Elektroda.pl
Elektroda.pl
X

Wyszukiwarki naszych partnerów

Kategoria: Kamery IP / Alarmy / Automatyka Bram
Montersi
Kategoria: Akumulatorki / Baterie / Ładowarki

OpenVPN konfiguracja na serwerze

bobi1326 22 Mar 2012 16:41
  • #1 22 Mar 2012 16:41
    bobi1326
    Poziom 19  

    Witam. Chciałbym uruchomić sobie usługę VPN. Mam sieć w domu opartą na routerze, mam zmienne IP ale uruchomiłem DDNS'a. Do routera podłączone są komputery. Do jednego z nich chciałbym mieć dostęp po VPN aby móc przez niego wchodzić do sieci lokalnej z zewnątrz. Na komputerze serwerze instaluje oprogramowanie OpenVPN. Łączyć z tym połączeniem chciałbym za pomocą portable OpenVPN. Wszystkie programy mam skompletowane. Trochę posiedziałem nad dwiema instrukcjami. I mam trochę problemów (http://sierp.net/faq/openvpn.html http://www.tomcom.com.pl/tomato/vpn-konfiguracja.html)

    Najpierw instaluje sobie openVPN na komputerze serwerze. W połączeniach sieciowych pojawia mi się dodatkowe połączenie. Ogólnie łączę się poprzez WiFi także odpalam właściwości tego połączenia WiFi i ustawiam wszystko na sztywno (IP, maskę, bramę, DNS'y). Internet na komputerze działa. Wtedy zaznaczam to połączenie bezprzewodowe oraz to dodane przez OpenVPN i robię mostek. Mostek się tworzy. Wchodzę w jego właściwości i ustawiam także na sztywno ustawienia takie same jak miało samo połączenie bezprzewodowe oraz w zaawansowanych dodaje adres IP 10.10.10.2 i maskę 255.255.255.0. Internet działa.

    Dla IP komputera serwera mam przekierowany port 1194.


    Teraz odpalam wiersz poleceń.
    1. Daje polecenie: set PATH=%PATH%;c:\program files\openvpn\bin

    2. Wchodzę do lokalizacji C:\Program Files\OpenVPN\easy-rsa\

    3. Daje polecenie: C:\Program Files\OpenVPN\easy-rsa>init-config

    4. Daje polecenie: C:\Program Files\OpenVPN\easy-rsa>vars
    (System, nie zwraca żadnej informacji)

    5. C:\Program Files\OpenVPN\easy-rsa>clean-all
    (Liczba skopiowanych plików: 1.
    Liczba skopiowanych plików: 1.)

    6. Daje polecenie: C:\Program Files\OpenVPN\easy-rsa>build-ca
    (Country Name (2 letter code) [US]: PL
    State or Province Name (full name) [CA]: KP
    Locality Name (eg, city) [SanFrancisco]: TORUN
    Organization Name (eg, company) [OpenVPN]: BORVPN
    Organizational Unit Name (eg, section) []: cisco
    Common Name (eg, your name or your server's hostname) []: linksys
    Name [changeme]: ADMIN
    Email Adress [mail@host.domian]: aaaa(malpa)gmail.com

    7. Daje polecenie: C:\Program Files\OpenVPN\easy-rsa>build-key-server server
    (Country Name (2 letter code) [US]: PL
    State or Province Name (full name) [CA]: KP
    Locality Name (eg, city) [SanFrancisco]: TORUN
    Organization Name (eg, company) [OpenVPN]: BORVPN
    Organizational Unit Name (eg, section) []: cisco
    Common Name (eg, your name or your server's hostname) []: linksys
    Name [changeme]: SERWER
    Email Adress [mail@host.domian]: bbbb(malpa)gmail.com
    Zapytanie o hasło: serwer
    Zapytanie o nazwę: serwer
    Zapytanie [y/n]: y
    Zapytanie [y/n]: y)

    8. Daje polecenie: C:\Program Files\OpenVPN\easy-rsa>build-key client1
    (Country Name (2 letter code) [US]: PL
    State or Province Name (full name) [CA]: KP
    Locality Name (eg, city) [SanFrancisco]: TORUN
    Organization Name (eg, company) [OpenVPN]: BORVPN
    Organizational Unit Name (eg, section) []: cisco
    Common Name (eg, your name or your server's hostname) []: linksys
    Name [changeme]: CLIENT1
    Email Adress [mail@host.domian]: cccc(malpa)gmail.com
    Zapytanie o hasło: client1
    Zapytanie o nazwę: client1
    Zapytanie [y/n]: y
    Zapytanie [y/n]: y)


    I tutaj się zatrzymałem. W katalogu keys otrzymałem pliki:
    1. 01.pem ; 02.pem
    2. ca.crt ; ca.key
    3. client1.crt ; client1.csr ; client1. key
    4. index.txt ; index.txt.attr ; serial
    5. server.crt ; server.csr ; server.key

    Wiem, że teraz część plików powinienem przenieść do katalogu config oraz dodać tam plik server.ovpn z jakąś zawartością. Domyślam się, że to właśnie w tym pliku będę musiał zawrzeć informację o DDNS'ie. Jednak łączę dwie instrukcje i jest tu rozbieżność w nazewnictwie. Czy ktoś mógłby mi podpowiedzieć co dalej na serwerze oraz jakie pliki wkleić do konfiguracji openVPNportable?


    W jednej z wymienionych instrukcji jest napisane, że na serwerze powinienem w configu utworzyć plik server.ovpn o treści:

    mode server
    proto udp
    port 1194
    dev tap0
    # VPN Server Subnetmask Start-IP End-IP
    server-bridge 10.10.10.2 255.255.255.0 10.10.10.50 10.10.10.100
    keepalive 10 120
    verb 3
    comp-lzo
    client-to-client
    muszę zmienić ten parametr?
    dh dh1024.pem ja nie posiadam takiego pliku tylko 01.pem oraz 02.pem
    ca ca.crt ten plik pozostaje bez zmian?
    cert client.crt tutaj w moim przypadku daję plik server.crt?
    key client.key tutaj w moim przypadku daję plik server.key?


    Nie wiem gdzie tu wpisać informację o DDNS'ie który jest uruchomiony na routerze do który podpięty jest komputer serwer.


    A na kliencie client.ovpn o treści:

    client
    dev tap
    proto udp
    remote 1194
    nobind
    persist-key
    persist-tun
    ca ca.crt
    plik pozostaje bez zmian?
    cert client.crt tutaj w moim przypadku daję plik client1.crt?
    key client.key tutaj w moim przypadku daję plik client1.crt?
    comp-lzo
    verb 3


    Tutaj też muszę zawrzeć informację o DDNS'ie? Jeżeli tak to gdzie?



    Jeszcze jedno pytanie. Czy jeżeli już się uda to wszystko ustawić i będę chciał wykonać połączenie poprzez portable OpenVPN na komputer serwer z zewnątrz, a tam gdzie będę jest router to muszę na tym routerze przekierowywać jakieś porty?

    Z góry dzięki za pomoc

  • #2 22 Mar 2012 16:49
    bogiebog
    Specjalista Sieci, Internet

    Jakiej konfiguracji będziesz używał
    bridged czy routed ?
    Z routed to trudniej będzie bo będziesz musiał ustawić route na wszystkich komputerach dodatkowo.

    Dodano po 35 [sekundy]:

    Port na routerze będziesz musiał przekierować.

  • #3 22 Mar 2012 16:58
    bobi1326
    Poziom 19  

    Kurde z tym przekierowaniem portu trochę mnie zasmuciłeś. Często pracuję na różnych komputerach (na zewnątrz sieci) i chciałbym mieć dostęp do sieci lokalnej w moim domu. Nie zawsze mam możliwość dostania się szybkiego do routera i przekierowania portów (zawsze trzeba wyciągać dane do logowania a najczęściej to trwa dłużej niż cała praca).

    A czy na komputerze kliencie jak odpalę portable OpenVPN to też muszę najpierw stworzyć mostek sieciowy z aktualnego połączenia sieciowego oraz tego od VPN?

    Tak czy owak spróbuję to wykonać. Chyba tryb bridged będzie łatwiejszy jak mówisz.

  • Pomocny post
    #5 22 Mar 2012 18:11
    szwagros
    Poziom 28  

    Klient potrzebuje 3 pliki wygenerowane na serwerze:
    server.crt
    client.crt
    client.key
    (nazwy są umowne, ale wg konwencji w Twoim poście)
    Musisz skopiować je na komputer klienta i podać w konfigu.
    A adres DDNS podajesz w konfigu klienta w linijce 'remote'.
    Port (1194) trzeba przekierować tylko po stronie serwera, i tylko gdy nie ma on publicznego IP.

  • #6 22 Mar 2012 18:32
    bobi1326
    Poziom 19  

    Ok zacząłem od serwera. Stworzyłem plik serwer.opvn o treści:

    mode server
    proto udp
    port 1194
    dev tap0
    dev tun
    # VPN Server Subnetmask Start-IP End-IP
    server-bridge 10.10.10.2 255.255.255.0 10.10.10.50 10.10.10.100
    keepalive 10 120
    verb 3
    comp-lzo
    client-to-client
    dh 01.pem
    ca ca.crt
    cert server.crt
    key server.key


    Dodałem linijkę dev tun jak polecił bogiebog ale nie wiem czy o to chodziło dokładnie. Nazwy plików podmieniłem na swoje. Tylko mam problem z plikiem dh, bo mi żaden taki się nie tworzy tylko dwa pliki 01.pem i 02.pem. Wpisałem 01.pem. Wszystkie pliki przeniosłem do katalogu config.

    Przy próbie wciśnięcia połącz w OpenVPN na serwerze wywala błąd:
    Options error: --server-bridge directive only makes sense with --dev tap

    Czyli pewnie coś źle z tym dev tun wpisałem. Tylko co?

  • Pomocny post
    #7 22 Mar 2012 18:35
    szwagros
    Poziom 28  

    Wywal linijki dev tun i dh 01.pem.

  • #8 22 Mar 2012 18:46
    bobi1326
    Poziom 19  

    Po wywaleniu tych linijek przy próbie połączenia podaje błąd:
    Options error: You must define DH file (--dh)

  • #10 22 Mar 2012 20:00
    bobi1326
    Poziom 19  

    Udało się wygenerować plik dh i uzyskać połączenie na serwerze.

    Teraz zabrałem się za klienta.

    Mój plik client1.ovpn:

    client
    dev tap
    proto udp
    remote http://moj_ddns.com:1194
    nobind
    persist-key
    persist-tun
    ca ca.crt
    cert client1.crt
    key client1.key
    comp-lzo
    verb 3


    Uruchomiłem sobie portable OpenVPN na komputerze i do folderu config wrzuciłem ca.crt, client1.crt, client1.key oraz client1.opvn


    Przy próbie połączenia mam cały czas status Connecting i kręci się w koło coś takiego:

    Thu Mar 22 19:57:04 2012 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
    Thu Mar 22 19:57:04 2012 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
    Thu Mar 22 19:57:04 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Thu Mar 22 19:57:05 2012 LZO compression initialized
    Thu Mar 22 19:57:05 2012 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Thu Mar 22 19:57:05 2012 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
    Thu Mar 22 19:57:05 2012 Local Options hash (VER=V4): 'd79ca330'
    Thu Mar 22 19:57:05 2012 Expected Remote Options hash (VER=V4): 'f7df56b8'
    Thu Mar 22 19:57:05 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Thu Mar 22 19:57:05 2012 UDPv4 link local: [undef]
    Thu Mar 22 19:57:05 2012 UDPv4 link remote: xxx.xxx.xxx.xxx:1194
    Thu Mar 22 19:58:05 2012 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    Thu Mar 22 19:58:05 2012 TLS Error: TLS handshake failed
    Thu Mar 22 19:58:05 2012 TCP/UDP: Closing socket
    Thu Mar 22 19:58:05 2012 SIGUSR1[soft,tls-error] received, process restarting
    Thu Mar 22 19:58:05 2012 Restart pause, 2 second(s)
    Thu Mar 22 19:58:07 2012 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
    Thu Mar 22 19:58:07 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Thu Mar 22 19:58:07 2012 Re-using SSL/TLS context
    Thu Mar 22 19:58:07 2012 LZO compression initialized
    Thu Mar 22 19:58:07 2012 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Thu Mar 22 19:58:07 2012 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
    Thu Mar 22 19:58:07 2012 Local Options hash (VER=V4): 'd79ca330'
    Thu Mar 22 19:58:07 2012 Expected Remote Options hash (VER=V4): 'f7df56b8'
    Thu Mar 22 19:58:07 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Thu Mar 22 19:58:07 2012 UDPv4 link local: [undef]
    Thu Mar 22 19:58:07 2012 UDPv4 link remote: xxx.xxx.xxx.xxx:1194



    Jak na razie robię to będąc podpiętym pod ten sam router co komputer serwer. Czy to może mieć wpływ na to, że nie działa? I czy muszę po stronie klienta także robić mostek w połączeniach sieciowych?

  • Pomocny post
    #11 22 Mar 2012 20:46
    szwagros
    Poziom 28  

    bobi1326 napisał:
    Jak na razie robię to będąc podpiętym pod ten sam router co komputer serwer. Czy to może mieć wpływ na to, że nie działa?

    Tak. Do testowania użyj takiego IP, jaki ma serwer w sieci lokalnej. I nie używaj przedrostka 'http://' w opcji 'remote'.
    bobi1326 napisał:
    I czy muszę po stronie klienta także robić mostek w połączeniach sieciowych?

    Zależy do czego chcesz używać zestawionego tunelu. Zestawić połączenie i pingować drugi koniec tunelu da się bez konfiguracji mostka.

  • #12 22 Mar 2012 20:56
    bobi1326
    Poziom 19  

    Dokonałem zmian w client1.opvn i wpisałem:
    remote 192.168.0.102:1194


    Jednak dalej wywala błąd:


    Thu Mar 22 20:53:58 2012 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
    Thu Mar 22 20:53:58 2012 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
    Thu Mar 22 20:53:58 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Thu Mar 22 20:53:58 2012 LZO compression initialized
    Thu Mar 22 20:53:58 2012 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Thu Mar 22 20:53:58 2012 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
    Thu Mar 22 20:53:58 2012 Local Options hash (VER=V4): 'd79ca330'
    Thu Mar 22 20:53:58 2012 Expected Remote Options hash (VER=V4): 'f7df56b8'
    Thu Mar 22 20:53:58 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Thu Mar 22 20:53:58 2012 UDPv4 link local: [undef]
    Thu Mar 22 20:53:58 2012 UDPv4 link remote: 192.168.0.102:1194
    Thu Mar 22 20:54:58 2012 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    Thu Mar 22 20:54:58 2012 TLS Error: TLS handshake failed
    Thu Mar 22 20:54:58 2012 TCP/UDP: Closing socket
    Thu Mar 22 20:54:58 2012 SIGUSR1[soft,tls-error] received, process restarting
    Thu Mar 22 20:54:58 2012 Restart pause, 2 second(s)
    Thu Mar 22 20:55:00 2012 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
    Thu Mar 22 20:55:00 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Thu Mar 22 20:55:00 2012 Re-using SSL/TLS context
    Thu Mar 22 20:55:00 2012 LZO compression initialized
    Thu Mar 22 20:55:00 2012 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Thu Mar 22 20:55:00 2012 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
    Thu Mar 22 20:55:00 2012 Local Options hash (VER=V4): 'd79ca330'
    Thu Mar 22 20:55:00 2012 Expected Remote Options hash (VER=V4): 'f7df56b8'
    Thu Mar 22 20:55:00 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Thu Mar 22 20:55:00 2012 UDPv4 link local: [undef]
    Thu Mar 22 20:55:00 2012 UDPv4 link remote: 192.168.0.102:1194



    Połączenia chcę używać do wejścia na komputer serwer do jego dysków i dysków zmapowanych na niego z innych komputerów w sieci oraz do połączenia vnc.

  • #13 22 Mar 2012 21:06
    szwagros
    Poziom 28  

    W logach serwera coś się pojawia? Wygląda to tak, jakby na serwerze firewall blokował port 1194.

  • Pomocny post
    #14 22 Mar 2012 21:07
    bogiebog
    Specjalista Sieci, Internet

    moj client konfiguracja

    client
    dev tap
    proto udp
    remote vpngate.sfx 1194
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    ca acme-ca.crt
    cert acme-client.crt
    key acme-client.key
    ns-cert-type server
    tls-auth acme-ta.key 1
    comp-lzo
    verb 3
    auth-user-pass

    autoryzacja - cert + login/pass.

  • #15 22 Mar 2012 21:32
    bobi1326
    Poziom 19  

    To bardzo podobnie do mnie tylko tutaj masz jeszcze zapisy o tym, że musisz hasło podać oprócz certyfikatu, a reszta taka sama jak u mnie.

    Faktycznie blokował firewall na serwerze ;/

    Tylko teraz wywala inny błąd (ale jest zapis w logu serwera że coś chce się z nim połączyć). Mianowicie spaprałem sprawę z wypełnianiem tych pól podczas tworzenia plików.

    Nie wiem które informacje muszą być takie same, a które wpisać różne.

    Możecie powiedzieć czy gdzieś popełniam błąd?

    6. Daje polecenie: C:\Program Files\OpenVPN\easy-rsa>build-ca
    (Country Name (2 letter code) [US]: PL
    State or Province Name (full name) [CA]: KP
    Locality Name (eg, city) [SanFrancisco]: TORUN
    Organization Name (eg, company) [OpenVPN]: BORVPN
    Organizational Unit Name (eg, section) []: cisco
    Common Name (eg, your name or your server's hostname) []: linksys
    Name [changeme]: ADMIN
    Email Adress [mail@host.domian]: mail1(malpa)gmail.com

    7. Daje polecenie: C:\Program Files\OpenVPN\easy-rsa>build-key-server server
    (Country Name (2 letter code) [US]: PL
    State or Province Name (full name) [CA]: KP
    Locality Name (eg, city) [SanFrancisco]: TORUN
    Organization Name (eg, company) [OpenVPN]: BORVPN
    Organizational Unit Name (eg, section) []: cisco
    Common Name (eg, your name or your server's hostname) []: linksys
    Name [changeme]: SERWER
    Email Adress [mail@host.domian]: mail2(malpa)gmail.com
    Zapytanie o hasło: serwer
    Zapytanie o nazwę: serwer
    Zapytanie [y/n]: y
    Zapytanie [y/n]: y)

    8. Daje polecenie: C:\Program Files\OpenVPN\easy-rsa>build-key client1
    (Country Name (2 letter code) [US]: PL
    State or Province Name (full name) [CA]: KP
    Locality Name (eg, city) [SanFrancisco]: TORUN
    Organization Name (eg, company) [OpenVPN]: BORVPN
    Organizational Unit Name (eg, section) []: cisco
    Common Name (eg, your name or your server's hostname) []: linksys
    Name [changeme]: CLIENT1
    Email Adress [mail@host.domian]: mail3(malpa)gmail.com
    Zapytanie o hasło: client1
    Zapytanie o nazwę: client1
    Zapytanie [y/n]: y
    Zapytanie [y/n]: y)

  • #16 22 Mar 2012 21:40
    szwagros
    Poziom 28  

    Common name powinny być chyba inne na serwerze i kliencie.
    Ale podaj logi z serwera i klienta.

  • #17 22 Mar 2012 22:18
    bobi1326
    Poziom 19  

    Zrobiłem wszystko jeszcze raz zmieniając CommonName w każdym z trzech miejsc gdzie się to wpisuje (wszędzie jest inne).

    Taki mam log w client1:


    Thu Mar 22 22:17:22 2012 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
    Thu Mar 22 22:17:22 2012 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
    Thu Mar 22 22:17:22 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Thu Mar 22 22:17:22 2012 LZO compression initialized
    Thu Mar 22 22:17:22 2012 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Thu Mar 22 22:17:22 2012 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
    Thu Mar 22 22:17:22 2012 Local Options hash (VER=V4): 'd79ca330'
    Thu Mar 22 22:17:22 2012 Expected Remote Options hash (VER=V4): 'f7df56b8'
    Thu Mar 22 22:17:22 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Thu Mar 22 22:17:22 2012 UDPv4 link local: [undef]
    Thu Mar 22 22:17:22 2012 UDPv4 link remote: 192.168.0.102:1194
    Thu Mar 22 22:17:30 2012 TLS: Initial packet from 192.168.0.102:1194, sid=65d8f031 39ba46dd
    Thu Mar 22 22:17:30 2012 VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=PL/ST=KP/L=TORUN/O=BORVPN/OU=cisco/CN=adminlinksys/name=ADMIN/emailAddress=m.m.borowczyk@gmail.com

    A taki w serwerze:


    Fri Mar 23 22:26:00 2012 OpenVPN 2.2.1 Win32-MSVC++ [SSL] [LZO2] built on Jul 1 2011
    Fri Mar 23 22:26:00 2012 NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to
    Fri Mar 23 22:26:00 2012 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
    Fri Mar 23 22:26:00 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Fri Mar 23 22:26:00 2012 Diffie-Hellman initialized with 1024 bit key
    Fri Mar 23 22:26:00 2012 TLS-Auth MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Fri Mar 23 22:26:00 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Fri Mar 23 22:26:00 2012 TAP-WIN32 device [Połączenie lokalne 13] opened: \\.\Global\{B6C09C99-BA25-4C54-A27C-A9A5A2B2EC13}.tap
    Fri Mar 23 22:26:00 2012 NOTE: could not get adapter index for {B6C09C99-BA25-4C54-A27C-A9A5A2B2EC13}
    Fri Mar 23 22:26:00 2012 TAP-Win32 Driver Version 9.8
    Fri Mar 23 22:26:00 2012 TAP-Win32 MTU=1500
    Fri Mar 23 22:26:00 2012 Sleeping for 10 seconds...
    Fri Mar 23 22:26:10 2012 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
    Fri Mar 23 22:26:10 2012 UDPv4 link local (bound): [undef]:1194
    Fri Mar 23 22:26:10 2012 UDPv4 link remote: [undef]
    Fri Mar 23 22:26:10 2012 MULTI: multi_init called, r=256 v=256
    Fri Mar 23 22:26:10 2012 IFCONFIG POOL: base=10.10.10.50 size=51
    Fri Mar 23 22:26:10 2012 Initialization Sequence Completed
    Fri Mar 23 22:27:40 2012 MULTI: multi_create_instance called
    Fri Mar 23 22:27:40 2012 192.168.0.199:1701 Re-using SSL/TLS context
    Fri Mar 23 22:27:40 2012 192.168.0.199:1701 LZO compression initialized
    Fri Mar 23 22:27:40 2012 192.168.0.199:1701 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Fri Mar 23 22:27:40 2012 192.168.0.199:1701 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
    Fri Mar 23 22:27:40 2012 192.168.0.199:1701 Local Options hash (VER=V4): 'f7df56b8'
    Fri Mar 23 22:27:40 2012 192.168.0.199:1701 Expected Remote Options hash (VER=V4): 'd79ca330'
    Fri Mar 23 22:27:40 2012 192.168.0.199:1701 TLS: Initial packet from 192.168.0.199:1701, sid=db4c115b 649ceb9f



    Co to może znaczyć?

  • Pomocny post
    #18 22 Mar 2012 23:29
    bogiebog
    Specjalista Sieci, Internet

    google certificate is not yet valid openvpn

    Dodano po 1 [minuty]:

    Clock-i nie rozsychrnonizowane client, server komputery ?

  • #19 23 Mar 2012 00:31
    bobi1326
    Poziom 19  

    Faktycznie zegary o jeden dzień się nie zgadzały. Teraz wszystko śmiga. Dzięki wielkie wszystkim za pomoc za uzyskanie połączenia.


    Sprawdziłem i działa. Na komputerze serwerze mam na mostku dodane ip 10.10.10.2 i mogę je pingować oraz np wejść na ftp poprzez ftp://10.10.10.2:21

    Teraz mam tylko jedno pytanie. Na komputerach w sieci lokalnej mam udostępnione dyski. Teraz jak wepnę pendriva z portableOpnenVPN do jakiegoś komputera na zewnątrz to będę mógł nawiązać połączenie z moim serwerem. Na nim mam również zmapowane wszystkie udostępnione partycje. Ale jak się na nie dostać (albo do otoczenia sieciowego, czyli udostępnionych dysków) na takim komputerze gdzie odpalę portableOpenVPN?

    Zrobiłem taki eksperyment. Przepiąłem się pod drugi router tak, że lokalnie nie mam dostępu do komputera serwera. Uruchomiłem sobie połączenie OpenVPN i połączyło się bez problemu. W moich miejscach sieciowych wyświetlają mi się ścieżki do udostępnionych w sieci lokalnej dysków. Jednak nie mogę się do nich dostać.

  • Pomocny post
    #20 23 Mar 2012 08:13
    bogiebog
    Specjalista Sieci, Internet

    bobi1326 napisał:
    Ale jak się na nie dostać (albo do otoczenia sieciowego, czyli udostępnionych dysków) na takim komputerze gdzie odpalę portableOpenVPN?


    z okna cmd.exe

    start \\ip-adres-komputera-który-udostępnia\nazwa-zasobu

    Dodano po 1 [minuty]:

    bobi1326 napisał:
    Jednak nie mogę się do nich dostać.

    Jaki masz błąd ?

    Upewnij się że komputer który udostępnia - widzi cię (klienta) po IP adresie z LAN - a nie po jakimś zewnętrznym IP adresem.

  • #21 24 Mar 2012 15:29
    bobi1326
    Poziom 19  

    Ok. Zadziałało z dodaniem dysku jako miejsce sieciowe oraz zmapowanie dysku z komputera serwera (ten który ma zainstalowany OpenVPN). Źle wpisywałem adres, bo używałem IP wewnętrznej sieci czyli 192.168.0.102, a nie tego które dodałem na potrzeby VPN czyli 10.10.10.2.

    Teraz mam jeszcze dwa pytania. Bo aktualnie jestem połączony poprzez OpenVPN z komputerem serwerem w domu. Na nim są zmapowane dyski z innych komputerów z sieci, oprócz tego dyski z innych komputerów ma on dodane w miejscach sieciowych.

    Będąc podłączonym do niego poprzez OpenVPN mogę jakoś zmapować lub dodać do miejsc sieciowych te dyski, które są zmapowane lub w miejscach sieciowych komputera serwera?

    Przykładowo mam na nim zmapowany dysk z laptopa, który jest w sieci lokalnej (dysk D, zmapowany jako Z). Próbuje go zmapować lub dodać do miejsc sieciowych pod adresem \\10.10.10.2\Z (\\10.10.10.2\D działa jeżeli chodzi o dysk D z komputera serwera).


    To jedno pytanie, a drugim jest to czy mając połączenie z komputerem serwerem mogę jakoś na zewnątrz podejrzeć komputery znajdujące się w tamtej sieci lokalnej (Mój komputer->Moje miejsca sieciowe->Wyświetl komputery z mojej grupy roboczej)?

  • #22 24 Mar 2012 16:46
    bogiebog
    Specjalista Sieci, Internet

    Czy możesz pingąć inne komputery ze zdalnego LAN-u ?

  • #23 26 Mar 2012 13:30
    bobi1326
    Poziom 19  

    Komputer serwer ma dwa adresy IP (192.168.0.102 oraz VPN 10.10.10.2)
    Komputer kolejny wewnątrz LAN ma IP 192.168.0.101

    Ja łączę się z zewnątrz, od VPN dostaje IP 10.10.10.50 (w serwerze zakres ustawiony do .100)
    Mogę pingować tylko IP 10.10.10.2. I tak samo sprawa ma się jeżeli chodzi o mapowanie dysku z innego komputera w sieci. Nie mogę zmapować //192.168.0.101/C (chociaż jest udostępniony).

    Czyli coś źle zrobiłem. Może muszę dodać na innych komputerach też dodatkowe IP w zakresie od VPN czyli np 10.10.10.51?

  • #24 26 Mar 2012 13:48
    bogiebog
    Specjalista Sieci, Internet

    server-bridge 10.10.10.2 255.255.255.0 10.10.10.50 10.10.10.100

    w moim vpn serwerze te adresy sa z tego samego lanu co ip serwera
    tzn, serwre ma 192.168.33.1 i dyrektywa
    server-bridge uzywa ip zakresu z tego samego lanu, czyli 192.168.33.x

  • #25 26 Mar 2012 13:54
    bobi1326
    Poziom 19  

    Czyli w swoim normalnym połączeniu sieciowym nie dodawałeś specjalnie dla VPN kolejnego IP? Tylko w pliku config masz wpisane te IP, które normalnie uzyskujesz od routera albo masz na sztywno wpisane w TCP/IP?

  • #26 26 Mar 2012 14:03
    bogiebog
    Specjalista Sieci, Internet

    LAN IP klienta vpn 192.168.1.x -
    LAN IP servera - 192.168.33.x,

    Jak klient się podłącza do serwrea to dostaje IP (oprócz tego co ma 192.168.1.x) 192.168.33.x, i w ten sposób łączy się z lanem 192.168.33.x.

    IP 192.168.33.x klient dostaje od serwera vpn.

    Dodano po 2 [minuty]:

    Server conf (linux)

    port 1194
    proto udp
    dev tap0
    ca /etc/openvpn/easy-rsa/keys/ca.crt
    cert /etc/openvpn/easy-rsa/keys/server.crt
    key /etc/openvpn/easy-rsa/keys/server.key # This file should be kept secret
    dh /etc/openvpn/easy-rsa/keys/dh1024.pem
    server-bridge 192.168.33.2 255.255.0.0 192.168.33.3 192.168.33.63
    push "dhcp-option DNS 192.168.33.8"
    push "dhcp-option DNS 192.168.33.122"
    push "dhcp-option DOMAIN acme.com"
    client-to-client
    duplicate-cn
    keepalive 10 120
    tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0
    comp-lzo
    user nobody
    group nobody
    persist-key
    persist-tun
    status openvpn-status.log
    verb 1
    auth-user-pass-verify /etc/openvpn/etc/openvpn-auth.pl via-file
    tmp-dir /etc/openvpn/darkness/tmp982
    passtos

  • Pomocny post
    #27 26 Mar 2012 15:15
    forestowy
    Poziom 11  

    bobi1326 napisał:
    Komputer serwer ma dwa adresy IP (192.168.0.102 oraz VPN 10.10.10.2)
    Komputer kolejny wewnątrz LAN ma IP 192.168.0.101

    Ja łączę się z zewnątrz, od VPN dostaje IP 10.10.10.50 (w serwerze zakres ustawiony do .100)
    Mogę pingować tylko IP 10.10.10.2. I tak samo sprawa ma się jeżeli chodzi o mapowanie dysku z innego komputera w sieci. Nie mogę zmapować //192.168.0.101/C (chociaż jest udostępniony).

    Czyli coś źle zrobiłem. Może muszę dodać na innych komputerach też dodatkowe IP w zakresie od VPN czyli np 10.10.10.51?


    Nie możesz pingować i mapować bo komp z którego się łączysz nie zna drogi do tej sieci bo nie ma jej w tablicy routingu. Musisz dodać ją ręcznie lub pushować z serwera dodając linijke:
    push "route 192.168.0.0 255.255.255.0"

    Oczywiście komputer z którego się łączysz nie może być w tej samej sieci (192.168.0.0/24) co LAN za serwerem VPN

  • #28 26 Mar 2012 15:25
    bobi1326
    Poziom 19  

    Ok, wytłumaczyłeś i pomógł Twój config wytłumaczył dużo. Mój błąd polegał na tym, że dla VPN dodałem w mostku IP z innego zakresu niż ma to połączenie lokalne z internetem. Teraz w configu wpisałem IP takie samo czyli serwer ma jedno IP po połączeniu przez VPN i jest ono takie samo jak bez VPN. A komputer zewnętrzny jak napisałeś dostaje dwa IP, jedno lokalne tam gdzie jest i drugie lokalne z zakresu sieci lokalnej od serwera. Komputery w otoczeniu sieciowym się pojawiły. Teraz zrobię ich skróty na pendriva i zobaczę czy one też będą działały jak "portable".

    Aktualnie łączę się z sieci 192.168.1.0, czy jak będę w sieci 192.168.0.0 i odpalę OpenVPN to nie będzie działało?

    Jeszcze jeden problem. Próbuje dodać na komputerze serwerze OpenVPN do autostartu i żeby samo się logowało. Korzystam z tej instrukcji http://forums.untangle.com/tips-tricks/3645-m...vpn-client-connection-startup-windows-xp.html
    Wchodzę w panel sterowania, narzędzia administracyjne, usługi. Znajduje OpenVPN service i we właściwościach ustawiam Typ uruchomienia na Automatyczny.
    Odpalam regedit w lokalizacji HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run nie mam wartości openvpn-gui. Więc ją dodałem ręcznie. Wpisałem C:\Program Files\OpenVPN\bin\openvpn-gui.exe --connect sserver.ovpn

    Ścieżka się zgadza, bo sprawdzałem. Po restarcie program się odpala, ale koło zegara ikona ma żółty kolor i wyskakuje błąd: Error opening logfile for writing: C;\Program Files\OpenVPN\log\server.log You probably don't have administrator privilegas, which are necessary to run Open VPN.

    Jestem zalogowany jako administrator.

  • Pomocny post
    #29 26 Mar 2012 15:40
    forestowy
    Poziom 11  

    Cytat:

    Mój błąd polegał na tym, że dla VPN dodałem w mostku IP z innego zakresu niż ma to połączenie lokalne z internetem

    To nie błąd. Tak jest ok. Musisz zapamiętać jedną zasadę: na każdym interfejsie sieciowym musi być inna sieć/podsieć. VPN to nic innego jak dodatkowy interfejs.
    Cytat:

    Teraz w configu wpisałem IP takie samo czyli serwer ma jedno IP po połączeniu przez VPN i jest ono takie samo jak bez VPN

    a po co ? Nie widzę konfiga, ale to w sumie nie powinno działać :)
    Cytat:
    Aktualnie łączę się z sieci 192.168.1.0, czy jak będę w sieci 192.168.0.0 i odpalę OpenVPN to nie będzie działało?

    Jak będziesz chciał się połączyć z 192.168.0.0/24 to nie będzie. Wszyscy uparli się na te 192.168.1.0, 192.168.0.0 i wpisuje zawsze wszędzie i gdzie popadnie jak by innych sieci nie było. Skonfiguruj siebie LAN na routerze w domu choćby w sieci 172.16.5.0/24 i już. Raczej nie trafisz na tak "egzotyczny" zakres z powodów wyżej :)

    Jeśli chodzi o autostart to nie pomogę, bo na linuxach stawiam openvpna

  • #30 26 Mar 2012 16:10
    bobi1326
    Poziom 19  

    A maskę też warto zmienić?


    forestowy napisał:

    Cytat:

    Teraz w configu wpisałem IP takie samo czyli serwer ma jedno IP po połączeniu przez VPN i jest ono takie samo jak bez VPN

    a po co ? Nie widzę konfiga, ale to w sumie nie powinno działać


    Czyli muszę w mostku dodać IP kolejne? Tylko z zakresu sieci lokalnej? Np 172.16.5.120?

    Aktualnie sprawa wygląda tak:
    Komputer serwer: IP tylko 172.16.5.102
    Komputer wewnątrz lokalnej sieci: IP 172.16.5.101

    Mój aktualny config:
    mode server
    proto udp
    port 1194
    dev tap0
    # VPN Server Subnetmask Start-IP End-IP
    server-bridge 172.16.5.102 255.255.255.0 172.16.5.150 172.16.5.160
    keepalive 10 120
    verb 3
    comp-lzo
    client-to-client
    dh dh1024.pem
    ca ca.crt
    cert server.crt
    key server.key

  Szukaj w 4mln produktów
Przeglądaj produkty