OpenVPN nepřiděluje statické IP adresy
Zdravím všechny, mám trochu problém s OpenVPN, která klientům nedává statické IP adresy, ač si myslím, že by měla.
Konfigurace serveru:
# server
mode server
# tls jako server
tls-server
# nastavi zarizeni
dev tap0
# port, 1194 = default
port 1194
# protokol, tcp/udp
proto udp
# adresa serveru
ifconfig 10.10.1.1 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
push "route-gateway 10.10.1.1"
# rozsah adres pro klienty
ifconfig-pool 10.10.1.20 10.10.1.100 255.255.255.0
ifconfig-pool-persist ip_pool.txt
# soucasne prihlaseni vice klientu
duplicate-cn
client-to-client
keepalive 10 120
# certifikat certifikacni autority
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
# certifikat serveru
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.crt"
# klic serveru
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.key"
# parametry pro Diffie-Hellman protokol
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"
# komprese prenasenych dat
comp-lzo
route-method exe
route-delay 2
# logy serveru
#log-append openvpn.log
# revokace certifikatu
crl-verify "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\crl.pem"
Konfigurace klienta:
# rezim client
client
# definujeme rozhrani TAP (stejne jako na serveru)
dev tap
# definujeme protokol
proto udp
# Zde zadejte adresu sveho serveru
remote IP adresa 51194
# Pokud mate Dial-up, tohle je velmi dobry parametr 
resolv-retry infinite
# definujeme, ze neni treba navazat se k specifickemu lokalnimu portu
nobind
pull
# Pro ne-Windows klienty muzete snizit po pripojeni privilegia
;user nobody
;group nobody
# Try to preserve some state across restarts.
persist-key
persist-tun
# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here. See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
# bezdratove site velmi casto opakuji nektere pakety. Workaround.
mute-replay-warnings
# SSL/TLS nastaveni. certifikat serveru/autority a certifikat a klic klienta
ca "C:\\Program Files\\OpenVPN\\config\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\keys\\klient1.crt"
key "C:\\Program Files\\OpenVPN\\config\\keys\\klient1.key"
# Verify server certificate by checking
# that the certicate has the nsCertType
# field set to "server". This is an
# important precaution to protect against
# a potential attack discussed here:
# http://openvpn.net/howto.html#mitm
#
# To use this feature, you will need to generate
# your server certificates with the nsCertType
# field set to "server". The build-key-server
# script in the easy-rsa folder will do this.
ns-cert-type server
# TLS autentikace na strane klienta
#tls-auth "C:\\Program Files\\OpenVPN\\config\\keys\\ta.key" 1
route-method exe
route-delay 2
# Komprese datoveho toku
comp-lzo
# Mira ukecanosti logu
verb 3
soubor ip_pool.txt vypadá následovně:
klient1,10.10.1.25
Po připojení ale klient1 dostane IP 10.10.1.20
Neví někdo prosím proč? Díky moc!
A je skutečně klient1 jako CN v jeho certifikátu, kterým se přihlašuje?
Ano, přesně tak, při generování certifikátu bylo zadáno název certifikátu klient1
Zkus zadat k tomu souboru ip_pool.txt celou cestu...
To bohužel nepomáhá. Je divný, že když VPN server běží, tak ten soubor ip_pool.txt ani nejde smazat, píše, že je používán jiným procesem což ukazuje na to, že VPN ho zpracovala ale prostě to nepřidělí tu správnou adresu. Pokud ten řádek kde je ip_pool jakkoliv upravím, třeba k němu napíšu přesnou cestu tak se nespustí OpenVPN server, nelíbí se mu ten příkaz. Usuzuju z toho, že v tom konfiguráku to je spávně když se s tím VPN rozběhne ale proč to nepřiděluje co má?
pozor, soubor ip_pool neslouží k definici "rezervací" - záznamy si do něj musí tvořit samotný OpenVPN. Kromě toho, zvolením duplicate-cn je veškerá taková snaha zbytečná, neboť jeden uživatel se může přihlásit vícekrát (z více počítačů).
edit: už vidím, přišel jsi na to sám.