openvpn: conexão estabelecida, não é possível pingar a interface tun do servidor (servidor debian, windows e os clientes x)

5

Meu objetivo:

Eu quero configurar o openVPN em um vServer da empresa netcup, executando o Debian squeeze. Eu só quero uma conexão VPN do cliente para o servidor; os clientes não devem poder ver um ao outro, também o servidor não precisa servir como um gateway para outros serviços.

Minha configuração:

1 Debian squeeze vServer, 3 clientes Windows 7, 2 clientes OS X Lion, os clientes estão todos na minha sub-rede 192.168.xx, firewall no servidor não tem restrições definidas ainda, firewalls no cliente não bloqueiam a conexão de saída Inclusive adicionei o protocolo ICMPv4 como exceção, de acordo com este post: O servidor OpenVPN não consegue fazer ping em clientes . Na sub-rede há um roteador de WLAN e o fritz.box Router que é o gateway para meu provedor de internet. o roteador WLAN tem um firewall, mas também não há restrições definidas.

Minhas restrições:

como este é um servidor virtual, o servidor openVPN está sendo executado; existem limitações: 1) O dispositivo tun "tun1" teve que ser desbloqueado primeiro e recebeu um endereço fixo (10.240.43.1) que não posso mudar porque 2) modificações no ifconfig não são permitidas, assim como tabelas IP (eu entendi que isso é porque a tecnologia virtual está usando um kernel para múltiplos clientes, portanto não permitindo que um cliente modifique sua configuração), significando 3) não consigo ativar / desativar o encaminhamento IPv4 (sim eu estou logado como root), apenas dizendo isso porque eu já encontrei 50 + posts com quase o mesmo problema, mas um pouco diferente.

O que funciona até agora:

Os clientes podem se conectar via cliente GUI openVPN do Windows 7 e OS X Lion ao servidor openVPN na máquina debian, os clientes recebem endereços IP na sub-rede desejada (10.240.43.x), os logs não indicam qualquer erro. Vou postar um exemplo no final.

O que funcionou ONCE (e isso está me enlouquecendo):

Ao configurar o openVPN no segundo cliente do Windows 7, uma conexão foi estabelecida, um endereço IP atribuído e o cliente poderia fazer ping no servidor no endereço da interface do tun. Eu estava tão feliz que inicializei o OS X no mesmo macbook para configurá-lo lá, o que não funcionou, e quando iniciei no Windows 7 no dia seguinte, não tendo alterado nada no server.conf ou na configuração de cliente do openvpn, teve a mesma miséria que estava nos outros clientes do Windows 7 e OS X. Isso significa para mim que pelo menos a configuração deve ter sido ok pelo menos uma vez e desde então eu estou tentando descobrir o que aconteceu e apreciaria muito se alguém pudesse me apontar para onde estou fazendo algo errado (eu sou ainda novo para isso, também Inglês não é minha primeira língua)

O que deve funcionar, com base no que li sobre as conexões corretas do openVPN:

ping. Eu quero ping 10.240.43.1 (os servidores tun interface IP) de um cliente ou 10.240.43.xx (< - client IP) do servidor. Eu recebo um tempo limite quando o servidor faz pings cliente (s) ou cliente (s) ping servidor, também quando tento tracert (no Windows) eu nem sequer chegar ao primeiro nó, que seria o meu fritz.box router se eu entendi isso corretamente. Eu também li que eu deveria ter um endereço IP público diferente, quando eu estou conectado ao openVPN, mas eu não recebo um, ele permanece o mesmo dinâmico que eu recebo do provedor. Note que adicionei uma configuração personalizada nos arquivos de configuração dos clientes do Windows para evitar que o Windows a trate como uma rede não identificada e isso realmente funcionou. No entanto, isso não resolve o meu problema ... Eu realmente tentei todos os posts relacionados que pude encontrar, então, por favor, não me redirecione para outra pergunta "similar" ..

edite: especialmente este: Configuração OpenVPN - cliente e amp; debian server , o pobre coitado nem sequer recebeu uma única resposta, apenas comenta ... mas ele tem um problema muito parecido, se não o mesmo ..

