Options error on windows ifconfig is required when dev tun is used

wankdongs

OpenVpn Newbie
Posts: 4
Joined: Wed Feb 07, 2018 10:13 am

Trouble connecting client

Hello everyone,

I used this guide for setting up my https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-ubuntu-16-04
my openvpn server.

I changed only the port location which is listening and waiting for connection.
However my problem is that when i try to connect on windows i get this error :

Wed Feb 07 11:03:52 2018 us=914334 disabling NCP mode (—ncp-disable) because not in P2MP client or server mode
Options error: On Windows, —ifconfig is required when —dev tun is used
Use —help for more information.

My Tun0 interface and openvpn service seem to be running fine on my server and i have the tap driver installed on my local windows machine.

Should i be using TAP in the config or something ?
I also got an error previously from the first line in my client config which was the name of the client being client1 this error is me second one.


wankdongs

OpenVpn Newbie
Posts: 4
Joined: Wed Feb 07, 2018 10:13 am

Re: Trouble connecting client

Post

by wankdongs » Wed Feb 07, 2018 10:36 am

My client config:

dev tun
proto udp
remote redacted 667
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-128-CBC
auth SHA256
key-direction 1
comp-lzo
verb 4
mute 20

My server config:

port 667
proto udp
dev tun
ca ca.crt
cert ayypt.crt
key ayypt.key # This file should be kept secret
dh dh2048.pem
server 10.8.0.0 255.255.255.0
push «redirect-gateway def1 bypass-dhcp»
push «dhcp-option DNS 45.76.35.212»
push «dhcp-option DNS 91.239.100.100»
keepalive 10 120

tls-auth ta.key 0 # This file is secret
key-direction 0
cipher AES-128-CBC # AES
auth SHA256
comp-lzo
max-clients 1

persist-key
persist-tun

status /dev/null
log /dev/null
verb 4


wankdongs

OpenVpn Newbie
Posts: 4
Joined: Wed Feb 07, 2018 10:13 am

Re: Trouble connecting client

Post

by wankdongs » Thu Feb 08, 2018 2:57 pm

Why noone respond ? @admin



wankdongs

OpenVpn Newbie
Posts: 4
Joined: Wed Feb 07, 2018 10:13 am

Re: Trouble connecting client

Post

by wankdongs » Thu Feb 08, 2018 3:29 pm

What’s wrong with my way of requesting help ?
Pretty much all info needed is already specified.

My client OS is windows10(uptodate) and my server = Linux AyyPT 4.4.0-112-generic #135-Ubuntu SMP Fri Jan 19 11:48:36 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux

ifconfig:

ens3 Link encap:Ethernet HWaddr redacted
inet addr:redacted Bcast:redacted Mask:255.255.254.0
inet6 addr:redacted Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:42814 errors:0 dropped:0 overruns:0 frame:0
TX packets:32671 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:7396018 (7.3 MB) TX bytes:5213270 (5.2 MB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:16 errors:0 dropped:0 overruns:0 frame:0
TX packets:16 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1
RX bytes:1456 (1.4 KB) TX bytes:1456 (1.4 KB)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)


TinCanTech

OpenVPN Protagonist
Posts: 11141
Joined: Fri Jun 03, 2016 1:17 pm

Re: Trouble connecting client

Post

by TinCanTech » Thu Feb 08, 2018 5:16 pm

wankdongs wrote: ↑

Thu Feb 08, 2018 3:29 pm


What’s wrong with my way of requesting help ?

Your way is the wrong way ..

For example ..

This error:

wankdongs wrote: ↑

Wed Feb 07, 2018 10:28 am


Wed Feb 07 11:03:52 2018 us=914334 disabling NCP mode (—ncp-disable) because not in P2MP client or server mode

Does not correspond to either of your posted config files which have both —client and —server respectively,
so that error message is irrelevant.

This error:

wankdongs wrote: ↑

Wed Feb 07, 2018 10:28 am


Options error: On Windows, —ifconfig is required when —dev tun is used
Use —help for more information.

Does not correspond to either of your posted config files which have both —client and —server respectively,
so that error message is irrelevant.

wankdongs wrote: ↑

Wed Feb 07, 2018 10:28 am


I used this guide for setting up my https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-ubuntu-16-04
my openvpn server.

We do not support 3rd party documentation, please Start here:
HOWTO: For OpenVPN Community Edition


yyy

OpenVpn Newbie
Posts: 7
Joined: Mon Aug 30, 2010 12:30 pm

Re: Trouble connecting client

Post

by yyy » Sat Feb 10, 2018 11:59 am

client config seems to be missing pull (server (with server net mask) would push ifconfig)


David1234

Forum Guru
Forum Guru

Posts: 1424
Joined: Sun Sep 18, 2011 7:00 pm

how to use openvpn?

Thu Sep 27, 2018 7:19 pm

Hello ,
I want to start using in my office OpenVPN
I have setup everything in my router and I want to check

I have download
https://openvpn.net/index.php/download/ … loads.html

than what?
where is the connection?
how do I connect to the router?

can someone help?

when I try to run the shortcut I get this:

why?

in all the site I have visit — it say it should open a popup to enter user\pass\ip
like this:

openvpn.PNG

Thank ,

You do not have the required permissions to view the files attached to this post.

Sob

Forum Guru
Forum Guru

Posts: 9185
Joined: Mon Apr 20, 2009 9:11 pm

Re: how to use openvpn?

Thu Sep 27, 2018 8:25 pm

You need to create config file. It’s a text file and could look like this:

client
dev tun
remote vpn.example.net 1194 tcp-client
persist-key
persist-tun
tls-client
remote-cert-tls server
verify-x509-name vpn.example.net name
verb 3
auth-user-pass
cipher AES-128-CBC
# optional routes:
route 10.0.0.0 255.255.255.0
route 10.0.1.0 255.255.255.0
<cert>
# paste client certificate here (PEM format)
</cert>
<key>
# paste private key here
</key>
<ca>
# paste CA certificate here
</ca>

I don’t exactly remember what all options do (check the manual, there also many others), but this one does work with RouterOS OpenVPN server. Name it something.ovpn and save it to config directory.

David1234

Forum Guru
Forum Guru

Topic Author

Posts: 1424
Joined: Sun Sep 18, 2011 7:00 pm

Re: how to use openvpn?

Sat Sep 29, 2018 4:04 pm

this is a start :-)

but still not working

I have done everthing it said here
https://systemzone.net/mikrotik-openvpn … ws-client/

but when I try to run the connection I get :

Sat Sep 29 15:57:23 2018 us=993102 disabling NCP mode (--ncp-disable) because not in P2MP client or server mode
Options error: On Windows, --ifconfig is required when --dev tun is used
Use --help for more information.

I have also try what it said in the Wiki
then I see a connection is made — but I get this error:

 No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

and on the mikrotik I see in the log «duplicate packet , dropping»

any idea why?

Last edited by David1234 on Sat Sep 29, 2018 4:45 pm, edited 1 time in total.

Sob

Forum Guru
Forum Guru

Posts: 9185
Joined: Mon Apr 20, 2009 9:11 pm

Re: how to use openvpn?

