13 21:57:50 asus daemon.notice openvpn[16893]: Socket Buffers: R=[114688->131072] S=[114688->131072]
    May 13 21:57:50 asus daemon.notice openvpn[16893]: UDPv4 link local: [undef]
    May 13 21:57:50 asus daemon.notice openvpn[16893]: UDPv4 link remote: [AF_INET]185.46.154.10:1194
    May 13 21:58:50 asus daemon.err openvpn[16893]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    May 13 21:58:50 asus daemon.err openvpn[16893]: TLS Error: TLS handshake failed
    May 13 21:58:50 asus daemon.notice openvpn[16893]: SIGUSR1[soft,tls-error] received, process restarting
    May 13 21:58:50 asus daemon.notice openvpn[16893]: Restart pause, 2 second(s)
    May 13 21:58:52 asus daemon.notice openvpn[16893]: Socket Buffers: R=[114688->131072] S=[114688->131072]
    May 13 21:58:52 asus daemon.notice openvpn[16893]: UDPv4 link local: [undef]
    May 13 21:58:52 asus daemon.notice openvpn[16893]: UDPv4 link remote: [AF_INET]185.46.154.10:1194
    May 13 21:59:52 asus daemon.err openvpn[16893]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    May 13 21:59:52 asus daemon.err openvpn[16893]: TLS Error: TLS handshake failed
    May 13 21:59:52 asus daemon.notice openvpn[16893]: SIGUSR1[soft,tls-error] received, process restarting
    May 13 21:59:52 asus daemon.notice openvpn[16893]: Restart pause, 2 second(s)
    May 13 21:59:54 asus daemon.notice openvpn[16893]: Socket Buffers: R=[114688->131072] S=[114688->131072]
    May 13 21:59:54 asus daemon.notice openvpn[16893]: UDPv4 link local: [undef]
    May 13 21:59:54 asus daemon.notice openvpn[16893]: UDPv4 link remote: [AF_INET]185.46.154.10:1194
    May 13 22:00:01 asus syslog.info root: – MARK --
    May 13 22:00:54 asus daemon.err openvpn[16893]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    May 13 22:00:54 asus daemon.err openvpn[16893]: TLS Error: TLS handshake failed
    May 13 22:00:54 asus daemon.notice openvpn[16893]: SIGUSR1[soft,tls-error] received, process restarting
    May 13 22:00:54 asus daemon.notice openvpn[16893]: Restart pause, 2 second(s)
    May 13 22:00:56 asus daemon.notice openvpn[16893]: Socket Buffers: R=[114688->131072] S=[114688->131072]
    May 13 22:00:56 asus daemon.notice openvpn[16893]: UDPv4 link local: [undef]
    May 13 22:00:56 asus daemon.notice openvpn[16893]: UDPv4 link remote: [AF_INET]185.46.154.10:1194
    May 13 22:01:56 asus daemon.err openvpn[16893]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    May 13 22:01:56 asus daemon.err openvpn[16893]: TLS Error: TLS handshake failed
    May 13 22:01:56 asus daemon.notice openvpn[16893]: SIGUSR1[soft,tls-error] received, process restarting
    May 13 22:01:56 asus daemon.notice openvpn[16893]: Restart pause, 2 second(s)
    May 13 22:01:58 asus daemon.notice openvpn[16893]: Socket Buffers: R=[114688->131072] S=[114688->131072]
    May 13 22:01:58 asus daemon.notice openvpn[16893]: UDPv4 link local: [undef]
    May 13 22:01:58 asus daemon.notice openvpn[16893]: UDPv4 link remote: [AF_INET]185.46.154.10:1194
    May 13 22:02:51 asus daemon.err openvpn[16893]: event_wait : Interrupted system call (code=4)
    May 13 22:02:51 asus daemon.notice openvpn[16893]: OpenVPN STATISTICS
    May 13 22:02:51 asus daemon.notice openvpn[16893]: Updated,Wed May 13 22:02:51 2015
    May 13 22:02:51 asus daemon.notice openvpn[16893]: TUN/TAP read bytes,0
