openvpn

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС для молодых и начинающих системных администраторов.

Модератор: SLEDopit

Ответить
elenhil
Сообщения: 2

openvpn

Сообщение elenhil »

всем привет
такая проблема.
пытаюсь настроить openvpn между двумя машинами, на обоих Ubuntu
написал конфиги, сделал сертификаты блаблабла
в результате получая странную картину.
ifconfig на клиенте:

Код: Выделить всё

tun1      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00                                                                                                                                                             -00
          [b]inet addr:10.8.0.6  P-t-P:10.8.0.5[/b]  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:683519 errors:0 dropped:680645 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:1023260248 (1.0 GB)

ifconfig на сервере:

Код: Выделить всё

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          [b]inet addr:10.8.0.1  P-t-P:10.8.0.2[/b]  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1031 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:61932 (61.9 KB)

то есть как я понял клиент получает ip 10.8.0.6 и думает что установил коннект с 10.8.0.5
сервер имеет ip 10.8.0.1 и думает что установил коннект с 10.8.0.2
как результат не идут даже пинги
в чем может быть проблема?
конфиги
клиент:

Код: Выделить всё

client
dev tun
proto udp
remote **** 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/elenhil.crt
key /etc/openvpn/keys/elenhil.key
ns-cert-type server
cipher BF-CBC
comp-lzo
verb 4
mute 20

сервер:

Код: Выделить всё

port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/ctf.sgu.ru.crt
key /etc/openvpn/keys/ctf.sgu.ru.key  # This file should be kept secret
dh /etc/openvpn/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route *** 255.255.255.255"<- ip сервера и маска
;client-config-dir /etc/openvpn/ccd
route 192.168.1.0 255.255.255.0
client-to-client
keepalive 10 120
comp-lzo
max-clients 10
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log         /var/log/openvpn.log
log-append  /var/log/openvpn.log
verb 4
Спасибо сказали:
Аватара пользователя
mandreika
Сообщения: 217
ОС: Debian 3,4,5,6

Re: openvpn

Сообщение mandreika »

0)Убрать у клиента --> ns-cert-type server
Добавить серверу --> mode server

1)push "route *** 255.255.255.255"<- ip сервера и маска

После того как клиент успешно установит соединение с сервером tun-tun он
получает от сервера команду прописать роутинг "route *** 255.255.255.255" в этот tun
и разравает соединение. (В случае если **** совпадает с опцией remote или подходит по маске)
На всякий случай убери route 192.168.1.0 255.255.255.0
(Я указываю роутинги только после того как всё связалось и сервер-клиент пингуют друг друга)


2)Указать на сервере cipher BF-CBC (хотя он вроде по умолчанию идет, но всё может быть)

3)Можно поменять
user nobody
group nogroup
на обоих концах root для проверки - потом не забыть убрать =)

4) может еще влиять comp-lzo если у одного из участников не стоит этот пакет в системе.



P.S. то есть как я понял клиент получает ip 10.8.0.6 и думает что установил коннект с 10.8.0.5
сервер имеет ip 10.8.0.1 и думает что установил коннект с 10.8.0.2
--- Это норм ( я называю это соединение точка - многоточие =) )

P.P.S смущает RX bytes:0 (0.0 B) TX bytes:1023260248 (1.0 GB) как вы туда гигабайт запилили?

P.P.P.S iptables-save в студию с клиента и сервера =)
Спасибо сказали:
elenhil
Сообщения: 2

Re: openvpn

Сообщение elenhil »

mandreika писал(а):
19.08.2013 09:09
0)Убрать у клиента --> ns-cert-type server
Добавить серверу --> mode server

1)push "route *** 255.255.255.255"<- ip сервера и маска

После того как клиент успешно установит соединение с сервером tun-tun он
получает от сервера команду прописать роутинг "route *** 255.255.255.255" в этот tun
и разравает соединение. (В случае если **** совпадает с опцией remote или подходит по маске)
На всякий случай убери route 192.168.1.0 255.255.255.0
(Я указываю роутинги только после того как всё связалось и сервер-клиент пингуют друг друга)


2)Указать на сервере cipher BF-CBC (хотя он вроде по умолчанию идет, но всё может быть)

3)Можно поменять
user nobody
group nogroup
на обоих концах root для проверки - потом не забыть убрать =)

4) может еще влиять comp-lzo если у одного из участников не стоит этот пакет в системе.



P.S. то есть как я понял клиент получает ip 10.8.0.6 и думает что установил коннект с 10.8.0.5
сервер имеет ip 10.8.0.1 и думает что установил коннект с 10.8.0.2
--- Это норм ( я называю это соединение точка - многоточие =) )

P.P.S смущает RX bytes:0 (0.0 B) TX bytes:1023260248 (1.0 GB) как вы туда гигабайт запилили?

P.P.P.S iptables-save в студию с клиента и сервера =)

спасибо, вроде настроил
с нуля просто все поставил - заработало
скорее всего был косяк в том что порт не открыл в iptables
Спасибо сказали:
Аватара пользователя
mandreika
Сообщения: 217
ОС: Debian 3,4,5,6

Re: openvpn

Сообщение mandreika »

>>скорее всего был косяк в том что порт не открыл в iptables
>>tun1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 -00
>> inet addr:10.8.0.6 P-t-P:10.8.0.5 Mask:255.255.255.255
Нет уж уважаемый порт у вас был нормально открыт - иначе клиент бы не подключился.

P.S. рад что все получилось.
Спасибо сказали:
Ответить