Пытаюсь настроить OpenVPN сервер. Где искать кон

TR

Уважаемые знатоки, понимаю, что мой вопрос снабжен недостаточным количеством описаний и скриншотов. Просто мне не очень понятно, что надо добавить и куда смотреть:
Настроен с помощью визарда openVPN на pfSense 2.2.6. Сделан клиент, выгружен в клиентскую машину и инсталлирован.
При попытке открыть соединение, всё проходит вроде бы штатно, но передачи информации не происходит и в логах Status->System Logs->OpenVPN я вижу странные записи:

---

Jan 18 18:24:16 openvpn[99779]: test/192.168.10.118:50297 send_push_reply(): safe_cap=940
Jan 18 18:24:16 openvpn[99779]: test/192.168.10.118:50297 SENT CONTROL [test]: 'PUSH_REPLY,route 172.16.138.0 255.255.255.0,route 192.168.89.1,topology net30,ping 10,ping-restart 60,ifconfig 192.168.89.6 192.168.89.5' (status=1)
Jan 18 18:24:17 openvpn[99779]: test/192.168.10.118:50297 MULTI: bad source address from client [::], packet dropped
Jan 18 18:24:19 openvpn[99779]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
Jan 18 18:24:20 openvpn[99779]: MANAGEMENT: CMD 'status 2'
Jan 18 18:24:20 openvpn[99779]: MANAGEMENT: CMD 'quit'
Jan 18 18:24:20 openvpn[99779]: MANAGEMENT: Client disconnected
Jan 18 18:25:21 openvpn[99779]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
Jan 18 18:25:21 openvpn[99779]: MANAGEMENT: CMD 'status 2'
Jan 18 18:25:21 openvpn[99779]: MANAGEMENT: CMD 'quit'
Jan 18 18:25:21 openvpn[99779]: MANAGEMENT: Client disconnected
Jan 18 18:26:23 openvpn[99779]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock

---

Что может означать вот это:
test/192.168.10.118:50297 MULTI: bad source address from client [::], packet dropped ? Я везде старался пользоваться только ipv4….

Любая потребная информация будет добавлена завтра...

pigbrother

Что может означать вот это:
test/192.168.10.118:50297 MULTI: bad source address from client [::], packet dropped ? Я везде старался пользоваться только ipv4….

Быстрый поиск говорит вроде как о том, что что-то не в порядке с конфигом клиента\неправильной настройке Client Specific Overrides .

test/192.168.10.118:50297

вместо 192.168.10.118 здесь должен быть внешний белый IP клиента test

Любая потребная информация будет добавлена завтра…

потребная информация - скриншоты настроек.

TR

Спасибо за ответ. Ну, кроме скриншотов я еще добавлю куски конфигурации… Итак:
WAN: 192.168.10.0/24, так что ip клиента правильное - именно 192.168.10.118. Его конфигурация будет выглядеть как ( файл kappa-udp-1194-test-config.ovpn):
dev tun
persist-tun
persist-key
cipher AES-128-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote 192.168.10.82 1194 udp
lport 0
verify-x509-name "KappaVPNServCert" name
pkcs12 kappa-udp-1194-test.p12
tls-auth kappa-udp-1194-test-tls.key 1
ns-cert-type server
comp-lzo adaptive

---

А описание интерфейсов pfSense из конфигурации будет выглядеть так:
<interfaces><wan><enable><if>re2</if>
<blockbogons><spoofmac><ipaddr>192.168.10.82</ipaddr>
<subnet>24</subnet>
<gateway>GW_WAN</gateway></spoofmac></blockbogons></enable></wan>
<lan><enable><if>re0</if>

<spoofmac><ipaddr>172.16.14.142</ipaddr>
<subnet>24</subnet>
<ipaddrv6>track6</ipaddrv6>
<track6-interface>wan</track6-interface>
<track6-prefix-id>0</track6-prefix-id></spoofmac></enable></lan>
<opt1><if>re1</if>
<enable><blockbogons><spoofmac><ipaddr>172.16.138.142</ipaddr>
<subnet>24</subnet></spoofmac></blockbogons></enable></opt1></interfaces>

---

Теперь скрины с настройками openVPN server:

- openVPN server General + Cripto settings
- openVPN server Tonnel settings
  - openVPN server Client Settings

Что еще может помочь в поиске явных ошибок?

pigbrother

Вставляйте картинки прямо в пост, через Attachments and other options.

