Hi there,
I am having a problem with a VPN provider’s client software on my Windows Server 2012 R2 machine. I’m using TAP-Windows 9.21.1 and have two adapters in use: LAN adapter and the TAP adapter. I have NAT on the TAP adapter set to public and NAT on the LAN adapter set to private. I also have IPv4 routing and remote access server turned on. (let me know if you need any other details)
The issue seems to be that TAP adapter will incorrectly receive an IP address. The software will send the DHCP info to the TAP adapter:
Code: Select all
Set TAP-Windows TUN subnet mode network/local/netmask = 192.168.200.0/192.168.200.4/255.255.255.0 [SUCCEEDED]
Wed Dec 02 09:53:30 2015 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.200.4/255.255.255.0 on interface {8C95CC8B-FD84-4DCE-A2AA-61DEE4B560DA} [DHCP-serv: 192.168.200.254, lease-time: 31536000]But the TAP adapter will either revert to the previously sent DHCP info (192.168.200.8 for example) if it had connected successfully earlier, OR, the TAP adapter will not have an IP at all:
Code: Select all
Ethernet adapter VPN Adapter:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TAP-Windows Adapter V9
Physical Address. . . . . . . . . : 00-FF-8C-95-CC-8B
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Autoconfiguration IPv4 Address. . : 169.254.227.226(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBIOS over Tcpip. . . . . . . . : EnabledThe error message on software says:
Code: Select all
Warning: route gateway is not reachable on any active network adapters: 192.168.200.1
...
Initialization Sequence Completed With Errors If I close the software and disable/enable the TAP adapter, then repeat the above, it connects successfully. However, when I connect to another server the errors above occur again. For example I successfully to server A in which the TAP adapter received 192.168.200.5, but then when I tried to connect to server B the TAP adapter received 192.168.200.5 when it should have received 192.168.200.2.
Code: Select all
Set TAP-Windows TUN subnet mode network/local/netmask = 192.168.200.0/192.168.200.2/255.255.255.0 [SUCCEEDED]
Wed Dec 02 10:05:21 2015 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.200.2/255.255.255.0 on interface {8C95CC8B-FD84-4DCE-A2AA-61DEE4B560DA} [DHCP-serv: 192.168.200.254, lease-time: 31536000]
...
Initialization Sequence Completed With Errors I cannot find any solutions on the internet and there’s no issues at all on my Windows 8 machine. Does anyone using openvpn on Windows Server have these issues?
Hi @cron2
This is current client.ovpn file
client
nobind
dev tun
remote-cert-tls server
remote VPN.Domain.com 1194 udp
route 10.1.0.0 255.0.0.0
Still get the following Errors:
Wed Dec 04 10:03:23 2019 OpenVPN 2.4.8 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Oct 31 2019
Wed Dec 04 10:03:23 2019 Windows version 6.2 (Windows 8 or greater) 64bit
Wed Dec 04 10:03:23 2019 library versions: OpenSSL 1.1.0l 10 Sep 2019, LZO 2.10
Enter Management Password:
Wed Dec 04 10:03:23 2019 WARNING: this configuration may cache passwords in memory — use the auth-nocache option to prevent this
Wed Dec 04 10:03:23 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]5x.3x.1xx.1xx:1194
Wed Dec 04 10:03:23 2019 UDP link local: (not bound)
Wed Dec 04 10:03:23 2019 UDP link remote: [AF_INET]5x.3x.1xx.1xx:1194
Wed Dec 04 10:03:24 2019 [vpn.domain.com] Peer Connection Initiated with [AF_INET]5x.3x.1xx.1xx:1194
Wed Dec 04 10:03:25 2019 open_tun
Wed Dec 04 10:03:25 2019 TAP-WIN32 device [Local Area Connection] opened: .Global{BB2C7112-5991-40A7-821A-BD3A3EA5FAA5}.tap
Wed Dec 04 10:03:25 2019 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.245.6/255.255.255.252 on interface {BB2C7112-5991-40A7-821A-BD3A3EA5FAA5}
[DHCP-serv: 192.168.245.5, lease-time: 31536000]
Wed Dec 04 10:03:30 2019 Warning: address 10.1.0.0 is not a network address in relation to netmask 255.0.0.0
Wed Dec 04 10:03:30 2019 ROUTE: route addition failed using CreateIpForwardEntry: Access is denied. [status=5 if_index=6]
Wed Dec 04 10:03:30 2019 env_block: add PATH=C:WINDOWSSystem32;C:WINDOWS;C:WINDOWSSystem32Wbem
Wed Dec 04 10:03:30 2019 ERROR: Windows route add command failed [adaptive]: returned error code 1
Wed Dec 04 10:03:30 2019 Warning: address 10.1.0.0 is not a network address in relation to netmask 255.0.0.0
