настройка клиента openvpn linux mint

serrrgggeee

здравствуйте у меня pfsense 2.2.4 сам пользуюсь mint 17.2. Пытался настроить openvpn клиент графическими средствами, но ничего не вышло, пробовал экспортировать все файлы, это и архив и other. Сейчас хочу настроить в терминале сложного ничего нет просто копируешь конфиг из example и настраиваешь его уже под себя в соответствии с настройками которые находятся в файле other там есть сертификат ключ и еще какойто сертификат и ключ можно просто скопировать это в один файл и потом запустить его openvpn my.confign
вот что наблюдаю при запуске

serrrgggeee@serrrgggeee-945GCMX-S2 /etc/openvpn $ sudo openvpn client.conf
Sat Oct 17 11:14:05 2015 OpenVPN 2.3.2 i686-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [IPv6] built on Dec  1 2014
Enter Auth Username:serrrgggeee
Enter Auth Password:
Sat Oct 17 11:14:16 2015 Control Channel Authentication: tls-auth using INLINE static key file
Sat Oct 17 11:14:16 2015 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Oct 17 11:14:16 2015 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Oct 17 11:14:16 2015 Socket Buffers: R=[163840->131072] S=[163840->131072]
Sat Oct 17 11:14:16 2015 UDPv4 link local (bound): [AF_INET]10.137.51.134:9000
Sat Oct 17 11:14:16 2015 UDPv4 link remote: [AF_INET]ip:1194
Sat Oct 17 11:14:16 2015 TLS: Initial packet from [AF_INET]ip:1194, sid=6ab6e699 bfb34b09
Sat Oct 17 11:14:16 2015 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sat Oct 17 11:14:17 2015 VERIFY OK: depth=1, C=RU, ST=volgograd, L=Oktyabrsky, O=AO Elevator, emailAddress=crackkc@mail.ru, CN=openvpn-cert
Sat Oct 17 11:14:17 2015 VERIFY OK: nsCertType=SERVER
Sat Oct 17 11:14:17 2015 VERIFY X509NAME OK: C=RU, ST=volgograd, L=Oktyabrsky, O=AO Elevator, emailAddress=crackkc@mail.ru, CN=openvpn-cert
Sat Oct 17 11:14:17 2015 VERIFY OK: depth=0, C=RU, ST=volgograd, L=Oktyabrsky, O=AO Elevator, emailAddress=crackkc@mail.ru, CN=openvpn-cert
Sat Oct 17 11:14:18 2015 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1558', remote='link-mtu 1557'
Sat Oct 17 11:14:18 2015 WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'
Sat Oct 17 11:14:18 2015 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Sat Oct 17 11:14:18 2015 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Oct 17 11:14:18 2015 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Sat Oct 17 11:14:18 2015 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Oct 17 11:14:18 2015 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Sat Oct 17 11:14:18 2015 [openvpn-cert] Peer Connection Initiated with [AF_INET]ip:1194
Sat Oct 17 11:14:20 2015 SENT CONTROL [openvpn-cert]: 'PUSH_REQUEST' (status=1)
Sat Oct 17 11:14:20 2015 PUSH: Received control message: 'PUSH_REPLY,route 192.168.4.0 255.255.255.0,route 10.0.10.1,topology net30,ping 10,ping-restart 60,ifconfig 10.0.10.6 10.0.10.5'
Sat Oct 17 11:14:20 2015 OPTIONS IMPORT: timers and/or timeouts modified
Sat Oct 17 11:14:20 2015 OPTIONS IMPORT: --ifconfig/up options modified
Sat Oct 17 11:14:20 2015 OPTIONS IMPORT: route options modified
Sat Oct 17 11:14:20 2015 ROUTE_GATEWAY 10.64.64.64
Sat Oct 17 11:14:20 2015 TUN/TAP device tun0 opened
Sat Oct 17 11:14:20 2015 TUN/TAP TX queue length set to 100
Sat Oct 17 11:14:20 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sat Oct 17 11:14:20 2015 /sbin/ip link set dev tun0 up mtu 1500
Sat Oct 17 11:14:21 2015 /sbin/ip addr add dev tun0 local 10.0.10.6 peer 10.0.10.5
Sat Oct 17 11:14:21 2015 /sbin/ip route add 192.168.4.0/24 via 10.0.10.5
Sat Oct 17 11:14:21 2015 /sbin/ip route add 10.0.10.1/32 via 10.0.10.5
Sat Oct 17 11:14:21 2015 Initialization Sequence Completed
Sat Oct 17 11:14:30 2015 Bad LZO decompression header byte: 42
Sat Oct 17 11:14:40 2015 Bad LZO decompression header byte: 42
Sat Oct 17 11:14:50 2015 Bad LZO decompression header byte: 42

Вроде как соединение произошло, тем более я вижу данные которые заносил в маршрутизатор, но вот ping не идет.

werter

Sat Oct 17 11:14:18 2015 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1558', remote='link-mtu 1557'
Sat Oct 17 11:14:18 2015 WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'

Обратите внимание на эти предупреждения.

Покажите скрины правил fw на OpenVPN.

serrrgggeee

Sat Oct 17 11:14:18 2015 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1558', remote='link-mtu 1557' это не знаю что объясните
Sat Oct 17 11:14:18 2015 WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo' а это просто нужно убрать так как на сервере этого правила нет.


werter

Покажите скрины правил fw на OpenVPN-интерфейсе.

igroykt

@serrrgggeee:

Sat Oct 17 11:14:18 2015 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1558', remote='link-mtu 1557' это не знаю что объясните
Sat Oct 17 11:14:18 2015 WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo' а это просто нужно убрать так как на сервере этого правила нет.

https://ru.wikipedia.org/wiki/Maximum_transmission_unit
настройки mtu выставляются в настройках интерфейса
оптимальное значение mtu можно подобрать таким образом: http://www.tp-link.us/FAQ-190.html
https://openvpn.net/index.php/open-source/documentation/manuals/65-openvpn-20x-manpage.html
comp-lzo алгоритм сжатия пакетов (если включили то включите и на удаленном сервере или отключите в обоих)

serrrgggeee

спасибо помогло, а скажите в дагонку есть два маршрутизатора настроеных по протоколу ipsec , когда я подключаюсь по openvpn то могу подключиться только к рабочим столам своей сети, а крабочим столам удаленного маршрутизатора нет, хотя с офиса я подключаюсь без проблем, как можно подключиться к этим столам используя настройки open vpn своего маршрутизатора, а не удаленного.

werter

@serrrgggeee:

спасибо помогло, а скажите в дагонку есть два маршрутизатора настроеных по протоколу ipsec , когда я подключаюсь по openvpn то могу подключиться только к рабочим столам своей сети, а крабочим столам удаленного маршрутизатора нет, хотя с офиса я подключаюсь без проблем, как можно подключиться к этим столам используя настройки open vpn своего маршрутизатора, а не удаленного.

Рисуйте схему .
Показывайте скрины правил fw на LAN\WAN\IPSec\OpenVPN - интерфейсах.

serrrgggeee

Вот эти правила извините что так поздно))


werter

1. Рисуйте схему сети с адресацией (внимательно)

2. Покажите таблицу маршрутизации на pf и на клиенте после поднятия туннеля.

3. Покажите скрин настроек OpenVPN на pf.

serrrgggeee

а можно по порядку, что значить схема сети с адресацией?

serrrgggeee

не совсем понял но схема такая. У меня сеть такая маршрутизатор pfsense 192.168.4.1 ну и остальные компы уже в этой сети с другими последними номерами и есть еще одни такой маршрутизатор. Между ними тунель IPsec локальный адрес того маршрутизатора 192.168.1.1, но мне нужен компьютр с адресом 192.168.1.17

werter

@serrrgggeee:

не совсем понял но схема такая. У меня сеть такая маршрутизатор pfsense 192.168.4.1 ну и остальные компы уже в этой сети с другими последними номерами и есть еще одни такой маршрутизатор. Между ними тунель IPsec локальный адрес того маршрутизатора 192.168.1.1, но мне нужен компьютр с адресом 192.168.1.17

Вот эту схему и рисуйте.

Что шлюзом у 192.168.1.17 ?

serrrgggeee

этот маршрутизатор не в моем пользовании, но там так же маршрутизатор под первым номером тоесть  192.168.1.1