Как настроить OpenVPN сервер и клиент

[k790]

Здравствуйте!

Имеем:

2-е сети

192.168.1.0/24 192.168.1.1 роутер 192.168.1.230 - 1-я сеть

192.168.1.0/24 192.168.1.1 клиент 192.168.1.111 - 2-я сеть

настраивал по иструкции OpenVPN

после настройки клиент не может подключиться к серверу, ошибки в логе:

Код: [Выделить]

Wed Dec 26 10:53:22 2012 Expected Remote Options hash (VER=V4): '1056bce3'
Wed Dec 26 10:53:22 2012 UDPv4 link local (bound): [undef]
Wed Dec 26 10:53:22 2012 UDPv4 link remote: [AF_INET]12.34.56.78:12345
Wed Dec 26 10:53:22 2012 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Wed Dec 26 10:53:24 2012 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Wed Dec 26 10:53:29 2012 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Wed Dec 26 10:53:36 2012 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Wed Dec 26 10:53:52 2012 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Wed Dec 26 10:54:22 2012 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Dec 26 10:54:22 2012 TLS Error: TLS handshake failed
Wed Dec 26 10:54:22 2012 TCP/UDP: Closing socket
Wed Dec 26 10:54:22 2012 SIGUSR1[soft,tls-error] received, process restarting
ip сервера я поменял на (12.34.56.78)

Подскажите пожалуйста как настроить OpenVPN?

[fisher74]

что-то конфиги под вечер ни фига не телепатятся....

[k790]

что-то конфиги под вечер ни фига не телепатятся....

Извиняюсь, просто конфиге ничем не отличаются от статьи в вики (кроме адреса сервера)

(Нажмите, чтобы показать/скрыть)

port 1194
# Протокол может быть UDP или TCP, я выбрал 1-й вариант.
proto udp
# Если вы выберите протокол TCP, здесь должно быть устройство tap. Однако, это вариант я не проверял, поэтому ищите информацию отдельно. FIXME
dev tun

# Указываем где искать ключи
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key  # This file should be kept secret
dh /etc/openvpn/keys/dh1024.pem

# Задаем IP и маску виртуальной сети. Произвольно, но если не уверены лучше делайте как показано здесь.
server 10.8.0.0 255.255.255.0

# Задаем маршрут для клиента, чтобы он видел сеть за OpenVPN-сервером.
push "route 192.168.1.0 255.255.255.0"

# Указыем, где хранятся файлы с настройками IP-адресов клиентов (создадим ниже)
client-config-dir ccd

# Указываем сети, в которые нужно идти через туннель (сеть-клиента).
route 192.168.0.0 255.255.255.0

# Включаем TLS
tls-server
tls-auth keys/ta.key 0
tls-timeout 120
auth MD5
cipher BF-CBC

# Если нужно, чтобы клиенты видели друг друга раскомментируйте
;client-to-client

keepalive 10 120

# Сжатие трафика
comp-lzo

# Максимум клиентов
max-clients 5

user nobody
group nogroup

# Не перечитывать ключи, не закрывать и переоткрывать TUN\TAP устройство, после получения SIGUSR1 или ping-restart
persist-key
persist-tun

status openvpn-status.log
log /var/log/openvpn.log
# Детальность логирования
verb 3
# Защита от повторов (максимум 20 одинаковых сообщений подряд)
mute 20

(Нажмите, чтобы показать/скрыть)

client
dev tun
proto udp

# Внеший IP, за которым находится ваш сервер
remote 111.222.333.444
# Внешний порт, который роутер на стороне сервера направит на сервер OpenVPN.
port 12345

# необходимо для DynDNS
resolv-retry infinite

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/client.crt
key /etc/openvpn/keys/client.key
tls-client
tls-auth /etc/openvpn/keys/ta.key 1
auth MD5
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun

status openvpn-status.log
log /var/log/openvpn.log
verb 3
mute 20

[rayanAyar]

Две сети с одинаковым адресом?
И при этом push?

Код: [Выделить]

push "route 192.168.1.0 255.255.255.0"

[k790]

Две сети с одинаковым адресом?

Да, у двух сетей одинаковые адреса

И при этом push?

Код: [Выделить]

push "route 192.168.1.0 255.255.255.0"

Я не понял вас

[fisher74]

Я не стал про это ничего говорить (про одинаковые сети), ведь конечная цель не раскрыта. Может ТС достаточно того, что клиент подключается к серверу и работает с ним. Тогда совпадение сетей неважно. Хотя команда push, конечно, явно лишняя

[k790]

Я не стал про это ничего говорить (про одинаковые сети), ведь конечная цель не раскрыта.

Да, у меня одинаковые сети, может быть есть возможность сделать переброс ip (не знаю как правильно назвать), могу 2-е сетевые карты поставить на сервер (на клиенте уже есть 2 карты).

А цель - иметь доступ из одной сети в другую, с любого ПК на любой.

Может ТС достаточно того, что клиент подключается к серверу и работает с ним. Тогда совпадение сетей неважно. Хотя команда push, конечно, явно лишняя

тут впринципе важно иметь с ~5 пк доступ с одной сети на 1 пк в другой сети.

[fisher74]

тогда в одной из сетей однозначно менять. В какой? А это как Вам удобнее

[michey25]

Доброго времени суток. Ковырялся в настройках openvpn дабы с подключаемых устройств увидеть сеть провайдера, и теперь он вообще отказывается запускаться) вроде бы вернул все назад, но так и не стартонул, пол дня провозился. Может опытный глаз заметит ошибку в конфиге

Код: [Выделить]

port 1194

# TCP or UDP server?
proto udp

;dev tap
dev tun

;dev-node MyTap

ca /etc/openvpn/ca.crt
cert /etc/openvpn/server1.crt
key /etc/openvpn/server1.key  # This file should be kept secret


dh dh1024.pem

server 192.168.100.0/24

ifconfig-pool-persist ipp.txt

;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

;server-bridge


#push "route 192.168.100.0/24"
#push "route 192.168.0.0/24"
#push "route 172.0.0.0/8"

client-config-dir ccd

;learn-address ./script

;push "redirect-gateway def1 bypass-dhcp"

push "dhcp-option DNS 172.20.100.100"
push "dhcp-option DNS 8.8.8.8"

;client-to-client

;duplicate-cn

keepalive 10 120

;cipher BF-CBC        # Blowfish (default)
;cipher AES-128-CBC   # AES
;cipher DES-EDE3-CBC  # Triple-DES

;max-clients 100

;user nobody
;group nogroup

persist-key
persist-tun

status openvpn-status.log

;log         openvpn.log
;log-append  openvpn.log

verb 3

;mute 20


[fisher74]

server 192.168.100.0/24

в мануале не описано такой интерпретации сети VPN. Рекомендую привести согласно документации к виду

Код: [Выделить]

server 192.168.100.0 255.255.255.0
А так зрение у любого пользователя/админа/гуру становится лучше, если он смотрит на проблему через призму лога

[michey25]

Изменение маски не помогло.

(Нажмите, чтобы показать/скрыть)