    May 13 22:02:51 asus daemon.notice openvpn[16893]: TUN/TAP write bytes,0
    May 13 22:02:51 asus daemon.notice openvpn[16893]: TCP/UDP read bytes,0
    May 13 22:02:51 asus daemon.notice openvpn[16893]: TCP/UDP write bytes,210
    May 13 22:02:51 asus daemon.notice openvpn[16893]: Auth read bytes,0
    May 13 22:02:51 asus daemon.notice openvpn[16893]: END
    May 13 22:02:58 asus daemon.err openvpn[16893]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    May 13 22:02:58 asus daemon.err openvpn[16893]: TLS Error: TLS handshake failed
    May 13 22:02:58 asus daemon.notice openvpn[16893]: SIGUSR1[soft,tls-error] received, process restarting
    May 13 22:02:58 asus daemon.notice openvpn[16893]: Restart pause, 2 second(s)
    May 13 22:03:00 asus daemon.notice openvpn[16893]: Socket Buffers: R=[114688->131072] S=[114688->131072]
    May 13 22:03:00 asus daemon.notice openvpn[16893]: UDPv4 link local: [undef]
    May 13 22:03:00 asus daemon.notice openvpn[16893]: UDPv4 link remote: [AF_INET]185.46.154.10:1194

    Логи пифа повторяются
    13 23:07:32 openvpn[92526]: Authenticate/Decrypt packet error: packet HMAC authentication failed
    May 13 23:07:32 openvpn[92526]: TLS Error: incoming packet authentication failed from [AF_INET]90.154.74.89:35072
    May 13 23:07:49 openvpn[92526]: Authenticate/Decrypt packet error: packet HMAC authentication failed
    May 13 23:07:49 openvpn[92526]: TLS Error: incoming packet authentication failed from [AF_INET]90.154.74.89:35072



  • 13 23:07:32  openvpn[92526]: Authenticate/Decrypt packet error: packet HMAC authentication failed

    Попробуйте на pfsense и на клиенте отключить  authentication of TLS packets.



  • Отключил, асус роутер снова стал подключаться, правда я так и не разобрался почему я из сети 10.10.10.0/24 не могу ходить в сеть 192.168.1.0/24 и обратно.
    Выкладываю скриншоты настроек, думаю они прояснят ситтуацию, думаю что дело в правилах фаервола































    Лог с асус роутера:

    May 15 11:27:58 asus daemon.info dnsmasq[20310]: started, version 2.72+ cachesize 1500
    May 15 11:27:58 asus daemon.info dnsmasq[20310]: compile time options: IPv6 GNU-getopt no-RTC no-DBus no-i18n no-IDN DHCP DHCPv6 no-Lua TFTP no-conntrack ipset Tomato-helper auth DNSSEC loop-detect
    May 15 11:27:58 asus daemon.info dnsmasq[20310]: asynchronous logging enabled, queue limit is 5 messages
    May 15 11:27:58 asus daemon.info dnsmasq-dhcp[20310]: DHCP, IP range 192.168.1.10 -- 192.168.1.61, lease time 1d
    May 15 11:27:58 asus daemon.info dnsmasq[20310]: reading /etc/resolv.dnsmasq
    May 15 11:27:58 asus daemon.info dnsmasq[20310]: using nameserver 77.37.251.33#53
    May 15 11:27:58 asus daemon.info dnsmasq[20310]: using nameserver 77.37.255.30#53
    May 15 11:27:58 asus daemon.info dnsmasq[20310]: read /etc/hosts - 2 addresses
    May 15 11:27:58 asus daemon.info dnsmasq[20310]: read /etc/dnsmasq/hosts/hosts - 3 addresses
    May 15 11:27:58 asus daemon.info dnsmasq-dhcp[20310]: read /etc/dnsmasq/dhcp/dhcp-hosts
    May 15 11:28:04 asus daemon.err apcupsd[20061]: apcupsd FATAL ERROR in linux-usb.c at line 609 Cannot find UPS device -- For a link to detailed USB trouble shooting information, please see <http: www.apcupsd.com="" support.html="">.
