Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)
-   -   [решено] vpn + Windows 7 подскажите по настройке (http://forum.oszone.net/showthread.php?t=261089)

_AJ_ 23-05-2013 12:48 2154659
vpn + Windows 7 подскажите по настройке
 
Доброго времени суток уважаемые форумчане.
есть проблема с доступом по openvpn.
в наличии vpn сервер, на котором настроена локалка 192.168.10.0/24.
клиенты исключительно (7 и 2008r2)
на windows 2008r2 туннель поднимается автоматически + в фаерволе я добавил разрешающие правила на связь с vpn- сетью. 2008r2 пингует шлюз и windows 7 (назовем его manager1) - все нормально.
на одном из windows 7 (manager1) все сделал так же, только вход в vpn по паролю. шлюз пингуется, windows 2008r2 - пингутеся - связь есть.
на остальных windows 7 сделал все так же как и на windows 7-manager1, шлюз, windows 2008r2, windows 7-manager1 - не пингутется.
правила во всех фаерволах созданы одинаковые, настройки через конфигурационный файл тоже одни.
наверное надо смотреть в сторону использования сетевых утилит типа нмап.
непойму почему не идет пинг с windows 7 на windows 7 и что рубит соединение.
я -начинающий в сетях. помогите пожалуйста.

Angry Demon 23-05-2013 13:00 2154670
_AJ_, схему сети нарисуйте. Иначе совершенно неясно, кто сервер, где 2008R2, каким боком и куда manager1. И настройки OpenVPN приведите.

_AJ_ 23-05-2013 16:31 2154827
Вложений: 1
Файл 99242

вот так примерно. адреса - внутриВПНновские
пинг от manager1 192.168.10.14 проходит на 2008R2 192.168.10.10
пинг от 2008R2 192.168.10.10 проходит на manager1 192.168.10.14
пинг от boss 192.168.10.26 не проходит на 2008R2 192.168.10.10
пинг от boss 192.168.10.26 не проходит на manager1 192.168.10.14
пинг от boss 192.168.10.26 не проходит на VPN 192.168.10.1

Angry Demon 23-05-2013 18:45 2154961
_AJ_, ещё больше всё запутали... Если сверхзадача - подключаться к терминальному серверу, то почему VPN-сервер находится где-то-непонятно-где через Интернет, а не в той же сети, что и ТС?

_AJ_ 23-05-2013 19:39 2155009
Цитата:
Цитата Angry Demon
_AJ_, ещё больше всё запутали... Если сверхзадача - подключаться к терминальному серверу, то почему VPN-сервер находится где-то-непонятно-где через Интернет, а не в той же сети, что и ТС? »
было принято решение чтобы не возится с получением белого айпишника для vpn сервера - арендовать его у одного из хостеров. а терминальный сервер (как водится) может находится где угодно (и знать где он находится будет один человек).

Angry Demon 23-05-2013 22:41 2155125
_AJ_, ТС ак же цепляется к VPN-серверу с помощью OpenVPN?

_AJ_ 23-05-2013 23:15 2155139
да, ТС цепляется с помощью службы OpenVPN, которая выставлена в автозагрузку (конфиг один)
остальные клиенты - вход через OpenVPN GUI по паролю

настройки сервера OpenVPN:

читать дальше »
port 25655
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 192.168.10.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
client-to-client
keepalive 10 120
cipher DES-EDE3-CBC # Triple-DES
comp-lzo
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
log-append openvpn.log
verb 3


настройки клиента OpenVPN:

читать дальше »

client
dev tun
proto tcp
remote 41.31.117.10 25655
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
pkcs12 vpn.test.p12
ns-cert-type server
cipher DES-EDE3-CBC
comp-lzo
verb 3

Angry Demon 24-05-2013 07:45 2155237
_AJ_, на проблемных машинах пробовали отключать файволлы/брандмауэры и удалять антивирусы?

OpenVPN GUI никаких ошибок не выдаёт?

slava007 24-05-2013 14:02 2155446
_AJ_, а сертификаты на клиентах у вас разные?
покажите лог openvpn клиента с которого не пингуется сервер.

_AJ_ 24-05-2013 14:29 2155466
сертификаты на клиентах разные. лог выложу в понедельник утром

на проблемных машинах отключал фаерволы, у всех установлен нод32 - выключал и его.
результат - ничего не поменялось.

на проблемных машинах ВПН вроди соединяется . я вижу это по OpenVPN GUI - пишется , что подключено с айпишником + в свойствах тап адаптера пишет, что есть айпишник и все остальные настройки, которые указаны в конфигах ВПНсервера. то есть проблема в самой семерке.

_AJ_ 29-05-2013 21:38 2158814
уже потихоньку сдают нервы. вчера заходил проверил - подключился к впн сети, подключился к удаленному рабочему столу через ip, который дан 2008R2 внутри впн (192.168.10.10). сегодня захожу в сеть впн - пустило (адрес выдался, на тап адаптере адрес тот же, что и показал опенВПН_ГУИ), но отказывается подключать 2008R2 внутри впн (192.168.10.10). по обычной локалке (wifi) подключается. не пойму что произошло, наверное что-то рубит соединение. но это не фаервол. может точка доступа (dir 615 - прошивка 5.11 последняя)?? подскажите пожалуйста, что может блокировать соединение (пинг в том числе) мозг уже кипит.

клиент - ноут сони вайо с вин 7 домашняя расширенная (один раз подключился к 2008r2 через впн соединение). не пингует шлюз 192.168.10.1 ( но пингует белый айпиник ВПН-сервера 41.31.117.10)

логи удачного (из дому 192.168.10.6) и неудачного (с работы 192.168.10.26) подключения к сети ВПН:

1)
Удачный

Wed May 29 21:27:25 2013 OpenVPN 2.3_beta1 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Sep 21 2012
Enter Management Password:
Wed May 29 21:27:25 2013 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.10:25340
Wed May 29 21:27:25 2013 Need hold release from management interface, waiting...
Wed May 29 21:27:25 2013 MANAGEMENT: Client connected from [AF_INET]127.0.0.10:25340
Wed May 29 21:27:25 2013 MANAGEMENT: CMD 'state on'
Wed May 29 21:27:25 2013 MANAGEMENT: CMD 'log all on'
Wed May 29 21:27:25 2013 MANAGEMENT: CMD 'hold off'
Wed May 29 21:27:25 2013 MANAGEMENT: CMD 'hold release'
Wed May 29 21:27:25 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed May 29 21:27:26 2013 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed May 29 21:27:26 2013 Attempting to establish TCP connection with [AF_INET]41.31.117.10:25655
Wed May 29 21:27:26 2013 MANAGEMENT: >STATE:1369852046,TCP_CONNECT,,,
Wed May 29 21:27:26 2013 TCP connection established with [AF_INET]41.31.117.10:25655
Wed May 29 21:27:26 2013 TCPv4_CLIENT link local: [undef]
Wed May 29 21:27:26 2013 TCPv4_CLIENT link remote: [AF_INET]41.31.117.10:25655
Wed May 29 21:27:26 2013 MANAGEMENT: >STATE:1369852046,WAIT,,,
Wed May 29 21:27:26 2013 MANAGEMENT: >STATE:1369852046,AUTH,,,
Wed May 29 21:27:26 2013 TLS: Initial packet from [AF_INET]41.31.117.10:25655, sid=48b86822 618ab2e6
Wed May 29 21:27:26 2013 VERIFY OK: depth=1, C=UA, ST=Kh, L=Kh, O=HTs, CN=HTs CA, emailAddress=o@gmail.com
Wed May 29 21:27:26 2013 VERIFY OK: nsCertType=SERVER
Wed May 29 21:27:26 2013 VERIFY OK: depth=0, C=UA, ST=Kh, L=Kh, O=HTs, CN=HTs CA, emailAddress=o@gmail.com
Wed May 29 21:27:27 2013 Data Channel Encrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key
Wed May 29 21:27:27 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed May 29 21:27:27 2013 Data Channel Decrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key
Wed May 29 21:27:27 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed May 29 21:27:27 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed May 29 21:27:27 2013 [server] Peer Connection Initiated with [AF_INET]41.31.117.10:25655
Wed May 29 21:27:28 2013 MANAGEMENT: >STATE:1369852048,GET_CONFIG,,,
Wed May 29 21:27:29 2013 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed May 29 21:27:30 2013 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route 192.168.10.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 192.168.10.6 192.168.10.5'
Wed May 29 21:27:30 2013 OPTIONS IMPORT: timers and/or timeouts modified
Wed May 29 21:27:30 2013 OPTIONS IMPORT: --ifconfig/up options modified
Wed May 29 21:27:30 2013 OPTIONS IMPORT: route options modified
Wed May 29 21:27:30 2013 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Wed May 29 21:27:30 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Wed May 29 21:27:30 2013 MANAGEMENT: >STATE:1369852050,ASSIGN_IP,,192.168.10.6,
Wed May 29 21:27:30 2013 open_tun, tt->ipv6=0
Wed May 29 21:27:30 2013 TAP-WIN32 device [Local Area Connection 2] opened: \\.\Global\{5C06D7BA-258D-4498-9ED0-E90809D19B4B}.tap
Wed May 29 21:27:30 2013 TAP-Windows Driver Version 9.9
Wed May 29 21:27:30 2013 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.10.6/255.255.255.252 on interface {5C06D7BA-258D-4498-9ED0-E90809D19B4B} [DHCP-serv: 192.168.10.5, lease-time: 31536000]
Wed May 29 21:27:30 2013 Successful ARP Flush on interface [15] {5C06D7BA-258D-4498-9ED0-E90809D19B4B}
Wed May 29 21:27:35 2013 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Wed May 29 21:27:35 2013 MANAGEMENT: >STATE:1369852055,ADD_ROUTES,,,
Wed May 29 21:27:35 2013 C:\Windows\system32\route.exe ADD 192.168.10.0 MASK 255.255.255.0 192.168.10.5
Wed May 29 21:27:35 2013 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Wed May 29 21:27:35 2013 Route addition via IPAPI succeeded [adaptive]
Wed May 29 21:27:35 2013 Initialization Sequence Completed
Wed May 29 21:27:35 2013 MANAGEMENT: >STATE:1369852055,CONNECTED,SUCCESS,192.168.10.6,41.31.117.10



1)
Неудачный

Mon May 27 18:59:36 2013 OpenVPN 2.3.1 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Mar 28 2013
Enter Management Password:
Wed May 29 18:59:36 2013 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Wed May 29 18:59:36 2013 Need hold release from management interface, waiting...
Wed May 29 18:59:36 2013 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Wed May 29 18:59:36 2013 MANAGEMENT: CMD 'state on'
Wed May 29 18:59:36 2013 MANAGEMENT: CMD 'log all on'
Wed May 29 18:59:36 2013 MANAGEMENT: CMD 'hold off'
Wed May 29 18:59:36 2013 MANAGEMENT: CMD 'hold release'
Wed May 29 18:59:36 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed May 29 19:00:16 2013 MANAGEMENT: CMD 'password [...]'
Wed May 29 19:00:16 2013 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Wed May 29 19:00:16 2013 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed May 29 19:00:16 2013 Attempting to establish TCP connection with [AF_INET]41.31.117.10:25655
Wed May 29 19:00:16 2013 MANAGEMENT: >STATE:1369670416,TCP_CONNECT,,,
Wed May 29 19:00:16 2013 TCP connection established with [AF_INET]41.31.117.10:25655
Wed May 29 19:00:16 2013 TCPv4_CLIENT link local: [undef]
Wed May 29 19:00:16 2013 TCPv4_CLIENT link remote: [AF_INET]41.31.117.10:25655
Wed May 29 19:00:16 2013 MANAGEMENT: >STATE:1369670416,WAIT,,,
Wed May 29 19:00:16 2013 MANAGEMENT: >STATE:1369670416,AUTH,,,
Wed May 29 19:00:16 2013 TLS: Initial packet from [AF_INET]41.31.117.10:25655, sid=525d0c40 0f5e9092
Wed May 29 19:00:17 2013 VERIFY OK: depth=1, C=UA, ST=Kh, L=Kh, O=HTs, CN=HTs CA, emailAddress=o@gmail.com
Wed May 29 19:00:17 2013 VERIFY OK: nsCertType=SERVER
Wed May 29 19:00:17 2013 VERIFY OK: depth=0, C=UA, ST=Kh, L=Kh, O=HTs, CN=HTs CA, emailAddress=o@gmail.com
Wed May 29 19:00:20 2013 Data Channel Encrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key
Wed May 29 19:00:20 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed May 29 19:00:20 2013 Data Channel Decrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key
Wed May 29 19:00:20 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed May 29 19:00:20 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed May 29 19:00:20 2013 [server] Peer Connection Initiated with [AF_INET]41.31.117.10:25655
Wed May 29 19:00:21 2013 MANAGEMENT: >STATE:1369670421,GET_CONFIG,,,
Wed May 29 19:00:22 2013 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed May 29 19:00:23 2013 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route 192.168.10.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 192.168.10.26 192.168.10.25'
Wed May 29 19:00:23 2013 OPTIONS IMPORT: timers and/or timeouts modified
Wed May 29 19:00:23 2013 OPTIONS IMPORT: --ifconfig/up options modified
Wed May 29 19:00:23 2013 OPTIONS IMPORT: route options modified
Wed May 29 19:00:23 2013 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Wed May 29 19:00:23 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Wed May 29 19:00:23 2013 MANAGEMENT: >STATE:1369670423,ASSIGN_IP,,192.168.10.26,
Wed May 29 19:00:23 2013 open_tun, tt->ipv6=0
Wed May 29 19:00:23 2013 TAP-WIN32 device [Подключение по локальной сети 2] opened: \\.\Global\{00A06091-F05F-44FC-8291-80EFD434927C}.tap
Wed May 29 19:00:23 2013 TAP-Windows Driver Version 9.9
Wed May 29 19:00:23 2013 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.10.26/255.255.255.252 on interface {00A06091-F05F-44FC-8291-80EFD434927C} [DHCP-serv: 192.168.10.25, lease-time: 31536000]
Wed May 29 19:00:23 2013 Successful ARP Flush on interface [21] {00A06091-F05F-44FC-8291-80EFD434927C}
Wed May 29 19:00:28 2013 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Wed May 29 19:00:28 2013 MANAGEMENT: >STATE:1369670428,ADD_ROUTES,,,
Wed May 29 19:00:28 2013 C:\Windows\system32\route.exe ADD 192.168.10.0 MASK 255.255.255.0 192.168.10.25
Wed May 29 19:00:28 2013 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Wed May 29 19:00:28 2013 Route addition via IPAPI succeeded [adaptive]
Wed May 29 19:00:28 2013 Initialization Sequence Completed
Wed May 29 19:00:28 2013 MANAGEMENT: >STATE:1369670428,CONNECTED,SUCCESS,192.168.10.26,41.31.117.10
Wed May 29 19:09:46 2013 C:\Windows\system32\route.exe DELETE 192.168.10.0 MASK 255.255.255.0 192.168.10.25
Wed May 29 19:09:46 2013 Route deletion via IPAPI succeeded [adaptive]
Wed May 29 19:09:46 2013 Closing TUN/TAP interface
Wed May 29 19:09:46 2013 SIGTERM[hard,] received, process exiting
Wed May 29 19:09:46 2013 MANAGEMENT: >STATE:1369670986,EXITING,SIGTERM,,


мне непонятно почему происходит такое в конце неудачного подключения

Wed May 29 19:00:28 2013 MANAGEMENT: >STATE:1369670428,ADD_ROUTES,,,
Wed May 29 19:00:28 2013 C:\Windows\system32\route.exe ADD 192.168.10.0 MASK 255.255.255.0 192.168.10.25
Wed May 29 19:00:28 2013 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Wed May 29 19:00:28 2013 Route addition via IPAPI succeeded [adaptive]
Wed May 29 19:00:28 2013 Initialization Sequence Completed
Wed May 29 19:00:28 2013 Initialization Sequence Completed
Wed May 29 19:00:28 2013 MANAGEMENT: >STATE:1369670428,CONNECTED,SUCCESS,192.168.10.26,41.31.117.10
Wed May 29 19:09:46 2013 C:\Windows\system32\route.exe DELETE 192.168.10.0 MASK 255.255.255.0 192.168.10.25
Wed May 29 19:09:46 2013 Route deletion via IPAPI succeeded [adaptive]
Wed May 29 19:09:46 2013 Closing TUN/TAP interface
Wed May 29 19:09:46 2013 SIGTERM[hard,] received, process exiting
Wed May 29 19:09:46 2013 MANAGEMENT: >STATE:1369670986,EXITING,SIGTERM,,

может ли какой либо процесс делать следующее
DELETE 192.168.10.0 MASK 255.255.255.0 192.168.10.25?? и как узнать почему выполняется эта команда в конце?

_AJ_ 30-05-2013 22:14 2159577
Оказывается имеет значение какая версия Win 7 установлена на компьютере.
В случае, если на компьютере установлена Win 7 Home (любой редакции), то OpenVPN GUI необходимо запускать с повышенными привилегиями "Запустить от имени Администратора" из контекстного меню.
В случае, если на компьютере установлена Win 7 Prof/Ult, то OpenVPN GUI можно просто запустить двойным кликом на иконке запуска приложения на рабочем столе (или из меню Пуск)

Вопрос исчерпан.
спасибо всем за внимание.


Время: 19:55.

Время: 19:55.
© OSzone.net 2001-