| 0
- 26.08.2014 - 08:06
|
Не могу подключить Винду в качестве клиента openVPN к серверу openVPN на Mikrotik При чем очень важно, чтобы сервер был с dev tun, иначе не подключается Android (он в приоритете), но и Винда нужна.. Вот конф . port 1194 proto tcp dev tun remote Куда подключаемся --proto tcp-client tls-client ;remote-cert-tls server ;topology subnet route-method exe pull ;--ip-win32 dynamic ;--ip-win32 adaptive auth-user-pass "c:\\Program Files (x86)\\OpenVPN\\config\\keys\\auth.cfg" ca "c:\\Program Files (x86)\\OpenVPN\\config\\keys\\ca.crt" cert "c:\\Program Files (x86)\\OpenVPN\\config\\keys\\client.crt" key "c:\\Program Files (x86)\\OpenVPN\\config\\keys\\client.key" script-security 3 route-delay 10 cipher BF-CBC # Blowfish (default) ;comp-lzo status openvpn-status.log ;log openvpn.log verb 3 А вот лог долбанного неподключения. Tue Aug 26 08:48:05 2014 OpenVPN 2.3.4 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Aug 7 2014 Tue Aug 26 08:48:05 2014 library versions: OpenSSL 1.0.1i 6 Aug 2014, LZO 2.05 Enter Management Password: Tue Aug 26 08:48:05 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340 Tue Aug 26 08:48:05 2014 Need hold release from management interface, waiting... Tue Aug 26 08:48:05 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340 Tue Aug 26 08:48:05 2014 MANAGEMENT: CMD 'state on' Tue Aug 26 08:48:05 2014 MANAGEMENT: CMD 'log all on' Tue Aug 26 08:48:05 2014 MANAGEMENT: CMD 'hold off' Tue Aug 26 08:48:05 2014 MANAGEMENT: CMD 'hold release' Tue Aug 26 08:48:05 2014 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. Tue Aug 26 08:48:05 2014 Socket Buffers: R=[8192->8192] S=[8192->8192] Tue Aug 26 08:48:05 2014 Attempting to establish TCP connection with [AF_INET]куда подключаемся:1194 Tue Aug 26 08:48:05 2014 MANAGEMENT: >STATE:1409028485,TCP_CONNECT,,, Tue Aug 26 08:48:05 2014 TCP connection established with [AF_INET]куда подключаемся:1194 Tue Aug 26 08:48:05 2014 TCPv4_CLIENT link local: [undef] Tue Aug 26 08:48:05 2014 TCPv4_CLIENT link remote: [AF_INET]куда подключаемся:1194 Tue Aug 26 08:48:05 2014 MANAGEMENT: >STATE:1409028485,WAIT,,, Tue Aug 26 08:48:06 2014 MANAGEMENT: >STATE:1409028486,AUTH,,, Tue Aug 26 08:48:06 2014 TLS: Initial packet from [AF_INET]куда подключаемся:1194, sid=105c2504 fb84f40c Tue Aug 26 08:48:06 2014 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this Tue Aug 26 08:48:07 2014 VERIFY OK: depth=1, C=RU, ST=KRD, L=Krasnodar, O=OpenVPN, OU=changeme, CN=Y, name=changeme, emailAddress=мыло@bk.ru Tue Aug 26 08:48:07 2014 VERIFY OK: depth=0, C=RU, ST=KRD, L=Krasnodar, O=OpenVPN, OU=changeme, CN=Y, name=changeme, emailAddress=мыло@bk.ru Tue Aug 26 08:48:08 2014 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Tue Aug 26 08:48:08 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Tue Aug 26 08:48:08 2014 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Tue Aug 26 08:48:08 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Tue Aug 26 08:48:08 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA Tue Aug 26 08:48:08 2014 [YANA] Peer Connection Initiated with [AF_INET]куда подключаемся:1194 Tue Aug 26 08:48:10 2014 MANAGEMENT: >STATE:1409028490,GET_CONFIG,,, Tue Aug 26 08:48:11 2014 SENT CONTROL [Y]: 'PUSH_REQUEST' (status=1) Tue Aug 26 08:48:16 2014 SENT CONTROL [Y]: 'PUSH_REQUEST' (status=1) Tue Aug 26 08:48:21 2014 SENT CONTROL [Y]: 'PUSH_REQUEST' (status=1) Tue Aug 26 08:48:21 2014 PUSH: Received control message: 'PUSH_REPLY,ping 20,ping-restart 60,route 10.6.0.0 255.255.255.0,ifconfig 10.6.0.4 10.6.0.1' Tue Aug 26 08:48:21 2014 OPTIONS IMPORT: timers and/or timeouts modified Tue Aug 26 08:48:21 2014 OPTIONS IMPORT: --ifconfig/up options modified Tue Aug 26 08:48:21 2014 OPTIONS IMPORT: route options modified Tue Aug 26 08:48:21 2014 OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options Tue Aug 26 08:48:21 2014 OpenVPN ROUTE: failed to parse/resolve route for host/network: 10.6.0.0 Tue Aug 26 08:48:21 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0 Tue Aug 26 08:48:21 2014 MANAGEMENT: >STATE:1409028501,ASSIGN_IP,,10.6.0.4, Tue Aug 26 08:48:21 2014 open_tun, tt->ipv6=0 Tue Aug 26 08:48:21 2014 TAP-WIN32 device [Подключение по локальной сети 4] opened: \\.\Global\{7EF5E4E5-0A81-4790-88F3-496447A4693C**.tap Tue Aug 26 08:48:21 2014 TAP-Windows Driver Version 9.9 Tue Aug 26 08:48:21 2014 Set TAP-Windows TUN subnet mode network/local/netmask = 10.6.0.0/10.6.0.4/10.6.0.1 [SUCCEEDED] Tue Aug 26 08:48:21 2014 MANAGEMENT: Client disconnected Tue Aug 26 08:48:21 2014 ERROR: --ip-win32 dynamic [offset] : offset is outside of --ifconfig subnet Tue Aug 26 08:48:21 2014 Exiting due to fatal error Сильно смущает, что вместо маски почему то адрес, ну и не совмес понятно, что прописать в клиенте, чтобы он не отсылал запросы PUSH REQUEST. Есть другая конфигурация openVPN сервера но на Linux, где так же используется tun и topology subnet и Винда без проблем подключается, при этом маска там как и указано 255.255.255.0 Да, и еще странность, при подключении Андроида маска почему-то /32 а на другом канале, шде подключается и Винда, там таки /24     | | |
| 1
- 26.08.2014 - 14:41
| Сертификат на "Mikrotik server openVPN" установил? Даже если не используешь, то он должен быть. | | |
| 2
- 26.08.2014 - 14:56
|
Блин, сертификаты ессно есть. Если ставлю режим ip (это аналог команды dev tun) к серверу цепляется Android и не цепляется Виндоуз Если ставлю ethernet (dev tap) с точностью до наоборот, Винда цепляется, Андроид нет. Нужно настроить аналогично Линуксовому варианту. dev tun topology subnet client-toclient Вот эти три параметра мне важны, только первый знаю, что это параметр mode = ip Остальное непонятно. И такой момент, когда стоит ip = 10.10.10.1 mask = /24 то при подключении клиентами Микротик и Андроид показывают маску /32 Хотя при подключении Андроидом к Линуксовому серверу маска /24 | | |
| 3
- 26.08.2014 - 23:22
| Цитата:
| | |
| 4
- 26.08.2014 - 23:24
| Цитата:
| | |
| 5
- 26.08.2014 - 23:25
| кста всю жизнь пользовался tun-м, сейчас чет прям проникся, домой с ноута tap-м лазить, удобно когда сетка одноранговая | | |
| 6
- 26.08.2014 - 23:37
| а плин то я попутал c tls-auth | | |
| 7
- 26.08.2014 - 23:42
| а в чем кста прикол пользования route-method exe ? | | |
| 8
- 27.08.2014 - 09:02
|
