Пытаюсь настроить OpenVPN сервер. Где искать кон



  • Уважаемые знатоки, понимаю, что мой вопрос снабжен недостаточным количеством описаний и скриншотов. Просто мне не очень понятно, что надо добавить и куда смотреть:
    Настроен с помощью визарда openVPN на pfSense 2.2.6. Сделан клиент, выгружен в клиентскую машину и инсталлирован.
    При попытке открыть соединение, всё проходит вроде бы штатно, но передачи информации не происходит и в логах Status->System Logs->OpenVPN я вижу странные записи:


    Jan 18 18:24:16 openvpn[99779]: test/192.168.10.118:50297 send_push_reply(): safe_cap=940
    Jan 18 18:24:16 openvpn[99779]: test/192.168.10.118:50297 SENT CONTROL [test]: 'PUSH_REPLY,route 172.16.138.0 255.255.255.0,route 192.168.89.1,topology net30,ping 10,ping-restart 60,ifconfig 192.168.89.6 192.168.89.5' (status=1)
    Jan 18 18:24:17 openvpn[99779]: test/192.168.10.118:50297 MULTI: bad source address from client [::], packet dropped
    Jan 18 18:24:19 openvpn[99779]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
    Jan 18 18:24:20 openvpn[99779]: MANAGEMENT: CMD 'status 2'
    Jan 18 18:24:20 openvpn[99779]: MANAGEMENT: CMD 'quit'
    Jan 18 18:24:20 openvpn[99779]: MANAGEMENT: Client disconnected
    Jan 18 18:25:21 openvpn[99779]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
    Jan 18 18:25:21 openvpn[99779]: MANAGEMENT: CMD 'status 2'
    Jan 18 18:25:21 openvpn[99779]: MANAGEMENT: CMD 'quit'
    Jan 18 18:25:21 openvpn[99779]: MANAGEMENT: Client disconnected
    Jan 18 18:26:23 openvpn[99779]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock


    Что может означать вот это:
    test/192.168.10.118:50297 MULTI: bad source address from client [::], packet dropped ? Я везде старался пользоваться только ipv4….

    Любая потребная информация будет добавлена завтра...



  • Что может означать вот это:
    test/192.168.10.118:50297 MULTI: bad source address from client [::], packet dropped ? Я везде старался пользоваться только ipv4….

    Быстрый поиск говорит вроде как о том, что что-то не в порядке с конфигом клиента\неправильной настройке Client Specific Overrides .

    test/192.168.10.118:50297

    вместо 192.168.10.118 здесь должен быть внешний белый IP клиента test

    Любая потребная информация будет добавлена завтра…

    потребная информация - скриншоты настроек.



  • Спасибо за ответ. Ну, кроме скриншотов я еще добавлю куски конфигурации… Итак:
    WAN: 192.168.10.0/24, так что ip клиента правильное - именно 192.168.10.118. Его конфигурация будет выглядеть как ( файл kappa-udp-1194-test-config.ovpn):
    dev tun
    persist-tun
    persist-key
    cipher AES-128-CBC
    auth SHA1
    tls-client
    client
    resolv-retry infinite
    remote 192.168.10.82 1194 udp
    lport 0
    verify-x509-name "KappaVPNServCert" name
    pkcs12 kappa-udp-1194-test.p12
    tls-auth kappa-udp-1194-test-tls.key 1
    ns-cert-type server
    comp-lzo adaptive


    А описание интерфейсов pfSense из конфигурации будет выглядеть так:
    <interfaces><wan><enable><if>re2</if>
    <blockbogons><spoofmac><ipaddr>192.168.10.82</ipaddr>
    <subnet>24</subnet>
    <gateway>GW_WAN</gateway></spoofmac></blockbogons></enable></wan>
    <lan><enable><if>re0</if>

    <spoofmac><ipaddr>172.16.14.142</ipaddr>
    <subnet>24</subnet>
    <ipaddrv6>track6</ipaddrv6>
    <track6-interface>wan</track6-interface>
    <track6-prefix-id>0</track6-prefix-id></spoofmac></enable></lan>
    <opt1><if>re1</if>
    <enable><blockbogons><spoofmac><ipaddr>172.16.138.142</ipaddr>
    <subnet>24</subnet></spoofmac></blockbogons></enable></opt1></interfaces>


    Теперь скрины с настройками openVPN server:

    - openVPN server General + Cripto settings
    - openVPN server Tonnel settings
      - openVPN server Client Settings

    Что еще может помочь в поиске явных ошибок?



  • Вставляйте картинки прямо в пост, через Attachments and other options.

    Локальная сеть у вас 172.16.14.0/24?  Тогда почему в настройках сервера IPv4 Local Network/s задана как 172.16.138.0/24

    Адрес WAN-интерфейса у вас "серый" -  192.168.10.82.
    Как удаленный клиент будет подключаться к серверу? Или планируются клиенты только из 192.168.10.0/24?



