Вы не вошли.
Страницы 1
Настраивал OpenVPN по статье http://samovarchik.info/viewtopic.php?id=3145
изменил только пути к "C:\\OpenVPN\\ccd" и "C:\\OpenVPN\\ipp.txt
У меня сейчас вот такая схема:
Сервер на Windows 7 x64
OpenVPN версии 2.3.2
Конфигурационный файл сервера C:\openvpn\server.ovpn
dev tun
tls-server
server 10.8.0.0 255.255.255.0
ifconfig 10.8.0.1 255.255.255.0
client-config-dir "C:\\OpenVPN\\ccd"
#routes
route 10.8.0.0 255.255.255.0 #IP Range of VPN
route 192.168.100.0 255.255.255.0 #10.8.0.6
#route 192.168.15.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0" #Say to clients that RI160 has 192.168.1.0/24 LAN
#keys
dh "C:\\OpenVPN\\keys\\dh1024.pem"
ca "C:\\OpenVPN\\keys\\ca.crt"
cert "C:\\OpenVPN\\keys\\server.crt"
key "C:\\OpenVPN\\keys\\server.key"
client-to-client
ifconfig-pool-persist "C:\\OpenVPN\\ipp.txt"
port 1194
proto udp
comp-lzo
persist-tun
persist-key
verb 3
log-append "C:\\OpenVPN\\log\\openvpn.log"
status "C:\\OpenVPN\\log\\status.log"
keepalive 10 60 #период рестарта неактивной сессии
-------------
C:\openvpn\ccd\Client1-WinXP
push "route 192.168.100.0 255.255.255.0"
C:\openvpn\ipp.txt
Сам заполняется после поднятия соединения клиентом
user,10.8.0.4
Не понимаю откуда берутся эти значения?
---------
Клиентский конфиг:
client
dev tun
proto upd
remote 92.255.183.188
tun-mtu 1480
persist-key
persist-tun
ca "C:\\OpenVPN\\keys\\ca.crt"
cert C:\\OpenVPN\\keys\\user.crt"
key C:\\OpenVPN\\keys\\user.key"
ns-cert-type server
comp-lzo
verb 3
log-append "C:\\OpenVPN\\log\\openvpn.log"
status "C:\\OpenVPN\\log\\status.log"
keepalive 10 60
---------
Лог сервера, после того как клиент подключился:
Sat Feb 22 15:43:49 2014 OpenVPN 2.3.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013
Sat Feb 22 15:43:50 2014 Diffie-Hellman initialized with 1024 bit key
Sat Feb 22 15:43:50 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Feb 22 15:43:50 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sat Feb 22 15:43:50 2014 open_tun, tt->ipv6=0
Sat Feb 22 15:43:50 2014 TAP-WIN32 device [Подключение по локальной сети 2] opened: \\.\Global\{053C40EC-7057-40CA-AE70-8096C3458E7D}.tap
Sat Feb 22 15:43:50 2014 TAP-Windows Driver Version 9.9
Sat Feb 22 15:43:50 2014 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.1/255.255.255.252 on interface {053C40EC-7057-40CA-AE70-8096C3458E7D} [DHCP-serv: 10.8.0.2, lease-time: 31536000]
Sat Feb 22 15:43:50 2014 Sleeping for 10 seconds...
Sat Feb 22 15:44:00 2014 Successful ARP Flush on interface [21] {053C40EC-7057-40CA-AE70-8096C3458E7D}
Sat Feb 22 15:44:00 2014 C:\Windows\system32\route.exe ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.2
Sat Feb 22 15:44:00 2014 ROUTE: route addition failed using CreateIpForwardEntry: Неверны один или несколько аргументов. [status=160 if_index=21]
Sat Feb 22 15:44:00 2014 Route addition via IPAPI failed [adaptive]
Sat Feb 22 15:44:00 2014 Route addition fallback to route.exe
Sat Feb 22 15:44:00 2014 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Sat Feb 22 15:44:00 2014 C:\Windows\system32\route.exe ADD 192.168.100.0 MASK 255.255.255.0 10.8.0.2
Sat Feb 22 15:44:00 2014 ROUTE: route addition failed using CreateIpForwardEntry: Неверны один или несколько аргументов. [status=160 if_index=21]
Sat Feb 22 15:44:00 2014 Route addition via IPAPI failed [adaptive]
Sat Feb 22 15:44:00 2014 Route addition fallback to route.exe
Sat Feb 22 15:44:00 2014 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Sat Feb 22 15:44:00 2014 C:\Windows\system32\route.exe ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.2
Sat Feb 22 15:44:00 2014 ROUTE: route addition failed using CreateIpForwardEntry: Неверны один или несколько аргументов. [status=160 if_index=21]
Sat Feb 22 15:44:00 2014 Route addition via IPAPI failed [adaptive]
Sat Feb 22 15:44:00 2014 Route addition fallback to route.exe
Sat Feb 22 15:44:00 2014 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Sat Feb 22 15:44:00 2014 UDPv4 link local (bound): [undef]
