Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: Jarda001 23. 05. 2011, 21:50:40

Název: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 23. 05. 2011, 21:50:40
ahoj
mám problém s openvpn.
udělal jsem konfig jak serveru tak i clienta. je tam dán port udp 1194
v rámci lokální sítě se spojí ale pokaždé s jiným portem. nikde jsem toto nenašel popsané, proč se to děje.
kdyžse chci připojit zvenku, tak samozřejě spojení se nenaváže, protože to má pokaždé jiný port. Základní UDP 1194 mám na fw povolené, bo openvpn server vidí příchozí spojení, ovšem ne s portem 1194 ale uplně jiným.
Děkuji za radu. V případě dotazů rád dodám knfiguráky a logy.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Dusan Zatkovsky 24. 05. 2011, 09:18:41
Nepleties dohromady zdrojovy a cielovy port? Co povie netstat na serveri kde bezi openvpn server?
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: alfi 24. 05. 2011, 10:00:18
tak tak, 1194 je port, na kterém poslouchá server. klient se bude vždycky připojovat z náhodného odchozího portu. to platí pro všechny klienty na udp i tcp od openvpn, přes ssh, samby až po webové prohlížeče. ono by to ani jinak nešlo, protože klient těch spojení typicky otevírá víc (i třeba od více uživatelů) a jeden port by mu stejně nestačil :-)
pokud je povolená nějaká díra na fw, musí to být pro destination port, ne source (z pohledu toho fw)
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 24. 05. 2011, 10:34:52
díky
aha.
a to nastavím na fw jak?
 Netgear srx 5308

díky.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 24. 05. 2011, 10:45:58
díky
aha.
a to nastavím na fw jak?
 Netgear srx 5308

díky.

Treba pres iptables by to melo jit takto:
iptables -A INPUT -p udp --dport 1194 -m state --state NEW -j ACCEPT
nebo
iptables -A INPUT -i sitovkaDoInternetu -p udp --destination-port 1194 -j ACCEPT
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Ondřej Novák 24. 05. 2011, 10:52:09
Jen technická, nevím jak je to u OpenVPN ale obceně u UDP neplatí, že klient musí mít náhodný port. Ono u UDP neexistuje dělení na Server/Klient, protože není tam klasické schéma iniciace spojení... obě strany navíc mají schopnost rozlišit jednotlivé virtuální okruhy podle adresy s kým komunikují.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 24. 05. 2011, 11:05:39
díky
aha.
a to nastavím na fw jak?
 Netgear srx 5308

díky.

Treba pres iptables by to melo jit takto:
iptables -A INPUT -p udp --dport 1194 -m state --state NEW -j ACCEPT
nebo
iptables -A INPUT -i sitovkaDoInternetu -p udp --destination-port 1194 -j ACCEPT
díky
zeptám s eblbě. to je myšleno na straně fw  v síti kde mám server open vpn že?. tam mám právě víše uvedené zařízení netgear.... tam nevím jak bych to zadal přes příkazový řádek.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 24. 05. 2011, 11:10:13
Jen technická, nevím jak je to u OpenVPN ale obceně u UDP neplatí, že klient musí mít náhodný port. Ono u UDP neexistuje dělení na Server/Klient, protože není tam klasické schéma iniciace spojení... obě strany navíc mají schopnost rozlišit jednotlivé virtuální okruhy podle adresy s kým komunikují.
tot jsem právě někde vyčetl a údajně to i tak má fungovat. právě pro mě by bylo naprosto perfektní aby klient i server komunikovali pouze na již zmíněném UDP portu 1194. ale nikde jsem nenašel postup co kde donastavit. server openvpn je za hw firewallem netgear srx 5308. na něm sem otevřel port udp 1194 a nasměroval na lokální adresu řekněme 10.0.13.26. je to stroj s fedora 13. z vnitřní sítě se to spojí, ale pod jiným portem. z venku vidím že client se připojí ale s jiným portem.

díky za pomoc.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 24. 05. 2011, 12:34:45
abych ještě doplnil..
spoejní se pak z venku nenaváže. přišel jsme k tomu jak slepí k houslím :)
na logo firewalu vidím správně příchozí spojení tj. s portem udp 1194 ale už nevidím nic odchozího.
z vnitřní sítě se to spojí bezproblémů.
na openvpn serevru s fedourou je fw vypnutý.
fakt už nevím kde může být problém
 tady je konfig serveru:
--------------------------------
mode server
tls-server
local 10.0.13.26:1194
script-security 2
dev tap0
port 1194
rport 1194
lport 1194
proto udp
ifconfig 10.88.255.1 255.255.255.0
# push "route 10.88.255.1 255.255.255.0"
# push "route-gateway 10.88.255.1"
push "redirect-gateway 10.88.255.1"
push "dhcp-option DNS 10.88.255.1"
ifconfig-pool 10.88.255.2 10.88.255.5 255.255.255.0
duplicate-cn
client-to-client
keepalive 10 120
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
----------------------------
tady je konfig clienta
----------------------------
remote 10.0.13.26 1194
pull
float
rport 1194
lport 1194
tls-client
dev tap
proto udp

ca ca.crt
cert test.crt
key test.key

;ns-cert-type server

ping 15
ping-restart 45
ping-timer-rem

persist-key
persist-tun
resolv-retry infinite
;nobind
comp-lzo
verb 3
mute-replay-warnings
------------------------------
díky za pomoc
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 24. 05. 2011, 12:48:03
na openvpn serevru s fedourou je fw vypnutý.

To mne neni jasne. Jak vypnuty? Fedoru nepouzivam, ale nema v zakladu nastavena nejaka pravidla? Poslete vypis na serveru s OpenVPN:
iptables --line-numbers -nvL

Ukazujete to neco v logu OpenVPN? Nejake chyby? Dozvi se OpenVPN vubec o pokusu pripojeni klienta, nebo kvuli firewallu ani neobdrzi pozadavek?
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 24. 05. 2011, 12:52:43
právě pro mě by bylo naprosto perfektní aby klient i server komunikovali pouze na již zmíněném UDP portu 1194. ale nikde jsem nenašel postup co kde donastavit. server openvpn je za hw firewallem netgear srx 5308. na něm sem otevřel port udp 1194 a nasměroval na lokální adresu řekněme 10.0.13.26. je to stroj s fedora 13. z vnitřní sítě se to spojí, ale pod jiným portem. z venku vidím že client se připojí ale s jiným portem.
Proc na stejnem portu? Klient se MUSI pripojit na Vas server na port 1194, jeho port je jeho vec.

Firewall netgear srx 5308 neznam, ale urcite to nejak jit musi.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 24. 05. 2011, 12:59:48
na openvpn serevru s fedourou je fw vypnutý.

To mne neni jasne. Jak vypnuty? Fedoru nepouzivam, ale nema v zakladu nastavena nejaka pravidla? Poslete vypis na serveru s OpenVPN:
iptables --line-numbers -nvL

Ukazujete to neco v logu OpenVPN? Nejake chyby? Dozvi se OpenVPN vubec o pokusu pripojeni klienta, nebo kvuli firewallu ani neobdrzi pozadavek?
tady je výpis

[root@negro openvpn]# iptables --line-numbers -nvL
Chain INPUT (policy ACCEPT 165K packets, 167M bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        8   336 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:1194 state NEW

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 76945 packets, 8762K bytes)
num   pkts bytes target     prot opt in     out     source               destination
[root@negro openvpn]# ^C
[root@negro openvpn]#

na serveru je videt že se klient snaží připojit, že se připojuje, ale pak spadne spojení - ten 60 s limit. klient pak v podstaěpak opakuje pokus o spojení znovu se stejným výsledkem. v lokální siti to spoejní funguje
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 24. 05. 2011, 13:01:40
právě pro mě by bylo naprosto perfektní aby klient i server komunikovali pouze na již zmíněném UDP portu 1194. ale nikde jsem nenašel postup co kde donastavit. server openvpn je za hw firewallem netgear srx 5308. na něm sem otevřel port udp 1194 a nasměroval na lokální adresu řekněme 10.0.13.26. je to stroj s fedora 13. z vnitřní sítě se to spojí, ale pod jiným portem. z venku vidím že client se připojí ale s jiným portem.
Proc na stejnem portu? Klient se MUSI pripojit na Vas server na port 1194, jeho port je jeho vec.

Firewall netgear srx 5308 neznam, ale urcite to nejak jit musi.

to je sice jeho věc, ale on nedostane odpověd od serveru a tak zopakuje pokus o spojení znovu....
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 24. 05. 2011, 13:02:02
Muzete sem hodit jeste log OpenVPN?
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jim 24. 05. 2011, 13:03:38
Mno nevím jestli nejsem vedle, ale jestli jsem to správně pochopil, chceš se připojit z venku, pak se obávám, že v konfiguraci klienta nemůžeš mít interní IP v řádku remote.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 24. 05. 2011, 13:04:53
to je sice jeho věc, ale on nedostane odpověd od serveru a tak zopakuje pokus o spojení znovu....

Tak to ale musi byt chyba serveru.
Jak kdyz se na notebooku podivam na netstat, tak na https taky nemam svoje porty na 443:

Kód: [Vybrat]
martin@martin:~$ netstat
Aktivní Internetová spojení (w/o servery)
Proto Přích-F Odch-F Místní Adresa          Vzdálená Adresa         Stav     
tcp        1      0 localhost.localdo:58185 localhost.localdo:53774 CLOSE_WAIT
tcp        1      0 localhost.localdo:56991 localhost.localdo:53774 CLOSE_WAIT
tcp        0      0 martin:34043            api-read-11-01-sn:https SPOJENO   
tcp       38      0 martin:57027            cantaloupe.canoni:https CLOSE_WAIT
tcp        0      0 martin:34011            api-read-11-01-sn:https SPOJENO   
tcp        1      0 localhost.localdo:50329 localhost.localdo:53774 CLOSE_WAIT
tcp        0      0 martin:55551            ew-in-f99.1e100.net:www SPOJENO   
tcp        1      0 martin:44901            91.213.160.53:www       CLOSE_WAIT
tcp        0      0 martin:43431            server.lan:domain       TIME_WAIT 
tcp        0      0 martin:36577            74.125.232.218:www      SPOJENO   
tcp        0      0 martin:40260            fx-in-f125.:xmpp-client SPOJENO   
tcp        0      0 martin:44260            ec2-50-16-224-113.:8890 SPOJENO   
tcp        1      0 martin:44902            91.213.160.53:www       CLOSE_WAIT
tcp        0      0 martin:47166            oam-d06a.blue.aol:https SPOJENO   
tcp       38      0 martin:60052            208.43.202.54-sta:https CLOSE_WAIT
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 24. 05. 2011, 13:06:54
Mno nevím jestli nejsem vedle, ale jestli jsem to správně pochopil, chceš se připojit z venku, pak se obávám, že v konfiguraci klienta nemůžeš mít interní IP v řádku remote.

Toho jsem si predtim ani nevsimnul. Ale je to pravda - klient se samozrejme musi pripojovat na verejnou IP (nebo domenu).
Klient se musi pripojovat na ten Vas HW firewall.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 24. 05. 2011, 13:12:03
Mno nevím jestli nejsem vedle, ale jestli jsem to správně pochopil, chceš se připojit z venku, pak se obávám, že v konfiguraci klienta nemůžeš mít interní IP v řádku remote.
jj dobrá myšlenka. tam je daná funkční konfigurace, se kterou se připojím uvnitř sítě. z venku mám na klientu samozřejmě věřejnou IP adresu....
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 24. 05. 2011, 13:15:19
jj dobrá myšlenka. tam je daná funkční konfigurace, se kterou se připojím uvnitř sítě. z venku mám na klientu samozřejmě věřejnou IP adresu....

