Options error on windows ifconfig is required when dev tun is used

Hello everyone,

I used this guide for setting up my https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-ubuntu-16-04
my openvpn server.

I changed only the port location which is listening and waiting for connection.
However my problem is that when i try to connect on windows i get this error :

Wed Feb 07 11:03:52 2018 us=914334 disabling NCP mode (—ncp-disable) because not in P2MP client or server mode
Options error: On Windows, —ifconfig is required when —dev tun is used
Use —help for more information.

My Tun0 interface and openvpn service seem to be running fine on my server and i have the tap driver installed on my local windows machine.

Should i be using TAP in the config or something ?
I also got an error previously from the first line in my client config which was the name of the client being client1 this error is me second one.

My client config:

dev tun
proto udp
remote redacted 667
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-128-CBC
auth SHA256
key-direction 1
comp-lzo
verb 4
mute 20

My server config:

port 667
proto udp
dev tun
ca ca.crt
cert ayypt.crt
key ayypt.key # This file should be kept secret
dh dh2048.pem
server 10.8.0.0 255.255.255.0
push «redirect-gateway def1 bypass-dhcp»
push «dhcp-option DNS 45.76.35.212»
push «dhcp-option DNS 91.239.100.100»
keepalive 10 120

tls-auth ta.key 0 # This file is secret
key-direction 0
cipher AES-128-CBC # AES
auth SHA256
comp-lzo
max-clients 1

persist-key
persist-tun

status /dev/null
log /dev/null
verb 4

What’s wrong with my way of requesting help ?
Pretty much all info needed is already specified.

My client OS is windows10(uptodate) and my server = Linux AyyPT 4.4.0-112-generic #135-Ubuntu SMP Fri Jan 19 11:48:36 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux

ifconfig:

ens3 Link encap:Ethernet HWaddr redacted
inet addr:redacted Bcast:redacted Mask:255.255.254.0
inet6 addr:redacted Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:42814 errors:0 dropped:0 overruns:0 frame:0
TX packets:32671 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:7396018 (7.3 MB) TX bytes:5213270 (5.2 MB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:16 errors:0 dropped:0 overruns:0 frame:0
TX packets:16 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1
RX bytes:1456 (1.4 KB) TX bytes:1456 (1.4 KB)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

wankdongs wrote: ↑

Thu Feb 08, 2018 3:29 pm

What’s wrong with my way of requesting help ?

Your way is the wrong way ..

For example ..

This error:

wankdongs wrote: ↑

Wed Feb 07, 2018 10:28 am

Wed Feb 07 11:03:52 2018 us=914334 disabling NCP mode (—ncp-disable) because not in P2MP client or server mode

Does not correspond to either of your posted config files which have both —client and —server respectively,
so that error message is irrelevant.

This error:

wankdongs wrote: ↑

Wed Feb 07, 2018 10:28 am

Options error: On Windows, —ifconfig is required when —dev tun is used
Use —help for more information.

Does not correspond to either of your posted config files which have both —client and —server respectively,
so that error message is irrelevant.

wankdongs wrote: ↑

Wed Feb 07, 2018 10:28 am

I used this guide for setting up my https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-ubuntu-16-04
my openvpn server.

We do not support 3rd party documentation, please Start here:
HOWTO: For OpenVPN Community Edition

how to use openvpn?

Thu Sep 27, 2018 7:19 pm

You do not have the required permissions to view the files attached to this post.

Re: how to use openvpn?

Thu Sep 27, 2018 8:25 pm

client
dev tun
remote vpn.example.net 1194 tcp-client
persist-key
persist-tun
tls-client
remote-cert-tls server
verify-x509-name vpn.example.net name
verb 3
auth-user-pass
cipher AES-128-CBC
# optional routes:
route 10.0.0.0 255.255.255.0
route 10.0.1.0 255.255.255.0
<cert>
# paste client certificate here (PEM format)
</cert>
<key>
# paste private key here
</key>
<ca>
# paste CA certificate here
</ca>

Re: how to use openvpn?

Sat Sep 29, 2018 4:04 pm

Sat Sep 29 15:57:23 2018 us=993102 disabling NCP mode (--ncp-disable) because not in P2MP client or server mode
Options error: On Windows, --ifconfig is required when --dev tun is used
Use --help for more information.

 No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

Last edited by David1234 on Sat Sep 29, 2018 4:45 pm, edited 1 time in total.

Re: how to use openvpn?

Sat Sep 29, 2018 4:28 pm

So I guess you used their config and not mine? Then add the line with «client» keyword and it should be better.

Re: how to use openvpn?

Sat Sep 29, 2018 4:53 pm

Re: how to use openvpn?

Sat Sep 29, 2018 5:08 pm

Re: how to use openvpn?

Sat Sep 29, 2018 5:31 pm

Both. All involved devices need correct routes to know where to find each other (see my config for example how to add routes for client). Firewall must allow the communication too. And even devices themselves, if they have own firewall, need to allow access from others (often only a same-subnet access is allowed by default).

Re: how to use openvpn?

Sun Sep 30, 2018 9:21 am

Re: how to use openvpn?

Sun Sep 30, 2018 4:57 pm

openssl rsa -in encrypted.key -out decrypted.key

Hi guys. Im trying to configure openvpn. Here is my config #Client1

dev tun

remote x.x.x.x 1194

ca «C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\ca.crt»

cert «C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\issued\\Client1.crt»

key «C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\private\\Client1.key»

keepalive 10 120

persist-key

persist-tun

cipher AES-256-GCM

comp-lzo

verb 7

Error says: 2023-04-11 09:00:51 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless «allow-compression yes» is also set.

2023-04-11 09:00:51 NOTE: debug verbosity (—verb 7) is enabled but this build lacks debug support.

2023-04-11 09:00:51 us=906000 Note: ‘—allow-compression’ is not set to ‘no’, disabling data channel offload.

Options error: On Windows, —ifconfig is required when —dev tun is used

Use —help for more information.

Do you know how to solve this?

Hello,

Your posted config file is missing protocol option, either proto udp or proto tcp. The error you are referring to is actually just a warning and should not influence connection.

I had issues establishing the tunnel, when certificate files were given in the format you are using, pasting them in the file worked. Below is a working configuration file for windows client with certificates and server’s IP removed and corresponding configuration from server side.

Windows client file:

client
dev tun
proto udp
remote x.x.x.x 1194
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
<ca>
-----BEGIN CERTIFICATE-----
<paste your CA here>
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
<paste your client's certificate here>
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----

<paste your client's key here>
-----END PRIVATE KEY-----
</key>
cipher AES-256-GCM
verb 5

Router’s configuration:

Best regards,

vei писал(а): ↑

24.06.2008 13:04

Open Vpn Debian 4 Linux — start OK!
Перехожу на рабочую станцию XP и когда пытаюсь Connect ,
то No server certificate verification method has been enabled
Почему это происходит? Ругается только на сертификат и еще на ключ ta. Ссылки на этот ключ на сервере и клиенте я убрал и теперь не ругается , а вот на сертификат — см .выше. Я так понял ,что наличие ta.key не обязательно?
Или это как то связано?

Вот фрагмент моего лога при попыте соединиться
OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Tue Jun 24 13:23:31 2008 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Tue Jun 24 13:23:31 2008 LZO compression initialized
Tue Jun 24 13:23:31 2008 Control Channel MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Tue Jun 24 13:23:31 2008 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Jun 24 13:23:31 2008 Local Options hash (VER=V4): ‘1a40e822’
Tue Jun 24 13:23:31 2008 Expected Remote Options hash (VER=V4): ‘d8e6e8ce’
Tue Jun 24 13:23:31 2008 Attempting to establish TCP connection with 212.45.5.36:1194
Tue Jun 24 13:23:31 2008 TCP connection established with 212.45.5.36:1194
Tue Jun 24 13:23:31 2008 TCPv4_CLIENT link local: [undef]
Tue Jun 24 13:23:31 2008 TCPv4_CLIENT link remote: 212.45.5.36:1194
Tue Jun 24 13:23:31 2008 TLS: Initial packet from 212.45.5.36:1194, sid=be234d9e 259082fd
Tue Jun 24 13:23:31 2008 VERIFY ERROR: depth=0, error=unable to get local issuer certificate: /C=RU/ST=RU/L=MOSKVA/O=KRC/OU=TO/CN=vpn1/emailAddress=ve@krc.ru
Tue Jun 24 13:23:31 2008 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Tue Jun 24 13:23:31 2008 TLS Error: TLS object -> incoming plaintext read error
Tue Jun 24 13:23:31 2008 TLS Error: TLS handshake failed
Tue Jun 24 13:23:31 2008 Fatal TLS error (check_tls_errors_co), restarting

IMB писал(а): ↑

24.06.2008 13:59

А Вы по рекомендованной ссылке ходить пробовали?

Конечно. И на родной HOWTO и перевод нашел. Но видимо я не понимаю какой-то основной принцип.
Я сгенерировал все необходимые ключи и сертификаты для сервера и клиентов. Клиентские разместил в конфиге и ссылки на них в файле client.opvn сделал. Что еще не так? Подскажите. Я лог конекта выложил.

IMB писал(а): ↑

24.06.2008 14:51

У Вас в конфиге клиента есть строка ns-cert-type server?

Не было. Сейчас вставил. Есть ошибки. Вот лог
OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Tue Jun 24 17:14:55 2008 Control Channel Authentication: using ‘ta.key’ as a OpenVPN static key file
Tue Jun 24 17:14:55 2008 Outgoing Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
Tue Jun 24 17:14:55 2008 Incoming Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
Tue Jun 24 17:14:55 2008 LZO compression initialized
Tue Jun 24 17:14:55 2008 Control Channel MTU parms [ L:1576 D:168 EF:68 EB:0 ET:0 EL:0 ]
Tue Jun 24 17:14:55 2008 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Jun 24 17:14:55 2008 Local Options hash (VER=V4): ’89f33c77′
Tue Jun 24 17:14:55 2008 Expected Remote Options hash (VER=V4): ‘9de5f9b6’
Tue Jun 24 17:14:55 2008 Attempting to establish TCP connection with 212.45.5.36:1194
Tue Jun 24 17:14:55 2008 TCP connection established with 212.45.5.36:1194
Tue Jun 24 17:14:55 2008 TCPv4_CLIENT link local: [undef]
Tue Jun 24 17:14:55 2008 TCPv4_CLIENT link remote: 212.45.5.36:1194
Tue Jun 24 17:14:55 2008 TLS: Initial packet from 212.45.5.36:1194, sid=b1251a72 e299c6bf
Tue Jun 24 17:14:55 2008 Authenticate/Decrypt packet error: packet HMAC authentication failed
Tue Jun 24 17:14:55 2008 TLS Error: incoming packet authentication failed from 212.45.5.36:1194
Tue Jun 24 17:14:55 2008 Fatal TLS error (check_tls_errors_co), restarting
Tue Jun 24 17:14:55 2008 TCP/UDP: Closing socket
Tue Jun 24 17:14:55 2008 SIGUSR1[soft,tls-error] received, process restarting

Не знаю, что такое TLS и что за ошибки с этим связанные?

Не понимаю что у Вас вызывает такие проблемы.
Позволю себе привести свои конфиги.
Клиент (WindowsXP SP2, openvpn-gui):

client
dev tap
dev-type tun
proto udp
remote <ip/name>
resolv-retry infinite
nobind
persist-key
persist-tun
pkcs12 "C:\\Program Files\\OpenVPN\\key\\certificate.p12"
tls-auth "C:\\Program Files\\openVPN\\key\\ta.key" 1
ns-cert-type server
comp-lzo
verb 3

Сервер (DebianEtch):

local <ip>
port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
;crl-verify /etc/openvpn/keys/crl.pem
server <ip mask>
ifconfig-pool-persist ipp.txt
client-config-dir ccd
ccd-exclusive
;disable
keepalive 10 120
tls-auth /etc/openvpn/keys/ta.key 0
tls-remote Client
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log-append /var/log/openvpn.log

Предварительные испытания с данными конфигами прошли удачно.

при запуске Connect получаю сообщение об ошибке открытия лог файла для клиента1

Создайте папку log в директории openvpn.

Я лезу в ЛОГ и вот строки с ошибками
Authenticate/Decrypt packet error: packet HMAC authentication failed
Wed Jun 25 10:13:53 2008 TLS Error: incoming packet authentication failed from 212.45.5.36:1194
Wed Jun 25 10:13:53 2008 Fatal TLS error (check_tls_errors_co), restarting
Что это значит.? Где что поправить?

Приведите свои конфиги клиента и сервера.

Это конфиг сервера

IMB писал(а): ↑

25.06.2008 14:37

при запуске Connect получаю сообщение об ошибке открытия лог файла для клиента1

Создайте папку log в директории openvpn.

Я лезу в ЛОГ и вот строки с ошибками
Authenticate/Decrypt packet error: packet HMAC authentication failed
Wed Jun 25 10:13:53 2008 TLS Error: incoming packet authentication failed from 212.45.5.36:1194
Wed Jun 25 10:13:53 2008 Fatal TLS error (check_tls_errors_co), restarting
Что это значит.? Где что поправить?

Приведите свои конфиги клиента и сервера.

Самое интересное, что папка лог на месте. И в ней есть файл client1.log. И там есть информация. То есть он пишет туда, а при загрузке сообщает , что ошибка открытия файла client1.log для записи. Пути все правильные.

Насколько хватает моего опыта проблемы должны быть не из-за конфигов. Несколько не очень критичных замечаний
сервер: можно убрать tls-server, выбор режима server уже предполагает tls-server
клиент: можно убрать pull и tls-client, режим client их предполагает, не нужна запись о dh-ключе и почему у Вас ключи без полного пути
Ваши проблемы возможно связаны с tcp-протоколом, измените на udp и посмотрите на изменения.

По поводу ошибки с логом. В Windows лог имеет тоже название что и конфигурационный файл. У Вас конфиг клиента называется client1?

IMB писал(а): ↑

25.06.2008 18:36

Насколько хватает моего опыта проблемы должны быть не из-за конфигов. Несколько не очень критичных замечаний
сервер: можно убрать tls-server, выбор режима server уже предполагает tls-server
клиент: можно убрать pull и tls-client, режим client их предполагает, не нужна запись о dh-ключе и почему у Вас ключи без полного пути
Ваши проблемы возможно связаны с tcp-протоколом, измените на udp и посмотрите на изменения.

По поводу ошибки с логом. В Windows лог имеет тоже название что и конфигурационный файл. У Вас конфиг клиента называется client1?

Да. Но client1.ovpn находится в папке config, а папка с логом находится в Openvpn.

Странно, должно все работать. Вот как выглядит директория openvpn у меня:

 Содержимое папки C:\Program Files\OpenVPN

20.06.2008  20:13    <DIR>          .
20.06.2008  20:13    <DIR>          ..
20.06.2008  20:10    <DIR>          bin
20.06.2008  20:11    <DIR>          config
20.06.2008  20:10    <DIR>          driver
30.01.2008  03:59            15 086 icon.ico
30.01.2008  04:40               902 INSTALL-win32.txt
20.06.2008  20:16    <DIR>          key
30.01.2008  04:40            28 204 license.txt
20.06.2008  20:13    <DIR>          log
20.06.2008  20:10            87 956 Uninstall.exe

vei писал(а): ↑

26.06.2008 12:27

Нужно ли для этого мне генерить новый клиентский ключ или просто взять с работы уже имеющийся клиентский ключ ? Сервер VPN знает , что с ним уже коннектился Client1 на работе и теперь с теми же ключами, но с другого меня не впустит?

Нет, новые ключи генерировать не надо. Есть только одно но — если Вы хотите что бы все клиенты ходили с одним сертификатом это надо прописывать в конфиге сервера.

IMB писал(а): ↑

26.06.2008 15:04

Неправильно!
Строка SERVER 192.168.3.0 255.255.255.0 говорит о том, что адреса будут выдаваться из указанного пула. Причем по-умолчанию адреса выдаются с маской 30, т.е. по 4-е адреса. Таким образом сервер займет 192.168.3.1-4, первый клиент получит адрес 192.168.3.5-8 и т.д.
Конструкция ifconfig-pool-persist /etc/openvpn/ipp.txt нужна чтобы клиенту выдался тот же адрес в случае обрыва связи. Заполнять руками его не нужно.
Если Вы хотите выдавать клиентам статические адреса воспользуйтесь конструкцией client-config-dir ccd.

Я это уже почти понял. Я закоментировал строку сервер и вставил строки
server-bridge 192.168.3.1 255.255.255.0 192.168.3.171 192.168.3.219
ifconfig-pool-persist ipp.txt
ifconfig 192.168.3.1 255.255.255.0
В файле ipp.txt я прописал конкретные адреса 171 и 172 для клиента 1 и2.
При подключении клиентом 1 я получаю 171 адрес. Почему я сказал почти? Мне это подсказали не объяснив , и хотя все сработало, я не все инструкции осознал. В частности server-bridge Последние две строки мне понятны.
Поясните пожалуйста физический смысл строки server-bridge . Что делает эта инструкция?

Спасибо! Про server-bridge понял.
Тут вот что еще происходит:
Вчера вечером пробовал соединяться из дома. Для моего клиента домашнего сгенерил ключи
При попытке соединения получил такой лог.

Соединение не прошло. Какой то левый IP в логе. (85.140.109.105) Может быть заметите причину.
Заметил еще такую особенность (уже второй раз) . После попытки соединения из дома я утром сегодня не смог соединиться на работе, пока опять не удалил и заново поставил адаптеры TAP. Я получал сообщение
All TAP-Win32 adapters on this system are currently in use. После переустановки все пошло нормально

Вообщем с реальной удаленкой доступа нет.

vei писал(а): ↑

27.06.2008 09:46

Thu Jun 26 06:40:37 2008 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

Это Вы уже проходили. Смотрите сообщение Connect client-Server

vei писал(а): ↑

27.06.2008 09:46

Thu Jun 26 06:41:33 2008 route ADD 212.45.5.36 MASK 255.255.255.255 85.140.109.105

Я не знаю как у Вас настроен сервер. Какие роуты раздаются клинта? Смотрите опции push «route ……..» Это конечно если Вы соединяетесь со своим серверм.

vei писал(а): ↑

27.06.2008 09:46

Заметил еще такую особенность (уже второй раз) . После попытки соединения из дома я утром сегодня не смог соединиться на работе, пока опять не удалил и заново поставил адаптеры TAP. Я получал сообщение
All TAP-Win32 adapters on this system are currently in use. После переустановки все пошло нормально

По ошибке могу только предположить что Вы пытались соединится при работающем туннеле. Понятно что TAP-интерфейс уже был занят.

IMB писал(а): ↑

27.06.2008 10:31

vei писал(а): ↑

27.06.2008 09:46

Thu Jun 26 06:40:37 2008 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

Это Вы уже проходили. Смотрите сообщение Connect client-Server

vei писал(а): ↑

27.06.2008 09:46

Thu Jun 26 06:41:33 2008 route ADD 212.45.5.36 MASK 255.255.255.255 85.140.109.105

Я не знаю как у Вас настроен сервер. Какие роуты раздаются клинта? Смотрите опции push «route ……..» Это конечно если Вы соединяетесь со своим серверм.

vei писал(а): ↑

27.06.2008 09:46

Заметил еще такую особенность (уже второй раз) . После попытки соединения из дома я утром сегодня не смог соединиться на работе, пока опять не удалил и заново поставил адаптеры TAP. Я получал сообщение
All TAP-Win32 adapters on this system are currently in use. После переустановки все пошло нормально

По ошибке могу только предположить что Вы пытались соединится при работающем туннеле. Понятно что TAP-интерфейс уже был занят.

Что значит работающий туннель?
Я , уходя с работы, оставил сервер включенным. Никто к нему не подключался. Может быть когда я попытался подключиться из дома, хотя и неудачно, но туннель создался и остался. Когда я утром на работе попробовал подключиться , то и получил это сообщение. Подтверждением сказанному может служить то, что из дома, хотя я не подключился, пинги проходили. Правильно ли я понимаю, если конфиги клиента и сервера корректные, то туннель создается и остается, а вот получить доступ к шареным папкам на сервере, это уже другое дело
Теперь еще. Я проанализировал конфиги сервера и клиентов на действующем сервере Vpn.
Я и брал их за основу с учетом ваших подсказок. В частности с инструкцией server bridge.
И находясь в своей сети в офисе соединения проходят нормально.
Но я проанализировал IFCONFIG на действующем и своем новом сервере. И обнаружил для себя нечто новое. В конфигурации действующего сервера я увидел интерфей br0, которого нет у меня.
И немного почитав(не очень глубоко) понял , что он появляется(его нужно создать) когда я использую bridge. Поэтому его отсутствие не мешает мне соединяться , когда я нахожусь в офисе. Я ведь физически нахожусь в одной сетке с сервером и значит мог инстукцию server bridge заменить другой. Вы на нее и обратили внимание раннее. А вот когда я пытаюсь подключиться из дома(то есть из другой сети) , то похоже мне и не хватает интерфейса br0. Но это только догадка. Чтобы это попробовать нужно знать как создать и поднять интерфейс br0.
Если я правильно мыслю, то подскажите путь.

IMB писал(а): ↑

24.06.2008 17:33

Не понимаю что у Вас вызывает такие проблемы.
Позволю себе привести свои конфиги.
Клиент (WindowsXP SP2, openvpn-gui):

Код: Выделить всё

client
dev tap
dev-type tun
proto udp
remote <ip/name>
resolv-retry infinite
nobind
persist-key
persist-tun
pkcs12 "C:\\Program Files\\OpenVPN\\key\\certificate.p12"
tls-auth "C:\\Program Files\\openVPN\\key\\ta.key" 1
ns-cert-type server
comp-lzo
verb 3

Сервер (DebianEtch):

Код: Выделить всё

local <ip>
port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
;crl-verify /etc/openvpn/keys/crl.pem
server <ip mask>
ifconfig-pool-persist ipp.txt
client-config-dir ccd
ccd-exclusive
;disable
keepalive 10 120
tls-auth /etc/openvpn/keys/ta.key 0
tls-remote Client
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log-append /var/log/openvpn.log

Предварительные испытания с данными конфигами прошли удачно.

Я увяз с TCP и TAP и последовал Вашему совету(UDP, TUN) Все получилось нормально, но мне показалось что в конфиге клиента у вас отсутствует строка ifconfig , которая назначает виртуальному интерфесу tun IP -adress и заодно указывает адрес удаленного виртуального интерфейса. У меня все зароботало с Вашим конфигом + эта строка.
Или я чего-то не допонял? Уточните пожалуйста.

vei писал(а): ↑

29.06.2008 10:58

но мне показалось что в конфиге клиента у вас отсутствует строка ifconfig , которая назначает виртуальному интерфесу tun IP -adress и заодно указывает адрес удаленного виртуального интерфейса. У меня все зароботало с Вашим конфигом + эта строка.

К сожалению Вам только показалось.
Адрес удаленного сервера на клиенте указывается remote <ip/name>. Адрес клиенту присваивается динамически из указанного пула. Для этого на стороне сервера используется server <ip mask>. Но, так как я хочу что бы клиенту выдавался каждый раз один и тотже адрес, этакая привязка клиент-адрес, я указываю client-config-dir ccd. В данной директории на каждого клиента создается файл с указанием всего что я ему хочу передать — адрес, роутинг и т.д.

IMB писал(а): ↑

29.06.2008 12:06

vei писал(а): ↑

29.06.2008 10:58

но мне показалось что в конфиге клиента у вас отсутствует строка ifconfig , которая назначает виртуальному интерфесу tun IP -adress и заодно указывает адрес удаленного виртуального интерфейса. У меня все зароботало с Вашим конфигом + эта строка.

К сожалению Вам только показалось.
Адрес удаленного сервера на клиенте указывается remote <ip/name>. Адрес клиенту присваивается динамически из указанного пула. Для этого на стороне сервера используется server <ip mask>. Но, так как я хочу что бы клиенту выдавался каждый раз один и тотже адрес, этакая привязка клиент-адрес, я указываю client-config-dir ccd. В данной директории на каждого клиента создается файл с указанием всего что я ему хочу передать — адрес, роутинг и т.д.

Не понял где посмотреть директорию ccd. Где она находится. Каков путь к ней.
Я еще раз выложу конфиг клиента
#client
#pull
#proto tcp-client
proto udp
remote 212.45.5.36
port 1194
dev tap
dev-type tun
ns-cert-type server
resolv-retry infinite
nobind
redirect-gateway
persist-tun
persist-key
ifconfig 192.168.3.2 192.168.3.1
tls-client
tls-auth ta.key 1
ca ca.crt
cert client2.crt
key client2.key

cipher DES-EDE3-CBC
comp-lzo
verb 5
Конфиг сервера я взял точно такой как у Вас -строка сервер 192.168.3.0 255.255.255.0
Как только на клиенте я убираю строку ifconfig 192.168.3.2 192.168.3.1, то получая сообщение
Options error: On Windows, —ifconfig is required when —dev tun is used
Как только возвращаю на место, конект идет нормально.
Где здесь у меня ошиба(хотя нужное мне соединение есть) Я толком не понял про ccd Хотя объяснения прочитал, но так и не нашел где это находится и ее содержимое с данными, о которых Вы говорили.

vei писал(а): ↑

29.06.2008 14:20

Не понял где посмотреть директорию ccd. Где она находится. Каков путь к ней.

Данная директория относится к серверной части и прописывается в конфиге сервера. Кстати, название директории может быть любым.

vei писал(а): ↑

29.06.2008 14:20

Я еще раз выложу конфиг клиента
#client
#pull
#proto tcp-client
……………………………………………………..
ifconfig 192.168.3.2 192.168.3.1
…………………………………………………………..

А почему у Вас ключевое слово client за комментированно?
Позволю себе выложить цитату из man openvpn касательно client-config-dir:

В моем вольном переводе и не очень хорошем знании языка оригинала:
Отдельная директория для конфигурационных файлов клиентов. После того как клинт пройдет проверку OpenVPN смотрит в этой директории файл с тем же именем что и common name из X509-сертификата клиента. Если такой файл существует, сервер считывает его и передает параметры клиенты. Если такого файла не найдено, OpenVPN пробует открыть файл «DEFAULT».
Данный файл может содержать фиксированный IP-адрес для клиента использую —ifconfig-push, фиксированную подсеть находящуюся за клиентом, насколько я понял, используя —iroute.
Одно из полезных свойств этой опции выражается в том, что она позволяет создавать, редактировать или удалять файлы конфигурации клиентов без необходимости перезапускать сервер.
Примерно так, надеюсь что даже после такого корявого перевода Вам станет понятнее.