Note user option is not implemented on windows
Тонкая настройка OpenVPN
Есть домашний минисервер на Ubuntu. На нём установлен OpenVPN. Есть рабочий комп, который умеет подключаться к минисерверу через openVPN. Рабочая сеть имеет выход в интернет через Forefront. Как сделать так, чтобы при подключении по VPN: 1) весь интернет трафик шёл через минисервер? 2) была полностью доступна рабочая локалка?
push «redirect-gateway» не проходит, при этом вообще полностью отваливается интернет и даже рабочая локалка.
Убрал все push route, оставил только push «redirect-gateway»
весь инет сразу после подключения отвалился.
белый IP в логе заменил на *.*.*.*
Убрал все push route, оставил только push «redirect-gateway»
весь инет сразу после подключения отвалился.
1) убери из пуша redirect-private, если используешь redirect-gateway.
2) роуты более-менее корректны, кмк, у тебя не форвадит мини-сервер.
3) tracert до нужного хоста дай.
Вот так я попадаю в локальную сеть 192.168.0.0/24 через openvpn-сеть 192.168.2.0/24
форвардинг 192.168.0.0/24 192.168.2.0/24 разрешён, естественно
о чудо, наконец то мы увидели логи клиента!
WARNING: potential route subnet conflict between local LAN [10.10.1.4/255.255.255.252] and remote VPN [10.10.1.0/255.255.255.0]
1) убери из пуша redirect-private, если используешь redirect-gateway.
плюсую
хотелось бы еще увидеть текущий вариант конфига, ибо там какой то винегрет в совокупности с полным непониманием топикстартера принципа работы openvpn
о чудо, наконец то мы увидели логи клиента!
Да ладно тебе, человек исправляется. Глядишь, и мануалы, наконец, читать начнёт))
Да ладно
WARNING: potential route subnet conflict between local LAN [10.10.1.4/255.255.255.252] and remote VPN [10.10.1.0/255.255.255.0]
Чего такого-то? OpenVPN способен разрулить эти конфликты, при желании настраивающего и наличии у него прямых рук.
хотелось бы еще увидеть текущий вариант конфига, ибо там какой то винегрет в совокупности с полным непониманием топикстартера принципа работы openvpn
Чего такого-то? OpenVPN способен разрулить эти конфликты, при желании настраивающего и наличии у него прямых рук.
Нормальные люди другую подсеть выделят для впна.
уезжаю на неделю, продолжу эксперименты по возвращении
Нормальные люди другую подсеть выделят для впна.
уезжаю на неделю, продолжу эксперименты по возвращении
При всём моём уважении, за время, которое тут висит Ваш вопрос, можно было документацию по OpenVPN выучить наизусть. За сим откланиваюсь, ибо надоело.
Openvpn проблемы с подключением на Windows
Проблемы с виндой, пришел на форум о линукс, разметку соблюдать лень, пусть глаза ломают. ты правда рассчитываешь на помощь?
ссори сейчас исправлю
winda впоряде есть тестовый клиент на не все работает
В Markdown выделение блоков кода — «` в начале и в конце. И при чем тут Linux?
если можно по подробнее я новичок
не совсем понял о чем речь если не трудно скажите в какую сторону копать
Да куда понятнее, ***. Вы уже настолько отупели, что без пошагового видео не можете? Ты вывод терминала зачем-то разметил просто двойным переносом на каждой строчке — а хватило бы поставить «` в начале и в конце для красивой разметки.
И повторяю вопрос: Linux какое отношение к проблеме имеет?
да он хочет сбежать с винды через openvpn ^))
а на ЛОР его гугель послал – по-моему очевидно :/
ТС почитай это или это – потом отредактируй тему. Может и помогут… Просто весь день ломать глаза об скверно отредактированные сообщения от новичков (и не только) кто угодно озвереет. А ты ещё и с виндой… Понимаешь это как – прийти к фанатам Спартака и сказать им что, болеешь за Зенит. Если без аллегорий: рецепты линукса могут тебе не подойти.
Да тему твою не читал – реально тяжело такое разбирать…
гоу на форум говновинды. нехерь захламлять мой уютненький лорчик
Отредактировал. надеюсь на помощь
На форуме много тем связаны с виндой (такая реакция только на меня по моему).
Нет, на все темы типа «у меня винда, а в ней такая проблема» реакция одинаковая. И ещё я пишу из под anonymous, другие тоже могут писать из под anonymous. Новички первое время думают, что anonymous это один и тот же человек. И сильно удивляются, что от него идут и подсказки, и угрозы, и насмешки… Пишет тебе один или несколько анонов, знают только модераторы (наверное). Поэтому, сначала думай, а потом делай (будут и вредные советы, куда ж без них)
А что в логах сервера?
Ну такое себе… Хотя прочитать можно
Fri Dec 06 22:26:28 2019 NOTE: –user option is not implemented on Windows Fri Dec 06 22:26:28 2019 NOTE: –group option is not implemented on Windows
Тебе же прямым текстом говорят, что эти опции для windows-версии клиента не реализованы. Как я понимаю, ты пытаешься настраивать и запускать openvpn по мануалам для linux в windows. Так оно работать не будет. Или осваивай линукс (например, в виртуалке или как liveUSB), или ищи туториалы по настройке openvpn в windows.
а почему в одном случае в строке лога TCP connection established with виден один ip, а в другом другой? К разным серверам подключаетесь? Может и сертификаты нужны тогда разные?
Добавь опцию verb с каким-нибудь средним значением. То, что оно на обоих концах рвётся сразу после попытки TLS-рукопожатия, сужает круг возможных причин
А разве оно не IP клиента должно показывать, со стороны сервера-то?
verb 3 потом поменял на verb 5
И после этого заново приложи логи сервера и клиента. Эта опция только на уровень логирования влияет
А если 7 поставить? Я не помню, на каком оно показывает параметры сертификатов
подумалось, что можно на винду накатить wsl и оттуда попробовать подключиться, лол. интересно, wsl может шарить сеть?
Не работает OpenVPN
Висит минут 5 и далее:
При попытке подключиться с клиента (Windows 10), запуск с правами Администратора, в журнале:
Подскажите пжл, в чем может быть дело?
Проблема в сертификатах.
Fri Apr 05 17:49:23 2019 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
Вы, видимо, либо неправильно их создаете, либо неправильно их используете. Создавайте сертификаты через easy-rsa, и не забудьте, что для сервера нужно создавать server-сертификат, а для клиента — client-сертификат.
На компьютере, где создаете сертификаты, убедитесь, что установлено правильное время, и на всех остальных компьютерах тоже.
Вроде разобрался, подключился, работает.
Но вот в процессе подключения на клиенте падают warning-и, особенно смущает первый:
Полный лог клиента:
Подскажите пжл. как решить, особенно первый?
Не первый раз замечаю людей с выборочной способностью чтения. Вам же явно написано, где читать и что делать. Вы прочли текст по ссылке? Из него что-то непонятно?
Вы не приводите конфигурационный файл клиента, но там, видимо, используется опция tun-mtu. Не применяйте её, как и fragment и mssfix. В OpenVPN используются нормальные значения по умолчанию.
Не первый раз замечаю людей с выборочной способностью чтения. Вам же явно написано, где читать и что делать. Вы прочли текст по ссылке? Из него что-то непонятно?
Я переходил по ссылке, но она ведет просто на документацию общую, не на определенный раздел или описание параметра.
это добавил, т.к. были еще warning-и ругающиеся на несовпадения данных параметров на сервере и клиенте, после добавления данных параметров в конфиг клиента эти warning-и перестали выводиться.
WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Мой вариант без гемороя.
Это не то. VPN в Android настроить можно, но он требует графический ключ. Я подключался через эту прогу https://play.google.com/store/apps/details?id=net.openvpn.openvpn минимум настроек, работает из коробки.
Я подключался через эту прогу
Уже завелось, но попробую как-нибудь, интересно.
Почему клиент не подключается к серверу OpenVPN?
port 1194
mode server
proto tcp
dev tun
ca ca.crt
cert OpenVPN.crt
key OpenVPN.key
dh dh1024.pem
client-to-client
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push route 192.168.1.0 255.255.255.0
;push redirect-gateway tun0
route 10.47.1.0 255.255.255.0
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
client-config-dir C:\\ccd\\
verb 3
client
dev tun
proto tcp
remote 10.8.0.0 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
comp-lzo
verb 3
ошибка при подключении:
Mon Jan 11 11:51:25 2016 OpenVPN 2.3.10 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Jan 4 2016
Mon Jan 11 11:51:25 2016 Windows version 6.2 (Windows 8 or greater)
Mon Jan 11 11:51:25 2016 library versions: OpenSSL 1.0.1q 3 Dec 2015, LZO 2.09
Mon Jan 11 11:51:25 2016 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Mon Jan 11 11:51:25 2016 Need hold release from management interface, waiting.
Mon Jan 11 11:51:25 2016 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Mon Jan 11 11:51:26 2016 MANAGEMENT: CMD ‘state on’
Mon Jan 11 11:51:26 2016 MANAGEMENT: CMD ‘log all on’
Mon Jan 11 11:51:26 2016 MANAGEMENT: CMD ‘hold off’
Mon Jan 11 11:51:26 2016 MANAGEMENT: CMD ‘hold release’
Mon Jan 11 11:51:26 2016 Socket Buffers: R=[65536->65536] S=[65536->65536]
Mon Jan 11 11:51:26 2016 Attempting to establish TCP connection with [AF_INET]10.8.0.0:1194 [nonblock]
Mon Jan 11 11:51:26 2016 MANAGEMENT: >STATE:1452505886,TCP_CONNECT.
Mon Jan 11 11:51:36 2016 TCP: connect to [AF_INET]10.8.0.0:1194 failed, will try again in 5 seconds: The system tried to join a drive to a directory on a joined drive.
Mon Jan 11 11:51:41 2016 MANAGEMENT: >STATE:1452505901,TCP_CONNECT.
Mon Jan 11 11:51:51 2016 TCP: connect to [AF_INET]10.8.0.0:1194 failed, will try again in 5 seconds: The system tried to join a drive to a directory on a joined drive.
Mon Jan 11 11:51:56 2016 MANAGEMENT: >STATE:1452505916,TCP_CONNECT.
Mon Jan 11 11:52:07 2016 TCP: connect to [AF_INET]10.8.0.0:1194 failed, will try again in 5 seconds: The system tried to join a drive to a directory on a joined drive.
Mon Jan 11 11:52:12 2016 MANAGEMENT: >STATE:1452505932,TCP_CONNECT.
и так подключение идет по кругу но не подключается
Пошаговая настройка OpenVPN в Windows
Настраиваем сервер.
#
# OpenSSL example configuration file.
# This is mostly being used for generation of certificate requests.
#
# To use this configuration file with the «-extfile» option of the
# «openssl x509» utility, name here the section containing the
# X.509v3 extensions to use:
# extensions =
# (Alternatively, use a configuration file that has only
# X.509v3 extensions in its main [= default] section.)
# We can add new OIDs in here for use by ‘ca’ and ‘req’.
# Add a simple OID like this:
# testoid1=1.2.3.4
# Or use config file substitution like this:
# testoid2=$
x509_extensions = usr_cert # The extentions to add to the cert
# Extensions to add to a CRL. Note: Netscape communicator chokes on V2 CRLs
# so this is commented out by default to leave a V1 CRL.
# crl_extensions = crl_ext
default_days = 3650 # how long to certify for
default_crl_days= 30 # how long before next CRL
default_md = md5 # which md to use.
preserve = no # keep passed DN ordering
# A few difference way of specifying how similar the request should look
# For type CA, the listed attributes must be the same, and the optional
# and supplied fields are just that 🙂
policy = policy_match
# For the CA policy
[ policy_match ]
countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
# For the ‘anything’ policy
# At this point in time, you must list all acceptable ‘object’
# types.
[ policy_anything ]
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
# Passwords for private keys if not present they will be prompted for
# input_password = secret
# output_password = secret
# This sets a mask for permitted string types. There are several options.
# default: PrintableString, T61String, BMPString.
# pkix: PrintableString, BMPString.
# utf8only: only UTF8Strings.
# nombstr: PrintableString, T61String (no BMPStrings or UTF8Strings).
# MASK:XXXX a literal mask value.
# WARNING: current versions of Netscape crash on BMPStrings or UTF8Strings
# so use this option with caution!
string_mask = nombstr
# req_extensions = v3_req # The extensions to add to a certificate request
# we can do this but it is not needed normally 🙂
#1.organizationName = Second Organization Name (eg, company)
#1.organizationName_default = World Wide Web Pty Ltd
organizationalUnitName = Organizational Unit Name (eg, section)
#organizationalUnitName_default =
commonName = Common Name (eg, your name or your server\’s hostname)
commonName_max = 64
# SET-ex3 = SET extension number 3
[ req_attributes ]
challengePassword = A challenge password
challengePassword_min = 4
challengePassword_max = 20
unstructuredName = An optional company name
# These extensions are added when ‘ca’ signs a request.
# This goes against PKIX guidelines but some CAs do it and some software
# requires this to avoid interpreting an end user certificate as a CA.
# Here are some examples of the usage of nsCertType. If it is omitted
# the certificate can be used for anything *except* object signing.
# This is OK for an SSL server.
# nsCertType = server
# For an object signing certificate this would be used.
# nsCertType = objsign
# For normal client use this is typical
# nsCertType = client, email
# and for everything including object signing:
# nsCertType = client, email, objsign
# This is typical in keyUsage for a client certificate.
# keyUsage = nonRepudiation, digitalSignature, keyEncipherment
# This will be displayed in Netscape’s comment listbox.
nsComment = «OpenSSL Generated Certificate»
# PKIX recommendations harmless if included in all certificates.
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer:always
# This stuff is for subjectAltName and issuerAltname.
# Import the email address.
# subjectAltName=email:copy
# Copy subject details
# issuerAltName=issuer:copy
#nsCaRevocationUrl = www.domain.dom/ca-crl.pem
#nsBaseUrl
#nsRevocationUrl
#nsRenewalUrl
#nsCaPolicyUrl
#nsSslServerName
# JY ADDED — Make a cert with nsCertType set to «server»
basicConstraints=CA:FALSE
nsCertType = server
nsComment = «OpenSSL Generated Server Certificate»
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer:always
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
# Extensions for a typical CA
# This is what PKIX recommends but some broken software chokes on critical
# extensions.
#basicConstraints = critical,CA:true
# So we do this instead.
basicConstraints = CA:true
# Key usage: this is typical for a CA certificate. However since it will
# prevent it being used as an test self-signed certificate it is best
# left out by default.
# keyUsage = cRLSign, keyCertSign
# Some might want this also
# nsCertType = sslCA, emailCA
# Include email address in subject alt name: another PKIX recommendation
# subjectAltName=email:copy
# Copy issuer details
# issuerAltName=issuer:copy
# DER hex encoding of an extension: beware experts only!
# obj=DER:02:03
# Where ‘obj’ is a standard or added object
# You can even override a supported extension:
# basicConstraints= critical, DER:30:03:01:01:FF
# CRL extensions.
# Only issuerAltName and authorityKeyIdentifier make any sense in a CRL.
Копируем index.txt.start в index.txt, а serial.start в serial в папку ssl
Пора создавать сертификаты
Отправляем CA.crt, klient.crt, klient.key, ta.key из «c:\openvpn\ssl» нашим клиентам (помещаем их в такую же директорию « c:\openvpn\ssl»).
Настройка клиента
На сервере запускаем файл server.ovpn(кнопка «StartOpenvpn…» в контекстном меню), на клиенте clientVPN.ovpn. При необходимости изменяем тип запуска нашей службы(OpenVPN Service) на «Автоматически». Туннель поднят, можете смело заходить на работу, допустим по RDP. Адрес сервера в нашей виртуальной сети будет 192.168.0.1. Надеюсь, этот пост сократит время для настройки OpenVpn, даже для самых начинающих до нескольких минут.
Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.
Это «Песочница» — раздел, в который попадают дебютные посты пользователей, желающих стать полноправными участниками сообщества.
Если у вас есть приглашение, отправьте его автору понравившейся публикации — тогда её смогут прочитать и обсудить все остальные пользователи Хабра.
Чтобы исключить предвзятость при оценке, все публикации анонимны, псевдонимы показываются случайным образом.
Не надо пропускать: