Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Пытаюсь настроить OpenVPN сервер. Где искать кон

    Russian
    2
    8
    3389
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      TR last edited by

      Уважаемые знатоки, понимаю, что мой вопрос снабжен недостаточным количеством описаний и скриншотов. Просто мне не очень понятно, что надо добавить и куда смотреть:
      Настроен с помощью визарда openVPN на pfSense 2.2.6. Сделан клиент, выгружен в клиентскую машину и инсталлирован.
      При попытке открыть соединение, всё проходит вроде бы штатно, но передачи информации не происходит и в логах Status->System Logs->OpenVPN я вижу странные записи:


      Jan 18 18:24:16 openvpn[99779]: test/192.168.10.118:50297 send_push_reply(): safe_cap=940
      Jan 18 18:24:16 openvpn[99779]: test/192.168.10.118:50297 SENT CONTROL [test]: 'PUSH_REPLY,route 172.16.138.0 255.255.255.0,route 192.168.89.1,topology net30,ping 10,ping-restart 60,ifconfig 192.168.89.6 192.168.89.5' (status=1)
      Jan 18 18:24:17 openvpn[99779]: test/192.168.10.118:50297 MULTI: bad source address from client [::], packet dropped
      Jan 18 18:24:19 openvpn[99779]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
      Jan 18 18:24:20 openvpn[99779]: MANAGEMENT: CMD 'status 2'
      Jan 18 18:24:20 openvpn[99779]: MANAGEMENT: CMD 'quit'
      Jan 18 18:24:20 openvpn[99779]: MANAGEMENT: Client disconnected
      Jan 18 18:25:21 openvpn[99779]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
      Jan 18 18:25:21 openvpn[99779]: MANAGEMENT: CMD 'status 2'
      Jan 18 18:25:21 openvpn[99779]: MANAGEMENT: CMD 'quit'
      Jan 18 18:25:21 openvpn[99779]: MANAGEMENT: Client disconnected
      Jan 18 18:26:23 openvpn[99779]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock


      Что может означать вот это:
      test/192.168.10.118:50297 MULTI: bad source address from client [::], packet dropped ? Я везде старался пользоваться только ipv4….

      Любая потребная информация будет добавлена завтра...

      1 Reply Last reply Reply Quote 0
      • P
        pigbrother last edited by

        Что может означать вот это:
        test/192.168.10.118:50297 MULTI: bad source address from client [::], packet dropped ? Я везде старался пользоваться только ipv4….

        Быстрый поиск говорит вроде как о том, что что-то не в порядке с конфигом клиента\неправильной настройке Client Specific Overrides .

        test/192.168.10.118:50297

        вместо 192.168.10.118 здесь должен быть внешний белый IP клиента test

        Любая потребная информация будет добавлена завтра…

        потребная информация - скриншоты настроек.

        1 Reply Last reply Reply Quote 0
        • T
          TR last edited by

          Спасибо за ответ. Ну, кроме скриншотов я еще добавлю куски конфигурации… Итак:
          WAN: 192.168.10.0/24, так что ip клиента правильное - именно 192.168.10.118. Его конфигурация будет выглядеть как ( файл kappa-udp-1194-test-config.ovpn):
          dev tun
          persist-tun
          persist-key
          cipher AES-128-CBC
          auth SHA1
          tls-client
          client
          resolv-retry infinite
          remote 192.168.10.82 1194 udp
          lport 0
          verify-x509-name "KappaVPNServCert" name
          pkcs12 kappa-udp-1194-test.p12
          tls-auth kappa-udp-1194-test-tls.key 1
          ns-cert-type server
          comp-lzo adaptive


          А описание интерфейсов pfSense из конфигурации будет выглядеть так:
          <interfaces><wan><enable><if>re2</if>
          <blockbogons><spoofmac><ipaddr>192.168.10.82</ipaddr>
          <subnet>24</subnet>
          <gateway>GW_WAN</gateway></spoofmac></blockbogons></enable></wan>
          <lan><enable><if>re0</if>

