настройка клиента openvpn linux mint



  • здравствуйте у меня pfsense 2.2.4 сам пользуюсь mint 17.2. Пытался настроить openvpn клиент графическими средствами, но ничего не вышло, пробовал экспортировать все файлы, это и архив и other. Сейчас хочу настроить в терминале сложного ничего нет просто копируешь конфиг из example и настраиваешь его уже под себя в соответствии с настройками которые находятся в файле other там есть сертификат ключ и еще какойто сертификат и ключ можно просто скопировать это в один файл и потом запустить его openvpn my.confign
    вот что наблюдаю при запуске

    
    serrrgggeee@serrrgggeee-945GCMX-S2 /etc/openvpn $ sudo openvpn client.conf
    Sat Oct 17 11:14:05 2015 OpenVPN 2.3.2 i686-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [IPv6] built on Dec  1 2014
    Enter Auth Username:serrrgggeee
    Enter Auth Password:
    Sat Oct 17 11:14:16 2015 Control Channel Authentication: tls-auth using INLINE static key file
    Sat Oct 17 11:14:16 2015 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Sat Oct 17 11:14:16 2015 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Sat Oct 17 11:14:16 2015 Socket Buffers: R=[163840->131072] S=[163840->131072]
    Sat Oct 17 11:14:16 2015 UDPv4 link local (bound): [AF_INET]10.137.51.134:9000
    Sat Oct 17 11:14:16 2015 UDPv4 link remote: [AF_INET]ip:1194
    Sat Oct 17 11:14:16 2015 TLS: Initial packet from [AF_INET]ip:1194, sid=6ab6e699 bfb34b09
    Sat Oct 17 11:14:16 2015 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    Sat Oct 17 11:14:17 2015 VERIFY OK: depth=1, C=RU, ST=volgograd, L=Oktyabrsky, O=AO Elevator, emailAddress=crackkc@mail.ru, CN=openvpn-cert
    Sat Oct 17 11:14:17 2015 VERIFY OK: nsCertType=SERVER
    Sat Oct 17 11:14:17 2015 VERIFY X509NAME OK: C=RU, ST=volgograd, L=Oktyabrsky, O=AO Elevator, emailAddress=crackkc@mail.ru, CN=openvpn-cert
    Sat Oct 17 11:14:17 2015 VERIFY OK: depth=0, C=RU, ST=volgograd, L=Oktyabrsky, O=AO Elevator, emailAddress=crackkc@mail.ru, CN=openvpn-cert
    Sat Oct 17 11:14:18 2015 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1558', remote='link-mtu 1557'
    Sat Oct 17 11:14:18 2015 WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'
    Sat Oct 17 11:14:18 2015 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    Sat Oct 17 11:14:18 2015 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Sat Oct 17 11:14:18 2015 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    Sat Oct 17 11:14:18 2015 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Sat Oct 17 11:14:18 2015 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
    Sat Oct 17 11:14:18 2015 [openvpn-cert] Peer Connection Initiated with [AF_INET]ip:1194
    Sat Oct 17 11:14:20 2015 SENT CONTROL [openvpn-cert]: 'PUSH_REQUEST' (status=1)
    Sat Oct 17 11:14:20 2015 PUSH: Received control message: 'PUSH_REPLY,route 192.168.4.0 255.255.255.0,route 10.0.10.1,topology net30,ping 10,ping-restart 60,ifconfig 10.0.10.6 10.0.10.5'
    Sat Oct 17 11:14:20 2015 OPTIONS IMPORT: timers and/or timeouts modified
    Sat Oct 17 11:14:20 2015 OPTIONS IMPORT: --ifconfig/up options modified
    Sat Oct 17 11:14:20 2015 OPTIONS IMPORT: route options modified
    Sat Oct 17 11:14:20 2015 ROUTE_GATEWAY 10.64.64.64
    Sat Oct 17 11:14:20 2015 TUN/TAP device tun0 opened
    Sat Oct 17 11:14:20 2015 TUN/TAP TX queue length set to 100
    Sat Oct 17 11:14:20 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    Sat Oct 17 11:14:20 2015 /sbin/ip link set dev tun0 up mtu 1500
    Sat Oct 17 11:14:21 2015 /sbin/ip addr add dev tun0 local 10.0.10.6 peer 10.0.10.5
    Sat Oct 17 11:14:21 2015 /sbin/ip route add 192.168.4.0/24 via 10.0.10.5
    Sat Oct 17 11:14:21 2015 /sbin/ip route add 10.0.10.1/32 via 10.0.10.5
    Sat Oct 17 11:14:21 2015 Initialization Sequence Completed
    Sat Oct 17 11:14:30 2015 Bad LZO decompression header byte: 42
    Sat Oct 17 11:14:40 2015 Bad LZO decompression header byte: 42
    Sat Oct 17 11:14:50 2015 Bad LZO decompression header byte: 42
    
    

    Вроде как соединение произошло, тем более я вижу данные которые заносил в маршрутизатор, но вот ping не идет.



  • Sat Oct 17 11:14:18 2015 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1558', remote='link-mtu 1557'
    Sat Oct 17 11:14:18 2015 WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'

    Обратите внимание на эти предупреждения.