Tak poslete log OpenVPN - at je videt, co to dela/nedela :-)
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 24. 05. 2011, 13:18:02
Muzete sem hodit jeste log OpenVPN?

tady je
Tue May 24 13:45:07 2011 us=455687   replay_window = 64
Tue May 24 13:45:07 2011 us=455698   replay_time = 15
Tue May 24 13:45:07 2011 us=455723   packet_id_file = '[UNDEF]'
Tue May 24 13:45:07 2011 us=455746   use_iv = ENABLED
Tue May 24 13:45:07 2011 us=455759   test_crypto = DISABLED
Tue May 24 13:45:07 2011 us=455785   tls_server = ENABLED
Tue May 24 13:45:07 2011 us=455797   tls_client = DISABLED
Tue May 24 13:45:07 2011 us=455813   key_method = 2
Tue May 24 13:45:07 2011 us=455825   ca_file = '/root/openvpn/ca.crt'
Tue May 24 13:45:07 2011 us=455852   ca_path = '[UNDEF]'
Tue May 24 13:45:07 2011 us=455864   dh_file = '/root/openvpn/dh1024.pem'
Tue May 24 13:45:07 2011 us=455886   cert_file = '/root/openvpn/server.crt'
Tue May 24 13:45:07 2011 us=455915   priv_key_file = '/root/openvpn/server.key'
Tue May 24 13:45:07 2011 us=455928   pkcs12_file = '[UNDEF]'
Tue May 24 13:45:07 2011 us=455945   cipher_list = '[UNDEF]'
Tue May 24 13:45:07 2011 us=455957   tls_verify = '[UNDEF]'
Tue May 24 13:45:07 2011 us=455980   tls_remote = '[UNDEF]'
Tue May 24 13:45:07 2011 us=455994   crl_file = '[UNDEF]'
Tue May 24 13:45:07 2011 us=456010   ns_cert_type = 0
Tue May 24 13:45:07 2011 us=456035   remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456051   remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456067   remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456079   remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456103   remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456115   remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456131   remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456154   remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456171   remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456187   remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456199   remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456223   remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456235   remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456252   remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456263   remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456293   remote_cert_ku = 0
Tue May 24 13:45:07 2011 us=456309   remote_cert_eku = '[UNDEF]'
Tue May 24 13:45:07 2011 us=456322   tls_timeout = 2
Tue May 24 13:45:07 2011 us=456337   renegotiate_bytes = 0
Tue May 24 13:45:07 2011 us=456368   renegotiate_packets = 0
Tue May 24 13:45:07 2011 us=456380   renegotiate_seconds = 3600
Tue May 24 13:45:07 2011 us=456402   handshake_window = 60
Tue May 24 13:45:07 2011 us=456420   transition_window = 3600
Tue May 24 13:45:07 2011 us=456432   single_session = DISABLED
Tue May 24 13:45:07 2011 us=456444   tls_exit = DISABLED
Tue May 24 13:45:07 2011 us=456471   tls_auth_file = '[UNDEF]'
Tue May 24 13:45:07 2011 us=456488   pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456501   pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456513   pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456538   pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456559   pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456571   pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456583   pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456606   pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456619   pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456635   pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456647   pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456671   pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456683   pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456699   pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456711   pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456733   pkcs11_protected_authentication = DISABLED
Tue May 24 13:45:07 2011 us=456760   pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=456773   pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=456803   pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=456815   pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=456831   pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=456843   pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=456867   pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=456879   pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=456895   pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=456906   pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=456938   pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=456954   pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=456966   pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=456995   pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=457008   pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=457024   pkcs11_private_mode = 00000000
Tue May 24 13:45:07 2011 us=457048   pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457065   pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457081   pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457093   pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457119   pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457136   pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457149   pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457176   pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457196   pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457208   pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457230   pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457250   pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457262   pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457274   pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457300   pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457316   pkcs11_cert_private = DISABLED
Tue May 24 13:45:07 2011 us=457328   pkcs11_pin_cache_period = -1
Tue May 24 13:45:07 2011 us=457351   pkcs11_id = '[UNDEF]'
Tue May 24 13:45:07 2011 us=457364   pkcs11_id_management = DISABLED
Tue May 24 13:45:07 2011 us=457392   server_network = 0.0.0.0
Tue May 24 13:45:07 2011 us=457430   server_netmask = 0.0.0.0
Tue May 24 13:45:07 2011 us=457448   server_bridge_ip = 0.0.0.0
Tue May 24 13:45:07 2011 us=457473   server_bridge_netmask = 0.0.0.0
Tue May 24 13:45:07 2011 us=457503   server_bridge_pool_start = 0.0.0.0
Tue May 24 13:45:07 2011 us=457517   server_bridge_pool_end = 0.0.0.0
Tue May 24 13:45:07 2011 us=457544   push_entry = 'redirect-gateway 10.88.255.1'
Tue May 24 13:45:07 2011 us=457557   push_entry = 'dhcp-option DNS 192.168.1.1'
Tue May 24 13:45:07 2011 us=457569   push_entry = 'ping 10'
Tue May 24 13:45:07 2011 us=457585   push_entry = 'ping-restart 120'
Tue May 24 13:45:07 2011 us=457614   ifconfig_pool_defined = ENABLED
Tue May 24 13:45:07 2011 us=457629   ifconfig_pool_start = 10.88.255.2
Tue May 24 13:45:07 2011 us=457647   ifconfig_pool_end = 10.88.255.5
Tue May 24 13:45:07 2011 us=457660   ifconfig_pool_netmask = 255.255.255.0
Tue May 24 13:45:07 2011 us=457684   ifconfig_pool_persist_filename = '[UNDEF]'
Tue May 24 13:45:07 2011 us=457705   ifconfig_pool_persist_refresh_freq = 600
Tue May 24 13:45:07 2011 us=457717   n_bcast_buf = 256
Tue May 24 13:45:07 2011 us=457746   tcp_queue_limit = 64
Tue May 24 13:45:07 2011 us=457764   real_hash_size = 256
Tue May 24 13:45:07 2011 us=457789   virtual_hash_size = 256
Tue May 24 13:45:07 2011 us=457806   client_connect_script = '[UNDEF]'
Tue May 24 13:45:07 2011 us=457818   learn_address_script = '[UNDEF]'
Tue May 24 13:45:07 2011 us=457834   client_disconnect_script = '[UNDEF]'
Tue May 24 13:45:07 2011 us=457863   client_config_dir = '[UNDEF]'
Tue May 24 13:45:07 2011 us=457876   ccd_exclusive = DISABLED
Tue May 24 13:45:07 2011 us=457891   tmp_dir = '[UNDEF]'
Tue May 24 13:45:07 2011 us=457903   push_ifconfig_defined = DISABLED
Tue May 24 13:45:07 2011 us=457929   push_ifconfig_local = 0.0.0.0
Tue May 24 13:45:07 2011 us=457942   push_ifconfig_remote_netmask = 0.0.0.0
Tue May 24 13:45:07 2011 us=457959   enable_c2c = ENABLED
Tue May 24 13:45:07 2011 us=457987   duplicate_cn = ENABLED
Tue May 24 13:45:07 2011 us=458000   cf_max = 0
Tue May 24 13:45:07 2011 us=458012   cf_per = 0
Tue May 24 13:45:07 2011 us=458027   max_clients = 1024
Tue May 24 13:45:07 2011 us=458050   max_routes_per_client = 256
Tue May 24 13:45:07 2011 us=458063   auth_user_pass_verify_script = '[UNDEF]'
Tue May 24 13:45:07 2011 us=458076   auth_user_pass_verify_script_via_file = DISABLED
Tue May 24 13:45:07 2011 us=458103   ssl_flags = 0
Tue May 24 13:45:07 2011 us=458115   port_share_host = '[UNDEF]'
Tue May 24 13:45:07 2011 us=458126   port_share_port = 0
Tue May 24 13:45:07 2011 us=458138   client = DISABLED
Tue May 24 13:45:07 2011 us=458149   pull = DISABLED
Tue May 24 13:45:07 2011 us=458161   auth_user_pass_file = '[UNDEF]'
Tue May 24 13:45:07 2011 us=458181 OpenVPN 2.1.1 i686-redhat-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Jan  5 2010
Tue May 24 13:45:07 2011 us=458632 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Tue May 24 13:45:07 2011 us=484606 Diffie-Hellman initialized with 1024 bit key
Enter Private Key Password:
Tue May 24 13:45:11 2011 us=566570 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue May 24 13:45:11 2011 us=566717 WARNING: file '/root/openvpn/server.key' is group or others accessible
Tue May 24 13:45:11 2011 us=567558 TLS-Auth MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue May 24 13:45:11 2011 us=579405 TUN/TAP device tap0 opened
Tue May 24 13:45:11 2011 us=579472 TUN/TAP TX queue length set to 100
Tue May 24 13:45:11 2011 us=579543 /sbin/ip link set dev tap0 up mtu 1500
Tue May 24 13:45:11 2011 us=587775 /sbin/ip addr add dev tap0 10.88.255.1/24 broadcast 10.88.255.255
Tue May 24 13:45:11 2011 us=589923 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Tue May 24 13:45:11 2011 us=589984 Socket Buffers: R=[112640->131072] S=[112640->131072]
Tue May 24 13:45:11 2011 us=590005 UDPv4 link local (bound): 10.0.13.26:1194
Tue May 24 13:45:11 2011 us=590018 UDPv4 link remote: [undef]
Tue May 24 13:45:11 2011 us=590038 MULTI: multi_init called, r=256 v=256
Tue May 24 13:45:11 2011 us=590083 IFCONFIG POOL: base=10.88.255.2 size=4
Tue May 24 13:45:11 2011 us=590116 Initialization Sequence Completed
Tue May 24 13:45:12 2011 us=664664 MULTI: multi_create_instance called
Tue May 24 13:45:12 2011 us=664721 213.226.253.27:1194 Re-using SSL/TLS context
Tue May 24 13:45:12 2011 us=664779 213.226.253.27:1194 LZO compression initialized
Tue May 24 13:45:12 2011 us=664903 213.226.253.27:1194 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue May 24 13:45:12 2011 us=664923 213.226.253.27:1194 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Tue May 24 13:45:12 2011 us=664969 213.226.253.27:1194 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Tue May 24 13:45:12 2011 us=664983 213.226.253.27:1194 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Tue May 24 13:45:12 2011 us=665008 213.226.253.27:1194 Local Options hash (VER=V4): 'f7df56b8'
Tue May 24 13:45:12 2011 us=665026 213.226.253.27:1194 Expected Remote Options hash (VER=V4): 'd79ca330'
RTue May 24 13:45:12 2011 us=665085 213.226.253.27:1194 TLS: Initial packet from 213.226.253.27:1194, sid=c78bfb6d 3e683322
WWWWWWWWWTue May 24 13:45:28 2011 us=762856 MULTI: multi_create_instance called
Tue May 24 13:45:28 2011 us=762924 10.2.57.8:1194 Re-using SSL/TLS context
Tue May 24 13:45:28 2011 us=762955 10.2.57.8:1194 LZO compression initialized
Tue May 24 13:45:28 2011 us=763058 10.2.57.8:1194 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue May 24 13:45:28 2011 us=763076 10.2.57.8:1194 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Tue May 24 13:45:28 2011 us=763119 10.2.57.8:1194 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Tue May 24 13:45:28 2011 us=763133 10.2.57.8:1194 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Tue May 24 13:45:28 2011 us=763154 10.2.57.8:1194 Local Options hash (VER=V4): 'f7df56b8'
Tue May 24 13:45:28 2011 us=763173 10.2.57.8:1194 Expected Remote Options hash (VER=V4): 'd79ca330'
RTue May 24 13:45:28 2011 us=763210 10.2.57.8:1194 TLS: Initial packet from 10.2.57.8:1194, sid=2a6ffe07 207dff36
WRRWRWRWWWWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRRRRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRTue May 24 13:45:28 2011 us=790317 10.2.57.8:1194 VERIFY OK: depth=1, /C=CZ/ST=VYSOCINA/L=Chotebor/O=TENEZas_/OU=IT/CN=pam/emailAddress=it.manager@tenez.cz
Tue May 24 13:45:28 2011 us=790504 10.2.57.8:1194 VERIFY OK: depth=0, /C=CZ/ST=VYSOCINA/O=TENEZas_/OU=IT/CN=test/emailAddress=it.manager@tenez.cz
WRWRWRWWWWRWRWRWRWRWRWRWRWRRRRWRWRWRTue May 24 13:45:28 2011 us=797616 10.2.57.8:1194 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue May 24 13:45:28 2011 us=797648 10.2.57.8:1194 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue May 24 13:45:28 2011 us=797713 10.2.57.8:1194 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue May 24 13:45:28 2011 us=797728 10.2.57.8:1194 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
WWWRRRTue May 24 13:45:28 2011 us=798469 10.2.57.8:1194 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue May 24 13:45:28 2011 us=798503 10.2.57.8:1194 [test] Peer Connection Initiated with 10.2.57.8:1194
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 24. 05. 2011, 13:26:54
A nemuze byt problem s certifikatem? Mne se zda, ze pri pripojeni z mistni neverejne IP dojde k overeni, ale pri pripojen z venkovni IP to vubec nic o overeni nevypsalo:
Kód: [Vybrat]
2,tls-client'
Tue May 24 13:45:12 2011 us=665008 213.226.253.27:1194 Local Options hash (VER=V4): 'f7df56b8'
Tue May 24 13:45:12 2011 us=665026 213.226.253.27:1194 Expected Remote Options hash (VER=V4): 'd79ca330'

Tue May 24 13:45:12 2011 us=665085 213.226.253.27:1194 TLS: Initial packet from 213.226.253.27:1194, sid=c78bfb6d 3e683322

