Linux за българи: Форуми

Linux секция за напреднали => Хардуерни и софтуерни проблеми => Темата е започната от: vlad_ko в Aug 16, 2011, 21:45


Титла: push проблем с openvpn и windows7
Публикувано от: vlad_ko в Aug 16, 2011, 21:45
Здравейте,

Имам пуснат openvpn сървър. Целта му е да се доспътва локалната мрежа на сървъра отвън (не се прекарва целият трафик на клиентите през впн-а, а само се добавя рутинг в тяхната таблица за въпросната мрежа). Проблемът е, че въпросният рутинг не се добавя коректно когато клиентът е windows7.

Това е конфигурацията на сървъра:
Код:
cd /etc/openvpn
proto udp
port 1194
verb 1
log-append /var/log/openvpn.log
daemon
dev tun
persist-tun
persist-key
server 10.0.0.0 255.255.255.0
ifconfig-pool-persist ips.txt
client-to-client
push "route-delay 2 600"
push "route 10.0.0.0 255.255.255.0"
push "route 172.16.20.0 255.255.255.224"
push "persist-key"
cipher AES-256-CBC
ca certs/ca.crt
dh keys/dh2048.pem
cert certs/server.crt
key keys/server.key
tls-auth keys/ta.key 0
keepalive 10 50

A това на клиента

Код:
client
dev tun
proto udp
ip-win32 netsh
remote 77.70.80.21 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
ca ca.crt
tls-auth ta.key 1
cert toshiba.crt
key toshiba.key
cipher AES-256-CBC
route-method exe
route-delay 2

в рутинг таблицата на клиента, когато той е windows7 се появява следният ред
дест           маск                      гейт            интерфейс       метрик
 10.0.0.0    255.255.255.0         10.0.0.5      192.168.1.3     26
а би трябвало да е така
 10.0.0.0    255.255.255.0         10.0.0.5      10.0.0.6     26

тоест за интерфейс се слага този през който физически е осъществена връзката с впн-а, а не виртуалният адаптер. Ако на ръка го променя всичко тръгва... под xp рутинга се добавя коректно и няма проблеми.

Openvpn клиента е пуснат в Compatibility мод за vista и с администраторски права.
Дали някой се е спречкал с този проблем или има идея как да го преборя.

Предварително Ви благодаря и поздрави.

Титла: Re: push проблем с openvpn и windows7
Публикувано от: clovenhoof в Aug 16, 2011, 22:30
Според мен нямаш нужда от:

Цитат
push "route 10.0.0.0 255.255.255.0"

Ако има нещо да се рутира това е към ЛАН-а, но това няма да ти реши проблема.

За Windows 7 се увери че си махнал firewall на TAP-interface-a.

Титла: Re: push проблем с openvpn и windows7
Публикувано от: vlad_ko в Aug 16, 2011, 23:03
Здравейте пак,

Не съм сигурен, че разбрах. Спряна е защитната стена има и пуш за локалната мрежа

push "route 172.16.20.0 255.255.255.224"

рутингите се довабят, но не и както мисля, че трябва. Тоест в полето интерфейс в рутинг таблицата не стой верният интерфейс.

Поздрави!

Титла: Re: push проблем с openvpn и windows7
Публикувано от: clovenhoof в Aug 16, 2011, 23:40
Единственото ти рутиране трябва да е към вътрешната мрежа ако да речем искаш да имаш достъп от клиент от друга мрежа (различна от твоя ЛАН) с клиент от товята мрежа (client-to-client).

Не съм голям специалист по мрежи, но въпреки това вкъщи направих нещо подобно:

ЛАН-а ми е : 2 vpn клиенти (Windows 7) + 1 vpn сървър (Archlinux). Всичко това е зад рутер.
1 vpn клиент (Windsows XP) в офиса (демек през интернет);

С тази постановка се връзвам client-to-client без проблем. Ако ти трябва някакви конфигурации ще ти покажа.

Титла: Re: push проблем с openvpn и windows7
Публикувано от: vlad_ko в Aug 17, 2011, 00:04
Здравей

Да това е решение, но по този начин трябва компютрите в локалната мрежа на сървъра 172.... да ги правя клиенти на впн-а 10..., а това не е удобно в случая.
Целта е местещ се лаптоп да достъпва ип от тази мрежа 172... Постановката работи идеално с пуш на рутинг, но не и под windows7, където рутинга не влиза правилно. Предполагам е някоя тънка настройка на windowsa незнам и аз. Преди имаше проблеми с пушването на виста сега на 7, вероятно и те ще се оправят :)
 

ето я и топологията


LAN(172.16.20.0/27)--> (172.16.20.1)eth0-VPN--eth1(real ip)
                                                                       \--tun0(10.0.0.1)<--VPNCLIENTS(10.0.0.0/24)


Поздрави!

Титла: Re: push проблем с openvpn и windows7
Публикувано от: plamen_f в Aug 17, 2011, 10:22
Хм, обърках се - каква ти е архитектурата LAN2LAN over OVPN или CLIENT2LAN ?

Иначе не виждам в клиента ти:

route-method exe
route-delay 2

Добави ги - няма да сбъркаш!

Титла: Re: push проблем с openvpn и windows7
Публикувано от: clovenhoof в Aug 17, 2011, 10:38
Цитат на: plamen_f в Aug 17, 2011, 10:22
Хм, обърках се - каква ти е архитектурата LAN2LAN over OVPN или CLIENT2LAN ?

Иначе не виждам в клиента ти:

route-method exe
route-delay 2

Добави ги - няма да сбъркаш!

Има ги. Последните 2 реда. Но не са необходими ако ползва последната версия на OpenVPN.

Титла: Re: push проблем с openvpn и windows7
Публикувано от: vlad_ko в Aug 17, 2011, 12:19
Цитат на: plamen_f в Aug 17, 2011, 10:22
Хм, обърках се - каква ти е архитектурата LAN2LAN over OVPN или CLIENT2LAN ?

Иначе не виждам в клиента ти:

route-method exe
route-delay 2

Добави ги - няма да сбъркаш!

Да има ги, без тях дори не се добавяха рутингите, но въпреки всичко не влизат както трябва.

Иначе архитектурата е client2lan

Поздрави!

Титла: Re: push проблем с openvpn и windows7
Публикувано от: plamen_f в Aug 17, 2011, 12:26
мда, въпреки че е 12 явно още спя...

Сега ето ти реално действащи конфигурации

Клиент:

Код:
client
pull
remote SERVER_IP
port 1199
proto tcp
dev tun
tun-mtu 1430
mssfix
float
route-method exe
route-delay 2
ca 		path_to ca
cert 		path to cert
key  		path to key
tls-auth	path to tls
comp-lzo
cipher BF-CBC
verb 4
mute 20
keepalive 10 60
resolv-retry infinite
ns-cert-type server

Сървър:

Код:
# server.conf
local  SERVER_IP
port 1199
proto tcp
dev tun
daemon
tun-mtu 1430
float
server 10.10.102.0 255.255.255.0
client-config-dir ccd

route 192.168.11.0 255.255.255.0
route 192.168.12.0 255.255.255.0

push "route 192.168.0.0 255.255.255.0"

max-clients 100

ca		/etc/openvpn/keys/ca.crt
cert		/etc/openvpn/keys/server.crt
key		/etc/openvpn/keys/server.key
dh		/etc/openvpn/keys/dh1024.pem
tls-auth	/etc/openvpn/keys/ta.key 0

cipher BF-CBC

comp-lzo

keepalive 10 60

log-append 	/var/log/openvpn.log
status 		/var/log/openvpn-status.log

ifconfig-pool-persist /etc/openvpn/ipp.txt

mute 20
verb 4

При тази конфигурация, след закачане на сървъра ето какво казва route print на отдалечен win7 клиент:

Код:
      10.10.102.1  255.255.255.255      10.10.102.5      10.10.102.6     31
      10.10.102.4  255.255.255.252         On-link       10.10.102.6    286
      10.10.102.6  255.255.255.255         On-link       10.10.102.6    286
      10.10.102.7  255.255.255.255         On-link       10.10.102.6    286
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0      10.10.102.5      10.10.102.6     31

Не знам за какво ти е:

Код:
push "route 10.0.0.0 255.255.255.0"

но ако до колкото разбирам искаш да достъпиш цялата мрежа зад OVPN сървъра то той трябва да ти се яви входна точка за мрежата 172.16.20.0 255.255.255.224. Само този ред ти е необходим. Сега друг е въпроса ако си намятал втори ip-ta  на вътрешните машини и роуте през 10-та мрежа.Това е за сървъра.

За клиента не виждам нещо безнадеждно но дай малко логове.

П.С.В случая се ползва tcp вместо udp защото се минава през някакъв микротик и там така и не мина udp. Ако пък някой го е сборил това - да си признае - веднага му пращам виртуална  [_]3

Титла: Re: push проблем с openvpn и windows7
Публикувано от: vlad_ko в Aug 17, 2011, 16:06
1:1 с твойта конфигурация и пак същата работа. Явно проблема е в клиента, ще пробвам на друга седмица за всеки случай.

Иначе ето логове вижда се че си адва рутовете съвсем нормално:

Код:
Wed Aug 17 15:59:42 2011 us=690635 Current Parameter Settings:
Wed Aug 17 15:59:42 2011 us=691607   config = 'toshiba.ovpn'
Wed Aug 17 15:59:42 2011 us=691662   mode = 0
Wed Aug 17 15:59:42 2011 us=691693   show_ciphers = DISABLED
Wed Aug 17 15:59:42 2011 us=691720   show_digests = DISABLED
Wed Aug 17 15:59:42 2011 us=691742   show_engines = DISABLED
Wed Aug 17 15:59:42 2011 us=691768   genkey = DISABLED
Wed Aug 17 15:59:42 2011 us=691790   key_pass_file = '[UNDEF]'
Wed Aug 17 15:59:42 2011 us=692007   show_tls_ciphers = DISABLED
Wed Aug 17 15:59:42 2011 us=692038   proto = 0
Wed Aug 17 15:59:42 2011 us=692060   local = '[UNDEF]'
Wed Aug 17 15:59:42 2011 us=692083   remote_list[0] = {'172.16.20.1', 1194}
Wed Aug 17 15:59:42 2011 us=692105   remote_random = DISABLED
Wed Aug 17 15:59:42 2011 us=692134   local_port = 1194
Wed Aug 17 15:59:42 2011 us=692156   remote_port = 1194
Wed Aug 17 15:59:42 2011 us=692254   remote_float = ENABLED
Wed Aug 17 15:59:42 2011 us=692287   ipchange = '[UNDEF]'
Wed Aug 17 15:59:42 2011 us=692325   bind_local = DISABLED
Wed Aug 17 15:59:42 2011 us=692348   dev = 'tun'
Wed Aug 17 15:59:42 2011 us=692370   dev_type = '[UNDEF]'
Wed Aug 17 15:59:42 2011 us=692411 NOTE: --mute triggered...
Wed Aug 17 15:59:42 2011 us=692455 168 variation(s) on previous 20 message(s) suppressed by --mute
Wed Aug 17 15:59:42 2011 us=692483 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Wed Aug 17 15:59:42 2011 us=692735 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Wed Aug 17 15:59:42 2011 us=700057 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Wed Aug 17 15:59:42 2011 us=700120 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Aug 17 15:59:42 2011 us=700148 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Aug 17 15:59:42 2011 us=700369 Control Channel MTU parms [ L:1557 D:166 EF:66 EB:0 ET:0 EL:0 ]
Wed Aug 17 15:59:42 2011 us=731683 Data Channel MTU parms [ L:1557 D:1450 EF:57 EB:4 ET:0 EL:0 ]
Wed Aug 17 15:59:42 2011 us=731809 Local Options String: 'V4,dev-type tun,link-mtu 1557,tun-mtu 1500,proto UDPv4,keydir 1,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-client'
Wed Aug 17 15:59:42 2011 us=731836 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1557,tun-mtu 1500,proto UDPv4,keydir 0,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-server'
Wed Aug 17 15:59:42 2011 us=731906 Local Options hash (VER=V4): 'ed844052'
Wed Aug 17 15:59:42 2011 us=731939 Expected Remote Options hash (VER=V4): '8a244582'
Wed Aug 17 15:59:42 2011 us=731996 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Aug 17 15:59:42 2011 us=732033 UDPv4 link local: [undef]
Wed Aug 17 15:59:42 2011 us=732062 UDPv4 link remote: 172.16.20.1:1194
Wed Aug 17 16:00:30 2011 us=982569 TLS: Initial packet from 172.16.20.1:1194, sid=a7f2979f 9c9be64d
Wed Aug 17 16:00:31 2011 us=78780 VERIFY OK: depth=1, /C=BG/ST=Sf/L=Sofia/O=vladko.org/CN=vladko.org_CA/emailAddress=dimitrov@vladko.org
Wed Aug 17 16:00:31 2011 us=80679 VERIFY OK: nsCertType=SERVER
Wed Aug 17 16:00:31 2011 us=80736 VERIFY OK: depth=0, /C=BG/ST=Sf/L=Sofia/O=vladko.org/CN=server/emailAddress=dimitrov@vladko.org
Wed Aug 17 16:00:31 2011 us=635881 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1557', remote='link-mtu 1487'
Wed Aug 17 16:00:31 2011 us=635969 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1500', remote='tun-mtu 1430'
Wed Aug 17 16:00:31 2011 us=637672 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Aug 17 16:00:31 2011 us=637790 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Aug 17 16:00:31 2011 us=637830 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Aug 17 16:00:31 2011 us=637857 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Aug 17 16:00:31 2011 us=638161 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Aug 17 16:00:31 2011 us=638357 [server] Peer Connection Initiated with 172.16.20.1:1194
Wed Aug 17 16:00:32 2011 us=758361 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Aug 17 16:00:32 2011 us=761129 PUSH: Received control message: 'PUSH_REPLY,route 172.16.20.0 255.255.255.224,route 10.0.0.1,ping 10,ping-restart 60,ifconfig 10.0.0.6 10.0.0.5'
Wed Aug 17 16:00:32 2011 us=761220 OPTIONS IMPORT: timers and/or timeouts modified
Wed Aug 17 16:00:32 2011 us=761242 OPTIONS IMPORT: --ifconfig/up options modified
Wed Aug 17 16:00:32 2011 us=761280 OPTIONS IMPORT: route options modified
Wed Aug 17 16:00:32 2011 us=772581 netsh interface ip set address "Local Area Connection 2" static 10.0.0.6 255.255.255.252
Wed Aug 17 16:00:32 2011 us=985112 TAP-WIN32 device [Local Area Connection 2] opened: \\.\Global\{08982C34-E42F-4057-98EA-57F75B85993B}.tap
Wed Aug 17 16:00:32 2011 us=985181 TAP-Win32 Driver Version 8.4 
Wed Aug 17 16:00:32 2011 us=985212 TAP-Win32 MTU=1500
Wed Aug 17 16:00:32 2011 us=986931 Successful ARP Flush on interface [24] {08982C34-E42F-4057-98EA-57F75B85993B}
Wed Aug 17 16:00:35 2011 us=124810 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Wed Aug 17 16:00:35 2011 us=124884 route ADD 172.16.20.0 MASK 255.255.255.224 10.0.0.5
 OK!
Wed Aug 17 16:00:35 2011 us=218346 route ADD 10.0.0.1 MASK 255.255.255.255 10.0.0.5
 OK!
Wed Aug 17 16:00:35 2011 us=302363 Initialization Sequence Completed

ето и рутинг таблицата после

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.2     30
         10.0.0.1  255.255.255.255         10.0.0.5      192.168.1.2     31
         10.0.0.4  255.255.255.252         On-link          10.0.0.6    286
         10.0.0.6  255.255.255.255         On-link          10.0.0.6    286
         10.0.0.7  255.255.255.255         On-link          10.0.0.6    286
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      172.16.20.0  255.255.255.224         10.0.0.5      192.168.1.2     31

Пак тръгва да търси 10.0.0.5 през интерфеиса на който реално идва интернета 192.168.1.2. Затова се мъчих и с този push 10.0.0.0..... иначе да не ми трябва.

Поздрави!


Титла: Re: push проблем с openvpn и windows7
Публикувано от: plamen_f в Aug 17, 2011, 18:03
Я дай изхода на ipconfig при закачен ВПН?


Титла: Re: push проблем с openvpn и windows7
Публикувано от: vlad_ko в Aug 17, 2011, 19:10

Windows IP Configuration


Ethernet adapter Local Area Connection 5:

   Connection-specific DNS Suffix  . :
   Link-local IPv6 Address . . . . . : fe80::fc86:483d:66ac:8a91%29
   IPv4 Address. . . . . . . . . . . : 10.0.0.6
   Subnet Mask . . . . . . . . . . . : 255.255.255.252
   Default Gateway . . . . . . . . . :

Ethernet adapter Local Area Connection 2:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :

Wireless LAN adapter Wireless Network Connection:

   Connection-specific DNS Suffix  . : vladko.org
   Link-local IPv6 Address . . . . . : fe80::d4e0:de64:8aef:e83b%11
   IPv4 Address. . . . . . . . . . . : 192.168.1.2
   Subnet Mask . . . . . . . . . . . : 255.255.255.248
   Default Gateway . . . . . . . . . : 192.168.1.1

Ethernet adapter Local Area Connection:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : vladko.org

Tunnel adapter isatap.{1C6DA6CB-8D5C-43D3-8858-6936A84BC258}:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :

Tunnel adapter Teredo Tunneling Pseudo-Interface:

   Connection-specific DNS Suffix  . :
   IPv6 Address. . . . . . . . . . . : 2001:0:5ef5:79fb:28c8:17ce:b2b9:afea
   Link-local IPv6 Address . . . . . : fe80::28c8:17ce:b2b9:afea%12
   Default Gateway . . . . . . . . . : ::

Tunnel adapter isatap.vladko.org:

   Connection-specific DNS Suffix  . : vladko.org
   Link-local IPv6 Address . . . . . : fe80::5efe:192.168.1.2%21
   Default Gateway . . . . . . . . . :

Tunnel adapter isatap.{18DAC705-BF89-4088-AE10-96E207AF0597}:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :

Титла: Re: push проблем с openvpn и windows7
Публикувано от: vlad_ko в Aug 17, 2011, 19:41
Пробвах и с друг компютър с windows7 същата работа.

Титла: Re: push проблем с openvpn и windows7
Публикувано от: plamen_f в Aug 17, 2011, 23:15
Така, и на това LXDE му сложихме кирилица (с клизма).

Този адаптер 5 tun-а ли ти е?

Имам странното чувство че там нещо не е на ред.
Гледам
Код:
 netsh interface ip set address "Local Area Connection 2" static 10.0.0.6 255.255.255.252

???

И разкарай рута към 10-та мрежа на сървъра в конфиг-а.

Още повече щом и с друг клиент е така в сървъра най-вероятно е вината....

Титла: Re: push проблем с openvpn и windows7
Публикувано от: vlad_ko в Aug 18, 2011, 19:28
няма го вече рута за 10-та мрежа...
а какво те притеснява в

netsh interface ip set address "Local Area Connection 2" static 10.0.0.6 255.255.255.252

сървър:
Код:
cd /etc/openvpn
proto udp
port 1194
verb 4
float
log-append /var/log/openvpn.log
daemon
dev tun
server 10.0.0.0 255.255.255.0
ifconfig-pool-persist ips.txt
client-to-client
push "route 172.16.20.0 255.255.255.224"
cipher AES-256-CBC
ca certs/ca.crt
dh keys/dh2048.pem
cert certs/server.crt
key keys/server.key
tls-auth keys/ta.key 0
keepalive 10 50
mute 20
client-config-dir ccd

клиент:
Код:
client
dev tun
proto udp
ip-win32 netsh
remote 77.70.80.21 1194
resolv-retry infinite
float
mssfix
pull
nobind
persist-key
persist-tun
ns-cert-type server
ca ca.crt
tls-auth ta.key 1
cert toshiba.crt
key toshiba.key
cipher AES-256-CBC
route-method exe
route-delay 2
mute 20

Има ли начин да пробвам да закача моя лаптоп на твоя впн (който е със същата конфигурация както се разбра)

Титла: Re: push проблем с openvpn и windows7
Публикувано от: plamen_f в Aug 21, 2011, 08:12
Извън цивилизацията съм - следващата седмица ще помогна.

Титла: Re: push проблем с openvpn и windows7
Публикувано от: vlad_ko в Aug 22, 2011, 11:34
Далеч от цивилизацията е добре :)
Аз се оправих, махайки следният ред от клиент конфига
ip-win32 netsh

Благодаря много за помоща!

Титла: Re: push проблем с openvpn и windows7
Публикувано от: plamen_f в Aug 22, 2011, 22:27
Хм, понеже одеве каза че си 1:1 с моята конфигурация не заподозрях, че е останало ip-win32 netsh.
Лично винаги съм ненанвиждал такива объркващи команди (така и не мие ясно какво можеш да постигне с нея / освен това което те измъчи/).
Та както и да е де - важното е че си член на OPENVPN обществото вече !

 [_]3 [_]3 [_]3 [_]3

Титла: Re: push проблем с openvpn и windows7
Публикувано от: vlad_ko в Aug 22, 2011, 22:41
Когато го казах и аз не подозирах, че е там :-D
7 пъти мери 1 път режи са казали хората...

Правеше ми впечатление, че на попъп-а, който излиза когато се закачиш през openvpn-gui не показва ip адрес, сега вече и това се оправи!

Благодаря пак за помоща :)


Powered by SMF 2.0 Beta 4 | SMF © 2006, Simple Machines LLC