On windows ifconfig is required when dev tun is used - Доктор Windows

wankdongs: OpenVpn Newbie; Posts: 4; Joined: Wed Feb 07, 2018 10:13 am

Trouble connecting client

Hello everyone,

I used this guide for setting up my https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-ubuntu-16-04
my openvpn server.

I changed only the port location which is listening and waiting for connection.
However my problem is that when i try to connect on windows i get this error :

Wed Feb 07 11:03:52 2018 us=914334 disabling NCP mode (—ncp-disable) because not in P2MP client or server mode
Options error: On Windows, —ifconfig is required when —dev tun is used
Use —help for more information.

My Tun0 interface and openvpn service seem to be running fine on my server and i have the tap driver installed on my local windows machine.

Should i be using TAP in the config or something ?
I also got an error previously from the first line in my client config which was the name of the client being client1 this error is me second one.

wankdongs: OpenVpn Newbie; Posts: 4; Joined: Wed Feb 07, 2018 10:13 am

Re: Trouble connecting client

Post

by wankdongs » Wed Feb 07, 2018 10:36 am

My client config:

dev tun
proto udp
remote redacted 667
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-128-CBC
auth SHA256
key-direction 1
comp-lzo
verb 4
mute 20

My server config:

port 667
proto udp
dev tun
ca ca.crt
cert ayypt.crt
key ayypt.key # This file should be kept secret
dh dh2048.pem
server 10.8.0.0 255.255.255.0
push «redirect-gateway def1 bypass-dhcp»
push «dhcp-option DNS 45.76.35.212»
push «dhcp-option DNS 91.239.100.100»
keepalive 10 120

tls-auth ta.key 0 # This file is secret
key-direction 0
cipher AES-128-CBC # AES
auth SHA256
comp-lzo
max-clients 1

persist-key
persist-tun

status /dev/null
log /dev/null
verb 4

wankdongs: OpenVpn Newbie; Posts: 4; Joined: Wed Feb 07, 2018 10:13 am

Re: Trouble connecting client

Post

by wankdongs » Thu Feb 08, 2018 2:57 pm

Why noone respond ? @admin

wankdongs: OpenVpn Newbie; Posts: 4; Joined: Wed Feb 07, 2018 10:13 am

Re: Trouble connecting client

Post

by wankdongs » Thu Feb 08, 2018 3:29 pm

What’s wrong with my way of requesting help ?
Pretty much all info needed is already specified.

My client OS is windows10(uptodate) and my server = Linux AyyPT 4.4.0-112-generic #135-Ubuntu SMP Fri Jan 19 11:48:36 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux

ifconfig:

ens3 Link encap:Ethernet HWaddr redacted
inet addr:redacted Bcast:redacted Mask:255.255.254.0
inet6 addr:redacted Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:42814 errors:0 dropped:0 overruns:0 frame:0
TX packets:32671 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:7396018 (7.3 MB) TX bytes:5213270 (5.2 MB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:16 errors:0 dropped:0 overruns:0 frame:0
TX packets:16 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1
RX bytes:1456 (1.4 KB) TX bytes:1456 (1.4 KB)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

TinCanTech: OpenVPN Protagonist; Posts: 11142; Joined: Fri Jun 03, 2016 1:17 pm

Re: Trouble connecting client

Post

by TinCanTech » Thu Feb 08, 2018 5:16 pm

wankdongs wrote: ↑

Thu Feb 08, 2018 3:29 pm

What’s wrong with my way of requesting help ?

Your way is the wrong way ..

For example ..

This error:

wankdongs wrote: ↑

Wed Feb 07, 2018 10:28 am

Wed Feb 07 11:03:52 2018 us=914334 disabling NCP mode (—ncp-disable) because not in P2MP client or server mode

Does not correspond to either of your posted config files which have both —client and —server respectively,
so that error message is irrelevant.

This error:

wankdongs wrote: ↑

Wed Feb 07, 2018 10:28 am

Options error: On Windows, —ifconfig is required when —dev tun is used
Use —help for more information.

Does not correspond to either of your posted config files which have both —client and —server respectively,
so that error message is irrelevant.

wankdongs wrote: ↑

Wed Feb 07, 2018 10:28 am

I used this guide for setting up my https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-ubuntu-16-04
my openvpn server.

We do not support 3rd party documentation, please Start here:
HOWTO: For OpenVPN Community Edition

yyy: OpenVpn Newbie; Posts: 7; Joined: Mon Aug 30, 2010 12:30 pm

Re: Trouble connecting client

Post

by yyy » Sat Feb 10, 2018 11:59 am

client config seems to be missing pull (server (with server net mask) would push ifconfig)

Источник

Содержание

OpenVPN Support Forum
Trouble connecting client
Trouble connecting client
Re: Trouble connecting client
Re: Trouble connecting client
Re: Trouble connecting client
Re: Trouble connecting client
OpenVPN соединяется, но не ходит в Интернет
OpenVPN проблемы с настройкой
unixforum.org
Решено: Не поднимается tun устройство при openvpn соединении
Решено: Не поднимается tun устройство при openvpn соединении
Re: Решено: Не поднимается tun устройство при openvpn соединении
Re: Решено: Не поднимается tun устройство при openvpn соединении
Re: Решено: Не поднимается tun устройство при openvpn соединении
Re: Решено: Не поднимается tun устройство при openvpn соединении
Развертывание VPN сети на основе OpenVPN от А до Я
Введение
Задача
Эскиз сети
Настраиваем сервер
Настройка учетных записей клиентов
Настройка клиентов
Диагностика и устранение неполадок

OpenVPN Support Forum

Community Support Forum

Trouble connecting client

Post by wankdongs » Wed Feb 07, 2018 10:28 am

I used this guide for setting up my https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-ubuntu-16-04
my openvpn server.

I changed only the port location which is listening and waiting for connection.
However my problem is that when i try to connect on windows i get this error :

My Tun0 interface and openvpn service seem to be running fine on my server and i have the tap driver installed on my local windows machine.

Re: Trouble connecting client

Post by wankdongs » Wed Feb 07, 2018 10:36 am

dev tun
proto udp
remote redacted 667
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-128-CBC
auth SHA256
key-direction 1
comp-lzo
verb 4
mute 20

tls-auth ta.key 0 # This file is secret
key-direction 0
cipher AES-128-CBC # AES
auth SHA256
comp-lzo
max-clients 1

status /dev/null
log /dev/null
verb 4

Re: Trouble connecting client

Post by wankdongs » Thu Feb 08, 2018 2:57 pm

Re: Trouble connecting client

Post by TinCanTech » Thu Feb 08, 2018 3:22 pm

Re: Trouble connecting client

Post by wankdongs » Thu Feb 08, 2018 3:29 pm

My client OS is windows10(uptodate) and my server = Linux AyyPT 4.4.0-112-generic #135-Ubuntu SMP Fri Jan 19 11:48:36 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux

Источник

OpenVPN соединяется, но не ходит в Интернет

routes.sh Пока пустой

Соединение OpenVPN (GUI) у Windows 7 происходит без проблем, а вот в Интернет через сервер ходить не хочет!

Естественно при соединении ничего из 192.168.2.0 не пингуется, кроме самого клиента

Чего то не хватает или команда не правильно построена?

Нет, это я тебе дал для FreeBSD, изначально ведь ты не указал, что у тебя Mac OS X

Понял, добавил правило еще раз! Но всеравно не ходит через него! Я заметил что на клиенте в Windows 7 в команде ipconfig на интерфейсе где 10.8.0.2 нету шлюза, так и должно быть?

Так не должно быть, но вполне может быть по Windows, особенно если ты запускаешь openvpn от юзера без привелегий Администратора или UAC препятствует openvpn добавить роуты.

OpenVPN всегда запускается с админскими правами, контроль учетных записей (UAC) давно отключен! А от куда Windows 7 знает через какой интерфейс ходить в Интернет? У меня же теперь как две локальный сети! Как исправить проблему с недобавлением шлюза? Сам шлюз ведь пингуется!

Правильно ли я понимаю что в простейшей конфигурации которую я привел, 10.8.0.1 сервер (в том числе и DHCP), 10.8.0.2 клиент, а 10.8.0.0 просто зарезервирован?

А от куда Windows 7 знает через какой интерфейс ходить в Интернет?

Openvpn сам ставит default route.

route add 10.8.0.0 mask 255.255.255.0 10.8.0.2

Попробуй, вроде так, только там может быть с больших букв, оффтопик ведь.

Все, теперь пингуется с обоих сторон. Надо было выключить брандмаузер в Windows 7.

На ЛОРе не хватает отдельного раздела для дислексиков.

Попробовал, безрезультатно! Шлюз у клиента также остается пустым

Ты издеваешься? push «redirect-gateway def1» в конфиг сервера добавил?

Конечно добавлено! Честно, я сам устал от этой проблемы, но решить ее надо!

Покажи лог клиента.

🙁 verb 4 в конфиг клиента, а то тут про роуты вообще ничего не видно.

Wed Jul 16 18:38:40 2014 ******* WARNING *******: all encryption and authentication features disabled — all data will be tunnelled as cleartext

Это что еще за хрень?

Удали/отключи всякую бяку типо антивирусов, вшивых firewall’ов на винде. После того как заработает, отпиши, что это такое наглое было.

Это он сам подал запрос на дисконнект.

Это он сам подал запрос на дисконнект.

Отключил Касперский! Теперь лог выглядит так:

Именно когда делаешь запрос на дисконнект, добавляется запись как и сейчас

Wed Jul 16 18:59:57 2014 SIGTERM[hard,] received, process exiting

Так я же подключаюсь без всяких ключей/файлов шифровая, простейшая конфигурация, вот он и пишет

Может еще какие то логи нужны?

Отключил Касперский! Теперь лог выглядит так:

verb какой в конфиге клиента стоит? Почему тебя нужно просить по несколько раз что-то сделать?

Короче дальше я только за валюту :>
После того, как ты отключил, работает?

Чувствую сейчас откроется, что у него еще два антивируса, а Windows 7, на самом деле слитый Longhorn с трекера

сейчас откроется, что у него еще два антивируса, а Windows 7, на самом деле слитый Longhorn с трекера

Как у вас еще нервов хватает на это?

ТС’у прямой путь в раздел Job.

Спасибо, поржал, но не так все печально как думается! Windows 7 девственно чистый, слитый с MSDN

Извиняюсь, не заметил

Он в виртуалке или нет? Если, да то в какой?

Это сервер в Дата Центре

Мдаа. А теперь покажи ТЕКУЩИЙ конфиг сервера. Залей на codeo.me, пожалуйста.

На Windows 7?
Проверь openvpn на другом компьютере, в котором точно уверен, лучше с GNU/Linux. Можешь использовать live-cd. Чтобы быть уверенным в работе openvpn сервера. Потом если все нормально с openvpn server’ом, дай полный route table c Windows. (возможно он и сам что-то тебе подскажет). До и после vpn соединения. Возможно проблема, совсем на другом уровне. Вроде как здесь, но это уже гадание на бобовой гуще, без достаточной информации.

А дальше если все так останется неясно, то думаю обратиться в Job будет лучшей идей, где и я могу тоже взяться за твою проблему за символическую плату. (естественно понадобится доступ, к клиенту если с сервером все нормально, а если нет то и к серверу и к клиенту).

Проверь openvpn на другом компьютере, в котором точно уверен, лучше с GNU/Linux.

Так у него сервер дефолт гв не пушит.

Только, как он сказал ‘push «redirect-gateway def1 bypass-dhcp»’ есть.

Наверно стоит добавить, что там не должно быть #.
Эммм. 🙂

Наверное нужно учиться на простейшем конфиге, а потом усложнять по необходимости.

Сервер в Дата Центре на OS X Mavericks, это только клиент на Windows 7.