          <spoofmac><ipaddr>172.16.14.142</ipaddr>
          <subnet>24</subnet>
          <ipaddrv6>track6</ipaddrv6>
          <track6-interface>wan</track6-interface>
          <track6-prefix-id>0</track6-prefix-id></spoofmac></enable></lan>
          <opt1><if>re1</if>
          <enable><blockbogons><spoofmac><ipaddr>172.16.138.142</ipaddr>
          <subnet>24</subnet></spoofmac></blockbogons></enable></opt1></interfaces>


          Теперь скрины с настройками openVPN server:

          - openVPN server General + Cripto settings
          - openVPN server Tonnel settings
            - openVPN server Client Settings

          Что еще может помочь в поиске явных ошибок?

          1 Reply Last reply Reply Quote 0
          • P
            pigbrother last edited by

            Вставляйте картинки прямо в пост, через Attachments and other options.

            Локальная сеть у вас 172.16.14.0/24?  Тогда почему в настройках сервера IPv4 Local Network/s задана как 172.16.138.0/24

            Адрес WAN-интерфейса у вас "серый" -  192.168.10.82.
            Как удаленный клиент будет подключаться к серверу? Или планируются клиенты только из 192.168.10.0/24?

            1 Reply Last reply Reply Quote 0
            • T
              TR last edited by

              По поводу серого адреса WAN - это сделано сознательно на период отладки и учебы, чтобы я понимал хоть, что происходит и куда смотреть. Потом адрес будет заменен…
              Поэтому в описании wan интерфейса сброшен псица в Block privete networks (см. скриншот настроек WAN в aattachments. Как его в текст то перетащить без ссылки на внешний сайт?)
              Теперь по поводу LAN - а разве я обязан в настройках локальной подсети жестко указывать адреса подсетки ТОЛЬКО LAN интерфейса? Я указал подсетку FSBresc интерфейса (он же OPT1). Это критично?


              1 Reply Last reply Reply Quote 0
              • P
                pigbrother last edited by

                Я указал подсетку FSBresc интерфейса (он же OPT1). Это критично?

                Не знаю, не использовал дополнительных интерфейсов
                Попробуйте для начала указать только только LAN 172.16.14.0/24 или обе подсети через запятую:
                172.16.14.0/24,172.16.138.0/24

                1 Reply Last reply Reply Quote 0
                • T
                  TR last edited by

                  Давайте опробуем ваше резонное предложение.
                  Изменяем настройку openVPN server Tunnel Settings на LAN (см. attaching) и на всякий случай вообще перезагружаем устройство pfSense.
                  Подключаем клиента. Делаем у него в окне cmd: route print и следом ping в подсетку 172.16.14.131


                  Microsoft Windows [Version 10.0.10586]
                  © Корпорация Майкрософт (Microsoft Corporation), 2015. Все права защищены.

                  C:\Users\trop>route print

                  Список интерфейсов
                    5...7c 5c f8 28 bb 5d ......Intel(R) Dual Band Wireless-AC 7260
                    8...7c 5c f8 28 bb 5e ......Microsoft Wi-Fi Direct Virtual Adapter
                  13...3c 1e 04 f3 a2 bb ......D-Link DUB-E100 USB2.0 to Fast Ethernet Adapter
                    9...00 ff a4 02 f7 96 ......TAP-Windows Adapter V9
                  11...7c 5c f8 28 bb 61 ......Bluetooth Device (Personal Area Network)
                    1...........................Software Loopback Interface 1
                  12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
                  16...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
                    7...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3