    Покажите скрины правил fw на OpenVPN.



  • Sat Oct 17 11:14:18 2015 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1558', remote='link-mtu 1557' это не знаю что объясните
    Sat Oct 17 11:14:18 2015 WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo' а это просто нужно убрать так как на сервере этого правила нет.

    ![?????? ?????? ?? 2015-10-17 16:29:11.png](/public/imported_attachments/1/?????? ?????? ?? 2015-10-17 16:29:11.png)
    ![?????? ?????? ?? 2015-10-17 16:29:11.png_thumb](/public/imported_attachments/1/?????? ?????? ?? 2015-10-17 16:29:11.png_thumb)



  • Покажите скрины правил fw на OpenVPN-интерфейсе.



  • @serrrgggeee:

    Sat Oct 17 11:14:18 2015 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1558', remote='link-mtu 1557' это не знаю что объясните
    Sat Oct 17 11:14:18 2015 WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo' а это просто нужно убрать так как на сервере этого правила нет.

    https://ru.wikipedia.org/wiki/Maximum_transmission_unit
    настройки mtu выставляются в настройках интерфейса
    оптимальное значение mtu можно подобрать таким образом: http://www.tp-link.us/FAQ-190.html
    https://openvpn.net/index.php/open-source/documentation/manuals/65-openvpn-20x-manpage.html
    comp-lzo алгоритм сжатия пакетов (если включили то включите и на удаленном сервере или отключите в обоих)



  • спасибо помогло, а скажите в дагонку есть два маршрутизатора настроеных по протоколу ipsec , когда я подключаюсь по openvpn то могу подключиться только к рабочим столам своей сети, а крабочим столам удаленного маршрутизатора нет, хотя с офиса я подключаюсь без проблем, как можно подключиться к этим столам используя настройки open vpn своего маршрутизатора, а не удаленного.



  • @serrrgggeee:

    спасибо помогло, а скажите в дагонку есть два маршрутизатора настроеных по протоколу ipsec , когда я подключаюсь по openvpn то могу подключиться только к рабочим столам своей сети, а крабочим столам удаленного маршрутизатора нет, хотя с офиса я подключаюсь без проблем, как можно подключиться к этим столам используя настройки open vpn своего маршрутизатора, а не удаленного.

    Рисуйте схему .
    Показывайте скрины правил fw на LAN\WAN\IPSec\OpenVPN - интерфейсах.



  • Вот эти правила извините что так поздно))

    ![?????? ?????? ?? 2015-11-22 18:04:41.png](/public/imported_attachments/1/?????? ?????? ?? 2015-11-22 18:04:41.png)
    ![?????? ?????? ?? 2015-11-22 18:04:41.png_thumb](/public/imported_attachments/1/?????? ?????? ?? 2015-11-22 18:04:41.png_thumb)
    ![?????? ?????? ?? 2015-11-22 18:04:48.png](/public/imported_attachments/1/?????? ?????? ?? 2015-11-22 18:04:48.png)
    ![?????? ?????? ?? 2015-11-22 18:04:48.png_thumb](/public/imported_attachments/1/?????? ?????? ?? 2015-11-22 18:04:48.png_thumb)
    ![?????? ?????? ?? 2015-11-22 18:04:31.png](/public/imported_attachments/1/?????? ?????? ?? 2015-11-22 18:04:31.png)
    ![?????? ?????? ?? 2015-11-22 18:04:31.png_thumb](/public/imported_attachments/1/?????? ?????? ?? 2015-11-22 18:04:31.png_thumb)
    ![?????? ?????? ?? 2015-11-22 18:04:22.png](/public/imported_attachments/1/?????? ?????? ?? 2015-11-22 18:04:22.png)
    ![?????? ?????? ?? 2015-11-22 18:04:22.png_thumb](/public/imported_attachments/1/?????? ?????? ?? 2015-11-22 18:04:22.png_thumb)



  • 1. Рисуйте схему сети с адресацией (внимательно)

    2. Покажите таблицу маршрутизации на pf и на клиенте после поднятия туннеля.

    3. Покажите скрин настроек OpenVPN на pf.



  • а можно по порядку, что значить схема сети с адресацией?



  • не совсем понял но схема такая. У меня сеть такая маршрутизатор pfsense 192.168.4.1 ну и остальные компы уже в этой сети с другими последними номерами и есть еще одни такой маршрутизатор. Между ними тунель IPsec локальный адрес того маршрутизатора 192.168.1.1, но мне нужен компьютр с адресом 192.168.1.17



  • @serrrgggeee:

    не совсем понял но схема такая. У меня сеть такая маршрутизатор pfsense 192.168.4.1 ну и остальные компы уже в этой сети с другими последними номерами и есть еще одни такой маршрутизатор. Между ними тунель IPsec локальный адрес того маршрутизатора 192.168.1.1, но мне нужен компьютр с адресом 192.168.1.17

    Вот эту схему и рисуйте.

    Что шлюзом у 192.168.1.17 ?



  • этот маршрутизатор не в моем пользовании, но там так же маршрутизатор под первым номером тоесть  192.168.1.1


Log in to reply