  • По поводу серого адреса WAN - это сделано сознательно на период отладки и учебы, чтобы я понимал хоть, что происходит и куда смотреть. Потом адрес будет заменен…
    Поэтому в описании wan интерфейса сброшен псица в Block privete networks (см. скриншот настроек WAN в aattachments. Как его в текст то перетащить без ссылки на внешний сайт?)
    Теперь по поводу LAN - а разве я обязан в настройках локальной подсети жестко указывать адреса подсетки ТОЛЬКО LAN интерфейса? Я указал подсетку FSBresc интерфейса (он же OPT1). Это критично?




  • Я указал подсетку FSBresc интерфейса (он же OPT1). Это критично?

    Не знаю, не использовал дополнительных интерфейсов
    Попробуйте для начала указать только только LAN 172.16.14.0/24 или обе подсети через запятую:
    172.16.14.0/24,172.16.138.0/24



  • Давайте опробуем ваше резонное предложение.
    Изменяем настройку openVPN server Tunnel Settings на LAN (см. attaching) и на всякий случай вообще перезагружаем устройство pfSense.
    Подключаем клиента. Делаем у него в окне cmd: route print и следом ping в подсетку 172.16.14.131


    Microsoft Windows [Version 10.0.10586]
    © Корпорация Майкрософт (Microsoft Corporation), 2015. Все права защищены.

    C:\Users\trop>route print

    Список интерфейсов
      5...7c 5c f8 28 bb 5d ......Intel(R) Dual Band Wireless-AC 7260
      8...7c 5c f8 28 bb 5e ......Microsoft Wi-Fi Direct Virtual Adapter
    13...3c 1e 04 f3 a2 bb ......D-Link DUB-E100 USB2.0 to Fast Ethernet Adapter
      9...00 ff a4 02 f7 96 ......TAP-Windows Adapter V9
    11...7c 5c f8 28 bb 61 ......Bluetooth Device (Personal Area Network)
      1...........................Software Loopback Interface 1
    12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
    16...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
      7...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3

    IPv4 таблица маршрута

    Активные маршруты:
    Сетевой адрес          Маска сети      Адрес шлюза      Интерфейс  Метрика
              0.0.0.0          0.0.0.0  192.168.10.222  192.168.10.118    276
            127.0.0.0        255.0.0.0        On-link        127.0.0.1    306
            127.0.0.1  255.255.255.255        On-link        127.0.0.1    306
      127.255.255.255  255.255.255.255        On-link        127.0.0.1    306
          172.16.14.0    255.255.255.0    192.168.89.5    192.168.89.6    20
        192.168.10.0    255.255.255.0        On-link    192.168.10.118    276
      192.168.10.118  255.255.255.255        On-link    192.168.10.118    276
      192.168.10.255  255.255.255.255        On-link    192.168.10.118    276
        192.168.89.1  255.255.255.255    192.168.89.5    192.168.89.6    20
        192.168.89.4  255.255.255.252        On-link      192.168.89.6    276
        192.168.89.6  255.255.255.255        On-link      192.168.89.6    276
        192.168.89.7  255.255.255.255        On-link      192.168.89.6    276
            224.0.0.0        240.0.0.0        On-link        127.0.0.1    306
            224.0.0.0        240.0.0.0        On-link    192.168.10.118    276
            224.0.0.0        240.0.0.0        On-link      192.168.89.6    276
      255.255.255.255  255.255.255.255        On-link        127.0.0.1    306
      255.255.255.255  255.255.255.255        On-link    192.168.10.118    276
      255.255.255.255  255.255.255.255        On-link      192.168.89.6    276

    Постоянные маршруты:
      Сетевой адрес            Маска    Адрес шлюза      Метрика
              0.0.0.0          0.0.0.0  192.168.10.222  По умолчанию

    IPv6 таблица маршрута

    Активные маршруты:
    Метрика  Сетевой адрес            Шлюз
      1    306 ::1/128                  On-link
      9    276 fe80::/64                On-link
      9    276 fe80::5879:a9d8:97d5:64c9/128
                                        On-link
      1    306 ff00::/8                On-link
      9    276 ff00::/8                On-link

    Постоянные маршруты:
      Отсутствует

    C:\Users\trop>ping 192.16.14.131

    Обмен пакетами с 192.16.14.131 по с 32 байтами данных:
    Превышен интервал ожидания для запроса.
    Превышен интервал ожидания для запроса.
    Превышен интервал ожидания для запроса.
    Превышен интервал ожидания для запроса.

