Konfigurace openVPN - poradna.net

Zdravím všechny čtenáře,
potřeboval bych poradit s konfigurací openVPN. Doma na stolním Pc (server) se chci spojit s notebookem co je v praze (client) u obou je win7 64bit.(Chci využívat internetu co mám na stolním Pc jelikož v praze mám blokované porty). Mám nainstalovanou verzi vpn 2.2.2. Mám vytvořené klíče a hesla, port forwarding na routeru, povolen firewall. Server doma zapnu, client se s nim spojí ale neroutuje se internet (není k dispozici píše). Zkrátka jakoby ten požadavek od klienta přišel na server, ale on ten internet neuměl přeposlat zpět. Co je špatně?
Co jsem četl na ubuntu foru tak ti kteří mají server na linuxu, tak těm se o to routování internetu postará tento příkaz ($ iptables -A POSTROUTING -s 10.79.1.0/24 -o eth0 -j MASQUERADE) ale nevím jak je to u win :(

jinak přikládám výpis z konfiguraku servera:

mode server
tls-server
port 80
proto udp
dev tap
# adresa serveru
ifconfig 10.10.1.100 255.255.255.0
# rozsah adres pro klienty
ifconfig-pool 10.10.1.20 10.10.1.25 255.255.255.0
# push "route 192.168.0.0 255.255.255.0"
push "dhcp-option DNS 192.168.0.1"
push "route-gateway 10.10.1.100"
push "redirect-gateway"
client-to-client
keepalive 10 120
# soucasne prihlaseni vice klientu
duplicate-cn
# certifikat certifikacni autority
ca ca.crt
# certifikat serveru
cert server.crt
# klic serveru
key server.key
# parametry pro Diffie-Hellman protokol
dh dh1024.pem
# status serveru
#status /var/run/vpn.status 10
# uzivatel pod kterym bezi server
#user nobody
# skupina pod kterou bezi server
#group nogroup
# udrzuje spojeni nazivu, 10 (ping) a 120 (ping-restart)
keepalive 10 120
comp-lzo
verb 3

Děkuji za odpověď

Předmět	Autor	Datum
Při diagnostice připojení "Pičítač je pravděpodobně správně nakonfigurován, ale zařízení nebo prostř… Sam33 11.11.2012 14:15	Sam33	11.11.2012 14:15
Skús si nastaviť dns v konfigu na 208.67.222.222 fleg-mt 11.11.2012 17:37	fleg-mt	11.11.2012 17:37
Jak jsi na to přišel ? mohu to vyzkoušet, takže pouze zaměním v konfigu servera z push "dhcp-option… Sam33 11.11.2012 21:15	Sam33	11.11.2012 21:15
OMG. Brána a DNS jsou dvě rozdílné věci. Routování máš v těch pakostnicových woknech zapnuto? touchwood 11.11.2012 22:56	touchwood	11.11.2012 22:56
Pardon, :-) ano toto mám zaplé... zkusím tam nastavit tedy to dns Sam33 12.11.2012 12:08	Sam33	12.11.2012 12:08
a routovací tabulky jsi zkontroloval? Technicky by to snad mělo fungovat, pokud jsi NEvyplnil u Open… touchwood 12.11.2012 12:27	touchwood	12.11.2012 12:27
Routovací tabulka je zde, snad je vše správně: Microsoft Windows [Verze 6.1.7601] Copyright (c) 200… Sam33 12.11.2012 15:41	Sam33	12.11.2012 15:41
DNS jsem přepsal na to jak je mi porazeno výše a stále se nemohu spojit s klientem... v okně VPN píš… Sam33 12.11.2012 15:41	Sam33	12.11.2012 15:41
Píšeš, že v práci máš blokované porty. Jsi si jistý, že UDP port 80 máte povolený? JR_Ewing 12.11.2012 15:45	JR_Ewing	12.11.2012 15:45
byl jsem za správcem a říkal, že ano... nic méně jsem to zkoušel i doma se připojit na vnitřní síť… Sam33 12.11.2012 16:35	Sam33	12.11.2012 16:35
WSAECONNRESET 10054 Connection reset by peer. An existing connection was forcibly closed by the r… touchwood 12.11.2012 19:42	touchwood	12.11.2012 19:42
asi hloupá otázka, ale to se nenastavuje v konfigu toho servera ? :o Sam33 12.11.2012 20:50	Sam33	12.11.2012 20:50
reakce z jiného fora: Zda se to byt jasny. Pokud je stolni PC na nejaky vnitrni siti za routerem v… Sam33 12.11.2012 20:52	Sam33	12.11.2012 20:52
V router setupu mám nastaveno zatím mám jen u forwardingu vyplněno "virtual servers" (nebo tak něco… Sam33 12.11.2012 20:55	Sam33	12.11.2012 20:55
no ale to nestačí, potřebuješ ještě statickou routu. touchwood 12.11.2012 21:12	touchwood	12.11.2012 21:12
napsal jsem "route add 10.10.1.0 255.255.255.0 192.168.0.100" a výsledek : Chybný argument 192.168.0… Sam33 12.11.2012 21:49	Sam33	12.11.2012 21:49
ale v routeru, ne v počítači! ;-) touchwood 12.11.2012 21:52	touchwood	12.11.2012 21:52
Ach jaj :) Dobrá, zkusím... a ty DNS mají zůstat nevyplněné? je tam (IP,Mask,Brana,P DNS, S DNS) Sam33 12.11.2012 22:14	Sam33	12.11.2012 22:14
1. Dal jsem zpět DNS na původní hodnotu 192.168.0.1 2. V Routeru jsem nastavil Static routing na ty… Sam33 13.11.2012 18:50	Sam33	13.11.2012 18:50
já psal nějaké hodnoty? Já nepsal nic. 1. V routeru jsi měl nastavit statickou routu na 10.10.1.0/2… touchwood 13.11.2012 20:58	touchwood	13.11.2012 20:58
1. ano to jsem presne udelal... 2. mam eset smart security 5... nastavil jsem interaktivni rezim a p… Sam33 13.11.2012 22:46	Sam33	13.11.2012 22:46
cooo? jaký TCP, přece to máš nastaveno na UDP? To mi chceš tvrdit, že router ti běží na Windows a j… touchwood 13.11.2012 23:00	touchwood	13.11.2012 23:00
radsi jsem tam povolil jak tcp tak i udp... ano mám nastaveno proto udp. Ano jak říkáš... W7 a eset.… Sam33 14.11.2012 15:05	Sam33	14.11.2012 15:05
A jak na těch W7 děláš NAT do internetu? To je nejšílenější nápad, co jsem teda potkal - proč pak ne… touchwood 14.11.2012 20:37	touchwood	14.11.2012 20:37
Pokial mas spojenie rusene peerom nie je problem v dnskach. Na zaciatku si pisal, ze klient sa spoji… fleg 14.11.2012 08:23	fleg	14.11.2012 08:23
1. u routeru to mam forwardnute u virtual servers... (ale zkousel sem tam jiny nastaveni jako port t… Sam33 14.11.2012 15:11	Sam33	14.11.2012 15:11
router jsi psal výše, že je na Windows 7, teď tu zase motáš DMZ a port triggering, jako by to byla n… touchwood 14.11.2012 20:38	touchwood	14.11.2012 20:38
ano je na win7, DMZ a port triggering to byla jen zkouska protoze uz sem nevedel cim to muze bejt ta… Sam33 14.11.2012 21:58	Sam33	14.11.2012 21:58
A jakou IP má ten router? touchwood 14.11.2012 22:09	touchwood	14.11.2012 22:09
podle manualu 192.168.0.1 ale ten vypis se zda nejakej pofiderni že? Dnes až přijedu domu tak to pro… Sam33 15.11.2012 08:14	Sam33	15.11.2012 08:14
vpn server je nejlepe delat na routeru, porid si router, ktery to umi, nebo do do stavajiciho (pokud… ms-fiala 15.11.2012 08:22	ms-fiala	15.11.2012 08:22
jeho router (jak tvrdí) běží na Windows 7 ;-) (což teda nechápu, jak takovou kravinu může někdo uděl… poslední touchwood 15.11.2012 10:22	touchwood	15.11.2012 10:22
Ještě pro jistotu házím konfig clienta... client dev tap openVPN proto udp remote 178.255.169.254 8… Sam33 12.11.2012 15:43	Sam33	12.11.2012 15:43

Při diagnostice připojení "Pičítač je pravděpodobně správně nakonfigurován, ale zařízení nebo prostředek (Server DNS) neodpovídá...

Jinak spouštím jako správce, i při vypnutém smart security firewallu ten internet na toho klienta nedojde

Skús si nastaviť dns v konfigu na 208.67.222.222

Jak jsi na to přišel ? mohu to vyzkoušet, takže pouze zaměním v konfigu servera z push "dhcp-option DNS 192.168.0.1" na push "dhcp-option DNS 208.67.222.222"? nebo to mám změnit i u "push "route-gateway 10.10.1.100" ??

teď když se chci připojit z klienta tak mi to píše :

Sun Nov 11 21:13:40 2012 UDPv4 link local: [undef]
Sun Nov 11 21:13:40 2012 UDPv4 link remote: 178.255.xxx.xxx:80
Sun Nov 11 21:13:40 2012 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)

díky za rady a odpověď

OMG. Brána a DNS jsou dvě rozdílné věci.

Routování máš v těch pakostnicových woknech zapnuto?

Pardon,

ano toto mám zaplé...
zkusím tam nastavit tedy to dns

a routovací tabulky jsi zkontroloval? Technicky by to snad mělo fungovat, pokud jsi NEvyplnil u OpenVPN adaptéru výchozí bránu.

Routovací tabulka je zde, snad je vše správně:

Microsoft Windows [Verze 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Všechna práva vyhrazena.

C:\Users\Pavel>route print
================================================== =========================
Seznam rozhraní
 14...00 ff ae 81 d8 17 ......TAP-Win32 Adapter V9
 10...54 04 a6 69 08 e8 ......Realtek PCIe GBE Family Controller
  1...........................Software Loopback Interface 1
 11...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 15...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
================================================== =========================

IPv4 Směrovací tabulka
================================================== =========================
Aktivní směrování:
         Cíl v síti   Síťová maska            Brána        Rozhraní Metrika
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.100     20
        10.10.1.0    255.255.255.0       Propojené       10.10.1.100    286
      10.10.1.100  255.255.255.255       Propojené       10.10.1.100    286
      10.10.1.255  255.255.255.255       Propojené       10.10.1.100    286
        127.0.0.0        255.0.0.0       Propojené         127.0.0.1    306
        127.0.0.1  255.255.255.255       Propojené         127.0.0.1    306
  127.255.255.255  255.255.255.255       Propojené         127.0.0.1    306
      192.168.0.0    255.255.255.0       Propojené     192.168.0.100    276
    192.168.0.100  255.255.255.255       Propojené     192.168.0.100    276
    192.168.0.255  255.255.255.255       Propojené     192.168.0.100    276
        224.0.0.0        240.0.0.0       Propojené         127.0.0.1    306
        224.0.0.0        240.0.0.0       Propojené     192.168.0.100    276
        224.0.0.0        240.0.0.0       Propojené       10.10.1.100    286
  255.255.255.255  255.255.255.255       Propojené         127.0.0.1    306
  255.255.255.255  255.255.255.255       Propojené     192.168.0.100    276
  255.255.255.255  255.255.255.255       Propojené       10.10.1.100    286
================================================== =========================
Trvalé trasy:
  Žádné

DNS jsem přepsal na to jak je mi porazeno výše a stále se nemohu spojit s klientem... v okně VPN píše toto:

Mon Nov 12 15:39:40 2012 [UNDEF] Inactivity timeout (--ping-restart), restarting
Mon Nov 12 15:39:40 2012 TCP/UDP: Closing socket
Mon Nov 12 15:39:40 2012 SIGUSR1[soft,ping-restart] received, process restarting
Mon Nov 12 15:39:40 2012 Restart pause, 2 second(s)
Mon Nov 12 15:39:42 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Nov 12 15:39:42 2012 Re-using SSL/TLS context
Mon Nov 12 15:39:42 2012 LZO compression initialized
Mon Nov 12 15:39:42 2012 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Nov 12 15:39:42 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Nov 12 15:39:42 2012 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Nov 12 15:39:42 2012 Local Options hash (VER=V4): 'd79ca330'
Mon Nov 12 15:39:42 2012 Expected Remote Options hash (VER=V4): 'f7df56b8'
Mon Nov 12 15:39:42 2012 UDPv4 link local: [undef]
Mon Nov 12 15:39:42 2012 UDPv4 link remote: 178.255.169.254:80
Mon Nov 12 15:39:42 2012 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Mon Nov 12 15:39:44 2012 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Mon Nov 12 15:39:49 2012 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Mon Nov 12 15:39:57 2012 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)

Prosím o radu

Píšeš, že v práci máš blokované porty. Jsi si jistý, že UDP port 80 máte povolený?

byl jsem za správcem a říkal, že ano...

nic méně jsem to zkoušel i doma se připojit na vnitřní síť a to mě šlo, ale pak druhej den mi to házelo už chybu, že sem se nemoh spojit.
Dnes už jsem na koleji, a VPN píše tu chybu jak mám napsáno výše...udělal jsem akorád změnu v DNS.
Snad se to podaří nějak rozběhnout :(

WSAECONNRESET
10054
Connection reset by peer.
An existing connection was forcibly closed by the remote host. This normally results if the peer application on the remote host is suddenly stopped, the host is rebooted, the host or remote network interface is disabled, or the remote host uses a hard close (see setsockopt for more information on the SO_LINGER option on the remote socket). This error may also result if a connection was broken due to keep-alive activity detecting a failure while one or more operations are in progress. Operations that were in progress fail with WSAENETRESET. Subsequent operations fail with WSAECONNRESET.

http://msdn.microsoft.com/en-us/library/windows/de sktop/ms740668%28v=vs.85%29.aspx

opravdu ti na tom portu poslouchá OpenVPN?

asi hloupá otázka, ale to se nenastavuje v konfigu toho servera ? :o

reakce z jiného fora:

Zda se to byt jasny. Pokud je stolni PC na nejaky vnitrni siti za routerem v rozsahu 192.168.0.x a notas se pres VPN pripoji ke stolnimu pomoci site 10.0.1.x, tak aby mohl ven na net, musi:
a) delat NAT primo stolni PC (presne to dela ten kouzelnej linuxovej prikaz)
b) router vedet o tom, ze sit 10.0.1.0/24 je dostupna za stolnim PC, tzn. je potreba pridat cestu (staticky routovani); zaroven musi router byt ochotnej NATovat i tenhle rozsah, u neceho inteligentnejsiho neni problem to nastavit, u levnych routeru nevim jestli NATujou vsechno, nebo jen vlastni rozsah LANu, chce to zkusit
Idealni reseni je domluvit se s routerem. Kdyby to neslo, tak nejaky sdileni pripojeni (= NAT) umi i Windows, ale kdyz jsem to zkousel naposledy, bylo to takovy hodne divny. Ale je to uz dlouho, tak treba je to ve Win7 lepsi.

V router setupu mám nastaveno zatím mám jen u forwardingu vyplněno "virtual servers" (nebo tak něco tam je... ) na 80

no ale to nestačí, potřebuješ ještě statickou routu.

napsal jsem "route add 10.10.1.0 255.255.255.0 192.168.0.100" a výsledek : Chybný argument 192.168.0.100

tím pádem ten tracert -d 77.75.72.3 jsem zkoušel jen tak a "cílový hostitel není dostupný"

Píšu ten příkaz blbě nebo kde je chyba ? :o

ale v routeru, ne v počítači!

Ach jaj :)

Dobrá, zkusím... a ty DNS mají zůstat nevyplněné? je tam (IP,Mask,Brana,P DNS, S DNS)

1. Dal jsem zpět DNS na původní hodnotu 192.168.0.1
2. V Routeru jsem nastavil Static routing na ty hodnoty jak jsi napsal... enabled

bohužel žádná změna (ikdyž ona by možná byla) ale zkrátka se s tím domácím Pc nespojím stále je ikona žlutá a opakují se následující příkazy: netuším proč se s tím spojím když už se to jednou podařilo a nic jsem v nastavení neměnil...

Tue Nov 13 18:29:24 2012 [UNDEF] Inactivity timeout (--ping-restart), restarting
Tue Nov 13 18:29:24 2012 TCP/UDP: Closing socket
Tue Nov 13 18:29:24 2012 SIGUSR1[soft,ping-restart] received, process restarting
Tue Nov 13 18:29:24 2012 Restart pause, 2 second(s)
Tue Nov 13 18:29:26 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Nov 13 18:29:26 2012 Re-using SSL/TLS context
Tue Nov 13 18:29:26 2012 LZO compression initialized
Tue Nov 13 18:29:26 2012 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Nov 13 18:29:26 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue Nov 13 18:29:26 2012 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Nov 13 18:29:26 2012 Local Options hash (VER=V4): 'd79ca330'
Tue Nov 13 18:29:26 2012 Expected Remote Options hash (VER=V4): 'f7df56b8'
Tue Nov 13 18:29:26 2012 UDPv4 link local: [undef]
Tue Nov 13 18:29:26 2012 UDPv4 link remote: 178.255.169.254:80
Tue Nov 13 18:29:26 2012 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Tue Nov 13 18:29:28 2012 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Tue Nov 13 18:29:32 2012 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)

já psal nějaké hodnoty? Já nepsal nic.

1. V routeru jsi měl nastavit statickou routu na 10.10.1.0/24 s bránou 192.168.0.100 (což by měla být LAN IP adresa PC s nainstalovaným OpenVPN)

2. Zopakuji: ověř si, že díra ve firewallu před tvým VPN serverem funguje, protože podle mě nefunguje.

1. ano to jsem presne udelal...
2. mam eset smart security 5... nastavil jsem interaktivni rezim a pravidla : z obou smeru je povolen protokol tcp a udp, lokální strana - lokalni port- pridat port - 80... tak je to na obou strojich

cooo?

jaký TCP, přece to máš nastaveno na UDP? To mi chceš tvrdit, že router ti běží na Windows a ještě ke všemu s Eset Zmrd security? hm.. tak to je hustý.

radsi jsem tam povolil jak tcp tak i udp... ano mám nastaveno proto udp.
Ano jak říkáš... W7 a eset... co bys navrhoval ?

A jak na těch W7 děláš NAT do internetu? To je nejšílenější nápad, co jsem teda potkal - proč pak nerozjedeš to OpenVPN rovnou na tom routeru? Windows jako Windows.. Teda samozřejmě, pokud si nepleteš hodinky a holinky.

Pokial mas spojenie rusene peerom nie je problem v dnskach. Na zaciatku si pisal, ze klient sa spoji, tu vidime, ze uz ani to nie.
Takze:
- bud ti router neforwarduje port 80
- vpn server ti nebezi na forwardnutom porte
- firewall na routri/pc blokuje prichadzajuce spojenie
Ked vyriesis problem si spojenim mozme sa pozriet na to routovanie.

1. u routeru to mam forwardnute u virtual servers... (ale zkousel sem tam jiny nastaveni jako port trigering a dmz - jen na zkousku a pak jsem to vypl, tak je mozny ze se to tim rezesralo...)

2. to mam nasteven snad v konfiguraci ne ? mode server tls-server port 80

3. v esetu to mam povolene do obou smeru port 80

router jsi psal výše, že je na Windows 7, teď tu zase motáš DMZ a port triggering, jako by to byla nějaká levná SOHO krabička.

Zkus se trochu zamyslet a být alespoň trochu konzistentní v tom, co nám sděluješ. Díky.

ano je na win7, DMZ a port triggering to byla jen zkouska protoze uz sem nevedel cim to muze bejt tak jsem to zkusil jestli se to nahodou nerozbehne

Posílám výpis netstat :

C:\Users\Pavel>netstat

Aktivní připojení

Proto Místní adresa Cizí adresa Stav
TCP 127.0.0.1:22250 Sam:22251 NAVÁZÁNO
TCP 127.0.0.1:22251 Sam:22250 NAVÁZÁNO

A jakou IP má ten router?

podle manualu 192.168.0.1
ale ten vypis se zda nejakej pofiderni že? Dnes až přijedu domu tak to projedu tim TCPview a hodim to sem ať se už zjistím kde je ten kámen úrazu. Zatím díky

vpn server je nejlepe delat na routeru, porid si router, ktery to umi, nebo do do stavajiciho (pokud to jde) pouzij alternativni firmware s vpn serverem a mas to nastavene za 3 minuty a funkcni, nejhorsi co muze byt, je drbani levou nohou za pravym uchem, jnak to budes mit to pc zapnute nonstop?

jeho router (jak tvrdí) běží na Windows 7 (což teda nechápu, jak takovou kravinu může někdo udělat), stejně tak mu běží ve vnitřní síti na dalších Windows 7 ten OpenVPN server (opět tvrzení tazatele)

(že si myslím, že si z nás dělá (_!_) je druhá věc)

Ještě pro jistotu házím konfig clienta...

client
dev tap openVPN
proto udp
remote 178.255.169.254 80
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
ping 15
ping-restart 45
ping-timer-rem
persist-key
persist-tun
resolv-retry infinite
nobind
comp-lzo
verb 3
mute-replay-warnings

Zpět do poradny Odpovědět na původní otázku Nahoru