Sat Feb 22 15:44:00 2014 UDPv4 link remote: [undef]
Sat Feb 22 15:44:00 2014 MULTI: multi_init called, r=256 v=256
Sat Feb 22 15:44:00 2014 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Sat Feb 22 15:44:00 2014 ifconfig_pool_read(), in='user,10.8.0.4', TODO: IPv6
Sat Feb 22 15:44:00 2014 succeeded -> ifconfig_pool_set()
Sat Feb 22 15:44:00 2014 IFCONFIG POOL LIST
Sat Feb 22 15:44:00 2014 user,10.8.0.4
Sat Feb 22 15:44:00 2014 Initialization Sequence Completed
Sat Feb 22 16:02:34 2014 82.200.36.58:41896 TLS: Initial packet from [AF_INET]82.200.36.58:41896, sid=a7696414 6691b483
Sat Feb 22 16:02:34 2014 82.200.36.58:41896 VERIFY OK: depth=1, C=RU, ST=Omsk, L=Omsk, O=Firm, CN=debgate, name=vasya, emailAddress=me@domain.ru
Sat Feb 22 16:02:34 2014 82.200.36.58:41896 VERIFY OK: depth=0, C=RU, ST=LO, L=SanFrancisco, O=Fort-Funston, CN=user, emailAddress=me@myhost.mydomain
Sat Feb 22 16:02:34 2014 82.200.36.58:41896 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1542', remote='link-mtu 1522'
Sat Feb 22 16:02:34 2014 82.200.36.58:41896 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1500', remote='tun-mtu 1480'
Sat Feb 22 16:02:34 2014 82.200.36.58:41896 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Feb 22 16:02:34 2014 82.200.36.58:41896 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Feb 22 16:02:34 2014 82.200.36.58:41896 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Feb 22 16:02:34 2014 82.200.36.58:41896 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Feb 22 16:02:34 2014 82.200.36.58:41896 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sat Feb 22 16:02:34 2014 82.200.36.58:41896 [user] Peer Connection Initiated with [AF_INET]82.200.36.58:41896
Sat Feb 22 16:02:34 2014 user/82.200.36.58:41896 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Sat Feb 22 16:02:34 2014 user/82.200.36.58:41896 MULTI: Learn: 10.8.0.6 -> user/82.200.36.58:41896
Sat Feb 22 16:02:34 2014 user/82.200.36.58:41896 MULTI: primary virtual IP for user/82.200.36.58:41896: 10.8.0.6
Sat Feb 22 16:02:35 2014 user/82.200.36.58:41896 PUSH: Received control message: 'PUSH_REQUEST'
Sat Feb 22 16:02:35 2014 user/82.200.36.58:41896 send_push_reply(): safe_cap=940
Sat Feb 22 16:02:35 2014 user/82.200.36.58:41896 SENT CONTROL [user]: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 10.8.0.6 10.8.0.5' (status=1)
---------
лог клиента
Sat Feb 22 16:02:17 2014 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Sat Feb 22 16:02:17 2014 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Sat Feb 22 16:02:17 2014 LZO compression initialized
Sat Feb 22 16:02:17 2014 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1480)
Sat Feb 22 16:02:17 2014 Control Channel MTU parms [ L:1522 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sat Feb 22 16:02:17 2014 Data Channel MTU parms [ L:1522 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sat Feb 22 16:02:17 2014 Local Options hash (VER=V4): '3d6d2e77'
Sat Feb 22 16:02:17 2014 Expected Remote Options hash (VER=V4): 'af88b655'
Sat Feb 22 16:02:17 2014 UDPv4 link local (bound): [undef]:1194
Sat Feb 22 16:02:17 2014 UDPv4 link remote: 92.255.183.188:1194
Sat Feb 22 16:02:17 2014 TLS: Initial packet from 92.255.183.188:1194, sid=e4c93835 5af9dea4
Sat Feb 22 16:02:17 2014 VERIFY OK: depth=1, /C=RU/ST=Omsk/L=Omsk/O=Firm/CN=debgate/name=vasya/emailAddress=me@domain.ru
Sat Feb 22 16:02:17 2014 VERIFY OK: nsCertType=SERVER
Sat Feb 22 16:02:17 2014 VERIFY OK: depth=0, /C=RU/ST=Omsk/L=Omsk/O=Firm/CN=server/emailAddress=me@domain.ru
Sat Feb 22 16:02:17 2014 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1522', remote='link-mtu 1542'
Sat Feb 22 16:02:17 2014 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1480', remote='tun-mtu 1500'