    Статистика Ping для 192.16.14.131:
        Пакетов: отправлено = 4, получено = 0, потеряно = 4
        (100% потерь)


    Видим, что настройка таблицы роутинга верна, а пинг не проходит. На всякий случай проверяем пингуемость адреса из pfSense:

    PING 172.16.14.131 (172.16.14.131): 56 data bytes
    64 bytes from 172.16.14.131: icmp_seq=0 ttl=128 time=1.500 ms
    64 bytes from 172.16.14.131: icmp_seq=1 ttl=128 time=0.405 ms
    64 bytes from 172.16.14.131: icmp_seq=2 ttl=128 time=0.371 ms

    --- 172.16.14.131 ping statistics ---
    3 packets transmitted, 3 packets received, 0.0% packet loss
    round-trip min/avg/max/stddev = 0.371/0.759/1.500/0.524 ms


    И странные вещи пишутся в логе openVPN:


    Jan 19 12:12:10 openvpn[17697]: auth_user_pass_verify_script_via_file = DISABLED
    Jan 19 12:12:10 openvpn[17697]: port_share_host = '[UNDEF]'
    Jan 19 12:12:10 openvpn[17697]: port_share_port = 0
    Jan 19 12:12:10 openvpn[17697]: client = DISABLED
    Jan 19 12:12:10 openvpn[17697]: pull = DISABLED
    Jan 19 12:12:10 openvpn[17697]: auth_user_pass_file = '[UNDEF]'
    Jan 19 12:12:10 openvpn[17697]: OpenVPN 2.3.8 i386-portbld-freebsd10.1 [SSL (OpenSSL)] [LZO] [MH] [IPv6] built on Aug 21 2015
    Jan 19 12:12:10 openvpn[17697]: library versions: OpenSSL 1.0.1l-freebsd 15 Jan 2015, LZO 2.09
    Jan 19 12:12:10 openvpn[18494]: MANAGEMENT: unix domain socket listening on /var/etc/openvpn/server1.sock
    Jan 19 12:12:10 openvpn[18494]: Could not retrieve default gateway from route socket:: No such process (errno=3)
    Jan 19 12:12:10 openvpn[18494]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
    Jan 19 12:12:10 openvpn[18494]: Diffie-Hellman initialized with 2048 bit key
    Jan 19 12:12:10 openvpn[18494]: Control Channel Authentication: using '/var/etc/openvpn/server1.tls-auth' as a OpenVPN static key file
    Jan 19 12:12:10 openvpn[18494]: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Jan 19 12:12:10 openvpn[18494]: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Jan 19 12:12:10 openvpn[18494]: TLS-Auth MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:3 ]
    Jan 19 12:12:10 openvpn[18494]: Socket Buffers: R=[42080->65536] S=[57344->65536]
    Jan 19 12:12:10 openvpn[18494]: Could not retrieve default gateway from route socket:: No such process (errno=3)
    Jan 19 12:12:10 openvpn[18494]: ROUTE: default_gateway=UNDEF
    Jan 19 12:12:10 openvpn[18494]: TUN/TAP device ovpns1 exists previously, keep at program end
    Jan 19 12:12:10 openvpn[18494]: TUN/TAP device /dev/tun1 opened
    Jan 19 12:12:10 openvpn[18494]: ioctl(TUNSIFMODE): Device busy: Device busy (errno=16)
    Jan 19 12:12:10 openvpn[18494]: do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0
    Jan 19 12:12:10 openvpn[18494]: /sbin/ifconfig ovpns1 192.168.89.1 192.168.89.2 mtu 1500 netmask 255.255.255.255 up
    Jan 19 12:12:10 openvpn[18494]: /usr/local/sbin/ovpn-linkup ovpns1 1500 1558 192.168.89.1 192.168.89.2 init
    Jan 19 12:12:10 openvpn[18494]: /sbin/route add -net 192.168.89.0 192.168.89.2 255.255.255.0
    Jan 19 12:12:10 openvpn[18494]: Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:143 ET:0 EL:3 AF:3/1 ]
    Jan 19 12:12:10 openvpn[18494]: UDPv4 link local (bound): [AF_INET]192.168.10.82:1194
    Jan 19 12:12:10 openvpn[18494]: UDPv4 link remote: [undef]
    Jan 19 12:12:10 openvpn[18494]: MULTI: multi_init called, r=256 v=256
    Jan 19 12:12:10 openvpn[18494]: IFCONFIG POOL: base=192.168.89.4 size=62, ipv6=0
    Jan 19 12:12:10 openvpn[18494]: Initialization Sequence Completed
    Jan 19 12:12:30 openvpn[18494]: MANAGEMENT: CMD 'status 2'
    Jan 19 12:12:32 openvpn[18494]: MANAGEMENT: CMD 'quit'
    Jan 19 12:12:32 openvpn[18494]: MANAGEMENT: Client disconnected
    Jan 19 12:12:45 openvpn[18494]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
    Jan 19 12:12:45 openvpn[18494]: MANAGEMENT: CMD 'status 2'
    Jan 19 12:12:45 openvpn[18494]: MANAGEMENT: Client disconnected
    Jan 19 12:13:33 openvpn[18494]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
    Jan 19 12:13:33 openvpn[18494]: MANAGEMENT: CMD 'status 2'
    Jan 19 12:13:33 openvpn[18494]: MANAGEMENT: CMD 'quit'
    Jan 19 12:13:33 openvpn[18494]: MANAGEMENT: Client disconnected
