Portál AbcLinuxu, 14. května 2025 00:08

Dotaz: OpenVPN chyba?

10.11.2009 08:38 honza
OpenVPN chyba?
Přečteno: 962×
Odpovědět | Admin

Dobrý den, řeším problém s OpenVPN na serveru Debian Etch a klientem Win XP SP3. Pro připojení na server používám OpenVPN v. 2.0.9 GUI v. 1.0.3 Problém byl s přiřazením IP adres pro TAP zařízení ve Windows, to jsem vyřešil restartoaním služby DHCP klienta a poté dostanu IP adresu i masku ale nedostanu bránu. V konfiguraci serveru jsem nic neměnil nebo si toho nejsem vědom a do teď vše běželo v pořádku

Log klienta

Mon Nov 09 20:46:44 2009 us=27392   mode = 0
Mon Nov 09 20:46:44 2009 us=27415   show_ciphers = DISABLED
Mon Nov 09 20:46:44 2009 us=27439   show_digests = DISABLED
Mon Nov 09 20:46:44 2009 us=27461   show_engines = DISABLED
Mon Nov 09 20:46:44 2009 us=27484   genkey = DISABLED
Mon Nov 09 20:46:44 2009 us=27507   key_pass_file = '[UNDEF]'
Mon Nov 09 20:46:44 2009 us=27531   show_tls_ciphers = DISABLED
Mon Nov 09 20:46:44 2009 us=27553   proto = 0
Mon Nov 09 20:46:44 2009 us=27575 NOTE: --mute triggered...
Mon Nov 09 20:46:44 2009 us=27629 178 variation(s) on previous 10 message(s) suppressed by --mute
Mon Nov 09 20:46:44 2009 us=27663 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Mon Nov 09 20:46:44 2009 us=27918 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Mon Nov 09 20:46:44 2009 us=36950 LZO compression initialized
Mon Nov 09 20:46:44 2009 us=37682 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Nov 09 20:46:44 2009 us=58259 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Nov 09 20:46:44 2009 us=58424 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Mon Nov 09 20:46:44 2009 us=58455 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Mon Nov 09 20:46:44 2009 us=58552 Local Options hash (VER=V4): 'd79ca330'
Mon Nov 09 20:46:44 2009 us=58598 Expected Remote Options hash (VER=V4): 'f7df56b8'
Mon Nov 09 20:46:44 2009 us=58680 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Nov 09 20:46:44 2009 us=58847 UDPv4 link local (bound): [undef]:1194
Mon Nov 09 20:46:44 2009 us=58912 UDPv4 link remote: xx.xxx.xxx.xxx:1194
Mon Nov 09 20:46:44 2009 us=119068 TLS: Initial packet from xx.xxx.xxx.xxx:1194, sid=e905e8d1 e45ce564
Mon Nov 09 20:46:44 2009 us=455934 VERIFY OK: depth=1, /C=KG/ST=NA/L=BISHKEK/O=OpenVPN-TEST/emailAddress=me@myhost.mydomain
Mon Nov 09 20:46:44 2009 us=457440 VERIFY OK: nsCertType=SERVER
Mon Nov 09 20:46:44 2009 us=457476 VERIFY OK: depth=0, /C=KG/ST=NA/O=OpenVPN-TEST/CN=Test-Server/emailAddress=me@myhost.mydomain
Mon Nov 09 20:46:44 2009 us=865731 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Nov 09 20:46:44 2009 us=865811 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Nov 09 20:46:44 2009 us=866008 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Nov 09 20:46:44 2009 us=866047 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Nov 09 20:46:44 2009 us=866287 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Mon Nov 09 20:46:44 2009 us=866361 [Test-Server] Peer Connection Initiated with xx.xxx.xxx.xxx:1194
Mon Nov 09 20:46:45 2009 us=875267 SENT CONTROL [Test-Server]: 'PUSH_REQUEST' (status=1)
Mon Nov 09 20:46:47 2009 us=928034 PUSH: Received control message: 'PUSH_REPLY,route 192.168.2.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 192.168.2.50 255.255.255.0'
Mon Nov 09 20:46:47 2009 us=928182 OPTIONS IMPORT: timers and/or timeouts modified
Mon Nov 09 20:46:47 2009 us=928209 OPTIONS IMPORT: --ifconfig/up options modified
Mon Nov 09 20:46:47 2009 us=928231 OPTIONS IMPORT: route options modified
Mon Nov 09 20:46:47 2009 us=942988 OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options
Mon Nov 09 20:46:47 2009 us=943046 OpenVPN ROUTE: failed to parse/resolve route for host/network: 192.168.2.0
Mon Nov 09 20:46:47 2009 us=950789 TAP-WIN32 device [openvpn] opened: \\.\Global\{BC3B8A51-B01D-4304-8ADF-51E912FD780E}.tap
Mon Nov 09 20:46:47 2009 us=950885 TAP-Win32 Driver Version 8.4
Mon Nov 09 20:46:47 2009 us=951209 TAP-Win32 MTU=1500
Mon Nov 09 20:46:47 2009 us=951287 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.2.50/255.255.255.0 on interface {BC3B8A51-B01D-4304-8ADF-51E912FD780E} [DHCP-serv: 192.168.2.0, lease-time: 31536000]
Mon Nov 09 20:46:47 2009 us=957886 Successful ARP Flush on interface [262148] {BC3B8A51-B01D-4304-8ADF-51E912FD780E}
Mon Nov 09 20:46:47 2009 us=968684 TEST ROUTES: 0/0 succeeded len=0 ret=0 a=0 u/d=down
Mon Nov 09 20:46:47 2009 us=969029 Route: Waiting for TUN/TAP interface to come up...
Mon Nov 09 20:46:48 2009 us=988064 TEST ROUTES: 0/0 succeeded len=0 ret=0 a=0 u/d=down
Mon Nov 09 20:46:48 2009 us=988130 Route: Waiting for TUN/TAP interface to come up...
Mon Nov 09 20:46:50 2009 us=3568 TEST ROUTES: 0/0 succeeded len=0 ret=0 a=0 u/d=down
Mon Nov 09 20:46:50 2009 us=3633 Route: Waiting for TUN/TAP interface to come up...
Mon Nov 09 20:46:51 2009 us=23929 TEST ROUTES: 0/0 succeeded len=0 ret=0 a=0 u/d=down
Mon Nov 09 20:46:51 2009 us=23998 Route: Waiting for TUN/TAP interface to come up...
Mon Nov 09 20:46:52 2009 us=35107 TEST ROUTES: 0/0 succeeded len=0 ret=0 a=0 u/d=down
Mon Nov 09 20:46:52 2009 us=35170 Route: Waiting for TUN/TAP interface to come up...
Mon Nov 09 20:46:53 2009 us=51100 TEST ROUTES: 0/0 succeeded len=0 ret=0 a=0 u/d=down
Mon Nov 09 20:46:53 2009 us=51166 Route: Waiting for TUN/TAP interface to come up...
Mon Nov 09 20:46:54 2009 us=113146 TEST ROUTES: 0/0 succeeded len=0 ret=1 a=0 u/d=up
Mon Nov 09 20:46:54 2009 us=113215 Initialization Sequence Completed

Zaráží mě řádek:

OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options

Konfigurace klienta

remote xx.xxx.xxx.xxx
tls-client
dev tap
pull
mute 10
key-method 2
ns-cert-type server

ca cacert.pem
cert klient.crt
key client.key

comp-lzo
verb 4

Konfigurace serveru

mode server
tls-server
dev tap0
ifconfig 192.168.2.10 255.255.255.0
ifconfig-pool 192.168.2.50 192.168.2.60 255.255.255.0
duplicate-cn
key-method 2
keepalive 10 120
route 192.168.2.0 255.255.255.0
push "route 192.168.2.0 255.255.255.0"

ca /etc/openvpn/cacert.pem
cert /etc/openvpn/vpnserver.crt
key /etc/openvpn/key.pem
dh /etc/openvpn/dh1024.pem

log-append /var/log/openvpn
status /var/run/openvpn/vpn.status 10

#user openvpn
#group openvpn
comp-lzo
verb 4

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

10.11.2009 09:29 NN
Rozbalit Rozbalit vše Re: OpenVPN chyba?
Odpovědět | | Sbalit | Link | Blokovat | Admin 
OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options
Pridej si do konfigurace: 
push "route-gateway 192.168.2.1"
ted se to tu uresilo..

NN
10.11.2009 10:24 Honza
Rozbalit Rozbalit vše Re: OpenVPN chyba?
ano to jsem udělal a už neřve, že mu chybí brána ale stále to nefunguje a na sitove karte nemam pridelenou adresu brány
10.11.2009 21:15 Martin H. | skóre: 27 | blog: linservis | Brno
Rozbalit Rozbalit vše Re: OpenVPN chyba?
To je v pořádku. Brána je přidělena na LAN kartě (skutečné) a VPN nemá na svém rozhraní žádnou GATE. Parametr push route-gateway pouze říká příkazu ROUTE z Windows, aby síť reprezentovanou VPNkou hnal do VPNky, samozřejmě přes internet!

Tedy, zkus si ROUTE PRINT a uvidíš tam při připojeném VPN síť VPN (mimo jiné) a na ní route pravidlo do VPNky.

Pokud by jsi chtěl VŠECHEN provoz směřovat přes VPN (nedoporučuji), pak přidej do serveru push "redirect-gateway".

Pedpokládám, že PINGy do VPN ti chodí, že?
--- Kapitalismus je lepší, než socialismus ... ale horší, než jsem čekal. (Jiří Suchý) ---
10.11.2009 10:49 Roman DAVID | skóre: 24 | Brno
Rozbalit Rozbalit vše Re: OpenVPN chyba?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Zkuste pridat do konfiguraku klienta volbu

ip-win32 netsh
10.11.2009 11:56 NN
Rozbalit Rozbalit vše Re: OpenVPN chyba?
Jeste bych mozna z konfigurace serveru odstranil: 
route 192.168.2.0 255.255.255.0
NN

10.11.2009 12:03 Honza
Rozbalit Rozbalit vše Re: OpenVPN chyba?
Podotknu, že momentálně jsem připojen do sítě která má stejné IP adresy jako můj vzdálený server.

Odebráním této položky se nic nezměnilo
10.11.2009 12:00 Honza
Rozbalit Rozbalit vše Re: OpenVPN chyba?
Dobrý den, omlouvám se za mystifikaci, celou dobu jsem měl adaptér nastavený na statickou IP. Ale ani se statickou IP adresou bohuzel nefunguji. Odebral jsem tap zarizeni a pridal jej znovu, ale nepomohlo. Přidáním ip-win32 netsh se nic bohužel nezměnilo. Uź jsem z toho marný :(
10.11.2009 13:29 Honza
Rozbalit Rozbalit vše Re: OpenVPN chyba?
dostanu sce IP ale dostanou nějakou veřejnou IP adresu 169.254...
10.11.2009 15:44 Non_E | skóre: 24 | blog: hic_sunt_leones | Pardubice
Rozbalit Rozbalit vše Re: OpenVPN chyba?
Řešil jsem podobný problém, snad pomůže. Jinak 169... není veřejná ip adresa, ale nějaká lokální síťová autokonfigurace.

Já na windows před připojením k openvpn jsem musel vždy zakázat ve správci tu virtuální síťovku, povolit ji za chvíli a až pak se připojit k openvpn serveru.
Only Sith deals in absolutes.
Limoto avatar 10.11.2009 15:44 Limoto | skóre: 32 | blog: Limotův blog
Rozbalit Rozbalit vše Re: OpenVPN chyba?
To je IPv4 LL adresa, kterou OS nastaví, když jinou nedostane...
10.11.2009 16:20 pupala | skóre: 21
Rozbalit Rozbalit vše Re: OpenVPN chyba?
"ip-win32" ipapi by si mal použiť a nie "ip-win32 netsh", pre netsh by si musel asi pripísať skript na nastavenie rout.
10.11.2009 20:21 Honza
Rozbalit Rozbalit vše Re: OpenVPN chyba?
Tue Nov 10 20:17:00 2009 us=695797 RESOLVE: Cannot resolve host address: -gateway: [HOST_NOT_FOUND] The specified host is unknown. Tue Nov 10 20:17:00 2009 us=695828 OpenVPN ROUTE: failed to parse/resolve route for host/network: 192.168.2.0

konfigurace klienta
remote 82.114.203.43
tls-client
proto tcp-client
port 1194
dev tap
pull
mute 10
key-method 2
ns-cert-type server
ip-win32 ipapi

ca cacert.pem
cert klient.crt
key client.key

comp-lzo
verb 4
konfigurace serveru
mode server
proto tcp-server
port 1194
tls-server
dev tap0
ifconfig 192.168.2.10 255.255.255.0
ifconfig-pool 192.168.2.52 192.168.2.60 255.255.255.0
duplicate-cn
key-method 2
keepalive 10 120
route 192.168.2.0 255.255.255.0 -gateway 192.168.2.1
push "route 192.168.2.0 255.255.255.0 -gateway 192.168.2.1"
client-to-client

ca /etc/openvpn/cacert.pem
cert /etc/openvpn/vpnserver.crt
key /etc/openvpn/key.pem
dh /etc/openvpn/dh1024.pem

log-append /var/log/openvpn
status /var/run/openvpn/vpn.status 10

#user openvpn
#group openvpn
comp-lzo
verb 4
10.11.2009 21:14 NN
Rozbalit Rozbalit vše Re: OpenVPN chyba?
Vite co, bude idealni zacit z default konfigurace serveru i klienta znova...

http://openvpn.net/index.php/open-source/documentation/howto.html#server http://openvpn.net/index.php/open-source/documentation/howto.html#client

a dejte tam to co je nezbytne nutne..

N
10.11.2009 21:33 Martin H. | skóre: 27 | blog: linservis | Brno
Rozbalit Rozbalit vše Re: OpenVPN chyba?
Přílohy:
Tohle mi chodí (viz přílohy).

Doporučuji, aby jsi pro VPN použil jiný rozsah, než máš LAN síť (se stejnou sítí se mi to taky nepodařilo korektně).

Zkus tyhle konfiguráky a uvidíš ... dej vědět, jak to dopadlo (sám jsem VPN dělal 2 dny, než jsem našel všechny chyby a pochopil jsem funkci.

--- Kapitalismus je lepší, než socialismus ... ale horší, než jsem čekal. (Jiří Suchý) ---
10.11.2009 22:34 pupala | skóre: 21
Rozbalit Rozbalit vše Re: OpenVPN chyba?
Routu do siete v ktorej je sám v bridge móde si nastaví sám, vlastne nepotrebuje routovať. A na vyroutovanie z VPN-ky použi parameter push "redirect-gateway" server konfigu.

11.11.2009 10:18 Honza
Rozbalit Rozbalit vše Re: OpenVPN chyba?
záhada vyřešena změnou rozsahu IP adres pro tap0
16.11.2009 13:15 Honza
Rozbalit Rozbalit vše Re: OpenVPN chyba?
takže jsem si myslel, ze je vse OK,ale jakmile zmenim rozsah z 192.168.2.0 na 192.168.3.0 tak sice vse bezi ale DHCPD rve ze chce pro tap0 nastavit masku :/ zkousel jsem vsemozne konfigurace ale nerozchodil jsem :(

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.