web-dev-qa-db-ja.com

openvpn:接続が確立されましたが、サーバーのtunインターフェースにpingできません(debianサーバー、Windows、OS Xクライアント)

私の目標:

Debian squeezeを実行しているnetcup社のvServerにopenVPNをセットアップしたい。クライアントからサーバーへのVPN接続のみが必要です。クライアントはお互いを見ることができないはずです。また、サーバーは他のサービスへのゲートウェイとして機能する必要はありません。

私の設定:

1 Debian squeeze vServer、3 Windows 7クライアント、2 OS X Lionクライアント、クライアントはすべて私の192.168.xxホームサブネットにあります。サーバーのファイアウォールにはまだ制限が設定されていません。クライアントのファイアウォールは発信接続をブロックしません。この投稿に従って例外としてICMPv4プロトコルを追加しました: OpenVPNサーバーはクライアントにpingできません 。サブネットには、WLANルーターと、インターネットプロバイダーへのゲートウェイであるfritz.boxルーターがあります。 WLANルーターにはファイアウォールがありますが、制限も設定されていません。

私の制限:

これは仮想サーバーであるため、openVPNサーバーが実行されている制限があります。1)tunデバイス "tun1"を最初にロック解除し、固定アドレス(10.240.43.1)を割り当てなければなりません。これは、2)ifconfigの変更により変更できません。 IPテーブルと同様に許可されていません(これは仮想テクノロジが複数の顧客に対して1つのカーネルを使用しているため、1人の顧客が設定を変更できないためです)、つまり3)IPv4転送を有効/無効にできない(はいI rootとしてログインしています)、ほぼ同じですが少し異なる問題のある50件以上の投稿をすでに見つけたので、これを言っています。

これまでのところ:

クライアントは、Windows 7およびOS X LionのopenVPN GUIクライアントを介してdebianマシンのopenVPNサーバーに接続でき、クライアントは目的のサブネット(10.240.43.x)でIPアドレスを割り当てられ、ログにはエラーが示されません。最後に例を掲載します。

いったい何がうまくいったか(そしてこれが私を狂わせている):

2番目のWindows 7クライアントでopenVPNをセットアップすると、接続が確立され、IPアドレスが割り当てられ、クライアントはtunインターフェースのアドレスでサーバーにpingを実行できます。同じMacbookでOS Xを起動して設定しましたが動作しませんでした。翌日Windows 7を起動したときに、openvpnのserver.confまたはクライアント構成で何も変更していなかったので、他のWindows 7およびOS Xクライアントと同じ悲惨さを抱えていました。これは、少なくとも設定が少なくとも一度は問題なかったに違いないことを意味します。それ以来、私は何が起こったのかを理解しようとしているので、誰かが私に何か間違ったことを教えてもらえれば幸いです(私はこれはまだ新しいですが、英語も私の第一言語ではありません)

正しく構成されたopenVPN接続について読んだ内容に基づいて、何が機能するか:

ping。クライアントから10.240.43.1(サーバーのtunインターフェースIP)またはサーバーから10.240.43.xx(<-クライアントIP)にpingを送信します。サーバーがクライアントまたはサーバーにpingを実行するときにタイムアウトが発生します。また、tracert(Windowsの場合)を実行すると、最初のノードに到達しません。理解できれば、fritz.boxルーターになります。それは正しく。また、openVPNに接続しているときに別のパブリックIPアドレスを使用する必要があることも読みましたが、取得できません。プロバイダーから取得した動的アドレスと同じままです。注Windowsがクライアントを認識できないネットワークとして処理しないように、Windowsのクライアント構成ファイルにカスタム構成を追加しましたが、これは実際に機能しました。ただし、これで問題が解決するわけではありません。関連するすべての投稿を実際に試してみたので、別の「類似した」質問にリダイレクトしないでください。

編集:特にこの1つ: OpenVPN構成-Windows 7クライアント&debianサーバー 、貧しい人は単一の応答すら得られず、コメントのみが返されます。しかし、彼は非常によく似ていますが、同じではありません問題..

