URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3314
[ Назад ]

Исходное сообщение
"OpenVPN не стартует"

Отправлено Pluto , 28-Май-07 18:40 
Здравствуйте, товарищи


Происходит следующее


Mon May 28 19:14:58 2007 OpenVPN 2.0.9 i686-suse-linux [SSL] [LZO] [EPOLL] built on May 28 2007
Mon May 28 19:14:58 2007 TUN/TAP device tun0 opened
Mon May 28 19:14:58 2007 /sbin/ifconfig tun0 10.1.1.1 pointopoint 10.1.1.2 mtu 1500
Mon May 28 19:14:58 2007 UDPv4 link local (bound): [undef]:5555
Mon May 28 19:14:58 2007 UDPv4 link remote: [undef]


Конфиг сервера такой:


#office163
dev tun
port 5555
ifconfig 10.1.1.1 10.1.1.2
#up /usr/local/etc/openvpn/office163.up
#down /usr/local/etc/openvpn/office163.down
tls-server
dh dh1024.pem
ca ca.crt
cert office163.crt
key office163.key
#end office163


Подключать удалённых клиентов пока не пробовал - далеко идти. Подскажите плиз, это так и должно быть и просто надо подключиться снаружи, или это у меня руки кривые? (скорее всего руки) :)


Содержание

Сообщения в этом обсуждении
"OpenVPN не стартует"
Отправлено Mikhail , 29-Май-07 08:02 
Так в чем проблема?
Openvpn в списке процессов есть?
Процесс на 5555 порту сеть слушает?
ifconfig после запуска что говорит (с его вывода начинать нужно было)?

"OpenVPN не стартует"
Отправлено Pluto , 29-Май-07 08:41 
>Так в чем проблема?
>Openvpn в списке процессов есть?
>Процесс на 5555 порту сеть слушает?
>ifconfig после запуска что говорит (с его вывода начинать нужно было)?

Сорри, что дал мало инфы - торопился очень :)

Проблема в том, что после этого - никаких признаков жизни не подаёт, обратно в bash не возвращается.

В ifconfig появилось вот это:

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.1.1.1  P-t-P:10.1.1.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

На 5555м порту никто ничего не слушает :) nmapом не видно, телнетом connection refused

openvpn после

Tue May 29 09:13:30 2007 UDPv4 link remote: [undef]

Висит, ничего не показывает, молчит и всё. По ctrl+c терминируется - и в bash


"OpenVPN не стартует"
Отправлено Pluto , 29-Май-07 09:11 
Пока висит - интерфейс есть. Как только ctrl+c её - интерфейс пропадает.



"OpenVPN не стартует"
Отправлено злобный anonymous , 29-Май-07 10:06 
>Пока висит - интерфейс есть. Как только ctrl+c её - интерфейс пропадает.
>

а строку 'daemon' в конфиг добавлять не пробовали?
или запускать openvpn --daemon


"OpenVPN не стартует"
Отправлено Pluto , 29-Май-07 10:07 
>>Пока висит - интерфейс есть. Как только ctrl+c её - интерфейс пропадает.
>>
>
>а строку 'daemon' в конфиг добавлять не пробовали?
>или запускать openvpn --daemon


Как раз собирался об этом написать... :))) Мне очень стыдно, правда :)


"OpenVPN не стартует"
Отправлено злобный anonymous , 29-Май-07 10:10 
Бывает :)


"OpenVPN не стартует"
Отправлено Pluto , 29-Май-07 17:30 
Теперь другая проблема - впн-трафик ходит только между клиентом и сервером.

Ситуация.

     впн-сервер                         впн-клиент                
  +---------------+                 +---------------+
  |                        |        VPN        |               |
  |       10.1.1.2|<->-----------<->|10.1.1.1       |
  |                            |                 |               |
  |                           |                 |               |
  |                           |                 |               |
  |192.168.163.143|                 |192.168.82.2   |
  +-----+---------+                 +---------+-----+
        ^                                  ^
        |                                  |
        |                                  |
        |                                  |
  +-----+---+                +--+------+
  |Локальная|                |Локальная|
  |   сеть      |                |   сеть  |
  +---------+                +---------+
192.168.163.0                192.168.82.0

ВПН-соединение установлено, сервер и клиент друг друга пингуют по любому из адресов. Как с 192.168.163.143 на 192.168.82.2, так и наоборот. Но вот пропинговать с одного из них адрес подсети другого - никак. То есть с 192.168.82.2 пропинговать 192.168.163.253 (и любой другой) не получается.


Со стороны 192.168.163.143
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.163.0   0.0.0.0         255.255.255.0   U         0 0          0 eth0
192.168.82.0    10.1.1.1        255.255.255.0   UG        0 0          0 tap0
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth1
10.0.0.0        0.0.0.0         255.0.0.0       U         0 0          0 tap0
127.0.0.0       0.0.0.0         255.0.0.0       U         0 0          0 lo
0.0.0.0         192.168.0.20    0.0.0.0         UG        0 0          0 eth1


Со стороны 192.168.82.2
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.163.0   10.1.1.2        255.255.255.0   UG        0 0          0 tap0
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
192.168.82.0    0.0.0.0         255.255.255.0   U         0 0          0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth0
10.0.0.0        0.0.0.0         255.0.0.0       U         0 0          0 tap0
127.0.0.0       0.0.0.0         255.0.0.0       U         0 0          0 lo
0.0.0.0         192.168.1.1     0.0.0.0         UG        0 0          0 eth1


"OpenVPN не стартует"
Отправлено Аноним , 29-Май-07 20:25 
А можно конфиг глянуть?

"OpenVPN не стартует"
Отправлено Mikhail , 29-Май-07 21:05 
cat /proc/sys/net/ipv4/ip_forward - ?

"OpenVPN не стартует"
Отправлено Злобный Anonymous , 29-Май-07 22:17 
>cat /proc/sys/net/ipv4/ip_forward - ?
openvpn.conf

на предмет

server                  10.1.1.0 255.255.255.0
push                    "route 192.168.163.0 255.255.255.0"
route                   192.168.82.0 255.255.255.0

и также ccd
iroute 192.168.82.0 255.255.255.0


"OpenVPN не стартует"
Отправлено Pluto , 30-Май-07 11:41 
>>cat /proc/sys/net/ipv4/ip_forward - ?
>openvpn.conf
>
>на предмет
>
>server            
>      10.1.1.0 255.255.255.0
>push            
>        "route 192.168.163.0 255.255.255.0"
>
>route            
>       192.168.82.0 255.255.255.0
>
>и также ccd
>iroute 192.168.82.0 255.255.255.0

Конфиг сервера

dev tun
port 5555
mode server
server 10.1.1.0 255.255.255.0
ifconfig 10.1.1.2 10.1.1.1
client-config-dir ccd
tls-server
dh dh1024.pem
ca ca.crt
cert office82.crt
key office82.key
verb 3
keepalive 10 120

Роутинг на сервере
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
10.1.1.2        0.0.0.0         255.255.255.255 UH        0 0          0 tun0
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
192.168.82.0    0.0.0.0         255.255.255.0   U         0 0          0 eth0
10.1.1.0        10.1.1.2        255.255.255.0   UG        0 0          0 tun0
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U         0 0          0 lo
0.0.0.0         192.168.1.1     0.0.0.0         UG        0 0          0 eth1


Конфиг клиента

client
remote 85.112.36.30
dev tun
port 5555
ifconfig 10.1.1.2 10.1.1.1
route 192.168.82.0 255.255.255.0
#push "route 192.168.163.0 255.255.255.0"
#up ./office82.up
#down ./office82.down
tls-client
dh dh1024.pem
ca ca.crt
cert office163.crt
key office163.key
verb 3
keepalive 10 120

Роутинг на клиенте
10.1.1.5        0.0.0.0         255.255.255.255 UH        0 0          0 tun0
10.1.1.1        10.1.1.5        255.255.255.255 UGH       0 0          0 tun0
192.168.163.0   0.0.0.0         255.255.255.0   U         0 0          0 eth0
192.168.82.0    10.1.1.5        255.255.255.0   UG        0 0          0 tun0
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth1
127.0.0.0       0.0.0.0         255.0.0.0       U         0 0          0 lo
0.0.0.0         192.168.0.20    0.0.0.0         UG        0 0          0 eth1

Сейчас с клиента пингуется 10.1.1.1 и 192.168.82.2 (адреса сервера)
С сервера пингуется только 10.1.1.6. 10.1.1.2 и 192.168.163.143 (адреса клиента) - не пингуются


"OpenVPN не стартует"
Отправлено ГЗЫ , 30-Май-07 19:03 
>client-config-dir ccd
а в папке ccd есть конфиг с именем "имя клиента" в котором написано "iroute 192.168.82.0 255.255.255.0" ?

"OpenVPN не стартует"
Отправлено Pluto , 30-Май-07 19:09 
>>client-config-dir ccd
>а в папке ccd есть конфиг с именем "имя клиента" в котором
>написано "iroute 192.168.82.0 255.255.255.0" ?

Да, есть. Уже всю голову сломал... Хз в чём дело :(


"OpenVPN не стартует"
Отправлено Anonymous , 30-Май-07 20:05 
Попробуй выкинуть у сервера и клиента "ifconfig 10.1.1.2 10.1.1.1", пусть автоматом назначит
и tcpdump'ом послушай интерфейсы tunX на клиенте и сервере, посмотри залетают/вылетают ли пакеты через туннель.

"OpenVPN не стартует"
Отправлено rapido , 31-Май-07 18:58 
>>>cat /proc/sys/net/ipv4/ip_forward - ?
>>openvpn.conf
>>
>>на предмет
>>
>>server            
>>      10.1.1.0 255.255.255.0
>>push            
>>        "route 192.168.163.0 255.255.255.0"
>>
>>route            
>>       192.168.82.0 255.255.255.0
>>
>>и также ccd
>>iroute 192.168.82.0 255.255.255.0
>
>Конфиг сервера
>
>dev tun
>port 5555
>mode server
>server 10.1.1.0 255.255.255.0
!!!>ifconfig 10.1.1.2 10.1.1.1 !! это лишнее
сторока server воспринимается как:
(между прочим из мануала)
For example, --server 10.8.0.0 255.255.255.0 expands as follows:

mode server
tls-server
if dev tun:
                 ifconfig 10.8.0.1 10.8.0.2
                 ifconfig-pool 10.8.0.4 10.8.0.251
                 route 10.8.0.0 255.255.255.0
                 if client-to-client:
                   push "route 10.8.0.0 255.255.255.0"
                 else
                   push "route 10.8.0.1"

Лишнего в своем конфиге не замечаете?


>client-config-dir ccd
>tls-server
>dh dh1024.pem
>ca ca.crt
>cert office82.crt
>key office82.key
>verb 3
>keepalive 10 120
>
>
>Конфиг клиента
>
>client
>remote 85.112.36.30
>dev tun
>port 5555
>ifconfig 10.1.1.2 10.1.1.1 !!! -- это тоже лишнее.
>route 192.168.82.0 255.255.255.0
>#push "route 192.168.163.0 255.255.255.0"
>#up ./office82.up
>#down ./office82.down
>tls-client
>dh dh1024.pem
>ca ca.crt
>cert office163.crt
>key office163.key
>verb 3
>keepalive 10 120

теперь про директиву push.
если вы указали это на сервере - на клиенте указывать маршрут не надо.
push - "проталкивает" маршрут клиенту
и опять же, если вам не нужно с сервера "раздавать" маршруты клиетну -
пропишите просто в конфиге клиента директиву route !!! но без push

OpenVPN работает отлично, но конечно же не будет работать нормально, если вы городите в конфигах все подряд.

Желаю удачи :)

>Сейчас с клиента пингуется 10.1.1.1 и 192.168.82.2 (адреса сервера)
>С сервера пингуется только 10.1.1.6. 10.1.1.2 и 192.168.163.143 (адреса клиента) - не
>пингуются


"OpenVPN не стартует"
Отправлено Pluto , 01-Июн-07 08:53 
>>>>cat /proc/sys/net/ipv4/ip_forward - ?
>>>openvpn.conf
>>>
>>>на предмет
>>>
>>>server            
>>>      10.1.1.0 255.255.255.0
>>>push            
>>>        "route 192.168.163.0 255.255.255.0"
>>>
>>>route            
>>>       192.168.82.0 255.255.255.0
>>>
>>>и также ccd
>>>iroute 192.168.82.0 255.255.255.0
>>
>>Конфиг сервера
>>
>>dev tun
>>port 5555
>>mode server
>>server 10.1.1.0 255.255.255.0
>!!!>ifconfig 10.1.1.2 10.1.1.1 !! это лишнее
>сторока server воспринимается как:
>(между прочим из мануала)
>For example, --server 10.8.0.0 255.255.255.0 expands as follows:
>
>mode server
>tls-server
>if dev tun:
>            
>     ifconfig 10.8.0.1 10.8.0.2
>            
>     ifconfig-pool 10.8.0.4 10.8.0.251
>            
>     route 10.8.0.0 255.255.255.0
>            
>     if client-to-client:
>            
>       push "route 10.8.0.0 255.255.255.0"
>
>            
>     else
>            
>       push "route 10.8.0.1"
>
>Лишнего в своем конфиге не замечаете?
>
>
>>client-config-dir ccd
>>tls-server
>>dh dh1024.pem
>>ca ca.crt
>>cert office82.crt
>>key office82.key
>>verb 3
>>keepalive 10 120
>>
>>
>>Конфиг клиента
>>
>>client
>>remote 85.112.36.30
>>dev tun
>>port 5555
>>ifconfig 10.1.1.2 10.1.1.1 !!! -- это тоже лишнее.
>>route 192.168.82.0 255.255.255.0
>>#push "route 192.168.163.0 255.255.255.0"
>>#up ./office82.up
>>#down ./office82.down
>>tls-client
>>dh dh1024.pem
>>ca ca.crt
>>cert office163.crt
>>key office163.key
>>verb 3
>>keepalive 10 120
>
>теперь про директиву push.
>если вы указали это на сервере - на клиенте указывать маршрут не
>надо.
>push - "проталкивает" маршрут клиенту
>и опять же, если вам не нужно с сервера "раздавать" маршруты клиетну
>-
>пропишите просто в конфиге клиента директиву route !!! но без push
>
>OpenVPN работает отлично, но конечно же не будет работать нормально, если вы
>городите в конфигах все подряд.
>
>Желаю удачи :)
>
>>Сейчас с клиента пингуется 10.1.1.1 и 192.168.82.2 (адреса сервера)
>>С сервера пингуется только 10.1.1.6. 10.1.1.2 и 192.168.163.143 (адреса клиента) - не
>>пингуются


Огромное человеческое спасибище!!! Всё заработало!!!

Если б я наткнулся на этот мануал сразу - всё бы сразу сделал!!!

Спасибо Вам огромное!!!


"OpenVPN не стартует"
Отправлено Pluto , 30-Май-07 14:01 
>cat /proc/sys/net/ipv4/ip_forward - ?


1


"OpenVPN не стартует"
Отправлено Mikhail , 30-Май-07 19:26 
Там firewall есть? Проброс пакетов разрешен?
Что tcpdump говорит при прослушивании трафика?
А почему, кстати, не настроено через tap + bridge - намного удобней получается?

"OpenVPN не стартует"
Отправлено pluto , 30-Май-07 19:52 
>Там firewall есть? Проброс пакетов разрешен?
>Что tcpdump говорит при прослушивании трафика?
>А почему, кстати, не настроено через tap + bridge - намного удобней
>получается?


файрволл есть, но он, вроде как не фильтрует ни впновский, ни внутренний интерфейс сервера. только внешний. Еще опенвпн пишет в логе, когда я изнутри 163й подсети пытаюсь подключиться к 82.2 bad source address from client ... packet dropped.
Тцпдамп на интерфейсе туннеля видит запросы пинга. На внутреннем интерфейсе их нет.
Завтра попробую с бриджом поколдовать. Сегодня голова не варит уже.


"OpenVPN не стартует"
Отправлено Anonymous , 30-Май-07 20:07 
>Завтра попробую с бриджом поколдовать. Сегодня голова не варит уже.
А смысл, только бродкастами туннель засерать, уж простите мой нижегородский.

"OpenVPN не стартует"
Отправлено rapido , 31-Май-07 18:40 
>>Завтра попробую с бриджом поколдовать. Сегодня голова не варит уже.
>А смысл, только бродкастами туннель засерать, уж простите мой нижегородский.

Добрый день!
попробуйте почитать про настройку OpenVPN здесь.
http://forum.ixbt.com/topic.cgi?id=14:40906
мне лично очень помогло.
И сразу вопросов очень много отпадет.


"OpenVPN не стартует"
Отправлено Pluto , 01-Июн-07 14:36 
>>>Завтра попробую с бриджом поколдовать. Сегодня голова не варит уже.
>>А смысл, только бродкастами туннель засерать, уж простите мой нижегородский.
>
>Добрый день!
>попробуйте почитать про настройку OpenVPN здесь.
>http://forum.ixbt.com/topic.cgi?id=14:40906
>мне лично очень помогло.
>И сразу вопросов очень много отпадет.


В общем попытался осмысленно настроить это всё...

Конфиг клиента

remote 85.112.36.30
dev tun
port 5555
ifconfig 10.1.1.2 10.1.1.1
route 192.168.82.0 255.255.255.0
tls-client
dh /usr/local/etc/openvpn/dh1024.pem
ca /usr/local/etc/openvpn/ca.crt
cert /usr/local/etc/openvpn/office163.crt
key /usr/local/etc/openvpn/office163.key
verb 3
keepalive 10 120
#status /var/log/openvpn/openvpn.status
#log-append /var/log/openvpn/openvpn.log

Конфиг сервера

dev tun
port 5555
ifconfig 10.1.1.1 10.1.1.2
route 192.168.163.0 255.255.255.0
tls-server
dh dh1024.pem
ca ca.crt
cert office82.crt
key office82.key
verb 3
keepalive 10 120
#status /var/log/openvpn/openvpn.status
#log-append /var/log/openvpn/openvpn.log


Из всей сети 192.168.163.0/24 роутер на противоположной стороне (поставил отдельную машину 192.168.82.254) пингуется.

Маршрутизатор противоположной стороны может пинговать только машину, которая устанавливает соединение. Остальные машины сети - не пингует. Машины из сети противоположной стороны нашу сеть не видят вообще.

Помогите плиз :(


"OpenVPN не стартует"
Отправлено Pluto , 01-Июн-07 14:52 
Когда маршрутизатор противоположной стороны пингует какую-нибудь машину нашей стороны - на нашем роутере (он openvpn-клиент)  в тцпдампе видны ICMP-запросы к той машине. Но ответов нету.


"OpenVPN не стартует"
Отправлено r0man00 , 03-Июл-07 18:20 
>Когда маршрутизатор противоположной стороны пингует какую-нибудь машину нашей стороны - на нашем
>роутере (он openvpn-клиент)  в тцпдампе видны ICMP-запросы к той машине.
>Но ответов нету.

на файлик с именем клиента надо дать правильные права
На эту директорию ставьте права 755
На файлы в ней - 644
имеется ввиду эта директория ccd


"OpenVPN не стартует"
Отправлено pluto , 02-Июн-07 16:46 
>Так в чем проблема?
>Openvpn в списке процессов есть?
>Процесс на 5555 порту сеть слушает?
Слушает, я ж говорю, соединение происходит без проблем, но получается, что связь есть только между 163ей сетью и маршрутизатором 82й. Надо чтоб обе сети видели друг друга без ограничений :)
>ifconfig после запуска что говорит (с его вывода начинать нужно было)?
ифконфиг показывает полный порядок - на маршрутизаторе
82й сети интерфейс тун0 адрес 10.1.1.1 Р-т-Р 10.1.1.2, в 163ей адрес 10.1.1.2 Р-т-Р 10.1.1.1

"OpenVPN не стартует"
Отправлено Pluto , 04-Июн-07 15:50 
Ой, сорри.. Ошибся датой...

>>Так в чем проблема?
>>Openvpn в списке процессов есть?
>>Процесс на 5555 порту сеть слушает?
>Слушает, я ж говорю, соединение происходит без проблем, но получается, что связь
>есть только между 163ей сетью и маршрутизатором 82й. Надо чтоб обе
>сети видели друг друга без ограничений :)
>>ifconfig после запуска что говорит (с его вывода начинать нужно было)?
>ифконфиг показывает полный порядок - на маршрутизаторе
>82й сети интерфейс тун0 адрес 10.1.1.1 Р-т-Р 10.1.1.2, в 163ей адрес 10.1.1.2
>Р-т-Р 10.1.1.1