Connect client-Server

[vei]

Open Vpn Debian 4 Linux - start OK!
Перехожу на рабочую станцию XP и когда пытаюсь Connect ,
то No server certificate verification method has been enabled
Почему это происходит? Ругается только на сертификат и еще на ключ ta. Ссылки на этот ключ на сервере и клиенте я убрал и теперь не ругается , а вот на сертификат - см .выше. Я так понял ,что наличие ta.key не обязательно?
Или это как то связано?

[vei]

Open Vpn Debian 4 Linux - start OK!
Перехожу на рабочую станцию XP и когда пытаюсь Connect ,
то No server certificate verification method has been enabled
Почему это происходит? Ругается только на сертификат и еще на ключ ta. Ссылки на этот ключ на сервере и клиенте я убрал и теперь не ругается , а вот на сертификат - см .выше. Я так понял ,что наличие ta.key не обязательно?
Или это как то связано?

Вот фрагмент моего лога при попыте соединиться
OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Tue Jun 24 13:23:31 2008 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Tue Jun 24 13:23:31 2008 LZO compression initialized
Tue Jun 24 13:23:31 2008 Control Channel MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Tue Jun 24 13:23:31 2008 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Jun 24 13:23:31 2008 Local Options hash (VER=V4): '1a40e822'
Tue Jun 24 13:23:31 2008 Expected Remote Options hash (VER=V4): 'd8e6e8ce'
Tue Jun 24 13:23:31 2008 Attempting to establish TCP connection with 212.45.5.36:1194
Tue Jun 24 13:23:31 2008 TCP connection established with 212.45.5.36:1194
Tue Jun 24 13:23:31 2008 TCPv4_CLIENT link local: [undef]
Tue Jun 24 13:23:31 2008 TCPv4_CLIENT link remote: 212.45.5.36:1194
Tue Jun 24 13:23:31 2008 TLS: Initial packet from 212.45.5.36:1194, sid=be234d9e 259082fd
Tue Jun 24 13:23:31 2008 VERIFY ERROR: depth=0, error=unable to get local issuer certificate: /C=RU/ST=RU/L=MOSKVA/O=KRC/OU=TO/CN=vpn1/emailAddress=ve@krc.ru
Tue Jun 24 13:23:31 2008 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Tue Jun 24 13:23:31 2008 TLS Error: TLS object -> incoming plaintext read error
Tue Jun 24 13:23:31 2008 TLS Error: TLS handshake failed
Tue Jun 24 13:23:31 2008 Fatal TLS error (check_tls_errors_co), restarting

[IMB]

А Вы по рекомендованной ссылке ходить пробовали?

[vei]

А Вы по рекомендованной ссылке ходить пробовали?

Конечно. И на родной HOWTO и перевод нашел. Но видимо я не понимаю какой-то основной принцип.
Я сгенерировал все необходимые ключи и сертификаты для сервера и клиентов. Клиентские разместил в конфиге и ссылки на них в файле client.opvn сделал. Что еще не так? Подскажите. Я лог конекта выложил.

[IMB]

У Вас в конфиге клиента есть строка ns-cert-type server?

[vei]

У Вас в конфиге клиента есть строка ns-cert-type server?

Не было. Сейчас вставил. Есть ошибки. Вот лог
OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Tue Jun 24 17:14:55 2008 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Tue Jun 24 17:14:55 2008 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun 24 17:14:55 2008 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun 24 17:14:55 2008 LZO compression initialized
Tue Jun 24 17:14:55 2008 Control Channel MTU parms [ L:1576 D:168 EF:68 EB:0 ET:0 EL:0 ]
Tue Jun 24 17:14:55 2008 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Jun 24 17:14:55 2008 Local Options hash (VER=V4): '89f33c77'
Tue Jun 24 17:14:55 2008 Expected Remote Options hash (VER=V4): '9de5f9b6'
Tue Jun 24 17:14:55 2008 Attempting to establish TCP connection with 212.45.5.36:1194
Tue Jun 24 17:14:55 2008 TCP connection established with 212.45.5.36:1194
Tue Jun 24 17:14:55 2008 TCPv4_CLIENT link local: [undef]
Tue Jun 24 17:14:55 2008 TCPv4_CLIENT link remote: 212.45.5.36:1194
Tue Jun 24 17:14:55 2008 TLS: Initial packet from 212.45.5.36:1194, sid=b1251a72 e299c6bf
Tue Jun 24 17:14:55 2008 Authenticate/Decrypt packet error: packet HMAC authentication failed
Tue Jun 24 17:14:55 2008 TLS Error: incoming packet authentication failed from 212.45.5.36:1194
Tue Jun 24 17:14:55 2008 Fatal TLS error (check_tls_errors_co), restarting
Tue Jun 24 17:14:55 2008 TCP/UDP: Closing socket
Tue Jun 24 17:14:55 2008 SIGUSR1[soft,tls-error] received, process restarting

Не знаю, что такое TLS и что за ошибки с этим связанные?

[IMB]

Не понимаю что у Вас вызывает такие проблемы.
Позволю себе привести свои конфиги.
Клиент (WindowsXP SP2, openvpn-gui):

Код: Выделить всё

client
dev tap
dev-type tun
proto udp
remote <ip/name>
resolv-retry infinite
nobind
persist-key
persist-tun
pkcs12 "C:\\Program Files\\OpenVPN\\key\\certificate.p12"
tls-auth "C:\\Program Files\\openVPN\\key\\ta.key" 1
ns-cert-type server
comp-lzo
verb 3

Сервер (DebianEtch):

Код: Выделить всё

local <ip>
port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
;crl-verify /etc/openvpn/keys/crl.pem
server <ip mask>
ifconfig-pool-persist ipp.txt
client-config-dir ccd
ccd-exclusive
;disable
keepalive 10 120
tls-auth /etc/openvpn/keys/ta.key 0
tls-remote Client
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log-append /var/log/openvpn.log

Предварительные испытания с данными конфигами прошли удачно.

[vei]

Я подправил кое-что с учетом того, что у меня proto tcp dev tap
Сейчас соединение проходит. Я получил для клиента IP но, при запуске Connect получаю сообщение об ошибке открытия лог файла для клиента1 и что возможно у меня нехватает административных привилегий для run Openvpn. Я нажимаю ОК! Окно с сообщением об ошибке пропадает и я благополучно получая сообщение о состоявшемся коннекте и назначенном мне IP. Я лезу в ЛОГ и вот строки с ошибками
Authenticate/Decrypt packet error: packet HMAC authentication failed
Wed Jun 25 10:13:53 2008 TLS Error: incoming packet authentication failed from 212.45.5.36:1194
Wed Jun 25 10:13:53 2008 Fatal TLS error (check_tls_errors_co), restarting
Что это значит.? Где что поправить?

[IMB]

при запуске Connect получаю сообщение об ошибке открытия лог файла для клиента1

Создайте папку log в директории openvpn.

Я лезу в ЛОГ и вот строки с ошибками
Authenticate/Decrypt packet error: packet HMAC authentication failed
Wed Jun 25 10:13:53 2008 TLS Error: incoming packet authentication failed from 212.45.5.36:1194
Wed Jun 25 10:13:53 2008 Fatal TLS error (check_tls_errors_co), restarting
Что это значит.? Где что поправить?

Приведите свои конфиги клиента и сервера.

[vei]

Это конфиг сервера

Код:

dev tap proto tcp server 192.168.3.0 255.255.255.0 comp-lzo log /tmp/openvpn.log daemon ifconfig-pool-persist /ets/openvpn/ipp.txt tls-server ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/servervpn1.crt key /etc/openvpn/keys/servervpn1.key dh /etc/openvpn/keys/dh1024.pem tls-auth /etc/openvpn/keys/ta.key 0 port 1194 user nobody group nogroup persist-tun persist-key verb 3 cipher DES-EDE3-CBC keepalive 300 1000 verb 3 Это конфиг клиента client pull proto tcp-client remote 212.45.5.36 port 1194 dev tap resolv-retry infinite redirect-gateway persist-tun persist-key tls-client tls-auth ta.key 1 dh dh1024.pem ca ca.crt cert client1.crt key client1.key cipher DES-EDE3-CBC comp-lzo verb 3

[vei]

при запуске Connect получаю сообщение об ошибке открытия лог файла для клиента1

Создайте папку log в директории openvpn.

Я лезу в ЛОГ и вот строки с ошибками
Authenticate/Decrypt packet error: packet HMAC authentication failed
Wed Jun 25 10:13:53 2008 TLS Error: incoming packet authentication failed from 212.45.5.36:1194
Wed Jun 25 10:13:53 2008 Fatal TLS error (check_tls_errors_co), restarting
Что это значит.? Где что поправить?

Приведите свои конфиги клиента и сервера.