    Jan 19 12:13:49 openvpn[18494]: MULTI: multi_create_instance called
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Re-using SSL/TLS context
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 LZO compression initialized
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Control Channel MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:3 ]
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:143 ET:0 EL:3 AF:3/1 ]
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Local Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-128-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-128-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Local Options hash (VER=V4): 'a2e63101'
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Expected Remote Options hash (VER=V4): '272f1b58'
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 TLS: Initial packet from [AF_INET]192.168.10.118:63287, sid=b52da94e 4a59a085
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 VERIFY SCRIPT OK: depth=1, C=RU, ST=Russia, L=Moscow, O=Finnet-Service, emailAddress=someaddress@fnts.ru, CN=KappaAuthCert
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 VERIFY OK: depth=1, C=RU, ST=Russia, L=Moscow, O=Finnet-Service, emailAddress=someaddress@fnts.ru, CN=KappaAuthCert
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 VERIFY SCRIPT OK: depth=0, C=RU, ST=Russia, L=Moscow, O=Finnet-Service, emailAddress=someaddress@fnts.ru, CN=test
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 VERIFY OK: depth=0, C=RU, ST=Russia, L=Moscow, O=Finnet-Service, emailAddress=someaddress@fnts.ru, CN=test
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
    Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 [test] Peer Connection Initiated with [AF_INET]192.168.10.118:63287
    Jan 19 12:13:49 openvpn[18494]: test/192.168.10.118:63287 MULTI_sva: pool returned IPv4=192.168.89.6, IPv6=(Not enabled)
    Jan 19 12:13:49 openvpn[18494]: test/192.168.10.118:63287 MULTI: Learn: 192.168.89.6 -> test/192.168.10.118:63287
    Jan 19 12:13:49 openvpn[18494]: test/192.168.10.118:63287 MULTI: primary virtual IP for test/192.168.10.118:63287: 192.168.89.6
    Jan 19 12:13:51 openvpn[18494]: test/192.168.10.118:63287 PUSH: Received control message: 'PUSH_REQUEST'
    Jan 19 12:13:51 openvpn[18494]: test/192.168.10.118:63287 send_push_reply(): safe_cap=940
    Jan 19 12:13:51 openvpn[18494]: test/192.168.10.118:63287 SENT CONTROL [test]: 'PUSH_REPLY,route 172.16.14.0 255.255.255.0,route 192.168.89.1,topology net30,ping 10,ping-restart 60,ifconfig 192.168.89.6 192.168.89.5' (status=1)
    Jan 19 12:13:52 openvpn[18494]: test/192.168.10.118:63287 MULTI: bad source address from client [::], packet dropped
    Jan 19 12:14:35 openvpn[18494]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
    Jan 19 12:14:35 openvpn[18494]: MANAGEMENT: CMD 'status 2'
    Jan 19 12:14:35 openvpn[18494]: MANAGEMENT: CMD 'quit'
    Jan 19 12:14:35 openvpn[18494]: MANAGEMENT: Client disconnected
    Jan 19 12:15:37 openvpn[18494]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
    Jan 19 12:15:37 openvpn[18494]: MANAGEMENT: CMD 'status 2'
    Jan 19 12:15:37 openvpn[18494]: MANAGEMENT: CMD 'quit'
    Jan 19 12:15:37 openvpn[18494]: MANAGEMENT: Client disconnected


    Что означает непрерывное Client connected, …, Client disconnected ?
    Как-то не помогает...




  • Господа, вы будете смеяться, но найдя в документации следующий раздел: https://doc.pfsense.org/index.php/Why_can%27t_I_ping_some_OpenVPN_adapter_addresses, в котором рассказывается что ping сплошь и рядом не проходит через локальный openVPN, я решил отказаться от ping и начал пробовать RDP, чтобы хоть как-то убедиться в наличии связи.
    Сработало. Я смог подключиться к своему серверу за openVPN указав его адрес 172.16.14.131 после установления связи клиента openVPN…
    Странно. Более того, ПОСЛЕ этого заработал и ping и tracert ...
    Единственное, что могу предположить, что я от отчаяния тронул командой pfSense Diagnostic->Edit File сокет /var/etc/openvpn/server1.sock
    И он, падла, испугался...
    Не понимаю... А если перегрузить pfSense? А если отключить клиент openVPN и подключиться снова? Работает...
    Тля...


Log in to reply