Sat Jan 25 13:29:03 2014 OpenVPN 2.2.1 i686-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Feb 27 2013
Sat Jan 25 13:29:03 2014 WARNING: you are using user/group/chroot/setcon without persist-tun -- this may cause restarts to fail
Sat Jan 25 13:29:03 2014 WARNING: you are using user/group/chroot/setcon without persist-key -- this may cause restarts to fail
Sat Jan 25 13:29:03 2014 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts i$
Sat Jan 25 13:29:03 2014 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Sat Jan 25 13:29:03 2014 Diffie-Hellman initialized with 1024 bit key
Sat Jan 25 13:29:03 2014 TLS-Auth MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sat Jan 25 13:29:03 2014 Socket Buffers: R=[163840->131072] S=[163840->131072]
Sat Jan 25 13:29:03 2014 ROUTE default_gateway=192.168.0.1
Sat Jan 25 13:29:03 2014 TUN/TAP device tun0 opened
Sat Jan 25 13:29:03 2014 TUN/TAP TX queue length set to 100
Sat Jan 25 13:29:03 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sat Jan 25 13:29:03 2014 /sbin/ifconfig tun0 192.168.100.1 pointopoint 192.168.100.2 mtu 1500
Sat Jan 25 13:29:03 2014 /sbin/route add -net 192.168.100.0 netmask 255.255.255.0 gw 192.168.100.2
Sat Jan 25 13:29:03 2014 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Sat Jan 25 13:29:03 2014 GID set to nogroup
Sat Jan 25 13:29:03 2014 UID set to nobody
Sat Jan 25 13:29:03 2014 UDPv4 link local (bound): [undef]
Sat Jan 25 13:29:03 2014 UDPv4 link remote: [undef]
Sat Jan 25 13:29:03 2014 MULTI: multi_init called, r=256 v=256
Sat Jan 25 13:29:03 2014 IFCONFIG POOL: base=192.168.100.4 size=62, ipv6=0
Sat Jan 25 13:29:03 2014 ifconfig_pool_read(), in='vpn.windows,192.168.100.4', TODO: IPv6
Sat Jan 25 13:29:03 2014 succeeded -> ifconfig_pool_set()
Sat Jan 25 13:29:03 2014 ifconfig_pool_read(), in='vpn.android,192.168.100.8', TODO: IPv6
Sat Jan 25 13:29:03 2014 succeeded -> ifconfig_pool_set()
Sat Jan 25 13:29:03 2014 IFCONFIG POOL LIST
Sat Jan 25 13:29:03 2014 vpn.windows,192.168.100.4
Sat Jan 25 13:29:03 2014 vpn.android,192.168.100.8
Sat Jan 25 13:29:03 2014 Initialization Sequence Completed

и вот еще

(Нажмите, чтобы показать/скрыть)

OpenVPN CLIENT LIST
Updated,Sat Jan 25 13:34:13 2014
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
GLOBAL STATS
Max bcast/mcast queue length,0
END

Пользователь решил продолжить мысль 25 Января 2014, 17:09:50:поковырялся и запустил

(Нажмите, чтобы показать/скрыть)

port 1194

# TCP or UDP server?
proto udp

#dev tap
dev tun

;dev-node MyTap

ca /etc/openvpn/ca.crt
cert /etc/openvpn/server1.crt
key /etc/openvpn/server1.key  # This file should be kept secret


dh dh1024.pem

server 192.168.100.0 255.255.255.0

ifconfig-pool-persist ipp.txt

;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

;server-bridge
#route 192.168.100.0 255.255.255.0

#push "route 192.168.100.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"
push "route 172.0.0.0 255.0.0.0"

client-config-dir /etc/openvpn/ccd

;learn-address ./script

;push "redirect-gateway def1 bypass-dhcp"

push "dhcp-option DNS 172.20.100.100"
#push "dhcp-option DNS 8.8.8.8"

;client-to-client

;duplicate-cn

keepalive 10 120

;cipher BF-CBC        # Blowfish (default)
;cipher AES-128-CBC   # AES
;cipher DES-EDE3-CBC  # Triple-DES

max-clients 5

user nobody
group nogroup

# Включаем TLS
#tls-server
#tls-auth keys/ta.key 0
#tls-timeout 120
#auth MD5
#cipher BF-CBC
#persist-key
#persist-tun

status openvpn-status.log

log         openvpn.log
;log-append  openvpn.log

verb 3

;mute 20

Но сеть не видит, как видно из настроек сеть моя 192.168.0.0 и сеть провайдера 172.0.0.0, в сети провайдера есть внутренние ресурсы, торент трекер, форум и т.д.
Пользователь решил продолжить мысль 25 Января 2014, 17:13:41:p.s. мою сеть видит, провайдера - нет, спасибо за помощь, тут уже сам разберусь.