URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3314
[ Назад ]

Исходное сообщение
"OpenVPN не стартует"
Отправлено Pluto , 28-Май-07 18:40

Здравствуйте, товарищи

Происходит следующее

Mon May 28 19:14:58 2007 OpenVPN 2.0.9 i686-suse-linux [SSL] [LZO] [EPOLL] built on May 28 2007
Mon May 28 19:14:58 2007 TUN/TAP device tun0 opened
Mon May 28 19:14:58 2007 /sbin/ifconfig tun0 10.1.1.1 pointopoint 10.1.1.2 mtu 1500
Mon May 28 19:14:58 2007 UDPv4 link local (bound): [undef]:5555
Mon May 28 19:14:58 2007 UDPv4 link remote: [undef]

Конфиг сервера такой:

#office163
dev tun
port 5555
ifconfig 10.1.1.1 10.1.1.2
#up /usr/local/etc/openvpn/office163.up
#down /usr/local/etc/openvpn/office163.down
tls-server
dh dh1024.pem
ca ca.crt
cert office163.crt
key office163.key
#end office163

Подключать удалённых клиентов пока не пробовал - далеко идти. Подскажите плиз, это так и должно быть и просто надо подключиться снаружи, или это у меня руки кривые? (скорее всего руки) :)

Содержание

OpenVPN не стартует,Mikhail, 08:02 , 29-Май-07
- OpenVPN не стартует,Pluto, 08:41 , 29-Май-07
  - OpenVPN не стартует,Pluto, 09:11 , 29-Май-07
    - OpenVPN не стартует,злобный anonymous, 10:06 , 29-Май-07
      - OpenVPN не стартует,Pluto, 10:07 , 29-Май-07
        
        OpenVPN не стартует,злобный anonymous, 10:10 , 29-Май-07
- OpenVPN не стартует,Pluto, 17:30 , 29-Май-07
  - OpenVPN не стартует,Аноним, 20:25 , 29-Май-07
    - OpenVPN не стартует,Mikhail, 21:05 , 29-Май-07
      - OpenVPN не стартует,Злобный Anonymous, 22:17 , 29-Май-07
        
        OpenVPN не стартует,Pluto, 11:41 , 30-Май-07
        
        OpenVPN не стартует,ГЗЫ, 19:03 , 30-Май-07
        
        OpenVPN не стартует,Pluto, 19:09 , 30-Май-07
        
        OpenVPN не стартует,Anonymous, 20:05 , 30-Май-07
        
        OpenVPN не стартует,rapido, 18:58 , 31-Май-07
        
        OpenVPN не стартует,Pluto, 08:53 , 01-Июн-07
      - OpenVPN не стартует,Pluto, 14:01 , 30-Май-07
        
        OpenVPN не стартует,Mikhail, 19:26 , 30-Май-07
        
        OpenVPN не стартует,pluto, 19:52 , 30-Май-07
        
        OpenVPN не стартует,Anonymous, 20:07 , 30-Май-07
        
        OpenVPN не стартует,rapido, 18:40 , 31-Май-07
        
        OpenVPN не стартует,Pluto, 14:36 , 01-Июн-07
        
        OpenVPN не стартует,Pluto, 14:52 , 01-Июн-07
        
        OpenVPN не стартует,r0man00, 18:20 , 03-Июл-07
- OpenVPN не стартует,pluto, 16:46 , 02-Июн-07
  - OpenVPN не стартует,Pluto, 15:50 , 04-Июн-07

Сообщения в этом обсуждении

"OpenVPN не стартует"
Отправлено Mikhail , 29-Май-07 08:02

Так в чем проблема?
Openvpn в списке процессов есть?
Процесс на 5555 порту сеть слушает?
ifconfig после запуска что говорит (с его вывода начинать нужно было)?

"OpenVPN не стартует"
Отправлено Pluto , 29-Май-07 08:41

>Так в чем проблема?
>Openvpn в списке процессов есть?
>Процесс на 5555 порту сеть слушает?
>ifconfig после запуска что говорит (с его вывода начинать нужно было)?
Сорри, что дал мало инфы - торопился очень :)
Проблема в том, что после этого - никаких признаков жизни не подаёт, обратно в bash не возвращается.
В ifconfig появилось вот это:
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.1.1.1  P-t-P:10.1.1.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
На 5555м порту никто ничего не слушает :) nmapом не видно, телнетом connection refused
openvpn после
Tue May 29 09:13:30 2007 UDPv4 link remote: [undef]
Висит, ничего не показывает, молчит и всё. По ctrl+c терминируется - и в bash

"OpenVPN не стартует"
Отправлено Pluto , 29-Май-07 09:11

Пока висит - интерфейс есть. Как только ctrl+c её - интерфейс пропадает.

"OpenVPN не стартует"
Отправлено злобный anonymous , 29-Май-07 10:06

>Пока висит - интерфейс есть. Как только ctrl+c её - интерфейс пропадает.
>
а строку 'daemon' в конфиг добавлять не пробовали?
или запускать openvpn --daemon

"OpenVPN не стартует"
Отправлено Pluto , 29-Май-07 10:07

>>Пока висит - интерфейс есть. Как только ctrl+c её - интерфейс пропадает.
>>
>
>а строку 'daemon' в конфиг добавлять не пробовали?
>или запускать openvpn --daemon

Как раз собирался об этом написать... :))) Мне очень стыдно, правда :)

"OpenVPN не стартует"
Отправлено злобный anonymous , 29-Май-07 10:10

Бывает :)

"OpenVPN не стартует"
Отправлено Pluto , 29-Май-07 17:30

Теперь другая проблема - впн-трафик ходит только между клиентом и сервером.
Ситуация.
     впн-сервер                         впн-клиент
  +---------------+                 +---------------+
  |                        |        VPN        |               |
  |       10.1.1.2|<->-----------<->|10.1.1.1       |
  |                            |                 |               |
  |                           |                 |               |
  |                           |                 |               |
  |192.168.163.143|                 |192.168.82.2   |
  +-----+---------+                 +---------+-----+
        ^                                  ^
        |                                  |
        |                                  |
        |                                  |
  +-----+---+                +--+------+
  |Локальная|                |Локальная|
  |   сеть      |                |   сеть  |
  +---------+                +---------+
192.168.163.0                192.168.82.0
ВПН-соединение установлено, сервер и клиент друг друга пингуют по любому из адресов. Как с 192.168.163.143 на 192.168.82.2, так и наоборот. Но вот пропинговать с одного из них адрес подсети другого - никак. То есть с 192.168.82.2 пропинговать 192.168.163.253 (и любой другой) не получается.

Со стороны 192.168.163.143
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.163.0   0.0.0.0         255.255.255.0   U         0 0          0 eth0
192.168.82.0    10.1.1.1        255.255.255.0   UG        0 0          0 tap0
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth1
10.0.0.0        0.0.0.0         255.0.0.0       U         0 0          0 tap0
127.0.0.0       0.0.0.0         255.0.0.0       U         0 0          0 lo
0.0.0.0         192.168.0.20    0.0.0.0         UG        0 0          0 eth1

Со стороны 192.168.82.2
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.163.0   10.1.1.2        255.255.255.0   UG        0 0          0 tap0
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
192.168.82.0    0.0.0.0         255.255.255.0   U         0 0          0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth0
10.0.0.0        0.0.0.0         255.0.0.0       U         0 0          0 tap0
127.0.0.0       0.0.0.0         255.0.0.0       U         0 0          0 lo
0.0.0.0         192.168.1.1     0.0.0.0         UG        0 0          0 eth1

"OpenVPN не стартует"
Отправлено Аноним , 29-Май-07 20:25

А можно конфиг глянуть?

"OpenVPN не стартует"
Отправлено Mikhail , 29-Май-07 21:05

cat /proc/sys/net/ipv4/ip_forward - ?

"OpenVPN не стартует"
Отправлено Злобный Anonymous , 29-Май-07 22:17

>cat /proc/sys/net/ipv4/ip_forward - ?
openvpn.conf
на предмет
server                  10.1.1.0 255.255.255.0
push                    "route 192.168.163.0 255.255.255.0"
route                   192.168.82.0 255.255.255.0
и также ccd
iroute 192.168.82.0 255.255.255.0

"OpenVPN не стартует"
Отправлено Pluto , 30-Май-07 11:41

>>cat /proc/sys/net/ipv4/ip_forward - ?
>openvpn.conf
>
>на предмет
>
>server
>      10.1.1.0 255.255.255.0
>push
>        "route 192.168.163.0 255.255.255.0"
>
>route
>       192.168.82.0 255.255.255.0
>
>и также ccd
>iroute 192.168.82.0 255.255.255.0
Конфиг сервера
dev tun
port 5555
mode server
server 10.1.1.0 255.255.255.0
ifconfig 10.1.1.2 10.1.1.1
client-config-dir ccd
tls-server
dh dh1024.pem
ca ca.crt
cert office82.crt
key office82.key
verb 3
keepalive 10 120
Роутинг на сервере
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
10.1.1.2        0.0.0.0         255.255.255.255 UH        0 0          0 tun0
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
192.168.82.0    0.0.0.0         255.255.255.0   U         0 0          0 eth0
10.1.1.0        10.1.1.2        255.255.255.0   UG        0 0          0 tun0
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U         0 0          0 lo
0.0.0.0         192.168.1.1     0.0.0.0         UG        0 0          0 eth1

Конфиг клиента
client
remote 85.112.36.30
dev tun
port 5555
ifconfig 10.1.1.2 10.1.1.1
route 192.168.82.0 255.255.255.0
#push "route 192.168.163.0 255.255.255.0"
#up ./office82.up
#down ./office82.down
tls-client
dh dh1024.pem
ca ca.crt
cert office163.crt
key office163.key
verb 3
keepalive 10 120
Роутинг на клиенте
10.1.1.5        0.0.0.0         255.255.255.255 UH        0 0          0 tun0
10.1.1.1        10.1.1.5        255.255.255.255 UGH       0 0          0 tun0
192.168.163.0   0.0.0.0         255.255.255.0   U         0 0          0 eth0
192.168.82.0    10.1.1.5        255.255.255.0   UG        0 0          0 tun0
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth1
127.0.0.0       0.0.0.0         255.0.0.0       U         0 0          0 lo
0.0.0.0         192.168.0.20    0.0.0.0         UG        0 0          0 eth1
Сейчас с клиента пингуется 10.1.1.1 и 192.168.82.2 (адреса сервера)
С сервера пингуется только 10.1.1.6. 10.1.1.2 и 192.168.163.143 (адреса клиента) - не пингуются

"OpenVPN не стартует"
Отправлено ГЗЫ , 30-Май-07 19:03

>client-config-dir ccd
а в папке ccd есть конфиг с именем "имя клиента" в котором написано "iroute 192.168.82.0 255.255.255.0" ?

"OpenVPN не стартует"
Отправлено Pluto , 30-Май-07 19:09

>>client-config-dir ccd
>а в папке ccd есть конфиг с именем "имя клиента" в котором
>написано "iroute 192.168.82.0 255.255.255.0" ?
Да, есть. Уже всю голову сломал... Хз в чём дело :(

"OpenVPN не стартует"
Отправлено Anonymous , 30-Май-07 20:05

Попробуй выкинуть у сервера и клиента "ifconfig 10.1.1.2 10.1.1.1", пусть автоматом назначит
и tcpdump'ом послушай интерфейсы tunX на клиенте и сервере, посмотри залетают/вылетают ли пакеты через туннель.

"OpenVPN не стартует"
Отправлено rapido , 31-Май-07 18:58

>>>cat /proc/sys/net/ipv4/ip_forward - ?
>>openvpn.conf
>>
>>на предмет
>>
>>server
>>      10.1.1.0 255.255.255.0
>>push
>>        "route 192.168.163.0 255.255.255.0"
>>
>>route
>>       192.168.82.0 255.255.255.0
>>
>>и также ccd
>>iroute 192.168.82.0 255.255.255.0
>
>Конфиг сервера
>
>dev tun
>port 5555
>mode server
>server 10.1.1.0 255.255.255.0
!!!>ifconfig 10.1.1.2 10.1.1.1 !! это лишнее
сторока server воспринимается как:
(между прочим из мануала)
For example, --server 10.8.0.0 255.255.255.0 expands as follows:
mode server
tls-server
if dev tun:
                 ifconfig 10.8.0.1 10.8.0.2
                 ifconfig-pool 10.8.0.4 10.8.0.251
                 route 10.8.0.0 255.255.255.0
                 if client-to-client:
                   push "route 10.8.0.0 255.255.255.0"
                 else
                   push "route 10.8.0.1"
Лишнего в своем конфиге не замечаете?

>client-config-dir ccd
>tls-server
>dh dh1024.pem
>ca ca.crt
>cert office82.crt
>key office82.key
>verb 3
>keepalive 10 120
>
>
>Конфиг клиента
>
>client
>remote 85.112.36.30
>dev tun
>port 5555
>ifconfig 10.1.1.2 10.1.1.1 !!! -- это тоже лишнее.
>route 192.168.82.0 255.255.255.0
>#push "route 192.168.163.0 255.255.255.0"
>#up ./office82.up
>#down ./office82.down
>tls-client
>dh dh1024.pem
>ca ca.crt
>cert office163.crt
>key office163.key
>verb 3
>keepalive 10 120
теперь про директиву push.
если вы указали это на сервере - на клиенте указывать маршрут не надо.
push - "проталкивает" маршрут клиенту
и опять же, если вам не нужно с сервера "раздавать" маршруты клиетну -
пропишите просто в конфиге клиента директиву route !!! но без push
OpenVPN работает отлично, но конечно же не будет работать нормально, если вы городите в конфигах все подряд.
Желаю удачи :)
>Сейчас с клиента пингуется 10.1.1.1 и 192.168.82.2 (адреса сервера)
>С сервера пингуется только 10.1.1.6. 10.1.1.2 и 192.168.163.143 (адреса клиента) - не
>пингуются

"OpenVPN не стартует"
Отправлено Pluto , 01-Июн-07 08:53

>>>>cat /proc/sys/net/ipv4/ip_forward - ?
>>>openvpn.conf
>>>
>>>на предмет
>>>
>>>server
>>>      10.1.1.0 255.255.255.0
>>>push
>>>        "route 192.168.163.0 255.255.255.0"
>>>
>>>route
>>>       192.168.82.0 255.255.255.0
>>>
>>>и также ccd
>>>iroute 192.168.82.0 255.255.255.0
>>
>>Конфиг сервера
>>
>>dev tun
>>port 5555
>>mode server
>>server 10.1.1.0 255.255.255.0
>!!!>ifconfig 10.1.1.2 10.1.1.1 !! это лишнее
>сторока server воспринимается как:
>(между прочим из мануала)
>For example, --server 10.8.0.0 255.255.255.0 expands as follows:
>
>mode server
>tls-server
>if dev tun:
>
>     ifconfig 10.8.0.1 10.8.0.2
>
>     ifconfig-pool 10.8.0.4 10.8.0.251
>
>     route 10.8.0.0 255.255.255.0
>
>     if client-to-client:
>
>       push "route 10.8.0.0 255.255.255.0"
>
>
>     else
>
>       push "route 10.8.0.1"
>
>Лишнего в своем конфиге не замечаете?
>
>
>>client-config-dir ccd
>>tls-server
>>dh dh1024.pem
>>ca ca.crt
>>cert office82.crt
>>key office82.key
>>verb 3
>>keepalive 10 120
>>
>>
>>Конфиг клиента
>>
>>client
>>remote 85.112.36.30
>>dev tun
>>port 5555
>>ifconfig 10.1.1.2 10.1.1.1 !!! -- это тоже лишнее.
>>route 192.168.82.0 255.255.255.0
>>#push "route 192.168.163.0 255.255.255.0"
>>#up ./office82.up
>>#down ./office82.down
>>tls-client
>>dh dh1024.pem
>>ca ca.crt
>>cert office163.crt
>>key office163.key
>>verb 3
>>keepalive 10 120
>
>теперь про директиву push.
>если вы указали это на сервере - на клиенте указывать маршрут не
>надо.
>push - "проталкивает" маршрут клиенту
>и опять же, если вам не нужно с сервера "раздавать" маршруты клиетну
>-
>пропишите просто в конфиге клиента директиву route !!! но без push
>
>OpenVPN работает отлично, но конечно же не будет работать нормально, если вы
>городите в конфигах все подряд.
>
>Желаю удачи :)
>
>>Сейчас с клиента пингуется 10.1.1.1 и 192.168.82.2 (адреса сервера)
>>С сервера пингуется только 10.1.1.6. 10.1.1.2 и 192.168.163.143 (адреса клиента) - не
>>пингуются

Огромное человеческое спасибище!!! Всё заработало!!!
Если б я наткнулся на этот мануал сразу - всё бы сразу сделал!!!
Спасибо Вам огромное!!!

"OpenVPN не стартует"
Отправлено Pluto , 30-Май-07 14:01

>cat /proc/sys/net/ipv4/ip_forward - ?

1

"OpenVPN не стартует"
Отправлено Mikhail , 30-Май-07 19:26

Там firewall есть? Проброс пакетов разрешен?
Что tcpdump говорит при прослушивании трафика?
А почему, кстати, не настроено через tap + bridge - намного удобней получается?

"OpenVPN не стартует"
Отправлено pluto , 30-Май-07 19:52

>Там firewall есть? Проброс пакетов разрешен?
>Что tcpdump говорит при прослушивании трафика?
>А почему, кстати, не настроено через tap + bridge - намного удобней
>получается?

файрволл есть, но он, вроде как не фильтрует ни впновский, ни внутренний интерфейс сервера. только внешний. Еще опенвпн пишет в логе, когда я изнутри 163й подсети пытаюсь подключиться к 82.2 bad source address from client ... packet dropped.
Тцпдамп на интерфейсе туннеля видит запросы пинга. На внутреннем интерфейсе их нет.
Завтра попробую с бриджом поколдовать. Сегодня голова не варит уже.

"OpenVPN не стартует"
Отправлено Anonymous , 30-Май-07 20:07

>Завтра попробую с бриджом поколдовать. Сегодня голова не варит уже.
А смысл, только бродкастами туннель засерать, уж простите мой нижегородский.

"OpenVPN не стартует"
Отправлено rapido , 31-Май-07 18:40

>>Завтра попробую с бриджом поколдовать. Сегодня голова не варит уже.
>А смысл, только бродкастами туннель засерать, уж простите мой нижегородский.
Добрый день!
попробуйте почитать про настройку OpenVPN здесь.
http://forum.ixbt.com/topic.cgi?id=14:40906
мне лично очень помогло.
И сразу вопросов очень много отпадет.

"OpenVPN не стартует"
Отправлено Pluto , 01-Июн-07 14:36

>>>Завтра попробую с бриджом поколдовать. Сегодня голова не варит уже.
>>А смысл, только бродкастами туннель засерать, уж простите мой нижегородский.
>
>Добрый день!
>попробуйте почитать про настройку OpenVPN здесь.
>http://forum.ixbt.com/topic.cgi?id=14:40906
>мне лично очень помогло.
>И сразу вопросов очень много отпадет.

В общем попытался осмысленно настроить это всё...
Конфиг клиента
remote 85.112.36.30
dev tun
port 5555
ifconfig 10.1.1.2 10.1.1.1
route 192.168.82.0 255.255.255.0
tls-client
dh /usr/local/etc/openvpn/dh1024.pem
ca /usr/local/etc/openvpn/ca.crt
cert /usr/local/etc/openvpn/office163.crt
key /usr/local/etc/openvpn/office163.key
verb 3
keepalive 10 120
#status /var/log/openvpn/openvpn.status
#log-append /var/log/openvpn/openvpn.log
Конфиг сервера
dev tun
port 5555
ifconfig 10.1.1.1 10.1.1.2
route 192.168.163.0 255.255.255.0
tls-server
dh dh1024.pem
ca ca.crt
cert office82.crt
key office82.key
verb 3
keepalive 10 120
#status /var/log/openvpn/openvpn.status
#log-append /var/log/openvpn/openvpn.log

Из всей сети 192.168.163.0/24 роутер на противоположной стороне (поставил отдельную машину 192.168.82.254) пингуется.
Маршрутизатор противоположной стороны может пинговать только машину, которая устанавливает соединение. Остальные машины сети - не пингует. Машины из сети противоположной стороны нашу сеть не видят вообще.
Помогите плиз :(

"OpenVPN не стартует"
Отправлено Pluto , 01-Июн-07 14:52

Когда маршрутизатор противоположной стороны пингует какую-нибудь машину нашей стороны - на нашем роутере (он openvpn-клиент) в тцпдампе видны ICMP-запросы к той машине. Но ответов нету.

"OpenVPN не стартует"
Отправлено r0man00 , 03-Июл-07 18:20

>Когда маршрутизатор противоположной стороны пингует какую-нибудь машину нашей стороны - на нашем
>роутере (он openvpn-клиент) в тцпдампе видны ICMP-запросы к той машине.
>Но ответов нету.
на файлик с именем клиента надо дать правильные права
На эту директорию ставьте права 755
На файлы в ней - 644
имеется ввиду эта директория ccd

"OpenVPN не стартует"
Отправлено pluto , 02-Июн-07 16:46

>Так в чем проблема?
>Openvpn в списке процессов есть?
>Процесс на 5555 порту сеть слушает?
Слушает, я ж говорю, соединение происходит без проблем, но получается, что связь есть только между 163ей сетью и маршрутизатором 82й. Надо чтоб обе сети видели друг друга без ограничений :)
>ifconfig после запуска что говорит (с его вывода начинать нужно было)?
ифконфиг показывает полный порядок - на маршрутизаторе
82й сети интерфейс тун0 адрес 10.1.1.1 Р-т-Р 10.1.1.2, в 163ей адрес 10.1.1.2 Р-т-Р 10.1.1.1

"OpenVPN не стартует"
Отправлено Pluto , 04-Июн-07 15:50

Ой, сорри.. Ошибся датой...
>>Так в чем проблема?
>>Openvpn в списке процессов есть?
>>Процесс на 5555 порту сеть слушает?
>Слушает, я ж говорю, соединение происходит без проблем, но получается, что связь
>есть только между 163ей сетью и маршрутизатором 82й. Надо чтоб обе
>сети видели друг друга без ограничений :)
>>ifconfig после запуска что говорит (с его вывода начинать нужно было)?
>ифконфиг показывает полный порядок - на маршрутизаторе
>82й сети интерфейс тун0 адрес 10.1.1.1 Р-т-Р 10.1.1.2, в 163ей адрес 10.1.1.2
>Р-т-Р 10.1.1.1