WWWWWWWWWTue May 24 13:45:28 2011 us=762856 MULTI: multi_create_instance called
Tue May 24 13:45:28 2011 us=762924 10.2.57.8:1194 Re-using SSL/TLS context
Tue May 24 13:45:28 2011 us=762955 10.2.57.8:1194 LZO compression initialized
Tue May 24 13:45:28 2011 us=763058 10.2.57.8:1194 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue May 24 13:45:28 2011 us=763076 10.2.57.8:1194 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Tue May 24 13:45:28 2011 us=763119 10.2.57.8:1194 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Tue May 24 13:45:28 2011 us=763133 10.2.57.8:1194 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Tue May 24 13:45:28 2011 us=763154 10.2.57.8:1194 Local Options hash (VER=V4): 'f7df56b8'
Tue May 24 13:45:28 2011 us=763173 10.2.57.8:1194 Expected Remote Options hash (VER=V4): 'd79ca330'
RTue May 24 13:45:28 2011 us=763210 10.2.57.8:1194 TLS: Initial packet from 10.2.57.8:1194, sid=2a6ffe07 207dff36
WRRWRWRWWWWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRRRRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRW

Tue May 24 13:45:28 2011 us=790317 10.2.57.8:1194 VERIFY OK: depth=1, /C=CZ/ST=VYSOCINA/L=Chotebor/O=TENEZas_/OU=IT/CN=pam/emailAddress=it.manager@tenez.cz

Tue May 24 13:45:28 2011 us=790504 10.2.57.8:1194 VERIFY OK: depth=0, /C=CZ/ST=VYSOCINA/O=TENEZas_/OU=IT/CN=test/emailAddress=it.manager@tenez.cz
WRWRWRWWWWRWRWRWRWRWRWRWRWRRRRWRWRWRTue May 24 13:45:28 2011 us=797616
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 24. 05. 2011, 13:33:07
A nemuze byt problem s certifikatem? Mne se zda, ze pri pripojeni z mistni neverejne IP dojde k overeni, ale pri pripojen z venkovni IP to vubec nic o overeni nevypsalo:
tam je právě ten problém.
podle informací, které jsem včera vyčetl, tak klient se připojí k serveru, server odpoví, že se klient připojil a pak klient žádá o autorizaci, jenže v mém případě se klientu nedostane už ta odpověď a proto s eklient pokouší připojit znovu a znovu.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 24. 05. 2011, 13:43:38
Jestli Vam to pomuze, tak tady je muj funkcni konfig:

server.conf:
Kód: [Vybrat]
mode server
tls-server
port 443
proto tcp-server
dev tap0
ifconfig 192.168.2.1 255.255.255.0
ifconfig-pool 192.168.2.150 192.168.2.200 255.255.255.0
client-to-client
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh2048.pem
log-append /var/log/openvpn
status /var/run/vpn.status 10
user nobody
group nogroup
keepalive 10 120
comp-lzo
verb 5
persist-key
persist-tun
push "route 192.168.1.0 255.255.255.0 192.168.2.1" 
push "dhcp-option DNS 192.168.2.1"
push "redirect-gateway def1"
push "route-gateway 192.168.2.1"
ifconfig-pool-persist ip_pool.txt
client-config-dir ccd
max-clients 5

client.conf:
Kód: [Vybrat]
remote vpn.domena.tpd
port 443
proto tcp-client
tls-client
dev tap
pull
ns-cert-type server
mute 10
ca ca.crt
cert martin.crt
key martin.key
comp-lzo
verb 3
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: rob 24. 05. 2011, 15:57:08
zkuste nahradit v configuracnim souboru na serveru
Kód: [Vybrat]
push "redirect-gateway 10.88.255.1"timto
Kód: [Vybrat]
push "redirect-gateway def1"
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 24. 05. 2011, 16:03:13
Ale push "redirect-gateway def1" mu bude posilat veskery sitovy provoz do vpn tunelu.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: rob 24. 05. 2011, 16:24:46
soudim podle pouziti
Citace
push "redirect-gateway 10.88.255.1"
to tak i zamyslel
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Voty 24. 05. 2011, 20:58:03
Mě se zdá, že problém je v tom, že funguje spojení dovnitř (tedy od klienta přes fw na server), ale ven už ne. Takže hádám, že je buďto špatně nastavený fw, nebo je podobně blbej jako Hauwei, který čas od času vesele NATuje i takováto UDP "spojení" směrem ven. Já jsem kvůli tomu musel přejít na TCP. Chtělo by to tcpdump na klientu, když se snaží pripojit, zda mu něco vůbec od serveru dorazí.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 25. 05. 2011, 09:24:57
Mě se zdá, že problém je v tom, že funguje spojení dovnitř (tedy od klienta přes fw na server), ale ven už ne. Takže hádám, že je buďto špatně nastavený fw, nebo je podobně blbej jako Hauwei, který čas od času vesele NATuje i takováto UDP "spojení" směrem ven. Já jsem kvůli tomu musel přejít na TCP. Chtělo by to tcpdump na klientu, když se snaží pripojit, zda mu něco vůbec od serveru dorazí.
ahoj
takže problém byl v nastvení firewalu. ten seodpojil, použil jsem linuxové řešení a spojení to návázalo a drží, netgera se chová divně. musel sem přejít rovněž na TCP. ještě je tu jedna věc a to že i s/ push"redirect-gateway def 1"/ v konfiguráku serveru nefunguje to že chci, aby veškerá síťová komunikace clienta šla na server. Včem může být problém?
ddíky.
 
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 25. 05. 2011, 13:41:54
ještě je tu jedna věc a to že i s/ push"redirect-gateway def 1"/ v konfiguráku serveru nefunguje to že chci, aby veškerá síťová komunikace clienta šla na server. Včem může být problém?
ddíky.

To je divne, mne to s vyse uvedenym nastavenim ( http://goo.gl/ovanp ) funguje.
Jste si jisty, ze to opravdu nejde tim tunelem?
Poslete vypis smerovaci tabulky na klientovi: route -n


Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 25. 05. 2011, 14:07:32
ještě je tu jedna věc a to že i s/ push"redirect-gateway def 1"/ v konfiguráku serveru nefunguje to že chci, aby veškerá síťová komunikace clienta šla na server. Včem může být problém?
ddíky.

To je divne, mne to s vyse uvedenym nastavenim ( http://goo.gl/ovanp ) funguje.
Jste si jisty, ze to opravdu nejde tim tunelem?
Poslete vypis smerovaci tabulky na klientovi: route -n

tady je ze serveru
Směrovací tabulka v jádru pro IP
Adresát         Brána           Maska           Přízn Metrik Odkaz  Užt Rozhraní
10.88.255.0     0.0.0.0         255.255.255.0   U     0      0        0 tap0
169.254.0.0     0.0.0.0         255.255.0.0     U     1002   0        0 eth0
10.0.0.0        0.0.0.0         255.0.0.0       U     0      0        0 eth0
0.0.0.0         10.0.0.110      0.0.0.0         UG    0      0        0 eth0
[root@negro openvpn]#
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 25. 05. 2011, 14:35:37
tady je ze serveru
Směrovací tabulka v jádru pro IP
Adresát         Brána           Maska           Přízn Metrik Odkaz  Užt Rozhraní
10.88.255.0     0.0.0.0         255.255.255.0   U     0      0        0 tap0
169.254.0.0     0.0.0.0         255.255.0.0     U     1002   0        0 eth0
10.0.0.0        0.0.0.0         255.0.0.0       U     0      0        0 eth0
0.0.0.0         10.0.0.110      0.0.0.0         UG    0      0        0 eth0
[root@negro openvpn]#

Ta je skoro k nicemu. Poslete tu z pripojeneho klienta.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 25. 05. 2011, 15:12:53

Ta je skoro k nicemu. Poslete tu z pripojeneho klienta.
[/quote]
ten je ve win route print
===========================================================================
===========================================================================
Aktivní směrování:
       Cíl v síti     Síťová maska            Brána        Rozhraní  Metrika
          0.0.0.0        128.0.0.0      10.88.255.1     10.88.255.2       1
          0.0.0.0          0.0.0.0     10.200.0.254    10.200.0.101       20
      10.88.255.0    255.255.255.0      10.88.255.2     10.88.255.2       30
      10.88.255.2  255.255.255.255        127.0.0.1       127.0.0.1       30
       10.200.0.0    255.255.255.0     10.200.0.101    10.200.0.101       20
     10.200.0.101  255.255.255.255        127.0.0.1       127.0.0.1       20
   10.255.255.255  255.255.255.255      10.88.255.2     10.88.255.2       30
   10.255.255.255  255.255.255.255     10.200.0.101    10.200.0.101       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
        128.0.0.0        128.0.0.0      10.88.255.1     10.88.255.2       1
    213.226.253.5  255.255.255.255     10.200.0.254    10.200.0.101       1
        224.0.0.0        240.0.0.0      10.88.255.2     10.88.255.2       30
        224.0.0.0        240.0.0.0     10.200.0.101    10.200.0.101       20
  255.255.255.255  255.255.255.255      10.88.255.2     10.88.255.2       1
  255.255.255.255  255.255.255.255     10.200.0.101    10.200.0.101       1
Výchozí brána:       10.88.255.1
===========================================================================
Trvalé trasy:
  Žádné

Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 25. 05. 2011, 15:16:39
 ještě doplnění
je to stroj v jiné síti za fw. adresa stroje v síti je 10.200.0.101, bránu i dns má mít 10.200.0.254
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 25. 05. 2011, 15:30:15
Jak jsem videl v nejakem Vasem starsim prispevku, chcete klientovi nastavit branu 10.88.255.1:
Tue May 24 13:45:07 2011 us=457544   push_entry = 'redirect-gateway 10.88.255.1'

Vas Windows klient ukaze:
Kód: [Vybrat]
  Cíl v síti     Síťová maska            Brána        Rozhraní  Metrika
          0.0.0.0        128.0.0.0      10.88.255.1     10.88.255.2       1
          0.0.0.0          0.0.0.0     10.200.0.254    10.200.0.101       20

Takze pro 0.0.0.0 je brana 10.88.255.1 - to by melo byt v poradku.
Jedine co si mi nezda je ta maska 128.0.0.0 - mne to dela OpenVPN taky a nevim jak se toho zbavit :-( - nicmene smerovani provozu do vpn tunelu mne funguje.

Kdyz zkusite traceroute www.google.com s pripojenou a odpojenou VPN, mel by byt videt rozdil.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 26. 05. 2011, 10:54:01
smerovani provozu do vpn tunelu mne funguje.

Kdyz zkusite traceroute www.google.com s pripojenou a odpojenou VPN, mel by byt videt rozdil.
[/quote]
já tam mám ale /redirect-gateway def 1/
mám tam vrátit to původní?
ted je knfigurák serevru takovíto:


mode server
tls-server
local 10.0.13.26:1194
script-security 2
dev tap0
port 1194
rport 1194
lport 1194
proto tcp-server
ifconfig 10.88.255.1 255.255.255.0
;push "route 10.88.255.1 255.255.255.0"
;push "route-gateway 10.88.255.1"
push "redirect-gateway def1"
push "dhcp-option DNS 10.88.255.1"
ifconfig-pool 10.88.255.2 10.88.255.5 255.255.255.0
duplicate-cn
client-to-client
keepalive 10 120
ca /root/openvpn/ca.crt
cert /root/openvpn/server.crt
key /root/openvpn/server.key
dh /root/openvpn/dh1024.pem
comp-lzo
;log-append cvpn.log
status openvpn-status.log
já jsem včera ještě něco málo zkoumal a ten traceroute se choval stejně v obou případech.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 26. 05. 2011, 15:27:20
mode server
tls-server
local 10.0.13.26:1194
script-security 2
dev tap0
port 1194
rport 1194
lport 1194
proto tcp-server
ifconfig 10.88.255.1 255.255.255.0
;push "route 10.88.255.1 255.255.255.0"
;push "route-gateway 10.88.255.1"
push "redirect-gateway def1"
push "dhcp-option DNS 10.88.255.1"
ifconfig-pool 10.88.255.2 10.88.255.5 255.255.255.0
duplicate-cn
client-to-client
keepalive 10 120
ca /root/openvpn/ca.crt
cert /root/openvpn/server.crt
key /root/openvpn/server.key
dh /root/openvpn/dh1024.pem
comp-lzo
;log-append cvpn.log
status openvpn-status.log
já jsem včera ještě něco málo zkoumal a ten traceroute se choval stejně v obou případech.

pridejte tam tu branu: push "route-gateway 10.88.255.1" a push "redirect-gateway def1" tam nechte taky

zkuste vyhodit rport 1194 a lport 1194 btw, k cemu je to dobre?

jestli dobre koukam, tak ten rozsah ma dost malo ip - to by ale vadit pro par lidi nemelo ifconfig-pool 10.88.255.2 10.88.255.5 255.255.255.0

jaky ma vyznam duplicate-cn? neni lepsi kazdemu vygenerovat vlastni certifikat?

Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 26. 05. 2011, 15:31:46
pridejte tam tu branu: push "route-gateway 10.88.255.1" a push "redirect-gateway def1" tam nechte taky

zkuste vyhodit rport 1194 a lport 1194 btw, k cemu je to dobre?

jestli dobre koukam, tak ten rozsah ma dost malo ip - to by ale vadit pro par lidi nemelo ifconfig-pool 10.88.255.2 10.88.255.5 255.255.255.0

jaky ma vyznam duplicate-cn? neni lepsi kazdemu vygenerovat vlastni certifikat?
[/quote]
díky za tip. ted sem mimo, ale večer to provedu
ohledně rozsahu adres a duplikate cn... mám to v režimu testování, pak je samozřejmé, že každý cclient bude mít svůj certifikát. tomu říkám kudrdlinky a ty lze dodělat později. lport a rport určují komunikaci portu, údajně je pak stabilnější, našel jsem to na nějakém něm.foŕu.... bez toho mi přišlo spojení pomalejší a méně stabilní.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 26. 05. 2011, 15:53:05
pridejte tam tu branu: push "route-gateway 10.88.255.1" a push "redirect-gateway def1" tam nechte taky

zkuste vyhodit rport 1194 a lport 1194 btw, k cemu je to dobre?

jestli dobre koukam, tak ten rozsah ma dost malo ip - to by ale vadit pro par lidi nemelo ifconfig-pool 10.88.255.2 10.88.255.5 255.255.255.0

jaky ma vyznam duplicate-cn? neni lepsi kazdemu vygenerovat vlastni certifikat?
díky za tip. ted sem mimo, ale večer to provedu
ohledně rozsahu adres a duplikate cn... mám to v režimu testování, pak je samozřejmé, že každý cclient bude mít svůj certifikát. tomu říkám kudrdlinky a ty lze dodělat později. lport a rport určují komunikaci portu, údajně je pak stabilnější, našel jsem to na nějakém něm.foŕu.... bez toho mi přišlo spojení pomalejší a méně stabilní.
[/quote]
tak sem se připojil a nejedeto. udělal jsem úpravy dle rady.
tváří se to že to má bránu a ins nastavenou správně, ovšem když se chci dostat na server, který je v síti u počvpn-serveru (metalické) konkrétně 10.0.0.177 tak ho to nenajde.
mě de o to, aby když se client připojí k vpn serevru, aby ve vzdálené ploše ve win zadal jméno serevru nebo ip adresu v lokální síti vpn serevru a připojil se na něj a nebo pomocí speciálního klienta se dostal do lokální sítě vpn serevru 10.0.0.x a tam navázal konkrétní spojení...
díky
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: rob 26. 05. 2011, 16:28:38
ty certifikaty zatim nech, ale muzes zvetsit pool dostupnych adres
taky by bylo nejlepsi nam vic priblizit architekturu site, upne nejlip nejakym diagramem (programek dia) :)
taky hodit treba na pastebin logy clienta a serveru pri pripojovani,ip route na klientovi i serveru

taky doporucuju par stranek si precit
https://help.ubuntu.com/community/CategoryVPN?highlight=%28%28OpenVPN%29%29
http://openvpn.net/index.php/open-source/documentation/howto.html

jinak k push "redirect-gateway def1"

def1 nemeni tvoji default gateway 0.0.0.0/0 ale prida 0.0.0.0/1 a 0.0.0.0/128, coz je sikovny pro zanechani puvodni gateway, treba kdyz nemas nastavenou staticky IP, ale prideluje ti ji DHCP. Jinak by totiz pozadavky na DHCP server sli skrz VPN.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: thor5 26. 05. 2011, 16:52:17
jeste jedna poznamka, u spousty lidi jsem se setkal s tim, ze jim funguje vse dobre, jen nemaji nastavene DNS servery. Takze vyzkouset jestli z klienta jde pingnout IP adresa treba seznamu. Pokud jde IP a ne jmeno, tak se musi upravit konfigurace pro DNS, sice na serveru je push dns ale nikde neni napsano, ze to klient pochopi a aplikuje(v linuxech napr. musite vyrobit/pouzit svuj skript ktery volbu aplikuje, ve widlich jsem to zatim nepotreboval, ale predpokladam, ze to bude podobne)
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 27. 05. 2011, 07:50:04
ty certifikaty zatim nech, ale muzes zvetsit pool dostupnych adres
taky by bylo nejlepsi nam vic priblizit architekturu site, upne nejlip nejakym diagramem (programek dia) :)
taky hodit treba na pastebin logy clienta a serveru pri pripojovani,ip route na klientovi i serveru

taky doporucuju par stranek si precit
https://help.ubuntu.com/community/CategoryVPN?highlight=%28%28OpenVPN%29%29
http://openvpn.net/index.php/open-source/documentation/howto.html

jinak k push "redirect-gateway def1"

def1 nemeni tvoji default gateway 0.0.0.0/0 ale prida 0.0.0.0/1 a 0.0.0.0/128, coz je sikovny pro zanechani puvodni gateway, treba kdyz nemas nastavenou staticky IP, ale prideluje ti ji DHCP. Jinak by totiz pozadavky na DHCP server sli skrz VPN.

díky za tip.
takže sítě:
server má interní ip 10.0.13.26, masku 255.0.0.0. bránu 10.0.0.255, dns 10.0.0.255
clietn u kterého to testuji má ip 10.200.0.101, masku 255.255.255.0, dns a bránu 10.200.0.254. obě IP adresy jsou přiděleny ručně.
klienti který se však budou připojovat tak budou mít ip svojí lokální sítě většinou přidělovanou DHCP. cíle je aby klient, který se připojí odkukoliv měl přístup na servery v lokální síti vpn serveru 10.0.0.X.
Musí být na serveru vpn vytvořené bridge nebo ne?
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: tuxmartin 27. 05. 2011, 10:04:12
cíle je aby klient, který se připojí odkukoliv měl přístup na servery v lokální síti vpn serveru 10.0.0.X.
Musí být na serveru vpn vytvořené bridge nebo ne?

Jestli to chapu, tak Vam jde pouze o to, aby se klient pripojil na VPN a mel pristup do vnitrni site.
Na to by melo stacit pridat push "route 10.88.255.1 255.255.255.0" a to def1 bych tam vubec nedaval (tim byste pouze skryl veskery provoz do VPN.  Ja to pouzivam ve skole, kde mame zakazane ICQ a podobne veci, pomoci def1 mne pak vsechno funguje, ale je to pomalejsi.)
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 27. 05. 2011, 10:25:45
cíle je aby klient, který se připojí odkukoliv měl přístup na servery v lokální síti vpn serveru 10.0.0.X.
Musí být na serveru vpn vytvořené bridge nebo ne?

Jestli to chapu, tak Vam jde pouze o to, aby se klient pripojil na VPN a mel pristup do vnitrni site.
Na to by melo stacit pridat push "route 10.88.255.1 255.255.255.0" a to def1 bych tam vubec nedaval (tim byste pouze skryl veskery provoz do VPN.  Ja to pouzivam ve skole, kde mame zakazane ICQ a podobne veci, pomoci def1 mne pak vsechno funguje, ale je to pomalejsi.)
v podstatě ano,
def 1 jsem ; ale kdz6 d8m ping na klientu na 10.0.0.177 tak ho nezná :(
jak je to s tím brdige spojení musí být na straně serveru nebo ne?
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 27. 05. 2011, 10:31:20

v podstatě ano,
def 1 jsem ; ale kdz6 d8m ping na klientu na 10.0.0.177 tak ho nezná :(
jak je to s tím brdige spojení musí být na straně serveru nebo ne?
[/quote]
ještě doplnění, když na clientovi dám tracert na 10.0.0.177 tak mi to ukazuje že to rve na 10.200.0.254 což brána a dns počítače clienta
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 31. 05. 2011, 10:16:00
zkoušel jsem ještě další věci a stále nic. Poradíte mi prosím někdo. děkuji.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: thor5 31. 05. 2011, 23:50:28
At na to koukam tak na to koukam a nevidim duvod, proc by to melo rvat na lokalni branu (tedy za predpokladu, ze se nezmenila rout. tabulka, co jste udal vyse). Jedine cemu nerozumim (a rozhodne netvrdim, ze je to tim) je, ze na serveru vam trochu splyvaji site. mate 10.0.0.0/8 smerovane na eth0 a 10.88.255.0/24 na tap0. Skoro bych tipoval, ze data z klienta tecou na def. branu vpn, ale paket se nevrati protoze se posle zpatky odkud prisel, tj.z eth0 na eth0 a klientovi nedorazi a pak se klient pokusi o presmerovani pozadavku druhou znamou cestou. (Pokud se mylim a placam nesmysly, opravte mne :) )
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 01. 06. 2011, 08:39:34
takže udělal jsem pár změn dle vašich typů:
tady je to z klienta:
C:\Documents and Settings\Administrator>route print
===========================================================================
Seznam rozhraní
0x1 ........................... MS TCP Loopback interface
0x30003 ...00 06 4f 04 4d 6c ...... SiS 900 PCI Fast Ethernet Adapter - Packet S
cheduler Miniport
0x30004 ...00 ff 91 d8 fe 2b ...... TAP-Win32 Adapter V9 - Packet Scheduler Mini
port
===========================================================================
===========================================================================
Aktivní směrování:
       Cíl v síti     Síťová maska            Brána        Rozhraní  Metrika
          0.0.0.0          0.0.0.0     10.200.0.254    10.200.0.101       20
          0.0.0.0        128.0.0.0    172.17.88.255   172.17.88.100       1
       10.200.0.0    255.255.255.0     10.200.0.101    10.200.0.101       20
     10.200.0.101  255.255.255.255        127.0.0.1       127.0.0.1       20
   10.255.255.255  255.255.255.255     10.200.0.101    10.200.0.101       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
        128.0.0.0        128.0.0.0    172.17.88.255   172.17.88.100       1
       172.17.0.0      255.255.0.0    172.17.88.100   172.17.88.100       30
    172.17.88.100  255.255.255.255        127.0.0.1       127.0.0.1       30
   172.17.255.255  255.255.255.255    172.17.88.100   172.17.88.100       30
    213.226.253.5  255.255.255.255     10.200.0.254    10.200.0.101       1
        224.0.0.0        240.0.0.0     10.200.0.101    10.200.0.101       20
        224.0.0.0        240.0.0.0    172.17.88.100   172.17.88.100       30
  255.255.255.255  255.255.255.255     10.200.0.101    10.200.0.101       1
  255.255.255.255  255.255.255.255    172.17.88.100   172.17.88.100       1
Výchozí brána:     172.17.88.255
===========================================================================
Trvalé trasy:
  Žádné

C:\Documents and Settings\Administrator>
a tady konfig serveru
mode server
tls-server
;ipconfig-pool-persist ip.txt
local 10.0.13.26:1194
script-security 2
dev tap0
port 1194
rport 1194
lport 1194
proto tcp-server
ifconfig 172.17.88.255 255.255.0.0
push "route 172.17.88.255 255.255.0.0"
push "redirect-gateway def1"
;push "redirect-gateway 172.17.88.255"
push "dhcp-option DNS 172.17.88.255"
ifconfig-pool 172.17.88.100 172.17.88.159 255.255.0.0
duplicate-cn
client-to-client
keepalive 10 120
ca /root/openvpn/ca.crt
cert /root/openvpn/server.crt
key /root/openvpn/server.key
dh /root/openvpn/dh1024.pem
comp-lzo
;log-append cvpn.log
status openvpn-status.log
verb 5

ted už by to mělo vše fungovat, ale když na klientovy zadám ping 10.0.0.177 tak nenajde. je to stroj, který je v lokální síti openvpnserveru. díky.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: thor5 01. 06. 2011, 09:52:47
ted uz to musi opravdu fungovat... takze co me napadlo dale:
1) stroj 10.0.0.177 má ze site VPN zakazany ping
2) mozna by misto pingu stalo zkusit traceroute, melo by tam byt videt minimalne, ze prvni skok je na 172.17.18.255 pak mozna budeme chytrejsi
3) zkusit se podivat do logu openvpn, obcas tam pristane neco zajimaveho, kdyz neco nejde
4) (tohle je uz ale nouze) zkusit misto TCP dat UDP na jinych portech (a bez rport, lport). Uz se mi totiz stalo, ze se vse tvarilo OK, ale pakety nesly. A po tehle uprave se to zazrakem rozchodilo, i kdyz nikde po ceste firewall (ani L2 transparentni) nebyl (asi nejaky bug).
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 01. 06. 2011, 10:30:37
ad 1)
stroj 10.0.0.177 má povolený ping od kohokoliv
ad 2)
traceroute neukáže žádnou adresu jen že vypršel časový limit
ad 3)
log clienta:
Jun 01 08:21:10 2011 us=453000 Current Parameter Settings:
Wed Jun 01 08:21:10 2011 us=453000   config = 'client.ovpn'
Wed Jun 01 08:21:10 2011 us=453000   mode = 0
Wed Jun 01 08:21:10 2011 us=453000   show_ciphers = DISABLED
Wed Jun 01 08:21:10 2011 us=453000   show_digests = DISABLED
Wed Jun 01 08:21:10 2011 us=453000   show_engines = DISABLED
Wed Jun 01 08:21:10 2011 us=453000   genkey = DISABLED
Wed Jun 01 08:21:10 2011 us=453000   key_pass_file = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=453000   show_tls_ciphers = DISABLED
Wed Jun 01 08:21:10 2011 us=453000 Connection profiles [default]:
Wed Jun 01 08:21:10 2011 us=453000   proto = tcp-client
Wed Jun 01 08:21:10 2011 us=453000   local = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=453000   local_port = 1194
Wed Jun 01 08:21:10 2011 us=453000   remote = '213.226.253.5'
Wed Jun 01 08:21:10 2011 us=453000   remote_port = 1194
Wed Jun 01 08:21:10 2011 us=453000   remote_float = ENABLED
Wed Jun 01 08:21:10 2011 us=453000   bind_defined = DISABLED
Wed Jun 01 08:21:10 2011 us=453000   bind_local = ENABLED
Wed Jun 01 08:21:10 2011 us=453000   connect_retry_seconds = 5
Wed Jun 01 08:21:10 2011 us=453000   connect_timeout = 10
Wed Jun 01 08:21:10 2011 us=453000   topology = 1
Wed Jun 01 08:21:10 2011 us=453000   tun_ipv6 = DISABLED
Wed Jun 01 08:21:10 2011 us=453000   ifconfig_local = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=453000   ifconfig_remote_netmask = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=453000   ifconfig_noexec = DISABLED
Wed Jun 01 08:21:10 2011 us=453000   ifconfig_nowarn = DISABLED
Wed Jun 01 08:21:10 2011 us=453000   shaper = 0
Wed Jun 01 08:21:10 2011 us=453000   tun_mtu = 1500
Wed Jun 01 08:21:10 2011 us=453000   tun_mtu_defined = ENABLED
Wed Jun 01 08:21:10 2011 us=453000   link_mtu = 1500
Wed Jun 01 08:21:10 2011 us=453000   link_mtu_defined = DISABLED
Wed Jun 01 08:21:10 2011 us=453000   tun_mtu_extra = 32
Wed Jun 01 08:21:10 2011 us=453000   tun_mtu_extra_defined = ENABLED
Wed Jun 01 08:21:10 2011 us=453000   fragment = 0
Wed Jun 01 08:21:10 2011 us=453000   mtu_discover_type = -1
Wed Jun 01 08:21:10 2011 us=453000   mtu_test = 0
Wed Jun 01 08:21:10 2011 us=546000   sockflags = 0
Wed Jun 01 08:21:10 2011 us=546000   fast_io = DISABLED
Wed Jun 01 08:21:10 2011 us=546000   lzo = 7
Wed Jun 01 08:21:10 2011 us=546000   route_script = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=546000   route_default_gateway = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=546000   route_default_metric = 0
Wed Jun 01 08:21:10 2011 us=546000   route_noexec = DISABLED
Wed Jun 01 08:21:10 2011 us=546000   route_delay = 4
Wed Jun 01 08:21:10 2011 us=546000   route_delay_window = 30
Wed Jun 01 08:21:10 2011 us=546000   route_delay_defined = ENABLED
Wed Jun 01 08:21:10 2011 us=546000   route_nopull = DISABLED
Wed Jun 01 08:21:10 2011 us=546000   route_gateway_via_dhcp = DISABLED
Wed Jun 01 08:21:10 2011 us=609000   max_routes = 100
Wed Jun 01 08:21:10 2011 us=609000   allow_pull_fqdn = DISABLED
Wed Jun 01 08:21:10 2011 us=609000   management_addr = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=609000   management_port = 0
Wed Jun 01 08:21:10 2011 us=609000   management_user_pass = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=609000   management_log_history_cache = 250
Wed Jun 01 08:21:10 2011 us=609000   management_echo_buffer_size = 100
Wed Jun 01 08:21:10 2011 us=609000   management_write_peer_info_file = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=609000   management_client_user = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=609000   management_client_group = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=609000   management_flags = 0
Wed Jun 01 08:21:10 2011 us=609000   shared_secret_file = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=609000   key_direction = 0
Wed Jun 01 08:21:10 2011 us=609000   ciphername_defined = ENABLED
Wed Jun 01 08:21:10 2011 us=609000   ciphername = 'BF-CBC'
Wed Jun 01 08:21:10 2011 us=656000   authname_defined = ENABLED
Wed Jun 01 08:21:10 2011 us=656000   authname = 'SHA1'
Wed Jun 01 08:21:10 2011 us=656000   prng_hash = 'SHA1'
Wed Jun 01 08:21:10 2011 us=656000   prng_nonce_secret_len = 16
Wed Jun 01 08:21:10 2011 us=656000   keysize = 0
Wed Jun 01 08:21:10 2011 us=656000   engine = DISABLED
Wed Jun 01 08:21:10 2011 us=656000   replay = ENABLED
Wed Jun 01 08:21:10 2011 us=656000   mute_replay_warnings = ENABLED
Wed Jun 01 08:21:10 2011 us=656000   replay_window = 64
Wed Jun 01 08:21:10 2011 us=656000   replay_time = 15
Wed Jun 01 08:21:10 2011 us=656000   packet_id_file = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=656000   use_iv = ENABLED
Wed Jun 01 08:21:10 2011 us=656000   test_crypto = DISABLED
Wed Jun 01 08:21:10 2011 us=656000   tls_server = DISABLED
Wed Jun 01 08:21:10 2011 us=656000   tls_client = ENABLED
Wed Jun 01 08:21:10 2011 us=656000   key_method = 2
Wed Jun 01 08:21:10 2011 us=656000   ca_file = 'ca.crt'
Wed Jun 01 08:21:10 2011 us=718000   ca_path = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=718000   dh_file = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=718000   cert_file = 'test.crt'
Wed Jun 01 08:21:10 2011 us=718000   priv_key_file = 'test.key'
Wed Jun 01 08:21:10 2011 us=718000   pkcs12_file = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=718000   cryptoapi_cert = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=718000   cipher_list = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=718000   tls_verify = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=718000   tls_remote = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=718000   crl_file = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=718000   ns_cert_type = 64
Wed Jun 01 08:21:10 2011 us=718000   remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=718000   remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=718000   remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=718000   remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=718000   remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=765000   remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=765000   remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=765000   remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=765000   remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=765000   remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=765000   remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=765000   remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=765000   remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=765000   remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=765000   remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=765000   remote_cert_ku = 0
Wed Jun 01 08:21:10 2011 us=765000   remote_cert_eku = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=765000   tls_timeout = 2
Wed Jun 01 08:21:10 2011 us=765000   renegotiate_bytes = 0
Wed Jun 01 08:21:10 2011 us=765000   renegotiate_packets = 0
Wed Jun 01 08:21:10 2011 us=765000   renegotiate_seconds = 3600
Wed Jun 01 08:21:10 2011 us=765000   handshake_window = 60
Wed Jun 01 08:21:10 2011 us=812000   transition_window = 3600
Wed Jun 01 08:21:10 2011 us=812000   single_session = DISABLED
Wed Jun 01 08:21:10 2011 us=812000   push_peer_info = DISABLED
Wed Jun 01 08:21:10 2011 us=812000   tls_exit = DISABLED
Wed Jun 01 08:21:10 2011 us=812000   tls_auth_file = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=812000   pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=812000   pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=812000   pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=812000   pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=812000   pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=812000   pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=812000   pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=812000   pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=843000   pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=843000   pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=843000   pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=843000   pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=843000   pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=843000   pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=843000   pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=843000   pkcs11_protected_authentication = DISABLED
Wed Jun 01 08:21:10 2011 us=843000   pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=843000   pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=843000   pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=843000   pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=843000   pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=890000   pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=890000   pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=890000   pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=890000   pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=890000   pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=890000   pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=890000   pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=890000   pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=890000   pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=890000   pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=890000   pkcs11_private_mode = 00000000
Wed Jun 01 08:21:10 2011 us=890000   pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=890000   pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=890000   pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=890000   pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=937000   pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=937000   pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=937000   pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=937000   pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=937000   pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=937000   pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=937000   pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=937000   pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=937000   pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=937000   pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=937000   pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=937000   pkcs11_cert_private = DISABLED
Wed Jun 01 08:21:10 2011 us=937000   pkcs11_pin_cache_period = -1
Wed Jun 01 08:21:10 2011 us=937000   pkcs11_id = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=937000   pkcs11_id_management = DISABLED
Wed Jun 01 08:21:10 2011 us=984000   server_network = 0.0.0.0
Wed Jun 01 08:21:10 2011 us=984000   server_netmask = 0.0.0.0
Wed Jun 01 08:21:10 2011 us=984000   server_bridge_ip = 0.0.0.0
Wed Jun 01 08:21:10 2011 us=984000   server_bridge_netmask = 0.0.0.0
Wed Jun 01 08:21:10 2011 us=984000   server_bridge_pool_start = 0.0.0.0
Wed Jun 01 08:21:10 2011 us=984000   server_bridge_pool_end = 0.0.0.0
Wed Jun 01 08:21:10 2011 us=984000   ifconfig_pool_defined = DISABLED
Wed Jun 01 08:21:10 2011 us=984000   ifconfig_pool_start = 0.0.0.0
Wed Jun 01 08:21:10 2011 us=984000   ifconfig_pool_end = 0.0.0.0
Wed Jun 01 08:21:10 2011 us=984000   ifconfig_pool_netmask = 0.0.0.0
Wed Jun 01 08:21:10 2011 us=984000   ifconfig_pool_persist_filename = '[UNDEF]'
Wed Jun 01 08:21:10 2011 us=984000   ifconfig_pool_persist_refresh_freq = 600
Wed Jun 01 08:21:10 2011 us=984000   n_bcast_buf = 256
Wed Jun 01 08:21:10 2011 us=984000   tcp_queue_limit = 64
Wed Jun 01 08:21:10 2011 us=984000   real_hash_size = 256
Wed Jun 01 08:21:11 2011 us=31000   virtual_hash_size = 256
Wed Jun 01 08:21:11 2011 us=31000   client_connect_script = '[UNDEF]'
Wed Jun 01 08:21:11 2011 us=31000   learn_address_script = '[UNDEF]'
Wed Jun 01 08:21:11 2011 us=31000   client_disconnect_script = '[UNDEF]'
Wed Jun 01 08:21:11 2011 us=31000   client_config_dir = '[UNDEF]'
Wed Jun 01 08:21:11 2011 us=31000   ccd_exclusive = DISABLED
Wed Jun 01 08:21:11 2011 us=31000   tmp_dir = '[UNDEF]'
Wed Jun 01 08:21:11 2011 us=31000   push_ifconfig_defined = DISABLED
Wed Jun 01 08:21:11 2011 us=31000   push_ifconfig_local = 0.0.0.0
Wed Jun 01 08:21:11 2011 us=31000   push_ifconfig_remote_netmask = 0.0.0.0
Wed Jun 01 08:21:11 2011 us=31000   enable_c2c = DISABLED
Wed Jun 01 08:21:11 2011 us=31000   duplicate_cn = DISABLED
Wed Jun 01 08:21:11 2011 us=31000   cf_max = 0
Wed Jun 01 08:21:11 2011 us=31000   cf_per = 0
Wed Jun 01 08:21:11 2011 us=31000   max_clients = 1024
Wed Jun 01 08:21:11 2011 us=31000   max_routes_per_client = 256
Wed Jun 01 08:21:11 2011 us=62000   auth_user_pass_verify_script = '[UNDEF]'
Wed Jun 01 08:21:11 2011 us=62000   auth_user_pass_verify_script_via_file = DISABLED
Wed Jun 01 08:21:11 2011 us=62000   ssl_flags = 0
Wed Jun 01 08:21:11 2011 us=62000   client = DISABLED
Wed Jun 01 08:21:11 2011 us=62000   pull = ENABLED
Wed Jun 01 08:21:11 2011 us=62000   auth_user_pass_file = '[UNDEF]'
Wed Jun 01 08:21:11 2011 us=62000   show_net_up = DISABLED
Wed Jun 01 08:21:11 2011 us=62000   route_method = 2
Wed Jun 01 08:21:11 2011 us=62000   ip_win32_defined = DISABLED
Wed Jun 01 08:21:11 2011 us=62000   ip_win32_type = 3
Wed Jun 01 08:21:11 2011 us=62000   dhcp_masq_offset = 0
Wed Jun 01 08:21:11 2011 us=62000   dhcp_lease_time = 31536000
Wed Jun 01 08:21:11 2011 us=62000   tap_sleep = 0
Wed Jun 01 08:21:11 2011 us=62000   dhcp_options = DISABLED
Wed Jun 01 08:21:11 2011 us=62000   dhcp_renew = DISABLED
Wed Jun 01 08:21:11 2011 us=62000   dhcp_pre_release = DISABLED
Wed Jun 01 08:21:11 2011 us=93000   dhcp_release = DISABLED
Wed Jun 01 08:21:11 2011 us=93000   domain = '[UNDEF]'
Wed Jun 01 08:21:11 2011 us=93000   netbios_scope = '[UNDEF]'
Wed Jun 01 08:21:11 2011 us=93000   netbios_node_type = 0
Wed Jun 01 08:21:11 2011 us=93000   disable_nbt = DISABLED
Wed Jun 01 08:21:11 2011 us=93000 OpenVPN 2.1.4 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov  8 2010
Wed Jun 01 08:21:11 2011 us=109000 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Jun 01 08:21:11 2011 us=484000 LZO compression initialized
Wed Jun 01 08:21:11 2011 us=484000 Control Channel MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Wed Jun 01 08:21:11 2011 us=484000 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Jun 01 08:21:11 2011 us=500000 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Wed Jun 01 08:21:11 2011 us=500000 Local Options String: 'V4,dev-type tap,link-mtu 1576,tun-mtu 1532,proto TCPv4_CLIENT,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Wed Jun 01 08:21:11 2011 us=500000 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1576,tun-mtu 1532,proto TCPv4_SERVER,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Wed Jun 01 08:21:11 2011 us=500000 Local Options hash (VER=V4): '31fdf004'
Wed Jun 01 08:21:11 2011 us=500000 Expected Remote Options hash (VER=V4): '3e6d1056'
Wed Jun 01 08:21:11 2011 us=500000 Attempting to establish TCP connection with 213.226.253.5:1194
Wed Jun 01 08:21:11 2011 us=531000 TCP connection established with 213.226.253.5:1194
Wed Jun 01 08:21:11 2011 us=531000 TCPv4_CLIENT link local (bound): [undef]:1194
Wed Jun 01 08:21:11 2011 us=531000 TCPv4_CLIENT link remote: 213.226.253.5:1194
Wed Jun 01 08:21:11 2011 us=546000 TLS: Initial packet from 213.226.253.5:1194, sid=46cf00d4 41dc89d6
Wed Jun 01 08:21:11 2011 us=812000 VERIFY OK: depth=1, /C=CZ/ST=VYSOCINA/L=Chotebor/O=xxxas_/OU=IT/CN=pam/emailAddress=it.manager@xxx.cz
Wed Jun 01 08:21:11 2011 us=812000 VERIFY OK: nsCertType=SERVER
Wed Jun 01 08:21:11 2011 us=812000 VERIFY OK: depth=0, /C=CZ/ST=VYSOCINA/O=xxxas_/OU=IT/CN=pam/emailAddress=it.manager@xxx.cz
Wed Jun 01 08:21:12 2011 us=968000 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Jun 01 08:21:12 2011 us=968000 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jun 01 08:21:12 2011 us=968000 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Jun 01 08:21:12 2011 us=968000 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jun 01 08:21:12 2011 us=984000 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Jun 01 08:21:12 2011 us=984000 [pam] Peer Connection Initiated with 213.226.253.5:1194
Wed Jun 01 08:21:15 2011 us=109000 SENT CONTROL [pam]: 'PUSH_REQUEST' (status=1)
Wed Jun 01 08:21:15 2011 us=281000 PUSH: Received control message: 'PUSH_REPLY,route 172.17.88.255 255.255.0.0,route-gateway 172.17.88.255,redirect-gateway def1,dhcp-option DNS 172.17.88.255,ping 10,ping-restart 120,ifconfig 172.17.88.100 255.255.0.0'
Wed Jun 01 08:21:15 2011 us=281000 OPTIONS IMPORT: timers and/or timeouts modified
Wed Jun 01 08:21:15 2011 us=281000 OPTIONS IMPORT: --ifconfig/up options modified
Wed Jun 01 08:21:15 2011 us=281000 OPTIONS IMPORT: route options modified
Wed Jun 01 08:21:15 2011 us=281000 OPTIONS IMPORT: route-related options modified
Wed Jun 01 08:21:15 2011 us=281000 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Wed Jun 01 08:21:15 2011 us=312000 ROUTE default_gateway=10.200.0.254
Wed Jun 01 08:21:15 2011 us=328000 TAP-WIN32 device [Připojení k místní síti 3] opened: \\.\Global\{91D8FE2B-1684-45F3-B02F-FEE9EB1A89B1}.tap
Wed Jun 01 08:21:15 2011 us=328000 TAP-Win32 Driver Version 9.7
Wed Jun 01 08:21:15 2011 us=328000 TAP-Win32 MTU=1500
Wed Jun 01 08:21:15 2011 us=328000 Notified TAP-Win32 driver to set a DHCP IP/netmask of 172.17.88.100/255.255.0.0 on interface {91D8FE2B-1684-45F3-B02F-FEE9EB1A89B1} [DHCP-serv: 172.17.0.0, lease-time: 31536000]
Wed Jun 01 08:21:15 2011 us=328000 DHCP option string: 0604ac11 58ff
Wed Jun 01 08:21:15 2011 us=343000 Successful ARP Flush on interface [196612] {91D8FE2B-1684-45F3-B02F-FEE9EB1A89B1}
Wed Jun 01 08:21:19 2011 us=296000 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up
Wed Jun 01 08:21:19 2011 us=296000 C:\WINDOWS\system32\route.exe ADD 213.226.253.5 MASK 255.255.255.255 10.200.0.254
Wed Jun 01 08:21:19 2011 us=375000 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 172.17.88.255
Wed Jun 01 08:21:19 2011 us=437000 C:\WINDOWS\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 172.17.88.255
Wed Jun 01 08:21:19 2011 us=484000 C:\WINDOWS\system32\route.exe ADD 172.17.88.255 MASK 255.255.0.0 172.17.88.255
Pýid nˇ trasy se nezdaýilo: Zadaně parametr masky je neplatně. (Cˇl & maska) != Cˇl.
Wed Jun 01 08:21:19 2011 us=546000 Initialization Sequence Completed

ad4)
udp nefungovalo přes fw vůbec.

díky za pomoc.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: thor5 01. 06. 2011, 11:04:47
Napred kdyz jsem cetl log tak jsem si rikal, ze nemusi souhlasit sifrovani dat na serveru  a v klientu, ale pak jsem to docetl na konec a je to divne a moc to po pravde nechapu. Tohle:
Citace
Wed Jun 01 08:21:19 2011 us=296000 C:\WINDOWS\system32\route.exe ADD 213.226.253.5 MASK 255.255.255.255 10.200.0.254
Wed Jun 01 08:21:19 2011 us=375000 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 172.17.88.255
Wed Jun 01 08:21:19 2011 us=437000 C:\WINDOWS\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 172.17.88.255
Wed Jun 01 08:21:19 2011 us=484000 C:\WINDOWS\system32\route.exe ADD 172.17.88.255 MASK 255.255.0.0 172.17.88.255
Pýid nˇ trasy se nezdaýilo: Zadaně parametr masky je neplatně. (Cˇl & maska) != Cˇl.
Wed Jun 01 08:21:19 2011 us=546000 Initialization Sequence Completed
znamena, ze route.exe skoncil s chybou, ale uz se nedozvime ktery z tech ctyrech tu chybu vratil.vzhledem k tomu, ze ty tri prvni jsou normalni (ma je kazdy, kdo da gateway redirect) tak asi je spatne ten posledni. Jenze tam nevim co by melo byt spatne. Jedine, co muzu doporucit jeste vyzkouset, je zkusit zmenit IP adresu brany na 172.17.88.254 (Uz jsem videl, ze vidle se s 255 moc nemusi, mysli si, ze je to broadcast i kdyz to neni sit /24... - ale myslim, ze tenhle bug MS uz opravil)

Jeste bych se zkusil kouknout na log serveru, mozna bude nejaka zajimavost i tam. (Kazdopadne ted musim letet na statnice, takze pokracovani vecer :))
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 02. 06. 2011, 07:52:45
takže úpraveno. výsledek ještě horší. vůbec to nenasěmruje bránu:
log serveru
Thu Jun  2 07:42:25 2011 us=622689 Current Parameter Settings:
Thu Jun  2 07:42:25 2011 us=639854   config = 'server.ovpn'
Thu Jun  2 07:42:25 2011 us=639886   mode = 1
Thu Jun  2 07:42:25 2011 us=639900   persist_config = DISABLED
Thu Jun  2 07:42:25 2011 us=639913   persist_mode = 1
Thu Jun  2 07:42:25 2011 us=639926   show_ciphers = DISABLED
Thu Jun  2 07:42:25 2011 us=639938   show_digests = DISABLED
Thu Jun  2 07:42:25 2011 us=639951   show_engines = DISABLED
Thu Jun  2 07:42:25 2011 us=639963   genkey = DISABLED
Thu Jun  2 07:42:25 2011 us=639976   key_pass_file = '[UNDEF]'
Thu Jun  2 07:42:25 2011 us=639988   show_tls_ciphers = DISABLED
Thu Jun  2 07:42:25 2011 us=640007 Connection profiles [default]:
Thu Jun  2 07:42:25 2011 us=640023   proto = tcp-server
Thu Jun  2 07:42:25 2011 us=640036   local = '10.0.13.26:1194'
Thu Jun  2 07:42:25 2011 us=640049   local_port = 1194
Thu Jun  2 07:42:25 2011 us=640311   ifconfig_local = '172.17.88.254'
Thu Jun  2 07:42:25 2011 us=640324   ifconfig_remote_netmask = '255.255.0.0'
Thu Jun  2 07:42:25 2011 us=640337   ifconfig_noexec = DISABLED
Thu Jun  2 07:42:25 2011 us=640350   ifconfig_nowarn = DISABLED
Thu Jun  2 07:42:25 2011 us=643035   pkcs11_id_management = DISABLED
Thu Jun  2 07:42:25 2011 us=643057   server_network = 0.0.0.0
Thu Jun  2 07:42:25 2011 us=643072   server_netmask = 0.0.0.0
Thu Jun  2 07:42:25 2011 us=643086   server_bridge_ip = 0.0.0.0
Thu Jun  2 07:42:25 2011 us=643099   server_bridge_netmask = 0.0.0.0
Thu Jun  2 07:42:25 2011 us=643113   server_bridge_pool_start = 0.0.0.0
Thu Jun  2 07:42:25 2011 us=643126   server_bridge_pool_end = 0.0.0.0
Thu Jun  2 07:42:25 2011 us=643139   push_entry = 'route 172.17.88.254 255.255.0.0'
Thu Jun  2 07:42:25 2011 us=643152   push_entry = 'redirect-gateway def1'
Thu Jun  2 07:42:25 2011 us=643164   push_entry = 'redirect-gateway 172.17.88.254'
Thu Jun  2 07:42:25 2011 us=643177   push_entry = 'dhcp-option DNS 172.17.88.254'
Thu Jun  2 07:42:25 2011 us=643189   push_entry = 'ping 10'
Thu Jun  2 07:42:25 2011 us=643202   push_entry = 'ping-restart 120'
Thu Jun  2 07:42:25 2011 us=643214   ifconfig_pool_defined = ENABLED
Thu Jun  2 07:42:25 2011 us=643228   ifconfig_pool_start = 172.17.88.100
Thu Jun  2 07:42:25 2011 us=643241   ifconfig_pool_end = 172.17.88.159
Thu Jun  2 07:42:25 2011 us=643255   ifconfig_pool_netmask = 255.255.0.0
Thu Jun  2 07:42:25 2011 us=643268   ifconfig_pool_persist_filename = '[UNDEF]'
Thu Jun  2 07:42:25 2011 us=643280   ifconfig_pool_persist_refresh_freq = 600
Thu Jun  2 07:42:25 2011 us=643292   n_bcast_buf = 256
Thu Jun  2 07:42:25 2011 us=643305   tcp_queue_limit = 64
Thu Jun  2 07:42:25 2011 us=643317   real_hash_size = 256
Thu Jun  2 07:42:25 2011 us=643329   virtual_hash_size = 256
Thu Jun  2 07:42:25 2011 us=643342   client_connect_script = '[UNDEF]'
Thu Jun  2 07:42:25 2011 us=643354   learn_address_script = '[UNDEF]'
Thu Jun  2 07:42:25 2011 us=643366   client_disconnect_script = '[UNDEF]'
Thu Jun  2 07:42:25 2011 us=643379   client_config_dir = '[UNDEF]'
Thu Jun  2 07:42:25 2011 us=643391   ccd_exclusive = DISABLED
Thu Jun  2 07:42:25 2011 us=643403   tmp_dir = '[UNDEF]'
Thu Jun  2 07:42:25 2011 us=643416   push_ifconfig_defined = DISABLED
Thu Jun  2 07:42:25 2011 us=643429   push_ifconfig_local = 0.0.0.0
Thu Jun  2 07:42:25 2011 us=643442   push_ifconfig_remote_netmask = 0.0.0.0
Thu Jun  2 07:42:25 2011 us=643455   enable_c2c = ENABLED
Thu Jun  2 07:42:25 2011 us=643467   duplicate_cn = ENABLED
Thu Jun  2 07:42:25 2011 us=643480   cf_max = 0
Thu Jun  2 07:42:25 2011 us=643492   cf_per = 0
Thu Jun  2 07:42:25 2011 us=643504   max_clients = 1024
Thu Jun  2 07:42:25 2011 us=643522   max_routes_per_client = 256
Thu Jun  2 07:42:25 2011 us=643535   auth_user_pass_verify_script = '[UNDEF]'
Thu Jun  2 07:42:25 2011 us=643555   auth_user_pass_verify_script_via_file = DISABLED
Thu Jun  2 07:42:25 2011 us=643568   ssl_flags = 0
Thu Jun  2 07:42:25 2011 us=643581   port_share_host = '[UNDEF]'
Thu Jun  2 07:42:25 2011 us=643593   port_share_port = 0
Thu Jun  2 07:42:25 2011 us=643605   client = DISABLED
Thu Jun  2 07:42:25 2011 us=643618   pull = DISABLED
Thu Jun  2 07:42:25 2011 us=643630   auth_user_pass_file = '[UNDEF]'
Thu Jun  2 07:42:25 2011 us=643646 OpenVPN 2.1.1 i686-redhat-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Jan  5 2010
Thu Jun  2 07:42:25 2011 us=652892 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Thu Jun  2 07:42:25 2011 us=730901 Diffie-Hellman initialized with 1024 bit key
Thu Jun  2 07:42:29 2011 us=624837 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Thu Jun  2 07:42:29 2011 us=656829 WARNING: file '/root/openvpn/server.key' is group or others accessible
Thu Jun  2 07:42:29 2011 us=678663 TLS-Auth MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Thu Jun  2 07:42:29 2011 us=683938 TUN/TAP device tap0 opened
Thu Jun  2 07:42:29 2011 us=687549 TUN/TAP TX queue length set to 100
Thu Jun  2 07:42:29 2011 us=694943 /sbin/ip link set dev tap0 up mtu 1500
Thu Jun  2 07:42:29 2011 us=696367 /sbin/ip addr add dev tap0 172.17.88.254/16 broadcast 172.17.255.255
Thu Jun  2 07:42:29 2011 us=697822 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Jun  2 07:42:29 2011 us=697878 Listening for incoming TCP connection on 10.0.13.26:1194
Thu Jun  2 07:42:29 2011 us=697907 Socket Buffers: R=[87380->131072] S=[16384->131072]
Thu Jun  2 07:42:29 2011 us=697927 TCPv4_SERVER link local (bound): 10.0.13.26:1194
Thu Jun  2 07:42:29 2011 us=697940 TCPv4_SERVER link remote: [undef]
Thu Jun  2 07:42:29 2011 us=697963 MULTI: multi_init called, r=256 v=256
Thu Jun  2 07:42:29 2011 us=697997 IFCONFIG POOL: base=172.17.88.100 size=60
Thu Jun  2 07:42:29 2011 us=698030 MULTI: TCP INIT maxclients=1024 maxevents=1028
Thu Jun  2 07:42:29 2011 us=698065 Initialization Sequence Completed
Thu Jun  2 07:42:33 2011 us=696788 MULTI: multi_create_instance called
Thu Jun  2 07:42:33 2011 us=696860 Re-using SSL/TLS context
Thu Jun  2 07:42:33 2011 us=696897 LZO compression initialized
Thu Jun  2 07:42:33 2011 us=697004 Control Channel MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Thu Jun  2 07:42:33 2011 us=697036 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Jun  2 07:42:33 2011 us=697082 Local Options String: 'V4,dev-type tap,link-mtu 1576,tun-mtu 1532,proto TCPv4_SERVER,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Thu Jun  2 07:42:33 2011 us=697096 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1576,tun-mtu 1532,proto TCPv4_CLIENT,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Thu Jun  2 07:42:33 2011 us=697120 Local Options hash (VER=V4): '3e6d1056'
Thu Jun  2 07:42:33 2011 us=697139 Expected Remote Options hash (VER=V4): '31fdf004'
Thu Jun  2 07:42:33 2011 us=697175 TCP connection established with xxx.xxx.xxx.27:1194
Thu Jun  2 07:42:33 2011 us=697194 Socket Buffers: R=[131072->131072] S=[131072->131072]
Thu Jun  2 07:42:33 2011 us=697212 TCPv4_SERVER link local: [undef]
Thu Jun  2 07:42:33 2011 us=697226 TCPv4_SERVER link remote: xxx.xxx.xxx.27:1194
RThu Jun  2 07:42:33 2011 us=697426 xxx.xxx.xxx.27:1194 TLS: Initial packet from xxx.xxx.xxx.27:1194, sid=eb028a74 ab4b550e
WRRWWWWRWRWRWWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRRRRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRThu Jun  2 07:42:34 2011 us=212829 xxx.xxx.xxx.27:1194 VERIFY OK: depth=1, /C=CZ/ST=VYSOCINA/L=Chotebor/O=xxxas_/OU=IT/CN=pam/emailAddress=it.manager@xxx.cz
Thu Jun  2 07:42:34 2011 us=213058 xxx.xxx.xxx.27:1194 VERIFY OK: depth=0, /C=CZ/ST=VYSOCINA/O=xxxas_/OU=IT/CN=test/emailAddress=it.manager@xxx.cz
WRWRWRWWWWRWRWWWRWRWRWRWRRRRWRWRWRThu Jun  2 07:42:34 2011 us=534230 xxx.xxx.xxx.27:1194 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jun  2 07:42:34 2011 us=534281 xxx.xxx.xxx.27:1194 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun  2 07:42:34 2011 us=534347 xxx.xxx.xxx.27:1194 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jun  2 07:42:34 2011 us=534363 xxx.xxx.xxx.27:1194 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
WWWRRThu Jun  2 07:42:34 2011 us=805300 xxx.xxx.xxx.27:1194 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Jun  2 07:42:34 2011 us=805345 xxx.xxx.xxx.27:1194 [test] Peer Connection Initiated with xxx.xxx.xxx.27:1194
WWRThu Jun  2 07:42:36 2011 us=745318 test/xxx.xxx.xxx.27:1194 PUSH: Received control message: 'PUSH_REQUEST'
Thu Jun  2 07:42:36 2011 us=745423 test/xxx.xxx.xxx.27:1194 SENT CONTROL [test]: 'PUSH_REPLY,route 172.17.88.254 255.255.0.0,redirect-gateway def1,redirect-gateway 172.17.88.254,dhcp-option DNS 172.17.88.254,ping 10,ping-restart 120,ifconfig 172.17.88.100 255.255.0.0' (status=1)
WWWWRRWWRWRW
log clienta
Thu Jun 02 07:42:11 2011 us=203000 TCP/UDP: Closing socket
Thu Jun 02 07:42:11 2011 us=203000 SIGUSR1[soft,connection-reset] received, process restarting
Thu Jun 02 07:42:11 2011 us=203000 Restart pause, 5 second(s)
Thu Jun 02 07:42:16 2011 us=203000 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Jun 02 07:42:16 2011 us=203000 Re-using SSL/TLS context
Thu Jun 02 07:42:16 2011 us=203000 LZO compression initialized
Thu Jun 02 07:42:16 2011 us=203000 Control Channel MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Thu Jun 02 07:42:16 2011 us=203000 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Jun 02 07:42:16 2011 us=203000 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Jun 02 07:42:16 2011 us=203000 Local Options String: 'V4,dev-type tap,link-mtu 1576,tun-mtu 1532,proto TCPv4_CLIENT,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Thu Jun 02 07:42:16 2011 us=203000 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1576,tun-mtu 1532,proto TCPv4_SERVER,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Thu Jun 02 07:42:16 2011 us=203000 Local Options hash (VER=V4): '31fdf004'
Thu Jun 02 07:42:16 2011 us=203000 Expected Remote Options hash (VER=V4): '3e6d1056'
Thu Jun 02 07:42:16 2011 us=203000 Attempting to establish TCP connection with xxx.xxx.xxx.5:1194
Thu Jun 02 07:42:19 2011 us=703000 TCP: connect to xxx.xxx.xxx.5:1194 failed, will try again in 5 seconds: Connection refused (WSAECONNREFUSED)
Thu Jun 02 07:42:24 2011 us=765000 TCP connection established with xxx.xxx.xxx.5:1194
Thu Jun 02 07:42:24 2011 us=765000 TCPv4_CLIENT link local (bound): [undef]:1194
Thu Jun 02 07:42:24 2011 us=765000 TCPv4_CLIENT link remote: xxx.xxx.xxx.5:1194
Thu Jun 02 07:42:24 2011 us=781000 TLS: Initial packet from xxx.xxx.xxx.5:1194, sid=1b325f34 84054665
Thu Jun 02 07:42:24 2011 us=984000 VERIFY OK: depth=1, /C=CZ/ST=VYSOCINA/L=Chotebor/O=xxx.as_/OU=IT/CN=pam/emailAddress=it.manager@xxx..cz
Thu Jun 02 07:42:24 2011 us=984000 VERIFY OK: nsCertType=SERVER
Thu Jun 02 07:42:24 2011 us=984000 VERIFY OK: depth=0, /C=CZ/ST=VYSOCINA/O=xxx.as_/OU=IT/CN=pam/emailAddress=it.manager@xxx..cz
Thu Jun 02 07:42:25 2011 us=828000 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jun 02 07:42:25 2011 us=828000 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 02 07:42:25 2011 us=828000 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jun 02 07:42:25 2011 us=828000 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 02 07:42:25 2011 us=843000 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Jun 02 07:42:25 2011 us=843000 [pam] Peer Connection Initiated with xxx.xxx.xxx.5:1194
Thu Jun 02 07:42:27 2011 us=828000 SENT CONTROL [pam]: 'PUSH_REQUEST' (status=1)
Thu Jun 02 07:42:28 2011 us=15000 PUSH: Received control message: 'PUSH_REPLY,route 172.17.88.254 255.255.0.0,redirect-gateway def1,redirect-gateway 172.17.88.254,dhcp-option DNS 172.17.88.254,ping 10,ping-restart 120,ifconfig 172.17.88.100 255.255.0.0'
Thu Jun 02 07:42:28 2011 us=15000 Options error: unknown --redirect-gateway flag: 172.17.88.254
Thu Jun 02 07:42:28 2011 us=15000 OPTIONS IMPORT: timers and/or timeouts modified
Thu Jun 02 07:42:28 2011 us=15000 OPTIONS IMPORT: --ifconfig/up options modified
Thu Jun 02 07:42:28 2011 us=15000 OPTIONS IMPORT: route options modified
Thu Jun 02 07:42:28 2011 us=15000 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Thu Jun 02 07:42:28 2011 us=15000 Preserving previous TUN/TAP instance: Připojení k místní síti 3
Thu Jun 02 07:42:28 2011 us=15000 Initialization Sequence Completed
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: thor5 02. 06. 2011, 08:45:31
Citace
Thu Jun 02 07:42:28 2011 us=15000 PUSH: Received control message: 'PUSH_REPLY,route 172.17.88.254 255.255.0.0,redirect-gateway def1,redirect-gateway 172.17.88.254,dhcp-option DNS 172.17.88.254,ping 10,ping-restart 120,ifconfig 172.17.88.100 255.255.0.0'
Thu Jun 02 07:42:28 2011 us=15000 Options error: unknown --redirect-gateway flag: 172.17.88.254

ono totiz prikaz redirect-gateway zna parametry jen local, def1 a jeste par dalsich, ale ne IP adresu. tento prikaz tedy vyhodte. Bude tam jen redirect-gateway def1, ten druhy s IP ne. (IP adresu brany si vymysli klient sam podle IP a routy serveru s VPN.)

Doufam, ze tohle je posledni chytak :)
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 02. 06. 2011, 09:24:36

ono totiz prikaz redirect-gateway zna parametry jen local, def1 a jeste par dalsich, ale ne IP adresu. tento prikaz tedy vyhodte. Bude tam jen redirect-gateway def1, ten druhy s IP ne. (IP adresu brany si vymysli klient sam podle IP a routy serveru s VPN.)

Doufam, ze tohle je posledni chytak :)
[/quote]
dle vaší rady jsme to zapoznámkoval, furt to nejde.
log clienta:
WRWWRWRRRWWRWRWRRWWRWRWRRWWRWRWRRWWRWRWRRWWRWRWRRWWRWWWWRWRRRWWWRWRWRRWWRWRWRRWWRWRWRRWWRWRWRRRRRRRWWRWRWRRWWRWRWRRWWWWWRRRRRRWWWRRRRWWrWrWrWrWrWrWrWrWrWrWrWrWrWrWrWRrWrWrWrWrWrWrWrWrWRwRwWRThu Jun 02 09:21:04 2011 us=750000 Current Parameter Settings:
Thu Jun 02 09:21:04 2011 us=750000   config = 'client.ovpn'
Thu Jun 02 09:21:05 2011 us=406000   server_network = 0.0.0.0
Thu Jun 02 09:21:05 2011 us=406000   server_netmask = 0.0.0.0
Thu Jun 02 09:21:05 2011 us=406000   server_bridge_ip = 0.0.0.0
Thu Jun 02 09:21:05 2011 us=453000   server_bridge_netmask = 0.0.0.0
Thu Jun 02 09:21:05 2011 us=453000   server_bridge_pool_start = 0.0.0.0
Thu Jun 02 09:21:05 2011 us=453000   server_bridge_pool_end = 0.0.0.0
Thu Jun 02 09:21:05 2011 us=453000   ifconfig_pool_defined = DISABLED
Thu Jun 02 09:21:05 2011 us=453000   ifconfig_pool_start = 0.0.0.0
Thu Jun 02 09:21:05 2011 us=453000   ifconfig_pool_end = 0.0.0.0
Thu Jun 02 09:21:05 2011 us=453000   ifconfig_pool_netmask = 0.0.0.0
Thu Jun 02 09:21:05 2011 us=453000   ifconfig_pool_persist_filename = '[UNDEF]'
Thu Jun 02 09:21:05 2011 us=453000   ifconfig_pool_persist_refresh_freq = 600
Thu Jun 02 09:21:05 2011 us=562000 OpenVPN 2.1.4 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov  8 2010
Thu Jun 02 09:21:05 2011 us=562000 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Jun 02 09:21:05 2011 us=890000 LZO compression initialized
Thu Jun 02 09:21:05 2011 us=890000 Control Channel MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Thu Jun 02 09:21:05 2011 us=906000 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Jun 02 09:21:05 2011 us=921000 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Jun 02 09:21:05 2011 us=921000 Local Options String: 'V4,dev-type tap,link-mtu 1576,tun-mtu 1532,proto TCPv4_CLIENT,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Thu Jun 02 09:21:05 2011 us=921000 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1576,tun-mtu 1532,proto TCPv4_SERVER,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Thu Jun 02 09:21:05 2011 us=921000 Local Options hash (VER=V4): '31fdf004'
Thu Jun 02 09:21:05 2011 us=921000 Expected Remote Options hash (VER=V4): '3e6d1056'
Thu Jun 02 09:21:05 2011 us=921000 Attempting to establish TCP connection with xxx..5:1194
Thu Jun 02 09:21:05 2011 us=921000 TCP connection established with xxx..5:1194
Thu Jun 02 09:21:05 2011 us=921000 TCPv4_CLIENT link local (bound): [undef]:1194
Thu Jun 02 09:21:05 2011 us=921000 TCPv4_CLIENT link remote: xxx..5:1194
Thu Jun 02 09:21:05 2011 us=937000 TLS: Initial packet from xxx..5:1194, sid=a468ffc3 fb79c212
Thu Jun 02 09:21:06 2011 us=171000 VERIFY OK: depth=1, /C=CZ/ST=VYSOCINA/L=Chotebor/O=xxx.as_/OU=IT/CN=pam/emailAddress=it.manager@xxx..cz
Thu Jun 02 09:21:06 2011 us=171000 VERIFY OK: nsCertType=SERVER
Thu Jun 02 09:21:06 2011 us=171000 VERIFY OK: depth=0, /C=CZ/ST=VYSOCINA/O=xxx.as_/OU=IT/CN=pam/emailAddress=it.manager@xxx..cz
Thu Jun 02 09:21:07 2011 us=62000 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jun 02 09:21:07 2011 us=62000 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 02 09:21:07 2011 us=62000 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jun 02 09:21:07 2011 us=62000 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 02 09:21:07 2011 us=78000 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Jun 02 09:21:07 2011 us=78000 [pam] Peer Connection Initiated with xxx..5:1194
Thu Jun 02 09:21:09 2011 us=390000 SENT CONTROL [pam]: 'PUSH_REQUEST' (status=1)
Thu Jun 02 09:21:09 2011 us=578000 PUSH: Received control message: 'PUSH_REPLY,route 172.17.88.254 255.255.0.0,redirect-gateway def1,dhcp-option DNS 172.17.88.254,ping 10,ping-restart 120,ifconfig 172.17.88.100 255.255.0.0'
Thu Jun 02 09:21:09 2011 us=578000 OPTIONS IMPORT: timers and/or timeouts modified
Thu Jun 02 09:21:09 2011 us=578000 OPTIONS IMPORT: --ifconfig/up options modified
Thu Jun 02 09:21:09 2011 us=578000 OPTIONS IMPORT: route options modified
Thu Jun 02 09:21:09 2011 us=578000 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Thu Jun 02 09:21:09 2011 us=609000 ROUTE default_gateway=10.200.0.254
Thu Jun 02 09:21:09 2011 us=609000 OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options
Thu Jun 02 09:21:09 2011 us=609000 OpenVPN ROUTE: failed to parse/resolve route for host/network: 172.17.88.254
Thu Jun 02 09:21:09 2011 us=609000 TAP-WIN32 device [Připojení k místní síti 3] opened: \\.\Global\{91D8FE2B-1684-45F3-B02F-FEE9EB1A89B1}.tap
Thu Jun 02 09:21:09 2011 us=625000 TAP-Win32 Driver Version 9.7
Thu Jun 02 09:21:09 2011 us=625000 TAP-Win32 MTU=1500
Thu Jun 02 09:21:09 2011 us=640000 Notified TAP-Win32 driver to set a DHCP IP/netmask of 172.17.88.100/255.255.0.0 on interface {91D8FE2B-1684-45F3-B02F-FEE9EB1A89B1} [DHCP-serv: 172.17.0.0, lease-time: 31536000]
Thu Jun 02 09:21:09 2011 us=640000 DHCP option string: 0604ac11 58fe
Thu Jun 02 09:21:09 2011 us=640000 Successful ARP Flush on interface [3] {91D8FE2B-1684-45F3-B02F-FEE9EB1A89B1}
Thu Jun 02 09:21:13 2011 us=703000 TEST ROUTES: 0/0 succeeded len=0 ret=1 a=0 u/d=up
Thu Jun 02 09:21:13 2011 us=703000 NOTE: unable to redirect default gateway -- VPN gateway parameter (--route-gateway or --ifconfig) is missing
Thu Jun 02 09:21:13 2011 us=703000 Initialization Sequence Completed


Díky za pomoc.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: thor5 02. 06. 2011, 09:51:29
zajimave. Krici ze nezna cestu k defaultni route. Pridejte tedy jak log pozaduje do konfigurace  route-gateway 172.17.88.254. (Jeste se mi nestalo ze by nepochopil z dodanych rout kam to ma smerovat, ale je pravda, ze vetsinou pouzivam tun, misto tap coz je pro presmerovani veskereho provozu kapku jine)
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 02. 06. 2011, 10:34:59
zajimave. Krici ze nezna cestu k defaultni route. Pridejte tedy jak log pozaduje do konfigurace  route-gateway 172.17.88.254. (Jeste se mi nestalo ze by nepochopil z dodanych rout kam to ma smerovat, ale je pravda, ze vetsinou pouzivam tun, misto tap coz je pro presmerovani veskereho provozu kapku jine)
to samé, myslíte že to mám změnit na tun?
případně jak?
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: thor5 02. 06. 2011, 10:59:19
v logu stejna hlaska? tak tomu prestavam rozumnet... ted je to o tom, ze klient konecne pochopil co je brana, ale tu branu mu nejak musite sdelit a to mel zaridit ten route-gateway.

co se tyce tap/tun: v principu by to melo byt jedno, jde jen o to, ze v tap se posila uplne vse, co se v danem segmentu site, kde je nakonfigurovano vpn, nachazi. Tzn. i pro vzdaleny PC nepotrebne veci. V modu tun je to ciste routovani, takze VPN ma vlastni segment site a co se do nej/z nej/ posila, je zalezitost jen toho, jak se nastavi push route a co routuje defaultni brana. Takze muzete to zkusit, ale predpokladam, ze se vyskytnou jine chyby, eventualne projde vse bez chyb a nepujde to, protoze budou blbe nakonfigurovane routy (to chce prave predstavu jak routovani funguje). Ale jinak si na tun nemuzu stezovat :) provozuju pres nej i sambu.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 02. 06. 2011, 11:06:50
v logu stejna hlaska? tak tomu prestavam rozumnet... ted je to o tom, ze klient konecne pochopil co je brana, ale tu branu mu nejak musite sdelit a to mel zaridit ten route-gateway.

co se tyce tap/tun: v principu by to melo byt jedno, jde jen o to, ze v tap se posila uplne vse, co se v danem segmentu site, kde je nakonfigurovano vpn, nachazi. Tzn. i pro vzdaleny PC nepotrebne veci. V modu tun je to ciste routovani, takze VPN ma vlastni segment site a co se do nej/z nej/ posila, je zalezitost jen toho, jak se nastavi push route a co routuje defaultni brana. Takze muzete to zkusit, ale predpokladam, ze se vyskytnou jine chyby, eventualne projde vse bez chyb a nepujde to, protoze budou blbe nakonfigurovane routy (to chce prave predstavu jak routovani funguje). Ale jinak si na tun nemuzu stezovat :) provozuju pres nej i sambu.

no právě.
jak jsemjiž psal, cílem je aby client se dostal na stroj 10.0.0.177 umístěný v lokální síti serveru openvpn. vše ostatní je druhotný... clientů bude asi tak 10-12. a právě je mi taky divný že to tu routu nebere. nemáte náhodou funkční konfigurák který by mi to řešil? díky.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: thor5 02. 06. 2011, 12:10:38
aktualne jsem musel zmizet do skoly. jakmile se vratim, tak neco zkusim pro tun sesmolit :)
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 02. 06. 2011, 14:37:29
aktualne jsem musel zmizet do skoly. jakmile se vratim, tak neco zkusim pro tun sesmolit :)

ok díky. rád počkám.
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: thor5 02. 06. 2011, 18:46:55
tak pokud jsem se nikde nesekl, melo by fungovat toto:

server
------
Kód: [Vybrat]
proto tcp  #nebo tcp-server, zalezi na verzi openvpn
dev tun

ca /root/openvpn/ca.crt
cert /root/openvpn/server.crt
key /root/openvpn/server.key
dh /root/openvpn/dh1024.pem

server 172.17.88.0 255.255.255.0 #sit se rozdeli na \30 podsite, pricemz .1 je vzdy server.
                                 #pak bude .0-sit serveru,.1-server,.2-tunel na serveru,.3-broadcast
                                 #.4-sit klienta 1,.5-tunel na klienta1,.6-ip klienta1,.7-broadcast
                                 #.8-sit klienta 2,.9-tunel na klienta2,.10-ip klienta2,.11-broadcast,...
push "redirect-gateway def1"     #donuceni klientu k presmerovani toku pres server
push "dhcp-option DNS 10.200.0.254"     #pripadne 10.0.0.255, kterou vyuziva i server, nevim jaky DNS pouzivate
                                        #pokud ma byt server zaroven i DNS, potrebujete jeste nejaky
                                        #DNS (proxy) server (bind, nebo jednodussi dnsmasq,
                                        # ale ten je zaroven i dhcp, i kdyz to lze vypnout)

keepalive 10 120
cipher AES-256-CBC   # silnejsi AES
comp-lzo

ifconfig-pool-persist openvpn-ipp.txt #db IP klientu

duplicate-cn
client-to-client
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log #aktivni relace
verb 3
----------------------------------------------------
klient
------
Kód: [Vybrat]
client
dev tun
proto tcp
remote XY 1194
resolv-retry 10
nobind
persist-key
ca "ca.crt"
cert "klient1.crt"
key "klient1.key"
cipher AES-256-CBC
comp-lzo
verb 3
ostatni IP adresy v ostatnich sitich jsou z VPN dostupne, pokud na ne muze i server...
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: thor5 02. 06. 2011, 21:50:33
jeste me napadlo: ma ten server na sobe povolene routovani? bez toho to nepojede ani s tap ani s tun...
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: Jarda001 03. 06. 2011, 12:28:19
jeste me napadlo: ma ten server na sobe povolene routovani? bez toho to nepojede ani s tap ani s tun...

jak jej povolím nebo jak to zjistím?
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: rob 03. 06. 2011, 16:17:06
Je to desnej bordel. Jak jsem psal uz drive, dejte to na http://pastebin.com/
aktualni
vpn cfg serveru
vpn cfg klienta
vpn logy spojeni serveru
vpn logy spojeni klienta
vypis routovaci tabulky klienta
vypis routovaci tabulky serveru

potom nam napis, co ti vypise prikaz na serveru
Kód: [Vybrat]
cat /proc/sys/net/ipv4/ip_forward
Muzes sem hodit i vypis iptables, ale hlavne tu routovaci tabulku na serveru
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: thor5 04. 06. 2011, 00:44:02
jen pro uplnost a vysvetleni proc ten prikaz: v ip_forward je bud 0 ze je routovani vyple, nebo 1, ze je zapnute :)
Název: Re: OpenVPN nepoužívá nastavené porty
Přispěvatel: izidor 27. 06. 2011, 23:19:11
no nevim zda to bude k veci, ale pokud funguje ping na VPN server, ale uz ne na dalsi servery v te lokalni siti za VPN serverem, tak dost casto byva problem ten, ze ten paket s pingem na ten server na lokalni siti dorazi, ale odpoved uz se vraci jinudy, protoze ten server ve vnitrni siti nema ani potuchy o tom, ze pakety pro VPN je potreba smerovat na VPN server a nikoliv na defaultni gateway...