помогите настроить Openvpn

[SLonIK484]

При настройке Openvpn на сервере возникла проблемка. При запуске Openvpn происходит сбой, а влогах пишет вот это:
Options error: --server directive network/netmask combination is invalid
Use --help for more information.

Я понимаю что дело в том что я не правильно написал подсеть в конфиге, но как это правильно сделать?
Вот сам конфиг:
local 192.168.1.100
port 1194
proto tcp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/proxy.crt
key /etc/openvpn/keys/proxy.key
dh /etc/openvpn/keys/dh1024.pem
server 192.168.1.100 255.255.255.0
ifconfig-pool-persist /etc/openvpn/keys/ipp.txt
push "route 92.50.144.186 255.255.255.252"
push "redirect-gateway"
client-to-client
keepalive 10 120
comp-lzo
max-clients 10
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
verb 5
mute 10

Подскажите что куда писать.

[fisher74]

local 192.168.1.100

Либо укажите реальный интерфейс сервера к которому будут подключаться клиенты

Ну а ругается он на то, что параметром server указывается виртуальная сеть туннеля

server 192.168.1.100 255.255.255.0

P.S. Надеюсь протокол tcp выбран на время пусконаладки!?

[SLonIK484]

Попробую поточнее объяснить ситуацию. В офисе есть два компьютера (один из них сервер на который я и пытаюсь установить Openvpn. И в сети этот сервер имеет ip 192.168.1.100). IP ротуреа (тобиш панель управления) 192.168.1.1. Внешний IP статический и одинаков на обоих компьютерах. Вот данные из роутера
LAN
MAC Address:    XXXXXXXXX    
IP Address:   192.168.1.1
Subnet Mask:    255.255.255.0

WAN
MAC Address:   XXXXXXXXXX
IP Address:   92.XX.XXX.XX6   Static IP
Subnet Mask:   255.255.255.252   
Default Gateway: 92.XX.XXX.XX5   
DNS Server:   81.XX.XX.5 , 81.XX.XX.94

В связи с новыми данными прошу что надо писать.
Пользователь решил продолжить мысль 06 Января 2012, 11:12:03:С одной ошибкой разобрался теперь в логах другая.
Вот сам лог:

(Нажмите, чтобы показать/скрыть)

Fri Jan  6 02:10:52 2012 us=648529 Current Parameter Settings:
Fri Jan  6 02:10:52 2012 us=648584   config = 'openvpn.conf'
Fri Jan  6 02:10:52 2012 us=648594   mode = 1
Fri Jan  6 02:10:52 2012 us=648601   persist_config = DISABLED
Fri Jan  6 02:10:52 2012 us=648609   persist_mode = 1
Fri Jan  6 02:10:52 2012 us=648616   show_ciphers = DISABLED
Fri Jan  6 02:10:52 2012 us=648623   show_digests = DISABLED
Fri Jan  6 02:10:52 2012 us=648629   show_engines = DISABLED
Fri Jan  6 02:10:52 2012 us=648636   genkey = DISABLED
Fri Jan  6 02:10:52 2012 us=648644   key_pass_file = '[UNDEF]'
Fri Jan  6 02:10:52 2012 us=648651 NOTE: --mute triggered...
Fri Jan  6 02:10:52 2012 us=648665 208 variation(s) on previous 10 message(s) suppressed by --mute
Fri Jan  6 02:10:52 2012 us=648674 OpenVPN 2.1.4 x86_64-unknown-linux-gnu [SSL] [LZO2] [EPOLL] built on Jan  6 2012
Fri Jan  6 02:10:52 2012 us=648768 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Fri Jan  6 02:10:52 2012 us=648780 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Fri Jan  6 02:10:52 2012 us=650289 Diffie-Hellman initialized with 1024 bit key
Fri Jan  6 02:10:52 2012 us=650850 TLS-Auth MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Fri Jan  6 02:10:52 2012 us=650887 Socket Buffers: R=[87380->131072] S=[16384->131072]
Fri Jan  6 02:10:52 2012 us=651126 WARNING: potential TUN/TAP adapter subnet conflict between local LAN [192.168.1.0/255.255.255.0] and remote VPN [192.168.1.1/255.255.255.255]
Fri Jan  6 02:10:52 2012 us=651183 ROUTE default_gateway=192.168.1.1
Fri Jan  6 02:10:52 2012 us=651356 TUN/TAP device tun0 opened
Fri Jan  6 02:10:52 2012 us=651384 TUN/TAP TX queue length set to 100
Fri Jan  6 02:10:52 2012 us=651424 /sbin/ifconfig tun0 192.168.1.1 pointopoint 192.168.1.2 mtu 1500
Fri Jan  6 02:10:52 2012 us=654573 WARNING: potential route subnet conflict between local LAN [192.168.1.0/255.255.255.0] and remote VPN [192.168.1.0/255.255.255.0]
Fri Jan  6 02:10:52 2012 us=654619 /sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.2
Fri Jan  6 02:10:52 2012 us=655321 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Jan  6 02:10:52 2012 us=655511 failed to find GID for group nogroup
Fri Jan  6 02:10:52 2012 us=655524 Exiting
Fri Jan  6 02:10:52 2012 us=655542 /sbin/route del -net 192.168.1.0 netmask 255.255.255.0
Fri Jan  6 02:10:52 2012 us=656134 Closing TUN/TAP interface
Fri Jan  6 02:10:52 2012 us=656163 /sbin/ifconfig tun0 0.0.0.0

[AnrDaemon]

P.S. Надеюсь протокол tcp выбран на время пусконаладки!?

А откуда такой вопрос?

[fisher74]

Из моей головы

[djrust]

Fri Jan  6 02:10:52 2012 us=654573 WARNING: potential route subnet conflict between local LAN [192.168.1.0/255.255.255.0] and remote VPN [192.168.1.0/255.255.255.0]

Ну а ругается он на то, что параметром server указывается виртуальная сеть туннеля

server 192.168.1.100 255.255.255.0

Так вроде не правильно
server 192.168.1.100 255.255.255.0 (подсеть должна отличаться)

Я выбираю все время 10.10.X0.0 255.255.255.0 (или на любой вкус)

[fisher74]

Fri Jan  6 02:10:52 2012 us=655511 failed to find GID for group nogroup

Как бы намекает на

Код: [Выделить]

grep nogroup /etc/group
И да... сеть VPN должна отличаться от остальных

[AnrDaemon]

Из моей головы

Эээ... я имел в виду, почему вопрос был задан так, словно OpenVPN через TCP - не самая лучшая идея?

[fisher74]

ИМХО udp для OpenVPN более правильно. Зачем лишний траффик гонять?

[AnrDaemon]

UDP - по определению протокол для передачи данных, на которые по большому счёту плевать, дошли они, не дошли, в каком порядке и когда, если вообще дошли...
Мне что-то не кажется, что защищённая частная сеть создаётся для того, чтобы ею не пользоваться.

[fisher74]

Cуществуют две точки зрения одна Why TCP Over TCP Is A Bad Idea и другая Tcp Over TCP Is Not So Bad-web

Я приверженец первой, Вы - вероятно второй. Может не будем здесь холиварить на эту тему? Тем более всё равно каждый останется при своём мнении. Я задал вопрос надеясь, что ТС вникнет в этот вопрос и решит для себя, как из протоколов выбрать.

[SLonIK484]

Т.е если я в конфиге прописал
server 10.38.38.0 255.255.255.0
То на компьтере клиента мне надо подключатся к 10.38.38.0? Я правильно понял?

[djrust]

Т.е если я в конфиге прописал
server 10.38.38.0 255.255.255.0
То на компьтере клиента мне надо подключатся к 10.38.38.0? Я правильно понял?

сервер у вас получит IP:10.38.38.1
И подключаться нужно с клиента к 10.38.38.1 или к 192.168.1.100

[fisher74]

Эммм. минуту. Вы сейчас запутаете ТС. Что есть "подключаться" в Вашем понятии?
Для подключения к серверу VPN-клиентом (то есть для подключения собственно к VPN) нужно будет использовать IP-адрес реального интерфейса, т.е. 192.169.1.100.
В виртуальной сети сервер на виртуальном интерфейсе tun0 сервер получит адрес 10.38.38.1 (если другой не назначите).
Поэтому подключаться к серверу из VPN сети, например, по ssh можно будет по адресу 10.38.38.1

P.S. хотя признаться строить VPN ради ssh - это параноя. Взято для примера

[SLonIK484]

Вопрос остался насчет реального ip интерфейса. Т.к 192.168.1.100 это ip компьютера только в локальной сети. А если мне требуется подключится к VPN с другого компьютера (не  входящего в лок. сеть) нужен другой IP. Так вот как его получить или узнать?