Если подниать на Лин/Вынь openVPN сервер, то там прекрасно работает dev tun topology subnet В таком режиме прекрасно работают и Андроиды (только tun) и Виндоуз (только tap) и о боже, должен работать iOS (только tun) Сетка получается одноранговая, с маской /24 Микротик тварь не понимает topology subnet, не заложено в него это походу. Так же эта тварь не понимает push route, может только поднять маршрут на сеть за клиентом. Так что буду переделывать на pptp и пробовать. или мучать дальше с другими настройками и маршрутизацией. | | |
| 9
- 27.08.2014 - 09:03
| 7-701054 > не знаю, это вроде для Виндовых машин предназначено, сильно не разбирался. | | |
| 10
- 27.08.2014 - 11:33
| Цитата:
| | |
| 11
- 27.08.2014 - 12:29
|
Прописывать маршруты на сеть на Андроиде или айфоне как-то не айс.... Больше всего бесит, что получаю маску /32, и при пробросе порта на машину получил сообщение 403 форбиден бла-бла-бла, вы типа не из того списка сети.... | | |
| 12
- 27.08.2014 - 14:49
|
netmask (integer; Default: 24) Subnet mask to be applied to client. По документации... Забавно, но маска не применяется к клиенту, а только к построению маршрута. :( | | |
| 13
- 27.08.2014 - 22:36
| да вообще много забавного с ним когда на разных осях из недоинтерфесов, сейчас сижу колупаюсь, сделал на домашнем тике tap серв для себя и сделал на пробрске за тиком на пфсенсе серв и зацепил к нему удаленный тик, tun-м так вот в пфе вообще ниче не роутится нормально без iroute , хотя маршруы в таблице есть прилетели ospf-м и tcpdump на стороне пф-а кажет что улетело, зато на тик ниче не прилетает ... после iroute в опциях клиента и прописыванием сетей которые за openvpn пфсенс начинает прально все двигать, при чем ему становится пофигу site-to-site или remote access он просто все роутит что может))) а со стороны тика маршруты просто ospf-м норм добавляюся да и push route с пф-а работает...зато квага на пфе непойми че вытворяет когда делаешь разные настройки на инерфейсах, хзпочему так, давно замечал уже.... | | |
| 14
- 28.08.2014 - 11:52
|
В общем проблему помогли решить наши IT-ники, они просто сделали маскарад во внутреннюю сеть и внутренние компы получают IP миктрота и начинают отвечать. Так же отписался в Микрот по поводу ошибки выдачи маски клиенту, надеюсь поправят. Ибо не получается иначе одновременно цепляться и Андроидом и Виндой из-за этой ошибки. | | |
| 15
- 28.08.2014 - 11:54
|
Set TAP-Win32 TUN subnet mode network/local/netmask = 10.6.0.0/10.6.0.4/10.6.0.1 [SUCCEEDED] От какую прикольную маску получает Винда вместо 255.255.255.0 на сервере на Линуксе и валится с ошибкой... | | |
| 16
- 28.08.2014 - 11:58
|
ну, хотя бы миф что openvpn на микротике вообще не работает - развеяли. А то народ чуть ли не виртуальную машину поднимать предлагал и на ней линукс с опенвпн | | |
| 17
- 28.08.2014 - 12:01
| Цитата:
| | |
| 18
- 28.08.2014 - 12:04
|
16-pinya > да работает он, просто либо в tap либо в tun, то есть либо Винда, либо Андроиды. А надо чтобы и тем и тем досталось. Ну и ошибку откопал. + если добавят push "route..... " а не только один маршрут, ну а еще лучше добавят udp и lzo то вполне себе рабочая лошадь :) | |
Интернет-форум Краснодарского края и Краснодара |