Sat Feb 22 16:02:17 2014 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Feb 22 16:02:17 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Feb 22 16:02:17 2014 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Feb 22 16:02:17 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Feb 22 16:02:17 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sat Feb 22 16:02:17 2014 [server] Peer Connection Initiated with 92.255.183.188:1194
Sat Feb 22 16:02:18 2014 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Sat Feb 22 16:02:18 2014 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 10.8.0.6 10.8.0.5'
Sat Feb 22 16:02:18 2014 Options error: Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:3: topology (2.0.9)
Sat Feb 22 16:02:18 2014 OPTIONS IMPORT: timers and/or timeouts modified
Sat Feb 22 16:02:18 2014 OPTIONS IMPORT: --ifconfig/up options modified
Sat Feb 22 16:02:18 2014 OPTIONS IMPORT: route options modified
Sat Feb 22 16:02:18 2014 TAP-WIN32 device [NULL] opened: \\.\Global\{0A9763D7-724D-498C-A742-F20A2225AA2F}.tap
Sat Feb 22 16:02:18 2014 TAP-Win32 Driver Version 8.4
Sat Feb 22 16:02:18 2014 TAP-Win32 MTU=1500
Sat Feb 22 16:02:18 2014 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {0A9763D7-724D-498C-A742-F20A2225AA2F} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Sat Feb 22 16:02:18 2014 Successful ARP Flush on interface [4] {0A9763D7-724D-498C-A742-F20A2225AA2F}
Sat Feb 22 16:02:18 2014 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Sat Feb 22 16:02:18 2014 Route: Waiting for TUN/TAP interface to come up...
Sat Feb 22 16:02:19 2014 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Sat Feb 22 16:02:19 2014 Route: Waiting for TUN/TAP interface to come up...
Sat Feb 22 16:02:20 2014 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Sat Feb 22 16:02:20 2014 Route: Waiting for TUN/TAP interface to come up...
Sat Feb 22 16:02:21 2014 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Sat Feb 22 16:02:21 2014 route ADD 192.168.1.0 MASK 255.255.255.0 10.8.0.5
Sat Feb 22 16:02:21 2014 Route addition via IPAPI succeeded
Sat Feb 22 16:02:21 2014 route ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.5
Sat Feb 22 16:02:21 2014 Route addition via IPAPI succeeded
Sat Feb 22 16:02:21 2014 Initialization Sequence Completed
---------
После того как клиент подключается к серверу, сервер пингуется с ПК клинта, а клиент пингуется с ПК сервера, сети за сервером и клиентом не видят друг друга.
Надеюсь разобраться сам, изучив подробнее логи и используя гугл, но на всякий случай создал тему и здесь.
C:\openvpn\ipp.txt
В этом файле сохраняются ip адреса выданные клиентам.
Файл указан в строке:
ifconfig-pool-persist "C:\\OpenVPN\\ipp.txt"
конфигурационного файла сервера.
Клиент не видит сеть за сервером скорее всего из-за неправильной таблицы маршрутизации.
Пока явно вижу только лишнее здесь:
C:\openvpn\ccd\Client1-WinXP
push "route 192.168.100.0 255.255.255.0"
Эта команда выполняемая на клиенте, в данном случае Client1-WinXP
Используется для прописывания маршрутов через сеть vpn в случае если есть еще клиенты и до них нужно добраться через тоннель.
В случае двух узлов (как на схеме) не нужна.
Настройка маршрутов описана в этом куске конфига сервера:
#routes
route 10.8.0.0 255.255.255.0 #IP Range of VPN
route 192.168.100.0 255.255.255.0 #10.8.0.6
#route 192.168.15.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0" #Say to clients that RI160 has 192.168.1.0/24 LAN
Первые две строки выполняются на сервере, делая записи в таблице маршрутизации.
Третья выполняется на клиентах подключаемых к этому серверу, записывая маршрут в сеть сервера в таблицу маршрутизации.
Еще нужно проверить таблицы маршрутов обоих узлов до и после установления соединения (route print).
Не проверял, но скорей всего, нужно виртуальный сетевой интерфейс создаваемый openvpn объеденять в бридж с интерфейсом который смотрит в локальную сеть. Это нужно сделать на стороне сервера и на стороне клиента, и(я думаю) тогда локальные сети за ними будут пинговатся.
Страницы 1
[ Сгенерировано за 0.022 сек, 9 запросов выполнено - Использовано памяти: 2 MiB (Пик: 2.07 MiB) ]