Obrigado antecipadamente!

server.conf no Debian Squeeze

port 1194 proto udp

-10.x.x.x endereços ascendentes:

topology subnet

dev tun1

-prevent a manipulação ifconfig ou então haverá erros ao reiniciar o daemon openvpn no servidor - rotas não podem ser adicionadas de qualquer maneira no meu servidor:

ifconfig-noexec route-noexec

ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key dh /etc/openvpn/easy-rsa/keys/dh1024.pem

server 10.240.43.0 255.255.255.0

ifconfig-pool-persist ipp.txt

push "dhcp-option DNS 10.240.43.1" ;push "route 10.240.43.0 255.255.255.0" ;push "redirect-gateway def1"

keepalive 10 120

tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0 comp-lzo

user nobody group nobody

persist-key persist-tun status openvpn-status.log verb 3

Um exemplo de configuração do cliente Windows: client1.opvn

client

dev tun1

dev-node openVPN

proto udp

remote public-ip-address-of-my-server 1194

Gateway padrão fictício para contornar a rede não identificada do Windows '/' rede desconhecida ':

route-metric 50 route 0.0.0.0 0.0.0.0 10.240.43.1

resolv-retry infinite

nobind

persist-key persist-tun

ca "C:\Program Files (x86)\OpenVPN\config\ca.crt" cert "C:\Program Files (x86)\OpenVPN\config\client1.crt" key "C:\Program Files (x86)\OpenVPN\config\client1.key"

ns-cert-type server

tls-auth "C:\Program Files (x86)\OpenVPN\config\ta.key" 1

comp-lzo verb 3

saída da impressão de rota -4 no cliente Windows quando o openVPN está conectado e o endereço IP é atribuído:

===========================================================================
Schnittstellenliste
 22...00 ff 14 5f fc a5 ......TAP-Windows Adapter V9
 21...00 ff 8a b4 4f 15 ......TeamViewer VPN Adapter
 16...00 18 de 68 09 6c ......Intel(R) PRO/Wireless 3945ABG-Netzwerkverbindug
 11...00 15 c5 b7 7d 12 ......Broadcom 440x 10/100-integrierter Controller
  1...........................Software Loopback Interface 1
 18...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter
 19...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 15...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #2
 17...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #4
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.72     20
          0.0.0.0          0.0.0.0      10.240.43.1      10.240.43.8     50
      10.240.43.0    255.255.255.0   Auf Verbindung       10.240.43.8    286
      10.240.43.8  255.255.255.255   Auf Verbindung       10.240.43.8    286
    10.240.43.255  255.255.255.255   Auf Verbindung       10.240.43.8    286
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      192.168.1.0    255.255.255.0   Auf Verbindung      192.168.1.72    276
     192.168.1.72  255.255.255.255   Auf Verbindung      192.168.1.72    276
    192.168.1.255  255.255.255.255   Auf Verbindung      192.168.1.72    276
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.1.72    276
        224.0.0.0        240.0.0.0   Auf Verbindung       10.240.43.8    286
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306    
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.1.72    276
  255.255.255.255  255.255.255.255   Auf Verbindung       10.240.43.8    286
===========================================================================
Ständige Routen:
  Keine

Saída do log de status do openVPN quando conectado ao servidor:

Sat Jan 19 23:21:17 2013 OpenVPN 2.3.0 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Jan  8 2013
Sat Jan 19 23:21:17 2013 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Sat Jan 19 23:21:17 2013 Need hold release from management interface, waiting...
Sat Jan 19 23:21:17 2013 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Sat Jan 19 23:21:17 2013 MANAGEMENT: CMD 'state on'
Sat Jan 19 23:21:17 2013 MANAGEMENT: CMD 'log all on'
Sat Jan 19 23:21:18 2013 MANAGEMENT: CMD 'hold off'
Sat Jan 19 23:21:18 2013 MANAGEMENT: CMD 'hold release'
Sat Jan 19 23:21:18 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Jan 19 23:21:18 2013 Control Channel Authentication: using 'C:\Program Files (x86)\OpenVPN\config\ta.key' as a OpenVPN static key file
Sat Jan 19 23:21:18 2013 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jan 19 23:21:18 2013 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jan 19 23:21:18 2013 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Jan 19 23:21:18 2013 UDPv4 link local: [undef]
Sat Jan 19 23:21:18 2013 UDPv4 link remote: [AF_INET][[public server ip]]:1194
Sat Jan 19 23:21:18 2013 MANAGEMENT: >STATE:1358634078,WAIT,,,
Sat Jan 19 23:21:18 2013 MANAGEMENT: >STATE:1358634078,AUTH,,,
Sat Jan 19 23:21:18 2013 TLS: Initial packet from [AF_INET][[public server ip]]:1194, sid=473dff0c 89fc085c
Sat Jan 19 23:21:18 2013 VERIFY OK: depth=1, C=AT, ST=Tyrol, L=Innsbruck, O=[[custom company name]], OU=General, CN=openvpn-eq, name=openvpn-[[custom name]], emailAddress=[[custom mail address]]
Sat Jan 19 23:21:18 2013 VERIFY OK: nsCertType=SERVER
Sat Jan 19 23:21:18 2013 VERIFY OK: depth=0, C=AT, ST=Tyrol, L=Innsbruck, O=[[custom company name]], OU=General, CN=openvpn-eq, name=openvpn-[[custom name]], emailAddress=[[custom mail address]]
Sat Jan 19 23:21:19 2013 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jan 19 23:21:19 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jan 19 23:21:19 2013 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jan 19 23:21:19 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jan 19 23:21:19 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sat Jan 19 23:21:19 2013 [openvpn-eq] Peer Connection Initiated with [AF_INET][[public server ip]]3:1194
Sat Jan 19 23:21:20 2013 MANAGEMENT: >STATE:1358634080,GET_CONFIG,,,
Sat Jan 19 23:21:22 2013 SENT CONTROL [openvpn-eq]: 'PUSH_REQUEST' (status=1)
Sat Jan 19 23:21:22 2013 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 10.240.43.1,route-gateway 10.240.43.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.240.43.8 255.255.255.0'
Sat Jan 19 23:21:22 2013 OPTIONS IMPORT: timers and/or timeouts modified
Sat Jan 19 23:21:22 2013 OPTIONS IMPORT: --ifconfig/up options modified
Sat Jan 19 23:21:22 2013 OPTIONS IMPORT: route-related options modified
Sat Jan 19 23:21:22 2013 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sat Jan 19 23:21:22 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sat Jan 19 23:21:22 2013 MANAGEMENT: >STATE:1358634082,ASSIGN_IP,,10.240.43.8,
Sat Jan 19 23:21:22 2013 open_tun, tt->ipv6=0
Sat Jan 19 23:21:22 2013 TAP-WIN32 device [openVPN] opened: \.\Global\{145FFCA5-1EBD-49E6-9CA2-42B832968EFE}.tap
Sat Jan 19 23:21:22 2013 TAP-Windows Driver Version 9.9 
Sat Jan 19 23:21:22 2013 Set TAP-Windows TUN subnet mode network/local/netmask = 10.240.43.0/10.240.43.8/255.255.255.0 [SUCCEEDED]
Sat Jan 19 23:21:22 2013 Notified TAP-Windows dºÀRr
Sat Jan 19 23:21:22 2013 Successful ARP Flush on interface [22] {145FFCA5-1EBD-49E6-9CA2-42B832968EFE}
Sat Jan 19 23:21:27 2013 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Sat Jan 19 23:21:27 2013 MANAGEMENT: >STATE:1358634087,ADD_ROUTES,,,
Sat Jan 19 23:21:27 2013 C:\Windows\system32\route.exe ADD 0.0.0.0 MASK 0.0.0.0 10.240.43.1 METRIC 50
Sat Jan 19 23:21:27 2013 Route addition via IPAPI succeeded [adaptive]
Sat Jan 19 23:21:27 2013 Initialization Sequence Completed
Sat Jan 19 23:21:27 2013 MANAGEMENT: >STATE:1358634087,CONNECTED,SUCCESS,10.240.43.8,[[public server ip]]

Rotas do servidor:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.233.133.2    *               255.255.255.255 UH    0      0        0 tun1
10.241.162.2    *               255.255.255.255 UH    0      0        0 *
static.88-198-1 gw.netcup.net   255.255.255.255 UGH   0      0        0 eth0
10.240.43.2     *               255.255.255.255 UH    0      0        0 tun1
xx.xx.xx.xx     *               255.255.255.192 U     0      0        0 eth0
10.233.133.0    10.233.133.2    255.255.255.0   UG    0      0        0 tun1
xx.xx.228.0     *               255.255.254.0   U     0      0        0 eth0
xx.xx.240.0     *               255.255.252.0   U     0      0        0 eth0
xx.xx.232.0     *               255.255.248.0   U     0      0        0 eth0
10.20.0.0       *               255.255.0.0     U     0      0        0 *
default         gw.netcup.net   0.0.0.0         UG    0      0        0 eth0
    
por hajn 19.01.2013 / 23:47

2 respostas

0

Essa pode não ser a solução desejada, mas posso rastrear o problema até apenas

    
por 28.02.2013 / 20:59
0

Você executou o openvpngui como administrador? (clique direito, execute como administrador)? Seu erro comum, como adicionar rotas, requer privilégios elevados. (no Windows Vista / 7/8, claro).

    
por 28.02.2013 / 14:24