Sat Sep 29, 2018 4:28 pm

So I guess you used their config and not mine? Then add the line with «client» keyword and it should be better.

David1234

Forum Guru
Forum Guru

Topic Author

Posts: 1424
Joined: Sun Sep 18, 2011 7:00 pm

Re: how to use openvpn?

Sat Sep 29, 2018 4:53 pm

found the problem
in the config file I have change the first line from

to

and now it’s connection…

Thanks for your help for now :-)

I will try to see if everything is working now

David1234

Forum Guru
Forum Guru

Topic Author

Posts: 1424
Joined: Sun Sep 18, 2011 7:00 pm

Re: how to use openvpn?

Sat Sep 29, 2018 5:08 pm

My router is config likr this :
ehternet — 10.0.0.1/24
openvpn — 172.10.100.254 — pool 172.10.100.50-70
LT2P clients 192.168.1.0/24

when I connect I get IP 172.10.100.70
and I have ping to 10.172.10.254
but not to 192.168.1.0/24 — how do I add this?
something in the config file? or something in the firewall on the router?

I have added this line in the config file
route 192.168.1.0 255.255.255.0

and now I can ping my l2tp cinets

so if I will have more netwroks I would like to get from the router I need to add in the config?
ot is there any way to make my openvpn to be my gateway and only from him I can go out to the internet\ office netwroks ?

Sob

Forum Guru
Forum Guru

Posts: 9185
Joined: Mon Apr 20, 2009 9:11 pm

Re: how to use openvpn?

Sat Sep 29, 2018 5:31 pm

Both. All involved devices need correct routes to know where to find each other (see my config for example how to add routes for client). Firewall must allow the communication too. And even devices themselves, if they have own firewall, need to allow access from others (often only a same-subnet access is allowed by default).

David1234

Forum Guru
Forum Guru

Topic Author

Posts: 1424
Joined: Sun Sep 18, 2011 7:00 pm

Re: how to use openvpn?

Sun Sep 30, 2018 9:21 am

OK — I will add to the config file and see

I have 1 more question now (if it’s OK with you :-) :
1. the user\password are auto insert becasue of the «auto.cfg» file and this line in the config : auth-user-pass auth.cfg
but when I connect it ask me to enter the parse I enter in the certification of the client — why?
how do I cancel this and just popup the user\pass box?
when I cahnge in the config file the line to :auth-user-pass
I get the user\pass box , but after it , it ask me again the certification parse .

Thanks ,

Sob

Forum Guru
Forum Guru

Posts: 9185
Joined: Mon Apr 20, 2009 9:11 pm

Re: how to use openvpn?

Sun Sep 30, 2018 4:57 pm

If you have encrypted private key, it has to ask you for password, otherwise it would not be possible to use the key. Decrypt private key and it won’t ask anymore. I’m not sure if it can be exported directly from RouterOS without password, I didn’t get used to working with certificates in RouterOS yet, so I don’t use it much. Try it. If it protests, you can run the key through openssl:

openssl rsa -in encrypted.key -out decrypted.key

But the client should offer you to save password even for the key. Previously it wasn’t supported on Windows, but they changed to few versions back. I’m not sure, but I think it’s option in installer, if you want this functionality or not.

Display posts from previous:
Sort by

Users browsing this forum: Ahrefs [Bot], Bing [Bot], Google [Bot], mlxn and 32 guests


0

3

Конфиг сервера:

port 1194
proto udp
dev tap
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
ifconfig-pool-persist /etc/openvpn/ipp.txt
server-bridge 192.168.2.2 255.255.255.0 192.168.2.224 192.168.2.254
push "redirect-gateway def1 bypass-dhcp"
script-security 2
up /etc/openvpn/scripts/up.sh
learn-address /etc/openvpn/scripts/routes.sh
client-to-client
duplicate-cn
keepalive 10 60
comp-lzo
persist-key
persist-tun
verb 3
up.sh
/usr/sbin/sysctl -w net.link.ether.inet.proxyall=1
/usr/sbin/sysctl -w net.inet.ip.forwarding=1
/sbin/ifconfig bridge0 addm tap0

routes.sh
Пока пустой

Конфиг клиента:

client
dev tap
proto udp
remote 65.105.72.140 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
comp-lzo
verb 3
Лог
Sun Jul 13 01:43:49 2014 C:\WINDOWS\system32\route.exe ADD 65.105.72.140 MASK 255.255.255.255 192.168.1.1
Sun Jul 13 01:43:49 2014 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Sun Jul 13 01:43:49 2014 Route addition via IPAPI succeeded [adaptive]
Sun Jul 13 01:43:49 2014 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 192.168.2.2
Sun Jul 13 01:43:49 2014 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Sun Jul 13 01:43:49 2014 Route addition via IPAPI succeeded [adaptive]
Sun Jul 13 01:43:49 2014 C:\WINDOWS\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 192.168.2.2
Sun Jul 13 01:43:49 2014 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Sun Jul 13 01:43:49 2014 Route addition via IPAPI succeeded [adaptive]
Sun Jul 13 01:43:49 2014 Initialization Sequence Completed

Соединение OpenVPN (GUI) у Windows 7 происходит без проблем, а вот в Интернет через сервер ходить не хочет!