前もって感謝します!

debian Squeezeのserver.conf

ポート1194 proto udp

-10.x.x.xは昇順のアドレスです。

トポロジーサブネット

開発tun1

-ifconfig操作を防止するか、サーバーでopenvpnデーモンを再起動するとエラーが発生します-サーバーにルートを追加できません。

ifconfig-noexec route-noexec

ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key dh/etc/openvpn /easy-rsa/keys/dh1024.pem

サーバー10.240.43.0 255.255.255.0

ifconfig-pool-persist ipp.txt

「dhcp-option DNS 10.240.43.1」をプッシュしてください;「route 10.240.43.0 255.255.255.0 "をプッシュしてください;「redirect-gateway def1」をプッシュしてください

キープアライブ10 120

tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0 comp-lzo

ユーザーnobodyグループnobody

persist-key persist-tun status openvpn-status.log verb 3

Windowsクライアント構成の一例:client1.opvn

クライアント

開発tun1

開発ノードopenVPN

proto udp

リモートサーバーのパブリックIPアドレス1194

Windowsの「不明なネットワーク」/「不明なネットワーク」を回避するためのダミーのデフォルトゲートウェイ:

ルートメトリック50ルート0.0.0.0 0.0.0.0 10.240.43.1

解決再試行無限

バインドしない

永続キー永続化tun

ca "C:\ Program Files(x86)\ OpenVPN\config\ca.crt" cert "C:\ Program Files(x86)\ OpenVPN\config\client1.crt" key "C:\ Program Files(x86)\ OpenVPN\config\client1.key "

ns-cert-typeサーバー

tls-auth "C:\ Program Files(x86)\ OpenVPN\config\ta.key" 1

comp-lzo動詞3

openVPNが接続され、IPアドレスが割り当てられている場合のWindowsクライアントでのルートプリント-4の出力:

===========================================================================
Schnittstellenliste
 22...00 ff 14 5f fc a5 ......TAP-Windows Adapter V9
 21...00 ff 8a b4 4f 15 ......TeamViewer VPN Adapter
 16...00 18 de 68 09 6c ......Intel(R) PRO/Wireless 3945ABG-Netzwerkverbindug
 11...00 15 c5 b7 7d 12 ......Broadcom 440x 10/100-integrierter Controller
  1...........................Software Loopback Interface 1
 18...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter
 19...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 15...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #2
 17...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #4
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.72     20
          0.0.0.0          0.0.0.0      10.240.43.1      10.240.43.8     50
      10.240.43.0    255.255.255.0   Auf Verbindung       10.240.43.8    286
      10.240.43.8  255.255.255.255   Auf Verbindung       10.240.43.8    286
    10.240.43.255  255.255.255.255   Auf Verbindung       10.240.43.8    286
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      192.168.1.0    255.255.255.0   Auf Verbindung      192.168.1.72    276
     192.168.1.72  255.255.255.255   Auf Verbindung      192.168.1.72    276
    192.168.1.255  255.255.255.255   Auf Verbindung      192.168.1.72    276
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.1.72    276
        224.0.0.0        240.0.0.0   Auf Verbindung       10.240.43.8    286
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306    
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.1.72    276
  255.255.255.255  255.255.255.255   Auf Verbindung       10.240.43.8    286
===========================================================================
Ständige Routen:
  Keine

サーバーに接続したときのopenVPNステータスログの出力:

Sat Jan 19 23:21:17 2013 OpenVPN 2.3.0 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Jan  8 2013
Sat Jan 19 23:21:17 2013 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Sat Jan 19 23:21:17 2013 Need hold release from management interface, waiting...
Sat Jan 19 23:21:17 2013 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Sat Jan 19 23:21:17 2013 MANAGEMENT: CMD 'state on'
Sat Jan 19 23:21:17 2013 MANAGEMENT: CMD 'log all on'
Sat Jan 19 23:21:18 2013 MANAGEMENT: CMD 'hold off'
Sat Jan 19 23:21:18 2013 MANAGEMENT: CMD 'hold release'
Sat Jan 19 23:21:18 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Jan 19 23:21:18 2013 Control Channel Authentication: using 'C:\Program Files (x86)\OpenVPN\config\ta.key' as a OpenVPN static key file
Sat Jan 19 23:21:18 2013 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jan 19 23:21:18 2013 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jan 19 23:21:18 2013 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Jan 19 23:21:18 2013 UDPv4 link local: [undef]
Sat Jan 19 23:21:18 2013 UDPv4 link remote: [AF_INET][[public server ip]]:1194
Sat Jan 19 23:21:18 2013 MANAGEMENT: >STATE:1358634078,WAIT,,,
Sat Jan 19 23:21:18 2013 MANAGEMENT: >STATE:1358634078,AUTH,,,
Sat Jan 19 23:21:18 2013 TLS: Initial packet from [AF_INET][[public server ip]]:1194, sid=473dff0c 89fc085c
Sat Jan 19 23:21:18 2013 VERIFY OK: depth=1, C=AT, ST=Tyrol, L=Innsbruck, O=[[custom company name]], OU=General, CN=openvpn-eq, name=openvpn-[[custom name]], emailAddress=[[custom mail address]]
Sat Jan 19 23:21:18 2013 VERIFY OK: nsCertType=SERVER
Sat Jan 19 23:21:18 2013 VERIFY OK: depth=0, C=AT, ST=Tyrol, L=Innsbruck, O=[[custom company name]], OU=General, CN=openvpn-eq, name=openvpn-[[custom name]], emailAddress=[[custom mail address]]
Sat Jan 19 23:21:19 2013 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jan 19 23:21:19 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jan 19 23:21:19 2013 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jan 19 23:21:19 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jan 19 23:21:19 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sat Jan 19 23:21:19 2013 [openvpn-eq] Peer Connection Initiated with [AF_INET][[public server ip]]3:1194
Sat Jan 19 23:21:20 2013 MANAGEMENT: >STATE:1358634080,GET_CONFIG,,,
Sat Jan 19 23:21:22 2013 SENT CONTROL [openvpn-eq]: 'Push_REQUEST' (status=1)
Sat Jan 19 23:21:22 2013 Push: Received control message: 'Push_REPLY,dhcp-option DNS 10.240.43.1,route-gateway 10.240.43.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.240.43.8 255.255.255.0'
Sat Jan 19 23:21:22 2013 OPTIONS IMPORT: timers and/or timeouts modified
Sat Jan 19 23:21:22 2013 OPTIONS IMPORT: --ifconfig/up options modified
Sat Jan 19 23:21:22 2013 OPTIONS IMPORT: route-related options modified
Sat Jan 19 23:21:22 2013 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sat Jan 19 23:21:22 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sat Jan 19 23:21:22 2013 MANAGEMENT: >STATE:1358634082,ASSIGN_IP,,10.240.43.8,
Sat Jan 19 23:21:22 2013 open_tun, tt->ipv6=0
Sat Jan 19 23:21:22 2013 TAP-WIN32 device [openVPN] opened: \\.\Global\{145FFCA5-1EBD-49E6-9CA2-42B832968EFE}.tap
Sat Jan 19 23:21:22 2013 TAP-Windows Driver Version 9.9 
Sat Jan 19 23:21:22 2013 Set TAP-Windows TUN subnet mode network/local/netmask = 10.240.43.0/10.240.43.8/255.255.255.0 [SUCCEEDED]
Sat Jan 19 23:21:22 2013 Notified TAP-Windows dºÀRr
Sat Jan 19 23:21:22 2013 Successful ARP Flush on interface [22] {145FFCA5-1EBD-49E6-9CA2-42B832968EFE}
Sat Jan 19 23:21:27 2013 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Sat Jan 19 23:21:27 2013 MANAGEMENT: >STATE:1358634087,ADD_ROUTES,,,
Sat Jan 19 23:21:27 2013 C:\Windows\system32\route.exe ADD 0.0.0.0 MASK 0.0.0.0 10.240.43.1 METRIC 50
Sat Jan 19 23:21:27 2013 Route addition via IPAPI succeeded [adaptive]
Sat Jan 19 23:21:27 2013 Initialization Sequence Completed
Sat Jan 19 23:21:27 2013 MANAGEMENT: >STATE:1358634087,CONNECTED,SUCCESS,10.240.43.8,[[public server ip]]

サーバールート:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.233.133.2    *               255.255.255.255 UH    0      0        0 tun1
10.241.162.2    *               255.255.255.255 UH    0      0        0 *
static.88-198-1 gw.netcup.net   255.255.255.255 UGH   0      0        0 eth0
10.240.43.2     *               255.255.255.255 UH    0      0        0 tun1
xx.xx.xx.xx     *               255.255.255.192 U     0      0        0 eth0
10.233.133.0    10.233.133.2    255.255.255.0   UG    0      0        0 tun1
xx.xx.228.0     *               255.255.254.0   U     0      0        0 eth0
xx.xx.240.0     *               255.255.252.0   U     0      0        0 eth0
xx.xx.232.0     *               255.255.248.0   U     0      0        0 eth0
10.20.0.0       *               255.255.0.0     U     0      0        0 *
default         gw.netcup.net   0.0.0.0         UG    0      0        0 eth0
openvpnpingtun
5
hajn

これは望ましいソリューションではないかもしれませんが、問題を追跡することはできます 1つのキー/証明書のペアがソリューションを適切に機能している 私にとっては、Linux-vServer仮想化技術からKVMを使用したいtunデバイスを自分で制御できるようになり、すべてのクライアント(ウィンドウ、OS X ..)が問題なく接続してサーバーのサービスにアクセスできるようになったため、すべての問題を解決したベースの手法。

0
hajn

管理者としてopenvpnguiを実行しましたか? (右クリック、管理者として実行)?ルートを追加する際の一般的なエラーには、昇格された特権が必要です。 (もちろんWindows Vista/7/8で)。

0
apagr