Konfigurace openVPN
Zdravím všechny čtenáře,
potřeboval bych poradit s konfigurací openVPN. Doma na stolním Pc (server) se chci spojit s notebookem co je v praze (client) u obou je win7 64bit.(Chci využívat internetu co mám na stolním Pc jelikož v praze mám blokované porty). Mám nainstalovanou verzi vpn 2.2.2. Mám vytvořené klíče a hesla, port forwarding na routeru, povolen firewall. Server doma zapnu, client se s nim spojí ale neroutuje se internet (není k dispozici píše). Zkrátka jakoby ten požadavek od klienta přišel na server, ale on ten internet neuměl přeposlat zpět. Co je špatně?
Co jsem četl na ubuntu foru tak ti kteří mají server na linuxu, tak těm se o to routování internetu postará tento příkaz ($ iptables -A POSTROUTING -s 10.79.1.0/24 -o eth0 -j MASQUERADE) ale nevím jak je to u win :(
jinak přikládám výpis z konfiguraku servera:
mode server
tls-server
port 80
proto udp
dev tap# adresa serveru
ifconfig 10.10.1.100 255.255.255.0# rozsah adres pro klienty
ifconfig-pool 10.10.1.20 10.10.1.25 255.255.255.0# push "route 192.168.0.0 255.255.255.0"
push "dhcp-option DNS 192.168.0.1"
push "route-gateway 10.10.1.100"
push "redirect-gateway"client-to-client
keepalive 10 120# soucasne prihlaseni vice klientu
duplicate-cn# certifikat certifikacni autority
ca ca.crt# certifikat serveru
cert server.crt# klic serveru
key server.key# parametry pro Diffie-Hellman protokol
dh dh1024.pem# status serveru
#status /var/run/vpn.status 10# uzivatel pod kterym bezi server
#user nobody# skupina pod kterou bezi server
#group nogroup# udrzuje spojeni nazivu, 10 (ping) a 120 (ping-restart)
keepalive 10 120comp-lzo
verb 3
Děkuji za odpověď
Při diagnostice připojení "Pičítač je pravděpodobně správně nakonfigurován, ale zařízení nebo prostředek (Server DNS) neodpovídá...
Jinak spouštím jako správce, i při vypnutém smart security firewallu ten internet na toho klienta nedojde
Skús si nastaviť dns v konfigu na 208.67.222.222
Jak jsi na to přišel ? mohu to vyzkoušet, takže pouze zaměním v konfigu servera z push "dhcp-option DNS 192.168.0.1" na push "dhcp-option DNS 208.67.222.222"? nebo to mám změnit i u "push "route-gateway 10.10.1.100" ??
teď když se chci připojit z klienta tak mi to píše :
Sun Nov 11 21:13:40 2012 UDPv4 link local: [undef]
Sun Nov 11 21:13:40 2012 UDPv4 link remote: 178.255.xxx.xxx:80
Sun Nov 11 21:13:40 2012 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
díky za rady a odpověď
OMG. Brána a DNS jsou dvě rozdílné věci.
Routování máš v těch pakostnicových woknech zapnuto?
Pardon,
ano toto mám zaplé...
zkusím tam nastavit tedy to dns
a routovací tabulky jsi zkontroloval? Technicky by to snad mělo fungovat, pokud jsi NEvyplnil u OpenVPN adaptéru výchozí bránu.
DNS jsem přepsal na to jak je mi porazeno výše a stále se nemohu spojit s klientem... v okně VPN píše toto:
Prosím o radu
http://msdn.microsoft.com/en-us/library/windows/de sktop/ms740668%28v=vs.85%29.aspx
opravdu ti na tom portu poslouchá OpenVPN?
V router setupu mám nastaveno zatím mám jen u forwardingu vyplněno "virtual servers" (nebo tak něco tam je... ) na 80
no ale to nestačí, potřebuješ ještě statickou routu.
napsal jsem "route add 10.10.1.0 255.255.255.0 192.168.0.100" a výsledek : Chybný argument 192.168.0.100
tím pádem ten tracert -d 77.75.72.3 jsem zkoušel jen tak a "cílový hostitel není dostupný"
Píšu ten příkaz blbě nebo kde je chyba ? :o
ale v routeru, ne v počítači!
1. Dal jsem zpět DNS na původní hodnotu 192.168.0.1
2. V Routeru jsem nastavil Static routing na ty hodnoty jak jsi napsal... enabled
bohužel žádná změna (ikdyž ona by možná byla) ale zkrátka se s tím domácím Pc nespojím stále je ikona žlutá a opakují se následující příkazy: netuším proč se s tím spojím když už se to jednou podařilo a nic jsem v nastavení neměnil...
Tue Nov 13 18:29:24 2012 [UNDEF] Inactivity timeout (--ping-restart), restarting
Tue Nov 13 18:29:24 2012 TCP/UDP: Closing socket
Tue Nov 13 18:29:24 2012 SIGUSR1[soft,ping-restart] received, process restarting
Tue Nov 13 18:29:24 2012 Restart pause, 2 second(s)
Tue Nov 13 18:29:26 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Nov 13 18:29:26 2012 Re-using SSL/TLS context
Tue Nov 13 18:29:26 2012 LZO compression initialized
Tue Nov 13 18:29:26 2012 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Nov 13 18:29:26 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue Nov 13 18:29:26 2012 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Nov 13 18:29:26 2012 Local Options hash (VER=V4): 'd79ca330'
Tue Nov 13 18:29:26 2012 Expected Remote Options hash (VER=V4): 'f7df56b8'
Tue Nov 13 18:29:26 2012 UDPv4 link local: [undef]
Tue Nov 13 18:29:26 2012 UDPv4 link remote: 178.255.169.254:80
Tue Nov 13 18:29:26 2012 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Tue Nov 13 18:29:28 2012 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Tue Nov 13 18:29:32 2012 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
já psal nějaké hodnoty? Já nepsal nic.
1. V routeru jsi měl nastavit statickou routu na 10.10.1.0/24 s bránou 192.168.0.100 (což by měla být LAN IP adresa PC s nainstalovaným OpenVPN)
2. Zopakuji: ověř si, že díra ve firewallu před tvým VPN serverem funguje, protože podle mě nefunguje.
1. ano to jsem presne udelal...
2. mam eset smart security 5... nastavil jsem interaktivni rezim a pravidla : z obou smeru je povolen protokol tcp a udp, lokální strana - lokalni port- pridat port - 80... tak je to na obou strojich
cooo?
jaký TCP, přece to máš nastaveno na UDP? To mi chceš tvrdit, že router ti běží na Windows a ještě ke všemu s Eset Zmrd security? hm.. tak to je hustý.
radsi jsem tam povolil jak tcp tak i udp... ano mám nastaveno proto udp.
Ano jak říkáš... W7 a eset... co bys navrhoval ?
A jak na těch W7 děláš NAT do internetu? To je nejšílenější nápad, co jsem teda potkal - proč pak nerozjedeš to OpenVPN rovnou na tom routeru? Windows jako Windows.. Teda samozřejmě, pokud si nepleteš hodinky a holinky.
Pokial mas spojenie rusene peerom nie je problem v dnskach. Na zaciatku si pisal, ze klient sa spoji, tu vidime, ze uz ani to nie.
Takze:
- bud ti router neforwarduje port 80
- vpn server ti nebezi na forwardnutom porte
- firewall na routri/pc blokuje prichadzajuce spojenie
Ked vyriesis problem si spojenim mozme sa pozriet na to routovanie.
1. u routeru to mam forwardnute u virtual servers... (ale zkousel sem tam jiny nastaveni jako port trigering a dmz - jen na zkousku a pak jsem to vypl, tak je mozny ze se to tim rezesralo...)
2. to mam nasteven snad v konfiguraci ne ? mode server tls-server port 80
3. v esetu to mam povolene do obou smeru port 80
router jsi psal výše, že je na Windows 7, teď tu zase motáš DMZ a port triggering, jako by to byla nějaká levná SOHO krabička.
Zkus se trochu zamyslet a být alespoň trochu konzistentní v tom, co nám sděluješ. Díky.
ano je na win7, DMZ a port triggering to byla jen zkouska protoze uz sem nevedel cim to muze bejt tak jsem to zkusil jestli se to nahodou nerozbehne
Posílám výpis netstat :
C:\Users\Pavel>netstat
Aktivní připojení
Proto Místní adresa Cizí adresa Stav
TCP 127.0.0.1:22250 Sam:22251 NAVÁZÁNO
TCP 127.0.0.1:22251 Sam:22250 NAVÁZÁNO
A jakou IP má ten router?
podle manualu 192.168.0.1
ale ten vypis se zda nejakej pofiderni že? Dnes až přijedu domu tak to projedu tim TCPview a hodim to sem ať se už zjistím kde je ten kámen úrazu. Zatím díky
vpn server je nejlepe delat na routeru, porid si router, ktery to umi, nebo do do stavajiciho (pokud to jde) pouzij alternativni firmware s vpn serverem a mas to nastavene za 3 minuty a funkcni, nejhorsi co muze byt, je drbani levou nohou za pravym uchem, jnak to budes mit to pc zapnute nonstop?
jeho router (jak tvrdí) běží na Windows 7 (což teda nechápu, jak takovou kravinu může někdo udělat), stejně tak mu běží ve vnitřní síti na dalších Windows 7 ten OpenVPN server (opět tvrzení tazatele)
(že si myslím, že si z nás dělá (_!_) je druhá věc)