Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Открыть новую тему     Написать ответ в эту тему

WarlockNT



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тема в Программах



OpenVPN - свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами находящимися за NAT-firewall без необходимости изменения его настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL.

Официальный сайт
Страница загрузки
OpenVPN GUI for Windows || The Windows installers are bundled with OpenVPN-GUI
Настройка OpenVPN сервера под Windows
Документация (на английском)
OpenVPN Windows HowTo (на английском)
OpenVPN HowTo (на русском)
Документация на русском
OpenVPN for PocketPC

FAQ
Генерация сертификатов и ключей - сертификаты и ключи нужны только при TLS-аутентификации (--tls-server или --tls-client)
Как прописать сертификаты прямо в конфиг клиента.
• Разрешить запуск и остановку службы openvpnservice обычным пользователям без прав администратора можно бесплатной утилитой svcadmin (см. "Демонстрационные программы", зеркало).
Всего записей: 210 | Зарегистр. 20-01-2003 | Отправлено: 07:48 01-08-2005 | Исправлено: shrmn, 11:53 29-05-2022
egoist14

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
[q][/q]
Вопрос решен- поставил другую версию.
Всего записей: 7 | Зарегистр. 09-04-2011 | Отправлено: 09:45 04-11-2015
YuraseK

Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Очень странное поведение OpenVPN 2.3.6 при работе в качестве клиента на Windows Server 2012 R2.
Возникают странные разрывы соединения, при этом автоматическое переподключение OpenVPN не проходит успешно.
Cервером OpenVPN выступает комьютер на Windows Server 2012 R2. Все клиенты - это Windows Server 2003 R2 и Windows Server 2008 R2.
Таким образом проблемы наблюдаются только с клиентом на базе Windows Server 2012 R2.
Канал, поверх которого выполняется соединение, на 100 % стабилен.
После возникновения разрыва перезапуск службы OpenVPN на клиенте не проходит успешно.
В процессах остаётся неубиваемый openvpn.exe. Приходится перезагружать ПК.  
 
Конфигурация клиента

Цитата:
client
dev tap
proto udp
remote 192.168.100.2 1194
nobind
persist-key
persist-tun
ca ca.crt
cert server.crt
key server.key
tls-auth ta.key 1
ns-cert-type server
cipher AES-256-CBC
comp-lzo
verb 3
log-append server.log

 
Конфигурация сервера

Цитата:
port 1194
proto udp
dev tap
ca ca.crt
cert proxy.crt
key proxy.key
dh dh2048.pem
server-bridge
client-to-client
keepalive 10 60
tls-auth ta.key 0
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
log-append openvpn.log
verb 3
max-routes-per-client 4096
crl-verify crl.pem

 
Лог клиента

Цитата:
//начало работы службы и лога
 
Wed Nov 11 15:40:15 2015 OpenVPN 2.3.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Dec  1 2014
Wed Nov 11 15:40:15 2015 library versions: OpenSSL 1.0.1j 15 Oct 2014, LZO 2.08
Wed Nov 11 15:40:16 2015 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Wed Nov 11 15:40:16 2015 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 15:40:16 2015 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 15:40:16 2015 Socket Buffers: R=[65536->65536] S=[65536->65536]
Wed Nov 11 15:40:16 2015 UDPv4 link local: [undef]
Wed Nov 11 15:40:16 2015 UDPv4 link remote: [AF_INET]192.168.100.2:1194
Wed Nov 11 15:40:18 2015 TLS: Initial packet from [AF_INET]192.168.100.2:1194, sid=28de849b 75320d9a
Wed Nov 11 15:40:18 2015 VERIFY OK: depth=1, C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 15:40:18 2015 VERIFY OK: nsCertType=SERVER
Wed Nov 11 15:40:18 2015 VERIFY OK: depth=0, C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 15:40:18 2015 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 15:40:18 2015 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 15:40:18 2015 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 15:40:18 2015 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 15:40:18 2015 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Nov 11 15:40:18 2015 [proxy] Peer Connection Initiated with [AF_INET]192.168.100.2:1194
Wed Nov 11 15:40:20 2015 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)
Wed Nov 11 15:40:20 2015 PUSH: Received control message: 'PUSH_REPLY,route-proxy dhcp,ping 10,ping-restart 60'
Wed Nov 11 15:40:20 2015 OPTIONS IMPORT: timers and/or timeouts modified
Wed Nov 11 15:40:20 2015 OPTIONS IMPORT: route-related options modified
Wed Nov 11 15:40:20 2015 open_tun, tt->ipv6=0
Wed Nov 11 15:40:20 2015 TAP-WIN32 device [OpenVPN] opened: \\.\Global\{B2BDB612-3EF7-42C1-89E4-980FB525B67F}.tap
Wed Nov 11 15:40:20 2015 TAP-Windows Driver Version 9.21  
Wed Nov 11 15:40:20 2015 NOTE: FlushIpNetTable failed on interface [16] {B2BDB612-3EF7-42C1-89E4-980FB525B67F} (status=1168) : Элемент не найден.  
Wed Nov 11 15:40:25 2015 TEST ROUTES: 0/0 succeeded len=0 ret=1 a=0 u/d=up
Wed Nov 11 15:40:25 2015 Initialization Sequence Completed
 
//блок лога повторяется каждый час
 
Wed Nov 11 16:40:17 2015 VERIFY OK: depth=1, C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 16:40:17 2015 VERIFY OK: nsCertType=SERVER
Wed Nov 11 16:40:17 2015 VERIFY OK: depth=0, C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 16:40:17 2015 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 16:40:17 2015 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 16:40:17 2015 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 16:40:17 2015 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 16:40:17 2015 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
 
... //пропущены повторяющиеся блоки (меняются только в большую сторону значения bytes и pkts)
 
Wed Nov 11 22:40:17 2015 TLS: soft reset sec=0 bytes=588646472/0 pkts=1039096/0
Wed Nov 11 22:40:17 2015 VERIFY OK: depth=1, C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 22:40:17 2015 VERIFY OK: nsCertType=SERVER
Wed Nov 11 22:40:17 2015 VERIFY OK: depth=0, C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 22:40:17 2015 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 22:40:17 2015 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 22:40:17 2015 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 22:40:17 2015 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 22:40:17 2015 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
 
//начало необъяснимой проблемы (блок лога постоянно повторяется, меняется только значение sid)
 
Wed Nov 11 23:11:59 2015 [proxy] Inactivity timeout (--ping-restart), restarting
Wed Nov 11 23:11:59 2015 SIGUSR1[soft,ping-restart] received, process restarting
Wed Nov 11 23:11:59 2015 Restart pause, 2 second(s)
Wed Nov 11 23:12:01 2015 Socket Buffers: R=[65536->65536] S=[65536->65536]
Wed Nov 11 23:12:01 2015 UDPv4 link local: [undef]
Wed Nov 11 23:12:01 2015 UDPv4 link remote: [AF_INET]192.168.100.2:1194
Wed Nov 11 23:12:01 2015 TLS: Initial packet from [AF_INET]192.168.100.2:1194, sid=ad8be507 20078c2e
Wed Nov 11 23:12:01 2015 VERIFY OK: depth=1, C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 23:12:01 2015 VERIFY OK: nsCertType=SERVER
Wed Nov 11 23:12:01 2015 VERIFY OK: depth=0, C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 23:12:01 2015 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 23:12:01 2015 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 23:12:01 2015 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 23:12:01 2015 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 23:12:01 2015 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Nov 11 23:12:01 2015 [proxy] Peer Connection Initiated with [AF_INET]192.168.100.2:1194
Wed Nov 11 23:12:03 2015 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)
Wed Nov 11 23:12:08 2015 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)
Wed Nov 11 23:12:13 2015 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)
Wed Nov 11 23:12:18 2015 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)
Wed Nov 11 23:12:23 2015 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)
Wed Nov 11 23:12:28 2015 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)
Wed Nov 11 23:12:33 2015 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)
Wed Nov 11 23:12:38 2015 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)
Wed Nov 11 23:12:43 2015 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)
Wed Nov 11 23:12:48 2015 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)
Wed Nov 11 23:12:53 2015 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)
Wed Nov 11 23:12:58 2015 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)
 