Источник

OpenVPN проблемы с настройкой

Зарегистрирован: 24.09.2004
Пользователь #: 20,993
Сообщения: 35198

spacer rex_3
Windows guru
win Windows guru » title=» Windows guru » border=»0″/>

Зарегистрирован: 24.09.2004
Пользователь #: 20,993
Сообщения: 35198

Зарегистрирован: 19.09.2006
Пользователь #: 43,024
Сообщения: 230

Источник

unixforum.org

Форум для пользователей UNIX-подобных систем

Решено: Не поднимается tun устройство при openvpn соединении

Модератор: SLEDopit

Решено: Не поднимается tun устройство при openvpn соединении

Сообщение enki » 16.01.2006 18:06

Mon Jan 16 17:36:50 2006 TUN/TAP device tun0 opened
Mon Jan 16 17:36:50 2006 /sbin/ifconfig tun0 192.168.114.159 pointopoint 255.255.255.0 mtu 1500
SIOCSIFDSTADDR: Invalid argument
Mon Jan 16 17:36:50 2006 Linux ifconfig failed: shell command exited with error status: 1
Mon Jan 16 17:36:50 2006 Exiting

У меня вообще не поднимается tun устройство(поднимается tap)
Модуль tun загружен.
Устройство /dev/net/tun создано, а также созданы /dev/tap0 и /dev/tap1

Не понимаю в чем причина?

Re: Решено: Не поднимается tun устройство при openvpn соединении

Сообщение olmibest » 26.01.2006 13:10

Re: Решено: Не поднимается tun устройство при openvpn соединении

Сообщение slayer » 01.02.2006 08:23

Re: Решено: Не поднимается tun устройство при openvpn соединении

Сообщение olmibest » 05.02.2006 13:49

Re: Решено: Не поднимается tun устройство при openvpn соединении

Сообщение gbnet » 28.01.2011 13:58

У меня такая же проблема tun не поднимается
cat /etc/openvpn/server.conf
local 192.168.x.x
management localhost 7505
port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key # This file should be kept secret
dh /etc/openvpn/keys/dh1024.pem
crl-verify /etc/openvpn/keys/crl.pem
server 192.168.x.0 255.255.255.0
ifconfig-pool-persist ipp.txt
route 192.168.x.0 255.255.255.0
push «route 192.168.x.0. 255.255.255.0»
push «route 192.168.x.0 255.255.255.0»
keepalive 10 120
persist-key
persist-tun
status openvpn-status.log
verb 3
client-config-dir /etc/openvpn/ccd
client-to-client

при попытки подключится клиенту пишет
/sbin/ifconfig tun0 192.168.x.0 pointopoint 255.255.255.0 mtu 1500
SIOCSIFDSTADDR: Invalid argument
Linux ifconfig failed: shell command exited with error status: 1
Exiting

Источник

Развертывание VPN сети на основе OpenVPN от А до Я

Введение

Задача

Наверно нет смысла рассказывать для чего используются VPN. Я приведу реальную задачу и расскажу как ее достичь.
Основная задача — это безопасное и простое решение доступа к внутренним ресурсам моих серверов.
Первый сервер является «домашним» серверов, подключенный к широкополосному соединению в городе под управлением CentOS 5.5, выполняющий различные функции, в том числе шлюза для квартирной сети. Назовем его CITY. Квартирная сеть использует адреса 192.168.22.0/24 и 192.168.21.0/24.
Второй сервер установлен на дальнем объекте, например, за городом на даче. Сервер работает под управлением CentOS 5.5 и выполняет функции шлюза для дачной сети и тоже выполняет другие задачи. Доступ в сеть осуществляется с помощью недорогого доступа по технологии 3G — в сервер воткнут USB 3g-модем и настроено устойчивое соединение. Назовем его CAMP. Дачная сеть использует адреса 192.168.23.0/24 и адреса 192.168.24.0/24.
А еще у меня есть ноутбук под управлением Windows XP, который вместе с владельцем попадает в разные сети, в том числе из дома, с работы и прочих гостевых мест, где есть доступ в Интернет. Назовем его NOTEBOOK.
Я хочу иметь доступ с ноутбука на мой домашний сервер CITY, в том числе к файлопомойке по NetBIOS и пр. А еще я хочу иметь доступ на сервер CAMP.
В случае CITY некоторые проблемы доступа можно решить публичным IP адресом. Но для CAMP публичный IP адрес у мобильных операторов практически недоступен или стоит неоправданно дорого для частного использования. А обычные клиенты работают через NAT. На ноутбуке проблемы сходные — как правило, везде NAT, бывают публичные открытые сети, где весь трафик виден всем пользователям.
Решением этих проблем является использование OpenVPN для связи всех компьютеров в единую сеть, заодно, защищенную от посторонних глаз.

Эскиз сети

CITY всегда включен и имеет внешний IP адрес, допустим 22.33.44.55, находится на широком и устойчивом канале, поэтому он будет сервером VPN.
А CAMP и NOTEBOOK клиентами VPN.
Сеть с адресами 192.168.25.0/24 выделяем под VPN.
Мы разрешим роутинг, чтобы видить все нужные сети.

Настраиваем сервер

Итак шаги для настройки сервера на базе СentOS, впрочем они легко применимы и для FedoraProject и собственно RedHat Enterprise Linux и прочим RPM based дистрибутивам, ну а с небольшими изменениями вполне должны работать по Debian/Ubuntu.
На всякий случай, выключите репозиторий rpmforge, т.к. в нем openvpn собран с неверными путями. Я использую репозиторий epel для установки OpenVPN.
Ставим openvpn:

переходим в рабочий каталог

Настраиваем параметры сервера (необязательно):

Инициализируем переменные окружения, для последующего запуска скриптов:

Очищаем все на всякий случай:

Создаем сертификат CA

Создаем сертификат X.509

Создаем ключ Диффи-Хеллмана

Создаем ta.key (TLS сертификат)

Настраиваем конфигурацию сервера:

Вот такой конфиг файл я использую:

В этом варианте я использую файлы ключей и сертификатов по тем путям, где они реально находятся.
На время отладки оставляем уровень детализации журналов verb 5, затем его можно переключить на verb 1. Это надо сделать обязательно. Максимальный размер журнала — 2 Гб. При достижении этого лимита OpenVPN прекратит работу. Поэтому нужно уменьшить детализацию журналирования и настроить ротацию журнала средствами ОС — logrotate.
log-append перенастроен на нормальное место для записи логов сервера.
client-to-client разрешает трафик между клиентами.
Параметр client-config-dir указывает, где хранятся настройки подключения для каждого клиента. Создаем каталог /etc/openvpn/ccd

В принципе сервер настроен, можно его перезапустить:

Не забудьте прописать автоматический запуск сервиса при перезагрузке системы.

А еще надо настроить firewall для разрешения трафика OpenVPN. Я использую исторически скрипт /etc/rc.d/rc.firewall, который настраивает все цепочки, так как мне надо. Поэтому команды мои выглядят примерно так:

для идеологически правильного /etc/sysconfig/iptables строчка будут выглядить примерно так:

Через интерфейс настройки firewall команды setup нужно добавить в список портов через пробел строчку:

Для разрешения трафика между клиентами я использую команду:

а для разрешения трафика между подсетями:

В общем, у нас сервер окончательно настроен. Проверяем.
Наличие процесса:

и обязательно должен присутствовать интерфейс tun0, если других VPN не запущено.

Настройка учетных записей клиентов

Для генерации и подписывания сертификатов используются два скрипта:

— для создания сертификата с паролем и

— для сертификата без пароля.
В первом случае для использования сертификата придется каждый раз вводить пароль, для пользователей, такой способ обеспечивает снижение рисков в случае попадания ноутбука в чужие руки. Для автоматического входа в сеть, сертификат нужно создавать без пароля.
Создаем аккаунт для ноутбука:
заходим в каталог

инициализируем окружение командой:

генерируем ключ для пользователя notebook с паролем:

в подкаталоге ./keys появится комплект файлов для авторизации.
А еще для клиента нужно настроить параметры сети, которые находятся в файлах с именем клиента /etc/openvpn/ccd/, в данном случае нужно редактировать файл notebook:

В моем случае, у меня есть свой DNS сервер по адресу 192.168.22.1, он обслуживает локальную DNS зону mynetwork, для настройки я добавлю в файл две строки:

— укажем клиенту какой использовать DNS сервер

— укажем зону по умолчанию для поиска имен DNS.
Поскольку мой сервер CITY имеет две подсети 192.168.22.0/24 и 192.168.21.0/24 и я хочу чтобы клиент мог их видеть, то нужно настроить маршруты, добавляем две строчки:

Теперь тоже самое делаю для клиента CAMP:
заходим в каталог

инициализируем окружение командой:

генерируем ключ для пользователя camp с паролем:

Настраиваем параметры сетевого доступа:

Итак, настроен сервер, созданы две учетные записи для клиентов camp и notebook.
При подключении camp получит адрес 192.168.25.9, а notebook 192.168.25.5
Теперь дело за настройкой клиентов.

Настройка клиентов

Для работы клиентов из каталога
/usr/share/openvpn/easy-rsa/2.0/keys/
забираем следующие файлы:
ca.crt — сертификат сервера
ta.key — tls сертификат
%username%.crt — персональный сертификат
%username%.key — персональный ключ

Настройка клиента под Windows XP на NOTEBOOK

Ставим openvpn вместе с GUI:
http://www.openvpn.net/index.php/open-source/downloads.html
например:
http://swupdate.openvpn.net/community/releases/openvpn-2.2-beta5-install.exe
Надо перегрузить систему, чтобы завершить установку VPN интерфейса.
Копируем клиентские файлы в каталог «C:Program FilesOpenVPNconfig»
В данном случае, это:
ca.crt
ta.key
notebook.crt
notebook.key

Создаем файл конфигурации клиента notebook.ovpn:

В этом файл выключена запись в файл журнала, в противном случае OpenVPN-GUI не сможет контролировать работу клиента.
Если мы создали сертификат с паролем — нам придется устанавливать соединение всегда руками, т.к. потребуется ввод пароля:
1. Запускаем GUI.
2. В контекстном меню увидим пункт notebook, выбираем connect. Появляется окно журнал работы и запрос пароля на сертификат.
Если используем сертификат без пароля, можно использовать службу OpenVPN:
1. Запускаем services.msc
2. Находим OpenVPN service и ставим автоматический запуск и запускаем службу.
В обоих случаях при успехе — соединение установится, красные цвета иконки OpenVPN-GUI поменяют на зеленые. Будет присвоен адрес 192.168.25.5

Настройка клиента под CentOS на сервере CAMP

забираем клиентские файлы в каталог /etc/openvpn/:

Разрешаем соединение в firewall. Само главное — обратные пакеты UDP пустить:
Я делаю так в своем любимом /etc/rc.d/rc.firewall:

В принципе, клиент настроен, можно его перезапустить:

Не забываем обеспечить автостарт сервиса при перезагрузке.
Если все в порядке — появится интерфейс tun0, ему будет присвоен адрес 192.168.25.9

Наша VPN сеть запущена. Командой ping и доступом к известным сервисам проверяем работоспособность сети.

Диагностика и устранение неполадок

Основные средства проверки работы — это ping и tcpdump. Большинство ошибок выявляются этими командами.
Например, командой

я могу прослушать трафик сервера и убедиться, что сервер видит пакеты и отвечает на них.

Судя по ошибкам — Адаптер VPN не работает под Windows.

Если установлен OpenVPN для Windows, но систему еще не перегружали — Перегрузите систему после установки OpenVPN.

При установке соединения выводится ошибка про журнал.

Если включено ведение журнала в файл, то OpenVPN-GUI может иметь проблемы при поднятии соединения, особенно на этапе запроса пароля. Помогает выключение ведения журнала и высокой детализации, нужно открыть *.ovpn файл и закомментировать две строчки (они в конце) вот так:

Нет соединения.

Со стороны клиента нужно сделать пинг на адрес сервера — ping 22.33.44.55. Если не отвечает — устранить причину.
Под Windows убедиться, что openvpn.exe, openvpn-gui.exe и openvpnserv.exe не заблокирован персональным фаерволом или антивирусом.
Просмотреть ошибки в консоли и логе openvpn.log и погуглить их

Соединение не устанавливается — пакет пришел не «с того адреса».

Источник

0

3

Конфиг сервера:

port 1194
proto udp
dev tap
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
ifconfig-pool-persist /etc/openvpn/ipp.txt
server-bridge 192.168.2.2 255.255.255.0 192.168.2.224 192.168.2.254
push "redirect-gateway def1 bypass-dhcp"
script-security 2
up /etc/openvpn/scripts/up.sh
learn-address /etc/openvpn/scripts/routes.sh
client-to-client
duplicate-cn
keepalive 10 60
comp-lzo
persist-key
persist-tun
verb 3
up.sh
/usr/sbin/sysctl -w net.link.ether.inet.proxyall=1
/usr/sbin/sysctl -w net.inet.ip.forwarding=1
/sbin/ifconfig bridge0 addm tap0

routes.sh
Пока пустой

Конфиг клиента:

client
dev tap
proto udp
remote 65.105.72.140 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
comp-lzo
verb 3
Лог
Sun Jul 13 01:43:49 2014 C:WINDOWSsystem32route.exe ADD 65.105.72.140 MASK 255.255.255.255 192.168.1.1
Sun Jul 13 01:43:49 2014 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Sun Jul 13 01:43:49 2014 Route addition via IPAPI succeeded [adaptive]
Sun Jul 13 01:43:49 2014 C:WINDOWSsystem32route.exe ADD 0.0.0.0 MASK 128.0.0.0 192.168.2.2
Sun Jul 13 01:43:49 2014 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Sun Jul 13 01:43:49 2014 Route addition via IPAPI succeeded [adaptive]
Sun Jul 13 01:43:49 2014 C:WINDOWSsystem32route.exe ADD 128.0.0.0 MASK 128.0.0.0 192.168.2.2
Sun Jul 13 01:43:49 2014 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Sun Jul 13 01:43:49 2014 Route addition via IPAPI succeeded [adaptive]
Sun Jul 13 01:43:49 2014 Initialization Sequence Completed

Соединение OpenVPN (GUI) у Windows 7 происходит без проблем, а вот в Интернет через сервер ходить не хочет!

ifconfig
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet 127.0.0.1 netmask 0xff000000
gif0: flags=8010<POINTOPOINT,MULTICAST> mtu 1280
stf0: flags=0<> mtu 1280
en0: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=10b<RXCSUM,TXCSUM,VLAN_HWTAGGING,AV>
        ether a8:13:11:1c:7b:a1
        inet 65.105.72.140 netmask 0xfffffc00 broadcast 65.105.75.255
        inet 65.105.75.185 netmask 0xfffffc00 broadcast 65.105.75.255
        inet 192.168.2.2 netmask 0xfffffc00 broadcast 192.168.3.255
        media: autoselect (100baseTX <full-duplex,flow-control>)
        status: active
-
-
-
-
-
-
bridge0: flags=8822<BROADCAST,SMART,SIMPLEX,MULTICAST> mtu 1500
        options=3<RXCSUM,TXCSUM>
        ether ab:30:33:a1:09:00
        Configuration:
                id 0:0:0:0:0:0 priority 0 hellotime 0 fwddelay 0
                maxage 0 holdcnt 0 proto stp maxaddr 100 timeout 1200
                root id 0:0:0:0:0:0 priority 0 ifcost 0 port 0
                ipfilter disabled flags 0x2
        member: en2 flags=3<LEARNING,DISCOVER>
                ifmaxaddr 0 port 6 priority 0 path cost 0
        member: tap0 flags=3<LEARNING,DISCOVER>
                ifmaxaddr 0 port 10 priority 0 path cost 0
        media: <unknown type>
        status: inactive
tap0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        ether 0f:f6:79:93:9a:1c
        open (pid 26491)

netstat -ran
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            65.105.72.1        UGSc           48        0     en0
5.255.253.147      65.105.72.1        UGHWIi          1       44     en0
23.43.133.163      65.105.72.1        UGHWIi          1        6     en0
37.46.242.108      65.105.72.1        UGHW3I          0       17     en0   3368
37.58.100.91       65.105.72.1        UGHW3I          0        3     en0   3260
37.58.100.140      65.105.72.1        UGHW3I          0       14     en0   3401
37.58.100.148      65.105.72.1        UGHW3I          0        6     en0   3289
37.58.100.154      65.105.72.1        UGHW3I          0       15     en0   3460
61.174.51.219      65.105.72.1        UGHWIi          3       89     en0
66.249.65.107      65.105.72.1        UGHW3I          0       36     en0   3461
66.249.67.33       65.105.72.1        UGHW3I          0       42     en0   3550
66.249.67.46       65.105.72.1        UGHW3I          0       53     en0   3368
66.249.67.59       65.105.72.1        UGHW3I          0       66     en0   3582
66.249.67.107      65.105.72.1        UGHW3I          0       56     en0   3434
74.82.47.25        65.105.72.1        UGHW3I          0        1     en0   3499
94.250.234.118     65.105.72.1        UGHW3I          0        6     en0   3256
95.211.37.197      65.105.72.1        UGHW3I          0        7     en0   3289
101.226.166.196    65.105.72.1        UGHW3I          0       20     en0   3374
101.226.166.204    65.105.72.1        UGHW3I          0        4     en0   3260
101.226.166.205    65.105.72.1        UGHW3I          0       12     en0   3379
101.226.166.206    65.105.72.1        UGHW3I          0        7     en0   3312
127                127.0.0.1          UCS             0        0     lo0
127.0.0.1          127.0.0.1          UH              8    10706     lo0
169.254            link#4             UCS             0        0     en0
180.76.5.71        65.105.72.1        UGHW3I          0       16     en0   3502
180.76.6.133       65.105.72.1        UGHW3I          0       16     en0   3325
182.118.20.224     65.105.72.1        UGHW3I          0       88     en0   3566
182.118.20.225     65.105.72.1        UGHW3I          0       70     en0   3558
182.118.20.227     65.105.72.1        UGHW3I          0       17     en0   3545
185.56.80.133      65.105.72.1        UGHW3I          0        7     en0   3423
185.56.80.137      65.105.72.1        UGHW3I          0       14     en0   3578
192.168.1.35       65.105.72.1        UGHW3I          0        1     en0   3502
192.227.245.117    65.105.72.1        UGHW3I          0        2     en0   3495
202.66.32.116      65.105.72.1        UGHW3I          0        1     en0   3377
208.115.113.85     65.105.72.1        UGHW3I          0        6     en0   3289
212.30.134.167     65.105.72.1        UGHW3I          0        9     en0   3582
212.30.134.174     65.105.72.1        UGHW3I          0        8     en0   3589
217.195.49.131     65.105.72.1        UGHWIi          1       46     en0
224.0.0.251        65.105.72.1        UGHmW3I         0        0     en0   3549

Естественно при соединении ничего из 192.168.2.0 не пингуется, кроме самого клиента

Источник

Topic: dev tun also requires ifconfig (Read 1632 times)

I need to setup a VPN between a single device at office A to connect to 2 — 3 devices at site B. I using openVPN but unable to get a successful connection with log indicating:

2022-03-25 19:38:38 open_tun 2022-03-25 19:38:38 tap-windows6 device [OpenVPN TAP-Windows6] opened 2022-03-25 19:38:38 ERROR: --dev tun also requires --ifconfig 2022-03-25 19:38:38 Exiting due to fatal error
My local config looks like this:

dev tun persist-tun persist-key cipher AES-128-CBC auth SHA1 client resolv-retry infinite remote REMOTESITEIP 1194 udp lport 0 remote-cert-tls server pkcs12 Acme_DC_VPN_intellihost.p12 tls-auth Acme_DC_VPN_intellihost-tls.key 1
On the server side, I have the following:

Peer to Peer
UDP
TAP
IPv4 Tunnel Network: 192.168.231.0/30
I want to give access to network 192.168.230.0/30

From what I can gather, I need to specify in my config file what IP address the connecting device would get (I assume then in the 192.168.231.0/30 range like 192.168.231.2? I am able to connect fine using TUN, TAP however gives the above.

Logged

If you set server to tap why not set the client to tap as well?

Cheers,
Franco

Logged

If using tap the remote device is bridged into your local LAN so regularly the IP address is not provided by OpenVPN but by you local DHCP server. If you want to use a routed subnet — which I would recommend for reasons I don’t have the time to explain en detail just now, please just take that bridged VPN has «issues», always — then you need to use tun instead of tap.

HTH,
Patrick

Logged

Supermicro A2SDi-4C-HLN4F mainboard and SC101F chassis
16 GB ECC memory
Crucial MX300 275 GB SATA 2.5″ plus
Crucial MX300 275 GB SATA M.2 (ZFS mirror)
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

Источник

Модератор: SLEDopit

vei: Сообщения: 102; ОС: debian 4.0

Connect client-Server

Open Vpn Debian 4 Linux — start OK!
Перехожу на рабочую станцию XP и когда пытаюсь Connect ,
то No server certificate verification method has been enabled
Почему это происходит? Ругается только на сертификат и еще на ключ ta. Ссылки на этот ключ на сервере и клиенте я убрал и теперь не ругается , а вот на сертификат — см .выше. Я так понял ,что наличие ta.key не обязательно?
Или это как то связано?

vei: Сообщения: 102; ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei » 24.06.2008 13:20

vei писал(а): ↑

24.06.2008 13:04

Open Vpn Debian 4 Linux — start OK!
Перехожу на рабочую станцию XP и когда пытаюсь Connect ,
то No server certificate verification method has been enabled
Почему это происходит? Ругается только на сертификат и еще на ключ ta. Ссылки на этот ключ на сервере и клиенте я убрал и теперь не ругается , а вот на сертификат — см .выше. Я так понял ,что наличие ta.key не обязательно?
Или это как то связано?

Вот фрагмент моего лога при попыте соединиться
OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Tue Jun 24 13:23:31 2008 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Tue Jun 24 13:23:31 2008 LZO compression initialized
Tue Jun 24 13:23:31 2008 Control Channel MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Tue Jun 24 13:23:31 2008 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Jun 24 13:23:31 2008 Local Options hash (VER=V4): ‘1a40e822’
Tue Jun 24 13:23:31 2008 Expected Remote Options hash (VER=V4): ‘d8e6e8ce’
Tue Jun 24 13:23:31 2008 Attempting to establish TCP connection with 212.45.5.36:1194
Tue Jun 24 13:23:31 2008 TCP connection established with 212.45.5.36:1194
Tue Jun 24 13:23:31 2008 TCPv4_CLIENT link local: [undef]
Tue Jun 24 13:23:31 2008 TCPv4_CLIENT link remote: 212.45.5.36:1194
Tue Jun 24 13:23:31 2008 TLS: Initial packet from 212.45.5.36:1194, sid=be234d9e 259082fd
Tue Jun 24 13:23:31 2008 VERIFY ERROR: depth=0, error=unable to get local issuer certificate: /C=RU/ST=RU/L=MOSKVA/O=KRC/OU=TO/CN=vpn1/emailAddress=ve@krc.ru
Tue Jun 24 13:23:31 2008 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Tue Jun 24 13:23:31 2008 TLS Error: TLS object -> incoming plaintext read error
Tue Jun 24 13:23:31 2008 TLS Error: TLS handshake failed
Tue Jun 24 13:23:31 2008 Fatal TLS error (check_tls_errors_co), restarting

vei: Сообщения: 102; ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei » 24.06.2008 14:27

IMB писал(а): ↑

24.06.2008 13:59

А Вы по рекомендованной ссылке ходить пробовали?

Конечно. И на родной HOWTO и перевод нашел. Но видимо я не понимаю какой-то основной принцип.
Я сгенерировал все необходимые ключи и сертификаты для сервера и клиентов. Клиентские разместил в конфиге и ссылки на них в файле client.opvn сделал. Что еще не так? Подскажите. Я лог конекта выложил.

vei: Сообщения: 102; ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei » 24.06.2008 17:11

IMB писал(а): ↑

24.06.2008 14:51

У Вас в конфиге клиента есть строка ns-cert-type server?

Не было. Сейчас вставил. Есть ошибки. Вот лог
OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Tue Jun 24 17:14:55 2008 Control Channel Authentication: using ‘ta.key’ as a OpenVPN static key file
Tue Jun 24 17:14:55 2008 Outgoing Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
Tue Jun 24 17:14:55 2008 Incoming Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
Tue Jun 24 17:14:55 2008 LZO compression initialized
Tue Jun 24 17:14:55 2008 Control Channel MTU parms [ L:1576 D:168 EF:68 EB:0 ET:0 EL:0 ]
Tue Jun 24 17:14:55 2008 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Jun 24 17:14:55 2008 Local Options hash (VER=V4): ’89f33c77′
Tue Jun 24 17:14:55 2008 Expected Remote Options hash (VER=V4): ‘9de5f9b6’
Tue Jun 24 17:14:55 2008 Attempting to establish TCP connection with 212.45.5.36:1194
Tue Jun 24 17:14:55 2008 TCP connection established with 212.45.5.36:1194
Tue Jun 24 17:14:55 2008 TCPv4_CLIENT link local: [undef]
Tue Jun 24 17:14:55 2008 TCPv4_CLIENT link remote: 212.45.5.36:1194
Tue Jun 24 17:14:55 2008 TLS: Initial packet from 212.45.5.36:1194, sid=b1251a72 e299c6bf
Tue Jun 24 17:14:55 2008 Authenticate/Decrypt packet error: packet HMAC authentication failed
Tue Jun 24 17:14:55 2008 TLS Error: incoming packet authentication failed from 212.45.5.36:1194
Tue Jun 24 17:14:55 2008 Fatal TLS error (check_tls_errors_co), restarting
Tue Jun 24 17:14:55 2008 TCP/UDP: Closing socket
Tue Jun 24 17:14:55 2008 SIGUSR1[soft,tls-error] received, process restarting

Не знаю, что такое TLS и что за ошибки с этим связанные?

IMB: Сообщения: 2555; ОС: Debian

Re: Connect client-Server

Сообщение

IMB » 24.06.2008 17:33

Не понимаю что у Вас вызывает такие проблемы.
Позволю себе привести свои конфиги.
Клиент (WindowsXP SP2, openvpn-gui):

Код: Выделить всё

client
dev tap
dev-type tun
proto udp
remote <ip/name>
resolv-retry infinite
nobind
persist-key
persist-tun
pkcs12 "C:\Program Files\OpenVPN\key\certificate.p12"
tls-auth "C:\Program Files\openVPN\key\ta.key" 1
ns-cert-type server
comp-lzo
verb 3

Сервер (DebianEtch):

Код: Выделить всё

local <ip>
port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
;crl-verify /etc/openvpn/keys/crl.pem
server <ip mask>
ifconfig-pool-persist ipp.txt
client-config-dir ccd
ccd-exclusive
;disable
keepalive 10 120
tls-auth /etc/openvpn/keys/ta.key 0
tls-remote Client
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log-append /var/log/openvpn.log

Предварительные испытания с данными конфигами прошли удачно.

vei: Сообщения: 102; ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei » 25.06.2008 12:42

Я подправил кое-что с учетом того, что у меня proto tcp dev tap
Сейчас соединение проходит. Я получил для клиента IP но, при запуске Connect получаю сообщение об ошибке открытия лог файла для клиента1 и что возможно у меня нехватает административных привилегий для run Openvpn. Я нажимаю ОК! Окно с сообщением об ошибке пропадает и я благополучно получая сообщение о состоявшемся коннекте и назначенном мне IP. Я лезу в ЛОГ и вот строки с ошибками
Authenticate/Decrypt packet error: packet HMAC authentication failed
Wed Jun 25 10:13:53 2008 TLS Error: incoming packet authentication failed from 212.45.5.36:1194
Wed Jun 25 10:13:53 2008 Fatal TLS error (check_tls_errors_co), restarting
Что это значит.? Где что поправить?

IMB: Сообщения: 2555; ОС: Debian

Re: Connect client-Server

Сообщение

IMB » 25.06.2008 14:37

при запуске Connect получаю сообщение об ошибке открытия лог файла для клиента1

Создайте папку log в директории openvpn.

Я лезу в ЛОГ и вот строки с ошибками
Authenticate/Decrypt packet error: packet HMAC authentication failed
Wed Jun 25 10:13:53 2008 TLS Error: incoming packet authentication failed from 212.45.5.36:1194
Wed Jun 25 10:13:53 2008 Fatal TLS error (check_tls_errors_co), restarting
Что это значит.? Где что поправить?

Приведите свои конфиги клиента и сервера.

vei: Сообщения: 102; ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei » 25.06.2008 16:03

Это конфиг сервера

Код:


dev tap

proto tcp

server 192.168.3.0 255.255.255.0

comp-lzo

log /tmp/openvpn.log

daemon

ifconfig-pool-persist /ets/openvpn/ipp.txt

tls-server

ca /etc/openvpn/keys/ca.crt

cert /etc/openvpn/keys/servervpn1.crt

key /etc/openvpn/keys/servervpn1.key

dh /etc/openvpn/keys/dh1024.pem

tls-auth /etc/openvpn/keys/ta.key 0

port 1194

user nobody

group nogroup

persist-tun

persist-key

verb 3

cipher DES-EDE3-CBC

keepalive 300 1000

verb 3
Это конфиг клиента

client

pull

proto tcp-client

remote 212.45.5.36

port 1194

dev tap
resolv-retry infinite

redirect-gateway

persist-tun

persist-key
tls-client

tls-auth ta.key 1

dh dh1024.pem

ca ca.crt

cert client1.crt

key client1.key
cipher DES-EDE3-CBC

comp-lzo

verb 3

vei: Сообщения: 102; ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei » 25.06.2008 17:39

IMB писал(а): ↑

25.06.2008 14:37

при запуске Connect получаю сообщение об ошибке открытия лог файла для клиента1

Создайте папку log в директории openvpn.

Я лезу в ЛОГ и вот строки с ошибками
Authenticate/Decrypt packet error: packet HMAC authentication failed
Wed Jun 25 10:13:53 2008 TLS Error: incoming packet authentication failed from 212.45.5.36:1194
Wed Jun 25 10:13:53 2008 Fatal TLS error (check_tls_errors_co), restarting
Что это значит.? Где что поправить?

Приведите свои конфиги клиента и сервера.

Самое интересное, что папка лог на месте. И в ней есть файл client1.log. И там есть информация. То есть он пишет туда, а при загрузке сообщает , что ошибка открытия файла client1.log для записи. Пути все правильные.

IMB: Сообщения: 2555; ОС: Debian

Re: Connect client-Server

Сообщение

IMB » 25.06.2008 18:36

Насколько хватает моего опыта проблемы должны быть не из-за конфигов. Несколько не очень критичных замечаний
сервер: можно убрать tls-server, выбор режима server уже предполагает tls-server
клиент: можно убрать pull и tls-client, режим client их предполагает, не нужна запись о dh-ключе и почему у Вас ключи без полного пути
Ваши проблемы возможно связаны с tcp-протоколом, измените на udp и посмотрите на изменения.

По поводу ошибки с логом. В Windows лог имеет тоже название что и конфигурационный файл. У Вас конфиг клиента называется client1?

vei: Сообщения: 102; ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei » 25.06.2008 19:22

IMB писал(а): ↑

25.06.2008 18:36

Насколько хватает моего опыта проблемы должны быть не из-за конфигов. Несколько не очень критичных замечаний
сервер: можно убрать tls-server, выбор режима server уже предполагает tls-server
клиент: можно убрать pull и tls-client, режим client их предполагает, не нужна запись о dh-ключе и почему у Вас ключи без полного пути
Ваши проблемы возможно связаны с tcp-протоколом, измените на udp и посмотрите на изменения.

По поводу ошибки с логом. В Windows лог имеет тоже название что и конфигурационный файл. У Вас конфиг клиента называется client1?

Да. Но client1.ovpn находится в папке config, а папка с логом находится в Openvpn.

IMB: Сообщения: 2555; ОС: Debian

Re: Connect client-Server

Сообщение

IMB » 25.06.2008 19:34

Странно, должно все работать. Вот как выглядит директория openvpn у меня:

Код: Выделить всё

 Содержимое папки C:Program FilesOpenVPN

20.06.2008  20:13    <DIR>          .
20.06.2008  20:13    <DIR>          ..
20.06.2008  20:10    <DIR>          bin
20.06.2008  20:11    <DIR>          config
20.06.2008  20:10    <DIR>          driver
30.01.2008  03:59            15 086 icon.ico
30.01.2008  04:40               902 INSTALL-win32.txt
20.06.2008  20:16    <DIR>          key
30.01.2008  04:40            28 204 license.txt
20.06.2008  20:13    <DIR>          log
20.06.2008  20:10            87 956 Uninstall.exe

vei: Сообщения: 102; ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei » 26.06.2008 11:31

Итак, по порядку. Файл клиента действительно называется Client1.ovpn то есть также как лог файл, который автоматически создается и получает имя Client1.log И при запуске клиента выходит указанное выше сообщение о невозможности открытия файла для записи и нехватки прав, хотя в файл все пишется.
TCP На UDP менял, но это ничего не дало.
Сейчас при соединении я получил вот такое сообщение:
CreateFile failed on TAP device: \.Global{4368D51B-98AD-44B5-A8F9-5E9800216192}.tap
Thu Jun 26 11:03:47 2008 All TAP-Win32 adapters on this system are currently in use.
Thu Jun 26 11:03:47 2008 Exiting
Вчера такого не было.
Учитывая, что у меня был коннект из своей локальной сети и получение адреса, я сегодня утром попробовал соединиться из дома(для чистоты эксперимента) , коннект не прошел. Ping 212.45.5.36(vpnserver) проходит. Putty подключается и что для меня странно , я из дома пингую вмртуальный адрес сервера 192.168.3.1 ????
Но коннект не проходит и я опять получаю сообщения :
No server certificate verification method has been enabled
Ключи я взял те , которые использовал для коннекта из внутренней сети. Может быть их нужно генерировать заново.
Ключи я размещаю непосредствеено в папке Config ,поэтому и пути такие.
Если суммировать все ошибки , то по крупному они сводятся или к нареканиям на TAP device или к недовольству сертификатом сервера. См. Выше
А чисто эмоционально » Ну блин , вчера домой уходил все работало. Сервер не выключал. Попробовал из дома и теперь не работает и из дома и на работе. Хотя ничего не менял»

vei: Сообщения: 102; ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei » 26.06.2008 12:27

Ошибка CreateFile failed on TAP device: \.Global{4368D51B-98AD-44B5-A8F9-5E9800216192}.tap
Thu Jun 26 11:03:47 2008 All TAP-Win32 adapters on this system are currently in use.
Thu Jun 26 11:03:47 2008 Exiting
ушла ,как только удалил и затем поставил заново все TAP device
Теперь соединение проходит без ошибок, в том числе и тех ,которые были связаны с открытием лог-файла. Вообщем все вдруг стало чисто. Но это я проделал установив Openvpn GUI на один из компьютеров своей локальной сети. Сервер VPN, находится физически в этой же сети. Но реально мне нужен Openvpn GUI на машине, находящейся в другом городе. Я хочу сделать это из дома, где у меня есть выход в Интернет. Нужно ли для этого мне генерить новый клиентский ключ или просто взять с работы уже имеющийся клиентский ключ ? Сервер VPN знает , что с ним уже коннектился Client1 на работе и теперь с теми же ключами, но с другого меня не впустит?

IMB: Сообщения: 2555; ОС: Debian

Re: Connect client-Server

Сообщение

IMB » 26.06.2008 13:13

vei писал(а): ↑

26.06.2008 12:27

Нужно ли для этого мне генерить новый клиентский ключ или просто взять с работы уже имеющийся клиентский ключ ? Сервер VPN знает , что с ним уже коннектился Client1 на работе и теперь с теми же ключами, но с другого меня не впустит?

Нет, новые ключи генерировать не надо. Есть только одно но — если Вы хотите что бы все клиенты ходили с одним сертификатом это надо прописывать в конфиге сервера.

vei: Сообщения: 102; ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei » 26.06.2008 14:22

А как эта строка в конфиге должна выглядеть?
И еще один вопрос. В конфиге сервера у меня есть строка
SERVER 192.168.3.0 255.255.255.0
В соответствии с этим VPN Server забирает под себя 192.168.3.1 , а следующие отдает клиентам. Так мой клиент получил 192.168.3.2 при подключении.
Но наряду с указанной выше строкой в конфиге есть и такая строка
ifconfig-pool-persist /etc/openvpn/ipp.txt
Как я прочитал сервер должен выделить клиентам ip, которые указаны в этом текстовом файле.
Строка выглядит так
client1, 192.168.3.173
client2, 192.168.3.174
Однако это почему-то не срабатывает. В чем здесь дело?

IMB: Сообщения: 2555; ОС: Debian

Re: Connect client-Server

Сообщение

IMB » 26.06.2008 15:04

Неправильно!
Строка SERVER 192.168.3.0 255.255.255.0 говорит о том, что адреса будут выдаваться из указанного пула. Причем по-умолчанию адреса выдаются с маской 30, т.е. по 4-е адреса. Таким образом сервер займет 192.168.3.1-4, первый клиент получит адрес 192.168.3.5-8 и т.д.
Конструкция ifconfig-pool-persist /etc/openvpn/ipp.txt нужна чтобы клиенту выдался тот же адрес в случае обрыва связи. Заполнять руками его не нужно.
Если Вы хотите выдавать клиентам статические адреса воспользуйтесь конструкцией client-config-dir ccd.

vei: Сообщения: 102; ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei » 26.06.2008 15:34

IMB писал(а): ↑

26.06.2008 15:04

Неправильно!
Строка SERVER 192.168.3.0 255.255.255.0 говорит о том, что адреса будут выдаваться из указанного пула. Причем по-умолчанию адреса выдаются с маской 30, т.е. по 4-е адреса. Таким образом сервер займет 192.168.3.1-4, первый клиент получит адрес 192.168.3.5-8 и т.д.
Конструкция ifconfig-pool-persist /etc/openvpn/ipp.txt нужна чтобы клиенту выдался тот же адрес в случае обрыва связи. Заполнять руками его не нужно.
Если Вы хотите выдавать клиентам статические адреса воспользуйтесь конструкцией client-config-dir ccd.

Я это уже почти понял. Я закоментировал строку сервер и вставил строки
server-bridge 192.168.3.1 255.255.255.0 192.168.3.171 192.168.3.219
ifconfig-pool-persist ipp.txt
ifconfig 192.168.3.1 255.255.255.0
В файле ipp.txt я прописал конкретные адреса 171 и 172 для клиента 1 и2.
При подключении клиентом 1 я получаю 171 адрес. Почему я сказал почти? Мне это подсказали не объяснив , и хотя все сработало, я не все инструкции осознал. В частности server-bridge Последние две строки мне понятны.
Поясните пожалуйста физический смысл строки server-bridge . Что делает эта инструкция?

IMB: Сообщения: 2555; ОС: Debian

Re: Connect client-Server

Сообщение

IMB » 26.06.2008 16:31

Что же тут непонятного. Представьте строку в канонической форме: server-bridge <ip-server> <netmask> <start ip-address pool> <end ip-address pool>.

vei: Сообщения: 102; ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei » 27.06.2008 09:46

Спасибо! Про server-bridge понял.
Тут вот что еще происходит:
Вчера вечером пробовал соединяться из дома. Для моего клиента домашнего сгенерил ключи
При попытке соединения получил такой лог.

Код:


Thu Jun 26 06:40:37 2008 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006

Thu Jun 26 06:40:37 2008 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

Thu Jun 26 06:40:37 2008 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file

Thu Jun 26 06:40:37 2008 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication

Thu Jun 26 06:40:37 2008 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication

Thu Jun 26 06:40:37 2008 LZO compression initialized

Thu Jun 26 06:40:37 2008 Control Channel MTU parms [ L:1576 D:168 EF:68 EB:0 ET:0 EL:0 ]

Thu Jun 26 06:40:37 2008 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]

Thu Jun 26 06:40:37 2008 Local Options hash (VER=V4): '89f33c77'

Thu Jun 26 06:40:37 2008 Expected Remote Options hash (VER=V4): '9de5f9b6'

Thu Jun 26 06:40:37 2008 Attempting to establish TCP connection with 212.45.5.36:1194

Thu Jun 26 06:40:58 2008 TCP: connect to 212.45.5.36:1194 failed, will try again in 5 seconds

Thu Jun 26 06:41:24 2008 TCP: connect to 212.45.5.36:1194 failed, will try again in 5 seconds

Thu Jun 26 06:41:29 2008 TCP connection established with 212.45.5.36:1194

Thu Jun 26 06:41:29 2008 TCP/UDP: Dynamic remote address changed during TCP connection establishment

Thu Jun 26 06:41:29 2008 TCPv4_CLIENT link local: [undef]

Thu Jun 26 06:41:29 2008 TCPv4_CLIENT link remote: 212.45.5.36:1194

Thu Jun 26 06:41:29 2008 TLS: Initial packet from 212.45.5.36:1194, sid=fbbbd752 fb6e4d39

Thu Jun 26 06:41:29 2008 VERIFY OK: depth=1, /C=RU/ST=RU/L=MOSKVA/O=KRC/OU=TO/CN=servervpn1/emailAddress=ve@krc.ru

Thu Jun 26 06:41:29 2008 VERIFY OK: depth=0, /C=RU/ST=RU/L=MOSKVA/O=KRC/OU=TO/CN=servervpn1/emailAddress=ve@krc.ru

Thu Jun 26 06:41:30 2008 Data Channel Encrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key

Thu Jun 26 06:41:30 2008 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication

Thu Jun 26 06:41:30 2008 Data Channel Decrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key

Thu Jun 26 06:41:30 2008 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication

Thu Jun 26 06:41:30 2008 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA

Thu Jun 26 06:41:30 2008 [servervpn1] Peer Connection Initiated with 212.45.5.36:1194

Thu Jun 26 06:41:31 2008 SENT CONTROL [servervpn1]: 'PUSH_REQUEST' (status=1)

Thu Jun 26 06:41:31 2008 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.3.1,ping 300,ping-restart 1000,ifconfig 192.168.3.2 255.255.255.0'

Thu Jun 26 06:41:31 2008 OPTIONS IMPORT: timers and/or timeouts modified

Thu Jun 26 06:41:31 2008 OPTIONS IMPORT: --ifconfig/up options modified

Thu Jun 26 06:41:31 2008 OPTIONS IMPORT: route options modified

Thu Jun 26 06:41:31 2008 TAP-WIN32 device [Подключение по локальной сети 2] opened: \.Global{A46035C7-A9FF-46F8-A591-F5AF2E73CCEF}.tap

Thu Jun 26 06:41:31 2008 TAP-Win32 Driver Version 8.4

Thu Jun 26 06:41:31 2008 TAP-Win32 MTU=1500

Thu Jun 26 06:41:31 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.3.2/255.255.255.0 on interface {A46035C7-A9FF-46F8-A591-F5AF2E73CCEF} [DHCP-serv: 192.168.3.0, lease-time: 31536000]

Thu Jun 26 06:41:31 2008 Successful ARP Flush on interface [3] {A46035C7-A9FF-46F8-A591-F5AF2E73CCEF}

Thu Jun 26 06:41:32 2008 TEST ROUTES: 0/0 succeeded len=0 ret=0 a=0 u/d=down

Thu Jun 26 06:41:32 2008 Route: Waiting for TUN/TAP interface to come up...

Thu Jun 26 06:41:33 2008 TEST ROUTES: 1/1 succeeded len=0 ret=1 a=0 u/d=up

Thu Jun 26 06:41:33 2008 route ADD 212.45.5.36 MASK 255.255.255.255 85.140.109.105

Thu Jun 26 06:41:33 2008 Route addition via IPAPI succeeded

Thu Jun 26 06:41:33 2008 route DELETE 0.0.0.0 MASK 0.0.0.0 85.140.109.105

Thu Jun 26 06:41:34 2008 Route deletion via IPAPI succeeded

Thu Jun 26 06:41:34 2008 route ADD 0.0.0.0 MASK 0.0.0.0 192.168.3.1

Thu Jun 26 06:41:34 2008 Route addition via IPAPI succeeded

Thu Jun 26 06:41:34 2008 Initialization Sequence Completed

Thu Jun 26 06:45:46 2008 Connection reset, restarting [0]

Thu Jun 26 06:45:46 2008 TCP/UDP: Closing socket

Thu Jun 26 06:45:46 2008 SIGUSR1[soft,connection-reset] received, process restarting

Thu Jun 26 06:45:46 2008 Restart pause, 5 second(s)

Thu Jun 26 06:45:51 2008 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

Thu Jun 26 06:45:51 2008 Re-using SSL/TLS context

Thu Jun 26 06:45:51 2008 LZO compression initialized

Thu Jun 26 06:45:51 2008 Control Channel MTU parms [ L:1576 D:168 EF:68 EB:0 ET:0 EL:0 ]

Thu Jun 26 06:45:51 2008 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]

Thu Jun 26 06:45:51 2008 Local Options hash (VER=V4): '89f33c77'

Thu Jun 26 06:45:51 2008 Expected Remote Options hash (VER=V4): '9de5f9b6'

Thu Jun 26 06:45:51 2008 Attempting to establish TCP connection with 212.45.5.36:1194

Thu Jun 26 06:45:51 2008 TCP connection established with 212.45.5.36:1194

Thu Jun 26 06:45:51 2008 TCPv4_CLIENT link local: [undef]

Thu Jun 26 06:45:51 2008 TCPv4_CLIENT link remote: 212.45.5.36:1194

Thu Jun 26 06:45:54 2008 TLS: Initial packet from 212.45.5.36:1194, sid=2959756a 2e942abe

Thu Jun 26 06:45:54 2008 VERIFY OK: depth=1, /C=RU/ST=RU/L=MOSKVA/O=KRC/OU=TO/CN=servervpn1/emailAddress=ve@krc.ru

Thu Jun 26 06:45:54 2008 VERIFY OK: depth=0, /C=RU/ST=RU/L=MOSKVA/O=KRC/OU=TO/CN=servervpn1/emailAddress=ve@krc.ru

Thu Jun 26 06:45:55 2008 Data Channel Encrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key

Thu Jun 26 06:45:55 2008 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication

Thu Jun 26 06:45:55 2008 Data Channel Decrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key

Thu Jun 26 06:45:55 2008 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication

Thu Jun 26 06:45:55 2008 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA

Thu Jun 26 06:45:55 2008 [servervpn1] Peer Connection Initiated with 212.45.5.36:1194

Thu Jun 26 06:45:57 2008 SENT CONTROL [servervpn1]: 'PUSH_REQUEST' (status=1)

Thu Jun 26 06:45:57 2008 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.3.1,ping 300,ping-restart 1000,ifconfig 192.168.3.2 255.255.255.0'

Thu Jun 26 06:45:57 2008 OPTIONS IMPORT: timers and/or timeouts modified

Thu Jun 26 06:45:57 2008 OPTIONS IMPORT: --ifconfig/up options modified

Thu Jun 26 06:45:57 2008 OPTIONS IMPORT: route options modified

Thu Jun 26 06:45:57 2008 Preserving previous TUN/TAP instance: Подключение по локальной сети 2

Thu Jun 26 06:45:57 2008 Initialization Sequence Completed

Соединение не прошло. Какой то левый IP в логе. (85.140.109.105) Может быть заметите причину.
Заметил еще такую особенность (уже второй раз) . После попытки соединения из дома я утром сегодня не смог соединиться на работе, пока опять не удалил и заново поставил адаптеры TAP. Я получал сообщение
All TAP-Win32 adapters on this system are currently in use. После переустановки все пошло нормально

Вообщем с реальной удаленкой доступа нет.

IMB: Сообщения: 2555; ОС: Debian

Re: Connect client-Server

Сообщение

IMB » 27.06.2008 10:31

vei писал(а): ↑

27.06.2008 09:46

Thu Jun 26 06:40:37 2008 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

Это Вы уже проходили. Смотрите сообщение Connect client-Server

vei писал(а): ↑

27.06.2008 09:46

Thu Jun 26 06:41:33 2008 route ADD 212.45.5.36 MASK 255.255.255.255 85.140.109.105

Я не знаю как у Вас настроен сервер. Какие роуты раздаются клинта? Смотрите опции push «route ……..» Это конечно если Вы соединяетесь со своим серверм.

vei писал(а): ↑

27.06.2008 09:46

Заметил еще такую особенность (уже второй раз) . После попытки соединения из дома я утром сегодня не смог соединиться на работе, пока опять не удалил и заново поставил адаптеры TAP. Я получал сообщение
All TAP-Win32 adapters on this system are currently in use. После переустановки все пошло нормально

По ошибке могу только предположить что Вы пытались соединится при работающем туннеле. Понятно что TAP-интерфейс уже был занят.

vei: Сообщения: 102; ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei » 27.06.2008 14:26

IMB писал(а): ↑

27.06.2008 10:31

vei писал(а): ↑

27.06.2008 09:46

Thu Jun 26 06:40:37 2008 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

Это Вы уже проходили. Смотрите сообщение Connect client-Server

vei писал(а): ↑

27.06.2008 09:46

Thu Jun 26 06:41:33 2008 route ADD 212.45.5.36 MASK 255.255.255.255 85.140.109.105

Я не знаю как у Вас настроен сервер. Какие роуты раздаются клинта? Смотрите опции push «route ……..» Это конечно если Вы соединяетесь со своим серверм.

vei писал(а): ↑

27.06.2008 09:46

Заметил еще такую особенность (уже второй раз) . После попытки соединения из дома я утром сегодня не смог соединиться на работе, пока опять не удалил и заново поставил адаптеры TAP. Я получал сообщение
All TAP-Win32 adapters on this system are currently in use. После переустановки все пошло нормально

По ошибке могу только предположить что Вы пытались соединится при работающем туннеле. Понятно что TAP-интерфейс уже был занят.

Что значит работающий туннель?
Я , уходя с работы, оставил сервер включенным. Никто к нему не подключался. Может быть когда я попытался подключиться из дома, хотя и неудачно, но туннель создался и остался. Когда я утром на работе попробовал подключиться , то и получил это сообщение. Подтверждением сказанному может служить то, что из дома, хотя я не подключился, пинги проходили. Правильно ли я понимаю, если конфиги клиента и сервера корректные, то туннель создается и остается, а вот получить доступ к шареным папкам на сервере, это уже другое дело
Теперь еще. Я проанализировал конфиги сервера и клиентов на действующем сервере Vpn.
Я и брал их за основу с учетом ваших подсказок. В частности с инструкцией server bridge.
И находясь в своей сети в офисе соединения проходят нормально.
Но я проанализировал IFCONFIG на действующем и своем новом сервере. И обнаружил для себя нечто новое. В конфигурации действующего сервера я увидел интерфей br0, которого нет у меня.
И немного почитав(не очень глубоко) понял , что он появляется(его нужно создать) когда я использую bridge. Поэтому его отсутствие не мешает мне соединяться , когда я нахожусь в офисе. Я ведь физически нахожусь в одной сетке с сервером и значит мог инстукцию server bridge заменить другой. Вы на нее и обратили внимание раннее. А вот когда я пытаюсь подключиться из дома(то есть из другой сети) , то похоже мне и не хватает интерфейса br0. Но это только догадка. Чтобы это попробовать нужно знать как создать и поднять интерфейс br0.
Если я правильно мыслю, то подскажите путь.

IMB: Сообщения: 2555; ОС: Debian

Re: Connect client-Server

Сообщение

IMB » 27.06.2008 15:20

К сожалению я не знаю что Вам подсказать. Я сам настроил сервер впервые в жизни. По-поводу bridge-режима это Вам к товарищу Google и man, сам я использую режим routing и прекрасно соединяюсь из дома.

vei: Сообщения: 102; ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei » 29.06.2008 10:58

IMB писал(а): ↑

24.06.2008 17:33

Не понимаю что у Вас вызывает такие проблемы.
Позволю себе привести свои конфиги.
Клиент (WindowsXP SP2, openvpn-gui):
Код: Выделить всё
client
dev tap
dev-type tun
proto udp
remote <ip/name>
resolv-retry infinite
nobind
persist-key
persist-tun
pkcs12 "C:\Program Files\OpenVPN\key\certificate.p12"
tls-auth "C:\Program Files\openVPN\key\ta.key" 1
ns-cert-type server
comp-lzo
verb 3
Сервер (DebianEtch):
Код: Выделить всё
local <ip>
port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
;crl-verify /etc/openvpn/keys/crl.pem
server <ip mask>
ifconfig-pool-persist ipp.txt
client-config-dir ccd
ccd-exclusive
;disable
keepalive 10 120
tls-auth /etc/openvpn/keys/ta.key 0
tls-remote Client
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log-append /var/log/openvpn.log
Предварительные испытания с данными конфигами прошли удачно.

Я увяз с TCP и TAP и последовал Вашему совету(UDP, TUN) Все получилось нормально, но мне показалось что в конфиге клиента у вас отсутствует строка ifconfig , которая назначает виртуальному интерфесу tun IP -adress и заодно указывает адрес удаленного виртуального интерфейса. У меня все зароботало с Вашим конфигом + эта строка.
Или я чего-то не допонял? Уточните пожалуйста.

IMB: Сообщения: 2555; ОС: Debian

Re: Connect client-Server

Сообщение

IMB » 29.06.2008 12:06

vei писал(а): ↑

29.06.2008 10:58

но мне показалось что в конфиге клиента у вас отсутствует строка ifconfig , которая назначает виртуальному интерфесу tun IP -adress и заодно указывает адрес удаленного виртуального интерфейса. У меня все зароботало с Вашим конфигом + эта строка.

К сожалению Вам только показалось.
Адрес удаленного сервера на клиенте указывается remote <ip/name>. Адрес клиенту присваивается динамически из указанного пула. Для этого на стороне сервера используется server <ip mask>. Но, так как я хочу что бы клиенту выдавался каждый раз один и тотже адрес, этакая привязка клиент-адрес, я указываю client-config-dir ccd. В данной директории на каждого клиента создается файл с указанием всего что я ему хочу передать — адрес, роутинг и т.д.

vei: Сообщения: 102; ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei » 29.06.2008 14:20

IMB писал(а): ↑

29.06.2008 12:06

vei писал(а): ↑

29.06.2008 10:58

но мне показалось что в конфиге клиента у вас отсутствует строка ifconfig , которая назначает виртуальному интерфесу tun IP -adress и заодно указывает адрес удаленного виртуального интерфейса. У меня все зароботало с Вашим конфигом + эта строка.

К сожалению Вам только показалось.
Адрес удаленного сервера на клиенте указывается remote <ip/name>. Адрес клиенту присваивается динамически из указанного пула. Для этого на стороне сервера используется server <ip mask>. Но, так как я хочу что бы клиенту выдавался каждый раз один и тотже адрес, этакая привязка клиент-адрес, я указываю client-config-dir ccd. В данной директории на каждого клиента создается файл с указанием всего что я ему хочу передать — адрес, роутинг и т.д.

Не понял где посмотреть директорию ccd. Где она находится. Каков путь к ней.
Я еще раз выложу конфиг клиента
#client
#pull
#proto tcp-client
proto udp
remote 212.45.5.36
port 1194
dev tap
dev-type tun
ns-cert-type server
resolv-retry infinite
nobind
redirect-gateway
persist-tun
persist-key
ifconfig 192.168.3.2 192.168.3.1
tls-client
tls-auth ta.key 1
ca ca.crt
cert client2.crt
key client2.key

cipher DES-EDE3-CBC
comp-lzo
verb 5
Конфиг сервера я взял точно такой как у Вас -строка сервер 192.168.3.0 255.255.255.0
Как только на клиенте я убираю строку ifconfig 192.168.3.2 192.168.3.1, то получая сообщение
Options error: On Windows, —ifconfig is required when —dev tun is used
Как только возвращаю на место, конект идет нормально.
Где здесь у меня ошиба(хотя нужное мне соединение есть) Я толком не понял про ccd Хотя объяснения прочитал, но так и не нашел где это находится и ее содержимое с данными, о которых Вы говорили.

IMB: Сообщения: 2555; ОС: Debian

Re: Connect client-Server

Сообщение

IMB » 29.06.2008 15:01

vei писал(а): ↑

29.06.2008 14:20

Не понял где посмотреть директорию ccd. Где она находится. Каков путь к ней.

Данная директория относится к серверной части и прописывается в конфиге сервера. Кстати, название директории может быть любым.

vei писал(а): ↑

29.06.2008 14:20

Я еще раз выложу конфиг клиента
#client
#pull
#proto tcp-client
……………………………………………………..
ifconfig 192.168.3.2 192.168.3.1
…………………………………………………………..

А почему у Вас ключевое слово client за комментированно?
Позволю себе выложить цитату из man openvpn касательно client-config-dir:

Код:


--client-config-dir dir

	Specify a directory dir for custom client config files. After a connecting client has been authenticated, OpenVPN will look in this directory for a file having the same name as the client's X509 common name. If a matching file exists, it will be opened and parsed for client-specific configuration options. If no matching file is found, OpenVPN will instead try to open and parse a default file called "DEFAULT", which may be provided but is not required.
	This file can specify a fixed IP address for a given client using --ifconfig-push, as well as fixed subnets owned by the client using --iroute.
	One of the useful properties of this option is that it allows client configuration files to be conveniently created, edited, or removed while the server is live, without needing to restart the server.
	The following options are legal in a client-specific context: --push, --push-reset, --iroute, --ifconfig-push, and --config.

В моем вольном переводе и не очень хорошем знании языка оригинала:
Отдельная директория для конфигурационных файлов клиентов. После того как клинт пройдет проверку OpenVPN смотрит в этой директории файл с тем же именем что и common name из X509-сертификата клиента. Если такой файл существует, сервер считывает его и передает параметры клиенты. Если такого файла не найдено, OpenVPN пробует открыть файл «DEFAULT».
Данный файл может содержать фиксированный IP-адрес для клиента использую —ifconfig-push, фиксированную подсеть находящуюся за клиентом, насколько я понял, используя —iroute.
Одно из полезных свойств этой опции выражается в том, что она позволяет создавать, редактировать или удалять файлы конфигурации клиентов без необходимости перезапускать сервер.
Примерно так, надеюсь что даже после такого корявого перевода Вам станет понятнее.

vei: Сообщения: 102; ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei » 29.06.2008 15:51

Директория CCD (либо другая указанная мною) создается на сервере автоматически или я должен указать ее ручками и затем прописать путь к ней? И далее я должен создать конфигурационный файл клиента ? Какое расширение у этого файла. И затем опять же ручками поместить этот файл в директорию CCD?
Прошу извинить за назойливость и непонятливость.
И еще раз. Конфигурационые файлы клиентов, которые будут в этой директории , это те же файлы что находятся в папке config в openvpn под Windows? То-есть с расширением ovpn?

Источник

Goto page 1, 2 Next

View previous topic :: View next topic

Author

Message

hoegge
DD-WRT Novice

Joined: 26 Mar 2020
Posts: 24

Posted: Thu Mar 26, 2020 7:24 Post subject: Cannot make openvpn peer-to-peer work

I run Firmware: DD-WRT v3.0-r40559 std (08/06/19) on Linksys wrt1900AC.

I have now tried over and over again to make peer-to-peer openvpn work with my other router running PF-Sense. I have set it up with a preshared key on the PF-sense router and it works fine connecting to is using OpenVPN clien on my windows machine.

I have used the GUI on the DD-WRT box to set the parameters. This did not work at all, and it did not even try to connect, until I found out from the syslog that the GUI puts a wrong item in the config file when using preshared key. It adds both the secret and client item, which is not allowed (bug). So I deletd the client option manually (which means whenever I use the UI again the profile becomes corrupt again) and have this config on the DD-WRT router:

secret /tmp/openvpncl/static.key

management 127.0.0.1 16

management-log-cache 100

verb 3

mute 3

syslog

writepid /var/run/openvpncl.pid

resolv-retry infinite

nobind

persist-key

persist-tun

script-security 2

dev tun1

proto udp4

cipher aes-128-cbc

auth sha256

remote 87.104.5.4 1194

comp-lzo adaptive

tun-mtu 1500

mtu-disc yes

fast-io

I have also tried to push route from the pf-sense server configuration which does not help at all

push «route 192.168.0.0 255.255.255.0»

Now it connects but no data goes through the tunnel in either direction. I believe that the PF-sense figures it out fine, since two pfsense routers connect just fine using preshared key peer2peer, but seems like DD-WRT routing and interfaces are not set up using the GUI (if so — what is the GUI worth?)

PF-sense network: 192.168.0.0/24

DD-wrt network: 192.168.112.0/24

Tunnel network: 10.10.8.0/24

I have searched this forum and the internet for months on how to setup a peer-to-peer connection between dd-wrt and pf-sense and have not figured it out although reading a lot of (very different) explanation, that never really seem to work since they are only telling half the story and does a lot of manuel configuration. Is the GUI not working at all for this and if not — why is it there?

When the router starts openvpn it seems also to run two scripts that I guess should take care of routing:

route-down.sh route-up.sh

but the routes on the dd-wrt box are not updated when connecting as e.g. on my windows machine using the openvpn client to the same tunnel on pfsense.

Any help is highly appreciated

Thanx

Hoegge

Sponsor

egc
DD-WRT Guru

Joined: 18 Mar 2014
Posts: 11211
Location: Netherlands

Posted: Thu Mar 26, 2020 8:35 Post subject:

Right, running a site-to-site OpenVPN (if that is what you mean by peer-to-peer) needs some more then just a connection.

You are using an old build and lots of things changed so research updating. The latest build is 42803 as of today.

A link to the OpenVPN setup guide also for setting up site-to-site OpenVPN is in my signature (bottom of this post)

It is of course not for PfSense but might put you on the right track.

If you use the GUI to set up, OpenVPN should run normally with all its routes setup properly (I cannot vouch for your build that was a particular bad one)

Thousands of user are using the GUI to setup a VPN to VPN providers or to their own VPS server in the cloud or other DDWRT OVPN servers.

I never run OVPN with a static key only but will look into the matter, I do not exclude a user misconfiguration Wink

Oh and route-up and route-down scripts do not make the routing, they are executed on route-up and rout-pre-down, the scripts do make the necessary firewall rules among other things.

Below some pointers which might help to get the best out of DDWRT and out of the forum:

1. Research your router, start with the supported devices wiki:

https://wiki.dd-wrt.com/wiki/index.php/Supported_Devices .

2. In the supported devices wiki you can see if your router is supported and what architecture your router has and if you are lucky also an install guide/wiki.

3. Post in the right forum, from the former step you can see if your router is Broadcom, Qualcomm/Atheros, Marvell or other, use that forum to post router specific questions, for networking questions post in the Advanced Networking forum and for other things in the General Questions forum.

4. When posting always state router model, build number and when applicable the Kernel version.

Describe your problem and how you think it can be solved.

Give as much detail as you can also provide your network setup if applicable.

If you followed a wiki or manual let us know which one(s).

For your Network setup, state what wiki you have used: https://wiki.dd-wrt.com/wiki/index.php/Linking_Routers

5. When posting pictures make sure the maximum width is not more than 600 pixels.

6. Do not hijack a thread, meaning do not post your own problem in someone else’s thread. Just start your own thread. This so that it can be searched and found by others.

7. If your post is answered and your problem solved, mark your thread with [SOLVED] (the header of your first post).

8. Do NOT use the router database, builds can be found at:

Other Downloads

All builds are beta including those from the router database.

9. Before uploading a new build to your router, research the build by looking in the build threads.

This is an example of a build thread for build 42617 for Broadcom routers:

https://forum.dd-wrt.com/phpBB2/viewtopic.php?t=323436

Search build threads with the search function and search on build number.

10. Use the build threads from the former step to report success or problems.

11. For older Broadcom routers (Linksys WRT54 and E series) read the peacock thread although some of it is outdated: https://forum.dd-wrt.com/phpBB2/viewtopic.php?t=51486

Builds can be found in the Broadcom directory for Linux kernel 2.4, in Broadcom_K26 for Linux K2.6 and in Broadcom_K3X for Linux K3.X.

12. If you are sure you have discovered a bug, after asking and querying the forum, you can report a real bug in the bug tracker: https://svn.dd-wrt.com/

This is also the place where the commits/changes to the source are administrated.

13. Recommended reading:

https://forum.dd-wrt.com/wiki/index.php/Main_Page

https://forum.dd-wrt.com/phpBB2/viewtopic.php?t=54845

https://forum.dd-wrt.com/phpBB2/viewtopic.php?t=54959

14. If you are happy with DDWRT and want it to live on then donate:

https://dd-wrt.com/donations/

_________________
Routers:Netgear R7800, R7000, R6400v1, R6400v2, Linksys EA8500, EA6900 (XvortexCFE), E2000, E1200v1, WRT54GS v1.

Install guide R6400v2, R6700v3,XR300:https://forum.dd-wrt.com/phpBB2/viewtopic.php?t=316399

Install guide R7800/XR500: https://forum.dd-wrt.com/phpBB2/viewtopic.php?t=320614

Forum Guide Lines (important read):https://forum.dd-wrt.com/phpBB2/viewtopic.php?t=324087

hoegge
DD-WRT Novice

Joined: 26 Mar 2020
Posts: 24

Posted: Thu Mar 26, 2020 9:28 Post subject:

Thanks for quick answer

Concerning build, I just installed the newest build I could find for my router (in the router database) but saw burried in some text on the link you gave the you cannot trust the router database — how would people know?

Well have installed that 42803 now and same thing.

The config produced from GUI using static key is:

secret /tmp/openvpncl/static.key

management 127.0.0.1 16

management-log-cache 100

verb 3

mute 3

syslog

writepid /var/run/openvpncl.pid

client

resolv-retry infinite

nobind

persist-key

persist-tun

script-security 2

dev tun1

proto udp4

cipher aes-128-cbc

auth sha256

remote x.x.x.x 1194

comp-lzo adaptive

tun-mtu 1500

mtu-disc yes

fast-io

which includes client and openvpn then complains:

Mar 26 10:13:59 WRT1900AC daemon.err openvpn[1788]: Options error: specify only one of —tls-server, —tls-client, or —secret

As soon as I remove the client word it connects (after restarting openvpn daemon)[/b]

So in that sense it works when using the workaround the bug adding client when running with static preshared key.

Sorry I could not find your site-to-site guide in your signature, and tried to look at them all.

The guides I’ve seen all involve a lot of manual configuration. So do you say that using the GUI should normally work also for site-to-site using preshared key without any need to manually setup any routing afterwards? When you create the server side for site-to-site in pfsense, you also specify remote subnet and tunnel network and it produces this file below for an openvpn client that works fine on my PC:

dev tun

persist-tun

persist-key

cipher AES-128-CBC

auth SHA256

redirect-gateway def1

resolv-retry infinite

proto udp

remote <server public IP> 1194

route 192.168.0.0 255.255.255.0

ifconfig 10.0.8.2 10.0.8.1

keepalive 10 60

ping-timer-rem

<secret>

#

# 2048 bit OpenVPN static key

#

——BEGIN OpenVPN Static key V1——

<key>

——END OpenVPN Static key V1——

</secret>

comp-lzo adaptive

best

Hoegge

hoegge
DD-WRT Novice

Joined: 26 Mar 2020
Posts: 24

Posted: Thu Mar 26, 2020 9:41 Post subject:
Found the guide — PDF in post, right? Will take a look, but still puzzled, if 1) There isn’t a bug creating the configs from GUI using preshared key 2) impossible to setup site-to-site without command line / manual config in addition to UI best Hoegge

egc
DD-WRT Guru

Joined: 18 Mar 2014
Posts: 11211
Location: Netherlands

Posted: Thu Mar 26, 2020 10:02 Post subject:

Yeah read the guide it is in PDF, the GUI should work

Although I never used it with a static key.

Enable advanced options, enable NAT.

Post a picture of your settings page and a picture of your OVPN status page and the .conf file you get from PfSense to see what settings are necessary

I will have a look at them when I come back later

hoegge
DD-WRT Novice

Joined: 26 Mar 2020
Posts: 24

Posted: Thu Mar 26, 2020 11:10 Post subject:
Thanks. Here are my settings in client (dd-wrt) can only attach few in one post

hoegge
DD-WRT Novice

Joined: 26 Mar 2020
Posts: 24

Posted: Thu Mar 26, 2020 11:13 Post subject:
and then the result if I manually add the ifconfig and rout to the client file I can get to the server subnet but not the other way around. Is anything blocking at the client dd-wrt end to enter the subnet here?

egc
DD-WRT Guru

Joined: 18 Mar 2014
Posts: 11211
Location: Netherlands

Posted: Thu Mar 26, 2020 12:10 Post subject:

for site-to-site

Enable «Firewall Protection»

Disable the CVE patch

Extra routes are normally pushed from the server, because the client does not know the servers own subnet (normally)

So if there is no route it is a fault in the server setup it either pushes its own route or it pushes redirect default gateway to route all traffic from client to the server.

ifconfig should not be necessary that should be handled by the server it could be another misconfiguration on the server side, the server hands out the interface otherwise you could have duplicates

You can always add extra routes on the client side if you misconfigured your server, as it appears in your case, just in the Additional config of the GUI add:

Code:

route 192.168.0.0/24 vpn_gateway

On the server side you have to do the same add:

Code:

route 192.168.112/24 vpn_gateway

So it appears you have not configured your server correctly and have to mitigate that with manual setting on the client side, where you can add extra settings in the Additional Config Smile

hoegge
DD-WRT Novice

Joined: 26 Mar 2020
Posts: 24

Posted: Thu Mar 26, 2020 13:40 Post subject:

Thanks again

Firstly, when you write «vpn_gateway» as in the pdf manual — what does that mean? is that the tunnel network IP or?

Why should NAT be enabled? I tried with and now disabled it again. Makes no difference.

I believe it is set up correctly on the server side but I don’t think that the ifconfig can be pushed. The Win10 openvpn client does not get that pushed either but responds, if it not in the config file:

Options error: On Windows, —ifconfig is required when —dev tun is used

But maybe that is only on windows. Is there any way to see what the client «gets» from the server?

The configs now are like below and now I have contact in both directions — but very slow file copy in direction from server to client:

Client dd-wrt

secret /tmp/openvpncl/static.key

management 127.0.0.1 16

management-log-cache 100

verb 3

mute 3

syslog

writepid /var/run/openvpncl.pid

resolv-retry infinite

nobind

persist-key

persist-tun

script-security 2

dev tun1

proto udp4

cipher aes-128-cbc

auth sha256

remote <my_server_public_IP> 1194

comp-lzo adaptive

tun-mtu 1500

mtu-disc yes

fast-io

ifconfig 10.0.8.2 10.0.8.1

route 192.168.0.0 255.255.255.0

Server — pf-sense

dev ovpns1

verb 9

dev-type tun

dev-node /dev/tun1

writepid /var/run/openvpn_server1.pid

#user nobody

#group nobody

script-security 3

daemon

keepalive 10 60

ping-timer-rem

persist-tun

persist-key

proto udp4

cipher AES-128-CBC

auth SHA256

up /usr/local/sbin/ovpn-linkup

down /usr/local/sbin/ovpn-linkdown

local <my_server_public_ip>

ifconfig 10.0.8.1 10.0.8.2

lport 1194

management /var/etc/openvpn/server1.sock unix

max-clients 1

route 192.168.112.0 255.255.255.0

secret /var/etc/openvpn/server1.secret

comp-lzo adaptive

fast-io

push «ifconfig 10.0.8.2 10.0.8.1»

the last line does not make a difference. Works both with and without.

Also I turned firewall on in the openvpn clien setting with NAT on — makes no difference. Also whether NAT is on or not makes no difference.

So the bug, that puts a client with secret, slow me down for weeks, since nothing worked. I’ll report that since it is still quite annoying since you have to stop and restart openvpn every time you use the UI. The UI also produce some CTRL+M line feeds (Windows) in the conf files — not sure if the matter or not.

Now I just need to get the speed up from server to client — it is super slow and maybe has something to do with MTU / Windows — not sure.

HOegge

hoegge
DD-WRT Novice

Joined: 26 Mar 2020
Posts: 24

Posted: Thu Mar 26, 2020 14:04 Post subject:
No — I was wrong about NAT and firewall. It worked because I forgot to turn off my SW OpenVPN client in Windows. So NAT has to be on for it to work, but why? It there any translation going on? And does the firewall mean «enable firewall rule» instead of meaning «enable firewall»? best Hoegge

egc
DD-WRT Guru

Joined: 18 Mar 2014
Posts: 11211
Location: Netherlands

Posted: Thu Mar 26, 2020 14:20 Post subject:

Regarding NAT you can use it but if you got your routing right is is not necessary, it is explained in the guide.

the Firewall protection Enabled actually disables it so that you can also have traffic from both directions, If you already have a connection made from the client side the firewall is opened but after some time it can close and you can have difficulty starting a connection from the server side (some clients keep the connection open)

The server setup seems missing:

–server network netmask

Code:

–server network netmask [‘nopool’]

A helper directive designed to simplify the configuration of OpenVPN’s server mode. This directive will set up an OpenVPN server which will allocate addresses to clients out of the given network/netmask. The server itself will take the “.1” address of the given network for use as the server-side endpoint of the local TUN/TAP interface.For example, –server 10.8.0.0 255.255.255.0 expands as follows:

mode server

tls-server

push «topology [topology]»

if dev tun AND (topology == net30 OR topology == p2p):

ifconfig 10.8.0.1 10.8.0.2

if !nopool:

ifconfig-pool 10.8.0.4 10.8.0.251

route 10.8.0.0 255.255.255.0

if client-to-client:

push «route 10.8.0.0 255.255.255.0»

else if topology == net30:

push «route 10.8.0.1»

if dev tap OR (dev tun AND topology == subnet):

ifconfig 10.8.0.1 255.255.255.0

if !nopool:

ifconfig-pool 10.8.0.2 10.8.0.253 255.255.255.0

push «route-gateway 10.8.0.1»

if route-gateway unset:

route-gateway 10.8.0.2

Don’t use –server if you are ethernet bridging. Use –server-bridge instead.

Then you do not need ifconfig because the server should handle this.

Of course you can setup manually, but if you manually ifconfig you are easily getting duplicates and of course have to manually configure all the clients. In this case you also have to push the VPN’s subnet or add it in the client with the route directive

You are also not pushing routes from the server you should either push redirect default gateway or push the server local subnet and yes you can set it also on the client with the route directive in the Additional config, the route directive will add routes either via the VPN (vpn_gateway which is the default) or via the WAN: net_gateway)

So with a proper server setup DDWRT should just work with the GUI, the only thing I do not understand is what you mean with the key, if you just copy the static key in the static key box (copy everything from ——BEGIN until the last ——) then the key should be put in a file which is referenced in the openvpn.conf file.

Is that not the case? If so I will check and will correct this bug.

Do not worry about the CR/LF those are handled Smile

So instead of struggling for so long you should ask the forum, that is what we are here for

hoegge
DD-WRT Novice

Joined: 26 Mar 2020
Posts: 24

Posted: Thu Mar 26, 2020 14:31 Post subject:

Well, I thought I did just not understand the whole thing.

I only need to connect two sub-nets, so there will only be one client — the dd-wrt router and one server — the pf-sense box and all devices on 192.168.0.0 should be able to see all on 192.168.112.0 and vice versa, so it works like one network. And the tunnel should be kept open all the time.

So I then also assume there does not need to be assigned any ip addresses to any devices. But then the main reason to turn NAT on is to be able to turn Firewall off?

Concerning the bug:

If you (as I did) just copy the static key then that is referenced in the config files as:

secret /path/to/key.key

But openvpn does not allow to have both the «secret» item and the item «client» in the same config file. It can only have either server, client, or secret option (according to the error message that prevents openvpn from starting if you use a preshared key in the client setting in the GUI)

And then the quick question: When you write «vpn_gateway» as in the pdf manual — what does that mean? is that the tunnel network IP or?

/Hoegge

egc
DD-WRT Guru

Joined: 18 Mar 2014
Posts: 11211
Location: Netherlands

Posted: Thu Mar 26, 2020 15:21 Post subject:

hoegge wrote:

Well, I thought I did just not understand the whole thing.

So I then also assume there does not need to be assigned any ip addresses to any devices. But then the main reason to turn NAT on is to be able to turn Firewall off?

Concerning the bug:

If you (as I did) just copy the static key then that is referenced in the config files as:

secret /path/to/key.key

And then the quick question: When you write «vpn_gateway» as in the pdf manual — what does that mean? is that the tunnel network IP or?

/Hoegge

vpn_gateway is the VPN tunnel so if you add in the Additional config of the client:

Code:

route 192.168.0.0/24 vpn_gateway

traffic for that subnet will be routed via the VPN.

Regarding the secret key, I now understand what you are saying I think that is a «limitation» of OpenVPN with a static key there is no client and no server it is just a point-to-point connection you can have only one appliance to another appliance.

It is rarely used so it never came up, but i will make a note of it.

You better setup as a client-server

Regarding NAT that is not for the firewall, the firewall on the client side is open if «Enable Firewall Protection (which might give you the opposite impression Wink ) and of course do not tick Inbound Firewall on TUN.

In the guide is a picture of client setting just follow that.

NAT is just to make it easy for routing, if you persist on this setup you also have to route the VPN subnet through the the tunnel and each others subnet.

If you have done that you can disable NAT

Anyway I would just make a proper setup with a server and a client Smile

Also one other thing, if you have NAT enabled on the pfSense you should disable the CVE patch on your DDWRT router.

But as said I will put static key on my list to add a chapter in the setup guide Smile

hoegge
DD-WRT Novice

Joined: 26 Mar 2020
Posts: 24

Posted: Sat Mar 28, 2020 8:42 Post subject:

Thanks a lot again.

I’ll consider to try the client server part again then — never could make it work then — never found a good tutorial describing what all the certificates, keys, etc. are — searched quite a bit though. Why should that be better than point to point connection?

I still don’t understand the vpn_gateway part. Does it mean that I should replace it with the IP of the vpn_gateway whatever that is or is it a magic variable that gets replaced in some way? Is it standard openvpn client stuff or special for the dd-wrt?

Best

Hoegge

egc
DD-WRT Guru

Joined: 18 Mar 2014
Posts: 11211
Location: Netherlands

Posted: Sat Mar 28, 2020 9:11 Post subject:

hoegge wrote:

Thanks a lot again.

Best

Hoegge

With my tutorial you should be able to generate keys and certs and setup a client/server, thousands of users have done this with this guide and were succesful Smile .

It gives you a lot more possibilities.

vpn_gateway (and its counterpart net_gateway) is just standard openvpn, if you add it in the openvpn additional config (which is just actually adding it to the .conf file), it routes via the tunnel (vpn_gateway) or via the WAN (net_gateway)

So if you add to the addtional openvpn config:

route 8.8.8.8 vpn_gateway

all traffic for 8.8.8.8 is routed via the VPN.

Have a look at the OVPN Policy Based Routing guide (see signature) for destination based routing.

Have fun and stay well

Goto page 1, 2 Next

Display posts from previous:

Page 1 of 2

Источник

Trouble connecting client

Re: Trouble connecting client

Re: Trouble connecting client

Re: Trouble connecting client

Re: Trouble connecting client

Re: Trouble connecting client

OpenVPN Support Forum

Trouble connecting client

Trouble connecting client

Re: Trouble connecting client

Re: Trouble connecting client

Re: Trouble connecting client

Re: Trouble connecting client

OpenVPN соединяется, но не ходит в Интернет

OpenVPN проблемы с настройкой

unixforum.org

Решено: Не поднимается tun устройство при openvpn соединении

Решено: Не поднимается tun устройство при openvpn соединении

Re: Решено: Не поднимается tun устройство при openvpn соединении

Re: Решено: Не поднимается tun устройство при openvpn соединении

Re: Решено: Не поднимается tun устройство при openvpn соединении

Re: Решено: Не поднимается tun устройство при openvpn соединении

Развертывание VPN сети на основе OpenVPN от А до Я

Введение

Задача

Эскиз сети

Настраиваем сервер

Настройка учетных записей клиентов

Настройка клиентов

Настройка клиента под Windows XP на NOTEBOOK

Настройка клиента под CentOS на сервере CAMP

Диагностика и устранение неполадок

Судя по ошибкам — Адаптер VPN не работает под Windows.

При установке соединения выводится ошибка про журнал.

Нет соединения.

Соединение не устанавливается — пакет пришел не «с того адреса».

<img decoding="async" onError="javascript: wp_broken_images = window.wp_broken_images || function(){}; wp_broken_images(this);" src="https://forum.opnsense.org/Themes/sereno/images/topic/normal_post.gif" alt /> Topic: dev tun also requires ifconfig (Read 1632 times)

Connect client-Server

Re: Connect client-Server

Re: Connect client-Server

Re: Connect client-Server

Re: Connect client-Server

Re: Connect client-Server

Re: Connect client-Server

Re: Connect client-Server

Re: Connect client-Server

Re: Connect client-Server

Re: Connect client-Server

Re: Connect client-Server

Re: Connect client-Server

Re: Connect client-Server

Re: Connect client-Server

Re: Connect client-Server

Re: Connect client-Server

Re: Connect client-Server

Re: Connect client-Server

Re: Connect client-Server

Re: Connect client-Server

Re: Connect client-Server

Re: Connect client-Server

Re: Connect client-Server

Re: Connect client-Server

Re: Connect client-Server

Re: Connect client-Server

Re: Connect client-Server

Topic: dev tun also requires ifconfig (Read 1632 times)