    May 15 11:28:04 asus daemon.err apcupsd[20061]: apcupsd error shutdown completed
    May 15 11:28:06 asus daemon.err nmbd[20246]: Samba server ASUS is now a domain master browser for workgroup WORKGROUP on subnet 192.168.1.1
    May 15 11:28:20 asus daemon.err nmbd[20246]: Samba name server ASUS is now a local master browser for workgroup WORKGROUP on subnet 192.168.1.1
    May 15 11:48:52 asus daemon.notice openvpn[19494]: SIGUSR1[soft,ping-restart] received, process restarting
    May 15 11:48:52 asus daemon.notice openvpn[19494]: Restart pause, 2 second(s)
    May 15 11:48:54 asus daemon.notice openvpn[19494]: Socket Buffers: R=[114688->131072] S=[114688->131072]
    May 15 11:48:54 asus daemon.notice openvpn[19494]: UDPv4 link local: [undef]
    May 15 11:48:54 asus daemon.notice openvpn[19494]: UDPv4 link remote: [AF_INET]185.46.154.10:1194
    May 15 11:48:54 asus daemon.notice openvpn[19494]: TLS: Initial packet from [AF_INET]185.46.154.10:1194, sid=c0c92ef6 c98e54af
    May 15 11:48:54 asus daemon.notice openvpn[19494]: VERIFY OK: depth=1, /C=RU/ST=Moscow/L=Moscow/O=Interkom/emailAddress=dimka.ermakov@gmail.com/CN=internal-ca
    May 15 11:48:54 asus daemon.notice openvpn[19494]: VERIFY X509NAME OK: /C=RU/ST=Moscow/L=Moscow/O=Interkom/emailAddress=dimka.ermakov@gmail.com/CN=ovpns1
    May 15 11:48:54 asus daemon.notice openvpn[19494]: VERIFY OK: depth=0, /C=RU/ST=Moscow/L=Moscow/O=Interkom/emailAddress=dimka.ermakov@gmail.com/CN=ovpns1
    May 15 11:48:54 asus daemon.notice openvpn[19494]: Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
    May 15 11:48:54 asus daemon.notice openvpn[19494]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    May 15 11:48:54 asus daemon.notice openvpn[19494]: Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
    May 15 11:48:54 asus daemon.notice openvpn[19494]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    May 15 11:48:54 asus daemon.notice openvpn[19494]: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
    May 15 11:48:54 asus daemon.notice openvpn[19494]: [ovpns1] Peer Connection Initiated with [AF_INET]185.46.154.10:1194
    May 15 11:48:57 asus daemon.notice openvpn[19494]: SENT CONTROL [ovpns1]: 'PUSH_REQUEST' (status=1)
    May 15 11:48:57 asus daemon.notice openvpn[19494]: PUSH: Received control message: 'PUSH_REPLY,route 10.10.12.0 255.255.255.0,route 10.10.10.0 255.255.255.0,route 10.0.8.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 10.0.8.6 10.0.8.5'
    May 15 11:48:57 asus daemon.notice openvpn[19494]: OPTIONS IMPORT: timers and/or timeouts modified
    May 15 11:48:57 asus daemon.notice openvpn[19494]: OPTIONS IMPORT: --ifconfig/up options modified
    May 15 11:48:57 asus daemon.notice openvpn[19494]: OPTIONS IMPORT: route options modified
    May 15 11:48:57 asus daemon.notice openvpn[19494]: Preserving previous TUN/TAP instance: tun11
    May 15 11:48:57 asus daemon.notice openvpn[19494]: Initialization Sequence Completed
    May 15 12:00:01 asus syslog.info root: -- MARK --
    May 15 12:14:35 asus daemon.notice openvpn[19494]: [ovpns1] Inactivity timeout (--ping-restart), restarting
    May 15 12:14:35 asus daemon.notice openvpn[19494]: SIGUSR1[soft,ping-restart] received, process restarting
    May 15 12:14:35 asus daemon.notice openvpn[19494]: Restart pause, 2 second(s)
    May 15 12:14:37 asus daemon.notice openvpn[19494]: Socket Buffers: R=[114688->131072] S=[114688->131072]
    May 15 12:14:37 asus daemon.notice openvpn[19494]: UDPv4 link local: [undef]
    May 15 12:14:37 asus daemon.notice openvpn[19494]: UDPv4 link remote: [AF_INET]185.46.154.10:1194
    May 15 12:14:37 asus daemon.notice openvpn[19494]: TLS: Initial packet from [AF_INET]185.46.154.10:1194, sid=6a0f4c0b 105b006b
    May 15 12:14:37 asus daemon.notice openvpn[19494]: VERIFY OK: depth=1, /C=RU/ST=Moscow/L=Moscow/O=Interkom/emailAddress=dimka.ermakov@gmail.com/CN=internal-ca
    May 15 12:14:37 asus daemon.notice openvpn[19494]: VERIFY X509NAME OK: /C=RU/ST=Moscow/L=Moscow/O=Interkom/emailAddress=dimka.ermakov@gmail.com/CN=ovpns1
    May 15 12:14:37 asus daemon.notice openvpn[19494]: VERIFY OK: depth=0, /C=RU/ST=Moscow/L=Moscow/O=Interkom/emailAddress=dimka.ermakov@gmail.com/CN=ovpns1
    May 15 12:14:37 asus daemon.notice openvpn[19494]: Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
    May 15 12:14:37 asus daemon.notice openvpn[19494]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    May 15 12:14:37 asus daemon.notice openvpn[19494]: Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
    May 15 12:14:37 asus daemon.notice openvpn[19494]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    May 15 12:14:37 asus daemon.notice openvpn[19494]: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
    May 15 12:14:37 asus daemon.notice openvpn[19494]: [ovpns1] Peer Connection Initiated with [AF_INET]185.46.154.10:1194
    May 15 12:14:39 asus daemon.notice openvpn[19494]: SENT CONTROL [ovpns1]: 'PUSH_REQUEST' (status=1)
    May 15 12:14:39 asus daemon.notice openvpn[19494]: PUSH: Received control message: 'PUSH_REPLY,route 10.10.12.0 255.255.255.0,route 10.10.10.0 255.255.255.0,route 10.0.8.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 10.0.8.6 10.0.8.5'
    May 15 12:14:39 asus daemon.notice openvpn[19494]: OPTIONS IMPORT: timers and/or timeouts modified
    May 15 12:14:39 asus daemon.notice openvpn[19494]: OPTIONS IMPORT: --ifconfig/up options modified
    May 15 12:14:39 asus daemon.notice openvpn[19494]: OPTIONS IMPORT: route options modified
    May 15 12:14:39 asus daemon.notice openvpn[19494]: Preserving previous TUN/TAP instance: tun11
    May 15 12:14:39 asus daemon.notice openvpn[19494]: Initialization Sequence Completed
    May 15 12:46:02 asus daemon.notice openvpn[19494]: OpenVPN STATISTICS
    May 15 12:46:02 asus daemon.notice openvpn[19494]: Updated,Fri May 15 12:46:02 2015
    May 15 12:46:02 asus daemon.notice openvpn[19494]: TUN/TAP read bytes,2250700
    May 15 12:46:02 asus daemon.notice openvpn[19494]: TUN/TAP write bytes,116667
    May 15 12:46:02 asus daemon.notice openvpn[19494]: TCP/UDP read bytes,189008
    May 15 12:46:02 asus daemon.notice openvpn[19494]: TCP/UDP write bytes,2366467
    May 15 12:46:02 asus daemon.notice openvpn[19494]: Auth read bytes,119499
    May 15 12:46:02 asus daemon.notice openvpn[19494]: END
    May 15 12:55:44 asus daemon.notice openvpn[19494]: OpenVPN STATISTICS
    May 15 12:55:44 asus daemon.notice openvpn[19494]: Updated,Fri May 15 12:55:44 2015
