OpenVPN 2.3.10 ccd и iroute

[hs85]

Доброго дня! С обновлением openvpn до 2.3 что-то пошло не так. Конфиг сервера:

(Нажмите, чтобы показать/скрыть)

port 30701
proto udp
dev tun1
ca ca.crt
cert server1.crt
key server1.key  # This file should be kept secret
dh dh2048.pem
server 10.10.0.0 255.255.255.0
ifconfig-pool-persist ipp-server1.txt
keepalive 10 120
tls-auth ta.key 0 # This file is secret
key-direction 0
cipher AES-128-CBC   # AES
auth SHA256
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
client-to-client
#push "route 10.66.11.0 255.255.255.0"
#route 10.66.11.0 255.255.255.0
client-config-dir /etc/openvpn/ccd/
status server1-status.log
log         server1.log
log-append  server1-app.log
verb 3
management localhost 7501

ccd:
iroute 10.122.254.1 255.255.255.255



на клиенте:

(Нажмите, чтобы показать/скрыть)

client
dev tun100
proto udp
remote 77.ххх.ххх.ххх 35501
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
remote-cert-tls server
tls-auth ta.key 1
cipher AES-128-CBC   # AES
auth SHA256
comp-lzo
verb 3
key-direction 1
<ca>
....

И в итоге роут я не получаю. Т.е. на ccd оно вообще никак не реагирует. Так же пытался вписать iroute в конфиг клиенту, но клиент даже не запустился.

Кто-нибудь работал с новой версией?

[fisher74]

Так же пытался вписать iroute в конфиг клиенту, но клиент даже не запустился.

Естественно. С каких это пор клиенту позволялось диктовать свои правила?

Лог подключения клиента смотрели? (на обеих сторонах)

ЗЫ в ccd-файле конец строки определён?

[hs85]

Естественно. С каких это пор клиенту позволялось диктовать свои правила?

Это был крик отчаяния.

Лог подключения клиента смотрели? (на обеих сторонах)

Есть пара непонятных пунктов в логах

(Нажмите, чтобы показать/скрыть)

CLIENT:

Tue Nov 14 11:22:47 2017 OpenVPN 2.3.10 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Jun 22 2017
Tue Nov 14 11:22:47 2017 library versions: OpenSSL 1.0.2g  1 Mar 2016, LZO 2.08
Tue Nov 14 11:22:47 2017 Control Channel Authentication: tls-auth using INLINE static key file
Tue Nov 14 11:22:47 2017 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Tue Nov 14 11:22:47 2017 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Tue Nov 14 11:22:47 2017 Socket Buffers: R=[212992->212992] S=[212992->212992]
Tue Nov 14 11:22:47 2017 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Tue Nov 14 11:22:47 2017 UDPv4 link local: [undef]
Tue Nov 14 11:22:47 2017 UDPv4 link remote: [AF_INET]ip_address:port
Tue Nov 14 11:22:47 2017 TLS: Initial packet from [AF_INET]ip_address:port, sid=b7e7801f f2f1780a
Tue Nov 14 11:22:47 2017 VERIFY OK: depth=1, C=RU, ST=MSK, L=Moscow, O=SS, OU=SerUser, CN=SS CA, name=EasyRSA, emailAddress=sergey@User.net
Tue Nov 14 11:22:47 2017 Validating certificate key usage
Tue Nov 14 11:22:47 2017 ++ Certificate has key usage  00a0, expects 00a0
Tue Nov 14 11:22:47 2017 VERIFY KU OK
Tue Nov 14 11:22:47 2017 Validating certificate extended key usage
Tue Nov 14 11:22:47 2017 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Tue Nov 14 11:22:47 2017 VERIFY EKU OK
Tue Nov 14 11:22:47 2017 VERIFY OK: depth=0, C=RU, ST=MSK, L=Moscow, O=SS, OU=SerUser, CN=server1, name=EasyRSA, emailAddress=sergey@User.net
Tue Nov 14 11:22:47 2017 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Tue Nov 14 11:22:47 2017 Data Channel Encrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Tue Nov 14 11:22:47 2017 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Tue Nov 14 11:22:47 2017 Data Channel Decrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Tue Nov 14 11:22:47 2017 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Tue Nov 14 11:22:47 2017 [server1] Peer Connection Initiated with [AF_INET]ip_address:port
Tue Nov 14 11:22:49 2017 SENT CONTROL [server1]: 'PUSH_REQUEST' (status=1)
Tue Nov 14 11:22:49 2017 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,route 10.10.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.10.0.10 10.10.0.9'
Tue Nov 14 11:22:49 2017 OPTIONS IMPORT: timers and/or timeouts modified
Tue Nov 14 11:22:49 2017 OPTIONS IMPORT: --ifconfig/up options modified
Tue Nov 14 11:22:49 2017 OPTIONS IMPORT: route options modified
Tue Nov 14 11:22:49 2017 ROUTE_GATEWAY 10.122.254.1/255.255.255.0 IFACE=enp2s0 HWADDR=00:1f:c6:c1:06:6f
Tue Nov 14 11:22:49 2017 TUN/TAP device tun100 opened
Tue Nov 14 11:22:49 2017 TUN/TAP TX queue length set to 100
Tue Nov 14 11:22:49 2017 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Tue Nov 14 11:22:49 2017 /sbin/ip link set dev tun100 up mtu 1500
Tue Nov 14 11:22:49 2017 /sbin/ip addr add dev tun100 local 10.10.0.10 peer 10.10.0.9
Tue Nov 14 11:22:49 2017 /sbin/ip route add ip_address/32 via 10.122.254.1
RTNETLINK answers: File exists
Tue Nov 14 11:22:49 2017 ERROR: Linux route add command failed: external program exited with error status: 2
Tue Nov 14 11:22:49 2017 /sbin/ip route add 0.0.0.0/1 via 10.10.0.9
Tue Nov 14 11:22:49 2017 /sbin/ip route add 128.0.0.0/1 via 10.10.0.9
Tue Nov 14 11:22:49 2017 /sbin/ip route add 10.10.0.0/24 via 10.10.0.9
Tue Nov 14 11:22:49 2017 GID set to nogroup
Tue Nov 14 11:22:49 2017 UID set to nobody
Tue Nov 14 11:22:49 2017 Initialization Sequence Completed



SERVER:

Tue Nov 14 11:22:47 2017 ip_address_2:40655 TLS: Initial packet from [AF_INET]ip_address_2:40655, sid=ff1ff827 0815c78b
Tue Nov 14 11:22:47 2017 ip_address_2:40655 VERIFY OK: depth=1, C=RU, ST=MSK, L=Moscow, O=SS, OU=SerUser, CN=SS CA, name=EasyRSA, emailAddress=sergey@User.net
Tue Nov 14 11:22:47 2017 ip_address_2:40655 VERIFY OK: depth=0, C=RU, ST=MSK, L=Moscow, O=SS, OU=SerUser, CN=msk-work001, name=EasyRSA, emailAddress=sergey@User.net
Tue Nov 14 11:22:47 2017 ip_address_2:40655 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Tue Nov 14 11:22:47 2017 ip_address_2:40655 Data Channel Encrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Tue Nov 14 11:22:47 2017 ip_address_2:40655 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Tue Nov 14 11:22:47 2017 ip_address_2:40655 Data Channel Decrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Tue Nov 14 11:22:47 2017 ip_address_2:40655 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Tue Nov 14 11:22:47 2017 ip_address_2:40655 [msk-work001] Peer Connection Initiated with [AF_INET]ip_address_2:40655
Tue Nov 14 11:22:47 2017 MULTI: new connection by client 'msk-work001' will cause previous active sessions by this client to be dropped.  Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
Tue Nov 14 11:22:47 2017 OPTIONS IMPORT: reading client specific options from: /etc/openvpn/ccd/msk-work001
Tue Nov 14 11:22:47 2017 MULTI_sva: pool returned IPv4=10.10.0.10, IPv6=(Not enabled)
Tue Nov 14 11:22:47 2017 MULTI: Learn: 10.10.0.10 -> msk-work001/ip_address_2:40655
Tue Nov 14 11:22:47 2017 MULTI: primary virtual IP for msk-work001/ip_address_2:40655: 10.10.0.10
Tue Nov 14 11:22:47 2017 MULTI: internal route 10.122.254.1 -> msk-work001/ip_address_2:40655
Tue Nov 14 11:22:47 2017 MULTI: Learn: 10.122.254.1 -> msk-work001/ip_address_2:40655
Tue Nov 14 11:22:49 2017 msk-work001/ip_address_2:40655 PUSH: Received control message: 'PUSH_REQUEST'
Tue Nov 14 11:22:49 2017 msk-work001/ip_address_2:40655 send_push_reply(): safe_cap=940
Tue Nov 14 11:22:49 2017 msk-work001/ip_address_2:40655 SENT CONTROL [msk-work001]: 'PUSH_REPLY,redirect-gateway def1,route 10.10.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.10.0.10 10.10.0.9' (status=1)

ЗЫ в ccd-файле конец строки определён?

Это как?

[fisher74]

А почему вдруг эта команда у клиента оказалась?

конец строки это некоторые называют как "клацнуть в конце строки Enter"

[hs85]

А почему вдруг эта команда у клиента оказалась?

Я даже не знаю кто ему отдает эту команду.

конец строки это некоторые называют как "клацнуть в конце строки Enter"

Тут всё в порядке.

[fisher74]

где ccd-файл лежит?

И просто ради интереса (уже запамятовал об обязательности этого параметра):
А почему Вы не указали серверу добавить маршрут на сеть VPN? Т.е.

Код: [Выделить]

route 10.10.0.0 255.255.255.0Пользователь добавил сообщение 14 Ноября 2017, 15:54:36:Кстати, маршрут в маршрутизатор OVPN всё-таки добавляется

Tue Nov 14 11:22:47 2017 MULTI: internal route 10.122.254.1 -> msk-work001/ip_address_2:40655
Tue Nov 14 11:22:47 2017 MULTI: Learn: 10.122.254.1 -> msk-work001/ip_address_2:40655

Пользователь добавил сообщение 14 Ноября 2017, 20:02:56:Так... освежил память (поигрался н стенде).
iroute в ccd-файле добавляет маршрут в маршрутизатор самого OVPN, что м и видим в логе.
А вот чтобы сам сервер получил маршрут, нужно добавлять в основной конфиг запись

Код: [Выделить]

route 10.122.254.1 255.255.255.255
Возможно (а скорее всего так оно и есть) есть возможность отдавать маршрут самому серверу с помощью ccd файла, но я пока не нашёл (время на тесты закончилось).

[hs85]

где ccd-файл лежит?

/etc/openvpn/ccd

И просто ради интереса (уже запамятовал об обязательности этого параметра):
А почему Вы не указали серверу добавить маршрут на сеть VPN? Т.е.
Код: [Выделить]

route 10.10.0.0 255.255.255.0

Оно вроде само добавилось.

Кстати, маршрут в маршрутизатор OVPN всё-таки добавляется
Цитата: hs85 от 14 Ноябрь 2017, 14:34:44

    Tue Nov 14 11:22:47 2017 MULTI: internal route 10.122.254.1 -> msk-work001/ip_address_2:40655
    Tue Nov 14 11:22:47 2017 MULTI: Learn: 10.122.254.1 -> msk-work001/ip_address_2:40655

Правильно ли я понимаю, что route -n может и не показать мне этот маршрут?