Сервер почему-то не отвечает на PUSH_REQUEST.

 
Лог сервера

Цитата:
Wed Nov 11 23:11:58 2015 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Wed Nov 11 23:11:59 2015 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Wed Nov 11 23:12:00 2015 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
 
Wed Nov 11 23:12:00 2015 192.168.100.1:56124 TLS: Initial packet from [AF_INET]192.168.100.1:56124, sid=833208f7 0a621eda
Wed Nov 11 23:12:01 2015 192.168.100.1:56124 CRL CHECK OK: C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 23:12:01 2015 192.168.100.1:56124 VERIFY OK: depth=1, C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 23:12:01 2015 192.168.100.1:56124 CRL CHECK OK: C=RU, ST=Msk, L=Msk, O=Company, OU=G, CN=server, name=., emailAddress=admin@company.com
Wed Nov 11 23:12:01 2015 192.168.100.1:56124 VERIFY OK: depth=0, C=RU, ST=Msk, L=Msk, O=Company, OU=G, CN=server, name=., emailAddress=admin@company.com
Wed Nov 11 23:12:01 2015 192.168.100.1:56124 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 23:12:01 2015 192.168.100.1:56124 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 23:12:01 2015 192.168.100.1:56124 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 23:12:01 2015 192.168.100.1:56124 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 23:12:01 2015 192.168.100.1:56124 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Nov 11 23:12:01 2015 192.168.100.1:56124 [server] Peer Connection Initiated with [AF_INET]192.168.100.1:56124
Wed Nov 11 23:12:01 2015 MULTI: new connection by client 'server' will cause previous active sessions by this client to be dropped.  Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
Wed Nov 11 23:12:01 2015 MULTI: no dynamic or static remote --ifconfig address is available for server/192.168.100.1:56124
Wed Nov 11 23:12:02 2015 server/192.168.100.1:56124 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:12:02 2015 server/192.168.100.1:56124 send_push_reply(): safe_cap=940
Wed Nov 11 23:12:02 2015 server/192.168.100.1:56124 SENT CONTROL [server]: 'PUSH_REPLY,route-proxy dhcp,ping 10,ping-restart 60' (status=1)
Wed Nov 11 23:12:07 2015 server/192.168.100.1:56124 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:12:13 2015 server/192.168.100.1:56124 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:12:18 2015 server/192.168.100.1:56124 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:13:01 2015 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
...
Wed Nov 11 23:13:04 2015 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
 