Wed Dec 04 10:03:30 2019 ROUTE: route addition failed using CreateIpForwardEntry: Access is denied. [status=5 if_index=6]
Wed Dec 04 10:03:30 2019 env_block: add PATH=C:WINDOWSSystem32;C:WINDOWS;C:WINDOWSSystem32Wbem
Wed Dec 04 10:03:30 2019 ERROR: Windows route add command failed [adaptive]: returned error code 1
Wed Dec 04 10:03:30 2019 ROUTE: route addition failed using CreateIpForwardEntry: Access is denied. [status=5 if_index=6]
Wed Dec 04 10:03:30 2019 env_block: add PATH=C:WINDOWSSystem32;C:WINDOWS;C:WINDOWSSystem32Wbem
Wed Dec 04 10:03:30 2019 ERROR: Windows route add command failed [adaptive]: returned error code 1
Wed Dec 04 10:03:30 2019 Initialization Sequence Completed
If you need any additional information please let me know, really need to get this fixed 
Client Computer is a Windows 10 DeskTop Pro if that helps any.
If you post your server.conf it will greatly assist others in helping.
Firstly, the errors you are getting are specifically about the ROUTES being pushed, not necessarily the IP assignment. The logs show that it’s trying to get an IP, so I assume that’s configured on the server, but it doesn’t look like routes are. I’ll go over both items…
IP Assignment:
To define what range of IP addresses you get from the OpenVPN server, you set it at the «server» item in your server.conf and, in my working config, defined the topology as «subnet»:
Example:
topology subnet
server 10.10.18.0 255.255.255.0
In the above example, the Subnet for clients will be 10.10.18.0/24
It looks like, from your log you are pushing a subnet (192.168.5.6/255.255.248.0) so that may already be configured properly.
Routes:
The errors are specifically complaining about the routes.
Your log shows 0 out of 0 total routes were successful, so it sounds like it doesn’t even have any routes to push too.
0/0 succeeded
In the server config file you utilize the push item to push out routes to the clients. Ensure you have the routes defined in your server.conf.
Here is an example:
push "route 10.10.2.0 255.255.255.0"
push "route 10.10.3.0 255.255.255.0"
If you provided your server config it would really help out.
Summary:
Ensure your server.conf is configured to assign addresses properly, and it’s configured to push your desired routes.
Здравствуйте, прошу помощи у профи (сам я уже перелопатил кучу мануалов — не чего не выходит)
Проблема заключается в том, что необходимо организовать для клиентов выход в WEB через OpenVPN (защищенный), а сделать этого для Win клиентов не получается…
Причем Android клиент и Linux клиенты отрабатывают превосходно!!!
Но обо всем по порядку:
Есть офис подключенный к интернету через аппаратный шлюз c NAT (Шлюз) на нем настроена переадресация 1194 на сервер OpenVPN (OpenVPN сервер)
OpenVPN сервер работает на UbuntuServer 17.04 со всеми обновлениями
Все ключи и сертификаты в порядке
В iptables добавлено правило
-A POSTROUTING -s 192.168.0.0/255.255.0.0 -j MASQUERADE[
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o enp0s3 -j MASQUERADEВключен форвардинг пакетов
sysctl net.ipv4.ip_forward=1Необходимо обеспечить подключение как внешнего клиента с динамическим IP, так и внутреннего (Внутренний клиент) подключенного в локальную сет через WiFi
Топология сети
Настройки
Настройки серевера(server.conf)
log /var/log/openvpn/server.log
port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/win10vpn.crt
key /etc/openvpn/win10vpn.key # This file should be kept secret
dh /etc/openvpn/dh2048.pem
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
route-gateway 10.8.0.1
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
comp-lzo
status openvpn-status.log
verb 3
explicit-exit-notify 1
Настройки клиента (client.ovpn)
dev tun
proto udp
remote 192.168.0.114 1194
nobind
persist-key
persist-tun
ca ca.crt
cert "c:\Program Files\OpenVPN\config\hort.crt"
key hort.key
# compress lz4-v2
comp-lzo
verb 3
Работа Win7 клиента (openvpn-install-2.4.3-I602.exe установлены все компоненты) запущен под админом
C:UsersUser>route print
===========================================================================
Список интерфейсов
17...00 ff cd 34 d6 5b ......TAP-Windows Adapter V9
16...b4 74 9f e9 fe 6e ......Сетевой адаптер Broadcom 802.11n
15...e8 11 32 95 9e b5 ......Realtek PCIe GBE Family Controller
13...b4 74 9f 8e cc dc ......Устройства Bluetooth (личной сети)
1...........................Software Loopback Interface 1
14...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
