nyac55 Napisano Listopad 25, 2014 Zgłoś Share Napisano Listopad 25, 2014 Witam. Obecnie zajmuję się tworzeniem sieci VPN. Tworzyłem ją według poradnika:http://centos.net.pl/2012/10/26/centos-6-openvpn-2-klient-windows-7linux/Robiłem wszystko krok po kroku. Jednak usługa po wpisaniu:service openvpn startsię nie uruchamia oraz po wpisaniu:ifconfigwidzimy, że port tun "nie wstał".Mam wszystko identycznie w pliku konfiguracyjnym serv.cnf . Czy macie może jakieś porady?? Link do komentarza Udostępnij na innych stronach More sharing options...
politan Napisano Listopad 25, 2014 Zgłoś Share Napisano Listopad 25, 2014 1. Nie otrzymujesz po starcie żadnego błędu?2. "Chcę oglądać twoje logi" - pokaż zawartość:/var/log/openvpn/openvpn.log Link do komentarza Udostępnij na innych stronach More sharing options...
nyac55 Napisano Listopad 25, 2014 Autor Zgłoś Share Napisano Listopad 25, 2014 Po starcie VPN'a :service openvpn start Wyświetla mi się na czerwonoUruchamianie openVPN: [[color=#ff0000]NIEUDANE[/color]]Natmomiast po użyciu ifconfig, mam:eth0 Link encap:Ethernet HWaddr 08:00:27:E8:21:32 inet addr:10.0.2.15 Bcast:10.0.2.255 Mask:255.255.255.0 inet6 addr: fe80::a00:27ff:fee8:2132/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:165569 errors:0 dropped:0 overruns:0 frame:0 TX packets:44841 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:207899392 (198.2 MiB) TX bytes:2588712 (2.4 MiB)lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:1442 errors:0 dropped:0 overruns:0 frame:0 TX packets:1442 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:1493595 (1.4 MiB) TX bytes:1493595 (1.4 MiB)Plik log nie był utworzony w tej lokaliacji, czyli:/var/log/openvpn/openvpn.logJa po zainstalowaniu openvpn w katalogu/partycji /usr przeniosłem według poradnika do katalogu/partycji /etc...Więc ścieżki się zmieniły, lecz edytowałem jeszcze raz plik server.conf komendą:mcedit /etc/openvpn/server.confPoniżej zamieszczam zedytowany screen z pliku server.cnfhttps://www.dropbox.com/s/k0t3jjvpy58pvic/1%20konfiguracja%20pliki%20log%C3%B3w%20w%20pliku%20server-conf.png?dl=0Po edycji mogłem zapisać pliki logów w danej lokalizacji, lecz niestety zapisał mi się tylko 1 o nazwie:openvpn.logMam nadzieję, że o ten plik właśnie chodziło. Jest tam prawdopodobnie błąd związany z plikiem klucza dh2048, lecz plik tam istnieje. Standardowo w poradniku był podany klucz dh1024, lecz u mnie wygenerował się ten 2048 bitowy. Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Listopad 25, 2014 Zgłoś Share Napisano Listopad 25, 2014 Po edycji mogłem zapisać pliki logów w danej lokalizacji, lecz niestety zapisał mi się tylko 1 o nazwie:openvpn.logTo go wklej.W katalogu /etc powinno się trzymać konfiguracje, skrypty uruchomieniowe itp., ale nie kod.Trzymanie tam czegoś innego (w tym logów) jest błędem, bo wprowadza chaos.Wrzuć może lepiej link do poradnika, z którego korzystałeś, bo mam wrażenie, że coś było zrobione źle. Link do komentarza Udostępnij na innych stronach More sharing options...