Wed Nov 11 23:13:04 2015 192.168.100.1:60238 TLS: Initial packet from [AF_INET]192.168.100.1:60238, sid=c5ac6671 3f69009a
Wed Nov 11 23:13:05 2015 192.168.100.1:60238 CRL CHECK OK: C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 23:13:05 2015 192.168.100.1:60238 VERIFY OK: depth=1, C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 23:13:05 2015 192.168.100.1:60238 CRL CHECK OK: C=RU, ST=Msk, L=Msk, O=Company, OU=G, CN=server, name=., emailAddress=admin@company.com
Wed Nov 11 23:13:05 2015 192.168.100.1:60238 VERIFY OK: depth=0, C=RU, ST=Msk, L=Msk, O=Company, OU=G, CN=server, name=., emailAddress=admin@company.com
Wed Nov 11 23:13:05 2015 192.168.100.1:60238 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 23:13:05 2015 192.168.100.1:60238 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 23:13:05 2015 192.168.100.1:60238 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 23:13:05 2015 192.168.100.1:60238 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 23:13:05 2015 192.168.100.1:60238 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Nov 11 23:13:05 2015 192.168.100.1:60238 [server] Peer Connection Initiated with [AF_INET]192.168.100.1:60238
Wed Nov 11 23:13:05 2015 MULTI: new connection by client 'server' will cause previous active sessions by this client to be dropped.  Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
Wed Nov 11 23:13:05 2015 MULTI: no dynamic or static remote --ifconfig address is available for server/192.168.100.1:60238
Wed Nov 11 23:13:06 2015 server/192.168.100.1:60238 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:13:06 2015 server/192.168.100.1:60238 send_push_reply(): safe_cap=940
Wed Nov 11 23:13:06 2015 server/192.168.100.1:60238 SENT CONTROL [server]: 'PUSH_REPLY,route-proxy dhcp,ping 10,ping-restart 60' (status=1)
Wed Nov 11 23:13:11 2015 server/192.168.100.1:60238 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:13:16 2015 server/192.168.100.1:60238 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:13:21 2015 server/192.168.100.1:60238 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:14:05 2015 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
...
Wed Nov 11 23:14:08 2015 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
 
Wed Nov 11 23:14:09 2015 192.168.100.1:55086 TLS: Initial packet from [AF_INET]192.168.100.1:55086, sid=c124b9cb 9acac1c2
Wed Nov 11 23:14:09 2015 192.168.100.1:55086 CRL CHECK OK: C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 23:14:09 2015 192.168.100.1:55086 VERIFY OK: depth=1, C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 23:14:09 2015 192.168.100.1:55086 CRL CHECK OK: C=RU, ST=Msk, L=Msk, O=Company, OU=G, CN=server, name=., emailAddress=admin@company.com
Wed Nov 11 23:14:09 2015 192.168.100.1:55086 VERIFY OK: depth=0, C=RU, ST=Msk, L=Msk, O=Company, OU=G, CN=server, name=., emailAddress=admin@company.com
Wed Nov 11 23:14:09 2015 192.168.100.1:55086 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 23:14:09 2015 192.168.100.1:55086 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 23:14:09 2015 192.168.100.1:55086 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 23:14:09 2015 192.168.100.1:55086 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 23:14:09 2015 192.168.100.1:55086 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Nov 11 23:14:09 2015 192.168.100.1:55086 [server] Peer Connection Initiated with [AF_INET]192.168.100.1:55086
Wed Nov 11 23:14:09 2015 MULTI: new connection by client 'server' will cause previous active sessions by this client to be dropped.  Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
Wed Nov 11 23:14:09 2015 MULTI: no dynamic or static remote --ifconfig address is available for server/192.168.100.1:55086
Wed Nov 11 23:14:10 2015 server/192.168.100.1:55086 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:14:10 2015 server/192.168.100.1:55086 send_push_reply(): safe_cap=940
Wed Nov 11 23:14:10 2015 server/192.168.100.1:55086 SENT CONTROL [server]: 'PUSH_REPLY,route-proxy dhcp,ping 10,ping-restart 60' (status=1)
Wed Nov 11 23:14:15 2015 server/192.168.100.1:55086 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:14:20 2015 server/192.168.100.1:55086 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:14:26 2015 server/192.168.100.1:55086 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:15:08 2015 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
...
Wed Nov 11 23:15:12 2015 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
 
