logo elektroda
logo elektroda
X
logo elektroda
Szukanie Zaawansowane
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

OpenVPN - jest połączenie, brak zasobów, brak internetu

cyfrowi 16 Gru 2014 19:46 6219 33
REKLAMA
Zgłoś naruszenie prawa
Odpowiedz | Nowy temat
  • #1 14228810
    cyfrowi
    Poziom 10  
    Posty: 42
    Ocena: 2
    Mam problem z konfiguracja OpenVPN-a, propozycje z innych tematów nie pomogły wiec tworzę swój temat:

    Chce podłączyć komputer z domu z firmą (dyski serwera oraz baza postgres. Udaje mi się ustanowić połączenie VPN, lecz nie mam na kliencie internetu oraz dostępu do zasobów.

    pingi:

    klient - serwer po IP - brak
    klient - serwer po nazwie - OK rozpoznaje jako ip6

    serwer - klient po IP - brak
    serwer - klient po nazwie - OK rozpoznaje jako ip6


    Siec A:
    DHCP - router tplink 740N ddwrt (bez openvpna)
    przydzielanie DNS - WS2008R2
    192.168.1.0/24 255.255.255.0

    Sewer OpenVPN - WS2008R2 - 192.168.1.50

    Siec B - klient

    192.168.1.0/24 255.255.255.0

    Config

    serwera:

    dev tap
    local 192.168.1.50
    proto udp
    port 999
    server 192.168.2.0 255.255.255.0
    ca ca.crt
    cert server.crt
    key server.key
    dh dh2048.pem
    max-clients 10
    persist-tun
    persist-key
    keepalive 10 120
    cipher AES-256-CBC
    comp-lzo
    verb 1
    push "route 192.168.1.0 255.255.255.0"
    push "dhcp-option DNS 192.168.1.50"
    push "direct-gateway"


    klient:

    dev tap
    client
    remote IP_SERWERA
    proto udp
    port 999
    nobind
    ca ca.crt
    cert Krystian.crt
    key Krystian.key
    persist-tun
    persist-key
    keepalive 10 120
    cipher AES-256-CBC
    comp-lzo
    verb 1
    auth-user-pass

    Proszę o wsparcie.

    Poprawiłem błędy /salmon/
  • REKLAMA
  • #2 14229063
    przeqpiciel
    Specjalista Sieci, Internet
    Posty: 2499
    Pomógł: 285
    Ocena: 238
    na pierwszy rzut oka.
    problemem może być fakt, że po obu stronach tunelu VPN masz tą samą adresację.

    rzecz druga, ktora odkrylem na poczatku doswiadczen ovpn - sprzet musi miec ustawiona brame domyslna na adres ggdzie jest koniec tunelu lub chociaz routing statyczny
  • #3 14229084
    cyfrowi
    Poziom 10  
    Posty: 42
    Ocena: 2
    Sprobuje ale zmiana calej adresacji w firmie nie jest prosta.
  • REKLAMA
  • #5 14229117
    cyfrowi
    Poziom 10  
    Posty: 42
    Ocena: 2
    przeqpiciel napisał:

    rzecz druga, ktora odkrylem na poczatku doswiadczen ovpn - sprzet musi miec ustawiona brame domyslna na adres ggdzie jest koniec tunelu lub chociaz routing statyczny


    mozesz opisac prosciej :)?
  • #6 14229125
    przeqpiciel
    Specjalista Sieci, Internet
    Posty: 2499
    Pomógł: 285
    Ocena: 238
    twoj serwer ovpn ma 192.168.1.50
    jakies urzadzenie X ktore jest w sieci A, a chcesz miec do niego dostep z sieci B powinien:

    a. miec ustawiona brame domyslna na 192.168.1.50
    --- LUB ---
    b. ustawiony routing statyczny aby pakiety z adresacji sieci B wysylac na 192.168.1.50

    edit:
    taki maly epizod z wymadrzaniem sie:

    bierze sie to stad, ze domyslnie host kiedy wysyla pakiety do adresacji do ktorej nie przynalezy wysyla od razu na brame domyslna ;)
  • #7 14229236
    cyfrowi
    Poziom 10  
    Posty: 42
    Ocena: 2
    z urzadzenia w sieci B chcialbym widziec wszystkie urzadzenia w sieci A.

    ten routing ustawiam w routerze w sieci A??
  • REKLAMA
  • #9 14229354
    cyfrowi
    Poziom 10  
    Posty: 42
    Ocena: 2
    co zrobilem:
    siec B zmieniłem adresacje na 192.168.0.1/24
    internet zaczal dzialac na kliecie.

    w routerze w sieci A mam cos takiego. Co powieniem wpisac?

    OpenVPN - jest połączenie, brak zasobów, brak internetu OpenVPN - jest połączenie, brak zasobów, brak internetu
  • REKLAMA
  • #10 14229367
    przeqpiciel
    Specjalista Sieci, Internet
    Posty: 2499
    Pomógł: 285
    Ocena: 238
    zmieniles siec B na 192.168.0.1/24 ? chyba 192.168.0.0/24 ?
    tak czy inaczej
    destination lan net 192.168.0.0 - jezeli dobrze zwrocilem uwage wyzej
    subnete 255.255.255.0
    gateway 192.168.1.50
    interfaces - musisz potestowac, chociaz wydaje mi sie ze lan&wan moze zadzaialc
  • #11 14229380
    cyfrowi
    Poziom 10  
    Posty: 42
    Ocena: 2
    zmienielem siec B na 192.168.0.1/24 bo łatwiej bylo to zrobic w domu niz w pracy.
    ....bez zmian

    OpenVPN - jest połączenie, brak zasobów, brak internetu

    jest jeszcze dodatkowe ustawienie.
  • #13 14229509
    cyfrowi
    Poziom 10  
    Posty: 42
    Ocena: 2
    siec A sewer po VPN dostaje adres 192.168.2.1, siec B klient dostaje adres 192.168.2.2
  • #15 14229538
    cyfrowi
    Poziom 10  
    Posty: 42
    Ocena: 2
    z sieci B ping:

    192.168.2.1 - ping tak
    192.168.1.50 - ping brak
    po nazwie serwera: bfrdc01 - jest ale po ip6

    OpenVPN - jest połączenie, brak zasobów, brak internetu
  • #16 14229590
    przeqpiciel
    Specjalista Sieci, Internet
    Posty: 2499
    Pomógł: 285
    Ocena: 238
    moja dzialajca konfiguracja na serwerze utworzona przez pfSense
    Kod: text Rozwiń Zaznacz wszystko Kopiuj do schowka
    
dev ovpns1 ;tak sie interfejs nazywa, sadze ze mozna usunac ta linie
dev-type tun
tun-ipv6
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local ADRES_IP_PUBLICZNY
ifconfig 10.0.0.1 10.0.0.2
lport 1194
management /var/etc/openvpn/server1.sock unix
push "route 192.168.0.0 255.255.252.0"
route 192.168.0.0 255.255.255.0
secret /var/etc/openvpn/server1.secret
persist-remote-ip
float


    Moim zdaniem kluczową rzeczą ma dev ktory u Ciebie jest TAP a powinien byc TUN - inna warstwa iso/osi

    edit:

    kiedys na debianie poslugiwalem sie tym tutorialem:
    http://www.carbonwind.net/VPN/XCA_OpenVPN/XCA_OpenVPN.htm
  • #17 14229660
    cyfrowi
    Poziom 10  
    Posty: 42
    Ocena: 2
    zmienilem na TUN i nieprzechodza żadne pingi.

    interface TAP w kliencie
    OpenVPN - jest połączenie, brak zasobów, brak internetu

    log z klienta

    Cytat:
    Tue Dec 16 23:43:26 2014 OpenVPN 2.3.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Dec 1 2014
    Tue Dec 16 23:43:26 2014 library versions: OpenSSL 1.0.1j 15 Oct 2014, LZO 2.08
    Tue Dec 16 23:43:26 2014 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
    Tue Dec 16 23:43:26 2014 UDPv4 link local: [undef]
    Tue Dec 16 23:43:26 2014 UDPv4 link remote: [AF_INET]IP_SEWERA:999
    Tue Dec 16 23:43:27 2014 [vpn.bfr.com.pl] Peer Connection Initiated with [AF_INET]IP_SEWERA:999
    Tue Dec 16 23:43:29 2014 Options error: Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:3: direct-gateway (2.3.6)
    Tue Dec 16 23:43:29 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    Tue Dec 16 23:43:29 2014 open_tun, tt->ipv6=0
    Tue Dec 16 23:43:29 2014 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{F9A86495-8FAA-4973-9FD8-A1ED70A78164}.tap
    Tue Dec 16 23:43:29 2014 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.2.6/255.255.255.0 on interface {F9A86495-8FAA-4973-9FD8-A1ED70A78164} [DHCP-serv: 192.168.2.0, lease-time: 31536000]
    Tue Dec 16 23:43:29 2014 Successful ARP Flush on interface [34] {F9A86495-8FAA-4973-9FD8-A1ED70A78164}
    Tue Dec 16 23:43:34 2014 Initialization Sequence Completed


    log z serwera

    Cytat:
    Tue Dec 16 23:38:39 2014 OpenVPN 2.3.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Dec 1 2014
    Tue Dec 16 23:38:39 2014 library versions: OpenSSL 1.0.1j 15 Oct 2014, LZO 2.08
    Tue Dec 16 23:38:39 2014 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
    Tue Dec 16 23:38:40 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    Tue Dec 16 23:38:40 2014 open_tun, tt->ipv6=0
    Tue Dec 16 23:38:40 2014 TAP-WIN32 device [Local Area Connection] opened: \\.\Global\{36436809-60FF-4EAB-A9E4-F8AAB09762A4}.tap
    Tue Dec 16 23:38:40 2014 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.2.1/255.255.255.0 on interface {36436809-60FF-4EAB-A9E4-F8AAB09762A4} [DHCP-serv: 192.168.2.0, lease-time: 31536000]
    Tue Dec 16 23:38:40 2014 Sleeping for 10 seconds...
    Tue Dec 16 23:38:50 2014 Successful ARP Flush on interface [21] {36436809-60FF-4EAB-A9E4-F8AAB09762A4}
    Tue Dec 16 23:38:50 2014 UDPv4 link local (bound): [AF_INET]192.168.1.50:999
    Tue Dec 16 23:38:50 2014 UDPv4 link remote: [undef]
    Tue Dec 16 23:38:50 2014 Initialization Sequence Completed
    Tue Dec 16 23:39:16 2014 IP_KLIENTA:59629 [Krystian] Peer Connection Initiated with [AF_INET]IP_KLIENTA:59629
    Tue Dec 16 23:39:16 2014 Krystian/IP_KLIENTA:59629 MULTI_sva: pool returned IPv4=192.168.2.5, IPv6=(Not enabled)
    Tue Dec 16 23:39:18 2014 Krystian/IP_KLIENTA:59629 send_push_reply(): safe_cap=940
    Tue Dec 16 23:41:04 2014 IP_KLIENTA:51271 [Krystian] Peer Connection Initiated with [AF_INET]IP_KLIENTA:51271
    Tue Dec 16 23:41:04 2014 MULTI_sva: pool returned IPv4=192.168.2.5, IPv6=(Not enabled)
    Tue Dec 16 23:41:07 2014 Krystian/IP_KLIENTA:51271 send_push_reply(): safe_cap=940
  • #19 14230149
    cyfrowi
    Poziom 10  
    Posty: 42
    Ocena: 2
    jak zrobie na TUN to nie przechodza żadne pingi

    log klient

    Cytat:
    Wed Dec 17 09:20:34 2014 OpenVPN 2.3.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Dec 1 2014
    Wed Dec 17 09:20:34 2014 library versions: OpenSSL 1.0.1j 15 Oct 2014, LZO 2.08
    Enter Management Password:
    Wed Dec 17 09:20:44 2014 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
    Wed Dec 17 09:20:44 2014 UDPv4 link local: [undef]
    Wed Dec 17 09:20:44 2014 UDPv4 link remote: [AF_INET]IP_SERWERA:999
    Wed Dec 17 09:20:44 2014 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    Wed Dec 17 09:20:44 2014 [vpn.bfr.com.pl] Peer Connection Initiated with [AF_INET]IP_SERWERA:999
    Wed Dec 17 09:20:46 2014 Options error: Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:3: direct-gateway (2.3.6)
    Wed Dec 17 09:20:46 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    Wed Dec 17 09:20:46 2014 open_tun, tt->ipv6=0
    Wed Dec 17 09:20:46 2014 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{F9A86495-8FAA-4973-9FD8-A1ED70A78164}.tap
    Wed Dec 17 09:20:46 2014 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.2.6/255.255.255.252 on interface {F9A86495-8FAA-4973-9FD8-A1ED70A78164} [DHCP-serv: 192.168.2.5, lease-time: 31536000]
    Wed Dec 17 09:20:46 2014 Successful ARP Flush on interface [34] {F9A86495-8FAA-4973-9FD8-A1ED70A78164}
    Wed Dec 17 09:20:52 2014 Initialization Sequence Completed


    zaczynam sie zastanawiac czy moze cos certyfikatami jest nie tak, chodziaz nie wiem jak to sie objawia.
  • #20 14230153
    przeqpiciel
    Specjalista Sieci, Internet
    Posty: 2499
    Pomógł: 285
    Ocena: 238
    Kod: text Rozwiń Zaznacz wszystko Kopiuj do schowka
    
Wed Dec 17 09:20:46 2014 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.2.6/255.255.255.252 on interface {F9A86495-8FAA-4973-9FD8-A1ED70A78164} [DHCP-serv: 192.168.2.5, lease-time: 31536000] 

    koncowka tunelu po stronie serwera ma 192.168.2.5 - spinguj ten adres
  • #21 14230164
    cyfrowi
    Poziom 10  
    Posty: 42
    Ocena: 2
    niestety 192.168.2.5 tez echo. .... dodam ze po zapieciu VPN nie mam internetu na kliencie...
  • #23 14230177
    cyfrowi
    Poziom 10  
    Posty: 42
    Ocena: 2
    chyba to pozostaje...... dam znac jak zrobie po nowemu...
    dzieki z pomoc
  • #24 14230198
    przeqpiciel
    Specjalista Sieci, Internet
    Posty: 2499
    Pomógł: 285
    Ocena: 238
    jezeli certyfikaty zamierzasz robic przez XCA to w najnowszej wersji jest kilka rozbieznosci z poradnikiem.

    jak np. obrazek 20 pokazuje aby zaznaczyc microsoft client - wybierz tls coś tam client a po stronie serwera zamiast microsfot server tls coś tam server

    i przy przykladowym pliku konfiguracji dla klienta w lini
    Kod: text Rozwiń Zaznacz wszystko Kopiuj do schowka
    
tls-remote "/CN=openvpnsrv"


    nalezy podać to co wpisujesz jako CommonName dla certyfikatu po stronie serwera.
  • #25 14230796
    m.jastrzebski
    Specjalista Sieci, Internet
    Posty: 5246
    Pomógł: 679
    Ocena: 863
    Jeden komentarz.
    Klient OpenVPN pod winzgroze ma bug/ograniczenie.
    Oba konce tunelu musza byc z podsieci /30, czyli przykladowo oba konce tunelu musza miec adresy:

    192.168.1.2 i 192.168.1.3
    or
    192.168.1.5 i 192.168.1.6
    or
    192.168.1.9 i 192.168.1.10
    or
    192.168.1.13 i 192.168.1.14
    .....
  • #26 14230802
    cyfrowi
    Poziom 10  
    Posty: 42
    Ocena: 2
    nie dokonca rozumiem podsiec /30??

    ze adresy do 30?
  • #27 14230815
    m.jastrzebski
    Specjalista Sieci, Internet
    Posty: 5246
    Pomógł: 679
    Ocena: 863
    cyfrowi napisał:
    nie dokonca rozumiem podsiec /30??

    ze adresy do 30?


    http://pl.wikipedia.org/wiki/Maska_podsieci
    Podsiec o masce /30 lub 255.255.255.252 jesli wolisz.
    Taka podsiec ma 4 adresy, z czego 2 uzyteczne. Pierwszy to adres sieci, ostatni to broadcast.

    Czyli, np
    192.168.1.0 - 192.168.1.3
    192.168.1.4-192.168.1.7

    itd
    Z czego 2 uzyteczne adresy sa zawsze te 2 w srodku.

    Ale rownie dobrze mozeesz uzyc dla koncow tunelu:
    192.168.1.61 i 192.168.1.62

    Dodano po 3 [minuty]:

    Kolejna uwaga, moze nie wiesz, jesli wiesz to sorry.
    Konfiguracje masz z certyfikatem klienta.
    Certyfikat klienta MUSI byc wystawiony przez to samo CA co certyfikat serwera.

    Jesli Ci to cos pomoze, to moja konfiguracja klienta dzialajaca pod Win.
    Ale bez certyfikatu klienta.

    management-client
    management-query-passwords
    management-hold

    #machine-readable-output
    client
    verb 4
    connect-retry-max 5
    connect-retry 5
    resolv-retry 60
    dev tun

    port 443
    proto tcp

    remote www.XYZ.pl 443
    auth-user-pass
    <ca>
    -----BEGIN CERTIFICATE-----
    tu byl certyfikat serwera
    -----END CERTIFICATE-----

    </ca>

    route 10.1.1.0 255.255.255.0
    route 10.1.2.0 255.255.255.0
    route 10.1.3.0 255.255.255.0
    route 10.1.4.0 255.255.255.0
    route 10.1.5.0 255.255.255.0
    route 10.1.6.0 255.255.255.0


    marcin
  • #28 14241486
    cyfrowi
    Poziom 10  
    Posty: 42
    Ocena: 2
    no to troche powalczyłem, ale efektu narazie nie ma powiem co zrobiłem.

    1. zmiana topologi sieci:

    SIEC A - klient
    10.0.0.1 255.255.0.0

    SIEC B - server
    192.168.1.50 255.255.255.0
    DHCP z routera 192.168.1.1


    Tunel:
    10.8.0.1 255.255.255.248
    nie moge ustawić maski /30
    Cytat:
    Options error: --server directive when used with --dev tun must define a subnet of 255.255.255.248 (/29) or lower


    zrobiłem nowe certyfikaty, klucze itp.
    zrobiłem wg http://www.carbonwind.net/VPN/XCA_OpenVPN/XCA_OpenVPN.htm



    config serwera:
    Cytat:

    port 999
    proto udp
    dev tun

    ca OpenVPN_CA.pem
    cert openvpnsrv_cert.pem
    key openvpnsrv_key.pem # This file should be kept secret
    dh dh2048.pem
    remote-cert-eku "TLS Web Client Authentication"

    # Configure server mode and supply a VPN subnet
    # for OpenVPN to draw client addresses from.
    # The server will take 10.8.0.1 for itself,
    # the rest will be made available to clients.
    # Each client will be able to reach the server
    # on 10.8.0.1. Comment this line out if you are
    # ethernet bridging. See the man page for more info.
    server 10.8.0.0 255.255.255.248
    ifconfig-pool-persist ipp.txt

    push "route 10.0.0.1 255.255.0.0"
    route 10.0.0.1 255.255.0.0
    keepalive 10 120
    cipher AES-128-CBC # AES
    comp-lzo
    max-clients 10
    persist-key
    persist-tun
    status openvpn-status.log
    verb 3


    log servera

    Cytat:
    Sun Dec 21 03:00:34 2014 OpenVPN 2.3.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Dec 1 2014
    Sun Dec 21 03:00:34 2014 library versions: OpenSSL 1.0.1j 15 Oct 2014, LZO 2.08
    Enter Management Password:
    Sun Dec 21 03:00:34 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25344
    Sun Dec 21 03:00:34 2014 Need hold release from management interface, waiting...
    Sun Dec 21 03:00:34 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25344
    Sun Dec 21 03:00:35 2014 MANAGEMENT: CMD 'state on'
    Sun Dec 21 03:00:35 2014 MANAGEMENT: CMD 'log all on'
    Sun Dec 21 03:00:35 2014 MANAGEMENT: CMD 'hold off'
    Sun Dec 21 03:00:35 2014 MANAGEMENT: CMD 'hold release'
    Sun Dec 21 03:00:35 2014 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
    Sun Dec 21 03:00:35 2014 Diffie-Hellman initialized with 2048 bit key
    Sun Dec 21 03:00:35 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Sun Dec 21 03:00:35 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    Sun Dec 21 03:00:35 2014 MANAGEMENT: >STATE:1419127235,ASSIGN_IP,,10.8.0.1,
    Sun Dec 21 03:00:35 2014 open_tun, tt->ipv6=0
    Sun Dec 21 03:00:35 2014 TAP-WIN32 device [Local Area Connection] opened: \\.\Global\{36436809-60FF-4EAB-A9E4-F8AAB09762A4}.tap
    Sun Dec 21 03:00:35 2014 TAP-Windows Driver Version 9.21
    Sun Dec 21 03:00:35 2014 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.1/255.255.255.252 on interface {36436809-60FF-4EAB-A9E4-F8AAB09762A4} [DHCP-serv: 10.8.0.2, lease-time: 31536000]
    Sun Dec 21 03:00:35 2014 Sleeping for 10 seconds...
    Sun Dec 21 03:00:45 2014 Successful ARP Flush on interface [21] {36436809-60FF-4EAB-A9E4-F8AAB09762A4}
    Sun Dec 21 03:00:45 2014 MANAGEMENT: >STATE:1419127245,ADD_ROUTES,,,
    Sun Dec 21 03:00:45 2014 C:\Windows\system32\route.exe ADD 10.0.0.1 MASK 255.255.0.0 10.8.0.2
    Sun Dec 21 03:00:45 2014 Warning: route gateway is not reachable on any active network adapters: 10.8.0.2
    Sun Dec 21 03:00:45 2014 Route addition via IPAPI failed [adaptive]
    Sun Dec 21 03:00:45 2014 Route addition fallback to route.exe
    Sun Dec 21 03:00:45 2014 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
    Sun Dec 21 03:00:45 2014 C:\Windows\system32\route.exe ADD 10.8.0.0 MASK 255.255.255.248 10.8.0.2
    Sun Dec 21 03:00:45 2014 Warning: route gateway is not reachable on any active network adapters: 10.8.0.2
    Sun Dec 21 03:00:45 2014 Route addition via IPAPI failed [adaptive]
    Sun Dec 21 03:00:45 2014 Route addition fallback to route.exe
    Sun Dec 21 03:00:45 2014 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
    Sun Dec 21 03:00:45 2014 UDPv4 link local (bound): [undef]
    Sun Dec 21 03:00:45 2014 UDPv4 link remote: [undef]
    Sun Dec 21 03:00:45 2014 MULTI: multi_init called, r=256 v=256
    Sun Dec 21 03:00:45 2014 IFCONFIG POOL: base=10.8.0.4 size=1, ipv6=0
    Sun Dec 21 03:00:45 2014 ifconfig_pool_read(), in='openvpnclient,10.8.0.4', TODO: IPv6
    Sun Dec 21 03:00:45 2014 succeeded -> ifconfig_pool_set()
    Sun Dec 21 03:00:45 2014 IFCONFIG POOL LIST
    Sun Dec 21 03:00:45 2014 openvpnclient,10.8.0.4
    Sun Dec 21 03:00:45 2014 Initialization Sequence Completed
    Sun Dec 21 03:00:45 2014 MANAGEMENT: >STATE:1419127245,CONNECTED,SUCCESS,10.8.0.1,


    config klienta

    Cytat:
    client
    dev tun
    proto udp
    remote ADRES_SERWERA 999
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    ca OpenVPN_CA.pem
    cert openvpnclient_cert.pem
    key openvpnclient_key.pem
    remote-cert-eku "TLS Web Server Authentication"
    tls-remote "/CN=openvpnsrv"
    cipher AES-128-CBC # AES
    comp-lzo

    verb 3


    log klienta

    Cytat:
    Sun Dec 21 03:06:32 2014 MANAGEMENT: CMD 'hold release'
    Sun Dec 21 03:06:32 2014 Socket Buffers: R=[65536->65536] S=[65536->65536]
    Sun Dec 21 03:06:32 2014 MANAGEMENT: >STATE:1419127592,RESOLVE,,,
    Sun Dec 21 03:06:32 2014 UDPv4 link local: [undef]
    Sun Dec 21 03:06:32 2014 UDPv4 link remote: [AF_INET]ADRES_SERWERA:999
    Sun Dec 21 03:06:32 2014 MANAGEMENT: >STATE:1419127592,WAIT,,,
    Sun Dec 21 03:06:32 2014 MANAGEMENT: >STATE:1419127592,AUTH,,,
    Sun Dec 21 03:06:32 2014 TLS: Initial packet from [AF_INET]ADRES_SERWERA:999, sid=2e3757c3 ce62b26c
    Sun Dec 21 03:06:43 2014 VERIFY OK: depth=1, /CN=OPenVPN_CA
    Sun Dec 21 03:06:43 2014 Validating certificate extended key usage
    Sun Dec 21 03:06:43 2014 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
    Sun Dec 21 03:06:43 2014 VERIFY EKU OK
    Sun Dec 21 03:06:43 2014 VERIFY X509NAME OK: /CN=openvpnsrv
    Sun Dec 21 03:06:43 2014 VERIFY OK: depth=0, /CN=openvpnsrv
    Sun Dec 21 03:06:44 2014 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    Sun Dec 21 03:06:44 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Sun Dec 21 03:06:44 2014 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    Sun Dec 21 03:06:44 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Sun Dec 21 03:06:44 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
    Sun Dec 21 03:06:44 2014 [openvpnsrv] Peer Connection Initiated with [AF_INET]ADRES_SERWERA:999
    Sun Dec 21 03:06:45 2014 MANAGEMENT: >STATE:1419127605,GET_CONFIG,,,
    Sun Dec 21 03:06:46 2014 SENT CONTROL [openvpnsrv]: 'PUSH_REQUEST' (status=1)
    Sun Dec 21 03:06:50 2014 PUSH: Received control message: 'PUSH_REPLY,route 10.0.0.1 255.255.0.0,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
    Sun Dec 21 03:06:50 2014 OPTIONS IMPORT: timers and/or timeouts modified
    Sun Dec 21 03:06:50 2014 OPTIONS IMPORT: --ifconfig/up options modified
    Sun Dec 21 03:06:50 2014 OPTIONS IMPORT: route options modified
    Sun Dec 21 03:06:50 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    Sun Dec 21 03:06:50 2014 MANAGEMENT: >STATE:1419127610,ASSIGN_IP,,10.8.0.6,
    Sun Dec 21 03:06:50 2014 open_tun, tt->ipv6=0
    Sun Dec 21 03:06:50 2014 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{F9A86495-8FAA-4973-9FD8-A1ED70A78164}.tap
    Sun Dec 21 03:06:50 2014 TAP-Windows Driver Version 9.21
    Sun Dec 21 03:06:50 2014 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {F9A86495-8FAA-4973-9FD8-A1ED70A78164} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
    Sun Dec 21 03:06:50 2014 Successful ARP Flush on interface [34] {F9A86495-8FAA-4973-9FD8-A1ED70A78164}
    Sun Dec 21 03:06:55 2014 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
    Sun Dec 21 03:06:55 2014 MANAGEMENT: >STATE:1419127615,ADD_ROUTES,,,
    Sun Dec 21 03:06:55 2014 C:\Windows\system32\route.exe ADD 10.0.0.1 MASK 255.255.0.0 10.8.0.5
    Sun Dec 21 03:06:55 2014 Warning: address 10.0.0.1 is not a network address in relation to netmask 255.255.0.0
    Sun Dec 21 03:06:55 2014 ROUTE: route addition failed using CreateIpForwardEntry: Parametr jest niepoprawny. [status=87 if_index=34]
    Sun Dec 21 03:06:55 2014 Route addition via IPAPI failed [adaptive]
    Sun Dec 21 03:06:55 2014 Route addition fallback to route.exe
    Sun Dec 21 03:06:55 2014 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
    Sun Dec 21 03:06:55 2014 C:\Windows\system32\route.exe ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
    Sun Dec 21 03:06:55 2014 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
    Sun Dec 21 03:06:55 2014 Route addition via IPAPI succeeded [adaptive]
    Sun Dec 21 03:06:55 2014 Initialization Sequence Completed
    Sun Dec 21 03:06:55 2014 MANAGEMENT: >STATE:1419127615,CONNECTED,SUCCESS,10.8.0.6,91.227.89.165


    SKUTEK:

    internet na kliencie działa
    ping przechodzi ale tylko po nazwie i odpowiada po ip6
    ping konca tunelu oraz serwera brak

    OpenVPN - jest połączenie, brak zasobów, brak internetu

    dalsze sugestie???

    moze cos z routingiem mam nie tak??
  • #29 14241591
    przeqpiciel
    Specjalista Sieci, Internet
    Posty: 2499
    Pomógł: 285
    Ocena: 238
    to może tak, tutaj jest pełna konfiguracja, którą z pełnym sukcesem wykorzystuje "służbowo".

    serwer:
    Kod: text Rozwiń Zaznacz wszystko Kopiuj do schowka
    
dev ovpns3
dev-type tun
tun-ipv6
dev-node /dev/tun3
writepid /var/run/openvpn_server3.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-256-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local ADRES_IP_PUBLICZNY
tls-server
server 10.2.0.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
tls-verify /var/etc/openvpn/server3.tls-verify.php
lport JAKIS_TAM_PORT
management /var/etc/openvpn/server3.sock unix
push "route 192.168.0.0 255.255.255.0"
push "dhcp-option DOMAIN NAZWA_DOMENY_JAKA_JEST_W_FIRMIE" - sadze ze mozna pominac
push "dhcp-option DNS ADRES_IP_DNS"
push "dhcp-option NTP ADRES_IP_NTP"
ca /var/etc/openvpn/server3.ca
cert /var/etc/openvpn/server3.cert
key /var/etc/openvpn/server3.key
dh /etc/dh-parameters.1024
crl-verify /var/etc/openvpn/server3.crl-verify
tls-auth /var/etc/openvpn/server3.tls-auth 0
persist-remote-ip
float


    Klient:

    Kod: text Rozwiń Zaznacz wszystko Kopiuj do schowka
    
dev tun
persist-tun
persist-key
cipher AES-256-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote ADRES_IP_PUBLICZNY_SERWERA JAKIS_TAM_PORT udp
lport 0
verify-x509-name "Serwer-OVPN-IT" name
pkcs12 rgdanska-udp-6663-tomash.p12
tls-auth rgdanska-udp-6663-tomash-tls.key 1
ns-cert-type server


    log klienta:

    Kod: text Rozwiń Zaznacz wszystko Kopiuj do schowka
    
dev tun
persist-tun
persist-key
cipher AES-256-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote ADRES_IP_PUBLICZNY_SERWERA JAKIS_TAM_PORT udp
lport 0
verify-x509-name "Serwer-OVPN-IT" name
pkcs12 rgdanska-udp-6663-tomash.p12
tls-auth rgdanska-udp-6663-tomash-tls.key 1
ns-cert-type server
  • #30 14242181
    cyfrowi
    Poziom 10  
    Posty: 42
    Ocena: 2
    Czy masz ustawiony routing na routerze?
    Co z routingiem?
    Serwer masz openvpm masz w routerze?
Odpowiedz | Nowy temat
Zgłoś naruszenie prawa

Podsumowanie tematu

✨ Użytkownik ma problem z konfiguracją OpenVPN, gdzie połączenie jest nawiązane, ale brak jest dostępu do internetu oraz zasobów w sieci. Problemy związane są z identyczną adresacją IP po obu stronach tunelu VPN oraz brakiem odpowiedniego routingu. Użytkownicy sugerują zmianę adresacji sieci, ustawienie bramy domyślnej oraz routing statyczny. Po kilku próbach i zmianach w konfiguracji, w tym przejściu z TAP na TUN, użytkownik uzyskuje dostęp do internetu, ale nadal nie może pingować serwera. Wskazówki dotyczące certyfikatów oraz routingów są również omawiane, a użytkownik rozważa użycie pfSense jako routera. Ostatecznie, użytkownik zauważa, że OpenVPN na Windows Server 2008 działa lepiej, mimo ograniczonej przepustowości.
Wygenerowane przez model językowy.
REKLAMA