nyac55 Napisano Listopad 25, 2014 Autor Zgłoś Share Napisano Listopad 25, 2014 Wszystko jest. Poradnik w 1 poście:http://centos.net.pl/2012/10/26/centos-6-openvpn-2-klient-windows-7linux/Natomiast plik logu w ostatnim:https://www.dropbox.com/s/k0t3jjvpy58pvic/1%20konfiguracja%20pliki%20log%C3%B3w%20w%20pliku%20server-conf.png?dl=0Proszę bardzo. Link do komentarza Udostępnij na innych stronach More sharing options...
politan Napisano Listopad 25, 2014 Zgłoś Share Napisano Listopad 25, 2014 Dalej nie wkleiłeś tego loga... Po wykonaniu poniższego polecenia powinieneś mieć plik log.txt w katalogu domowym, wrzuć go na pastebin.com i daj tutaj link.cat /etc/openvpn/openvpn.log > ~/log.txt Link do komentarza Udostępnij na innych stronach More sharing options...
nyac55 Napisano Listopad 25, 2014 Autor Zgłoś Share Napisano Listopad 25, 2014 http://pastebin.com/mqNbJxsvProszę plik loga. Link do komentarza Udostępnij na innych stronach More sharing options...
politan Napisano Listopad 25, 2014 Zgłoś Share Napisano Listopad 25, 2014 Wrzuć jeszcze wynik polecenia:ls -la /etc/openvpn/keys Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Listopad 25, 2014 Zgłoś Share Napisano Listopad 25, 2014 Options error: --dh fails with 'dh2048.pem': No such file or directoryCzyli program nie może znaleźć pliku z parametrami dla protokołu Diffiego-Hellmana. Plik albo nie jest wygenerowany, albo w konfiguracji masz podaną złą ścieżkę do niego.Skoro robiłeś wszystko zgodnie z tym poradnikiem, to upewnij się, że masz plik dh2048.pem w katalogu /etc/openvpn/keys oraz że w konfiguracji jest liniadh keys/dh2048.pemJeśli tak i nadal będzie to samo, to możesz spróbować zmienić to na pełną ścieżkę, czyli dh /etc/openvpn/keys/dh2048.pem Link do komentarza Udostępnij na innych stronach More sharing options...
nyac55 Napisano Listopad 25, 2014 Autor Zgłoś Share Napisano Listopad 25, 2014 @Sevard plik był, jednak w konfiguracji zamiast dh keys/dh2048.pem, było samo dh dh2048.pem, co było błędną ścieżką do pliku.Dziękuję wszystkim za pomoc. Obecnie mam jeszcze 1 problem. Doszedłem już do końca ćwiczenia, stworzyłem serwer po stronie Linuxa oraz klienta po stronie Windowsa...Połączyłem się, użyłem adresu IP serwera w Windowsie: 10.8.0.1, nie wyświetla się żaden komunikat błędu. Niestety poradnik nakazywał wejść na stronkę:http://myip.dk/,by sprawdzić nasze IP, okazało się, że mam chyba takie samo jak wcześniej, a wydawało mi się, że powinienem mieć właśnie 10.8.0.1. Czy wiecie co może być nie tak?? Link do komentarza Udostępnij na innych stronach More sharing options...
politan Napisano Listopad 26, 2014 Zgłoś Share Napisano Listopad 26, 2014 Skoro połączyłeś się z adresem IP w swojej sieci to jak ma się on zmienić w inny? Z resztą 10.8.0.1 to adres prywatny klasy A. Link do komentarza Udostępnij na innych stronach More sharing options...