Wed Nov 11 23:15:12 2015 192.168.100.1:51469 TLS: Initial packet from [AF_INET]192.168.100.1:51469, sid=49ef6d20 d7f4ed3c
Wed Nov 11 23:15:12 2015 192.168.100.1:51469 CRL CHECK OK: C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 23:15:12 2015 192.168.100.1:51469 VERIFY OK: depth=1, C=RU, ST=Msk, L=Msk, O=Company, OU=General, CN=proxy, name=proxy, emailAddress=admin@company.com
Wed Nov 11 23:15:12 2015 192.168.100.1:51469 CRL CHECK OK: C=RU, ST=Msk, L=Msk, O=Company, OU=G, CN=server, name=., emailAddress=admin@company.com
Wed Nov 11 23:15:12 2015 192.168.100.1:51469 VERIFY OK: depth=0, C=RU, ST=Msk, L=Msk, O=Company, OU=G, CN=server, name=., emailAddress=admin@company.com
Wed Nov 11 23:15:12 2015 192.168.100.1:51469 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 23:15:12 2015 192.168.100.1:51469 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 23:15:12 2015 192.168.100.1:51469 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 11 23:15:12 2015 192.168.100.1:51469 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 11 23:15:12 2015 192.168.100.1:51469 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Nov 11 23:15:12 2015 192.168.100.1:51469 [server] Peer Connection Initiated with [AF_INET]192.168.100.1:51469
Wed Nov 11 23:15:12 2015 MULTI: new connection by client 'server' will cause previous active sessions by this client to be dropped.  Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
Wed Nov 11 23:15:12 2015 MULTI: no dynamic or static remote --ifconfig address is available for server/192.168.100.1:51469
Wed Nov 11 23:15:14 2015 server/192.168.100.1:51469 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:15:14 2015 server/192.168.100.1:51469 send_push_reply(): safe_cap=940
Wed Nov 11 23:15:14 2015 server/192.168.100.1:51469 SENT CONTROL [server]: 'PUSH_REPLY,route-proxy dhcp,ping 10,ping-restart 60' (status=1)
Wed Nov 11 23:15:19 2015 server/192.168.100.1:51469 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:15:24 2015 server/192.168.100.1:51469 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:15:29 2015 server/192.168.100.1:51469 PUSH: Received control message: 'PUSH_REQUEST'
Wed Nov 11 23:16:12 2015 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
...
Wed Nov 11 23:16:16 2015 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)

Таким образом не ясна причина возникновения разрыва соединения, после которого сервер считает, что соединение активно и не позволяет выполнить тому же клиенту повторное подключение.
Я пока включил на сервере опцию duplicate-cn, чтобы было возможно повторное подключение.
Может кто сталкивался с таким поведением OpenVPN?
Всего записей: 528 | Зарегистр. 12-12-2003 | Отправлено: 11:29 12-11-2015 | Исправлено: YuraseK, 11:58 12-11-2015
admin931



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
если перейти на tcp проблема сохранится?
года два назад подобное было, тогда все свалили на провайдера, на tcp проблема не наблюдалась.
Всего записей: 214 | Зарегистр. 07-12-2005 | Отправлено: 23:51 12-11-2015
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
YuraseK Поставь SoftEther VPN и не мучайся.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 01:43 13-11-2015
akulanikolay

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Помогите решить проблему представленную в документе.
https://yadi.sk/i/pU6pCNT3kRcaY
Всего записей: 3 | Зарегистр. 04-05-2015 | Отправлено: 10:09 13-11-2015
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
akulanikolay Ну уж нахрен что-то там качать (архив с вирусом-шифровальщиком)?
Пиши проблему сюда своими словами.  