Локальная сеть у вас 172.16.14.0/24?  Тогда почему в настройках сервера IPv4 Local Network/s задана как 172.16.138.0/24

Адрес WAN-интерфейса у вас "серый" -  192.168.10.82.
Как удаленный клиент будет подключаться к серверу? Или планируются клиенты только из 192.168.10.0/24?

TR

По поводу серого адреса WAN - это сделано сознательно на период отладки и учебы, чтобы я понимал хоть, что происходит и куда смотреть. Потом адрес будет заменен…
Поэтому в описании wan интерфейса сброшен псица в Block privete networks (см. скриншот настроек WAN в aattachments. Как его в текст то перетащить без ссылки на внешний сайт?)
Теперь по поводу LAN - а разве я обязан в настройках локальной подсети жестко указывать адреса подсетки ТОЛЬКО LAN интерфейса? Я указал подсетку FSBresc интерфейса (он же OPT1). Это критично?

pigbrother

Я указал подсетку FSBresc интерфейса (он же OPT1). Это критично?

Не знаю, не использовал дополнительных интерфейсов
Попробуйте для начала указать только только LAN 172.16.14.0/24 или обе подсети через запятую:
172.16.14.0/24,172.16.138.0/24

TR

Давайте опробуем ваше резонное предложение.
Изменяем настройку openVPN server Tunnel Settings на LAN (см. attaching) и на всякий случай вообще перезагружаем устройство pfSense.
Подключаем клиента. Делаем у него в окне cmd: route print и следом ping в подсетку 172.16.14.131

---

Microsoft Windows [Version 10.0.10586]
Корпорация Майкрософт (Microsoft Corporation), 2015. Все права защищены.

C:\Users\trop>route print

Список интерфейсов
  5...7c 5c f8 28 bb 5d ......Intel(R) Dual Band Wireless-AC 7260
  8...7c 5c f8 28 bb 5e ......Microsoft Wi-Fi Direct Virtual Adapter
13...3c 1e 04 f3 a2 bb ......D-Link DUB-E100 USB2.0 to Fast Ethernet Adapter
  9...00 ff a4 02 f7 96 ......TAP-Windows Adapter V9
11...7c 5c f8 28 bb 61 ......Bluetooth Device (Personal Area Network)
  1...........................Software Loopback Interface 1
12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
16...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
  7...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3

IPv4 таблица маршрута

Активные маршруты:
Сетевой адрес          Маска сети      Адрес шлюза      Интерфейс  Метрика
          0.0.0.0          0.0.0.0  192.168.10.222  192.168.10.118    276
        127.0.0.0        255.0.0.0        On-link        127.0.0.1    306
        127.0.0.1  255.255.255.255        On-link        127.0.0.1    306
  127.255.255.255  255.255.255.255        On-link        127.0.0.1    306
      172.16.14.0    255.255.255.0    192.168.89.5    192.168.89.6    20
    192.168.10.0    255.255.255.0        On-link    192.168.10.118    276
  192.168.10.118  255.255.255.255        On-link    192.168.10.118    276
  192.168.10.255  255.255.255.255        On-link    192.168.10.118    276
    192.168.89.1  255.255.255.255    192.168.89.5    192.168.89.6    20
    192.168.89.4  255.255.255.252        On-link      192.168.89.6    276
    192.168.89.6  255.255.255.255        On-link      192.168.89.6    276
    192.168.89.7  255.255.255.255        On-link      192.168.89.6    276
        224.0.0.0        240.0.0.0        On-link        127.0.0.1    306
        224.0.0.0        240.0.0.0        On-link    192.168.10.118    276
        224.0.0.0        240.0.0.0        On-link      192.168.89.6    276
  255.255.255.255  255.255.255.255        On-link        127.0.0.1    306
  255.255.255.255  255.255.255.255        On-link    192.168.10.118    276
  255.255.255.255  255.255.255.255        On-link      192.168.89.6    276

Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0  192.168.10.222  По умолчанию

IPv6 таблица маршрута

Активные маршруты:
Метрика  Сетевой адрес            Шлюз
  1    306 ::1/128                  On-link
  9    276 fe80::/64                On-link
  9    276 fe80::5879:a9d8:97d5:64c9/128
                                    On-link
  1    306 ff00::/8                On-link
  9    276 ff00::/8                On-link

Постоянные маршруты:
  Отсутствует

C:\Users\trop>ping 192.16.14.131

Обмен пакетами с 192.16.14.131 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 192.16.14.131:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4
    (100% потерь)

---

Видим, что настройка таблицы роутинга верна, а пинг не проходит. На всякий случай проверяем пингуемость адреса из pfSense:

PING 172.16.14.131 (172.16.14.131): 56 data bytes
64 bytes from 172.16.14.131: icmp_seq=0 ttl=128 time=1.500 ms
64 bytes from 172.16.14.131: icmp_seq=1 ttl=128 time=0.405 ms
64 bytes from 172.16.14.131: icmp_seq=2 ttl=128 time=0.371 ms

--- 172.16.14.131 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.371/0.759/1.500/0.524 ms

---

И странные вещи пишутся в логе openVPN:

---

Jan 19 12:12:10 openvpn[17697]: auth_user_pass_verify_script_via_file = DISABLED
Jan 19 12:12:10 openvpn[17697]: port_share_host = '[UNDEF]'
Jan 19 12:12:10 openvpn[17697]: port_share_port = 0
Jan 19 12:12:10 openvpn[17697]: client = DISABLED
Jan 19 12:12:10 openvpn[17697]: pull = DISABLED
Jan 19 12:12:10 openvpn[17697]: auth_user_pass_file = '[UNDEF]'
Jan 19 12:12:10 openvpn[17697]: OpenVPN 2.3.8 i386-portbld-freebsd10.1 [SSL (OpenSSL)] [LZO] [MH] [IPv6] built on Aug 21 2015
Jan 19 12:12:10 openvpn[17697]: library versions: OpenSSL 1.0.1l-freebsd 15 Jan 2015, LZO 2.09
Jan 19 12:12:10 openvpn[18494]: MANAGEMENT: unix domain socket listening on /var/etc/openvpn/server1.sock
Jan 19 12:12:10 openvpn[18494]: Could not retrieve default gateway from route socket:: No such process (errno=3)
Jan 19 12:12:10 openvpn[18494]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
Jan 19 12:12:10 openvpn[18494]: Diffie-Hellman initialized with 2048 bit key
Jan 19 12:12:10 openvpn[18494]: Control Channel Authentication: using '/var/etc/openvpn/server1.tls-auth' as a OpenVPN static key file
Jan 19 12:12:10 openvpn[18494]: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Jan 19 12:12:10 openvpn[18494]: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Jan 19 12:12:10 openvpn[18494]: TLS-Auth MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:3 ]
Jan 19 12:12:10 openvpn[18494]: Socket Buffers: R=[42080->65536] S=[57344->65536]
Jan 19 12:12:10 openvpn[18494]: Could not retrieve default gateway from route socket:: No such process (errno=3)
Jan 19 12:12:10 openvpn[18494]: ROUTE: default_gateway=UNDEF
Jan 19 12:12:10 openvpn[18494]: TUN/TAP device ovpns1 exists previously, keep at program end
Jan 19 12:12:10 openvpn[18494]: TUN/TAP device /dev/tun1 opened
Jan 19 12:12:10 openvpn[18494]: ioctl(TUNSIFMODE): Device busy: Device busy (errno=16)
Jan 19 12:12:10 openvpn[18494]: do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0
Jan 19 12:12:10 openvpn[18494]: /sbin/ifconfig ovpns1 192.168.89.1 192.168.89.2 mtu 1500 netmask 255.255.255.255 up
Jan 19 12:12:10 openvpn[18494]: /usr/local/sbin/ovpn-linkup ovpns1 1500 1558 192.168.89.1 192.168.89.2 init
Jan 19 12:12:10 openvpn[18494]: /sbin/route add -net 192.168.89.0 192.168.89.2 255.255.255.0
Jan 19 12:12:10 openvpn[18494]: Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:143 ET:0 EL:3 AF:3/1 ]
Jan 19 12:12:10 openvpn[18494]: UDPv4 link local (bound): [AF_INET]192.168.10.82:1194
Jan 19 12:12:10 openvpn[18494]: UDPv4 link remote: [undef]
Jan 19 12:12:10 openvpn[18494]: MULTI: multi_init called, r=256 v=256
Jan 19 12:12:10 openvpn[18494]: IFCONFIG POOL: base=192.168.89.4 size=62, ipv6=0
Jan 19 12:12:10 openvpn[18494]: Initialization Sequence Completed
Jan 19 12:12:30 openvpn[18494]: MANAGEMENT: CMD 'status 2'
Jan 19 12:12:32 openvpn[18494]: MANAGEMENT: CMD 'quit'
Jan 19 12:12:32 openvpn[18494]: MANAGEMENT: Client disconnected
Jan 19 12:12:45 openvpn[18494]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
Jan 19 12:12:45 openvpn[18494]: MANAGEMENT: CMD 'status 2'
Jan 19 12:12:45 openvpn[18494]: MANAGEMENT: Client disconnected
Jan 19 12:13:33 openvpn[18494]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
Jan 19 12:13:33 openvpn[18494]: MANAGEMENT: CMD 'status 2'
Jan 19 12:13:33 openvpn[18494]: MANAGEMENT: CMD 'quit'
Jan 19 12:13:33 openvpn[18494]: MANAGEMENT: Client disconnected
Jan 19 12:13:49 openvpn[18494]: MULTI: multi_create_instance called
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Re-using SSL/TLS context