nyac55 Napisano Listopad 26, 2014 Autor Zgłoś Share Napisano Listopad 26, 2014 To co mam tam wpisać? Adres 10.8.0.0, to jest prawdopodobnie adres serwera VPN, jeśli mam wpisać IP klienta w Windowsie to wpisać IP wewnętrzne czy globalne, bo chyba czegoś tutaj nie rozumiem... W poradniku pisało ADRES_IP_SERWERA[b]Konfiguracja klienta w systemie Windows 7[/b]Program klienta sciągamy ze strony [url="http://openvpn.net/index.php/open-source/downloads.html"]producenta[/url]: [url="http://swupdate.openvpn.org/community/releases/openvpn-2.2.2-install.exe"]openvpn-2.2.2-install.exe[/url]Klucze i certyfikaty [b]ca.crt, klucz_klient1.crt, klucz_klient1.key[/b] umieszczamy w katalogu:[b]C:\Program Files\OpenVPN\config\[/b], również w tym samym katalogu tworzymy plik [b]client.ovpn[/b]:clientdev tunproto udpremote ADRES_IP_SERWERA 1194resolv-retry infinitenobindpersist-keypersist-tunca ca.crtcert klucz_klient1.crtkey klucz_klient1.keyns-cert-type servercomp-lzoverb 3 Uruchamiamy klienta OpenVPN GUI klikamy connect i cieszymy się własną siecią prywatną z szyfrowaniem i kompresją w locie Takie coś było w poradniku, zamiast IP_SERWERA wpisałem 10.8.0.0, gdyż myślałem, że taki jest adres serwera. Jak mogę ew. sprawdzić IP SERWERA i się z nim poprawnie połączyć? Link do komentarza Udostępnij na innych stronach More sharing options...
politan Napisano Listopad 26, 2014 Zgłoś Share Napisano Listopad 26, 2014 Musisz wystawić serwer VPN na zewnątrz. Wtedy łączysz się z globalnym adresem IP, a po połączeniu serwer przydziela ci wewnętrzny adres IP wirtualnej sieci. Poczytaj na jakiej zasadzie działa VPN. Link do komentarza Udostępnij na innych stronach More sharing options...
nyac55 Napisano Listopad 26, 2014 Autor Zgłoś Share Napisano Listopad 26, 2014 Moje VPN to VPN typu punkt-punkt... Czy mimo tego, że uruchomiłem usługę na serwerze muszę stworzyć tunel wewnętrzny? Jak tego dokonać, bo gdy wpiszę w terminalu openvpn wyświetla się multum opcji i nie chcę czegoś zepsuć. Bardzo mi zależy, żeby przed 14.00 to skończyć. Link do komentarza Udostępnij na innych stronach More sharing options...
politan Napisano Listopad 26, 2014 Zgłoś Share Napisano Listopad 26, 2014 Nie do końca rozumiem o co ci chodzi. W pliku konfiguracyjnym serwera powinieneś dodać poniższą linijkę:local xxx.xxx.xxx.xxxa w konfiguracji klientaremote xxx.xxx.xxx.xxxGdzie xxx.xxx.xxx.xxx to twoje zewnętrzne IP. 10.8.0.0/24 to pula adresów przydzielana wszystkim klientom, którzy podłączą się do serwera VPN.Oczywiście musiałbyś mieć inny komputer, z innym IP żeby zobaczyć różnice po połączeniu. Na dodatek serwer czy komputer pełniący rolę serwera OpenVPN powinien być wystawiony w DMZ lub widoczny bezpośrednio z sieci. Link do komentarza Udostępnij na innych stronach More sharing options...
nyac55 Napisano Listopad 26, 2014 Autor Zgłoś Share Napisano Listopad 26, 2014 "zewnętrzne IP" masz na myśli IP globalne sieci w której się znajduje - IP publiczne? sprawdzałem i nie działa.Na serwerze znalazłem linijkę, w której local było zakomentowane i pisało:;local a.b.c.d, więc niżej dopisałem:local np. 217.173.198.237, natomiast w kliencie remote (już było) remote 217.173.198.237 1194Mam takie komunikaty w oknie klienta:Wed Nov 26 12:43:50 2014 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011Wed Nov 26 12:43:50 2014 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executablesWed Nov 26 12:43:50 2014 LZO compression initializedWed Nov 26 12:43:50 2014 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]Wed Nov 26 12:43:50 2014 Socket Buffers: R=[65536->65536] S=[65536->65536]Wed Nov 26 12:43:50 2014 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]Wed Nov 26 12:43:50 2014 Local Options hash (VER=V4): '41690919'Wed Nov 26 12:43:50 2014 Expected Remote Options hash (VER=V4): '530fdded'Wed Nov 26 12:43:50 2014 UDPv4 link local: [undef]Wed Nov 26 12:43:50 2014 UDPv4 link remote: 10.230.1.121:1194Wed Nov 26 12:43:50 2014 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)Wed Nov 26 12:43:53 2014 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)wcześniej przy adresie 10.8.0.0, który jak napisałeś jest błędny nie było 2 ostatnich linijek:Wed Nov 26 12:43:50 2014 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)Wed Nov 26 12:43:53 2014 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054) Link do komentarza Udostępnij na innych stronach More sharing options...
politan Napisano Listopad 26, 2014 Zgłoś Share Napisano Listopad 26, 2014 10.8.0.0 nie jest błędny, tylko ten adres powinien być nadawany dopiero po podłączeniu do serwera, a nie stosowany jako adres do połączenia. Co do aktualnych komunikatów to zmień w konfiguracji sekcje proto tak jak poniżej, i upewnij się, że masz odblokowany port na firewallu i komputer jest dostępny z zewnątrz.proto tcp Link do komentarza Udostępnij na innych stronach More sharing options...
nyac55 Napisano Listopad 26, 2014 Autor Zgłoś Share Napisano Listopad 26, 2014 Zmieniłem na:proto tcp na kliencie i na serwerze, dodałem do zapory port 1194 oraz adres 10.8.0.0 jako lokalny oraz zdalny...10.8.0.0 nie jest błędny, tylko ten adres powinien być nadawany dopiero po podłączeniu do serwera, a nie stosowany jako adres do połączenia. Jak mam to rozumieć - co mam zrobić, żeby najpierw się łączył, a dopiero później przydzielał?To co piałeś wcześniej:local xx.xx.xx.xx oraz remote xx.xx.xx.xx, dalej nie wiem jaki adres -> pisałeś, że adres zewnętrzny, lecz czy jest to adres eth0, tun0 maszyny wirtualnej? czy może IP hosta, na którym pracuje (1 jest jeśli wpiszemy ipconfig /all na interfejsie z którego korzystam, a 2 globalny całej sieci "widziany z zewnątrz")? Link do komentarza Udostępnij na innych stronach More sharing options...
politan Napisano Listopad 26, 2014 Zgłoś Share Napisano Listopad 26, 2014 Jak mam to rozumieć - co mam zrobić, żeby najpierw się łączył, a dopiero później przydzielał?Połączenie VPN polega na tym, że komputer łączący się z zewnątrz do sieci lokalnej, w której jest serwer VPN był przeźroczysty pod względem przesyłania pakietów. Najprostszy przykład - Jest firma, w której pracuje Jan Kowalski. Janek w pracy posiada stacjonarny komputer podłączony do sieci LAN, w której pracodawca udostępnia różne zmapowane jako dyski zasoby. Również pracownicy udostępniają tylko między sobą (a więc siecią LAN) foldery, na których pracują. Jan dostaje od pracodawcy polecenie wyjazdu służbowego za granice, jednak potrzebuje na bieżąco mieć dostęp do zasobów znajdujących się w sieci LAN. Dzwoniąc do IT dowiaduje się, że w firmie funkcjonuje OpenVPN oparty na użytkowniku i haśle, a on widnieje jak ten, który ma do niego dostęp. Tak więc Janek instaluje na komputerze klienta OpenVPN, jedzie do USA i inicjuje połączenie z serwerem OpenVPN, którego IP dostał wcześniej od pracowników działu IT. Po podaniu nazwy użytkownika i hasła Jan uzyskuje pełen dostęp do zasobów sieci LAN. Jest daleko po za krajem a jednak pracuje w sieci LAN w Polsce. Jak to się dzieję? Serwer OpenVPN odbierając połączenie z poprawnie zalogowanym klientem nadaje mu wirtualny adres IP (np. 10.8.0.15), tylko po to, żeby Janek znalazł się w sieci LAN. Stąd wziął się ten 10.8.0.0, nikt się z nim nie łączy, to serwer przydziela go klientowi już po podłączeniu.Co do typów adresów:publiczny -> zewnętrzny - adres IP widoczny od strony WAN, czyli ten nadany przez twojego ISPprywatny -> wewnętrzny - adres IP widoczny tylkow obrębie sieci LAN, czyli np. nadany przez twój router Link do komentarza Udostępnij na innych stronach More sharing options...
nyac55 Napisano Listopad 26, 2014 Autor Zgłoś Share Napisano Listopad 26, 2014 OK, rozumiem jak działa sieć VPN, rozumiem że polecenie:local xxx.xxx.xxx.xxx odnosi się do sieci lokalnej LAN, natomiast:remote xxx.xxx.xxx.xxx, oznacza coś zdalnego - zdalen połączenie np. remote desktop - pulpit zdalny... Wcześniej pisałeś, że obie te komendy muszą być wypełnione tym samym adresem IP...Następnie adres eth0 w Linuxie, to jeśli dobrze pamiętam 10.8.0.15... czy to muszę wpisać w oba pola, czy może raczej 10.8.0.0?Nie długo zamieszczę zawartość obu plików konfiguracyjnych... jeśli możesz podałbyś mi co mam w nich zmienić/dopisać, żeby połączenie się udało...2 kwestia, jeśli to nie o adresy chodzi to zapora. Mam standardową zaporę Windowsa, obsługiwaną przez Eseta, oczywiście dodałem tam port i podajże adres 10.8.0.0 jako remote i local, bo nie wiem dokładnie co powinno się tam znaleźć... Takie połączenie robię 1 raz, więc jeszcze dokładnie nie wiem, co jak i gdzie wpisać...Klient (Windows 8.1):clientdev tunproto tcp;remote 10.8.0.0 1194resolv-retry infinitenobindpersist-keypersist-tunca ca.crtcert klucz_klient1.crtkey klucz_klient1.keyns-cert-type servercomp-lzoverb 3remote 10.8.0.0 1194Serwer (Linus Centos 6.5):Po stronie serwera był plik konfiguracyjny: server.conf (nie udało mi się skopiować zawartości, więc wrzucam cały plik) oraz plik logu openvpn.log (zawartość pliku, zamieszczam na screenie).Plik server.confhttps://www.dropbox.com/s/l96rotejhj9k2p1/server.conf?dl=0Zawartość pliku konfiguracyjnego klienta w Windows 8.1:https://www.dropbox.com/s/vz7ui6q5jvzxll8/serwer%20etc%20openvpn-log.png?dl=0 Link do komentarza Udostępnij na innych stronach More sharing options...
politan Napisano Listopad 30, 2014 Zgłoś Share Napisano Listopad 30, 2014 Zarówno w local jak i remote ma być twój zewnętrzny adres IP a nie 10.8.0.*. Link do komentarza Udostępnij na innych stronach More sharing options...
nyac55 Napisano Listopad 30, 2014 Autor Zgłoś Share Napisano Listopad 30, 2014 Ustawiłem local oraz remote na 10.8.0.1, bo taki był adres IP interfejsu w Linuxie na maszynie wirtualnej, zmieniłem na UDP tak jak było wcześniej... i cały czas jest to samo połączenie nie zachodzi i nie wyświetlają się żadne komunikaty, że nie udało się połączyć z peerem.Mam jeszcze 1 sugestię: Teraz jak wpiszę komendę: service openvpn start <- pojawia się komunikat połączenie nieudane... Wcześniej jak uruchamiałem było udane oraz czy to polecenie muszę wykonywać zawsze jak chcę się połączyć??Także interfejs tun0 znikł z listy interfejsów... Link do komentarza Udostępnij na innych stronach More sharing options...