Самое интересное, что папка лог на месте. И в ней есть файл client1.log. И там есть информация. То есть он пишет туда, а при загрузке сообщает , что ошибка открытия файла client1.log для записи. Пути все правильные.

[IMB]

Насколько хватает моего опыта проблемы должны быть не из-за конфигов. Несколько не очень критичных замечаний
сервер: можно убрать tls-server, выбор режима server уже предполагает tls-server
клиент: можно убрать pull и tls-client, режим client их предполагает, не нужна запись о dh-ключе и почему у Вас ключи без полного пути
Ваши проблемы возможно связаны с tcp-протоколом, измените на udp и посмотрите на изменения.

По поводу ошибки с логом. В Windows лог имеет тоже название что и конфигурационный файл. У Вас конфиг клиента называется client1?

[vei]

Насколько хватает моего опыта проблемы должны быть не из-за конфигов. Несколько не очень критичных замечаний
сервер: можно убрать tls-server, выбор режима server уже предполагает tls-server
клиент: можно убрать pull и tls-client, режим client их предполагает, не нужна запись о dh-ключе и почему у Вас ключи без полного пути
Ваши проблемы возможно связаны с tcp-протоколом, измените на udp и посмотрите на изменения.

По поводу ошибки с логом. В Windows лог имеет тоже название что и конфигурационный файл. У Вас конфиг клиента называется client1?

Да. Но client1.ovpn находится в папке config, а папка с логом находится в Openvpn.

[IMB]

Странно, должно все работать. Вот как выглядит директория openvpn у меня:

Код: Выделить всё

 Содержимое папки C:\Program Files\OpenVPN

20.06.2008  20:13    <DIR>          .
20.06.2008  20:13    <DIR>          ..
20.06.2008  20:10    <DIR>          bin
20.06.2008  20:11    <DIR>          config
20.06.2008  20:10    <DIR>          driver
30.01.2008  03:59            15 086 icon.ico
30.01.2008  04:40               902 INSTALL-win32.txt
20.06.2008  20:16    <DIR>          key
30.01.2008  04:40            28 204 license.txt
20.06.2008  20:13    <DIR>          log
20.06.2008  20:10            87 956 Uninstall.exe

[vei]

Итак, по порядку. Файл клиента действительно называется Client1.ovpn то есть также как лог файл, который автоматически создается и получает имя Client1.log И при запуске клиента выходит указанное выше сообщение о невозможности открытия файла для записи и нехватки прав, хотя в файл все пишется.
TCP На UDP менял, но это ничего не дало.
Сейчас при соединении я получил вот такое сообщение:
CreateFile failed on TAP device: \\.\Global\{4368D51B-98AD-44B5-A8F9-5E9800216192}.tap
Thu Jun 26 11:03:47 2008 All TAP-Win32 adapters on this system are currently in use.
Thu Jun 26 11:03:47 2008 Exiting
Вчера такого не было.
Учитывая, что у меня был коннект из своей локальной сети и получение адреса, я сегодня утром попробовал соединиться из дома(для чистоты эксперимента) , коннект не прошел. Ping 212.45.5.36(vpnserver) проходит. Putty подключается и что для меня странно , я из дома пингую вмртуальный адрес сервера 192.168.3.1 ????
Но коннект не проходит и я опять получаю сообщения :
No server certificate verification method has been enabled
Ключи я взял те , которые использовал для коннекта из внутренней сети. Может быть их нужно генерировать заново.
Ключи я размещаю непосредствеено в папке Config ,поэтому и пути такие.
Если суммировать все ошибки , то по крупному они сводятся или к нареканиям на TAP device или к недовольству сертификатом сервера. См. Выше
А чисто эмоционально " Ну блин , вчера домой уходил все работало. Сервер не выключал. Попробовал из дома и теперь не работает и из дома и на работе. Хотя ничего не менял"

[vei]

Ошибка CreateFile failed on TAP device: \\.\Global\{4368D51B-98AD-44B5-A8F9-5E9800216192}.tap
Thu Jun 26 11:03:47 2008 All TAP-Win32 adapters on this system are currently in use.
Thu Jun 26 11:03:47 2008 Exiting
ушла ,как только удалил и затем поставил заново все TAP device
Теперь соединение проходит без ошибок, в том числе и тех ,которые были связаны с открытием лог-файла. Вообщем все вдруг стало чисто. Но это я проделал установив Openvpn GUI на один из компьютеров своей локальной сети. Сервер VPN, находится физически в этой же сети. Но реально мне нужен Openvpn GUI на машине, находящейся в другом городе. Я хочу сделать это из дома, где у меня есть выход в Интернет. Нужно ли для этого мне генерить новый клиентский ключ или просто взять с работы уже имеющийся клиентский ключ ? Сервер VPN знает , что с ним уже коннектился Client1 на работе и теперь с теми же ключами, но с другого меня не впустит?

[IMB]

Нужно ли для этого мне генерить новый клиентский ключ или просто взять с работы уже имеющийся клиентский ключ ? Сервер VPN знает , что с ним уже коннектился Client1 на работе и теперь с теми же ключами, но с другого меня не впустит?

Нет, новые ключи генерировать не надо. Есть только одно но - если Вы хотите что бы все клиенты ходили с одним сертификатом это надо прописывать в конфиге сервера.

[vei]

А как эта строка в конфиге должна выглядеть?
И еще один вопрос. В конфиге сервера у меня есть строка
SERVER 192.168.3.0 255.255.255.0
В соответствии с этим VPN Server забирает под себя 192.168.3.1 , а следующие отдает клиентам. Так мой клиент получил 192.168.3.2 при подключении.
Но наряду с указанной выше строкой в конфиге есть и такая строка
ifconfig-pool-persist /etc/openvpn/ipp.txt
Как я прочитал сервер должен выделить клиентам ip, которые указаны в этом текстовом файле.
Строка выглядит так
client1, 192.168.3.173
client2, 192.168.3.174
Однако это почему-то не срабатывает. В чем здесь дело?

[IMB]

Неправильно!
Строка SERVER 192.168.3.0 255.255.255.0 говорит о том, что адреса будут выдаваться из указанного пула. Причем по-умолчанию адреса выдаются с маской 30, т.е. по 4-е адреса. Таким образом сервер займет 192.168.3.1-4, первый клиент получит адрес 192.168.3.5-8 и т.д.
Конструкция ifconfig-pool-persist /etc/openvpn/ipp.txt нужна чтобы клиенту выдался тот же адрес в случае обрыва связи. Заполнять руками его не нужно.
Если Вы хотите выдавать клиентам статические адреса воспользуйтесь конструкцией client-config-dir ccd.

[vei]

Неправильно!
Строка SERVER 192.168.3.0 255.255.255.0 говорит о том, что адреса будут выдаваться из указанного пула. Причем по-умолчанию адреса выдаются с маской 30, т.е. по 4-е адреса. Таким образом сервер займет 192.168.3.1-4, первый клиент получит адрес 192.168.3.5-8 и т.д.
Конструкция ifconfig-pool-persist /etc/openvpn/ipp.txt нужна чтобы клиенту выдался тот же адрес в случае обрыва связи. Заполнять руками его не нужно.
Если Вы хотите выдавать клиентам статические адреса воспользуйтесь конструкцией client-config-dir ccd.

Я это уже почти понял. Я закоментировал строку сервер и вставил строки
server-bridge 192.168.3.1 255.255.255.0 192.168.3.171 192.168.3.219
ifconfig-pool-persist ipp.txt
ifconfig 192.168.3.1 255.255.255.0
В файле ipp.txt я прописал конкретные адреса 171 и 172 для клиента 1 и2.
При подключении клиентом 1 я получаю 171 адрес. Почему я сказал почти? Мне это подсказали не объяснив , и хотя все сработало, я не все инструкции осознал. В частности server-bridge Последние две строки мне понятны.
Поясните пожалуйста физический смысл строки server-bridge . Что делает эта инструкция?

[IMB]

Что же тут непонятного. Представьте строку в канонической форме: server-bridge <ip-server> <netmask> <start ip-address pool> <end ip-address pool>.

[vei]

Спасибо! Про server-bridge понял.
Тут вот что еще происходит:
Вчера вечером пробовал соединяться из дома. Для моего клиента домашнего сгенерил ключи
При попытке соединения получил такой лог.

Код:

Thu Jun 26 06:40:37 2008 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006 Thu Jun 26 06:40:37 2008 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. Thu Jun 26 06:40:37 2008 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file Thu Jun 26 06:40:37 2008 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Thu Jun 26 06:40:37 2008 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Thu Jun 26 06:40:37 2008 LZO compression initialized Thu Jun 26 06:40:37 2008 Control Channel MTU parms [ L:1576 D:168 EF:68 EB:0 ET:0 EL:0 ] Thu Jun 26 06:40:37 2008 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ] Thu Jun 26 06:40:37 2008 Local Options hash (VER=V4): '89f33c77' Thu Jun 26 06:40:37 2008 Expected Remote Options hash (VER=V4): '9de5f9b6' Thu Jun 26 06:40:37 2008 Attempting to establish TCP connection with 212.45.5.36:1194 Thu Jun 26 06:40:58 2008 TCP: connect to 212.45.5.36:1194 failed, will try again in 5 seconds Thu Jun 26 06:41:24 2008 TCP: connect to 212.45.5.36:1194 failed, will try again in 5 seconds Thu Jun 26 06:41:29 2008 TCP connection established with 212.45.5.36:1194 Thu Jun 26 06:41:29 2008 TCP/UDP: Dynamic remote address changed during TCP connection establishment Thu Jun 26 06:41:29 2008 TCPv4_CLIENT link local: [undef] Thu Jun 26 06:41:29 2008 TCPv4_CLIENT link remote: 212.45.5.36:1194 Thu Jun 26 06:41:29 2008 TLS: Initial packet from 212.45.5.36:1194, sid=fbbbd752 fb6e4d39 Thu Jun 26 06:41:29 2008 VERIFY OK: depth=1, /C=RU/ST=RU/L=MOSKVA/O=KRC/OU=TO/CN=servervpn1/emailAddress=ve@krc.ru Thu Jun 26 06:41:29 2008 VERIFY OK: depth=0, /C=RU/ST=RU/L=MOSKVA/O=KRC/OU=TO/CN=servervpn1/emailAddress=ve@krc.ru Thu Jun 26 06:41:30 2008 Data Channel Encrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key Thu Jun 26 06:41:30 2008 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Thu Jun 26 06:41:30 2008 Data Channel Decrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key Thu Jun 26 06:41:30 2008 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Thu Jun 26 06:41:30 2008 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA Thu Jun 26 06:41:30 2008 [servervpn1] Peer Connection Initiated with 212.45.5.36:1194 Thu Jun 26 06:41:31 2008 SENT CONTROL [servervpn1]: 'PUSH_REQUEST' (status=1) Thu Jun 26 06:41:31 2008 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.3.1,ping 300,ping-restart 1000,ifconfig 192.168.3.2 255.255.255.0' Thu Jun 26 06:41:31 2008 OPTIONS IMPORT: timers and/or timeouts modified Thu Jun 26 06:41:31 2008 OPTIONS IMPORT: --ifconfig/up options modified Thu Jun 26 06:41:31 2008 OPTIONS IMPORT: route options modified Thu Jun 26 06:41:31 2008 TAP-WIN32 device [Подключение по локальной сети 2] opened: \\.\Global\{A46035C7-A9FF-46F8-A591-F5AF2E73CCEF}.tap Thu Jun 26 06:41:31 2008 TAP-Win32 Driver Version 8.4 Thu Jun 26 06:41:31 2008 TAP-Win32 MTU=1500 Thu Jun 26 06:41:31 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.3.2/255.255.255.0 on interface {A46035C7-A9FF-46F8-A591-F5AF2E73CCEF} [DHCP-serv: 192.168.3.0, lease-time: 31536000] Thu Jun 26 06:41:31 2008 Successful ARP Flush on interface [3] {A46035C7-A9FF-46F8-A591-F5AF2E73CCEF} Thu Jun 26 06:41:32 2008 TEST ROUTES: 0/0 succeeded len=0 ret=0 a=0 u/d=down Thu Jun 26 06:41:32 2008 Route: Waiting for TUN/TAP interface to come up... Thu Jun 26 06:41:33 2008 TEST ROUTES: 1/1 succeeded len=0 ret=1 a=0 u/d=up Thu Jun 26 06:41:33 2008 route ADD 212.45.5.36 MASK 255.255.255.255 85.140.109.105 Thu Jun 26 06:41:33 2008 Route addition via IPAPI succeeded Thu Jun 26 06:41:33 2008 route DELETE 0.0.0.0 MASK 0.0.0.0 85.140.109.105 Thu Jun 26 06:41:34 2008 Route deletion via IPAPI succeeded Thu Jun 26 06:41:34 2008 route ADD 0.0.0.0 MASK 0.0.0.0 192.168.3.1 Thu Jun 26 06:41:34 2008 Route addition via IPAPI succeeded Thu Jun 26 06:41:34 2008 Initialization Sequence Completed Thu Jun 26 06:45:46 2008 Connection reset, restarting [0] Thu Jun 26 06:45:46 2008 TCP/UDP: Closing socket Thu Jun 26 06:45:46 2008 SIGUSR1[soft,connection-reset] received, process restarting Thu Jun 26 06:45:46 2008 Restart pause, 5 second(s) Thu Jun 26 06:45:51 2008 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. Thu Jun 26 06:45:51 2008 Re-using SSL/TLS context Thu Jun 26 06:45:51 2008 LZO compression initialized Thu Jun 26 06:45:51 2008 Control Channel MTU parms [ L:1576 D:168 EF:68 EB:0 ET:0 EL:0 ] Thu Jun 26 06:45:51 2008 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ] Thu Jun 26 06:45:51 2008 Local Options hash (VER=V4): '89f33c77' Thu Jun 26 06:45:51 2008 Expected Remote Options hash (VER=V4): '9de5f9b6' Thu Jun 26 06:45:51 2008 Attempting to establish TCP connection with 212.45.5.36:1194 Thu Jun 26 06:45:51 2008 TCP connection established with 212.45.5.36:1194 Thu Jun 26 06:45:51 2008 TCPv4_CLIENT link local: [undef] Thu Jun 26 06:45:51 2008 TCPv4_CLIENT link remote: 212.45.5.36:1194 Thu Jun 26 06:45:54 2008 TLS: Initial packet from 212.45.5.36:1194, sid=2959756a 2e942abe Thu Jun 26 06:45:54 2008 VERIFY OK: depth=1, /C=RU/ST=RU/L=MOSKVA/O=KRC/OU=TO/CN=servervpn1/emailAddress=ve@krc.ru Thu Jun 26 06:45:54 2008 VERIFY OK: depth=0, /C=RU/ST=RU/L=MOSKVA/O=KRC/OU=TO/CN=servervpn1/emailAddress=ve@krc.ru Thu Jun 26 06:45:55 2008 Data Channel Encrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key Thu Jun 26 06:45:55 2008 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Thu Jun 26 06:45:55 2008 Data Channel Decrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key Thu Jun 26 06:45:55 2008 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Thu Jun 26 06:45:55 2008 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA Thu Jun 26 06:45:55 2008 [servervpn1] Peer Connection Initiated with 212.45.5.36:1194 Thu Jun 26 06:45:57 2008 SENT CONTROL [servervpn1]: 'PUSH_REQUEST' (status=1) Thu Jun 26 06:45:57 2008 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.3.1,ping 300,ping-restart 1000,ifconfig 192.168.3.2 255.255.255.0' Thu Jun 26 06:45:57 2008 OPTIONS IMPORT: timers and/or timeouts modified Thu Jun 26 06:45:57 2008 OPTIONS IMPORT: --ifconfig/up options modified Thu Jun 26 06:45:57 2008 OPTIONS IMPORT: route options modified Thu Jun 26 06:45:57 2008 Preserving previous TUN/TAP instance: Подключение по локальной сети 2 Thu Jun 26 06:45:57 2008 Initialization Sequence Completed

Соединение не прошло. Какой то левый IP в логе. (85.140.109.105) Может быть заметите причину.
Заметил еще такую особенность (уже второй раз) . После попытки соединения из дома я утром сегодня не смог соединиться на работе, пока опять не удалил и заново поставил адаптеры TAP. Я получал сообщение
All TAP-Win32 adapters on this system are currently in use. После переустановки все пошло нормально

Вообщем с реальной удаленкой доступа нет.

[IMB]

Thu Jun 26 06:40:37 2008 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

Это Вы уже проходили. Смотрите сообщение Connect client-Server

Thu Jun 26 06:41:33 2008 route ADD 212.45.5.36 MASK 255.255.255.255 85.140.109.105

Я не знаю как у Вас настроен сервер. Какие роуты раздаются клинта? Смотрите опции push "route ........" Это конечно если Вы соединяетесь со своим серверм.

Заметил еще такую особенность (уже второй раз) . После попытки соединения из дома я утром сегодня не смог соединиться на работе, пока опять не удалил и заново поставил адаптеры TAP. Я получал сообщение
All TAP-Win32 adapters on this system are currently in use. После переустановки все пошло нормально

По ошибке могу только предположить что Вы пытались соединится при работающем туннеле. Понятно что TAP-интерфейс уже был занят.

[vei]

Thu Jun 26 06:40:37 2008 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

Это Вы уже проходили. Смотрите сообщение Connect client-Server

Thu Jun 26 06:41:33 2008 route ADD 212.45.5.36 MASK 255.255.255.255 85.140.109.105

Я не знаю как у Вас настроен сервер. Какие роуты раздаются клинта? Смотрите опции push "route ........" Это конечно если Вы соединяетесь со своим серверм.

Заметил еще такую особенность (уже второй раз) . После попытки соединения из дома я утром сегодня не смог соединиться на работе, пока опять не удалил и заново поставил адаптеры TAP. Я получал сообщение
All TAP-Win32 adapters on this system are currently in use. После переустановки все пошло нормально

По ошибке могу только предположить что Вы пытались соединится при работающем туннеле. Понятно что TAP-интерфейс уже был занят.

Что значит работающий туннель?
Я , уходя с работы, оставил сервер включенным. Никто к нему не подключался. Может быть когда я попытался подключиться из дома, хотя и неудачно, но туннель создался и остался. Когда я утром на работе попробовал подключиться , то и получил это сообщение. Подтверждением сказанному может служить то, что из дома, хотя я не подключился, пинги проходили. Правильно ли я понимаю, если конфиги клиента и сервера корректные, то туннель создается и остается, а вот получить доступ к шареным папкам на сервере, это уже другое дело
Теперь еще. Я проанализировал конфиги сервера и клиентов на действующем сервере Vpn.
Я и брал их за основу с учетом ваших подсказок. В частности с инструкцией server bridge.
И находясь в своей сети в офисе соединения проходят нормально.
Но я проанализировал IFCONFIG на действующем и своем новом сервере. И обнаружил для себя нечто новое. В конфигурации действующего сервера я увидел интерфей br0, которого нет у меня.
И немного почитав(не очень глубоко) понял , что он появляется(его нужно создать) когда я использую bridge. Поэтому его отсутствие не мешает мне соединяться , когда я нахожусь в офисе. Я ведь физически нахожусь в одной сетке с сервером и значит мог инстукцию server bridge заменить другой. Вы на нее и обратили внимание раннее. А вот когда я пытаюсь подключиться из дома(то есть из другой сети) , то похоже мне и не хватает интерфейса br0. Но это только догадка. Чтобы это попробовать нужно знать как создать и поднять интерфейс br0.
Если я правильно мыслю, то подскажите путь.

[IMB]

К сожалению я не знаю что Вам подсказать. Я сам настроил сервер впервые в жизни. По-поводу bridge-режима это Вам к товарищу Google и man, сам я использую режим routing и прекрасно соединяюсь из дома.

[vei]

Не понимаю что у Вас вызывает такие проблемы.
Позволю себе привести свои конфиги.
Клиент (WindowsXP SP2, openvpn-gui):

Код: Выделить всё

client
dev tap
dev-type tun
proto udp
remote <ip/name>
resolv-retry infinite
nobind
persist-key
persist-tun
pkcs12 "C:\\Program Files\\OpenVPN\\key\\certificate.p12"
tls-auth "C:\\Program Files\\openVPN\\key\\ta.key" 1
ns-cert-type server
comp-lzo
verb 3

Сервер (DebianEtch):

Код: Выделить всё

local <ip>
port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
;crl-verify /etc/openvpn/keys/crl.pem
server <ip mask>
ifconfig-pool-persist ipp.txt
client-config-dir ccd
ccd-exclusive
;disable
keepalive 10 120
tls-auth /etc/openvpn/keys/ta.key 0
tls-remote Client
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log-append /var/log/openvpn.log

Предварительные испытания с данными конфигами прошли удачно.

Я увяз с TCP и TAP и последовал Вашему совету(UDP, TUN) Все получилось нормально, но мне показалось что в конфиге клиента у вас отсутствует строка ifconfig , которая назначает виртуальному интерфесу tun IP -adress и заодно указывает адрес удаленного виртуального интерфейса. У меня все зароботало с Вашим конфигом + эта строка.
Или я чего-то не допонял? Уточните пожалуйста.

[IMB]

но мне показалось что в конфиге клиента у вас отсутствует строка ifconfig , которая назначает виртуальному интерфесу tun IP -adress и заодно указывает адрес удаленного виртуального интерфейса. У меня все зароботало с Вашим конфигом + эта строка.

К сожалению Вам только показалось.
Адрес удаленного сервера на клиенте указывается remote <ip/name>. Адрес клиенту присваивается динамически из указанного пула. Для этого на стороне сервера используется server <ip mask>. Но, так как я хочу что бы клиенту выдавался каждый раз один и тотже адрес, этакая привязка клиент-адрес, я указываю client-config-dir ccd. В данной директории на каждого клиента создается файл с указанием всего что я ему хочу передать - адрес, роутинг и т.д.