11...00 00 00 00 00 00 00 e0 Туннельный адаптер Microsoft Teredo
29...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
===========================================================================
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.113 25
0.0.0.0 128.0.0.0 10.8.0.5 10.8.0.6 20
10.8.0.1 255.255.255.255 10.8.0.5 10.8.0.6 20
10.8.0.4 255.255.255.252 On-link 10.8.0.6 276
10.8.0.6 255.255.255.255 On-link 10.8.0.6 276
10.8.0.7 255.255.255.255 On-link 10.8.0.6 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
128.0.0.0 128.0.0.0 10.8.0.5 10.8.0.6 20
192.168.0.0 255.255.255.0 On-link 192.168.0.113 281
192.168.0.113 255.255.255.255 On-link 192.168.0.113 281
192.168.0.114 255.255.255.255 192.168.0.1 192.168.0.113 25
192.168.0.255 255.255.255.255 On-link 192.168.0.113 281
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.0.113 281
224.0.0.0 240.0.0.0 On-link 10.8.0.6 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.0.113 281
255.255.255.255 255.255.255.255 On-link 10.8.0.6 276
===========================================================================
Постоянные маршруты:
Отсутствует
C:UsersUser>ipconfig /all
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : core-i3
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Ethernet adapter Подключение по локальной сети 2:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : TAP-Windows Adapter V9
Физический адрес. . . . . . . . . : 00-FF-CD-34-D6-5B
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::71e0:a877:4da9:60c0%17(Основной
IPv4-адрес. . . . . . . . . . . . : 10.8.0.6(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.252
Аренда получена. . . . . . . . . . : 27 августа 2017 г. 19:27:09
Срок аренды истекает. . . . . . . . . . : 27 августа 2018 г. 19:27:08
Основной шлюз. . . . . . . . . :
DHCP-сервер. . . . . . . . . . . : 10.8.0.5
IAID DHCPv6 . . . . . . . . . . . : 285278157
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-21-2F-80-AC-E8-11-32-95-9
DNS-серверы. . . . . . . . . . . : 8.8.8.8
NetBios через TCP/IP. . . . . . . . : Включен
Адаптер беспроводной локальной сети Беспроводное сетевое соединение:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевой адаптер Broadcom 802.11n
Физический адрес. . . . . . . . . : B4-74-9F-E9-FE-6E
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::cdd3:699:5b31:c865%16(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.0.113(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 27 августа 2017 г. 19:00:20
Срок аренды истекает. . . . . . . . . . : 27 августа 2017 г. 21:15:33
Основной шлюз. . . . . . . . . : 192.168.0.1
DHCP-сервер. . . . . . . . . . . : 192.168.0.1
IAID DHCPv6 . . . . . . . . . . . : 364147871
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-21-2F-80-AC-E8-11-32-95-9
DNS-серверы. . . . . . . . . . . : 195.58.1.173
194.226.144.116
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter Подключение по локальной сети:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : E8-11-32-95-9E-B5
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Ethernet adapter Сетевое подключение Bluetooth:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Устройства Bluetooth (личной сети)
Физический адрес. . . . . . . . . : B4-74-9F-8E-CC-DC
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Туннельный адаптер isatap.{6BE73222-321D-4200-8C9F-851218051375}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер Подключение по локальной сети* 12:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Туннельный адаптер Microsoft Teredo
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер isatap.{CD34D65B-92E6-4B85-BF8D-646BF69201C5}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
C:UsersUser>ping 10.8.0.1
Обмен пакетами с 10.8.0.1 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Статистика Ping для 10.8.0.1:
Пакетов: отправлено = 1, получено = 0, потеряно = 1
(100% потерь)
Control-C
^C
C:UsersUser>ping 192.168.0.114
Обмен пакетами с 192.168.0.114 по с 32 байтами данных:
Ответ от 192.168.0.114: число байт=32 время=3мс TTL=64
Ответ от 192.168.0.114: число байт=32 время=2мс TTL=64
Статистика Ping для 192.168.0.114:
Пакетов: отправлено = 2, получено = 2, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 2мсек, Максимальное = 3 мсек, Среднее = 2 мсек
Control-C
^C
C:UsersUser>ping e1.ru
При проверке связи не удалось обнаружить узел e1.ru.
Проверьте имя узла и повторите попытку.
C:UsersUser>tracert 192.168.0.114
Трассировка маршрута к 192.168.0.114 с максимальным числом прыжков 30
1 2 ms 3 ms <1 мс 192.168.0.1
2 1 ms 1 ms 1 ms 192.168.0.114
Трассировка завершена.
Логи OpenVPN клиента
Sun Aug 27 19:27:07 2017 OpenVPN 2.4.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Jul 14 2017
Sun Aug 27 19:27:07 2017 Windows version 6.1 (Windows 7) 64bit
Sun Aug 27 19:27:07 2017 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10
Sun Aug 27 19:27:07 2017 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Sun Aug 27 19:27:07 2017 Need hold release from management interface, waiting...
Sun Aug 27 19:27:07 2017 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Sun Aug 27 19:27:07 2017 MANAGEMENT: CMD 'state on'
Sun Aug 27 19:27:07 2017 MANAGEMENT: CMD 'log all on'
Sun Aug 27 19:27:07 2017 MANAGEMENT: CMD 'echo all on'
Sun Aug 27 19:27:07 2017 MANAGEMENT: CMD 'hold off'
Sun Aug 27 19:27:07 2017 MANAGEMENT: CMD 'hold release'
Sun Aug 27 19:27:07 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.0.114:1194
Sun Aug 27 19:27:07 2017 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Aug 27 19:27:07 2017 UDP link local: (not bound)
Sun Aug 27 19:27:07 2017 UDP link remote: [AF_INET]192.168.0.114:1194
Sun Aug 27 19:27:07 2017 MANAGEMENT: >STATE:1503844027,WAIT,,,,,,
Sun Aug 27 19:27:08 2017 MANAGEMENT: >STATE:1503844028,AUTH,,,,,,
Sun Aug 27 19:27:08 2017 TLS: Initial packet from [AF_INET]192.168.0.114:1194, sid=fd6f65a5 e6285c91
Sun Aug 27 19:27:08 2017 VERIFY OK: depth=1, C=RU, ST=UR, L=Yakaterinburg, O=TerraZS, OU=IT, CN=AMD64, name=Win10vpn, emailAddress=hort@terrazs.com
Sun Aug 27 19:27:08 2017 VERIFY KU OK
Sun Aug 27 19:27:08 2017 Validating certificate extended key usage
Sun Aug 27 19:27:08 2017 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Sun Aug 27 19:27:08 2017 VERIFY EKU OK
Sun Aug 27 19:27:08 2017 VERIFY OK: depth=0, C=RU, ST=UR, L=Yakaterinburg, O=TerraZS, OU=IT, CN=AMD64, name=Win10vpn, emailAddress=hort@terrazs.com
Sun Aug 27 19:27:08 2017 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Sun Aug 27 19:27:08 2017 [AMD64] Peer Connection Initiated with [AF_INET]192.168.0.114:1194
Sun Aug 27 19:27:09 2017 MANAGEMENT: >STATE:1503844029,GET_CONFIG,,,,,,
Sun Aug 27 19:27:09 2017 SENT CONTROL [AMD64]: 'PUSH_REQUEST' (status=1)
Sun Aug 27 19:27:09 2017 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,compress lz4-v2,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5,peer-id 0,cipher AES-256-GCM'
Sun Aug 27 19:27:09 2017 OPTIONS IMPORT: timers and/or timeouts modified
Sun Aug 27 19:27:09 2017 OPTIONS IMPORT: compression parms modified
Sun Aug 27 19:27:09 2017 OPTIONS IMPORT: --ifconfig/up options modified
Sun Aug 27 19:27:09 2017 OPTIONS IMPORT: route options modified
Sun Aug 27 19:27:09 2017 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sun Aug 27 19:27:09 2017 OPTIONS IMPORT: peer-id set
Sun Aug 27 19:27:09 2017 OPTIONS IMPORT: adjusting link_mtu to 1625
Sun Aug 27 19:27:09 2017 OPTIONS IMPORT: data channel crypto options modified
Sun Aug 27 19:27:09 2017 Data Channel: using negotiated cipher 'AES-256-GCM'
Sun Aug 27 19:27:09 2017 Data Channel Encrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Sun Aug 27 19:27:09 2017 Data Channel Decrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Sun Aug 27 19:27:09 2017 interactive service msg_channel=0
Sun Aug 27 19:27:09 2017 ROUTE_GATEWAY 192.168.0.1/255.255.255.0 I=16 HWADDR=b4:74:9f:e9:fe:6e
Sun Aug 27 19:27:09 2017 open_tun
Sun Aug 27 19:27:09 2017 TAP-WIN32 device [Подключение по локальной сети 2] opened: \.Global{CD34D65B-92E6-4B85-BF8D-646BF69201C5}.tap
Sun Aug 27 19:27:09 2017 TAP-Windows Driver Version 9.21
Sun Aug 27 19:27:09 2017 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {CD34D65B-92E6-4B85-BF8D-646BF69201C5} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Sun Aug 27 19:27:09 2017 Successful ARP Flush on interface [17] {CD34D65B-92E6-4B85-BF8D-646BF69201C5}
Sun Aug 27 19:27:09 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Sun Aug 27 19:27:09 2017 MANAGEMENT: >STATE:1503844029,ASSIGN_IP,,10.8.0.6,,,,
Sun Aug 27 19:27:14 2017 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up
Sun Aug 27 19:27:14 2017 C:Windowssystem32route.exe ADD 192.168.0.114 MASK 255.255.255.255 192.168.0.1 IF 16
Sun Aug 27 19:27:14 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=25 and dwForwardType=4
Sun Aug 27 19:27:14 2017 Route addition via IPAPI succeeded [adaptive]
Sun Aug 27 19:27:14 2017 C:Windowssystem32route.exe ADD 0.0.0.0 MASK 128.0.0.0 10.8.0.5
Sun Aug 27 19:27:14 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Sun Aug 27 19:27:14 2017 Route addition via IPAPI succeeded [adaptive]
Sun Aug 27 19:27:14 2017 C:Windowssystem32route.exe ADD 128.0.0.0 MASK 128.0.0.0 10.8.0.5
Sun Aug 27 19:27:14 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Sun Aug 27 19:27:14 2017 Route addition via IPAPI succeeded [adaptive]
Sun Aug 27 19:27:14 2017 MANAGEMENT: >STATE:1503844034,ADD_ROUTES,,,,,,
Sun Aug 27 19:27:14 2017 C:Windowssystem32route.exe ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
Sun Aug 27 19:27:14 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Sun Aug 27 19:27:14 2017 Route addition via IPAPI succeeded [adaptive]
Sun Aug 27 19:27:14 2017 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sun Aug 27 19:27:14 2017 Initialization Sequence Completed
Sun Aug 27 19:27:14 2017 MANAGEMENT: >STATE:1503844034,CONNECTED,SUCCESS,10.8.0.6,192.168.0.114,1194,,
Sun Aug 27 19:33:12 2017 [AMD64] Inactivity timeout (--ping-restart), restarting
Sun Aug 27 19:33:12 2017 SIGUSR1[soft,ping-restart] received, process restarting
Sun Aug 27 19:33:12 2017 MANAGEMENT: >STATE:1503844392,RECONNECTING,ping-restart,,,,,
Sun Aug 27 19:33:12 2017 Restart pause, 5 second(s)
Sun Aug 27 19:33:17 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.0.114:1194
Sun Aug 27 19:33:17 2017 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Aug 27 19:33:17 2017 UDP link local: (not bound)
Sun Aug 27 19:33:17 2017 UDP link remote: [AF_INET]192.168.0.114:1194
Sun Aug 27 19:33:17 2017 MANAGEMENT: >STATE:1503844397,WAIT,,,,,,
Работа Linux клиента (конфигурация идентична за исключением путей к файлам) все прекрасно работает
root@deepin:/home/hort# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.8.0.5 128.0.0.0 UG 0 0 0 tun0
default 192.168.0.1 0.0.0.0 UG 600 0 0 wlp1s0
10.8.0.1 10.8.0.5 255.255.255.255 UGH 0 0 0 tun0
10.8.0.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
128.0.0.0 10.8.0.5 128.0.0.0 UG 0 0 0 tun0
192.168.0.0 0.0.0.0 255.255.255.0 U 600 0 0 wlp1s0
192.168.0.114 0.0.0.0 255.255.255.255 UH 0 0 0 wlp1s0
root@deepin:/home/hort# ifconfig
enp2s0f2: flags=4099<UP,BROADCAST,MULTICAST> mtu 1500
ether 80:ee:73:9c:02:f8 txqueuelen 1000 (Ethernet)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1 (Local Loopback)
RX packets 649 bytes 53627 (52.3 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 649 bytes 53627 (52.3 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST> mtu 1500
inet 10.8.0.6 netmask 255.255.255.255 destination 10.8.0.5
inet6 fe80::1117:7263:1034:5b9b prefixlen 64 scopeid 0x20<link>
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 100 (UNSPEC)
RX packets 4497 bytes 3815676 (3.6 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 3784 bytes 568619 (555.2 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
wlp1s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.0.111 netmask 255.255.255.0 broadcast 192.168.0.255
inet6 fe80::fb61:7952:96c4:9747 prefixlen 64 scopeid 0x20<link>
ether 28:e3:47:21:8d:29 txqueuelen 1000 (Ethernet)
RX packets 5832847 bytes 8348902321 (7.7 GiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 3100797 bytes 301900465 (287.9 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
traceroute to e1.ru (212.193.163.6), 30 hops max, 60 byte packets
1 10.8.0.1 (10.8.0.1) 1.804 ms 3.388 ms 3.600 ms
2 192.168.0.1 (192.168.0.1) 4.736 ms 4.896 ms 4.930 ms
Прошу любой помощи!!! Перепробовал, кажется уже все!!! Заранее спасибо!
В некоторых случаях требуется получить доступ например из дома в локальную сеть на работе, это довольно просто можно сделать с помощью OpenVPN. Я опишу каким образом можно это реализовать с помощью микротика, хотя заранее оговорюсь, реализация OpenVPN на этой железке оставляет желать лучшего.
Во-первых: полноценного ethernet туннеля OpenVPN микротик сделать не в состоянии, потому что отсутствует напрочь возможность выдавать IP адреса OVPN клиентам по DHCP, все адреса выдаёт только сам микротик, как его не крути и с чем вокруг него не прыгай;
Во-вторых: не поддерживается сжатие заголовков;
В-третьих: работает только по tcp, в то время как предпочитаемый для OpenVPN — udp.
и если я правильно понимаю, даже на железках с аппаратным ускорением шифрования, опенвпн всё равно будет работать в софтовом режиме, т.е. возможность аппаратного ускорения не задействуется.
Всё это вместе взятое немного раздражает, но с этим, как я считаю, можно смирится, потому что такая реализация имеет ряд плюсов:
- Безопасность, опенвпн с реализацией авторизации по сертификату очень надёжный канал.
- В отличии от ipsec у нас практически нет никаких проблем с nat.
- Возможность настроить клиента для подключения по безопасному каналу практически с любого устройства.
- Относительная простота настройки, в микротике опенвпн поднимается практически в два щелчка, если сравнивать настройку через конфиг в других железках или ОС.
Итак, настройку я условно разделю на две части, это настройка сервера (на железке) и настройка клиента (windows).
Как настроить клиента для CentOS (Linux) читаем в этой статейке.
Подготовка
Пожалуй подготовительный этап следует начать с генерации сертификатов, поскольку passphrase авторизация считается менее защищённой из-за MITM уязвимости, а мы же не хотим что бы кто-то кроме нас самих мог получить доступ к нашей корпоративной сети. Подробно процесс по созданию сертификатов описан здесь. Добавлю лишь что для самого микротика надо генерировать сертификат сервера, а для клиента сертификат клиента.
После создания сертификатов нам понадобится публичные сертификаты CA и для самого микротика, а так же закрытый ключ микротика, копируем их
открываем WinBox на микротике, переходим в раздел Files и жмём на кнопку Paste
Получается примерно такая картинка
После этого сертификаты необходимо импортировать, для этого идём в раздел System — Certificates и жмём кнопку Import, я первым импортировал публичный сертификат CA
дальше импортируем публичный сертификат микротика
и закрытый ключ для него
должна получится примерно такая картинка, обращаем внимание что напротив сертификата микротика должно стоять KT
следующим шагом создаём пул IP адресов для наших OVPN клиентов IP — Pool, жмём кнопку +, я добавил диапазон 172.21.108.2-172.21.108.14, и назвал пул ovpn
следующим этапом создаём PPP профиль, соответственно заходим в раздел PPP вкладка Profiles добавляем профиль кнопкой +, вводим имя, локальный адрес микротика с которым будут работы нашим клиенты, должен лежать в подсети с созданным ранее пулом адресов и указываем пул, остальное оставляем без изменений
Включение
после этого настраиваем сам OpenVPN сервер, делается это в разделе PPP вкладка Interface, кнопка OVPN Server, ставим галку Enabled, mode выставляем ethernet, выбираем созданный ранее профиль, а также ставим галку Require Client Certificate и выбираем сертификат микротика, маску по желанию можно поменять. Снимаем галочку с md5, этот метод хэширования сейчас считается небезопасным.
Осталось совсем немного, нужно создать пользователя, переходим в раздел PPP — Secrets, вводим имя пользователя, пароль, указываем сервис и профиль.
Поскольку мы используем сертификаты, надо что бы время на клиенте и на сервере совпадало, поэтому настраиваем sntp клиента, что бы микротик мог синхронизировать время, делается это в разделе System — SNTP Client. Я указал локальный SNTP сервер, вы можете использовать любой публичный сервер в интернете (например ntp3.stratum2.ru и 0.europe.pool.ntp.org) или указать свой внутренний.
Осталось настроить разрешающее правило фаервола, переходим в раздел IP — Firewall вкладка Filter Rules.
Здесь надо указать In. Interface (или In. Interface list) — интерфейс по которому к Вам приходит интернет, остальное как на скриншоте.
Созданное правило должно находится выше запрещающих правил.
На этом настройка сервера завершена, переходим к настройке клиента.
Настройка клиента OpenVPN Windows для микротика
Не все версии RouterOS нормально работают с OpenVPN. Например версия RouterOS ниже 6.36 не работает с версиями OpenVPN выше 2.3.10. Поэтому не забывайте периодически обновлять RouterOS.
При получении ошибки:
OpenSSL: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca
Обновите прошивку!
И проверьте что бы в сертификатах на микротике был импортирован ca.crt!
OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
При возникновении этой ошибки обновляем прошивку. Заново импортируем сертификаты в микротике(не надо их генерировать снова, просто удалить и снова добавить)
Конфиг файл тестировался для OpenVPN 2.5.4, последнего на момент написания статьи и RouterOS 6.47.6
О том где загрузить и как установить OpenVPN клиент описано в статье по созданию сертификатов.
После установки нам необходимо будет переходим в каталог с установленным OpenVPN. Затем добавляем файл client.ovpn в каталог config следующего содержания:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 |
proto tcp—client # в этой строчке мы указываем адрес в интернете нашего микротика remote 123.123.123.123 dev tap nobind persist—key tls—client #указываем имена публичного CA сертификата ca ca.crt # публичного сертификата клиента cert client.crt # и его закрытый ключ key client.key #каждые 10 секунд проверять туннель, если нет ответа 120 секунд, переподключаться keepalive 10 120 verb 3 cipher AES—256—CBC auth SHA1 pull #проверка сертификата сервера #https://openvpn.net/index.php/open-source/documentation/howto.html#mitm remote—cert—tls server # эта строка задаёт файл с логином-паролем которые мы прописывали в PPP-Secrets на микротике auth—user—pass auth.cfg # в этой части мы задаём настройки сетей которые находятся за микротиком, # в моём случае 192.168.1.0 с маской 255.255.255.0 это сеть, # а 172.21.108.1 это адрес микротика который мы указывали в PPP профиле route—method exe route—delay 2 route 192.168.1.0 255.255.255.0 172.21.108.1 |
Так же копируем в эту папку публичные сертификаты CA и клиента, и закрытый ключ клиента. Создаём файл auth.cfg вида
где user — имя пользователя, 123 — пароль, которые мы задавали в PPP-Secrets на микротике
На этом настройка клиента завершена, запускаем OpenVPN GUI и он начинает подключение
Внимание! В Win7 с включённым UAC, а также на Win8 и Win8.1 не зависимо от того включён или выключен UAC запускаем OpenVPN GUI только в режиме Запускать от имени администратора! В противном случаем у Вас не добавятся маршруты или и вовсе не произойдёт подключения.
при успешном подключении в трее появится сообщение
Как и прежде свои вопросы и пожелания вы можете оставлять в комментариях ниже.