                  IPv4 таблица маршрута

                  Активные маршруты:
                  Сетевой адрес          Маска сети      Адрес шлюза      Интерфейс  Метрика
                            0.0.0.0          0.0.0.0  192.168.10.222  192.168.10.118    276
                          127.0.0.0        255.0.0.0        On-link        127.0.0.1    306
                          127.0.0.1  255.255.255.255        On-link        127.0.0.1    306
                    127.255.255.255  255.255.255.255        On-link        127.0.0.1    306
                        172.16.14.0    255.255.255.0    192.168.89.5    192.168.89.6    20
                      192.168.10.0    255.255.255.0        On-link    192.168.10.118    276
                    192.168.10.118  255.255.255.255        On-link    192.168.10.118    276
                    192.168.10.255  255.255.255.255        On-link    192.168.10.118    276
                      192.168.89.1  255.255.255.255    192.168.89.5    192.168.89.6    20
                      192.168.89.4  255.255.255.252        On-link      192.168.89.6    276
                      192.168.89.6  255.255.255.255        On-link      192.168.89.6    276
                      192.168.89.7  255.255.255.255        On-link      192.168.89.6    276
                          224.0.0.0        240.0.0.0        On-link        127.0.0.1    306
                          224.0.0.0        240.0.0.0        On-link    192.168.10.118    276
                          224.0.0.0        240.0.0.0        On-link      192.168.89.6    276
                    255.255.255.255  255.255.255.255        On-link        127.0.0.1    306
                    255.255.255.255  255.255.255.255        On-link    192.168.10.118    276
                    255.255.255.255  255.255.255.255        On-link      192.168.89.6    276

                  Постоянные маршруты:
                    Сетевой адрес            Маска    Адрес шлюза      Метрика
                            0.0.0.0          0.0.0.0  192.168.10.222  По умолчанию

                  IPv6 таблица маршрута

                  Активные маршруты:
                  Метрика  Сетевой адрес            Шлюз
                    1    306 ::1/128                  On-link
                    9    276 fe80::/64                On-link
                    9    276 fe80::5879:a9d8:97d5:64c9/128
                                                      On-link
                    1    306 ff00::/8                On-link
                    9    276 ff00::/8                On-link

                  Постоянные маршруты:
                    Отсутствует

                  C:\Users\trop>ping 192.16.14.131

                  Обмен пакетами с 192.16.14.131 по с 32 байтами данных:
                  Превышен интервал ожидания для запроса.
                  Превышен интервал ожидания для запроса.
                  Превышен интервал ожидания для запроса.
                  Превышен интервал ожидания для запроса.

                  Статистика Ping для 192.16.14.131:
                      Пакетов: отправлено = 4, получено = 0, потеряно = 4
                      (100% потерь)


                  Видим, что настройка таблицы роутинга верна, а пинг не проходит. На всякий случай проверяем пингуемость адреса из pfSense:

                  PING 172.16.14.131 (172.16.14.131): 56 data bytes
                  64 bytes from 172.16.14.131: icmp_seq=0 ttl=128 time=1.500 ms
                  64 bytes from 172.16.14.131: icmp_seq=1 ttl=128 time=0.405 ms
                  64 bytes from 172.16.14.131: icmp_seq=2 ttl=128 time=0.371 ms

                  --- 172.16.14.131 ping statistics ---
                  3 packets transmitted, 3 packets received, 0.0% packet loss
                  round-trip min/avg/max/stddev = 0.371/0.759/1.500/0.524 ms


                  И странные вещи пишутся в логе openVPN:


                  Jan 19 12:12:10 openvpn[17697]: auth_user_pass_verify_script_via_file = DISABLED
                  Jan 19 12:12:10 openvpn[17697]: port_share_host = '[UNDEF]'
                  Jan 19 12:12:10 openvpn[17697]: port_share_port = 0
                  Jan 19 12:12:10 openvpn[17697]: client = DISABLED
                  Jan 19 12:12:10 openvpn[17697]: pull = DISABLED
                  Jan 19 12:12:10 openvpn[17697]: auth_user_pass_file = '[UNDEF]'
                  Jan 19 12:12:10 openvpn[17697]: OpenVPN 2.3.8 i386-portbld-freebsd10.1 [SSL (OpenSSL)] [LZO] [MH] [IPv6] built on Aug 21 2015
                  Jan 19 12:12:10 openvpn[17697]: library versions: OpenSSL 1.0.1l-freebsd 15 Jan 2015, LZO 2.09
                  Jan 19 12:12:10 openvpn[18494]: MANAGEMENT: unix domain socket listening on /var/etc/openvpn/server1.sock
                  Jan 19 12:12:10 openvpn[18494]: Could not retrieve default gateway from route socket:: No such process (errno=3)
                  Jan 19 12:12:10 openvpn[18494]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
                  Jan 19 12:12:10 openvpn[18494]: Diffie-Hellman initialized with 2048 bit key
                  Jan 19 12:12:10 openvpn[18494]: Control Channel Authentication: using '/var/etc/openvpn/server1.tls-auth' as a OpenVPN static key file
                  Jan 19 12:12:10 openvpn[18494]: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
                  Jan 19 12:12:10 openvpn[18494]: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
                  Jan 19 12:12:10 openvpn[18494]: TLS-Auth MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:3 ]
                  Jan 19 12:12:10 openvpn[18494]: Socket Buffers: R=[42080->65536] S=[57344->65536]
                  Jan 19 12:12:10 openvpn[18494]: Could not retrieve default gateway from route socket:: No such process (errno=3)
                  Jan 19 12:12:10 openvpn[18494]: ROUTE: default_gateway=UNDEF
                  Jan 19 12:12:10 openvpn[18494]: TUN/TAP device ovpns1 exists previously, keep at program end
                  Jan 19 12:12:10 openvpn[18494]: TUN/TAP device /dev/tun1 opened
                  Jan 19 12:12:10 openvpn[18494]: ioctl(TUNSIFMODE): Device busy: Device busy (errno=16)
                  Jan 19 12:12:10 openvpn[18494]: do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0
                  Jan 19 12:12:10 openvpn[18494]: /sbin/ifconfig ovpns1 192.168.89.1 192.168.89.2 mtu 1500 netmask 255.255.255.255 up
                  Jan 19 12:12:10 openvpn[18494]: /usr/local/sbin/ovpn-linkup ovpns1 1500 1558 192.168.89.1 192.168.89.2 init
                  Jan 19 12:12:10 openvpn[18494]: /sbin/route add -net 192.168.89.0 192.168.89.2 255.255.255.0
                  Jan 19 12:12:10 openvpn[18494]: Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:143 ET:0 EL:3 AF:3/1 ]
                  Jan 19 12:12:10 openvpn[18494]: UDPv4 link local (bound): [AF_INET]192.168.10.82:1194
                  Jan 19 12:12:10 openvpn[18494]: UDPv4 link remote: [undef]
                  Jan 19 12:12:10 openvpn[18494]: MULTI: multi_init called, r=256 v=256
                  Jan 19 12:12:10 openvpn[18494]: IFCONFIG POOL: base=192.168.89.4 size=62, ipv6=0
                  Jan 19 12:12:10 openvpn[18494]: Initialization Sequence Completed
                  Jan 19 12:12:30 openvpn[18494]: MANAGEMENT: CMD 'status 2'
                  Jan 19 12:12:32 openvpn[18494]: MANAGEMENT: CMD 'quit'
                  Jan 19 12:12:32 openvpn[18494]: MANAGEMENT: Client disconnected
                  Jan 19 12:12:45 openvpn[18494]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
                  Jan 19 12:12:45 openvpn[18494]: MANAGEMENT: CMD 'status 2'
                  Jan 19 12:12:45 openvpn[18494]: MANAGEMENT: Client disconnected
                  Jan 19 12:13:33 openvpn[18494]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
                  Jan 19 12:13:33 openvpn[18494]: MANAGEMENT: CMD 'status 2'
                  Jan 19 12:13:33 openvpn[18494]: MANAGEMENT: CMD 'quit'
                  Jan 19 12:13:33 openvpn[18494]: MANAGEMENT: Client disconnected
                  Jan 19 12:13:49 openvpn[18494]: MULTI: multi_create_instance called
                  Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Re-using SSL/TLS context
                  Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 LZO compression initialized
                  Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Control Channel MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:3 ]
                  Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:143 ET:0 EL:3 AF:3/1 ]
                  Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Local Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-128-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