    May 15 12:55:44 asus daemon.notice openvpn[19494]: TUN/TAP read bytes,3281732
    May 15 12:55:44 asus daemon.notice openvpn[19494]: TUN/TAP write bytes,187984
    May 15 12:55:44 asus daemon.notice openvpn[19494]: TCP/UDP read bytes,291033
    May 15 12:55:44 asus daemon.notice openvpn[19494]: TCP/UDP write bytes,3447298
    May 15 12:55:44 asus daemon.notice openvpn[19494]: Auth read bytes,191648
    May 15 12:55:44 asus daemon.notice openvpn[19494]: END
    May 15 13:00:01 asus syslog.info root: -- MARK --
    May 15 13:05:42 asus daemon.notice openvpn[19494]: [ovpns1] Inactivity timeout (--ping-restart), restarting
    May 15 13:05:42 asus daemon.notice openvpn[19494]: SIGUSR1[soft,ping-restart] received, process restarting
    May 15 13:05:42 asus daemon.notice openvpn[19494]: Restart pause, 2 second(s)
    May 15 13:05:44 asus daemon.notice openvpn[19494]: Socket Buffers: R=[114688->131072] S=[114688->131072]
    May 15 13:05:44 asus daemon.notice openvpn[19494]: UDPv4 link local: [undef]
    May 15 13:05:44 asus daemon.notice openvpn[19494]: UDPv4 link remote: [AF_INET]185.46.154.10:1194
    May 15 13:05:44 asus daemon.notice openvpn[19494]: TLS: Initial packet from [AF_INET]185.46.154.10:1194, sid=5fe42e41 12463aca
    May 15 13:05:44 asus daemon.notice openvpn[19494]: VERIFY OK: depth=1, /C=RU/ST=Moscow/L=Moscow/O=Interkom/emailAddress=dimka.ermakov@gmail.com/CN=internal-ca
    May 15 13:05:44 asus daemon.notice openvpn[19494]: VERIFY X509NAME OK: /C=RU/ST=Moscow/L=Moscow/O=Interkom/emailAddress=dimka.ermakov@gmail.com/CN=ovpns1
    May 15 13:05:44 asus daemon.notice openvpn[19494]: VERIFY OK: depth=0, /C=RU/ST=Moscow/L=Moscow/O=Interkom/emailAddress=dimka.ermakov@gmail.com/CN=ovpns1
    May 15 13:05:45 asus daemon.notice openvpn[19494]: Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
    May 15 13:05:45 asus daemon.notice openvpn[19494]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    May 15 13:05:45 asus daemon.notice openvpn[19494]: Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
    May 15 13:05:45 asus daemon.notice openvpn[19494]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    May 15 13:05:45 asus daemon.notice openvpn[19494]: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
    May 15 13:05:45 asus daemon.notice openvpn[19494]: [ovpns1] Peer Connection Initiated with [AF_INET]185.46.154.10:1194
    May 15 13:05:47 asus daemon.notice openvpn[19494]: SENT CONTROL [ovpns1]: 'PUSH_REQUEST' (status=1)
    May 15 13:05:47 asus daemon.notice openvpn[19494]: PUSH: Received control message: 'PUSH_REPLY,route 10.10.12.0 255.255.255.0,route 10.10.10.0 255.255.255.0,route 10.0.8.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 10.0.8.6 10.0.8.5'
    May 15 13:05:47 asus daemon.notice openvpn[19494]: OPTIONS IMPORT: timers and/or timeouts modified
    May 15 13:05:47 asus daemon.notice openvpn[19494]: OPTIONS IMPORT: --ifconfig/up options modified
    May 15 13:05:47 asus daemon.notice openvpn[19494]: OPTIONS IMPORT: route options modified
    May 15 13:05:47 asus daemon.notice openvpn[19494]: Preserving previous TUN/TAP instance: tun11
    May 15 13:05:47 asus daemon.notice openvpn[19494]: Initialization Sequence Completed</http:>
    

 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy