Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Администрирование » Сети
Страницы: 1
RSS
не поднимается OpenVPN os Ubuntu
 
#1
Это нравится:0Да/0Нет
26.11.2010 14:37:52
Добрый день. Помогите пожалуйста поднять впн между VPN сервером на базе openVPN OS Ubuntu и OpenVPN клиентом на OS Ubuntu 10.04 amd64

Описание задачи: имеется удаленный сервер с ОС ubuntu на который установлен openvpn
Код
apt-get install openvpn

сгенерировал ключи и сертификаты ( srver.crt. | server.key | clietnt.crt | clietn.key | ca.crt | ca.key | dh1024.pem | ta.key )
приписал серверу конфиг /etc/openvpn/server.conf , его листинг приведен ниже:
Код
port 1194
proto udp
dev tun
local xxx.xxx.xxx.xxx ( IP_АДРЕС_ВДС )
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 10.8.0.0 255.255.255.0 10.8.0.1"

push "redirect-gateway def1"
push "dhcp-option DNS 10.8.0.1"
push "dhcp-option WINS 10.8.0.1"
push "redirect-gateway"

route 10.8.0.1 255.255.255.0
client-config-dir /etc/openvpn/ccd

keepalive 10 30
comp-lzo
user nobody
group nogroup
persist-key
persist-tun

status /etc/openvpn/openvpn-status.log
log /etc/openvpn/openvpn.log


в директории /etc/openvpn/ccd создан файл /etc/openvpn/ccd/client с названием соответсвтвующим названию клиентской машины при генерации сертификатов
Код
iroute 10.8.0.1 255.255.255.0


построутинг на сервере включен
в iptables сервера было добавлено правило:
Код
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j SNAT --to-source xxx.xxx.xxx.xxx (внешний IP_АДРЕС vds)



локальная машина имеет выход в сеть через ADSL модем , ip динамический
На локальной машине установлена Ubuntu 10.04 на ней установлен openvpn
Код
apt-get install openvpn

с сервера перенесены необходимые файлы ключей ( clietnt.crt | clietn.key | ca.crt | ta.key )
конфиг клиента /etc/openvpn/client.conf
Код
client
port 1194
dev tun
proto udp
remote xxx.xxx.xxx.xxx zzzz ( IP_АДРЕС_ВДС ПОРТ)
resolv-retry infinite
mute-replay-warnings

persist-key
persist-tun

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/client.crt
key /etc/openvpn/keys/client.key

comp-lzo
verb 4
log /etc/openvpn/openvpn.log

При запуске на сервере
Код
/etc/init.d/openvpn start

сервер стартует, старт openvpn клиент также удается произвести, но при прослушивании интерфейса tun0 в wireshark (на клиенте) там тишина
ifconfig на клиенте выводит что tun0 создается
Код
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
inet addr:10.8.0.6 P-t-P:10.8.0.5 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100 
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)


но трафик через tun0 не идет, вернее идут одни запросы к DNS такого типа
Код
43   26.670671   10.8.0.6   213.179.249.137   DNS   Standard query A www.google.com
44   26.670720   10.8.0.6   213.179.249.137   DNS   Standard query A www.google.com

, а при прослушивании интерфейса ррр0 в вайршарке попадаются только единичные пакеты такого типа:
Код
7   9.780304   ххх.ххх.ххх.ххх(ип сервера)   yyy.yyy.yyy.yyy (мой ип выданный провайдером)   TCP   scol > 51324 [PSH, ACK] Seq=56 Ack=56 Win=96 Len=55 TSV=157179262 TSER=10468453
84   81.977830   yyy.yyy.yyy.yyy (мой ип выданный провайдером)   ххх.ххх.ххх.ххх(ип сервера)   TCP   51324 > scol [ACK] Seq=441 Ack=496 Win=146 Len=0 TSV=10476225 TSER=157197310


В логе сервера (/etc/openvpn/openvpn.log) такие записи:
Код
Fri Nov 26 13:31:51 2010 us=683711 client/yyy.yyy.yyy.yyy(внешний ип клиентской машины):1194 MULTI: bad source address from client [yyy.yyy.yyy.yyy(внешний ип клиентской машины)], packet dropped
Fri Nov 26 13:31:54 2010 us=223564 client/yyy.yyy.yyy.yyy(внешний ип клиентской машины):1194 MULTI: bad source address from client [yyy.yyy.yyy.yyy(внешний ип клиентской машины)], packet dropped
Fri Nov 26 13:32:23 2010 us=185673 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Fri Nov 26 13:32:33 2010 us=357505 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Fri Nov 26 13:32:43 2010 us=896745 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)


уважаемые гуру помогите разобраться с настройкой vpn-туннеля так как у самого вариантов нет, перепробовал все что мог.
PS. тему с аналогичной ошибкой на вашем форуме просмотрел и пробовал по ней скорректировать настройки но не помогло, потому эту тему создал.
Изменено: jimm44 jimmie - 26.11.2010 14:41:19
 
 
 
#2
Это нравится:0Да/0Нет
26.11.2010 16:08:47
http://www.void.gr/kargig/blog/2008/05/17/openvpn-multi-bad-source-address-from-client-solution/
И как ни странно - тут http://www.securitylab.ru/forum/forum21/topic42044/
Если вкратце - то chmod 755 (может 777) /etc/openvpn/ccd, возможно еще в довесок chmod 644 /usr/local/etc/openvpn/ccd/client (может client1).
 
 
 
#3
Это нравится:0Да/0Нет
26.11.2010 16:20:58
Роуты прописаны тоже? Покажи ему путь, может поэтому нет пакетов на интерфейсы?
Самостоятельно настроенный тоннель не поднимал, но на провайдерском
Клиенту прописываешь роуты указывая шлюз, сервер,  имя тоннеля на интерфейсе.
Destination Gateway Genmask Iface
Тут описывал на примере клиентской настройки Мандрива
А тут описано для Бубунты. Все для ISP подключения, но может пригодится.
 
 
 
#4
Это нравится:0Да/0Нет
26.11.2010 16:36:40
роуты для клиента передаю пушем с сервера (в конфиге прописаны)
насчет прав на /etc/openvpn/ccs/client сам думал, попробую права повысить, гляну что получится.

ps. по приведенным ссылкам ходил и пробовал еще вчера, но не получилось, потому и создал эту тему.
Изменено: jimm44 jimmie - 26.11.2010 16:37:52
 
 
 
Страницы: 1
Читают тему