Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: Jarda001 23. 05. 2011, 21:50:40

Název: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 23. 05. 2011, 21:50:40: ahoj
mám problém s openvpn.
udělal jsem konfig jak serveru tak i clienta. je tam dán port udp 1194
v rámci lokální sítě se spojí ale pokaždé s jiným portem. nikde jsem toto nenašel popsané, proč se to děje.
kdyžse chci připojit zvenku, tak samozřejě spojení se nenaváže, protože to má pokaždé jiný port. Základní UDP 1194 mám na fw povolené, bo openvpn server vidí příchozí spojení, ovšem ne s portem 1194 ale uplně jiným.
Děkuji za radu. V případě dotazů rád dodám knfiguráky a logy.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Dusan Zatkovsky 24. 05. 2011, 09:18:41: Nepleties dohromady zdrojovy a cielovy port? Co povie netstat na serveri kde bezi openvpn server?
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: alfi 24. 05. 2011, 10:00:18: tak tak, 1194 je port, na kterém poslouchá server. klient se bude vždycky připojovat z náhodného odchozího portu. to platí pro všechny klienty na udp i tcp od openvpn, přes ssh, samby až po webové prohlížeče. ono by to ani jinak nešlo, protože klient těch spojení typicky otevírá víc (i třeba od více uživatelů) a jeden port by mu stejně nestačil :-)
pokud je povolená nějaká díra na fw, musí to být pro destination port, ne source (z pohledu toho fw)
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 24. 05. 2011, 10:34:52: díky
aha.
a to nastavím na fw jak?
Netgear srx 5308

díky.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 24. 05. 2011, 10:45:58: Citace: Jarda001 24. 05. 2011, 10:34:52
díky
aha.
a to nastavím na fw jak?
Netgear srx 5308

díky.

Treba pres iptables by to melo jit takto:
iptables -A INPUT -p udp --dport 1194 -m state --state NEW -j ACCEPTnebo
iptables -A INPUT -i sitovkaDoInternetu -p udp --destination-port 1194 -j ACCEPT
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Ondřej Novák 24. 05. 2011, 10:52:09: Jen technická, nevím jak je to u OpenVPN ale obceně u UDP neplatí, že klient musí mít náhodný port. Ono u UDP neexistuje dělení na Server/Klient, protože není tam klasické schéma iniciace spojení... obě strany navíc mají schopnost rozlišit jednotlivé virtuální okruhy podle adresy s kým komunikují.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 24. 05. 2011, 11:05:39: Citace: tuxmartin :-) 24. 05. 2011, 10:45:58
Citace: Jarda001 24. 05. 2011, 10:34:52
díky
aha.
a to nastavím na fw jak?
Netgear srx 5308

díky.

Treba pres iptables by to melo jit takto:
iptables -A INPUT -p udp --dport 1194 -m state --state NEW -j ACCEPTnebo
iptables -A INPUT -i sitovkaDoInternetu -p udp --destination-port 1194 -j ACCEPT
díky
zeptám s eblbě. to je myšleno na straně fw v síti kde mám server open vpn že?. tam mám právě víše uvedené zařízení netgear.... tam nevím jak bych to zadal přes příkazový řádek.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 24. 05. 2011, 11:10:13: Citace: Ondřej Novák 24. 05. 2011, 10:52:09
Jen technická, nevím jak je to u OpenVPN ale obceně u UDP neplatí, že klient musí mít náhodný port. Ono u UDP neexistuje dělení na Server/Klient, protože není tam klasické schéma iniciace spojení... obě strany navíc mají schopnost rozlišit jednotlivé virtuální okruhy podle adresy s kým komunikují.
tot jsem právě někde vyčetl a údajně to i tak má fungovat. právě pro mě by bylo naprosto perfektní aby klient i server komunikovali pouze na již zmíněném UDP portu 1194. ale nikde jsem nenašel postup co kde donastavit. server openvpn je za hw firewallem netgear srx 5308. na něm sem otevřel port udp 1194 a nasměroval na lokální adresu řekněme 10.0.13.26. je to stroj s fedora 13. z vnitřní sítě se to spojí, ale pod jiným portem. z venku vidím že client se připojí ale s jiným portem.

díky za pomoc.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 24. 05. 2011, 12:34:45: abych ještě doplnil..
spoejní se pak z venku nenaváže. přišel jsme k tomu jak slepí k houslím :)
na logo firewalu vidím správně příchozí spojení tj. s portem udp 1194 ale už nevidím nic odchozího.
z vnitřní sítě se to spojí bezproblémů.
na openvpn serevru s fedourou je fw vypnutý.
fakt už nevím kde může být problém
tady je konfig serveru:
--------------------------------
mode server
tls-server
local 10.0.13.26:1194
script-security 2
dev tap0
port 1194
rport 1194
lport 1194
proto udp
ifconfig 10.88.255.1 255.255.255.0
# push "route 10.88.255.1 255.255.255.0"
# push "route-gateway 10.88.255.1"
push "redirect-gateway 10.88.255.1"
push "dhcp-option DNS 10.88.255.1"
ifconfig-pool 10.88.255.2 10.88.255.5 255.255.255.0
duplicate-cn
client-to-client
keepalive 10 120
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
----------------------------
tady je konfig clienta
----------------------------
remote 10.0.13.26 1194
pull
float
rport 1194
lport 1194
tls-client
dev tap
proto udp

ca ca.crt
cert test.crt
key test.key

;ns-cert-type server

ping 15
ping-restart 45
ping-timer-rem

persist-key
persist-tun
resolv-retry infinite
;nobind
comp-lzo
verb 3
mute-replay-warnings
------------------------------
díky za pomoc
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 24. 05. 2011, 12:48:03: Citace: Jarda001 24. 05. 2011, 12:34:45
na openvpn serevru s fedourou je fw vypnutý.

To mne neni jasne. Jak vypnuty? Fedoru nepouzivam, ale nema v zakladu nastavena nejaka pravidla? Poslete vypis na serveru s OpenVPN:
iptables --line-numbers -nvL

Ukazujete to neco v logu OpenVPN? Nejake chyby? Dozvi se OpenVPN vubec o pokusu pripojeni klienta, nebo kvuli firewallu ani neobdrzi pozadavek?
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 24. 05. 2011, 12:52:43: Citace: Jarda001 24. 05. 2011, 11:10:13
právě pro mě by bylo naprosto perfektní aby klient i server komunikovali pouze na již zmíněném UDP portu 1194. ale nikde jsem nenašel postup co kde donastavit. server openvpn je za hw firewallem netgear srx 5308. na něm sem otevřel port udp 1194 a nasměroval na lokální adresu řekněme 10.0.13.26. je to stroj s fedora 13. z vnitřní sítě se to spojí, ale pod jiným portem. z venku vidím že client se připojí ale s jiným portem.
Proc na stejnem portu? Klient se MUSI pripojit na Vas server na port 1194, jeho port je jeho vec.

Firewall netgear srx 5308 neznam, ale urcite to nejak jit musi.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 24. 05. 2011, 12:59:48: Citace: tuxmartin :-) 24. 05. 2011, 12:48:03
Citace: Jarda001 24. 05. 2011, 12:34:45
na openvpn serevru s fedourou je fw vypnutý.

To mne neni jasne. Jak vypnuty? Fedoru nepouzivam, ale nema v zakladu nastavena nejaka pravidla? Poslete vypis na serveru s OpenVPN:
iptables --line-numbers -nvL

Ukazujete to neco v logu OpenVPN? Nejake chyby? Dozvi se OpenVPN vubec o pokusu pripojeni klienta, nebo kvuli firewallu ani neobdrzi pozadavek?
tady je výpis

[root@negro openvpn]# iptables --line-numbers -nvL
Chain INPUT (policy ACCEPT 165K packets, 167M bytes)
num pkts bytes target prot opt in out source destination
1 8 336 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1194 state NEW

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 76945 packets, 8762K bytes)
num pkts bytes target prot opt in out source destination
[root@negro openvpn]# ^C
[root@negro openvpn]#

na serveru je videt že se klient snaží připojit, že se připojuje, ale pak spadne spojení - ten 60 s limit. klient pak v podstaěpak opakuje pokus o spojení znovu se stejným výsledkem. v lokální siti to spoejní funguje
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 24. 05. 2011, 13:01:40: Citace: tuxmartin :-) 24. 05. 2011, 12:52:43
Citace: Jarda001 24. 05. 2011, 11:10:13
právě pro mě by bylo naprosto perfektní aby klient i server komunikovali pouze na již zmíněném UDP portu 1194. ale nikde jsem nenašel postup co kde donastavit. server openvpn je za hw firewallem netgear srx 5308. na něm sem otevřel port udp 1194 a nasměroval na lokální adresu řekněme 10.0.13.26. je to stroj s fedora 13. z vnitřní sítě se to spojí, ale pod jiným portem. z venku vidím že client se připojí ale s jiným portem.
Proc na stejnem portu? Klient se MUSI pripojit na Vas server na port 1194, jeho port je jeho vec.

Firewall netgear srx 5308 neznam, ale urcite to nejak jit musi.

to je sice jeho věc, ale on nedostane odpověd od serveru a tak zopakuje pokus o spojení znovu....
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 24. 05. 2011, 13:02:02: Muzete sem hodit jeste log OpenVPN?
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jim 24. 05. 2011, 13:03:38: Mno nevím jestli nejsem vedle, ale jestli jsem to správně pochopil, chceš se připojit z venku, pak se obávám, že v konfiguraci klienta nemůžeš mít interní IP v řádku remote.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 24. 05. 2011, 13:04:53: Citace: Jarda001 24. 05. 2011, 13:01:40
to je sice jeho věc, ale on nedostane odpověd od serveru a tak zopakuje pokus o spojení znovu....

Tak to ale musi byt chyba serveru.
Jak kdyz se na notebooku podivam na netstat, tak na https taky nemam svoje porty na 443:

Kód: [Vybrat]
martin@martin:~$ netstat Aktivní Internetová spojení (w/o servery) Proto Přích-F Odch-F Místní Adresa Vzdálená Adresa Stav tcp 1 0 localhost.localdo:58185 localhost.localdo:53774 CLOSE_WAIT tcp 1 0 localhost.localdo:56991 localhost.localdo:53774 CLOSE_WAIT tcp 0 0 martin:34043 api-read-11-01-sn:https SPOJENO tcp 38 0 martin:57027 cantaloupe.canoni:https CLOSE_WAIT tcp 0 0 martin:34011 api-read-11-01-sn:https SPOJENO tcp 1 0 localhost.localdo:50329 localhost.localdo:53774 CLOSE_WAIT tcp 0 0 martin:55551 ew-in-f99.1e100.net:www SPOJENO tcp 1 0 martin:44901 91.213.160.53:www CLOSE_WAIT tcp 0 0 martin:43431 server.lan:domain TIME_WAIT tcp 0 0 martin:36577 74.125.232.218:www SPOJENO tcp 0 0 martin:40260 fx-in-f125.:xmpp-client SPOJENO tcp 0 0 martin:44260 ec2-50-16-224-113.:8890 SPOJENO tcp 1 0 martin:44902 91.213.160.53:www CLOSE_WAIT tcp 0 0 martin:47166 oam-d06a.blue.aol:https SPOJENO tcp 38 0 martin:60052 208.43.202.54-sta:https CLOSE_WAIT
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 24. 05. 2011, 13:06:54: Citace: Jim 24. 05. 2011, 13:03:38
Mno nevím jestli nejsem vedle, ale jestli jsem to správně pochopil, chceš se připojit z venku, pak se obávám, že v konfiguraci klienta nemůžeš mít interní IP v řádku remote.

Toho jsem si predtim ani nevsimnul. Ale je to pravda - klient se samozrejme musi pripojovat na verejnou IP (nebo domenu).
Klient se musi pripojovat na ten Vas HW firewall.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 24. 05. 2011, 13:12:03: Citace: Jim 24. 05. 2011, 13:03:38
Mno nevím jestli nejsem vedle, ale jestli jsem to správně pochopil, chceš se připojit z venku, pak se obávám, že v konfiguraci klienta nemůžeš mít interní IP v řádku remote.
jj dobrá myšlenka. tam je daná funkční konfigurace, se kterou se připojím uvnitř sítě. z venku mám na klientu samozřejmě věřejnou IP adresu....
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 24. 05. 2011, 13:15:19: Citace: Jarda001 24. 05. 2011, 13:12:03
jj dobrá myšlenka. tam je daná funkční konfigurace, se kterou se připojím uvnitř sítě. z venku mám na klientu samozřejmě věřejnou IP adresu....

Tak poslete log OpenVPN - at je videt, co to dela/nedela :-)
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 24. 05. 2011, 13:18:02: Citace: tuxmartin :-) 24. 05. 2011, 13:02:02
Muzete sem hodit jeste log OpenVPN?

tady je
Tue May 24 13:45:07 2011 us=455687 replay_window = 64
Tue May 24 13:45:07 2011 us=455698 replay_time = 15
Tue May 24 13:45:07 2011 us=455723 packet_id_file = '[UNDEF]'
Tue May 24 13:45:07 2011 us=455746 use_iv = ENABLED
Tue May 24 13:45:07 2011 us=455759 test_crypto = DISABLED
Tue May 24 13:45:07 2011 us=455785 tls_server = ENABLED
Tue May 24 13:45:07 2011 us=455797 tls_client = DISABLED
Tue May 24 13:45:07 2011 us=455813 key_method = 2
Tue May 24 13:45:07 2011 us=455825 ca_file = '/root/openvpn/ca.crt'
Tue May 24 13:45:07 2011 us=455852 ca_path = '[UNDEF]'
Tue May 24 13:45:07 2011 us=455864 dh_file = '/root/openvpn/dh1024.pem'
Tue May 24 13:45:07 2011 us=455886 cert_file = '/root/openvpn/server.crt'
Tue May 24 13:45:07 2011 us=455915 priv_key_file = '/root/openvpn/server.key'
Tue May 24 13:45:07 2011 us=455928 pkcs12_file = '[UNDEF]'
Tue May 24 13:45:07 2011 us=455945 cipher_list = '[UNDEF]'
Tue May 24 13:45:07 2011 us=455957 tls_verify = '[UNDEF]'
Tue May 24 13:45:07 2011 us=455980 tls_remote = '[UNDEF]'
Tue May 24 13:45:07 2011 us=455994 crl_file = '[UNDEF]'
Tue May 24 13:45:07 2011 us=456010 ns_cert_type = 0
Tue May 24 13:45:07 2011 us=456035 remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456051 remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456067 remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456079 remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456103 remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456115 remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456131 remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456154 remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456171 remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456187 remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456199 remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456223 remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456235 remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456252 remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456263 remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456293 remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456309 remote_cert_eku = '[UNDEF]'
Tue May 24 13:45:07 2011 us=456322 tls_timeout = 2
Tue May 24 13:45:07 2011 us=456337 renegotiate_bytes = 0
Tue May 24 13:45:07 2011 us=456368 renegotiate_packets = 0
Tue May 24 13:45:07 2011 us=456380 renegotiate_seconds = 3600
Tue May 24 13:45:07 2011 us=456402 handshake_window = 60
Tue May 24 13:45:07 2011 us=456420 transition_window = 3600
Tue May 24 13:45:07 2011 us=456432 single_session = DISABLED
Tue May 24 13:45:07 2011 us=456444 tls_exit = DISABLED
Tue May 24 13:45:07 2011 us=456471 tls_auth_file = '[UNDEF]'
Tue May 24 13:45:07 2011 us=456488 pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456501 pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456513 pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456538 pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456559 pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456571 pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456583 pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456606 pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456619 pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456635 pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456647 pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456671 pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456683 pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456699 pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456711 pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456733 pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456760 pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=456773 pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=456803 pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=456815 pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=456831 pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=456843 pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=456867 pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=456879 pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=456895 pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=456906 pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=456938 pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=456954 pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=456966 pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=456995 pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=457008 pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=457024 pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=457048 pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457065 pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457081 pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457093 pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457119 pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457136 pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457149 pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457176 pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457196 pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457208 pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457230 pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457250 pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457262 pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457274 pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457300 pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457316 pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457328 pkcs11_pin_cache_period = -1
Tue May 24 13:45:07 2011 us=457351 pkcs11_id = '[UNDEF]'
Tue May 24 13:45:07 2011 us=457364 pkcs11_id_management = DISABLED
Tue May 24 13:45:07 2011 us=457392 server_network = 0.0.0.0
Tue May 24 13:45:07 2011 us=457430 server_netmask = 0.0.0.0
Tue May 24 13:45:07 2011 us=457448 server_bridge_ip = 0.0.0.0
Tue May 24 13:45:07 2011 us=457473 server_bridge_netmask = 0.0.0.0
Tue May 24 13:45:07 2011 us=457503 server_bridge_pool_start = 0.0.0.0
Tue May 24 13:45:07 2011 us=457517 server_bridge_pool_end = 0.0.0.0
Tue May 24 13:45:07 2011 us=457544 push_entry = 'redirect-gateway 10.88.255.1'
Tue May 24 13:45:07 2011 us=457557 push_entry = 'dhcp-option DNS 192.168.1.1'
Tue May 24 13:45:07 2011 us=457569 push_entry = 'ping 10'
Tue May 24 13:45:07 2011 us=457585 push_entry = 'ping-restart 120'
Tue May 24 13:45:07 2011 us=457614 ifconfig_pool_defined = ENABLED
Tue May 24 13:45:07 2011 us=457629 ifconfig_pool_start = 10.88.255.2
Tue May 24 13:45:07 2011 us=457647 ifconfig_pool_end = 10.88.255.5
Tue May 24 13:45:07 2011 us=457660 ifconfig_pool_netmask = 255.255.255.0
Tue May 24 13:45:07 2011 us=457684 ifconfig_pool_persist_filename = '[UNDEF]'
Tue May 24 13:45:07 2011 us=457705 ifconfig_pool_persist_refresh_freq = 600
Tue May 24 13:45:07 2011 us=457717 n_bcast_buf = 256
Tue May 24 13:45:07 2011 us=457746 tcp_queue_limit = 64
Tue May 24 13:45:07 2011 us=457764 real_hash_size = 256
Tue May 24 13:45:07 2011 us=457789 virtual_hash_size = 256
Tue May 24 13:45:07 2011 us=457806 client_connect_script = '[UNDEF]'
Tue May 24 13:45:07 2011 us=457818 learn_address_script = '[UNDEF]'
Tue May 24 13:45:07 2011 us=457834 client_disconnect_script = '[UNDEF]'
Tue May 24 13:45:07 2011 us=457863 client_config_dir = '[UNDEF]'
Tue May 24 13:45:07 2011 us=457876 ccd_exclusive = DISABLED
Tue May 24 13:45:07 2011 us=457891 tmp_dir = '[UNDEF]'
Tue May 24 13:45:07 2011 us=457903 push_ifconfig_defined = DISABLED
Tue May 24 13:45:07 2011 us=457929 push_ifconfig_local = 0.0.0.0
Tue May 24 13:45:07 2011 us=457942 push_ifconfig_remote_netmask = 0.0.0.0
Tue May 24 13:45:07 2011 us=457959 enable_c2c = ENABLED
Tue May 24 13:45:07 2011 us=457987 duplicate_cn = ENABLED
Tue May 24 13:45:07 2011 us=458000 cf_max = 0
Tue May 24 13:45:07 2011 us=458012 cf_per = 0
Tue May 24 13:45:07 2011 us=458027 max_clients = 1024
Tue May 24 13:45:07 2011 us=458050 max_routes_per_client = 256
Tue May 24 13:45:07 2011 us=458063 auth_user_pass_verify_script = '[UNDEF]'
Tue May 24 13:45:07 2011 us=458076 auth_user_pass_verify_script_via_file = DISABLED
Tue May 24 13:45:07 2011 us=458103 ssl_flags = 0
Tue May 24 13:45:07 2011 us=458115 port_share_host = '[UNDEF]'
Tue May 24 13:45:07 2011 us=458126 port_share_port = 0
Tue May 24 13:45:07 2011 us=458138 client = DISABLED
Tue May 24 13:45:07 2011 us=458149 pull = DISABLED
Tue May 24 13:45:07 2011 us=458161 auth_user_pass_file = '[UNDEF]'
Tue May 24 13:45:07 2011 us=458181 OpenVPN 2.1.1 i686-redhat-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Jan 5 2010
Tue May 24 13:45:07 2011 us=458632 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Tue May 24 13:45:07 2011 us=484606 Diffie-Hellman initialized with 1024 bit key
Enter Private Key Password:
Tue May 24 13:45:11 2011 us=566570 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue May 24 13:45:11 2011 us=566717 WARNING: file '/root/openvpn/server.key' is group or others accessible
Tue May 24 13:45:11 2011 us=567558 TLS-Auth MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue May 24 13:45:11 2011 us=579405 TUN/TAP device tap0 opened
Tue May 24 13:45:11 2011 us=579472 TUN/TAP TX queue length set to 100
Tue May 24 13:45:11 2011 us=579543 /sbin/ip link set dev tap0 up mtu 1500
Tue May 24 13:45:11 2011 us=587775 /sbin/ip addr add dev tap0 10.88.255.1/24 broadcast 10.88.255.255
Tue May 24 13:45:11 2011 us=589923 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Tue May 24 13:45:11 2011 us=589984 Socket Buffers: R=[112640->131072] S=[112640->131072]
Tue May 24 13:45:11 2011 us=590005 UDPv4 link local (bound): 10.0.13.26:1194
Tue May 24 13:45:11 2011 us=590018 UDPv4 link remote: [undef]
Tue May 24 13:45:11 2011 us=590038 MULTI: multi_init called, r=256 v=256
Tue May 24 13:45:11 2011 us=590083 IFCONFIG POOL: base=10.88.255.2 size=4
Tue May 24 13:45:11 2011 us=590116 Initialization Sequence Completed
Tue May 24 13:45:12 2011 us=664664 MULTI: multi_create_instance called
Tue May 24 13:45:12 2011 us=664721 213.226.253.27:1194 Re-using SSL/TLS context
Tue May 24 13:45:12 2011 us=664779 213.226.253.27:1194 LZO compression initialized
Tue May 24 13:45:12 2011 us=664903 213.226.253.27:1194 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue May 24 13:45:12 2011 us=664923 213.226.253.27:1194 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Tue May 24 13:45:12 2011 us=664969 213.226.253.27:1194 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Tue May 24 13:45:12 2011 us=664983 213.226.253.27:1194 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Tue May 24 13:45:12 2011 us=665008 213.226.253.27:1194 Local Options hash (VER=V4): 'f7df56b8'
Tue May 24 13:45:12 2011 us=665026 213.226.253.27:1194 Expected Remote Options hash (VER=V4): 'd79ca330'
RTue May 24 13:45:12 2011 us=665085 213.226.253.27:1194 TLS: Initial packet from 213.226.253.27:1194, sid=c78bfb6d 3e683322
WWWWWWWWWTue May 24 13:45:28 2011 us=762856 MULTI: multi_create_instance called
Tue May 24 13:45:28 2011 us=762924 10.2.57.8:1194 Re-using SSL/TLS context
Tue May 24 13:45:28 2011 us=762955 10.2.57.8:1194 LZO compression initialized
Tue May 24 13:45:28 2011 us=763058 10.2.57.8:1194 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue May 24 13:45:28 2011 us=763076 10.2.57.8:1194 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Tue May 24 13:45:28 2011 us=763119 10.2.57.8:1194 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Tue May 24 13:45:28 2011 us=763133 10.2.57.8:1194 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Tue May 24 13:45:28 2011 us=763154 10.2.57.8:1194 Local Options hash (VER=V4): 'f7df56b8'
Tue May 24 13:45:28 2011 us=763173 10.2.57.8:1194 Expected Remote Options hash (VER=V4): 'd79ca330'
RTue May 24 13:45:28 2011 us=763210 10.2.57.8:1194 TLS: Initial packet from 10.2.57.8:1194, sid=2a6ffe07 207dff36
WRRWRWRWWWWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRRRRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRTue May 24 13:45:28 2011 us=790317 10.2.57.8:1194 VERIFY OK: depth=1, /C=CZ/ST=VYSOCINA/L=Chotebor/O=TENEZas_/OU=IT/CN=pam/emailAddress=it.manager@tenez.cz
Tue May 24 13:45:28 2011 us=790504 10.2.57.8:1194 VERIFY OK: depth=0, /C=CZ/ST=VYSOCINA/O=TENEZas_/OU=IT/CN=test/emailAddress=it.manager@tenez.cz
WRWRWRWWWWRWRWRWRWRWRWRWRWRRRRWRWRWRTue May 24 13:45:28 2011 us=797616 10.2.57.8:1194 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue May 24 13:45:28 2011 us=797648 10.2.57.8:1194 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue May 24 13:45:28 2011 us=797713 10.2.57.8:1194 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue May 24 13:45:28 2011 us=797728 10.2.57.8:1194 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
WWWRRRTue May 24 13:45:28 2011 us=798469 10.2.57.8:1194 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue May 24 13:45:28 2011 us=798503 10.2.57.8:1194 [test] Peer Connection Initiated with 10.2.57.8:1194
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 24. 05. 2011, 13:26:54: A nemuze byt problem s certifikatem? Mne se zda, ze pri pripojeni z mistni neverejne IP dojde k overeni, ale pri pripojen z venkovni IP to vubec nic o overeni nevypsalo:
Kód: [Vybrat]
2,tls-client' Tue May 24 13:45:12 2011 us=665008 213.226.253.27:1194 Local Options hash (VER=V4): 'f7df56b8' Tue May 24 13:45:12 2011 us=665026 213.226.253.27:1194 Expected Remote Options hash (VER=V4): 'd79ca330' Tue May 24 13:45:12 2011 us=665085 213.226.253.27:1194 TLS: Initial packet from 213.226.253.27:1194, sid=c78bfb6d 3e683322 WWWWWWWWWTue May 24 13:45:28 2011 us=762856 MULTI: multi_create_instance called Tue May 24 13:45:28 2011 us=762924 10.2.57.8:1194 Re-using SSL/TLS context Tue May 24 13:45:28 2011 us=762955 10.2.57.8:1194 LZO compression initialized Tue May 24 13:45:28 2011 us=763058 10.2.57.8:1194 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ] Tue May 24 13:45:28 2011 us=763076 10.2.57.8:1194 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ] Tue May 24 13:45:28 2011 us=763119 10.2.57.8:1194 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server' Tue May 24 13:45:28 2011 us=763133 10.2.57.8:1194 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client' Tue May 24 13:45:28 2011 us=763154 10.2.57.8:1194 Local Options hash (VER=V4): 'f7df56b8' Tue May 24 13:45:28 2011 us=763173 10.2.57.8:1194 Expected Remote Options hash (VER=V4): 'd79ca330' RTue May 24 13:45:28 2011 us=763210 10.2.57.8:1194 TLS: Initial packet from 10.2.57.8:1194, sid=2a6ffe07 207dff36 WRRWRWRWWWWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRRRRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRW Tue May 24 13:45:28 2011 us=790317 10.2.57.8:1194 VERIFY OK: depth=1, /C=CZ/ST=VYSOCINA/L=Chotebor/O=TENEZas_/OU=IT/CN=pam/emailAddress=it.manager@tenez.cz Tue May 24 13:45:28 2011 us=790504 10.2.57.8:1194 VERIFY OK: depth=0, /C=CZ/ST=VYSOCINA/O=TENEZas_/OU=IT/CN=test/emailAddress=it.manager@tenez.cz WRWRWRWWWWRWRWRWRWRWRWRWRWRRRRWRWRWRTue May 24 13:45:28 2011 us=797616
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 24. 05. 2011, 13:33:07: Citace: tuxmartin :-) 24. 05. 2011, 13:26:54
A nemuze byt problem s certifikatem? Mne se zda, ze pri pripojeni z mistni neverejne IP dojde k overeni, ale pri pripojen z venkovni IP to vubec nic o overeni nevypsalo:
tam je právě ten problém.
podle informací, které jsem včera vyčetl, tak klient se připojí k serveru, server odpoví, že se klient připojil a pak klient žádá o autorizaci, jenže v mém případě se klientu nedostane už ta odpověď a proto s eklient pokouší připojit znovu a znovu.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 24. 05. 2011, 13:43:38: Jestli Vam to pomuze, tak tady je muj funkcni konfig:

server.conf:
Kód: [Vybrat]
mode server tls-server port 443 proto tcp-server dev tap0 ifconfig 192.168.2.1 255.255.255.0 ifconfig-pool 192.168.2.150 192.168.2.200 255.255.255.0 client-to-client ca /etc/openvpn/ca.crt cert /etc/openvpn/server.crt key /etc/openvpn/server.key dh /etc/openvpn/dh2048.pem log-append /var/log/openvpn status /var/run/vpn.status 10 user nobody group nogroup keepalive 10 120 comp-lzo verb 5 persist-key persist-tun push "route 192.168.1.0 255.255.255.0 192.168.2.1" push "dhcp-option DNS 192.168.2.1" push "redirect-gateway def1" push "route-gateway 192.168.2.1" ifconfig-pool-persist ip_pool.txt client-config-dir ccd max-clients 5
client.conf:
Kód: [Vybrat]
remote vpn.domena.tpd port 443 proto tcp-client tls-client dev tap pull ns-cert-type server mute 10 ca ca.crt cert martin.crt key martin.key comp-lzo verb 3
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: rob 24. 05. 2011, 15:57:08: zkuste nahradit v configuracnim souboru na serveru
Kód: [Vybrat]
push "redirect-gateway 10.88.255.1"timto
Kód: [Vybrat]
push "redirect-gateway def1"
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 24. 05. 2011, 16:03:13: Ale push "redirect-gateway def1" mu bude posilat veskery sitovy provoz do vpn tunelu.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: rob 24. 05. 2011, 16:24:46: soudim podle pouziti
Citace
push "redirect-gateway 10.88.255.1"
to tak i zamyslel
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Voty 24. 05. 2011, 20:58:03: Mě se zdá, že problém je v tom, že funguje spojení dovnitř (tedy od klienta přes fw na server), ale ven už ne. Takže hádám, že je buďto špatně nastavený fw, nebo je podobně blbej jako Hauwei, který čas od času vesele NATuje i takováto UDP "spojení" směrem ven. Já jsem kvůli tomu musel přejít na TCP. Chtělo by to tcpdump na klientu, když se snaží pripojit, zda mu něco vůbec od serveru dorazí.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 25. 05. 2011, 09:24:57: Citace: Voty 24. 05. 2011, 20:58:03
Mě se zdá, že problém je v tom, že funguje spojení dovnitř (tedy od klienta přes fw na server), ale ven už ne. Takže hádám, že je buďto špatně nastavený fw, nebo je podobně blbej jako Hauwei, který čas od času vesele NATuje i takováto UDP "spojení" směrem ven. Já jsem kvůli tomu musel přejít na TCP. Chtělo by to tcpdump na klientu, když se snaží pripojit, zda mu něco vůbec od serveru dorazí.
ahoj
takže problém byl v nastvení firewalu. ten seodpojil, použil jsem linuxové řešení a spojení to návázalo a drží, netgera se chová divně. musel sem přejít rovněž na TCP. ještě je tu jedna věc a to že i s/ push"redirect-gateway def 1"/ v konfiguráku serveru nefunguje to že chci, aby veškerá síťová komunikace clienta šla na server. Včem může být problém?
ddíky.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 25. 05. 2011, 13:41:54: Citace: Jarda001 25. 05. 2011, 09:24:57
ještě je tu jedna věc a to že i s/ push"redirect-gateway def 1"/ v konfiguráku serveru nefunguje to že chci, aby veškerá síťová komunikace clienta šla na server. Včem může být problém?
ddíky.

To je divne, mne to s vyse uvedenym nastavenim ( http://goo.gl/ovanp ) funguje.
Jste si jisty, ze to opravdu nejde tim tunelem?
Poslete vypis smerovaci tabulky na klientovi: route -n
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 25. 05. 2011, 14:07:32: Citace: tuxmartin :-) 25. 05. 2011, 13:41:54
Citace: Jarda001 25. 05. 2011, 09:24:57
ještě je tu jedna věc a to že i s/ push"redirect-gateway def 1"/ v konfiguráku serveru nefunguje to že chci, aby veškerá síťová komunikace clienta šla na server. Včem může být problém?
ddíky.

To je divne, mne to s vyse uvedenym nastavenim ( http://goo.gl/ovanp ) funguje.
Jste si jisty, ze to opravdu nejde tim tunelem?
Poslete vypis smerovaci tabulky na klientovi: route -n

tady je ze serveru
Směrovací tabulka v jádru pro IP
Adresát Brána Maska Přízn Metrik Odkaz Užt Rozhraní
10.88.255.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0
169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 0 eth0
10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth0
0.0.0.0 10.0.0.110 0.0.0.0 UG 0 0 0 eth0
[root@negro openvpn]#
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 25. 05. 2011, 14:35:37: Citace: Jarda001 25. 05. 2011, 14:07:32
tady je ze serveru
Směrovací tabulka v jádru pro IP
Adresát Brána Maska Přízn Metrik Odkaz Užt Rozhraní
10.88.255.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0
169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 0 eth0
10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth0
0.0.0.0 10.0.0.110 0.0.0.0 UG 0 0 0 eth0
[root@negro openvpn]#

Ta je skoro k nicemu. Poslete tu z pripojeneho klienta.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 25. 05. 2011, 15:12:53: Ta je skoro k nicemu. Poslete tu z pripojeneho klienta.
[/quote]
ten je ve win route print
===========================================================================
===========================================================================
Aktivní směrování:
Cíl v síti Síťová maska Brána Rozhraní Metrika
0.0.0.0 128.0.0.0 10.88.255.1 10.88.255.2 1
0.0.0.0 0.0.0.0 10.200.0.254 10.200.0.101 20
10.88.255.0 255.255.255.0 10.88.255.2 10.88.255.2 30
10.88.255.2 255.255.255.255 127.0.0.1 127.0.0.1 30
10.200.0.0 255.255.255.0 10.200.0.101 10.200.0.101 20
10.200.0.101 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.88.255.2 10.88.255.2 30
10.255.255.255 255.255.255.255 10.200.0.101 10.200.0.101 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
128.0.0.0 128.0.0.0 10.88.255.1 10.88.255.2 1
213.226.253.5 255.255.255.255 10.200.0.254 10.200.0.101 1
224.0.0.0 240.0.0.0 10.88.255.2 10.88.255.2 30
224.0.0.0 240.0.0.0 10.200.0.101 10.200.0.101 20
255.255.255.255 255.255.255.255 10.88.255.2 10.88.255.2 1
255.255.255.255 255.255.255.255 10.200.0.101 10.200.0.101 1
Výchozí brána: 10.88.255.1
===========================================================================
Trvalé trasy:
Žádné
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 25. 05. 2011, 15:16:39: ještě doplnění
je to stroj v jiné síti za fw. adresa stroje v síti je 10.200.0.101, bránu i dns má mít 10.200.0.254
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 25. 05. 2011, 15:30:15: Jak jsem videl v nejakem Vasem starsim prispevku, chcete klientovi nastavit branu 10.88.255.1:
Tue May 24 13:45:07 2011 us=457544 push_entry = 'redirect-gateway 10.88.255.1'
Vas Windows klient ukaze:
Kód: [Vybrat]
Cíl v síti Síťová maska Brána Rozhraní Metrika 0.0.0.0 128.0.0.0 10.88.255.1 10.88.255.2 1 0.0.0.0 0.0.0.0 10.200.0.254 10.200.0.101 20
Takze pro 0.0.0.0 je brana 10.88.255.1 - to by melo byt v poradku.
Jedine co si mi nezda je ta maska 128.0.0.0 - mne to dela OpenVPN taky a nevim jak se toho zbavit :-( - nicmene smerovani provozu do vpn tunelu mne funguje.

Kdyz zkusite traceroute www.google.com s pripojenou a odpojenou VPN, mel by byt videt rozdil.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 26. 05. 2011, 10:54:01: smerovani provozu do vpn tunelu mne funguje.

Kdyz zkusite traceroute www.google.com s pripojenou a odpojenou VPN, mel by byt videt rozdil.
[/quote]
já tam mám ale /redirect-gateway def 1/
mám tam vrátit to původní?
ted je knfigurák serevru takovíto:

mode server
tls-server
local 10.0.13.26:1194
script-security 2
dev tap0
port 1194
rport 1194
lport 1194
proto tcp-server
ifconfig 10.88.255.1 255.255.255.0
;push "route 10.88.255.1 255.255.255.0"
;push "route-gateway 10.88.255.1"
push "redirect-gateway def1"
push "dhcp-option DNS 10.88.255.1"
ifconfig-pool 10.88.255.2 10.88.255.5 255.255.255.0
duplicate-cn
client-to-client
keepalive 10 120
ca /root/openvpn/ca.crt
cert /root/openvpn/server.crt
key /root/openvpn/server.key
dh /root/openvpn/dh1024.pem
comp-lzo
;log-append cvpn.log
status openvpn-status.log
já jsem včera ještě něco málo zkoumal a ten traceroute se choval stejně v obou případech.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 26. 05. 2011, 15:27:20: Citace: Jarda001 26. 05. 2011, 10:54:01
mode server
tls-server
local 10.0.13.26:1194
script-security 2
dev tap0
port 1194
rport 1194
lport 1194
proto tcp-server
ifconfig 10.88.255.1 255.255.255.0
;push "route 10.88.255.1 255.255.255.0"
;push "route-gateway 10.88.255.1"
push "redirect-gateway def1"
push "dhcp-option DNS 10.88.255.1"
ifconfig-pool 10.88.255.2 10.88.255.5 255.255.255.0
duplicate-cn
client-to-client
keepalive 10 120
ca /root/openvpn/ca.crt
cert /root/openvpn/server.crt
key /root/openvpn/server.key
dh /root/openvpn/dh1024.pem
comp-lzo
;log-append cvpn.log
status openvpn-status.log
já jsem včera ještě něco málo zkoumal a ten traceroute se choval stejně v obou případech.

pridejte tam tu branu: push "route-gateway 10.88.255.1" a push "redirect-gateway def1" tam nechte taky

zkuste vyhodit rport 1194 a lport 1194 btw, k cemu je to dobre?

jestli dobre koukam, tak ten rozsah ma dost malo ip - to by ale vadit pro par lidi nemelo ifconfig-pool 10.88.255.2 10.88.255.5 255.255.255.0

jaky ma vyznam duplicate-cn? neni lepsi kazdemu vygenerovat vlastni certifikat?
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 26. 05. 2011, 15:31:46: pridejte tam tu branu: push "route-gateway 10.88.255.1" a push "redirect-gateway def1" tam nechte taky

zkuste vyhodit rport 1194 a lport 1194 btw, k cemu je to dobre?

jestli dobre koukam, tak ten rozsah ma dost malo ip - to by ale vadit pro par lidi nemelo ifconfig-pool 10.88.255.2 10.88.255.5 255.255.255.0

jaky ma vyznam duplicate-cn? neni lepsi kazdemu vygenerovat vlastni certifikat?
[/quote]
díky za tip. ted sem mimo, ale večer to provedu
ohledně rozsahu adres a duplikate cn... mám to v režimu testování, pak je samozřejmé, že každý cclient bude mít svůj certifikát. tomu říkám kudrdlinky a ty lze dodělat později. lport a rport určují komunikaci portu, údajně je pak stabilnější, našel jsem to na nějakém něm.foŕu.... bez toho mi přišlo spojení pomalejší a méně stabilní.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 26. 05. 2011, 15:53:05: Citace: Jarda001 26. 05. 2011, 15:31:46
pridejte tam tu branu: push "route-gateway 10.88.255.1" a push "redirect-gateway def1" tam nechte taky

zkuste vyhodit rport 1194 a lport 1194 btw, k cemu je to dobre?

jestli dobre koukam, tak ten rozsah ma dost malo ip - to by ale vadit pro par lidi nemelo ifconfig-pool 10.88.255.2 10.88.255.5 255.255.255.0

jaky ma vyznam duplicate-cn? neni lepsi kazdemu vygenerovat vlastni certifikat?
díky za tip. ted sem mimo, ale večer to provedu
ohledně rozsahu adres a duplikate cn... mám to v režimu testování, pak je samozřejmé, že každý cclient bude mít svůj certifikát. tomu říkám kudrdlinky a ty lze dodělat později. lport a rport určují komunikaci portu, údajně je pak stabilnější, našel jsem to na nějakém něm.foŕu.... bez toho mi přišlo spojení pomalejší a méně stabilní.
[/quote]
tak sem se připojil a nejedeto. udělal jsem úpravy dle rady.
tváří se to že to má bránu a ins nastavenou správně, ovšem když se chci dostat na server, který je v síti u počvpn-serveru (metalické) konkrétně 10.0.0.177 tak ho to nenajde.
mě de o to, aby když se client připojí k vpn serevru, aby ve vzdálené ploše ve win zadal jméno serevru nebo ip adresu v lokální síti vpn serevru a připojil se na něj a nebo pomocí speciálního klienta se dostal do lokální sítě vpn serevru 10.0.0.x a tam navázal konkrétní spojení...
díky
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: rob 26. 05. 2011, 16:28:38: ty certifikaty zatim nech, ale muzes zvetsit pool dostupnych adres
taky by bylo nejlepsi nam vic priblizit architekturu site, upne nejlip nejakym diagramem (programek dia) :)
taky hodit treba na pastebin logy clienta a serveru pri pripojovani,ip route na klientovi i serveru

taky doporucuju par stranek si precit
https://help.ubuntu.com/community/CategoryVPN?highlight=%28%28OpenVPN%29%29
http://openvpn.net/index.php/open-source/documentation/howto.html

jinak k push "redirect-gateway def1"

def1 nemeni tvoji default gateway 0.0.0.0/0 ale prida 0.0.0.0/1 a 0.0.0.0/128, coz je sikovny pro zanechani puvodni gateway, treba kdyz nemas nastavenou staticky IP, ale prideluje ti ji DHCP. Jinak by totiz pozadavky na DHCP server sli skrz VPN.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: thor5 26. 05. 2011, 16:52:17: jeste jedna poznamka, u spousty lidi jsem se setkal s tim, ze jim funguje vse dobre, jen nemaji nastavene DNS servery. Takze vyzkouset jestli z klienta jde pingnout IP adresa treba seznamu. Pokud jde IP a ne jmeno, tak se musi upravit konfigurace pro DNS, sice na serveru je push dns ale nikde neni napsano, ze to klient pochopi a aplikuje(v linuxech napr. musite vyrobit/pouzit svuj skript ktery volbu aplikuje, ve widlich jsem to zatim nepotreboval, ale predpokladam, ze to bude podobne)
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 27. 05. 2011, 07:50:04: Citace: rob 26. 05. 2011, 16:28:38
ty certifikaty zatim nech, ale muzes zvetsit pool dostupnych adres
taky by bylo nejlepsi nam vic priblizit architekturu site, upne nejlip nejakym diagramem (programek dia) :)
taky hodit treba na pastebin logy clienta a serveru pri pripojovani,ip route na klientovi i serveru

taky doporucuju par stranek si precit
https://help.ubuntu.com/community/CategoryVPN?highlight=%28%28OpenVPN%29%29
http://openvpn.net/index.php/open-source/documentation/howto.html

jinak k push "redirect-gateway def1"

def1 nemeni tvoji default gateway 0.0.0.0/0 ale prida 0.0.0.0/1 a 0.0.0.0/128, coz je sikovny pro zanechani puvodni gateway, treba kdyz nemas nastavenou staticky IP, ale prideluje ti ji DHCP. Jinak by totiz pozadavky na DHCP server sli skrz VPN.

díky za tip.
takže sítě:
server má interní ip 10.0.13.26, masku 255.0.0.0. bránu 10.0.0.255, dns 10.0.0.255
clietn u kterého to testuji má ip 10.200.0.101, masku 255.255.255.0, dns a bránu 10.200.0.254. obě IP adresy jsou přiděleny ručně.
klienti který se však budou připojovat tak budou mít ip svojí lokální sítě většinou přidělovanou DHCP. cíle je aby klient, který se připojí odkukoliv měl přístup na servery v lokální síti vpn serveru 10.0.0.X.
Musí být na serveru vpn vytvořené bridge nebo ne?
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 27. 05. 2011, 10:04:12: Citace: Jarda001 27. 05. 2011, 07:50:04
cíle je aby klient, který se připojí odkukoliv měl přístup na servery v lokální síti vpn serveru 10.0.0.X.
Musí být na serveru vpn vytvořené bridge nebo ne?

Jestli to chapu, tak Vam jde pouze o to, aby se klient pripojil na VPN a mel pristup do vnitrni site.
Na to by melo stacit pridat push "route 10.88.255.1 255.255.255.0" a to def1 bych tam vubec nedaval (tim byste pouze skryl veskery provoz do VPN. Ja to pouzivam ve skole, kde mame zakazane ICQ a podobne veci, pomoci def1 mne pak vsechno funguje, ale je to pomalejsi.)
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 27. 05. 2011, 10:25:45: Citace: tuxmartin :-) 27. 05. 2011, 10:04:12
Citace: Jarda001 27. 05. 2011, 07:50:04
cíle je aby klient, který se připojí odkukoliv měl přístup na servery v lokální síti vpn serveru 10.0.0.X.
Musí být na serveru vpn vytvořené bridge nebo ne?

Jestli to chapu, tak Vam jde pouze o to, aby se klient pripojil na VPN a mel pristup do vnitrni site.
Na to by melo stacit pridat push "route 10.88.255.1 255.255.255.0" a to def1 bych tam vubec nedaval (tim byste pouze skryl veskery provoz do VPN. Ja to pouzivam ve skole, kde mame zakazane ICQ a podobne veci, pomoci def1 mne pak vsechno funguje, ale je to pomalejsi.)
v podstatě ano,
def 1 jsem ; ale kdz6 d8m ping na klientu na 10.0.0.177 tak ho nezná :(
jak je to s tím brdige spojení musí být na straně serveru nebo ne?
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 27. 05. 2011, 10:31:20: v podstatě ano,
def 1 jsem ; ale kdz6 d8m ping na klientu na 10.0.0.177 tak ho nezná :(
jak je to s tím brdige spojení musí být na straně serveru nebo ne?
[/quote]
ještě doplnění, když na clientovi dám tracert na 10.0.0.177 tak mi to ukazuje že to rve na 10.200.0.254 což brána a dns počítače clienta
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 31. 05. 2011, 10:16:00: zkoušel jsem ještě další věci a stále nic. Poradíte mi prosím někdo. děkuji.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: thor5 31. 05. 2011, 23:50:28: At na to koukam tak na to koukam a nevidim duvod, proc by to melo rvat na lokalni branu (tedy za predpokladu, ze se nezmenila rout. tabulka, co jste udal vyse). Jedine cemu nerozumim (a rozhodne netvrdim, ze je to tim) je, ze na serveru vam trochu splyvaji site. mate 10.0.0.0/8 smerovane na eth0 a 10.88.255.0/24 na tap0. Skoro bych tipoval, ze data z klienta tecou na def. branu vpn, ale paket se nevrati protoze se posle zpatky odkud prisel, tj.z eth0 na eth0 a klientovi nedorazi a pak se klient pokusi o presmerovani pozadavku druhou znamou cestou. (Pokud se mylim a placam nesmysly, opravte mne :) )
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 01. 06. 2011, 08:39:34: takže udělal jsem pár změn dle vašich typů:
tady je to z klienta:
C:\Documents and Settings\Administrator>route print
===========================================================================
Seznam rozhraní
0x1 ........................... MS TCP Loopback interface
0x30003 ...00 06 4f 04 4d 6c ...... SiS 900 PCI Fast Ethernet Adapter - Packet S
cheduler Miniport
0x30004 ...00 ff 91 d8 fe 2b ...... TAP-Win32 Adapter V9 - Packet Scheduler Mini
port
===========================================================================
===========================================================================
Aktivní směrování:
Cíl v síti Síťová maska Brána Rozhraní Metrika
0.0.0.0 0.0.0.0 10.200.0.254 10.200.0.101 20
0.0.0.0 128.0.0.0 172.17.88.255 172.17.88.100 1
10.200.0.0 255.255.255.0 10.200.0.101 10.200.0.101 20
10.200.0.101 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.200.0.101 10.200.0.101 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
128.0.0.0 128.0.0.0 172.17.88.255 172.17.88.100 1
172.17.0.0 255.255.0.0 172.17.88.100 172.17.88.100 30
172.17.88.100 255.255.255.255 127.0.0.1 127.0.0.1 30
172.17.255.255 255.255.255.255 172.17.88.100 172.17.88.100 30
213.226.253.5 255.255.255.255 10.200.0.254 10.200.0.101 1
224.0.0.0 240.0.0.0 10.200.0.101 10.200.0.101 20
224.0.0.0 240.0.0.0 172.17.88.100 172.17.88.100 30
255.255.255.255 255.255.255.255 10.200.0.101 10.200.0.101 1
255.255.255.255 255.255.255.255 172.17.88.100 172.17.88.100 1
Výchozí brána: 172.17.88.255
===========================================================================
Trvalé trasy:
Žádné

C:\Documents and Settings\Administrator>
a tady konfig serveru
mode server
tls-server
;ipconfig-pool-persist ip.txt
local 10.0.13.26:1194
script-security 2
dev tap0
port 1194
rport 1194
lport 1194
proto tcp-server
ifconfig 172.17.88.255 255.255.0.0
push "route 172.17.88.255 255.255.0.0"
push "redirect-gateway def1"
;push "redirect-gateway 172.17.88.255"
push "dhcp-option DNS 172.17.88.255"
ifconfig-pool 172.17.88.100 172.17.88.159 255.255.0.0
duplicate-cn
client-to-client
keepalive 10 120
ca /root/openvpn/ca.crt
cert /root/openvpn/server.crt
key /root/openvpn/server.key
dh /root/openvpn/dh1024.pem
comp-lzo
;log-append cvpn.log
status openvpn-status.log
verb 5

ted už by to mělo vše fungovat, ale když na klientovy zadám ping 10.0.0.177 tak nenajde. je to stroj, který je v lokální síti openvpnserveru. díky.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: thor5 01. 06. 2011, 09:52:47: ted uz to musi opravdu fungovat... takze co me napadlo dale:
1) stroj 10.0.0.177 má ze site VPN zakazany ping
2) mozna by misto pingu stalo zkusit traceroute, melo by tam byt videt minimalne, ze prvni skok je na 172.17.18.255 pak mozna budeme chytrejsi
3) zkusit se podivat do logu openvpn, obcas tam pristane neco zajimaveho, kdyz neco nejde
4) (tohle je uz ale nouze) zkusit misto TCP dat UDP na jinych portech (a bez rport, lport). Uz se mi totiz stalo, ze se vse tvarilo OK, ale pakety nesly. A po tehle uprave se to zazrakem rozchodilo, i kdyz nikde po ceste firewall (ani L2 transparentni) nebyl (asi nejaky bug).
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 01. 06. 2011, 10:30:37: ad 1)
stroj 10.0.0.177 má povolený ping od kohokoliv
ad 2)
traceroute neukáže žádnou adresu jen že vypršel časový limit
ad 3)
log clienta:
Jun 01 08:21:10 2011 us=453000 Current Parameter Settings:
Wed Jun 01 08:21:10 2011 us=453000 config = 'client.ovpn'
Wed Jun 01 08:21:10 2011 us=453000 mode = 0
Wed Jun 01 08:21:10 2011 us=453000 show_ciphers = DISABLED
Wed Jun 01 08:21:10 2011 us=453000 show_digests = DISABLED
Wed Jun 01 08:21:10 2011 us=453000 show_engines = DISABLED
Wed Jun 01 08:21:10 2011 us=453000 genkey = DISABLED
Wed Jun 01 08:21:10 2011 us=453000 key_pass_file = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=453000 show_tls_ciphers = DISABLED
Wed Jun 01 08:21:10 2011 us=453000 Connection profiles [default]:
Wed Jun 01 08:21:10 2011 us=453000 proto = tcp-client
Wed Jun 01 08:21:10 2011 us=453000 local = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=453000 local_port = 1194
Wed Jun 01 08:21:10 2011 us=453000 remote = '213.226.253.5'
Wed Jun 01 08:21:10 2011 us=453000 remote_port = 1194
Wed Jun 01 08:21:10 2011 us=453000 remote_float = ENABLED
Wed Jun 01 08:21:10 2011 us=453000 bind_defined = DISABLED
Wed Jun 01 08:21:10 2011 us=453000 bind_local = ENABLED
Wed Jun 01 08:21:10 2011 us=453000 connect_retry_seconds = 5
Wed Jun 01 08:21:10 2011 us=453000 connect_timeout = 10
Wed Jun 01 08:21:10 2011 us=453000 topology = 1
Wed Jun 01 08:21:10 2011 us=453000 tun_ipv6 = DISABLED
Wed Jun 01 08:21:10 2011 us=453000 ifconfig_local = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=453000 ifconfig_remote_netmask = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=453000 ifconfig_noexec = DISABLED
Wed Jun 01 08:21:10 2011 us=453000 ifconfig_nowarn = DISABLED
Wed Jun 01 08:21:10 2011 us=453000 shaper = 0
Wed Jun 01 08:21:10 2011 us=453000 tun_mtu = 1500
Wed Jun 01 08:21:10 2011 us=453000 tun_mtu_defined = ENABLED
Wed Jun 01 08:21:10 2011 us=453000 link_mtu = 1500
Wed Jun 01 08:21:10 2011 us=453000 link_mtu_defined = DISABLED
Wed Jun 01 08:21:10 2011 us=453000 tun_mtu_extra = 32
Wed Jun 01 08:21:10 2011 us=453000 tun_mtu_extra_defined = ENABLED
Wed Jun 01 08:21:10 2011 us=453000 fragment = 0
Wed Jun 01 08:21:10 2011 us=453000 mtu_discover_type = -1
Wed Jun 01 08:21:10 2011 us=453000 mtu_test = 0
Wed Jun 01 08:21:10 2011 us=546000 sockflags = 0
Wed Jun 01 08:21:10 2011 us=546000 fast_io = DISABLED
Wed Jun 01 08:21:10 2011 us=546000 lzo = 7
Wed Jun 01 08:21:10 2011 us=546000 route_script = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=546000 route_default_gateway = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=546000 route_default_metric = 0
Wed Jun 01 08:21:10 2011 us=546000 route_noexec = DISABLED
Wed Jun 01 08:21:10 2011 us=546000 route_delay = 4
Wed Jun 01 08:21:10 2011 us=546000 route_delay_window = 30
Wed Jun 01 08:21:10 2011 us=546000 route_delay_defined = ENABLED
Wed Jun 01 08:21:10 2011 us=546000 route_nopull = DISABLED
Wed Jun 01 08:21:10 2011 us=546000 route_gateway_via_dhcp = DISABLED
Wed Jun 01 08:21:10 2011 us=609000 max_routes = 100
Wed Jun 01 08:21:10 2011 us=609000 allow_pull_fqdn = DISABLED
Wed Jun 01 08:21:10 2011 us=609000 management_addr = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=609000 management_port = 0
Wed Jun 01 08:21:10 2011 us=609000 management_user_pass = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=609000 management_log_history_cache = 250
Wed Jun 01 08:21:10 2011 us=609000 management_echo_buffer_size = 100
Wed Jun 01 08:21:10 2011 us=609000 management_write_peer_info_file = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=609000 management_client_user = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=609000 management_client_group = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=609000 management_flags = 0
Wed Jun 01 08:21:10 2011 us=609000 shared_secret_file = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=609000 key_direction = 0
Wed Jun 01 08:21:10 2011 us=609000 ciphername_defined = ENABLED
Wed Jun 01 08:21:10 2011 us=609000 ciphername = 'BF-CBC'
Wed Jun 01 08:21:10 2011 us=656000 authname_defined = ENABLED
Wed Jun 01 08:21:10 2011 us=656000 authname = 'SHA1'
Wed Jun 01 08:21:10 2011 us=656000 prng_hash = 'SHA1'
Wed Jun 01 08:21:10 2011 us=656000 prng_nonce_secret_len = 16
Wed Jun 01 08:21:10 2011 us=656000 keysize = 0
Wed Jun 01 08:21:10 2011 us=656000 engine = DISABLED
Wed Jun 01 08:21:10 2011 us=656000 replay = ENABLED
Wed Jun 01 08:21:10 2011 us=656000 mute_replay_warnings = ENABLED
Wed Jun 01 08:21:10 2011 us=656000 replay_window = 64
Wed Jun 01 08:21:10 2011 us=656000 replay_time = 15
Wed Jun 01 08:21:10 2011 us=656000 packet_id_file = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=656000 use_iv = ENABLED
Wed Jun 01 08:21:10 2011 us=656000 test_crypto = DISABLED
Wed Jun 01 08:21:10 2011 us=656000 tls_server = DISABLED
Wed Jun 01 08:21:10 2011 us=656000 tls_client = ENABLED
Wed Jun 01 08:21:10 2011 us=656000 key_method = 2
Wed Jun 01 08:21:10 2011 us=656000 ca_file = 'ca.crt'
Wed Jun 01 08:21:10 2011 us=718000 ca_path = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=718000 dh_file = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=718000 cert_file = 'test.crt'
Wed Jun 01 08:21:10 2011 us=718000 priv_key_file = 'test.key'
Wed Jun 01 08:21:10 2011 us=718000 pkcs12_file = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=718000 cryptoapi_cert = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=718000 cipher_list = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=718000 tls_verify = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=718000 tls_remote = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=718000 crl_file = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=718000 ns_cert_type = 64
Wed Jun 01 08:21:10 2011 us=718000 remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=718000 remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=718000 remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=718000 remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=718000 remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=765000 remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=765000 remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=765000 remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=765000 remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=765000 remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=765000 remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=765000 remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=765000 remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=765000 remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=765000 remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=765000 remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=765000 remote_cert_eku = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=765000 tls_timeout = 2
Wed Jun 01 08:21:10 2011 us=765000 renegotiate_bytes = 0
Wed Jun 01 08:21:10 2011 us=765000 renegotiate_packets = 0
Wed Jun 01 08:21:10 2011 us=765000 renegotiate_seconds = 3600
Wed Jun 01 08:21:10 2011 us=765000 handshake_window = 60
Wed Jun 01 08:21:10 2011 us=812000 transition_window = 3600
Wed Jun 01 08:21:10 2011 us=812000 single_session = DISABLED
Wed Jun 01 08:21:10 2011 us=812000 push_peer_info = DISABLED
Wed Jun 01 08:21:10 2011 us=812000 tls_exit = DISABLED
Wed Jun 01 08:21:10 2011 us=812000 tls_auth_file = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=812000 pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=812000 pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=812000 pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=812000 pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=812000 pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=812000 pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=812000 pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=812000 pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=843000 pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=843000 pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=843000 pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=843000 pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=843000 pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=843000 pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=843000 pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=843000 pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=843000 pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=843000 pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=843000 pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=843000 pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=843000 pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=890000 pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=890000 pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=890000 pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=890000 pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=890000 pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=890000 pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=890000 pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=890000 pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=890000 pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=890000 pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=890000 pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=890000 pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=890000 pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=890000 pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=890000 pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=937000 pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=937000 pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=937000 pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=937000 pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=937000 pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=937000 pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=937000 pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=937000 pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=937000 pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=937000 pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=937000 pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=937000 pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=937000 pkcs11_pin_cache_period = -1
Wed Jun 01 08:21:10 2011 us=937000 pkcs11_id = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=937000 pkcs11_id_management = DISABLED
Wed Jun 01 08:21:10 2011 us=984000 server_network = 0.0.0.0
Wed Jun 01 08:21:10 2011 us=984000 server_netmask = 0.0.0.0
Wed Jun 01 08:21:10 2011 us=984000 server_bridge_ip = 0.0.0.0
Wed Jun 01 08:21:10 2011 us=984000 server_bridge_netmask = 0.0.0.0
Wed Jun 01 08:21:10 2011 us=984000 server_bridge_pool_start = 0.0.0.0
Wed Jun 01 08:21:10 2011 us=984000 server_bridge_pool_end = 0.0.0.0
Wed Jun 01 08:21:10 2011 us=984000 ifconfig_pool_defined = DISABLED
Wed Jun 01 08:21:10 2011 us=984000 ifconfig_pool_start = 0.0.0.0
Wed Jun 01 08:21:10 2011 us=984000 ifconfig_pool_end = 0.0.0.0
Wed Jun 01 08:21:10 2011 us=984000 ifconfig_pool_netmask = 0.0.0.0
Wed Jun 01 08:21:10 2011 us=984000 ifconfig_pool_persist_filename = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=984000 ifconfig_pool_persist_refresh_freq = 600
Wed Jun 01 08:21:10 2011 us=984000 n_bcast_buf = 256
Wed Jun 01 08:21:10 2011 us=984000 tcp_queue_limit = 64
Wed Jun 01 08:21:10 2011 us=984000 real_hash_size = 256
Wed Jun 01 08:21:11 2011 us=31000 virtual_hash_size = 256
Wed Jun 01 08:21:11 2011 us=31000 client_connect_script = '[UNDEF]'
Wed Jun 01 08:21:11 2011 us=31000 learn_address_script = '[UNDEF]'
Wed Jun 01 08:21:11 2011 us=31000 client_disconnect_script = '[UNDEF]'
Wed Jun 01 08:21:11 2011 us=31000 client_config_dir = '[UNDEF]'
Wed Jun 01 08:21:11 2011 us=31000 ccd_exclusive = DISABLED
Wed Jun 01 08:21:11 2011 us=31000 tmp_dir = '[UNDEF]'
Wed Jun 01 08:21:11 2011 us=31000 push_ifconfig_defined = DISABLED
Wed Jun 01 08:21:11 2011 us=31000 push_ifconfig_local = 0.0.0.0
Wed Jun 01 08:21:11 2011 us=31000 push_ifconfig_remote_netmask = 0.0.0.0
Wed Jun 01 08:21:11 2011 us=31000 enable_c2c = DISABLED
Wed Jun 01 08:21:11 2011 us=31000 duplicate_cn = DISABLED
Wed Jun 01 08:21:11 2011 us=31000 cf_max = 0
Wed Jun 01 08:21:11 2011 us=31000 cf_per = 0
Wed Jun 01 08:21:11 2011 us=31000 max_clients = 1024
Wed Jun 01 08:21:11 2011 us=31000 max_routes_per_client = 256
Wed Jun 01 08:21:11 2011 us=62000 auth_user_pass_verify_script = '[UNDEF]'
Wed Jun 01 08:21:11 2011 us=62000 auth_user_pass_verify_script_via_file = DISABLED
Wed Jun 01 08:21:11 2011 us=62000 ssl_flags = 0
Wed Jun 01 08:21:11 2011 us=62000 client = DISABLED
Wed Jun 01 08:21:11 2011 us=62000 pull = ENABLED
Wed Jun 01 08:21:11 2011 us=62000 auth_user_pass_file = '[UNDEF]'
Wed Jun 01 08:21:11 2011 us=62000 show_net_up = DISABLED
Wed Jun 01 08:21:11 2011 us=62000 route_method = 2
Wed Jun 01 08:21:11 2011 us=62000 ip_win32_defined = DISABLED
Wed Jun 01 08:21:11 2011 us=62000 ip_win32_type = 3
Wed Jun 01 08:21:11 2011 us=62000 dhcp_masq_offset = 0
Wed Jun 01 08:21:11 2011 us=62000 dhcp_lease_time = 31536000
Wed Jun 01 08:21:11 2011 us=62000 tap_sleep = 0
Wed Jun 01 08:21:11 2011 us=62000 dhcp_options = DISABLED
Wed Jun 01 08:21:11 2011 us=62000 dhcp_renew = DISABLED
Wed Jun 01 08:21:11 2011 us=62000 dhcp_pre_release = DISABLED
Wed Jun 01 08:21:11 2011 us=93000 dhcp_release = DISABLED
Wed Jun 01 08:21:11 2011 us=93000 domain = '[UNDEF]'
Wed Jun 01 08:21:11 2011 us=93000 netbios_scope = '[UNDEF]'
Wed Jun 01 08:21:11 2011 us=93000 netbios_node_type = 0
Wed Jun 01 08:21:11 2011 us=93000 disable_nbt = DISABLED
Wed Jun 01 08:21:11 2011 us=93000 OpenVPN 2.1.4 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 8 2010
Wed Jun 01 08:21:11 2011 us=109000 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Jun 01 08:21:11 2011 us=484000 LZO compression initialized
Wed Jun 01 08:21:11 2011 us=484000 Control Channel MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Wed Jun 01 08:21:11 2011 us=484000 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Jun 01 08:21:11 2011 us=500000 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Wed Jun 01 08:21:11 2011 us=500000 Local Options String: 'V4,dev-type tap,link-mtu 1576,tun-mtu 1532,proto TCPv4_CLIENT,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Wed Jun 01 08:21:11 2011 us=500000 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1576,tun-mtu 1532,proto TCPv4_SERVER,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Wed Jun 01 08:21:11 2011 us=500000 Local Options hash (VER=V4): '31fdf004'
Wed Jun 01 08:21:11 2011 us=500000 Expected Remote Options hash (VER=V4): '3e6d1056'
Wed Jun 01 08:21:11 2011 us=500000 Attempting to establish TCP connection with 213.226.253.5:1194
Wed Jun 01 08:21:11 2011 us=531000 TCP connection established with 213.226.253.5:1194
Wed Jun 01 08:21:11 2011 us=531000 TCPv4_CLIENT link local (bound): [undef]:1194
Wed Jun 01 08:21:11 2011 us=531000 TCPv4_CLIENT link remote: 213.226.253.5:1194
Wed Jun 01 08:21:11 2011 us=546000 TLS: Initial packet from 213.226.253.5:1194, sid=46cf00d4 41dc89d6
Wed Jun 01 08:21:11 2011 us=812000 VERIFY OK: depth=1, /C=CZ/ST=VYSOCINA/L=Chotebor/O=xxxas_/OU=IT/CN=pam/emailAddress=it.manager@xxx.cz
Wed Jun 01 08:21:11 2011 us=812000 VERIFY OK: nsCertType=SERVER
Wed Jun 01 08:21:11 2011 us=812000 VERIFY OK: depth=0, /C=CZ/ST=VYSOCINA/O=xxxas_/OU=IT/CN=pam/emailAddress=it.manager@xxx.cz
Wed Jun 01 08:21:12 2011 us=968000 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Jun 01 08:21:12 2011 us=968000 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jun 01 08:21:12 2011 us=968000 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Jun 01 08:21:12 2011 us=968000 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jun 01 08:21:12 2011 us=984000 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Jun 01 08:21:12 2011 us=984000 [pam] Peer Connection Initiated with 213.226.253.5:1194
Wed Jun 01 08:21:15 2011 us=109000 SENT CONTROL [pam]: 'PUSH_REQUEST' (status=1)
Wed Jun 01 08:21:15 2011 us=281000 PUSH: Received control message: 'PUSH_REPLY,route 172.17.88.255 255.255.0.0,route-gateway 172.17.88.255,redirect-gateway def1,dhcp-option DNS 172.17.88.255,ping 10,ping-restart 120,ifconfig 172.17.88.100 255.255.0.0'
Wed Jun 01 08:21:15 2011 us=281000 OPTIONS IMPORT: timers and/or timeouts modified
Wed Jun 01 08:21:15 2011 us=281000 OPTIONS IMPORT: --ifconfig/up options modified
Wed Jun 01 08:21:15 2011 us=281000 OPTIONS IMPORT: route options modified
Wed Jun 01 08:21:15 2011 us=281000 OPTIONS IMPORT: route-related options modified
Wed Jun 01 08:21:15 2011 us=281000 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Wed Jun 01 08:21:15 2011 us=312000 ROUTE default_gateway=10.200.0.254
Wed Jun 01 08:21:15 2011 us=328000 TAP-WIN32 device [Připojení k místní síti 3] opened: \\.\Global\{91D8FE2B-1684-45F3-B02F-FEE9EB1A89B1}.tap
Wed Jun 01 08:21:15 2011 us=328000 TAP-Win32 Driver Version 9.7
Wed Jun 01 08:21:15 2011 us=328000 TAP-Win32 MTU=1500
Wed Jun 01 08:21:15 2011 us=328000 Notified TAP-Win32 driver to set a DHCP IP/netmask of 172.17.88.100/255.255.0.0 on interface {91D8FE2B-1684-45F3-B02F-FEE9EB1A89B1} [DHCP-serv: 172.17.0.0, lease-time: 31536000]
Wed Jun 01 08:21:15 2011 us=328000 DHCP option string: 0604ac11 58ff
Wed Jun 01 08:21:15 2011 us=343000 Successful ARP Flush on interface [196612] {91D8FE2B-1684-45F3-B02F-FEE9EB1A89B1}
Wed Jun 01 08:21:19 2011 us=296000 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up
Wed Jun 01 08:21:19 2011 us=296000 C:\WINDOWS\system32\route.exe ADD 213.226.253.5 MASK 255.255.255.255 10.200.0.254
Wed Jun 01 08:21:19 2011 us=375000 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 172.17.88.255
Wed Jun 01 08:21:19 2011 us=437000 C:\WINDOWS\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 172.17.88.255
Wed Jun 01 08:21:19 2011 us=484000 C:\WINDOWS\system32\route.exe ADD 172.17.88.255 MASK 255.255.0.0 172.17.88.255
Pýid nˇ trasy se nezdaýilo: Zadaně parametr masky je neplatně. (Cˇl & maska) != Cˇl.
Wed Jun 01 08:21:19 2011 us=546000 Initialization Sequence Completed

ad4)
udp nefungovalo přes fw vůbec.

díky za pomoc.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: thor5 01. 06. 2011, 11:04:47: Napred kdyz jsem cetl log tak jsem si rikal, ze nemusi souhlasit sifrovani dat na serveru a v klientu, ale pak jsem to docetl na konec a je to divne a moc to po pravde nechapu. Tohle:
Citace
Wed Jun 01 08:21:19 2011 us=296000 C:\WINDOWS\system32\route.exe ADD 213.226.253.5 MASK 255.255.255.255 10.200.0.254
Wed Jun 01 08:21:19 2011 us=375000 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 172.17.88.255
Wed Jun 01 08:21:19 2011 us=437000 C:\WINDOWS\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 172.17.88.255
Wed Jun 01 08:21:19 2011 us=484000 C:\WINDOWS\system32\route.exe ADD 172.17.88.255 MASK 255.255.0.0 172.17.88.255
Pýid nˇ trasy se nezdaýilo: Zadaně parametr masky je neplatně. (Cˇl & maska) != Cˇl.
Wed Jun 01 08:21:19 2011 us=546000 Initialization Sequence Completed
znamena, ze route.exe skoncil s chybou, ale uz se nedozvime ktery z tech ctyrech tu chybu vratil.vzhledem k tomu, ze ty tri prvni jsou normalni (ma je kazdy, kdo da gateway redirect) tak asi je spatne ten posledni. Jenze tam nevim co by melo byt spatne. Jedine, co muzu doporucit jeste vyzkouset, je zkusit zmenit IP adresu brany na 172.17.88.254 (Uz jsem videl, ze vidle se s 255 moc nemusi, mysli si, ze je to broadcast i kdyz to neni sit /24... - ale myslim, ze tenhle bug MS uz opravil)

Jeste bych se zkusil kouknout na log serveru, mozna bude nejaka zajimavost i tam. (Kazdopadne ted musim letet na statnice, takze pokracovani vecer :))
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 02. 06. 2011, 07:52:45: takže úpraveno. výsledek ještě horší. vůbec to nenasěmruje bránu:
log serveru
Thu Jun 2 07:42:25 2011 us=622689 Current Parameter Settings:
Thu Jun 2 07:42:25 2011 us=639854 config = 'server.ovpn'
Thu Jun 2 07:42:25 2011 us=639886 mode = 1
Thu Jun 2 07:42:25 2011 us=639900 persist_config = DISABLED
Thu Jun 2 07:42:25 2011 us=639913 persist_mode = 1
Thu Jun 2 07:42:25 2011 us=639926 show_ciphers = DISABLED
Thu Jun 2 07:42:25 2011 us=639938 show_digests = DISABLED
Thu Jun 2 07:42:25 2011 us=639951 show_engines = DISABLED
Thu Jun 2 07:42:25 2011 us=639963 genkey = DISABLED
Thu Jun 2 07:42:25 2011 us=639976 key_pass_file = '[UNDEF]'
Thu Jun 2 07:42:25 2011 us=639988 show_tls_ciphers = DISABLED
Thu Jun 2 07:42:25 2011 us=640007 Connection profiles [default]:
Thu Jun 2 07:42:25 2011 us=640023 proto = tcp-server
Thu Jun 2 07:42:25 2011 us=640036 local = '10.0.13.26:1194'
Thu Jun 2 07:42:25 2011 us=640049 local_port = 1194
Thu Jun 2 07:42:25 2011 us=640311 ifconfig_local = '172.17.88.254'
Thu Jun 2 07:42:25 2011 us=640324 ifconfig_remote_netmask = '255.255.0.0'
Thu Jun 2 07:42:25 2011 us=640337 ifconfig_noexec = DISABLED
Thu Jun 2 07:42:25 2011 us=640350 ifconfig_nowarn = DISABLED
Thu Jun 2 07:42:25 2011 us=643035 pkcs11_id_management = DISABLED
Thu Jun 2 07:42:25 2011 us=643057 server_network = 0.0.0.0
Thu Jun 2 07:42:25 2011 us=643072 server_netmask = 0.0.0.0
Thu Jun 2 07:42:25 2011 us=643086 server_bridge_ip = 0.0.0.0
Thu Jun 2 07:42:25 2011 us=643099 server_bridge_netmask = 0.0.0.0
Thu Jun 2 07:42:25 2011 us=643113 server_bridge_pool_start = 0.0.0.0
Thu Jun 2 07:42:25 2011 us=643126 server_bridge_pool_end = 0.0.0.0
Thu Jun 2 07:42:25 2011 us=643139 push_entry = 'route 172.17.88.254 255.255.0.0'
Thu Jun 2 07:42:25 2011 us=643152 push_entry = 'redirect-gateway def1'
Thu Jun 2 07:42:25 2011 us=643164 push_entry = 'redirect-gateway 172.17.88.254'
Thu Jun 2 07:42:25 2011 us=643177 push_entry = 'dhcp-option DNS 172.17.88.254'
Thu Jun 2 07:42:25 2011 us=643189 push_entry = 'ping 10'
Thu Jun 2 07:42:25 2011 us=643202 push_entry = 'ping-restart 120'
Thu Jun 2 07:42:25 2011 us=643214 ifconfig_pool_defined = ENABLED
Thu Jun 2 07:42:25 2011 us=643228 ifconfig_pool_start = 172.17.88.100
Thu Jun 2 07:42:25 2011 us=643241 ifconfig_pool_end = 172.17.88.159
Thu Jun 2 07:42:25 2011 us=643255 ifconfig_pool_netmask = 255.255.0.0
Thu Jun 2 07:42:25 2011 us=643268 ifconfig_pool_persist_filename = '[UNDEF]'
Thu Jun 2 07:42:25 2011 us=643280 ifconfig_pool_persist_refresh_freq = 600
Thu Jun 2 07:42:25 2011 us=643292 n_bcast_buf = 256
Thu Jun 2 07:42:25 2011 us=643305 tcp_queue_limit = 64
Thu Jun 2 07:42:25 2011 us=643317 real_hash_size = 256
Thu Jun 2 07:42:25 2011 us=643329 virtual_hash_size = 256
Thu Jun 2 07:42:25 2011 us=643342 client_connect_script = '[UNDEF]'
Thu Jun 2 07:42:25 2011 us=643354 learn_address_script = '[UNDEF]'
Thu Jun 2 07:42:25 2011 us=643366 client_disconnect_script = '[UNDEF]'
Thu Jun 2 07:42:25 2011 us=643379 client_config_dir = '[UNDEF]'
Thu Jun 2 07:42:25 2011 us=643391 ccd_exclusive = DISABLED
Thu Jun 2 07:42:25 2011 us=643403 tmp_dir = '[UNDEF]'
Thu Jun 2 07:42:25 2011 us=643416 push_ifconfig_defined = DISABLED
Thu Jun 2 07:42:25 2011 us=643429 push_ifconfig_local = 0.0.0.0
Thu Jun 2 07:42:25 2011 us=643442 push_ifconfig_remote_netmask = 0.0.0.0
Thu Jun 2 07:42:25 2011 us=643455 enable_c2c = ENABLED
Thu Jun 2 07:42:25 2011 us=643467 duplicate_cn = ENABLED
Thu Jun 2 07:42:25 2011 us=643480 cf_max = 0
Thu Jun 2 07:42:25 2011 us=643492 cf_per = 0
Thu Jun 2 07:42:25 2011 us=643504 max_clients = 1024
Thu Jun 2 07:42:25 2011 us=643522 max_routes_per_client = 256
Thu Jun 2 07:42:25 2011 us=643535 auth_user_pass_verify_script = '[UNDEF]'
Thu Jun 2 07:42:25 2011 us=643555 auth_user_pass_verify_script_via_file = DISABLED
Thu Jun 2 07:42:25 2011 us=643568 ssl_flags = 0
Thu Jun 2 07:42:25 2011 us=643581 port_share_host = '[UNDEF]'
Thu Jun 2 07:42:25 2011 us=643593 port_share_port = 0
Thu Jun 2 07:42:25 2011 us=643605 client = DISABLED
Thu Jun 2 07:42:25 2011 us=643618 pull = DISABLED
Thu Jun 2 07:42:25 2011 us=643630 auth_user_pass_file = '[UNDEF]'
Thu Jun 2 07:42:25 2011 us=643646 OpenVPN 2.1.1 i686-redhat-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Jan 5 2010
Thu Jun 2 07:42:25 2011 us=652892 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Thu Jun 2 07:42:25 2011 us=730901 Diffie-Hellman initialized with 1024 bit key
Thu Jun 2 07:42:29 2011 us=624837 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Thu Jun 2 07:42:29 2011 us=656829 WARNING: file '/root/openvpn/server.key' is group or others accessible
Thu Jun 2 07:42:29 2011 us=678663 TLS-Auth MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Thu Jun 2 07:42:29 2011 us=683938 TUN/TAP device tap0 opened
Thu Jun 2 07:42:29 2011 us=687549 TUN/TAP TX queue length set to 100
Thu Jun 2 07:42:29 2011 us=694943 /sbin/ip link set dev tap0 up mtu 1500
Thu Jun 2 07:42:29 2011 us=696367 /sbin/ip addr add dev tap0 172.17.88.254/16 broadcast 172.17.255.255
Thu Jun 2 07:42:29 2011 us=697822 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Jun 2 07:42:29 2011 us=697878 Listening for incoming TCP connection on 10.0.13.26:1194
Thu Jun 2 07:42:29 2011 us=697907 Socket Buffers: R=[87380->131072] S=[16384->131072]
Thu Jun 2 07:42:29 2011 us=697927 TCPv4_SERVER link local (bound): 10.0.13.26:1194
Thu Jun 2 07:42:29 2011 us=697940 TCPv4_SERVER link remote: [undef]
Thu Jun 2 07:42:29 2011 us=697963 MULTI: multi_init called, r=256 v=256
Thu Jun 2 07:42:29 2011 us=697997 IFCONFIG POOL: base=172.17.88.100 size=60
Thu Jun 2 07:42:29 2011 us=698030 MULTI: TCP INIT maxclients=1024 maxevents=1028
Thu Jun 2 07:42:29 2011 us=698065 Initialization Sequence Completed
Thu Jun 2 07:42:33 2011 us=696788 MULTI: multi_create_instance called
Thu Jun 2 07:42:33 2011 us=696860 Re-using SSL/TLS context
Thu Jun 2 07:42:33 2011 us=696897 LZO compression initialized
Thu Jun 2 07:42:33 2011 us=697004 Control Channel MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Thu Jun 2 07:42:33 2011 us=697036 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Jun 2 07:42:33 2011 us=697082 Local Options String: 'V4,dev-type tap,link-mtu 1576,tun-mtu 1532,proto TCPv4_SERVER,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Thu Jun 2 07:42:33 2011 us=697096 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1576,tun-mtu 1532,proto TCPv4_CLIENT,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Thu Jun 2 07:42:33 2011 us=697120 Local Options hash (VER=V4): '3e6d1056'
Thu Jun 2 07:42:33 2011 us=697139 Expected Remote Options hash (VER=V4): '31fdf004'
Thu Jun 2 07:42:33 2011 us=697175 TCP connection established with xxx.xxx.xxx.27:1194
Thu Jun 2 07:42:33 2011 us=697194 Socket Buffers: R=[131072->131072] S=[131072->131072]
Thu Jun 2 07:42:33 2011 us=697212 TCPv4_SERVER link local: [undef]
Thu Jun 2 07:42:33 2011 us=697226 TCPv4_SERVER link remote: xxx.xxx.xxx.27:1194
RThu Jun 2 07:42:33 2011 us=697426 xxx.xxx.xxx.27:1194 TLS: Initial packet from xxx.xxx.xxx.27:1194, sid=eb028a74 ab4b550e
WRRWWWWRWRWRWWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRRRRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRThu Jun 2 07:42:34 2011 us=212829 xxx.xxx.xxx.27:1194 VERIFY OK: depth=1, /C=CZ/ST=VYSOCINA/L=Chotebor/O=xxxas_/OU=IT/CN=pam/emailAddress=it.manager@xxx.cz
Thu Jun 2 07:42:34 2011 us=213058 xxx.xxx.xxx.27:1194 VERIFY OK: depth=0, /C=CZ/ST=VYSOCINA/O=xxxas_/OU=IT/CN=test/emailAddress=it.manager@xxx.cz
WRWRWRWWWWRWRWWWRWRWRWRWRRRRWRWRWRThu Jun 2 07:42:34 2011 us=534230 xxx.xxx.xxx.27:1194 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jun 2 07:42:34 2011 us=534281 xxx.xxx.xxx.27:1194 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 2 07:42:34 2011 us=534347 xxx.xxx.xxx.27:1194 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jun 2 07:42:34 2011 us=534363 xxx.xxx.xxx.27:1194 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
WWWRRThu Jun 2 07:42:34 2011 us=805300 xxx.xxx.xxx.27:1194 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Jun 2 07:42:34 2011 us=805345 xxx.xxx.xxx.27:1194 [test] Peer Connection Initiated with xxx.xxx.xxx.27:1194
WWRThu Jun 2 07:42:36 2011 us=745318 test/xxx.xxx.xxx.27:1194 PUSH: Received control message: 'PUSH_REQUEST'
Thu Jun 2 07:42:36 2011 us=745423 test/xxx.xxx.xxx.27:1194 SENT CONTROL [test]: 'PUSH_REPLY,route 172.17.88.254 255.255.0.0,redirect-gateway def1,redirect-gateway 172.17.88.254,dhcp-option DNS 172.17.88.254,ping 10,ping-restart 120,ifconfig 172.17.88.100 255.255.0.0' (status=1)
WWWWRRWWRWRW
log clienta
Thu Jun 02 07:42:11 2011 us=203000 TCP/UDP: Closing socket
Thu Jun 02 07:42:11 2011 us=203000 SIGUSR1[soft,connection-reset] received, process restarting
Thu Jun 02 07:42:11 2011 us=203000 Restart pause, 5 second(s)
Thu Jun 02 07:42:16 2011 us=203000 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Jun 02 07:42:16 2011 us=203000 Re-using SSL/TLS context
Thu Jun 02 07:42:16 2011 us=203000 LZO compression initialized
Thu Jun 02 07:42:16 2011 us=203000 Control Channel MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Thu Jun 02 07:42:16 2011 us=203000 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Jun 02 07:42:16 2011 us=203000 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Jun 02 07:42:16 2011 us=203000 Local Options String: 'V4,dev-type tap,link-mtu 1576,tun-mtu 1532,proto TCPv4_CLIENT,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Thu Jun 02 07:42:16 2011 us=203000 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1576,tun-mtu 1532,proto TCPv4_SERVER,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Thu Jun 02 07:42:16 2011 us=203000 Local Options hash (VER=V4): '31fdf004'
Thu Jun 02 07:42:16 2011 us=203000 Expected Remote Options hash (VER=V4): '3e6d1056'
Thu Jun 02 07:42:16 2011 us=203000 Attempting to establish TCP connection with xxx.xxx.xxx.5:1194
Thu Jun 02 07:42:19 2011 us=703000 TCP: connect to xxx.xxx.xxx.5:1194 failed, will try again in 5 seconds: Connection refused (WSAECONNREFUSED)
Thu Jun 02 07:42:24 2011 us=765000 TCP connection established with xxx.xxx.xxx.5:1194
Thu Jun 02 07:42:24 2011 us=765000 TCPv4_CLIENT link local (bound): [undef]:1194
Thu Jun 02 07:42:24 2011 us=765000 TCPv4_CLIENT link remote: xxx.xxx.xxx.5:1194
Thu Jun 02 07:42:24 2011 us=781000 TLS: Initial packet from xxx.xxx.xxx.5:1194, sid=1b325f34 84054665
Thu Jun 02 07:42:24 2011 us=984000 VERIFY OK: depth=1, /C=CZ/ST=VYSOCINA/L=Chotebor/O=xxx.as_/OU=IT/CN=pam/emailAddress=it.manager@xxx..cz
Thu Jun 02 07:42:24 2011 us=984000 VERIFY OK: nsCertType=SERVER
Thu Jun 02 07:42:24 2011 us=984000 VERIFY OK: depth=0, /C=CZ/ST=VYSOCINA/O=xxx.as_/OU=IT/CN=pam/emailAddress=it.manager@xxx..cz
Thu Jun 02 07:42:25 2011 us=828000 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jun 02 07:42:25 2011 us=828000 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 02 07:42:25 2011 us=828000 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jun 02 07:42:25 2011 us=828000 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 02 07:42:25 2011 us=843000 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Jun 02 07:42:25 2011 us=843000 [pam] Peer Connection Initiated with xxx.xxx.xxx.5:1194
Thu Jun 02 07:42:27 2011 us=828000 SENT CONTROL [pam]: 'PUSH_REQUEST' (status=1)
Thu Jun 02 07:42:28 2011 us=15000 PUSH: Received control message: 'PUSH_REPLY,route 172.17.88.254 255.255.0.0,redirect-gateway def1,redirect-gateway 172.17.88.254,dhcp-option DNS 172.17.88.254,ping 10,ping-restart 120,ifconfig 172.17.88.100 255.255.0.0'
Thu Jun 02 07:42:28 2011 us=15000 Options error: unknown --redirect-gateway flag: 172.17.88.254
Thu Jun 02 07:42:28 2011 us=15000 OPTIONS IMPORT: timers and/or timeouts modified
Thu Jun 02 07:42:28 2011 us=15000 OPTIONS IMPORT: --ifconfig/up options modified
Thu Jun 02 07:42:28 2011 us=15000 OPTIONS IMPORT: route options modified
Thu Jun 02 07:42:28 2011 us=15000 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Thu Jun 02 07:42:28 2011 us=15000 Preserving previous TUN/TAP instance: Připojení k místní síti 3
Thu Jun 02 07:42:28 2011 us=15000 Initialization Sequence Completed
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: thor5 02. 06. 2011, 08:45:31: Citace
Thu Jun 02 07:42:28 2011 us=15000 PUSH: Received control message: 'PUSH_REPLY,route 172.17.88.254 255.255.0.0,redirect-gateway def1,redirect-gateway 172.17.88.254,dhcp-option DNS 172.17.88.254,ping 10,ping-restart 120,ifconfig 172.17.88.100 255.255.0.0'
Thu Jun 02 07:42:28 2011 us=15000 Options error: unknown --redirect-gateway flag: 172.17.88.254

ono totiz prikaz redirect-gateway zna parametry jen local, def1 a jeste par dalsich, ale ne IP adresu. tento prikaz tedy vyhodte. Bude tam jen redirect-gateway def1, ten druhy s IP ne. (IP adresu brany si vymysli klient sam podle IP a routy serveru s VPN.)

Doufam, ze tohle je posledni chytak :)
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 02. 06. 2011, 09:24:36: ono totiz prikaz redirect-gateway zna parametry jen local, def1 a jeste par dalsich, ale ne IP adresu. tento prikaz tedy vyhodte. Bude tam jen redirect-gateway def1, ten druhy s IP ne. (IP adresu brany si vymysli klient sam podle IP a routy serveru s VPN.)

Doufam, ze tohle je posledni chytak :)
[/quote]
dle vaší rady jsme to zapoznámkoval, furt to nejde.
log clienta:
WRWWRWRRRWWRWRWRRWWRWRWRRWWRWRWRRWWRWRWRRWWRWRWRRWWRWWWWRWRRRWWWRWRWRRWWRWRWRRWWRWRWRRWWRWRWRRRRRRRWWRWRWRRWWRWRWRRWWWWWRRRRRRWWWRRRRWWrWrWrWrWrWrWrWrWrWrWrWrWrWrWrWRrWrWrWrWrWrWrWrWrWRwRwWRThu Jun 02 09:21:04 2011 us=750000 Current Parameter Settings:
Thu Jun 02 09:21:04 2011 us=750000 config = 'client.ovpn'
Thu Jun 02 09:21:05 2011 us=406000 server_network = 0.0.0.0
Thu Jun 02 09:21:05 2011 us=406000 server_netmask = 0.0.0.0
Thu Jun 02 09:21:05 2011 us=406000 server_bridge_ip = 0.0.0.0
Thu Jun 02 09:21:05 2011 us=453000 server_bridge_netmask = 0.0.0.0
Thu Jun 02 09:21:05 2011 us=453000 server_bridge_pool_start = 0.0.0.0
Thu Jun 02 09:21:05 2011 us=453000 server_bridge_pool_end = 0.0.0.0
Thu Jun 02 09:21:05 2011 us=453000 ifconfig_pool_defined = DISABLED
Thu Jun 02 09:21:05 2011 us=453000 ifconfig_pool_start = 0.0.0.0
Thu Jun 02 09:21:05 2011 us=453000 ifconfig_pool_end = 0.0.0.0
Thu Jun 02 09:21:05 2011 us=453000 ifconfig_pool_netmask = 0.0.0.0
Thu Jun 02 09:21:05 2011 us=453000 ifconfig_pool_persist_filename = '[UNDEF]'
Thu Jun 02 09:21:05 2011 us=453000 ifconfig_pool_persist_refresh_freq = 600
Thu Jun 02 09:21:05 2011 us=562000 OpenVPN 2.1.4 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 8 2010
Thu Jun 02 09:21:05 2011 us=562000 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Jun 02 09:21:05 2011 us=890000 LZO compression initialized
Thu Jun 02 09:21:05 2011 us=890000 Control Channel MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Thu Jun 02 09:21:05 2011 us=906000 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Jun 02 09:21:05 2011 us=921000 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Jun 02 09:21:05 2011 us=921000 Local Options String: 'V4,dev-type tap,link-mtu 1576,tun-mtu 1532,proto TCPv4_CLIENT,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Thu Jun 02 09:21:05 2011 us=921000 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1576,tun-mtu 1532,proto TCPv4_SERVER,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Thu Jun 02 09:21:05 2011 us=921000 Local Options hash (VER=V4): '31fdf004'
Thu Jun 02 09:21:05 2011 us=921000 Expected Remote Options hash (VER=V4): '3e6d1056'
Thu Jun 02 09:21:05 2011 us=921000 Attempting to establish TCP connection with xxx..5:1194
Thu Jun 02 09:21:05 2011 us=921000 TCP connection established with xxx..5:1194
Thu Jun 02 09:21:05 2011 us=921000 TCPv4_CLIENT link local (bound): [undef]:1194
Thu Jun 02 09:21:05 2011 us=921000 TCPv4_CLIENT link remote: xxx..5:1194
Thu Jun 02 09:21:05 2011 us=937000 TLS: Initial packet from xxx..5:1194, sid=a468ffc3 fb79c212
Thu Jun 02 09:21:06 2011 us=171000 VERIFY OK: depth=1, /C=CZ/ST=VYSOCINA/L=Chotebor/O=xxx.as_/OU=IT/CN=pam/emailAddress=it.manager@xxx..cz
Thu Jun 02 09:21:06 2011 us=171000 VERIFY OK: nsCertType=SERVER
Thu Jun 02 09:21:06 2011 us=171000 VERIFY OK: depth=0, /C=CZ/ST=VYSOCINA/O=xxx.as_/OU=IT/CN=pam/emailAddress=it.manager@xxx..cz
Thu Jun 02 09:21:07 2011 us=62000 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jun 02 09:21:07 2011 us=62000 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 02 09:21:07 2011 us=62000 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jun 02 09:21:07 2011 us=62000 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 02 09:21:07 2011 us=78000 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Jun 02 09:21:07 2011 us=78000 [pam] Peer Connection Initiated with xxx..5:1194
Thu Jun 02 09:21:09 2011 us=390000 SENT CONTROL [pam]: 'PUSH_REQUEST' (status=1)
Thu Jun 02 09:21:09 2011 us=578000 PUSH: Received control message: 'PUSH_REPLY,route 172.17.88.254 255.255.0.0,redirect-gateway def1,dhcp-option DNS 172.17.88.254,ping 10,ping-restart 120,ifconfig 172.17.88.100 255.255.0.0'
Thu Jun 02 09:21:09 2011 us=578000 OPTIONS IMPORT: timers and/or timeouts modified
Thu Jun 02 09:21:09 2011 us=578000 OPTIONS IMPORT: --ifconfig/up options modified
Thu Jun 02 09:21:09 2011 us=578000 OPTIONS IMPORT: route options modified
Thu Jun 02 09:21:09 2011 us=578000 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Thu Jun 02 09:21:09 2011 us=609000 ROUTE default_gateway=10.200.0.254
Thu Jun 02 09:21:09 2011 us=609000 OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options
Thu Jun 02 09:21:09 2011 us=609000 OpenVPN ROUTE: failed to parse/resolve route for host/network: 172.17.88.254
Thu Jun 02 09:21:09 2011 us=609000 TAP-WIN32 device [Připojení k místní síti 3] opened: \\.\Global\{91D8FE2B-1684-45F3-B02F-FEE9EB1A89B1}.tap
Thu Jun 02 09:21:09 2011 us=625000 TAP-Win32 Driver Version 9.7
Thu Jun 02 09:21:09 2011 us=625000 TAP-Win32 MTU=1500
Thu Jun 02 09:21:09 2011 us=640000 Notified TAP-Win32 driver to set a DHCP IP/netmask of 172.17.88.100/255.255.0.0 on interface {91D8FE2B-1684-45F3-B02F-FEE9EB1A89B1} [DHCP-serv: 172.17.0.0, lease-time: 31536000]
Thu Jun 02 09:21:09 2011 us=640000 DHCP option string: 0604ac11 58fe
Thu Jun 02 09:21:09 2011 us=640000 Successful ARP Flush on interface [3] {91D8FE2B-1684-45F3-B02F-FEE9EB1A89B1}
Thu Jun 02 09:21:13 2011 us=703000 TEST ROUTES: 0/0 succeeded len=0 ret=1 a=0 u/d=up
Thu Jun 02 09:21:13 2011 us=703000 NOTE: unable to redirect default gateway -- VPN gateway parameter (--route-gateway or --ifconfig) is missing
Thu Jun 02 09:21:13 2011 us=703000 Initialization Sequence Completed

Díky za pomoc.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: thor5 02. 06. 2011, 09:51:29: zajimave. Krici ze nezna cestu k defaultni route. Pridejte tedy jak log pozaduje do konfigurace route-gateway 172.17.88.254. (Jeste se mi nestalo ze by nepochopil z dodanych rout kam to ma smerovat, ale je pravda, ze vetsinou pouzivam tun, misto tap coz je pro presmerovani veskereho provozu kapku jine)
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 02. 06. 2011, 10:34:59: Citace: thor5 02. 06. 2011, 09:51:29
zajimave. Krici ze nezna cestu k defaultni route. Pridejte tedy jak log pozaduje do konfigurace route-gateway 172.17.88.254. (Jeste se mi nestalo ze by nepochopil z dodanych rout kam to ma smerovat, ale je pravda, ze vetsinou pouzivam tun, misto tap coz je pro presmerovani veskereho provozu kapku jine)
to samé, myslíte že to mám změnit na tun?
případně jak?
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: thor5 02. 06. 2011, 10:59:19: v logu stejna hlaska? tak tomu prestavam rozumnet... ted je to o tom, ze klient konecne pochopil co je brana, ale tu branu mu nejak musite sdelit a to mel zaridit ten route-gateway.

co se tyce tap/tun: v principu by to melo byt jedno, jde jen o to, ze v tap se posila uplne vse, co se v danem segmentu site, kde je nakonfigurovano vpn, nachazi. Tzn. i pro vzdaleny PC nepotrebne veci. V modu tun je to ciste routovani, takze VPN ma vlastni segment site a co se do nej/z nej/ posila, je zalezitost jen toho, jak se nastavi push route a co routuje defaultni brana. Takze muzete to zkusit, ale predpokladam, ze se vyskytnou jine chyby, eventualne projde vse bez chyb a nepujde to, protoze budou blbe nakonfigurovane routy (to chce prave predstavu jak routovani funguje). Ale jinak si na tun nemuzu stezovat :) provozuju pres nej i sambu.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 02. 06. 2011, 11:06:50: Citace: thor5 02. 06. 2011, 10:59:19
v logu stejna hlaska? tak tomu prestavam rozumnet... ted je to o tom, ze klient konecne pochopil co je brana, ale tu branu mu nejak musite sdelit a to mel zaridit ten route-gateway.

co se tyce tap/tun: v principu by to melo byt jedno, jde jen o to, ze v tap se posila uplne vse, co se v danem segmentu site, kde je nakonfigurovano vpn, nachazi. Tzn. i pro vzdaleny PC nepotrebne veci. V modu tun je to ciste routovani, takze VPN ma vlastni segment site a co se do nej/z nej/ posila, je zalezitost jen toho, jak se nastavi push route a co routuje defaultni brana. Takze muzete to zkusit, ale predpokladam, ze se vyskytnou jine chyby, eventualne projde vse bez chyb a nepujde to, protoze budou blbe nakonfigurovane routy (to chce prave predstavu jak routovani funguje). Ale jinak si na tun nemuzu stezovat :) provozuju pres nej i sambu.

no právě.
jak jsemjiž psal, cílem je aby client se dostal na stroj 10.0.0.177 umístěný v lokální síti serveru openvpn. vše ostatní je druhotný... clientů bude asi tak 10-12. a právě je mi taky divný že to tu routu nebere. nemáte náhodou funkční konfigurák který by mi to řešil? díky.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: thor5 02. 06. 2011, 12:10:38: aktualne jsem musel zmizet do skoly. jakmile se vratim, tak neco zkusim pro tun sesmolit :)
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 02. 06. 2011, 14:37:29: Citace: thor5 02. 06. 2011, 12:10:38
aktualne jsem musel zmizet do skoly. jakmile se vratim, tak neco zkusim pro tun sesmolit :)

ok díky. rád počkám.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: thor5 02. 06. 2011, 18:46:55: tak pokud jsem se nikde nesekl, melo by fungovat toto:

server
------
Kód: [Vybrat]
proto tcp #nebo tcp-server, zalezi na verzi openvpn dev tun ca /root/openvpn/ca.crt cert /root/openvpn/server.crt key /root/openvpn/server.key dh /root/openvpn/dh1024.pem server 172.17.88.0 255.255.255.0 #sit se rozdeli na \30 podsite, pricemz .1 je vzdy server. #pak bude .0-sit serveru,.1-server,.2-tunel na serveru,.3-broadcast #.4-sit klienta 1,.5-tunel na klienta1,.6-ip klienta1,.7-broadcast #.8-sit klienta 2,.9-tunel na klienta2,.10-ip klienta2,.11-broadcast,... push "redirect-gateway def1" #donuceni klientu k presmerovani toku pres server push "dhcp-option DNS 10.200.0.254" #pripadne 10.0.0.255, kterou vyuziva i server, nevim jaky DNS pouzivate #pokud ma byt server zaroven i DNS, potrebujete jeste nejaky #DNS (proxy) server (bind, nebo jednodussi dnsmasq, # ale ten je zaroven i dhcp, i kdyz to lze vypnout) keepalive 10 120 cipher AES-256-CBC # silnejsi AES comp-lzo ifconfig-pool-persist openvpn-ipp.txt #db IP klientu duplicate-cn client-to-client user nobody group nogroup persist-key persist-tun status openvpn-status.log #aktivni relace verb 3----------------------------------------------------
klient
------
Kód: [Vybrat]
client dev tun proto tcp remote XY 1194 resolv-retry 10 nobind persist-key ca "ca.crt" cert "klient1.crt" key "klient1.key" cipher AES-256-CBC comp-lzo verb 3ostatni IP adresy v ostatnich sitich jsou z VPN dostupne, pokud na ne muze i server...
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: thor5 02. 06. 2011, 21:50:33: jeste me napadlo: ma ten server na sobe povolene routovani? bez toho to nepojede ani s tap ani s tun...
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 03. 06. 2011, 12:28:19: Citace: thor5 02. 06. 2011, 21:50:33
jeste me napadlo: ma ten server na sobe povolene routovani? bez toho to nepojede ani s tap ani s tun...

jak jej povolím nebo jak to zjistím?
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: rob 03. 06. 2011, 16:17:06: Je to desnej bordel. Jak jsem psal uz drive, dejte to na http://pastebin.com/
aktualni
vpn cfg serveru
vpn cfg klienta
vpn logy spojeni serveru
vpn logy spojeni klienta
vypis routovaci tabulky klienta
vypis routovaci tabulky serveru

potom nam napis, co ti vypise prikaz na serveru
Kód: [Vybrat]
cat /proc/sys/net/ipv4/ip_forward
Muzes sem hodit i vypis iptables, ale hlavne tu routovaci tabulku na serveru
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: thor5 04. 06. 2011, 00:44:02: jen pro uplnost a vysvetleni proc ten prikaz: v ip_forward je bud 0 ze je routovani vyple, nebo 1, ze je zapnute :)
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: izidor 27. 06. 2011, 23:19:11: no nevim zda to bude k veci, ale pokud funguje ping na VPN server, ale uz ne na dalsi servery v te lokalni siti za VPN serverem, tak dost casto byva problem ten, ze ten paket s pingem na ten server na lokalni siti dorazi, ale odpoved uz se vraci jinudy, protoze ten server ve vnitrni siti nema ani potuchy o tom, ze pakety pro VPN je potreba smerovat na VPN server a nikoliv na defaultni gateway...