OpenVPN ips fijas en clientes Windows 2008, no funciona



  • Buenas tardes a todos,

    Estoy teniendo el siguiente problema, he montado un  OpenVPN en mi pfsense con sus configuraciones correspondientes, en la pestaña Client Specific Overrides defini el nombre del usuario que tengo dado de alta  y con el parametro  ifconfig-push 172.16.1.10 172.16.1.10 para asignar esta ip al cliente definido. Al exportar el instalador con el Wizard del OpenVPN y instalarlo en mi clientes Windows me sale el siguiente mensaje:  Conneting to cliente-config has failed ,  There is a problem in your seletion of -ifconfig endpoints (local=172.16.1.10, remote=172.16.1.1). The local and remote VPN enpoints must exist within the same 255.255.255.252 subnet. This is a limitation of -dev tun when used with the TAP-WIN32 driver. Try openvpn -show-valid-subnet options for more info.

    Acontinuacion detallo la configuracion del servidor:

    dev ovpns1
    verb 1
    dev-type tun
    tun-ipv6
    dev-node /dev/tun1
    writepid /var/run/openvpn_server1.pid
    #user nobody
    #group nobody
    script-security 3
    daemon
    keepalive 10 60
    ping-timer-rem
    persist-tun
    persist-key
    proto udp
    cipher AES-256-CBC
    auth SHA1
    up /usr/local/sbin/ovpn-linkup
    down /usr/local/sbin/ovpn-linkdown
    client-connect /usr/local/sbin/openvpn.attributes.sh
    client-disconnect /usr/local/sbin/openvpn.attributes.sh
    local 10.0.0.115
    tls-server
    server 172.16.1.0 255.255.255.0
    client-config-dir /var/etc/openvpn-csc
    username-as-common-name
    auth-user-pass-verify "/usr/local/sbin/ovpn_auth_verify user 'Local Database' false server1" via-env
    tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'OpenVPN-Certificate' 1 "
    lport 1195
    management /var/etc/openvpn/server1.sock unix
    push "route 10.0.0.0 255.255.255.0"
    push "dhcp-option DNS 10.0.0.1"
    ca /var/etc/openvpn/server1.ca
    cert /var/etc/openvpn/server1.cert
    key /var/etc/openvpn/server1.key
    dh /etc/dh-parameters.2048
    tls-auth /var/etc/openvpn/server1.tls-auth 0
    persist-remote-ip
    float

    Acontinuacion detallo la configuracion del cliente:
    ifconfig-push 172.16.1.10 172.16.1.1

    Tienen alguna idea de por que no asigana la ip o de por que me este mensaje?

    De antemano gracias.



  • Porque si quieres poner .10 te sales de la subred.

    http://www.subnet-calculator.com/

    En Documentación de este foro tenemos explicados los rangos en OpenVPN.



  • Gracias Bellera por tu respuesta, cambie para que la red de la vpn sea: 172.168.1.0/24 y coloque el cliente para que la ip del cliente 172.168.1.6, pero persiste el problema puede ser?

    De antemano gracias



  • En todo caso tendria que ser la ip 5 y 6 de la misma subred. /30



  • Gente,

    Cuando elimino la opcion de: Client Specific Overrides, el cliente vpn me conecta perfecto, con esta subred… :-\ :-\



  • Entiendo que sólo pueden ser determinadas IPs, tal como funciona OpenVPN:

    https://forum.pfsense.org/index.php?topic=63552.msg343710#msg343710

    Siempre queda Google openvpn static ip address client



  • El detalle aqui es que no puede ser cualquier IP .
    Open VPN crea subredes /30 por cada cliente que se conecta , asi que siempre son en bloques de 4 Ips por usuario. La direccion de red , la del server , la del ciente y la de broadcast.

    mando un ejemplo de lo que tengo

    ![Sin título.png](/public/imported_attachments/1/Sin título.png)
    ![Sin título.png_thumb](/public/imported_attachments/1/Sin título.png_thumb)



  • Para asignarles una IP en particular a mis clientes, lo hago de la siguiente manera:

    En Client specific overrides, se coloca el CN del certificado, y luego en la opción para asignar una subred en particular, debes colocar una subred de tipo /30 donde la primera IP válida de dicha subred la tomará el servidor y la segunda el cliente.

    Ejemplo, si específicas la subred 10.0.0.8/30, el cliente tomará la IP 10.0.0.10

    No hacen falta otras directivas



  • Es correcto lo que menciona georgeman, no se requiere otra cosa.

    Alguien ha hecho esto con clientes de mikrotik con PFsense como server ? yo lo tengo funcionando con clientes mikrotik, pero no he podido asignar Ips fijas.

    Saludos



  • Perfecto muchas gracias, funciono perfecto!



  • Chicos buenas tardes,

    Les comento que pude agregar correctamente un cliente con ip estática que es la: 10.0.8.2, pero no me logra conectar cuando quiero agregar otro cliente, siguiendo lo que se menciona anteriormente le coloque la ip 10.0.8.6 y no conecta , me sale el mismo error que mencione al principio del post.

    Del lado del cliente saliendo por el mismo enlace de internet

    server1 (10.0.8.2) conecta ok–---

    Firewall ----------------------------------OPENVPN PFSENSE

    server2 (10.0.8.6) no conecta-----

    Detallo los logs que me salen de parte del openvpn

    Jul 7 17:23:34 openvpn[32984]: MANAGEMENT: CMD 'status 2'
    Jul 7 17:23:34 openvpn[32984]: MANAGEMENT: CMD 'quit'
    Jul 7 17:23:34 openvpn[32984]: MANAGEMENT: Client disconnected
    Jul 7 17:23:38 openvpn[32984]: MULTI: multi_create_instance called
    Jul 7 17:23:38 openvpn[32984]: 190.xxx.yyy.zzz:4132 Re-using SSL/TLS context
    Jul 7 17:23:38 openvpn[32984]: 190.xxx.yyy.zzz:4132 Control Channel MTU parms [ L:1557 D:166 EF:66 EB:0 ET:0 EL:3 ]
    Jul 7 17:23:38 openvpn[32984]: 190.xxx.yyy.zzz:4132 Data Channel MTU parms [ L:1557 D:1450 EF:57 EB:12 ET:0 EL:3 ]
    Jul 7 17:23:38 openvpn[32984]: 190.xxx.yyy.zzz:4132 Local Options String: 'V4,dev-type tun,link-mtu 1557,tun-mtu 1500,proto UDPv4,keydir 0,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-server'
    Jul 7 17:23:38 openvpn[32984]: 190.xxx.yyy.zzz:4132 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1557,tun-mtu 1500,proto UDPv4,keydir 1,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-client'
    Jul 7 17:23:38 openvpn[32984]: 190.xxx.yyy.zzz:4132 Local Options hash (VER=V4): '8a244582'
    Jul 7 17:23:38 openvpn[32984]: 190.xxx.yyy.zzz:4132 Expected Remote Options hash (VER=V4): 'ed844052'
    Jul 7 17:23:38 openvpn[32984]: 190.xxx.yyy.zzz:4132 TLS: Initial packet from [AF_INET]190.xxx.yyy.zzz:4132, sid=5269f49e 8e124a0e
    Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 VERIFY SCRIPT OK: depth=1, C=AR, ST=CABA, L=CABA, O=TASSO, emailAddress=infraestructura@tasso.com.ar, CN=OpenVPN-CA
    Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 VERIFY OK: depth=1, C=AR, ST=CABA, L=CABA, O=TASSO, emailAddress=infraestructura@tasso.com.ar, CN=OpenVPN-CA
    Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 VERIFY SCRIPT OK: depth=0, C=AR, ST=CABA, L=CABA, O=TASSO, emailAddress=infraestructura@tasso.com.ar, CN=grg
    Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 VERIFY OK: depth=0, C=AR, ST=CABA, L=CABA, O=TASSO, emailAddress=infraestructura@tasso.com.ar, CN=grg
    Jul 7 17:23:43 openvpn: user 'grg' authenticated
    Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 TLS: Username/Password authentication succeeded for username 'grg' [CN SET]
    Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
    Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
    Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
    Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 [grg] Peer Connection Initiated with [AF_INET]190.xxx.yyy.zzz:4132
    Jul 7 17:23:43 openvpn[32984]: grg/190.xxx.yyy.zzz:4132 OPTIONS IMPORT: reading client specific options from: /var/etc/openvpn-csc/grg
    Jul 7 17:23:43 openvpn[32984]: grg/190.xxx.yyy.zzz:4132 OPTIONS IMPORT: reading client specific options from: /tmp/openvpn_cc_6afcde8256ad8dac8ed1bacf04020524.tmp
    Jul 7 17:23:43 openvpn[32984]: grg/190.xxx.yyy.zzz:4132 MULTI: Learn: 10.0.8.6 -> grg/190.xxx.yyy.zzz:4132
    Jul 7 17:23:43 openvpn[32984]: grg/190.xxx.yyy.zzz:4132 MULTI: primary virtual IP for grg/190.xxx.yyy.zzz:4132: 10.0.8.6

    De antemano gracias