[vei]

но мне показалось что в конфиге клиента у вас отсутствует строка ifconfig , которая назначает виртуальному интерфесу tun IP -adress и заодно указывает адрес удаленного виртуального интерфейса. У меня все зароботало с Вашим конфигом + эта строка.

К сожалению Вам только показалось.
Адрес удаленного сервера на клиенте указывается remote <ip/name>. Адрес клиенту присваивается динамически из указанного пула. Для этого на стороне сервера используется server <ip mask>. Но, так как я хочу что бы клиенту выдавался каждый раз один и тотже адрес, этакая привязка клиент-адрес, я указываю client-config-dir ccd. В данной директории на каждого клиента создается файл с указанием всего что я ему хочу передать - адрес, роутинг и т.д.

Не понял где посмотреть директорию ccd. Где она находится. Каков путь к ней.
Я еще раз выложу конфиг клиента
#client
#pull
#proto tcp-client
proto udp
remote 212.45.5.36
port 1194
dev tap
dev-type tun
ns-cert-type server
resolv-retry infinite
nobind
redirect-gateway
persist-tun
persist-key
ifconfig 192.168.3.2 192.168.3.1
tls-client
tls-auth ta.key 1
ca ca.crt
cert client2.crt
key client2.key

cipher DES-EDE3-CBC
comp-lzo
verb 5
Конфиг сервера я взял точно такой как у Вас -строка сервер 192.168.3.0 255.255.255.0
Как только на клиенте я убираю строку ifconfig 192.168.3.2 192.168.3.1, то получая сообщение
Options error: On Windows, --ifconfig is required when --dev tun is used
Как только возвращаю на место, конект идет нормально.
Где здесь у меня ошиба(хотя нужное мне соединение есть) Я толком не понял про ccd Хотя объяснения прочитал, но так и не нашел где это находится и ее содержимое с данными, о которых Вы говорили.

[IMB]

Не понял где посмотреть директорию ccd. Где она находится. Каков путь к ней.

Данная директория относится к серверной части и прописывается в конфиге сервера. Кстати, название директории может быть любым.

Я еще раз выложу конфиг клиента
#client
#pull
#proto tcp-client
..............................................................
ifconfig 192.168.3.2 192.168.3.1
....................................................................

А почему у Вас ключевое слово client за комментированно?
Позволю себе выложить цитату из man openvpn касательно client-config-dir:

Код:

--client-config-dir dir Specify a directory dir for custom client config files. After a connecting client has been authenticated, OpenVPN will look in this directory for a file having the same name as the client's X509 common name. If a matching file exists, it will be opened and parsed for client-specific configuration options. If no matching file is found, OpenVPN will instead try to open and parse a default file called "DEFAULT", which may be provided but is not required. This file can specify a fixed IP address for a given client using --ifconfig-push, as well as fixed subnets owned by the client using --iroute. One of the useful properties of this option is that it allows client configuration files to be conveniently created, edited, or removed while the server is live, without needing to restart the server. The following options are legal in a client-specific context: --push, --push-reset, --iroute, --ifconfig-push, and --config.

В моем вольном переводе и не очень хорошем знании языка оригинала:
Отдельная директория для конфигурационных файлов клиентов. После того как клинт пройдет проверку OpenVPN смотрит в этой директории файл с тем же именем что и common name из X509-сертификата клиента. Если такой файл существует, сервер считывает его и передает параметры клиенты. Если такого файла не найдено, OpenVPN пробует открыть файл "DEFAULT".
Данный файл может содержать фиксированный IP-адрес для клиента использую --ifconfig-push, фиксированную подсеть находящуюся за клиентом, насколько я понял, используя --iroute.
Одно из полезных свойств этой опции выражается в том, что она позволяет создавать, редактировать или удалять файлы конфигурации клиентов без необходимости перезапускать сервер.
Примерно так, надеюсь что даже после такого корявого перевода Вам станет понятнее.

[vei]

Директория CCD (либо другая указанная мною) создается на сервере автоматически или я должен указать ее ручками и затем прописать путь к ней? И далее я должен создать конфигурационный файл клиента ? Какое расширение у этого файла. И затем опять же ручками поместить этот файл в директорию CCD?
Прошу извинить за назойливость и непонятливость.
И еще раз. Конфигурационые файлы клиентов, которые будут в этой директории , это те же файлы что находятся в папке config в openvpn под Windows? То-есть с расширением ovpn?