Так... освежил память (поигрался н стенде).
iroute в ccd-файле добавляет маршрут в маршрутизатор самого OVPN, что м и видим в логе.
А вот чтобы сам сервер получил маршрут, нужно добавлять в основной конфиг запись
Код: [Выделить]

route 10.122.254.1 255.255.255.255

В основной конфиг сервера?

[fisher74]

Правильно ли я понимаю, что route -n может и не показать мне этот маршрут?

Не может, а не покажет. Этот маршрут добавляется в таблицу маршрутизации ядра процесса OVPN, который не связан с ядром ОС

В основной конфиг сервера?

Да.

[katrin-a-a]

hs85, а почему у вас сервер запущен на 30701 порту, а клиент подключается к 35501?
Компьютер который подключается как клиент это Ubuntu? Разрешено ли на это компьютере пропускать трафик между интерфейсами и указано ли правило NAT?
Вы специально не используете push "redirect-gateway def1 bypass-dhcp"?

Я обычно использую на сервере:
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
Заворачивая весь трафик через VPN. Путь к папке ccd обычно прописываю как client-config-dir ccd
в настройках клиента (папка ccd) попробуйте указать iroute 10.122.254.1 без маски. Так как вы не используете пинг в настройках сервера после подключения клиента пройдет около 5 минут после чего запросы к 10.122.254.1 пойдут через этот компьютер.

[fisher74]

Попробую ответить за топикстартера.

почему у вас сервер запущен на 30701 порту, а клиент подключается к 35501?

Предположу, что сервер находится за nat.

Вы специально не используете push "redirect-gateway def1 bypass-dhcp"?

Уверен, что да.

Я обычно использую на сервере:

А я обычно использую те параметры, которые необходимы для решения поставленной задачи. Что-то мне подсказывает, что ТС применял ту же тактику.

Путь к папке ccd обычно прописываю как client-config-dir ccd

Косвенная адресация не всегда приносит ожидаемый результат и часто приводит к ошибкам в конфигурации (приложение подхватывает конфиги из других директорий, которые отличаются от предполагаемых настраивающим админом)

попробуйте указать iroute 10.122.254.1 без маски

Цель?

Так как вы не используете пинг в настройках сервера

проясните, про какой пинг Вы вещаете?

после подключения клиента пройдет около 5 минут после чего запросы к 10.122.254.1 пойдут через этот компьютер.

Бред. Если в таблице маршрутизации ядра появляется запись, то трафик сразу же поворачивается согласно этого маршрута.

[katrin-a-a]

проясните, про какой пинг Вы вещаете?

push "ping 15"
push "ping-restart 60"
данные опции помогли мне ускорить процесс, чтобы после подключения клиента с iroute трафик через него пошел быстрее.

Бред. Если в таблице маршрутизации ядра появляется запись, то трафик сразу же поворачивается согласно этого маршрута.

Вот именно, когда появляется запись. Когда клиент который берет на себя iroute только подключился, то маршруты не появляются моментально в среднем это занимает до 5 минут. По крайней мере у меня так на Ubuntu Server 14.04.

hs85, если вы хотите объединить сети, то попробуйте в настройках сервера через route указать какие сети объединяете. А в ccd в настройках для подключаемого клиента добавить push "route сеть с которой объединяете".

[fisher74]

push "ping 15"
push "ping-restart 60"
данные опции помогли мне ускорить процесс, чтобы после подключения клиента с iroute трафик через него пошел быстрее.

Так-то у ТС включена опция keep-alive, что есть тоже самое, что эти два параметра. Причём к скорости поднятия маршрута они никак не относятся и срабатывают только при отсутствии трафика.

И Ваше утверждение для меня остаётся под сомнением
Если в основном конфиге нет указаний маршрута к сети за клиентом, то она НИКОГДА не появится в таблице маршрутизации ядра ОС. Ни через 5 сек, ни через 5 минут. Проверил лично.
Раньше iroute работало и для ОС. В 2.3 - только через основной конфиг.(точный переход между релизами не скажу, не засекал).