                  Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-128-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
                  Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Local Options hash (VER=V4): 'a2e63101'
                  Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Expected Remote Options hash (VER=V4): '272f1b58'
                  Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 TLS: Initial packet from [AF_INET]192.168.10.118:63287, sid=b52da94e 4a59a085
                  Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 VERIFY SCRIPT OK: depth=1, C=RU, ST=Russia, L=Moscow, O=Finnet-Service, emailAddress=someaddress@fnts.ru, CN=KappaAuthCert
                  Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 VERIFY OK: depth=1, C=RU, ST=Russia, L=Moscow, O=Finnet-Service, emailAddress=someaddress@fnts.ru, CN=KappaAuthCert
                  Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 VERIFY SCRIPT OK: depth=0, C=RU, ST=Russia, L=Moscow, O=Finnet-Service, emailAddress=someaddress@fnts.ru, CN=test
                  Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 VERIFY OK: depth=0, C=RU, ST=Russia, L=Moscow, O=Finnet-Service, emailAddress=someaddress@fnts.ru, CN=test
                  Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
                  Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
                  Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
                  Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
                  Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
                  Jan 19 12:13:49 openvpn[18494]: 192.168.10.118:63287 [test] Peer Connection Initiated with [AF_INET]192.168.10.118:63287
                  Jan 19 12:13:49 openvpn[18494]: test/192.168.10.118:63287 MULTI_sva: pool returned IPv4=192.168.89.6, IPv6=(Not enabled)
                  Jan 19 12:13:49 openvpn[18494]: test/192.168.10.118:63287 MULTI: Learn: 192.168.89.6 -> test/192.168.10.118:63287
                  Jan 19 12:13:49 openvpn[18494]: test/192.168.10.118:63287 MULTI: primary virtual IP for test/192.168.10.118:63287: 192.168.89.6
                  Jan 19 12:13:51 openvpn[18494]: test/192.168.10.118:63287 PUSH: Received control message: 'PUSH_REQUEST'
                  Jan 19 12:13:51 openvpn[18494]: test/192.168.10.118:63287 send_push_reply(): safe_cap=940
                  Jan 19 12:13:51 openvpn[18494]: test/192.168.10.118:63287 SENT CONTROL [test]: 'PUSH_REPLY,route 172.16.14.0 255.255.255.0,route 192.168.89.1,topology net30,ping 10,ping-restart 60,ifconfig 192.168.89.6 192.168.89.5' (status=1)
                  Jan 19 12:13:52 openvpn[18494]: test/192.168.10.118:63287 MULTI: bad source address from client [::], packet dropped
                  Jan 19 12:14:35 openvpn[18494]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
                  Jan 19 12:14:35 openvpn[18494]: MANAGEMENT: CMD 'status 2'
                  Jan 19 12:14:35 openvpn[18494]: MANAGEMENT: CMD 'quit'
                  Jan 19 12:14:35 openvpn[18494]: MANAGEMENT: Client disconnected
                  Jan 19 12:15:37 openvpn[18494]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
                  Jan 19 12:15:37 openvpn[18494]: MANAGEMENT: CMD 'status 2'
                  Jan 19 12:15:37 openvpn[18494]: MANAGEMENT: CMD 'quit'
                  Jan 19 12:15:37 openvpn[18494]: MANAGEMENT: Client disconnected


                  Что означает непрерывное Client connected, …, Client disconnected ?
                  Как-то не помогает...


                  1 Reply Last reply Reply Quote 0
                  • T
                    TR last edited by

                    Господа, вы будете смеяться, но найдя в документации следующий раздел: https://doc.pfsense.org/index.php/Why_can%27t_I_ping_some_OpenVPN_adapter_addresses, в котором рассказывается что ping сплошь и рядом не проходит через локальный openVPN, я решил отказаться от ping и начал пробовать RDP, чтобы хоть как-то убедиться в наличии связи.
                    Сработало. Я смог подключиться к своему серверу за openVPN указав его адрес 172.16.14.131 после установления связи клиента openVPN…
                    Странно. Более того, ПОСЛЕ этого заработал и ping и tracert ...
                    Единственное, что могу предположить, что я от отчаяния тронул командой pfSense Diagnostic->Edit File сокет /var/etc/openvpn/server1.sock
                    И он, падла, испугался...
                    Не понимаю... А если перегрузить pfSense? А если отключить клиент openVPN и подключиться снова? Работает...
                    Тля...

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post