[Решено] OpenVPN и невнимательность

wilful	# 10 лет назад (отредактировано 10 лет назад)
Темы: 23 Сообщения: 312 Участник с: 24 мая 2009	Добрый день! Давненько тут не писал. У меня вопрос и он же жалоба. При подключении с настроенному серверу на Archlinux не пушится адрес для интерфейса и роуты. Конфигурация сервера: port 1194 local 10.56.2.100 ;proto tcp proto udp dev tun0 server 10.56.0.0 255.255.255.0 fragment 1250 mssfix 1250 ca /etc/openvpn/keys-server/ca.crt cert /etc/openvpn/keys-server/server.crt key /etc/openvpn/keys-server/server.key dh /etc/openvpn/keys-server/dh1024.pem ifconfig-pool-persist ipp.txt client-config-dir ccd push "route 10.56.0.0 255.255.255.0" #push "dhcp-option DNS 8.8.8.8" status /var/log/openvpn-status.log log /var/log/openvpn.log log-append /var/log/openvpn.log keepalive 10 120 persist-key persist-tun comp-lzo yes verb 3 mute 20 Конфигурация клиента: ;dev tap dev tun ;dev-node MyTap ;proto tcp proto udp remote server.tld 1194 fragment 1250 mssfix 1250 ;remote my-server-2 1194 ;remote-random resolv-retry infinite nobind ;user nobody ;group nogroup persist-key persist-tun ;http-proxy-retry # retry on connection failures ;http-proxy [proxy server] [proxy port #] ;mute-replay-warnings ca keys/ca.crt cert keys/client.crt key keys/client.key ns-cert-type server ;tls-auth ta.key 1 ;cipher x comp-lzo verb 3 mute 20 tls-client Соединение устанавливается, но: Sep 6 10:23:51 proxy ovpn-client[6621]: Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Sep 6 10:23:51 proxy ovpn-client[6621]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Sep 6 10:23:51 proxy ovpn-client[6621]: Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Sep 6 10:23:51 proxy ovpn-client[6621]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Sep 6 10:23:51 proxy ovpn-client[6621]: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA Sep 6 10:23:51 proxy ovpn-client[6621]: [vpn.wilful.it] Peer Connection Initiated with [AF_INET]79.140.20.187:1195 Sep 6 10:23:52 proxy ovpn-client[6621]: Initialization Sequence Completed ip addr show tun0 9: tun0: <POINTOPOINT,MULTICAST,NOARP> mtu 1500 qdisc noop state DOWN qlen 100 link/none ip rou 192.168.0.0/24 dev eth1 proto kernel scope link src 192.168.0.251 default via 192.168.0.254 dev eth1 т.е. не присваивается адрес интерфейсу и роуты для подсети =( Есть еще один сервер VPN (рабочий CentOS) и к нему debian подключился без проблем (сервер так же мой). Еще смутило, что без опции tls-client клиент debian даже не пожелал установить соединение с Archlinux server, что отлично прокатывает для сервера CentOS Что делать? В логах сервера тоже всё хорошо, за исключением того, что нет никакого описания действий по добавлению роутов.

# 10 лет назад (отредактировано 10 лет назад)

Сообщения: 312

Участник с: 24 мая 2009

Добрый день!

Давненько тут не писал. У меня вопрос и он же жалоба.

При подключении с настроенному серверу на Archlinux не пушится адрес для интерфейса и роуты.
Конфигурация сервера:

port 1194
local 10.56.2.100
;proto tcp
proto udp
dev tun0
server 10.56.0.0 255.255.255.0
fragment 1250
mssfix 1250
ca /etc/openvpn/keys-server/ca.crt
cert /etc/openvpn/keys-server/server.crt
key /etc/openvpn/keys-server/server.key
dh /etc/openvpn/keys-server/dh1024.pem
ifconfig-pool-persist ipp.txt
client-config-dir ccd
push "route 10.56.0.0 255.255.255.0"
#push "dhcp-option DNS 8.8.8.8"
status /var/log/openvpn-status.log
log         /var/log/openvpn.log
log-append  /var/log/openvpn.log
keepalive 10 120
persist-key
persist-tun
comp-lzo yes
verb 3
mute 20

Конфигурация клиента:

;dev tap
dev tun
;dev-node MyTap
;proto tcp
proto udp
remote server.tld 1194
fragment 1250
mssfix 1250
;remote my-server-2 1194
;remote-random
resolv-retry infinite
nobind
;user nobody
;group nogroup
persist-key
persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;mute-replay-warnings
ca keys/ca.crt
cert keys/client.crt
key keys/client.key
ns-cert-type server
;tls-auth ta.key 1
;cipher x
comp-lzo
verb 3
mute 20
tls-client

Соединение устанавливается, но:

Sep  6 10:23:51 proxy ovpn-client[6621]: Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sep  6 10:23:51 proxy ovpn-client[6621]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sep  6 10:23:51 proxy ovpn-client[6621]: Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sep  6 10:23:51 proxy ovpn-client[6621]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sep  6 10:23:51 proxy ovpn-client[6621]: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sep  6 10:23:51 proxy ovpn-client[6621]: [vpn.wilful.it] Peer Connection Initiated with [AF_INET]79.140.20.187:1195
Sep  6 10:23:52 proxy ovpn-client[6621]: Initialization Sequence Completed

ip addr show tun0
9: tun0: <POINTOPOINT,MULTICAST,NOARP> mtu 1500 qdisc noop state DOWN qlen 100
    link/none

ip rou
192.168.0.0/24 dev eth1  proto kernel  scope link  src 192.168.0.251 
default via 192.168.0.254 dev eth1

т.е. не присваивается адрес интерфейсу и роуты для подсети =(

Есть еще один сервер VPN (рабочий CentOS) и к нему debian подключился без проблем (сервер так же мой).
Еще смутило, что без опции tls-client клиент debian даже не пожелал установить соединение с Archlinux server, что отлично прокатывает для сервера CentOS

Что делать?

В логах сервера тоже всё хорошо, за исключением того, что нет никакого описания действий по добавлению роутов.

kurych	# 10 лет назад
Темы: 0 Сообщения: 1394 Участник с: 06 ноября 2011	У Вас вообще в клиентском конфиге отсутствует опция “client”. Он считает себя сервером и ждет подключений из-вне. UPD: tls-client заставляет брать на себя функцию клиента только при установлении шифрованного канала. А дальше, без опции “client”, он ждет сетевых подключений по этому каналу как сервер.

kurych

# 10 лет назад

Темы: 0

Сообщения: 1394

Участник с: 06 ноября 2011

У Вас вообще в клиентском конфиге отсутствует опция “client”. Он считает себя сервером и ждет подключений из-вне.
UPD: tls-client заставляет брать на себя функцию клиента только при установлении шифрованного канала. А дальше, без опции “client”, он ждет сетевых подключений по этому каналу как сервер.

wilful	# 10 лет назад
Темы: 23 Сообщения: 312 Участник с: 24 мая 2009	kurych У Вас вообще в клиентском конфиге отсутствует опция “client”. Он считает себя сервером и ждет подключений из-вне. UPD: tls-client заставляет брать на себя функцию клиента только при установлении шифрованного канала. А дальше, без опции “client”, он ждет сетевых подключений по этому каналу как сервер. Да, действительно, а слона и не заметил, спасибо.

wilful

# 10 лет назад

Темы: 23

Сообщения: 312

Участник с: 24 мая 2009

kurych
У Вас вообще в клиентском конфиге отсутствует опция “client”. Он считает себя сервером и ждет подключений из-вне.
UPD: tls-client заставляет брать на себя функцию клиента только при установлении шифрованного канала. А дальше, без опции “client”, он ждет сетевых подключений по этому каналу как сервер.

Да, действительно, а слона и не заметил, спасибо.