Автор Гілка: Допоможіть підняти OpenVPN (Прочитано 12087 раз)

Михайло Даниленко · « **Відповідей #15 :** 2012-12-05 00:38:11 »

Я теж про це подумав

P.S. у ccd лежать отакі файлики (по одному на клієнта):

root@monstruozo:~# cat /etc/openvpn/ccd/tsubasa 
ifconfig-push 192.168.3.10 192.168.3.9

Tomkat · « **Відповідей #16 :** 2012-12-05 01:08:23 »

все зробив по вашим конфігам
пакети йдуть

Код: [Вибрати]

 tcpdump -i eth0  not port 22 and port 1194
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
02:01:29.336719 IP musicbox.localhome.openvpn > userv.localhome.openvpn: UDP, length 142
02:01:29.339211 IP musicbox.localhome.openvpn > userv.localhome.openvpn: UDP, length 142
02:01:42.824286 IP musicbox.localhome.openvpn > userv.localhome.openvpn: UDP, length 142

лог сервера

Код: [Вибрати]


Wed Dec  5 02:02:03 2012 MULTI: multi_create_instance called
Wed Dec  5 02:02:03 2012 193.23.23.2:1194 Re-using SSL/TLS context
Wed Dec  5 02:02:03 2012 193.23.23.2:1194 Control Channel MTU parms [ L:1541 D:166 EF:66 EB:0 ET:0 EL:0 ]
Wed Dec  5 02:02:03 2012 193.23.23.2:1194 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Wed Dec  5 02:02:03 2012 193.23.23.2:1194 Local Options hash (VER=V4): '0ed24f57'
Wed Dec  5 02:02:03 2012 193.23.23.2:1194 Expected Remote Options hash (VER=V4): 'cfd4895c'
Wed Dec  5 02:02:03 2012 193.23.23.2:1194 TLS: Initial packet from 193.23.23.2:1194, sid=07eade5f 2ac455c0
Wed Dec  5 02:02:03 2012 193.23.23.2:1194 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: /C=UA/ST=PL/L=Kremenchug/O=Home_server/CN=Home_server_CA/emailAddress=tomkat@userv.localhome
Wed Dec  5 02:02:03 2012 193.23.23.2:1194 [b]TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned[/b]
Wed Dec  5 02:02:03 2012 193.23.23.2:1194 TLS Error: TLS object -> incoming plaintext read error
Wed Dec  5 02:02:03 2012 193.23.23.2:1194 TLS Error: TLS handshake failed
Wed Dec  5 02:02:03 2012 193.23.23.2:1194 SIGUSR1[soft,tls-error] received, client-instance restarting

переробити сертифікати ?

Tomkat · « **Відповідей #17 :** 2012-12-05 01:25:38 »

так правильно буде ?

Код: [Вибрати]

 ./vars
./clean-all
./build-ca
./pkitool user
./pkitool --server server
./build-dh
openvpn --genkey --secret keys/ta.key

хіба що без останнього

Михайло Даниленко · « **Відповідей #18 :** 2012-12-05 02:09:33 »

За моїми записами, я робив десь якось так:

Код: Bash

rsync -av /usr/share/doc/openvpn/examples/easy-rsa/2.0/ tmp
cd tmp
mkdir keys
touch keys/index.txt
echo 01 > keys/serial
vim vars # в кінці пару змінних проставти
source vars
./build-ca
./build-key monstruozo
./build-key tsubasa
 

pawel_chk · « **Відповідей #19 :** 2012-12-05 09:33:05 »

Цитата: Tomkat від 2012-12-05 01:08:23

все зробив по вашим конфігам
пакети йдуть
Код: [Вибрати]
tcpdump -i eth0 not port 22 and port 1194 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 02:01:29.336719 IP musicbox.localhome.openvpn > userv.localhome.openvpn: UDP, length 142 02:01:29.339211 IP musicbox.localhome.openvpn > userv.localhome.openvpn: UDP, length 142 02:01:42.824286 IP musicbox.localhome.openvpn > userv.localhome.openvpn: UDP, length 142

Пакети ідуть тільки в одну сторону.. сервер на них не відповідає..

Давай з самого простого,після запуска openvpn,інтерфейс tun0 з"являэться? Локально пінгується?

anatolijd · « **Відповідей #20 :** 2012-12-05 12:29:08 »

у вас все нормально налаштовано, проблема стосується конктерно опції tls-auth.
Вам дійсно так необхідний цей додатковий шар TLS-шифрування ? Він не впливає на якість шифрування і без нього ваш шифрований тунель не стане менш шифрованим.

Tomkat · « **Відповідей #21 :** 2012-12-05 14:29:49 »

Цитата

Давай з самого простого,після запуска openvpn,інтерфейс tun0 з"являэться? Локально пінгується?

Так , з"вляється інтерфейс та пінгується .
Може вся проблема у різній адресації ?
Локальна мережа 193.23.23.0
VPN ставив 10.10.10.0, 192.168.3.0
Можливо , маршрути потрібно відразу прописувати ?

Tomkat · « **Відповідей #22 :** 2012-12-05 14:32:07 »

Цитата: anatolijd від 2012-12-05 12:29:08

у вас все нормально налаштовано, проблема стосується конктерно опції tls-auth.
Вам дійсно так необхідний цей додатковий шар TLS-шифрування ? Він не впливає на якість шифрування і без нього ваш шифрований тунель не стане менш шифрованим.

та нібито і не дуже потрібний ...просто робив по готовій інструкції , там ключі без паролів ....
Я пробував відключити її , але клієнт чогось шукає "TLS: Initial packet from ....."

Tomkat · « **Відповідей #23 :** 2012-12-05 22:25:23 »

ВДАЛОСЯ ! ось на цьому конфігі

Код: [Вибрати]

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 5

як тепер прокласти маршрути, щоб клієнт пінгував сервер ?

pawel_chk · « **Відповідей #24 :** 2012-12-05 23:11:28 »

Воно вже має пінгуватись по VPN ,припустимо що сервер в тебе отримав на tun0 10.8.0.1 з маскою 255,255,255,0 тоді кліент мав отримати адресу 10.8.0.5

Код: [Вибрати]

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-0
-00                                                                   
          inet addr:10.8.0.5  P-t-P:10.8.0.6  Mask:255.255.255.255

в таблиці маршрутизаціі має бути таке..

Код: [Вибрати]

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.8.0.1      10.8.0.6    255.255.255.255 UGH   0      0        0 tun0 
10.8.0.6    *               255.255.255.255 UH    0      0        0 tun0

як що все так,то без проблем повинно пінгуватись з кліента 10.8.0.1 і відповідно з сервера 10.8.0.5

і загалом покури от це http://openvpn.net/index.php/open-source/documentation/howto.html,тут є всі відповіді на твої питання

Клієнт в тебе віндовий чи лінуксовий? Як що віндовій і працює на 7-ці (віста), не забувай стартувати openvpn від адмністратора...від звичайного юзера (навіть з правами адміна) ні яка маршрутизація на 7-ці не підніметься...

Tomkat · « **Відповідей #25 :** 2012-12-05 23:36:09 »

Цитата: pawel_chk від 2012-12-05 23:11:28

Воно вже має пінгуватись по VPN ,припустимо що сервер в тебе отримав на tun0 10.8.0.1 з маскою 255,255,255,0 тоді кліент мав отримати адресу 10.8.0.5
Код: [Вибрати]
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-0 -00 inet addr:10.8.0.5 P-t-P:10.8.0.6 Mask:255.255.255.255

в мене став чомусь
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
а клієнту видав 10.8.0.6

Цитата

в таблиці маршрутизаціі має бути таке..
Код: [Вибрати]
Destination Gateway Genmask Flags Metric Ref Use Iface 10.8.0.1 10.8.0.6 255.255.255.255 UGH 0 0 0 tun0 10.8.0.6 * 255.255.255.255 UH 0 0 0 tun0

а в мене

10.8.0.2 * 255.255.255.255 UH 0 0 0 tun0
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0

Цитата

Клієнт в тебе віндовий чи лінуксовий? .

ХР

Цитата

загалом покури от це http://openvpn.net/index.php/open-source/documentation/howto.html

курю потороху

pawel_chk · « **Відповідей #26 :** 2012-12-06 09:22:30 »

Виглядає все добре. принаймі пінгуватись 10,8,0,2 з кліента і відповідно 10,8,0,6 з сервера повинно і для того не потрібно ні яких додаткових заходів з маршрутизаціі. Перевір чи не лочить віндовий або антивірусний фаєрвол

Tomkat · « **Відповідей #27 :** 2012-12-06 14:42:52 »

Цитата: pawel_chk від 2012-12-06 09:22:30

принаймі пінгуватись 10,8,0,2 з кліента і відповідно 10,8,0,6 з сервера повинно

Сервер має адресу 10.8.0.1, з кієнта не пінгується , 10.8.0.2 не пінгується ніяк, 10.8.0.6 з сервера не пінгується

Цитата

Перевір чи не лочить віндовий або антивірусний фаєрвол

віндовий відсутній як клас, а антивірус налаштовано нормально

а взагалі , що є хост 10.8.0.2 ?

Tomkat · « **Відповідей #28 :** 2012-12-06 22:21:02 »

При спробі пінгувати клієнта отримую :

Код: [Вибрати]

root@userv:/var/log# ping 10.8.0.6
PING 10.8.0.6 (10.8.0.6) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted

це фаервол блокує ?
але TCPDUMP при спробі пінга сервера з клієнта бачить це :

Код: [Вибрати]

tcpdump -i tun0
tcpdump: WARNING: arptype 65534 not supported by libpcap - falling back to cooked socket
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
17:30:03.339460 IP 10.8.0.6 > 10.8.0.1: ICMP echo request, id 1792, seq 33280, length 40
17:30:08.783542 IP 10.8.0.6 > 10.8.0.1: ICMP echo request, id 1792, seq 33536, length 40
17:30:14.283995 IP 10.8.0.6 > 10.8.0.1: ICMP echo request, id 1792, seq 33792, length 40
17:30:19.784144 IP 10.8.0.6 > 10.8.0.1: ICMP echo request, id 1792, seq 34048, length 40

Tomkat · « **Відповідей #29 :** 2012-12-07 16:27:46 »

Ап

ну дуже треба ...

Linux.org.ua

Автор Гілка: Допоможіть підняти OpenVPN (Прочитано 12087 раз)

Михайло Даниленко

Re: Допоможіть підняти OpenVPN

Tomkat

Re: Допоможіть підняти OpenVPN

Tomkat

Re: Допоможіть підняти OpenVPN

Михайло Даниленко

Re: Допоможіть підняти OpenVPN

pawel_chk

Re: Допоможіть підняти OpenVPN

anatolijd

Re: Допоможіть підняти OpenVPN

Tomkat

Re: Допоможіть підняти OpenVPN

Tomkat

Re: Допоможіть підняти OpenVPN

Tomkat

Re: Допоможіть підняти OpenVPN

pawel_chk

Re: Допоможіть підняти OpenVPN

Tomkat

Re: Допоможіть підняти OpenVPN

pawel_chk

Re: Допоможіть підняти OpenVPN

Tomkat

Re: Допоможіть підняти OpenVPN

Tomkat

Re: Допоможіть підняти OpenVPN

Tomkat

Re: Допоможіть підняти OpenVPN