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 13:30 13-11-2015
YuraseK

Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
admin931
TCP - не выход. Если я не ошибаюсь, то одновременно на сервере OpenVPN нельзя использовать TCP и UDP. Поправьте меня если что. При использовании UDP гораздо выше пропускная способность, меньше задержки.
vlary
SoftEther VPN может работать как служба, а также работать по аналогии с OpenVPN в мосте, пропуская бродкаст трафик?
Из интересных моментов, когда сбой может повторится (ситуация не всегда воспроизводится, но в эти моменты проблема проявляется с высокой долей вероятности):
- если по RDP активен один сеанс и параллельно осуществляется вход по RDP другого пользователя;
- если в сеансе RDP свернуть Проводник;
- если в сеансе RDP в проводнике открыть папку системного диска C (с жёстким диском 100 % всё ok).
P.S. Закономерность есть: по каждому из пунктов срабатывает только по одному разу. Как бы каждое из событий приводит к проблеме. Кроме этих событий явно есть ещё какие-то, суть которых я ещё не уловил. Таким образом проблема точно кроется в связке клиент OpenVPN и Windows Server 2012 R2. Даже если смотреть по процессам, создаваемым OpenVPN, то, например, с идентичными конфигурациями OpenVPN на Windows Server 2008 R2 создаёт всего два процесса (openvpnserv.exe > openvpn.exe), каждый из которых в свою очередь использует ровно 3 потока, а на Windows Server 2012 R2 картина уже другая: создаётся три процесса (openvpnserv.exe > openvpn.exe > conhost.exe) c количеством потоков 2, 3 и 2 соответственно, количество которых в процессе работы может уменьшаться до 2, 1, 2.
Всего записей: 528 | Зарегистр. 12-12-2003 | Отправлено: 13:48 13-11-2015 | Исправлено: YuraseK, 16:22 13-11-2015
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
YuraseK
Цитата:
SoftEther VPN может работать как служба, а также работать по аналогии с OpenVPN в мосте, пропуская бродкаст трафик?  
Может. Более того, ты можешь даже объединить сетки по L2.
Сходи на офсайт, посмотри фичи и примеры. Думаю, тебе понравится.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 14:51 13-11-2015
YuraseK

Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
Как-то очень давно пытался разобраться с SoftEther VPN, но ничего не получилось.
В этот раз более основательно попробую. Вроде как на оффсайте всё подробно расписано.
 
Добавлено:
Ура! Удалось локализовать источник проблемы в работе OpenVPN - им оказался Kaspersky Endpoint Security 10.2.2.10535. В этой версии по сути работает только файловый модуль и сетевой экран. Только удаление программы решило проблему (выгрузка антивируса в процессе работы системы не влияла на ситуацию).
Всего записей: 528 | Зарегистр. 12-12-2003 | Отправлено: 16:24 13-11-2015
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
YuraseK
Цитата:
Удалось локализовать источник проблемы в работе OpenVPN  
- им оказался Kaspersky Endpoint Security
Очень гнусная шняга. Постоянно сталкивался с тем,
что он мешает работе и других VPN, Cisco AnyConnect например.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 20:51 13-11-2015
fire667

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
YuraseK
RDP vs OpenVPN или RDP vs SoftEther это явно не тема для топика т.к. это то же самое, что сравнивать теплое с мягким или круглое с твердым т.е. совершенно разные технологии для разных областей
з.ы. IMHO
з.з.ы. на каком уровне OSI RDP и на каком OpenVPN и SoftEther ?...
Всего записей: 2251 | Зарегистр. 27-08-2004 | Отправлено: 21:52 13-11-2015 | Исправлено: fire667, 21:55 13-11-2015
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
fire667
Цитата:
RDP vs OpenVPN или RDP vs SoftEther это явно не тема для топика
Собственно, человек жаловался на частые обрывы  OpenVPN, особенно при работе RDP
и на то, что соединение не восстанавливается.
Я посоветовал ему перейти на SoftEther, совместимый с OpenVPN.
Так что уровни OSI здесь не при чем.
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 00:36 14-11-2015
cxzyaka

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Помогите, пожалуйста, решить проблему.
Настроил опенвпн, он работает, но раз в сутки перестает работать, решается проблема весьма странно (как по мне, может что не так сделал?)
 
Имеем сервак в сети 192.168.0.*, его ип 192.168.0.111, внешний ип у сети 2.2.2.2, инет раздает юзергейт по ппое
Конфиг сервера, делал по гайду:
# Поднимаем L3-туннель
dev tun
 
# Протокол
proto tcp
 
# Порт который слушает впн
port 1194
 
 
# Ключи и сертификаты
ca ca.crt
cert okis.crt
key okis.key  
dh dh1024.pem
 
# Грубо говоря экономим адреса
topology subnet
 
# Пул адресов
server 10.8.0.0 255.255.255.0
 
# Метод шифрования
cipher AES-128-CBC
 
# Сжатие
comp-lzo
 
# Немного улучшит пинг
mssfix
 
# Время жизни клиентов, если не откликнулся — отключает
keepalive 10 120
 
# Уровень отладки
verb 3
 
#разрешить одинаковые сертификаты
duplicate-cn
 
#интернет и днс
push «redirect-gateway def1»
push «dhcp-option DNS 8.8.8.8»
push «dhcp-option DNS 8.8.4.4»
 
В юзергейте правила в таком порядке:
3.3.3.3 (внешний ип клиента) - по порту 1194 транслировать на 192.168.0.111 (локальный ип сервера)
все локальные адреса по любым портам, обращающие к ппое соединению идут по НАТу
 
 
Соответственно есть клиенты, внешний ип которых 3.3.3.3, интернет раздает роутер (там настроек дополнительных не делал), айпи адреса клиентов: 192.168.0.2-192.168.0.5
 
конфиг:
client
dev tun
proto tcp
remote 2.2.2.2 1194
ca ca.crt
cert client.crt
key client.key
cipher AES-128-CBC
nobind
comp-lzo
persist-key
persist-tun
verb 3
 
так вот, раз в сутки (после ребута компов-клиентов) у них перестает работать опенвпн, не соединяется с сервером, в логе сервера не указывается, что они пытаются соединиться, эксперементальным путем выяснил, что если в юзергейте изменить порядок правил - поставить нат перед трансляцией порта, то опенвпн работает до следующего ребута компов, когда не работает, снова меняю порядок на старый - ставлю трансляцию порта перед нат, и снова работает до ребута
 
на компах стоит есет ендпоинт секьюрити, отключение которого ничего не меняет, в нем созданы правила, тем более, в нем созданы разрешающие программ работать
 
что я делаю не так?
Всего записей: 1 | Зарегистр. 19-04-2012 | Отправлено: 08:55 30-11-2015 | Исправлено: cxzyaka, 09:00 30-11-2015
Arcadaw

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день!
 
Прошу подсказать, как лучше настроить сервер openvpn на роутер asus rt-n66u.
Включаю OpenVPN, задаю логин и пароль. Экспортирую файл *.ovpn, который затем переписываю в другом месте под программу openvpn for windows. Т.е. файл *.ovpn постоянно висит в папке программы openvpn for windows.  
 
Вопросы:
1. Как настроить всякие: Режим авторизации, Модификация ключей и сертификацию, Username/Password Authentication, Дополнительная авторизация HMAC, Шифр шифрования, Сжатие и т.д. Прошивка 378.56_2.
2. если поставить включить Username/Password Authentication, то при подсоединению запрашивается пароль, который затем запоминается. Но при этом в логе говорится, что пароль кэшируется и это не есть безопасно. Как это исправить? Будет ли безопасно, если не буду включать Username/Password Authentication?
3. Как все это и остальное безопасно и удобно устроить?
Всего записей: 1507 | Зарегистр. 25-03-2004 | Отправлено: 10:54 30-11-2015
isesam

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Глупый, может вопрос, но:
 
Верно ли, что сервер ovpn позволяет подключаться либо только по udp, либо только по tcp?
 
Человек, который прислал конфиг клиента, утверждает, что поменять udp на tcp- и все будет работать. Имею: по udp работает, по tcp- Нет.
 
ошибка в логе выглядит так:
:1194 failed, will try again in 5 seconds: Попытка объединить диск с папкой на объединенном диске.
Всего записей: 80 | Зарегистр. 24-10-2005 | Отправлено: 09:41 02-12-2015
admin931



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Верно ли, что сервер ovpn позволяет подключаться либо только по udp, либо только по tcp?  

вопрос не очень понятен, сервис обычно работает только на одном порту с одним из протоколов либо tcp либо udp.
 
но другой вопрос, что можно запустить несколько сервисов на разных портах и/или разных протоколах.
 
если вам выдали настройки, то менять просто так их не следует - скорее всего проблема не в них.
после 2.2.4 версии часть "клиентов" работала не стабильно. возможно стоит заменить/переустановить свою версию.
 
обычно все проблемы связаны с фаерволом/бредмауэром, ему забывают прописать правила
 
если подобная проблема возникает непосредственно во время работы, т.е. вы подключились поработали и что-то случилось и связь рвется. то следует помнить, что UDP хоть и быстрее но не обладает подтверждением доставки пакетов и при большой нагрузке связь может теряться. (обычно этим страдают роутеры)
если связь рвется постоянно с начала сессии то я-бы проверил нет ли второго устройства с которого я вхожу.  
 
 
а вообще логи в помощь. обычно в них есть если не вся правда то ее большая часть.
 
Всего записей: 214 | Зарегистр. 07-12-2005 | Отправлено: 03:59 06-12-2015
isesam

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уже разобрались.
Человек сказал неправильный порт для tcp.
 
Насколько я понял, можно запустить несколько конфигов ovpn на одном сервере. Естественно, на разные порты.
Всего записей: 80 | Зарегистр. 24-10-2005 | Отправлено: 10:51 07-12-2015 | Исправлено: isesam, 10:52 07-12-2015
sergey5864

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Товарищи помогите разобраться в чем тут может быть дело. Подключение есть,а вот пинга с клиента на сервер нет. Мониторинг трафика показывает, что пакеты ходят в обе стороны, но от клиента на сервер поступают с состоянием (no response found) Смотрю вайершарком.
IP сервера 10.8.0.1
У него же поднят DHCP самим OpenVpn по IP 10.8.0.2
У клиента IP 10.8.0.6
 
c  10.8.0.1 на 10.8.0.6 пинг идет,а обратно нет. Антивирусы отключил, брендмауеры тоже. Пробовал про разному указывать опцию сжатия трафика в конфигах клиента и сервера. Отключил IP6 в системе, teredo и  isatap
 
Версия программы 2.3.8-I601-x86_64. На одном ПК windows 8 64-bit, на дургом windows 7 64-bit
 
Добавлено:
https://yadi.sk/i/nL7MEknQm5swR
Маршруты на клиенте
 
Добавлено:
https://yadi.sk/d/nao2uFMum5tMa
конфиг сервера
 
https://yadi.sk/d/THFEi4Nlm5tPB
Конфиг клиента
 
https://yadi.sk/i/3tvcyjxPm5tQY
Лог клиента
Всего записей: 48 | Зарегистр. 06-12-2008 | Отправлено: 19:48 08-12-2015 | Исправлено: sergey5864, 20:57 08-12-2015
mazafakaz



Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всех с Новым Годом!
 
Подскажите, поднял на Дебиан8 впн-сервер.
Все работает, кроме sip-телефонии - нет входящих звонков. Видимо что-то с маршрутизацией...
Может быть есть где-то примеры как настроить openvpn для работы с sip-ом?
Всего записей: 567 | Зарегистр. 15-02-2007 | Отправлено: 12:06 01-01-2016
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mazafakaz
Цитата:
Может быть есть где-то примеры как настроить openvpn для работы с sip-ом?
Нет таких примеров. Тут дело в сипе, нужно клиента настраивать.
Чтобы он использовал для аудио потока не локальный адрес,
а тот, что ему выдает впн. Во многих клиентах это настраивается.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 14:56 01-01-2016
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » OpenVPN


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru