OpenVPN a statická IP adresa

Kremilek

OpenVPN a statická IP adresa
« kdy: 29. 10. 2014, 12:15:08 »
Dobrý den,

prosím Vás, nemáte někdo zkušenosti s nastavením OpenVPN (server i klient pod Windows), aby správně fungovalo statické přidělování IP adres.

Server konfig:
Kód: [Vybrat]
tls-server
dev tap
mode server
dev-node server-new
ifconfig IPadresa maska
client-config-dir ccd
port Cislo portu
proto udp
tun-mtu 1500
dh dh2048.pem
ca CA.crt
cert Server.crt
key Server.pem
tls-auth ta.key 0
persist-tun
persist-key
comp-lzo
keepalive 15 120
ping-timer-rem
log logy_new.log
verb 3
client-to-client

Client:
Kód: [Vybrat]
remote IPAdresaServeru
port cislo_portu
tls-client
dev-node vpn-client
ca ca.crt
cert client.crt
key client.key
persist-key
persist-tun
ns-cert-type server
tls-auth ta.key 1
verb 5
mute 3
resolv-retry infinite
nobind
dev tap
proto udp
cipher bf-cbc
auth sha1
comp-lzo
tun-mtu 1500

Ve složce ccd mám soubory dle názvu CN v certifikátu a v něm:
Kód: [Vybrat]
ifconfig-push IP_adresa Maska
Pokud je klientem Linux (dd-wrt), tak vše funguje správně. Pokud Windows, tak IP adresu nedostane.
V logu serveru:
Kód: [Vybrat]
ip_adresa:12976 TLS: Initial packet from [AF_INET]ip_adresa:12976, sid=4063077a 7ee15fef
ip_adresa:12976 VERIFY OK: depth=1, C=CZ, L=Město, O=Firma, CN=Firma CA, emailAddress=email@fima.cz
ip_adresa:12976 VERIFY OK: depth=0, C=CZ, L=Město, O=Firma, CN=klient1, emailAddress=email@fima.cz
ip_adresa:12976 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
ip_adresa:12976 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
ip_adresa:12976 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
ip_adresa:12976 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
ip_adresa:12976 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
ip_adresa:12976 [klient1] Peer Connection Initiated with [AF_INET]ip_adresa:12976
OPTIONS IMPORT: reading client specific options from: ccd\klient1
klient1/ip_adresa:12976 MULTI: Learn: 0e:cf:17:ed:d7:91 -> klient1/ip_adresa:12976

Děkuji za rady.


Re:OpenVPN a statická IP adresa
« Odpověď #1 kdy: 29. 10. 2014, 13:03:05 »
V logu serveru by po OPTIONS IMPORT melo byt neco na tenhle zpusob (verb 4):

Citace
Wed Oct 29 12:47:45 2014 us=337017 stroj.nekde.cz/XXX.XXX.XXX.XXX:YYYY PUSH: Received control message: 'PUSH_REQUEST'
Wed Oct 29 12:47:45 2014 us=337866 stroj.nekde.cz/XXX.XXX.XXX.XXX:YYYY send_push_reply(): safe_cap=940
Wed Oct 29 12:47:45 2014 us=338410 stroj.nekde.cz/XXX.XXX.XXX.XXX:YYYY SENT CONTROL [stroj.nekde.cz]: 'PUSH_REPLY,route 10.1.0.0 255.255.0.0,topology net30,ping 10,ping-restart 120,route 10.0.3.0 255.255.255.0,ifconfig 10.1.0.4 10.1.0.1' (status=1)
(tou posledni polozkou se nastavuje IP adresa klienta na 10.1.0.4)

Pokud to tam nemas, tak ten klient nejspis nepozadal server o konfiguraci, takze ji nedostal. Asi by nebylo od veci se podivat i na log klienta, co se tam deje za nepristojnosti.

Kremilek

Re:OpenVPN a statická IP adresa
« Odpověď #2 kdy: 29. 10. 2014, 13:11:17 »
Jo, ten log odpovídá tomu, když se ptá to dd-wrt. Ale v tom ccd, tam mám masku místo IP adresu serveru.
V logu klienta je, že se úspěšně připojil. Jinak nic zvláštního tam není. Pouze nedostane IP adresu.

Re:OpenVPN a statická IP adresa
« Odpověď #3 kdy: 29. 10. 2014, 13:18:03 »
Ale v tom ccd, tam mám masku místo IP adresu serveru.
Zkus to s adresou serveru. Plus to vypada, ze Windowsi tap driver ma nejaky divny omezeni nebo co:
Citace
Each pair of ifconfig-push addresses represent the virtual client and server IP endpoints. They must be taken from successive /30 subnets in order to be compatible with Windows clients and the TAP-Windows driver. Specifically, the last octet in the IP address of each endpoint pair must be taken from this set:
https://openvpn.net/index.php/open-source/documentation/howto.html

Re:OpenVPN a statická IP adresa
« Odpověď #4 kdy: 29. 10. 2014, 13:20:02 »
I kdyy vlastne stejne je to divny, protoze by tam mel byt minimalne ten PUSH_REQUEST od klienta.


Lol Phirae

Re:OpenVPN a statická IP adresa
« Odpověď #5 kdy: 29. 10. 2014, 13:25:40 »
Pátráš zcela zbytečně, pod Windows to prostě nefunguje.

Kremilek

Re:OpenVPN a statická IP adresa
« Odpověď #6 kdy: 29. 10. 2014, 14:00:56 »
Lol Phirae: Je nějaká článek o tom, že to nefunguje - nebo něco podobného.
Mirek Prýmek: Zkoušel jsem i aktualizovat verze a pod a stejně nepomohlo. Možná má Lol pravdu  :(

Dá se to vyřešit i nějak jinak?

Re:OpenVPN a statická IP adresa
« Odpověď #7 kdy: 29. 10. 2014, 15:35:17 »
Pátráš zcela zbytečně, pod Windows to prostě nefunguje.
Já jsem kdysi dávno na Widlích tohle rozchozený měl - akorátže to byly ještě XPčka nebo co.

Dá se to vyřešit i nějak jinak?
Buď něčím, co widle umí (nějakej IPsec?), nebo před to předhodit malej Linuxovej router - Mikrotik, Raspberry...

smoofy

  • *****
  • 1 056
    • Zobrazit profil
    • E-mail
Re:OpenVPN a statická IP adresa
« Odpověď #8 kdy: 29. 10. 2014, 15:47:02 »
Pokousel sem se to rovnez zprovoznit mezi mikrotikem a stanicema. Jak psal Lol Phirae, na linuxu to facha bez problemu, ale pro windows stanice se to muselo delat point-to-point, tedy pridelovalo to jednu ip na mk na kazdou ip u windows.

j

Re:OpenVPN a statická IP adresa
« Odpověď #9 kdy: 29. 10. 2014, 16:59:57 »
Pátráš zcela zbytečně, pod Windows to prostě nefunguje.

Se obavam, ze mas pravdu, nepamatuju si uz presne co, ale vim, ze ve widlich to bylo proto, ze driver proste neco neumel a neslo to rozchodit (w7). Taky sem se stim moril asi tejden, a rikal si, ze sem uplne blbej, az sem nakonec dohledal, ze proste smolik.

Radek

Re:OpenVPN a statická IP adresa
« Odpověď #10 kdy: 29. 10. 2014, 17:04:24 »
Ahoj,

zkontroloval bych prava. Zdali OpenVPN ma prava admina aby mohla nastavovat IP a pod. Urcite jsou tato prava potreba pro pridani specifickych routovacich pravidel.

Jinak co se tykalo problemu s IP ze to neslo pod win, tak to byl problem s TUN. IP vrstva. Ale i to jde myslim od verze 2.x resit. Ale tazatel zde ma pouzito TAP, tam se emuluje ethnernet, takze problem bych opravdu cekal v pravech. Ja mam napriklad nastaveno spoustet OpenVPN GUI s pravama admina.

Radek

Loso

Re:OpenVPN a statická IP adresa
« Odpověď #11 kdy: 29. 10. 2014, 17:50:42 »
hm, pre widly odporucam skusit/pouzivat "topology subnet" a "dev tun"

tomATOM

Re:OpenVPN a statická IP adresa
« Odpověď #12 kdy: 29. 10. 2014, 21:28:34 »
Možná by pomohlo přidat do konfiguráku klienta
Kód: [Vybrat]
pull

Lol Phirae

Re:OpenVPN a statická IP adresa
« Odpověď #13 kdy: 29. 10. 2014, 21:32:56 »
hm, pre widly odporucam skusit/pouzivat "topology subnet" a "dev tun"

Ano, což ovšem funguje jen proto, že žádná další IP adresa není v tom /30 subnetu k dispozici (zbylé tři zabere síť, server a broadcast). Bohužel rozsekání sítě na mraky /30 subnetů je dost často naprosto nežádoucí.

Re:OpenVPN a statická IP adresa
« Odpověď #14 kdy: 29. 10. 2014, 21:34:59 »
Neřeš to přes ccd, ale zkus v konfiguraci serveru OpenVPN nastavit (příklad):

#ifconfig-pool ip-od ip-do maska
ifconfig-pool 10.0.0.1 10.0.0.254 255.255.255.0
ifconfig-pool-persist cn_to_ip.txt

kde v cn_to_ip.txt budeš mít dvojice cn - ip_adresa oddělené čárkami
cn1,                   10.0.0.1
cn2,                   10.0.0.8

Upozornění klienta ve win 7-8 pouštěj s administrátorským oprávněním