ifconfig
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet 127.0.0.1 netmask 0xff000000
gif0: flags=8010<POINTOPOINT,MULTICAST> mtu 1280
stf0: flags=0<> mtu 1280
en0: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=10b<RXCSUM,TXCSUM,VLAN_HWTAGGING,AV>
        ether a8:13:11:1c:7b:a1
        inet 65.105.72.140 netmask 0xfffffc00 broadcast 65.105.75.255
        inet 65.105.75.185 netmask 0xfffffc00 broadcast 65.105.75.255
        inet 192.168.2.2 netmask 0xfffffc00 broadcast 192.168.3.255
        media: autoselect (100baseTX <full-duplex,flow-control>)
        status: active
-
-
-
-
-
-
bridge0: flags=8822<BROADCAST,SMART,SIMPLEX,MULTICAST> mtu 1500
        options=3<RXCSUM,TXCSUM>
        ether ab:30:33:a1:09:00
        Configuration:
                id 0:0:0:0:0:0 priority 0 hellotime 0 fwddelay 0
                maxage 0 holdcnt 0 proto stp maxaddr 100 timeout 1200
                root id 0:0:0:0:0:0 priority 0 ifcost 0 port 0
                ipfilter disabled flags 0x2
        member: en2 flags=3<LEARNING,DISCOVER>
                ifmaxaddr 0 port 6 priority 0 path cost 0
        member: tap0 flags=3<LEARNING,DISCOVER>
                ifmaxaddr 0 port 10 priority 0 path cost 0
        media: <unknown type>
        status: inactive
tap0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        ether 0f:f6:79:93:9a:1c
        open (pid 26491)
netstat -ran
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            65.105.72.1        UGSc           48        0     en0
5.255.253.147      65.105.72.1        UGHWIi          1       44     en0
23.43.133.163      65.105.72.1        UGHWIi          1        6     en0
37.46.242.108      65.105.72.1        UGHW3I          0       17     en0   3368
37.58.100.91       65.105.72.1        UGHW3I          0        3     en0   3260
37.58.100.140      65.105.72.1        UGHW3I          0       14     en0   3401
37.58.100.148      65.105.72.1        UGHW3I          0        6     en0   3289
37.58.100.154      65.105.72.1        UGHW3I          0       15     en0   3460
61.174.51.219      65.105.72.1        UGHWIi          3       89     en0
66.249.65.107      65.105.72.1        UGHW3I          0       36     en0   3461
66.249.67.33       65.105.72.1        UGHW3I          0       42     en0   3550
66.249.67.46       65.105.72.1        UGHW3I          0       53     en0   3368
66.249.67.59       65.105.72.1        UGHW3I          0       66     en0   3582
66.249.67.107      65.105.72.1        UGHW3I          0       56     en0   3434
74.82.47.25        65.105.72.1        UGHW3I          0        1     en0   3499
94.250.234.118     65.105.72.1        UGHW3I          0        6     en0   3256
95.211.37.197      65.105.72.1        UGHW3I          0        7     en0   3289
101.226.166.196    65.105.72.1        UGHW3I          0       20     en0   3374
101.226.166.204    65.105.72.1        UGHW3I          0        4     en0   3260
101.226.166.205    65.105.72.1        UGHW3I          0       12     en0   3379
101.226.166.206    65.105.72.1        UGHW3I          0        7     en0   3312
127                127.0.0.1          UCS             0        0     lo0
127.0.0.1          127.0.0.1          UH              8    10706     lo0
169.254            link#4             UCS             0        0     en0
180.76.5.71        65.105.72.1        UGHW3I          0       16     en0   3502
180.76.6.133       65.105.72.1        UGHW3I          0       16     en0   3325
182.118.20.224     65.105.72.1        UGHW3I          0       88     en0   3566
182.118.20.225     65.105.72.1        UGHW3I          0       70     en0   3558
182.118.20.227     65.105.72.1        UGHW3I          0       17     en0   3545
185.56.80.133      65.105.72.1        UGHW3I          0        7     en0   3423
185.56.80.137      65.105.72.1        UGHW3I          0       14     en0   3578
192.168.1.35       65.105.72.1        UGHW3I          0        1     en0   3502
192.227.245.117    65.105.72.1        UGHW3I          0        2     en0   3495
202.66.32.116      65.105.72.1        UGHW3I          0        1     en0   3377
208.115.113.85     65.105.72.1        UGHW3I          0        6     en0   3289
212.30.134.167     65.105.72.1        UGHW3I          0        9     en0   3582
212.30.134.174     65.105.72.1        UGHW3I          0        8     en0   3589
217.195.49.131     65.105.72.1        UGHWIi          1       46     en0
224.0.0.251        65.105.72.1        UGHmW3I         0        0     en0   3549

Естественно при соединении ничего из 192.168.2.0 не пингуется, кроме самого клиента

We are migrating to our new platform at https://community.teltonika.lt.
Moving forward, you can continue discussions on this new platform. This current platform will be temporarily maintained for reference purposes.






asked




by
anonymous


Hi guys. Im trying to configure openvpn. Here is my config #Client1

dev tun

remote x.x.x.x 1194

ca «C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\ca.crt»

cert «C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\issued\\Client1.crt»

key «C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\private\\Client1.key»

keepalive 10 120

persist-key

persist-tun

cipher AES-256-GCM

comp-lzo

verb 7

Error says: 2023-04-11 09:00:51 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless «allow-compression yes» is also set.

2023-04-11 09:00:51 NOTE: debug verbosity (—verb 7) is enabled but this build lacks debug support.

2023-04-11 09:00:51 us=906000 Note: ‘—allow-compression’ is not set to ‘no’, disabling data channel offload.

Options error: On Windows, —ifconfig is required when —dev tun is used

Use —help for more information.

Do you know how to solve this?

2 Answers






answered




by
anonymous


Hello,

Your posted config file is missing protocol option, either proto udp or proto tcp. The error you are referring to is actually just a warning and should not influence connection.

I had issues establishing the tunnel, when certificate files were given in the format you are using, pasting them in the file worked. Below is a working configuration file for windows client with certificates and server’s IP removed and corresponding configuration from server side.

Windows client file:

client
dev tun
proto udp
remote x.x.x.x 1194
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
<ca>
-----BEGIN CERTIFICATE-----
<paste your CA here>
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
<paste your client's certificate here>
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
<paste your client's key here>
-----END PRIVATE KEY-----
</key>
cipher AES-256-GCM
verb 5

Router’s configuration:

Best regards,

Модератор: SLEDopit

vei

Сообщения: 102
ОС: debian 4.0

Connect client-Server

Open Vpn Debian 4 Linux — start OK!
Перехожу на рабочую станцию XP и когда пытаюсь Connect ,
то No server certificate verification method has been enabled
Почему это происходит? Ругается только на сертификат и еще на ключ ta. Ссылки на этот ключ на сервере и клиенте я убрал и теперь не ругается , а вот на сертификат — см .выше. Я так понял ,что наличие ta.key не обязательно?
Или это как то связано?

vei

Сообщения: 102
ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei »

vei писал(а): ↑

24.06.2008 13:04

Open Vpn Debian 4 Linux — start OK!
Перехожу на рабочую станцию XP и когда пытаюсь Connect ,
то No server certificate verification method has been enabled
Почему это происходит? Ругается только на сертификат и еще на ключ ta. Ссылки на этот ключ на сервере и клиенте я убрал и теперь не ругается , а вот на сертификат — см .выше. Я так понял ,что наличие ta.key не обязательно?
Или это как то связано?

Вот фрагмент моего лога при попыте соединиться
OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Tue Jun 24 13:23:31 2008 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Tue Jun 24 13:23:31 2008 LZO compression initialized
Tue Jun 24 13:23:31 2008 Control Channel MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Tue Jun 24 13:23:31 2008 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Jun 24 13:23:31 2008 Local Options hash (VER=V4): ‘1a40e822’
Tue Jun 24 13:23:31 2008 Expected Remote Options hash (VER=V4): ‘d8e6e8ce’
Tue Jun 24 13:23:31 2008 Attempting to establish TCP connection with 212.45.5.36:1194
Tue Jun 24 13:23:31 2008 TCP connection established with 212.45.5.36:1194
Tue Jun 24 13:23:31 2008 TCPv4_CLIENT link local: [undef]
Tue Jun 24 13:23:31 2008 TCPv4_CLIENT link remote: 212.45.5.36:1194
Tue Jun 24 13:23:31 2008 TLS: Initial packet from 212.45.5.36:1194, sid=be234d9e 259082fd
Tue Jun 24 13:23:31 2008 VERIFY ERROR: depth=0, error=unable to get local issuer certificate: /C=RU/ST=RU/L=MOSKVA/O=KRC/OU=TO/CN=vpn1/emailAddress=ve@krc.ru
Tue Jun 24 13:23:31 2008 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Tue Jun 24 13:23:31 2008 TLS Error: TLS object -> incoming plaintext read error
Tue Jun 24 13:23:31 2008 TLS Error: TLS handshake failed
Tue Jun 24 13:23:31 2008 Fatal TLS error (check_tls_errors_co), restarting

vei

Сообщения: 102
ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei »

IMB писал(а): ↑

24.06.2008 13:59

А Вы по рекомендованной ссылке ходить пробовали?

Конечно. И на родной HOWTO и перевод нашел. Но видимо я не понимаю какой-то основной принцип.
Я сгенерировал все необходимые ключи и сертификаты для сервера и клиентов. Клиентские разместил в конфиге и ссылки на них в файле client.opvn сделал. Что еще не так? Подскажите. Я лог конекта выложил.

vei

Сообщения: 102
ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei »

IMB писал(а): ↑

24.06.2008 14:51

У Вас в конфиге клиента есть строка ns-cert-type server?

Не было. Сейчас вставил. Есть ошибки. Вот лог
OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Tue Jun 24 17:14:55 2008 Control Channel Authentication: using ‘ta.key’ as a OpenVPN static key file
Tue Jun 24 17:14:55 2008 Outgoing Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
Tue Jun 24 17:14:55 2008 Incoming Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
Tue Jun 24 17:14:55 2008 LZO compression initialized
Tue Jun 24 17:14:55 2008 Control Channel MTU parms [ L:1576 D:168 EF:68 EB:0 ET:0 EL:0 ]
Tue Jun 24 17:14:55 2008 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Jun 24 17:14:55 2008 Local Options hash (VER=V4): ’89f33c77′
Tue Jun 24 17:14:55 2008 Expected Remote Options hash (VER=V4): ‘9de5f9b6’
Tue Jun 24 17:14:55 2008 Attempting to establish TCP connection with 212.45.5.36:1194
Tue Jun 24 17:14:55 2008 TCP connection established with 212.45.5.36:1194
Tue Jun 24 17:14:55 2008 TCPv4_CLIENT link local: [undef]
Tue Jun 24 17:14:55 2008 TCPv4_CLIENT link remote: 212.45.5.36:1194
Tue Jun 24 17:14:55 2008 TLS: Initial packet from 212.45.5.36:1194, sid=b1251a72 e299c6bf
Tue Jun 24 17:14:55 2008 Authenticate/Decrypt packet error: packet HMAC authentication failed
Tue Jun 24 17:14:55 2008 TLS Error: incoming packet authentication failed from 212.45.5.36:1194
Tue Jun 24 17:14:55 2008 Fatal TLS error (check_tls_errors_co), restarting
Tue Jun 24 17:14:55 2008 TCP/UDP: Closing socket
Tue Jun 24 17:14:55 2008 SIGUSR1[soft,tls-error] received, process restarting

Не знаю, что такое TLS и что за ошибки с этим связанные?

IMB

Сообщения: 2556
ОС: Debian

Re: Connect client-Server

Сообщение

IMB »

Не понимаю что у Вас вызывает такие проблемы.
Позволю себе привести свои конфиги.
Клиент (WindowsXP SP2, openvpn-gui):

Код: Выделить всё

client
dev tap
dev-type tun
proto udp
remote <ip/name>
resolv-retry infinite
nobind
persist-key
persist-tun
pkcs12 "C:\\Program Files\\OpenVPN\\key\\certificate.p12"
tls-auth "C:\\Program Files\\openVPN\\key\\ta.key" 1
ns-cert-type server
comp-lzo
verb 3

Сервер (DebianEtch):

Код: Выделить всё

local <ip>
port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
;crl-verify /etc/openvpn/keys/crl.pem
server <ip mask>
ifconfig-pool-persist ipp.txt
client-config-dir ccd
ccd-exclusive
;disable
keepalive 10 120
tls-auth /etc/openvpn/keys/ta.key 0
tls-remote Client
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log-append /var/log/openvpn.log

Предварительные испытания с данными конфигами прошли удачно.

vei

Сообщения: 102
ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei »

Я подправил кое-что с учетом того, что у меня proto tcp dev tap
Сейчас соединение проходит. Я получил для клиента IP но, при запуске Connect получаю сообщение об ошибке открытия лог файла для клиента1 и что возможно у меня нехватает административных привилегий для run Openvpn. Я нажимаю ОК! Окно с сообщением об ошибке пропадает и я благополучно получая сообщение о состоявшемся коннекте и назначенном мне IP. Я лезу в ЛОГ и вот строки с ошибками
Authenticate/Decrypt packet error: packet HMAC authentication failed
Wed Jun 25 10:13:53 2008 TLS Error: incoming packet authentication failed from 212.45.5.36:1194
Wed Jun 25 10:13:53 2008 Fatal TLS error (check_tls_errors_co), restarting
Что это значит.? Где что поправить?

IMB

Сообщения: 2556
ОС: Debian

Re: Connect client-Server

Сообщение

IMB »

при запуске Connect получаю сообщение об ошибке открытия лог файла для клиента1

Создайте папку log в директории openvpn.

Я лезу в ЛОГ и вот строки с ошибками
Authenticate/Decrypt packet error: packet HMAC authentication failed
Wed Jun 25 10:13:53 2008 TLS Error: incoming packet authentication failed from 212.45.5.36:1194
Wed Jun 25 10:13:53 2008 Fatal TLS error (check_tls_errors_co), restarting
Что это значит.? Где что поправить?

Приведите свои конфиги клиента и сервера.

vei

Сообщения: 102
ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei »

Это конфиг сервера

Код:

dev tap
proto tcp
server 192.168.3.0 255.255.255.0
comp-lzo
log /tmp/openvpn.log
daemon
ifconfig-pool-persist /ets/openvpn/ipp.txt
tls-server
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/servervpn1.crt
key /etc/openvpn/keys/servervpn1.key
dh /etc/openvpn/keys/dh1024.pem
tls-auth /etc/openvpn/keys/ta.key 0
port 1194
user nobody
group nogroup
persist-tun
persist-key
verb 3
cipher DES-EDE3-CBC
keepalive 300 1000
verb 3

Это конфиг клиента
client
pull
proto tcp-client
remote 212.45.5.36
port 1194
dev tap

resolv-retry infinite
redirect-gateway
persist-tun
persist-key

tls-client
tls-auth ta.key 1
dh dh1024.pem
ca ca.crt
cert client1.crt
key client1.key

cipher DES-EDE3-CBC
comp-lzo
verb 3

vei

Сообщения: 102
ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei »

IMB писал(а): ↑

25.06.2008 14:37

при запуске Connect получаю сообщение об ошибке открытия лог файла для клиента1

Создайте папку log в директории openvpn.

Я лезу в ЛОГ и вот строки с ошибками
Authenticate/Decrypt packet error: packet HMAC authentication failed
Wed Jun 25 10:13:53 2008 TLS Error: incoming packet authentication failed from 212.45.5.36:1194
Wed Jun 25 10:13:53 2008 Fatal TLS error (check_tls_errors_co), restarting
Что это значит.? Где что поправить?

Приведите свои конфиги клиента и сервера.

Самое интересное, что папка лог на месте. И в ней есть файл client1.log. И там есть информация. То есть он пишет туда, а при загрузке сообщает , что ошибка открытия файла client1.log для записи. Пути все правильные.

IMB

Сообщения: 2556
ОС: Debian

Re: Connect client-Server

Сообщение

IMB »

Насколько хватает моего опыта проблемы должны быть не из-за конфигов. Несколько не очень критичных замечаний
сервер: можно убрать tls-server, выбор режима server уже предполагает tls-server
клиент: можно убрать pull и tls-client, режим client их предполагает, не нужна запись о dh-ключе и почему у Вас ключи без полного пути
Ваши проблемы возможно связаны с tcp-протоколом, измените на udp и посмотрите на изменения.

По поводу ошибки с логом. В Windows лог имеет тоже название что и конфигурационный файл. У Вас конфиг клиента называется client1?

vei

Сообщения: 102
ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei »

IMB писал(а): ↑

25.06.2008 18:36

Насколько хватает моего опыта проблемы должны быть не из-за конфигов. Несколько не очень критичных замечаний
сервер: можно убрать tls-server, выбор режима server уже предполагает tls-server
клиент: можно убрать pull и tls-client, режим client их предполагает, не нужна запись о dh-ключе и почему у Вас ключи без полного пути
Ваши проблемы возможно связаны с tcp-протоколом, измените на udp и посмотрите на изменения.

По поводу ошибки с логом. В Windows лог имеет тоже название что и конфигурационный файл. У Вас конфиг клиента называется client1?

Да. Но client1.ovpn находится в папке config, а папка с логом находится в Openvpn.

IMB

Сообщения: 2556
ОС: Debian

Re: Connect client-Server

Сообщение

IMB »

Странно, должно все работать. Вот как выглядит директория openvpn у меня:

Код: Выделить всё

 Содержимое папки C:\Program Files\OpenVPN

20.06.2008  20:13    <DIR>          .
20.06.2008  20:13    <DIR>          ..
20.06.2008  20:10    <DIR>          bin
20.06.2008  20:11    <DIR>          config
20.06.2008  20:10    <DIR>          driver
30.01.2008  03:59            15 086 icon.ico
30.01.2008  04:40               902 INSTALL-win32.txt
20.06.2008  20:16    <DIR>          key
30.01.2008  04:40            28 204 license.txt
20.06.2008  20:13    <DIR>          log
20.06.2008  20:10            87 956 Uninstall.exe

vei

Сообщения: 102
ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei »

Итак, по порядку. Файл клиента действительно называется Client1.ovpn то есть также как лог файл, который автоматически создается и получает имя Client1.log И при запуске клиента выходит указанное выше сообщение о невозможности открытия файла для записи и нехватки прав, хотя в файл все пишется.
TCP На UDP менял, но это ничего не дало.
Сейчас при соединении я получил вот такое сообщение:
CreateFile failed on TAP device: \\.\Global\{4368D51B-98AD-44B5-A8F9-5E9800216192}.tap
Thu Jun 26 11:03:47 2008 All TAP-Win32 adapters on this system are currently in use.
Thu Jun 26 11:03:47 2008 Exiting
Вчера такого не было.
Учитывая, что у меня был коннект из своей локальной сети и получение адреса, я сегодня утром попробовал соединиться из дома(для чистоты эксперимента) , коннект не прошел. Ping 212.45.5.36(vpnserver) проходит. Putty подключается и что для меня странно , я из дома пингую вмртуальный адрес сервера 192.168.3.1 ????
Но коннект не проходит и я опять получаю сообщения :
No server certificate verification method has been enabled
Ключи я взял те , которые использовал для коннекта из внутренней сети. Может быть их нужно генерировать заново.
Ключи я размещаю непосредствеено в папке Config ,поэтому и пути такие.
Если суммировать все ошибки , то по крупному они сводятся или к нареканиям на TAP device или к недовольству сертификатом сервера. См. Выше
А чисто эмоционально » Ну блин , вчера домой уходил все работало. Сервер не выключал. Попробовал из дома и теперь не работает и из дома и на работе. Хотя ничего не менял»

vei

Сообщения: 102
ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei »

Ошибка CreateFile failed on TAP device: \\.\Global\{4368D51B-98AD-44B5-A8F9-5E9800216192}.tap
Thu Jun 26 11:03:47 2008 All TAP-Win32 adapters on this system are currently in use.
Thu Jun 26 11:03:47 2008 Exiting
ушла ,как только удалил и затем поставил заново все TAP device
Теперь соединение проходит без ошибок, в том числе и тех ,которые были связаны с открытием лог-файла. Вообщем все вдруг стало чисто. Но это я проделал установив Openvpn GUI на один из компьютеров своей локальной сети. Сервер VPN, находится физически в этой же сети. Но реально мне нужен Openvpn GUI на машине, находящейся в другом городе. Я хочу сделать это из дома, где у меня есть выход в Интернет. Нужно ли для этого мне генерить новый клиентский ключ или просто взять с работы уже имеющийся клиентский ключ ? Сервер VPN знает , что с ним уже коннектился Client1 на работе и теперь с теми же ключами, но с другого меня не впустит?

IMB

Сообщения: 2556
ОС: Debian

Re: Connect client-Server

Сообщение

IMB »

vei писал(а): ↑

26.06.2008 12:27

Нужно ли для этого мне генерить новый клиентский ключ или просто взять с работы уже имеющийся клиентский ключ ? Сервер VPN знает , что с ним уже коннектился Client1 на работе и теперь с теми же ключами, но с другого меня не впустит?

Нет, новые ключи генерировать не надо. Есть только одно но — если Вы хотите что бы все клиенты ходили с одним сертификатом это надо прописывать в конфиге сервера.

vei

Сообщения: 102
ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei »

А как эта строка в конфиге должна выглядеть?
И еще один вопрос. В конфиге сервера у меня есть строка
SERVER 192.168.3.0 255.255.255.0
В соответствии с этим VPN Server забирает под себя 192.168.3.1 , а следующие отдает клиентам. Так мой клиент получил 192.168.3.2 при подключении.
Но наряду с указанной выше строкой в конфиге есть и такая строка
ifconfig-pool-persist /etc/openvpn/ipp.txt
Как я прочитал сервер должен выделить клиентам ip, которые указаны в этом текстовом файле.
Строка выглядит так
client1, 192.168.3.173
client2, 192.168.3.174
Однако это почему-то не срабатывает. В чем здесь дело?

IMB

Сообщения: 2556
ОС: Debian

Re: Connect client-Server

Сообщение

IMB »

Неправильно!
Строка SERVER 192.168.3.0 255.255.255.0 говорит о том, что адреса будут выдаваться из указанного пула. Причем по-умолчанию адреса выдаются с маской 30, т.е. по 4-е адреса. Таким образом сервер займет 192.168.3.1-4, первый клиент получит адрес 192.168.3.5-8 и т.д.
Конструкция ifconfig-pool-persist /etc/openvpn/ipp.txt нужна чтобы клиенту выдался тот же адрес в случае обрыва связи. Заполнять руками его не нужно.
Если Вы хотите выдавать клиентам статические адреса воспользуйтесь конструкцией client-config-dir ccd.

vei

Сообщения: 102
ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei »

IMB писал(а): ↑

26.06.2008 15:04

Неправильно!
Строка SERVER 192.168.3.0 255.255.255.0 говорит о том, что адреса будут выдаваться из указанного пула. Причем по-умолчанию адреса выдаются с маской 30, т.е. по 4-е адреса. Таким образом сервер займет 192.168.3.1-4, первый клиент получит адрес 192.168.3.5-8 и т.д.
Конструкция ifconfig-pool-persist /etc/openvpn/ipp.txt нужна чтобы клиенту выдался тот же адрес в случае обрыва связи. Заполнять руками его не нужно.
Если Вы хотите выдавать клиентам статические адреса воспользуйтесь конструкцией client-config-dir ccd.

Я это уже почти понял. Я закоментировал строку сервер и вставил строки
server-bridge 192.168.3.1 255.255.255.0 192.168.3.171 192.168.3.219
ifconfig-pool-persist ipp.txt
ifconfig 192.168.3.1 255.255.255.0
В файле ipp.txt я прописал конкретные адреса 171 и 172 для клиента 1 и2.
При подключении клиентом 1 я получаю 171 адрес. Почему я сказал почти? Мне это подсказали не объяснив , и хотя все сработало, я не все инструкции осознал. В частности server-bridge Последние две строки мне понятны.
Поясните пожалуйста физический смысл строки server-bridge . Что делает эта инструкция?

IMB

Сообщения: 2556
ОС: Debian

Re: Connect client-Server

Сообщение

IMB »

Что же тут непонятного. Представьте строку в канонической форме: server-bridge <ip-server> <netmask> <start ip-address pool> <end ip-address pool>.

vei

Сообщения: 102
ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei »

Спасибо! Про server-bridge понял.
Тут вот что еще происходит:
Вчера вечером пробовал соединяться из дома. Для моего клиента домашнего сгенерил ключи
При попытке соединения получил такой лог.

Код:

Thu Jun 26 06:40:37 2008 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Thu Jun 26 06:40:37 2008 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu Jun 26 06:40:37 2008 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Thu Jun 26 06:40:37 2008 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 26 06:40:37 2008 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 26 06:40:37 2008 LZO compression initialized
Thu Jun 26 06:40:37 2008 Control Channel MTU parms [ L:1576 D:168 EF:68 EB:0 ET:0 EL:0 ]
Thu Jun 26 06:40:37 2008 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Jun 26 06:40:37 2008 Local Options hash (VER=V4): '89f33c77'
Thu Jun 26 06:40:37 2008 Expected Remote Options hash (VER=V4): '9de5f9b6'
Thu Jun 26 06:40:37 2008 Attempting to establish TCP connection with 212.45.5.36:1194
Thu Jun 26 06:40:58 2008 TCP: connect to 212.45.5.36:1194 failed, will try again in 5 seconds
Thu Jun 26 06:41:24 2008 TCP: connect to 212.45.5.36:1194 failed, will try again in 5 seconds
Thu Jun 26 06:41:29 2008 TCP connection established with 212.45.5.36:1194
Thu Jun 26 06:41:29 2008 TCP/UDP: Dynamic remote address changed during TCP connection establishment
Thu Jun 26 06:41:29 2008 TCPv4_CLIENT link local: [undef]
Thu Jun 26 06:41:29 2008 TCPv4_CLIENT link remote: 212.45.5.36:1194
Thu Jun 26 06:41:29 2008 TLS: Initial packet from 212.45.5.36:1194, sid=fbbbd752 fb6e4d39
Thu Jun 26 06:41:29 2008 VERIFY OK: depth=1, /C=RU/ST=RU/L=MOSKVA/O=KRC/OU=TO/CN=servervpn1/emailAddress=ve@krc.ru
Thu Jun 26 06:41:29 2008 VERIFY OK: depth=0, /C=RU/ST=RU/L=MOSKVA/O=KRC/OU=TO/CN=servervpn1/emailAddress=ve@krc.ru
Thu Jun 26 06:41:30 2008 Data Channel Encrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key
Thu Jun 26 06:41:30 2008 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 26 06:41:30 2008 Data Channel Decrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key
Thu Jun 26 06:41:30 2008 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 26 06:41:30 2008 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Jun 26 06:41:30 2008 [servervpn1] Peer Connection Initiated with 212.45.5.36:1194
Thu Jun 26 06:41:31 2008 SENT CONTROL [servervpn1]: 'PUSH_REQUEST' (status=1)
Thu Jun 26 06:41:31 2008 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.3.1,ping 300,ping-restart 1000,ifconfig 192.168.3.2 255.255.255.0'
Thu Jun 26 06:41:31 2008 OPTIONS IMPORT: timers and/or timeouts modified
Thu Jun 26 06:41:31 2008 OPTIONS IMPORT: --ifconfig/up options modified
Thu Jun 26 06:41:31 2008 OPTIONS IMPORT: route options modified
Thu Jun 26 06:41:31 2008 TAP-WIN32 device [Подключение по локальной сети 2] opened: \\.\Global\{A46035C7-A9FF-46F8-A591-F5AF2E73CCEF}.tap
Thu Jun 26 06:41:31 2008 TAP-Win32 Driver Version 8.4
Thu Jun 26 06:41:31 2008 TAP-Win32 MTU=1500
Thu Jun 26 06:41:31 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.3.2/255.255.255.0 on interface {A46035C7-A9FF-46F8-A591-F5AF2E73CCEF} [DHCP-serv: 192.168.3.0, lease-time: 31536000]
Thu Jun 26 06:41:31 2008 Successful ARP Flush on interface [3] {A46035C7-A9FF-46F8-A591-F5AF2E73CCEF}
Thu Jun 26 06:41:32 2008 TEST ROUTES: 0/0 succeeded len=0 ret=0 a=0 u/d=down
Thu Jun 26 06:41:32 2008 Route: Waiting for TUN/TAP interface to come up...
Thu Jun 26 06:41:33 2008 TEST ROUTES: 1/1 succeeded len=0 ret=1 a=0 u/d=up
Thu Jun 26 06:41:33 2008 route ADD 212.45.5.36 MASK 255.255.255.255 85.140.109.105
Thu Jun 26 06:41:33 2008 Route addition via IPAPI succeeded
Thu Jun 26 06:41:33 2008 route DELETE 0.0.0.0 MASK 0.0.0.0 85.140.109.105
Thu Jun 26 06:41:34 2008 Route deletion via IPAPI succeeded
Thu Jun 26 06:41:34 2008 route ADD 0.0.0.0 MASK 0.0.0.0 192.168.3.1
Thu Jun 26 06:41:34 2008 Route addition via IPAPI succeeded
Thu Jun 26 06:41:34 2008 Initialization Sequence Completed
Thu Jun 26 06:45:46 2008 Connection reset, restarting [0]
Thu Jun 26 06:45:46 2008 TCP/UDP: Closing socket
Thu Jun 26 06:45:46 2008 SIGUSR1[soft,connection-reset] received, process restarting
Thu Jun 26 06:45:46 2008 Restart pause, 5 second(s)
Thu Jun 26 06:45:51 2008 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu Jun 26 06:45:51 2008 Re-using SSL/TLS context
Thu Jun 26 06:45:51 2008 LZO compression initialized
Thu Jun 26 06:45:51 2008 Control Channel MTU parms [ L:1576 D:168 EF:68 EB:0 ET:0 EL:0 ]
Thu Jun 26 06:45:51 2008 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Jun 26 06:45:51 2008 Local Options hash (VER=V4): '89f33c77'
Thu Jun 26 06:45:51 2008 Expected Remote Options hash (VER=V4): '9de5f9b6'
Thu Jun 26 06:45:51 2008 Attempting to establish TCP connection with 212.45.5.36:1194
Thu Jun 26 06:45:51 2008 TCP connection established with 212.45.5.36:1194
Thu Jun 26 06:45:51 2008 TCPv4_CLIENT link local: [undef]
Thu Jun 26 06:45:51 2008 TCPv4_CLIENT link remote: 212.45.5.36:1194
Thu Jun 26 06:45:54 2008 TLS: Initial packet from 212.45.5.36:1194, sid=2959756a 2e942abe
Thu Jun 26 06:45:54 2008 VERIFY OK: depth=1, /C=RU/ST=RU/L=MOSKVA/O=KRC/OU=TO/CN=servervpn1/emailAddress=ve@krc.ru
Thu Jun 26 06:45:54 2008 VERIFY OK: depth=0, /C=RU/ST=RU/L=MOSKVA/O=KRC/OU=TO/CN=servervpn1/emailAddress=ve@krc.ru
Thu Jun 26 06:45:55 2008 Data Channel Encrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key
Thu Jun 26 06:45:55 2008 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 26 06:45:55 2008 Data Channel Decrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key
Thu Jun 26 06:45:55 2008 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 26 06:45:55 2008 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Jun 26 06:45:55 2008 [servervpn1] Peer Connection Initiated with 212.45.5.36:1194
Thu Jun 26 06:45:57 2008 SENT CONTROL [servervpn1]: 'PUSH_REQUEST' (status=1)
Thu Jun 26 06:45:57 2008 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.3.1,ping 300,ping-restart 1000,ifconfig 192.168.3.2 255.255.255.0'
Thu Jun 26 06:45:57 2008 OPTIONS IMPORT: timers and/or timeouts modified
Thu Jun 26 06:45:57 2008 OPTIONS IMPORT: --ifconfig/up options modified
Thu Jun 26 06:45:57 2008 OPTIONS IMPORT: route options modified
Thu Jun 26 06:45:57 2008 Preserving previous TUN/TAP instance: Подключение по локальной сети 2
Thu Jun 26 06:45:57 2008 Initialization Sequence Completed

Соединение не прошло. Какой то левый IP в логе. (85.140.109.105) Может быть заметите причину.
Заметил еще такую особенность (уже второй раз) . После попытки соединения из дома я утром сегодня не смог соединиться на работе, пока опять не удалил и заново поставил адаптеры TAP. Я получал сообщение
All TAP-Win32 adapters on this system are currently in use. После переустановки все пошло нормально

Вообщем с реальной удаленкой доступа нет.

IMB

Сообщения: 2556
ОС: Debian

Re: Connect client-Server

Сообщение

IMB »

vei писал(а): ↑

27.06.2008 09:46

Thu Jun 26 06:40:37 2008 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

Это Вы уже проходили. Смотрите сообщение Connect client-Server

vei писал(а): ↑

27.06.2008 09:46

Thu Jun 26 06:41:33 2008 route ADD 212.45.5.36 MASK 255.255.255.255 85.140.109.105

Я не знаю как у Вас настроен сервер. Какие роуты раздаются клинта? Смотрите опции push «route ……..» Это конечно если Вы соединяетесь со своим серверм.

vei писал(а): ↑

27.06.2008 09:46

Заметил еще такую особенность (уже второй раз) . После попытки соединения из дома я утром сегодня не смог соединиться на работе, пока опять не удалил и заново поставил адаптеры TAP. Я получал сообщение
All TAP-Win32 adapters on this system are currently in use. После переустановки все пошло нормально

По ошибке могу только предположить что Вы пытались соединится при работающем туннеле. Понятно что TAP-интерфейс уже был занят.

vei

Сообщения: 102
ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei »

IMB писал(а): ↑

27.06.2008 10:31

vei писал(а): ↑

27.06.2008 09:46

Thu Jun 26 06:40:37 2008 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

Это Вы уже проходили. Смотрите сообщение Connect client-Server

vei писал(а): ↑

27.06.2008 09:46

Thu Jun 26 06:41:33 2008 route ADD 212.45.5.36 MASK 255.255.255.255 85.140.109.105

Я не знаю как у Вас настроен сервер. Какие роуты раздаются клинта? Смотрите опции push «route ……..» Это конечно если Вы соединяетесь со своим серверм.

vei писал(а): ↑

27.06.2008 09:46

Заметил еще такую особенность (уже второй раз) . После попытки соединения из дома я утром сегодня не смог соединиться на работе, пока опять не удалил и заново поставил адаптеры TAP. Я получал сообщение
All TAP-Win32 adapters on this system are currently in use. После переустановки все пошло нормально

По ошибке могу только предположить что Вы пытались соединится при работающем туннеле. Понятно что TAP-интерфейс уже был занят.

Что значит работающий туннель?
Я , уходя с работы, оставил сервер включенным. Никто к нему не подключался. Может быть когда я попытался подключиться из дома, хотя и неудачно, но туннель создался и остался. Когда я утром на работе попробовал подключиться , то и получил это сообщение. Подтверждением сказанному может служить то, что из дома, хотя я не подключился, пинги проходили. Правильно ли я понимаю, если конфиги клиента и сервера корректные, то туннель создается и остается, а вот получить доступ к шареным папкам на сервере, это уже другое дело
Теперь еще. Я проанализировал конфиги сервера и клиентов на действующем сервере Vpn.
Я и брал их за основу с учетом ваших подсказок. В частности с инструкцией server bridge.
И находясь в своей сети в офисе соединения проходят нормально.
Но я проанализировал IFCONFIG на действующем и своем новом сервере. И обнаружил для себя нечто новое. В конфигурации действующего сервера я увидел интерфей br0, которого нет у меня.
И немного почитав(не очень глубоко) понял , что он появляется(его нужно создать) когда я использую bridge. Поэтому его отсутствие не мешает мне соединяться , когда я нахожусь в офисе. Я ведь физически нахожусь в одной сетке с сервером и значит мог инстукцию server bridge заменить другой. Вы на нее и обратили внимание раннее. А вот когда я пытаюсь подключиться из дома(то есть из другой сети) , то похоже мне и не хватает интерфейса br0. Но это только догадка. Чтобы это попробовать нужно знать как создать и поднять интерфейс br0.
Если я правильно мыслю, то подскажите путь.

IMB

Сообщения: 2556
ОС: Debian

Re: Connect client-Server

Сообщение

IMB »

К сожалению я не знаю что Вам подсказать. Я сам настроил сервер впервые в жизни. По-поводу bridge-режима это Вам к товарищу Google и man, сам я использую режим routing и прекрасно соединяюсь из дома.

vei

Сообщения: 102
ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei »

IMB писал(а): ↑

24.06.2008 17:33

Не понимаю что у Вас вызывает такие проблемы.
Позволю себе привести свои конфиги.
Клиент (WindowsXP SP2, openvpn-gui):

Код: Выделить всё

client
dev tap
dev-type tun
proto udp
remote <ip/name>
resolv-retry infinite
nobind
persist-key
persist-tun
pkcs12 "C:\\Program Files\\OpenVPN\\key\\certificate.p12"
tls-auth "C:\\Program Files\\openVPN\\key\\ta.key" 1
ns-cert-type server
comp-lzo
verb 3

Сервер (DebianEtch):

Код: Выделить всё

local <ip>
port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
;crl-verify /etc/openvpn/keys/crl.pem
server <ip mask>
ifconfig-pool-persist ipp.txt
client-config-dir ccd
ccd-exclusive
;disable
keepalive 10 120
tls-auth /etc/openvpn/keys/ta.key 0
tls-remote Client
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log-append /var/log/openvpn.log

Предварительные испытания с данными конфигами прошли удачно.

Я увяз с TCP и TAP и последовал Вашему совету(UDP, TUN) Все получилось нормально, но мне показалось что в конфиге клиента у вас отсутствует строка ifconfig , которая назначает виртуальному интерфесу tun IP -adress и заодно указывает адрес удаленного виртуального интерфейса. У меня все зароботало с Вашим конфигом + эта строка.
Или я чего-то не допонял? Уточните пожалуйста.

IMB

Сообщения: 2556
ОС: Debian

Re: Connect client-Server

Сообщение

IMB »

vei писал(а): ↑

29.06.2008 10:58

но мне показалось что в конфиге клиента у вас отсутствует строка ifconfig , которая назначает виртуальному интерфесу tun IP -adress и заодно указывает адрес удаленного виртуального интерфейса. У меня все зароботало с Вашим конфигом + эта строка.

К сожалению Вам только показалось.
Адрес удаленного сервера на клиенте указывается remote <ip/name>. Адрес клиенту присваивается динамически из указанного пула. Для этого на стороне сервера используется server <ip mask>. Но, так как я хочу что бы клиенту выдавался каждый раз один и тотже адрес, этакая привязка клиент-адрес, я указываю client-config-dir ccd. В данной директории на каждого клиента создается файл с указанием всего что я ему хочу передать — адрес, роутинг и т.д.

vei

Сообщения: 102
ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei »

IMB писал(а): ↑

29.06.2008 12:06

vei писал(а): ↑

29.06.2008 10:58

но мне показалось что в конфиге клиента у вас отсутствует строка ifconfig , которая назначает виртуальному интерфесу tun IP -adress и заодно указывает адрес удаленного виртуального интерфейса. У меня все зароботало с Вашим конфигом + эта строка.

К сожалению Вам только показалось.
Адрес удаленного сервера на клиенте указывается remote <ip/name>. Адрес клиенту присваивается динамически из указанного пула. Для этого на стороне сервера используется server <ip mask>. Но, так как я хочу что бы клиенту выдавался каждый раз один и тотже адрес, этакая привязка клиент-адрес, я указываю client-config-dir ccd. В данной директории на каждого клиента создается файл с указанием всего что я ему хочу передать — адрес, роутинг и т.д.

Не понял где посмотреть директорию ccd. Где она находится. Каков путь к ней.
Я еще раз выложу конфиг клиента
#client
#pull
#proto tcp-client
proto udp
remote 212.45.5.36
port 1194
dev tap
dev-type tun
ns-cert-type server
resolv-retry infinite
nobind
redirect-gateway
persist-tun
persist-key
ifconfig 192.168.3.2 192.168.3.1
tls-client
tls-auth ta.key 1
ca ca.crt
cert client2.crt
key client2.key

cipher DES-EDE3-CBC
comp-lzo
verb 5
Конфиг сервера я взял точно такой как у Вас -строка сервер 192.168.3.0 255.255.255.0
Как только на клиенте я убираю строку ifconfig 192.168.3.2 192.168.3.1, то получая сообщение
Options error: On Windows, —ifconfig is required when —dev tun is used
Как только возвращаю на место, конект идет нормально.
Где здесь у меня ошиба(хотя нужное мне соединение есть) Я толком не понял про ccd Хотя объяснения прочитал, но так и не нашел где это находится и ее содержимое с данными, о которых Вы говорили.

IMB

Сообщения: 2556
ОС: Debian

Re: Connect client-Server

Сообщение

IMB »

vei писал(а): ↑

29.06.2008 14:20

Не понял где посмотреть директорию ccd. Где она находится. Каков путь к ней.

Данная директория относится к серверной части и прописывается в конфиге сервера. Кстати, название директории может быть любым.

vei писал(а): ↑

29.06.2008 14:20

Я еще раз выложу конфиг клиента
#client
#pull
#proto tcp-client
……………………………………………………..
ifconfig 192.168.3.2 192.168.3.1
…………………………………………………………..

А почему у Вас ключевое слово client за комментированно?
Позволю себе выложить цитату из man openvpn касательно client-config-dir:

Код:

--client-config-dir dir
Specify a directory dir for custom client config files. After a connecting client has been authenticated, OpenVPN will look in this directory for a file having the same name as the client's X509 common name. If a matching file exists, it will be opened and parsed for client-specific configuration options. If no matching file is found, OpenVPN will instead try to open and parse a default file called "DEFAULT", which may be provided but is not required.

This file can specify a fixed IP address for a given client using --ifconfig-push, as well as fixed subnets owned by the client using --iroute.

One of the useful properties of this option is that it allows client configuration files to be conveniently created, edited, or removed while the server is live, without needing to restart the server.

The following options are legal in a client-specific context: --push, --push-reset, --iroute, --ifconfig-push, and --config.

В моем вольном переводе и не очень хорошем знании языка оригинала:
Отдельная директория для конфигурационных файлов клиентов. После того как клинт пройдет проверку OpenVPN смотрит в этой директории файл с тем же именем что и common name из X509-сертификата клиента. Если такой файл существует, сервер считывает его и передает параметры клиенты. Если такого файла не найдено, OpenVPN пробует открыть файл «DEFAULT».
Данный файл может содержать фиксированный IP-адрес для клиента использую —ifconfig-push, фиксированную подсеть находящуюся за клиентом, насколько я понял, используя —iroute.
Одно из полезных свойств этой опции выражается в том, что она позволяет создавать, редактировать или удалять файлы конфигурации клиентов без необходимости перезапускать сервер.
Примерно так, надеюсь что даже после такого корявого перевода Вам станет понятнее.

vei

Сообщения: 102
ОС: debian 4.0

Re: Connect client-Server

Сообщение

vei »

Директория CCD (либо другая указанная мною) создается на сервере автоматически или я должен указать ее ручками и затем прописать путь к ней? И далее я должен создать конфигурационный файл клиента ? Какое расширение у этого файла. И затем опять же ручками поместить этот файл в директорию CCD?
Прошу извинить за назойливость и непонятливость.
И еще раз. Конфигурационые файлы клиентов, которые будут в этой директории , это те же файлы что находятся в папке config в openvpn под Windows? То-есть с расширением ovpn?

  • Openvpn server windows 10 как настроить
  • Oracle vm virtualbox для windows 10 64 bit
  • Optimized windows 11 by insendfx 7z
  • Oracle virtualbox скачать для windows 10 x64
  • Oracle virtualbox 64 bit windows 10 скачать