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 LZO compression initialized
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Control Channel MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:3 ]
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:143 ET:0 EL:3 AF:3/1 ]
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Local Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-128-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-128-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Local Options hash (VER=V4): 'a2e63101'
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Expected Remote Options hash (VER=V4): '272f1b58'
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 TLS: Initial packet from [AF_INET]192.168.10.118:63287, sid=b52da94e 4a59a085
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 VERIFY SCRIPT OK: depth=1, C=RU, ST=Russia, L=Moscow, O=Finnet-Service, emailAddress=someaddress@fnts.ru, CN=KappaAuthCert
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 VERIFY OK: depth=1, C=RU, ST=Russia, L=Moscow, O=Finnet-Service, emailAddress=someaddress@fnts.ru, CN=KappaAuthCert
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 VERIFY SCRIPT OK: depth=0, C=RU, ST=Russia, L=Moscow, O=Finnet-Service, emailAddress=someaddress@fnts.ru, CN=test
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 VERIFY OK: depth=0, C=RU, ST=Russia, L=Moscow, O=Finnet-Service, emailAddress=someaddress@fnts.ru, CN=test
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 [test] Peer Connection Initiated with [AF_INET]192.168.10.118:63287
Jan 19 12:13:49 openvpn[18494]: test/192.168.10.118:63287 MULTI_sva: pool returned IPv4=192.168.89.6, IPv6=(Not enabled)
Jan 19 12:13:49 openvpn[18494]: test/192.168.10.118:63287 MULTI: Learn: 192.168.89.6 -> test/192.168.10.118:63287
Jan 19 12:13:49 openvpn[18494]: test/192.168.10.118:63287 MULTI: primary virtual IP for test/192.168.10.118:63287: 192.168.89.6
Jan 19 12:13:51 openvpn[18494]: test/192.168.10.118:63287 PUSH: Received control message: 'PUSH_REQUEST'
Jan 19 12:13:51 openvpn[18494]: test/192.168.10.118:63287 send_push_reply(): safe_cap=940
Jan 19 12:13:51 openvpn[18494]: test/192.168.10.118:63287 SENT CONTROL [test]: 'PUSH_REPLY,route 172.16.14.0 255.255.255.0,route 192.168.89.1,topology net30,ping 10,ping-restart 60,ifconfig 192.168.89.6 192.168.89.5' (status=1)
Jan 19 12:13:52 openvpn[18494]: test/192.168.10.118:63287 MULTI: bad source address from client [::], packet dropped
Jan 19 12:14:35 openvpn[18494]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
Jan 19 12:14:35 openvpn[18494]: MANAGEMENT: CMD 'status 2'
Jan 19 12:14:35 openvpn[18494]: MANAGEMENT: CMD 'quit'
Jan 19 12:14:35 openvpn[18494]: MANAGEMENT: Client disconnected
Jan 19 12:15:37 openvpn[18494]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
Jan 19 12:15:37 openvpn[18494]: MANAGEMENT: CMD 'status 2'
Jan 19 12:15:37 openvpn[18494]: MANAGEMENT: CMD 'quit'
Jan 19 12:15:37 openvpn[18494]: MANAGEMENT: Client disconnected

---

Что означает непрерывное Client connected, …, Client disconnected ?
Как-то не помогает...

TR

Господа, вы будете смеяться, но найдя в документации следующий раздел: https://doc.pfsense.org/index.php/Why_can%27t_I_ping_some_OpenVPN_adapter_addresses, в котором рассказывается что ping сплошь и рядом не проходит через локальный openVPN, я решил отказаться от ping и начал пробовать RDP, чтобы хоть как-то убедиться в наличии связи.
Сработало. Я смог подключиться к своему серверу за openVPN указав его адрес 172.16.14.131 после установления связи клиента openVPN…
Странно. Более того, ПОСЛЕ этого заработал и ping и tracert ...
Единственное, что могу предположить, что я от отчаяния тронул командой pfSense Diagnostic->Edit File сокет /var/etc/openvpn/server1.sock
И он, падла, испугался...
Не понимаю... А если перегрузить pfSense? А если отключить клиент openVPN и подключиться снова? Работает...
Тля...