OpenVPN 2.0, klient/server režim nefunkční - dodatek
Tomas MACOUREK
konference na microware.cz
Neděle Leden 23 18:22:20 CET 2005
Dobrý den,
ještě si dovolím přiložit lok z klienta při startu VPN ->
potřebuji rozeběhnout OpenVPN pro potencionálně asi 30 cesťáků. Máme k
dispozici síť s připojením do internetu prostřednictvím serveru se SuSE
9.1 a SuSEFirewall2 -> 2 síťovky jedna s veřejnou (82.142.XX.XX - NAT) a
jedna privátní adresou 10.94.20.1.
Na tento počítač jsem nainstaloval OpenVPN 2.0 rc6 s konfigurací dle
http://www.root.cz/clanek/2451
tedy na straně serveru:
=======================
mode server
tls-server
port 5000
dev tap
ifconfig 10.94.21.105 255.255.255.0
ifconfig-pool 10.94.21.110 10.94.21.140 255.255.255.0
duplicate-cn
ca /etc/openvpn/cacert.pem
cert /etc/openvpn/vpn.crt
key /etc/openvpn/vpn.key
dh /etc/openvpn/dh1024.pem
log-append /var/log/openvpn
status /var/run/openvpn/vpn.status 10
user openvpn
group openvpn
comp-lzo
verb 3
na straně NB s WinXP:
=====================
remote 82.142.XX.XX
tls-client
port 5000
dev tap
pull
mute 10
ca cacert.pem
cert klient.cert
key klient.key
comp-lzo
verb 3
V této konfiguraci se počítače spojí, notebook obdrží IP adresu
definovaného rozsahu a je možné si pingnout na 10.94.21.105 tedy tap0 na
serveru a stejně tak na IP přidělené stanici na př.10.94.21.110 ze
strany serveru. Tím ale končím nejsem schopen pingnout na jakýkoli
počítač v síti 10.94.20.0/24 natož přistupovat např k souborům přes sambu.
Prosím radu či odkaz na řešený problém. Asi nechápu routování,
předpokládám správně že VPN musí mít svou subnet? Pokud totiž nastavím
ifconfig na adresu z rozsahu interní sítě tak si nepingnu nikam.
V nastavení firewallu asi problém nebude, tedy doufám :(
Pročetl jsem konferenci howto i např http://sun.zdenda.com/openvpn.html,
ale fakt z toho nejsem moudrý.
Díky za každou pomoc.
Tomáš
LOG:
Sun Jan 23 18:16:27 2005 us=474587 Current Parameter Settings:
Sun Jan 23 18:16:27 2005 us=474713 config = 'C:\Program
Files\OpenVPN\config\VPN.ovpn'
Sun Jan 23 18:16:27 2005 us=474765 mode = 0
Sun Jan 23 18:16:27 2005 us=474800 show_ciphers = DISABLED
Sun Jan 23 18:16:27 2005 us=474841 show_digests = DISABLED
Sun Jan 23 18:16:27 2005 us=474875 show_engines = DISABLED
Sun Jan 23 18:16:27 2005 us=474908 genkey = DISABLED
Sun Jan 23 18:16:27 2005 us=474960 key_pass_file = '[UNDEF]'
Sun Jan 23 18:16:27 2005 us=475005 show_tls_ciphers = DISABLED
Sun Jan 23 18:16:27 2005 us=475041 proto = 0
Sun Jan 23 18:16:27 2005 us=475073 NOTE: --mute triggered...
Sun Jan 23 18:16:27 2005 us=475127 177 variation(s) on previous 10
message(s) su
ppressed by --mute
Sun Jan 23 18:16:27 2005 us=475177 OpenVPN 2.0_rc6 Win32-MinGW [SSL]
[LZO] built
on Dec 20 2004
Sun Jan 23 18:16:27 2005 us=475465 WARNING: No server certificate
verification m
ethod has been enabled. See
http://openvpn.sourceforge.net/howto.html#mitm for
more info.
Sun Jan 23 18:16:27 2005 us=478729 LZO compression initialized
Sun Jan 23 18:16:27 2005 us=478988 Control Channel MTU parms [ L:1574
D:138 EF:3
8 EB:0 ET:0 EL:0 ]
Sun Jan 23 18:16:27 2005 us=484375 Data Channel MTU parms [ L:1574
D:1450 EF:42
EB:23 ET:32 EL:0 AF:3/1 ]
Sun Jan 23 18:16:27 2005 us=484530 Local Options String: 'V4,dev-type
tap,link-m
tu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth
SHA1,keysize 128,ke
y-method 2,tls-client'
Sun Jan 23 18:16:27 2005 us=484679 Expected Remote Options String:
'V4,dev-type
tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth
SHA1,keys
ize 128,key-method 2,tls-server'
Sun Jan 23 18:16:27 2005 us=484894 Local Options hash (VER=V4): 'd79ca330'
Sun Jan 23 18:16:27 2005 us=484981 Expected Remote Options hash
(VER=V4): 'f7df5
6b8'
Sun Jan 23 18:16:27 2005 us=485132 Socket Buffers: R=[8192->8192]
S=[8192->8192]
Sun Jan 23 18:16:27 2005 us=485233 UDPv4 link local (bound): [undef]:5000
Sun Jan 23 18:16:27 2005 us=485314 UDPv4 link remote: 82.142.79.161:5000
Sun Jan 23 18:16:27 2005 us=496334 TLS: Initial packet from
82.142.79.161:5000,
sid=0a36c54a 13e38878
Sun Jan 23 18:16:27 2005 us=607588 VERIFY OK: depth=1,
/C=KG/ST=NA/L=BISHKEK/O=O
penVPN-TEST/emailAddress=me na myhost.mydomain
Sun Jan 23 18:16:27 2005 us=608994 VERIFY OK: depth=0,
/C=KG/ST=NA/O=OpenVPN-TES
T/CN=Test-Server/emailAddress=me na myhost.mydomain
Sun Jan 23 18:16:27 2005 us=951978 Data Channel Encrypt: Cipher 'BF-CBC'
initial
ized with 128 bit key
Sun Jan 23 18:16:27 2005 us=952170 Data Channel Encrypt: Using 160 bit
message h
ash 'SHA1' for HMAC authentication
Sun Jan 23 18:16:27 2005 us=952362 Data Channel Decrypt: Cipher 'BF-CBC'
initial
ized with 128 bit key
Sun Jan 23 18:16:27 2005 us=952485 Data Channel Decrypt: Using 160 bit
message h
ash 'SHA1' for HMAC authentication
Sun Jan 23 18:16:27 2005 us=952849 Control Channel: TLSv1, cipher
TLSv1/SSLv3 DH
E-RSA-AES256-SHA, 1024 bit RSA
Sun Jan 23 18:16:27 2005 us=953096 [Test-Server] Peer Connection
Initiated with
82.142.79.161:5000
Sun Jan 23 18:16:29 2005 us=45526 SENT CONTROL [Test-Server]:
'PUSH_REQUEST' (st
atus=1)
Sun Jan 23 18:16:29 2005 us=66844 PUSH: Received control message:
'PUSH_REPLY,pi
ng 10,ping-restart 120,ifconfig 10.94.21.110 255.255.255.0'
Sun Jan 23 18:16:29 2005 us=67132 OPTIONS IMPORT: timers and/or timeouts
modifie
d
Sun Jan 23 18:16:29 2005 us=67310 OPTIONS IMPORT: --ifconfig/up options
modified
Sun Jan 23 18:16:29 2005 us=70058 TAP-WIN32 device [P°ipojenÝ k mÝstnÝ
sÝti 3] o
pened: \\.\Global\{41A1F463-2562-4878-BDF8-0D1F7AE01885}.tap
Sun Jan 23 18:16:29 2005 us=70239 TAP-Win32 Driver Version 8.1
Sun Jan 23 18:16:29 2005 us=70341 TAP-Win32 MTU=1500
Sun Jan 23 18:16:29 2005 us=70446 Notified TAP-Win32 driver to set a
DHCP IP/net
mask of 10.94.21.110/255.255.255.0 on interface
{41A1F463-2562-4878-BDF8-0D1F7AE
01885} [DHCP-serv: 10.94.21.0, lease-time: 31536000]
Sun Jan 23 18:16:29 2005 us=82897 Successful ARP Flush on interface [3]
{41A1F46
3-2562-4878-BDF8-0D1F7AE01885}
Sun Jan 23 18:16:29 2005 us=90450 TEST ROUTES: 0/0 succeeded len=-1
ret=1 a=0 u/
d=up
Sun Jan 23 18:16:29 2005 us=90802 Initialization Sequence Completed
Další informace o konferenci Linux