paramon13
Dabbler
- Joined
- Mar 28, 2015
- Messages
- 31
И еще. Не понял по поводу "auth SHA1". Эта команда не прописана https://openvpn.net/index.php/open-source/documentation/howto.html#examples
-
Important Announcement for the TrueNAS Community.
The TrueNAS Community has now been moved. This forum will now become READ-ONLY for historical purposes. Please feel free to join us on the new TrueNAS Community Forums
Freenas 9.3. Установка и настройка OpenVPN
- Thread starter paramon13
- Start date
- Status
Sugaroverdose
Dabbler
- Joined
- Aug 11, 2014
- Messages
- 36
Ошибок там нет, кроме указания на то, что параметры user и group на windows не реализованы, т.е. бессмысленно их указывать, а так-же предупреждения о том, что не используется никакой из методов проверки сертификата сервера, что на успешность создания соединения не влияет.
В вашем клиентском конфиге присутствует "mute-replay-warnings"(зачем?), который судя по всему прячет весь лог соединения, так-что понять есть соединение или нет по таким скриншотам не возможно. После запуска, попробуйте попинговать 192.168.255.1 с клиента, если пинг идет - значит и соединение имеется
http://openvpn.net/index.php/open-source/documentation/manuals/65-openvpn-20x-manpage.html
Возможно, вам разумнее использовать сам роутер для решения задачи, особенно если вам чужды знания о сетях? Тк в любом случае, после успешного запуска туннеля вам либо прийдется прописать маршрут для openvpn сети на роутере, либо научиться пользоваться brctl что-бы создать соединение типа "мост"
Кстати, в клиентском конфиге имеется строчка "tls-auth ta.key 1", зачем там единичка?
Так-же надо внести изменения и в настройки что вы повбивали в ipfw, но пока-что у меня нет в возможности их перепроверять.
Last edited:
paramon13
Dabbler
- Joined
- Mar 28, 2015
- Messages
- 31
Доброго времени суток. Спасибо за ответы и рекомендации. Вы правильно подметили что я не большой спец в сетях, но довольно упрямый.
Вы писали: -"Кстати, в клиентском конфиге имеется строчка "tls-auth ta.key 1", зачем там единичка?"
https://openvpn.net/index.php/open-source/documentation/howto.html#examples
This command will generate an OpenVPN static key and write it to the file ta.key. This key should be copied over a pre-existing secure channel to the server and all client machines. It can be placed in the same directory as the RSA .key and .crt files.
In the server configuration, add:
tls-auth ta.key 0
In the client configuration, add:
tls-auth ta.key 1
Вы писали: -"Кстати, в клиентском конфиге имеется строчка "tls-auth ta.key 1", зачем там единичка?"
https://openvpn.net/index.php/open-source/documentation/howto.html#examples
This command will generate an OpenVPN static key and write it to the file ta.key. This key should be copied over a pre-existing secure channel to the server and all client machines. It can be placed in the same directory as the RSA .key and .crt files.
In the server configuration, add:
tls-auth ta.key 0
In the client configuration, add:
tls-auth ta.key 1
Last edited:
paramon13
Dabbler
- Joined
- Mar 28, 2015
- Messages
- 31
Несколько дней упорных стараний и все таки решил удалить все и начать с самого начала. На маршрутизаторе выполнена переадресация порта 1194 на 192.168.1.12 (уже на этом IP у меня настроен jail. Сам freenas-сервер на 192.168.1.10) Внешний IP динамический по этому пользуюсь NOIP.COM. Ноутбук с которого пытаюсь подключиться в сеть VPN, подключен к сети в которой и сервер, но заходить пытаюсь в сеть VPN через внешний IP (домен noip.com).
Ниже приведены файлы конфигурации и скрины поведения.
server.conf
server
local 192.168.1.12
port 1194
proto udp
dev tun
ca /openvpn/keys/ca.crt
cert /openvpn/keys/freenas.crt
key /openvpn/keys/freenas.key
dh /openvpn/keys/dh1024.pem
server 192.168.255.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "redirect-gateway"
push "dhcp-option DNS 8.8.8.8"
client-to-client
ifconfig-pool-persist /openvpn/ipp.txt
tls-auth /openvpn/keys/ta.key 0
cipher AES-128-CBC
auth SHA1
comp-lzo
max-clients 10
persist-key
persist-tun
keepalive 10 120
status /openvpn/openvpn-status.log
log-append /openvpn/openvpn.log
verb 3
mute 20
client.ovpn
client
dev tun
proto udp
dev-node MyTap
remote xxx.zapto.org 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert user.crt
key user.key
tls-auth ta.key 1
remote-cert-tls server
ns-cert-type server
cipher AES-128-CBC
auth SHA1
comp-lzo
verb 3
mute 20
rc.conf
portmap_enable="NO"
sshd_enable="NO"
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
hostname="openvpn"
hostname="openvpn"
devfs_enable="YES"
devfs_system_ruleset="devfsrules_common"
inet6_enable="YES"
ip6addrctl_enable="YES"
openvpn_enable="YES"
openvpn_if="tun"
openvpn_configfile="/openvpn/server.conf"
cloned_interfaces="tun"
gateway_enable="YES"
firewall_enable="YES"
firewall_script="/usr/local/etc/ipfw.rules"
openvpn_dir="/openvpn"
ipfw.rules
ipfw -q -f flush
ipfw -q nat 1 config if epair0b
ipfw -q add nat 1 all from 192.168.255.0/24 to any out via epair0b
ipfw -q add nat 1 all from any to any in via epair0b
Ниже приведены файлы конфигурации и скрины поведения.
server.conf
server
local 192.168.1.12
port 1194
proto udp
dev tun
ca /openvpn/keys/ca.crt
cert /openvpn/keys/freenas.crt
key /openvpn/keys/freenas.key
dh /openvpn/keys/dh1024.pem
server 192.168.255.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "redirect-gateway"
push "dhcp-option DNS 8.8.8.8"
client-to-client
ifconfig-pool-persist /openvpn/ipp.txt
tls-auth /openvpn/keys/ta.key 0
cipher AES-128-CBC
auth SHA1
comp-lzo
max-clients 10
persist-key
persist-tun
keepalive 10 120
status /openvpn/openvpn-status.log
log-append /openvpn/openvpn.log
verb 3
mute 20
client.ovpn
client
dev tun
proto udp
dev-node MyTap
remote xxx.zapto.org 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert user.crt
key user.key
tls-auth ta.key 1
remote-cert-tls server
ns-cert-type server
cipher AES-128-CBC
auth SHA1
comp-lzo
verb 3
mute 20
rc.conf
portmap_enable="NO"
sshd_enable="NO"
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
hostname="openvpn"
hostname="openvpn"
devfs_enable="YES"
devfs_system_ruleset="devfsrules_common"
inet6_enable="YES"
ip6addrctl_enable="YES"
openvpn_enable="YES"
openvpn_if="tun"
openvpn_configfile="/openvpn/server.conf"
cloned_interfaces="tun"
gateway_enable="YES"
firewall_enable="YES"
firewall_script="/usr/local/etc/ipfw.rules"
openvpn_dir="/openvpn"
ipfw.rules
ipfw -q -f flush
ipfw -q nat 1 config if epair0b
ipfw -q add nat 1 all from 192.168.255.0/24 to any out via epair0b
ipfw -q add nat 1 all from any to any in via epair0b
Last edited:
paramon13
Dabbler
- Joined
- Mar 28, 2015
- Messages
- 31
Может еще в маршрутизаторе нужно что-то настраивать. VPN включен в маршрутизаторе. Я пытаюсь из домашнего ноутбука (ноутбук в той же сети подключен что и vpn сервер) через внешний IP заходить (который является динамическим и привязан к noip.com). Пробую пинговать, через cmd 192.168.255.1 во время подключения клиента - не пингуется. Может у меня не правильно организована сеть маршрутизатор/сервер/vpn сеть?
paramon13
Dabbler
- Joined
- Mar 28, 2015
- Messages
- 31
Я все конфигурационные файлы создавал в виндовсовском текстовом редакторе с кодировкой ansi может это проблема и надо в VI.
Еще заметил интересную аномалию, привязал в маршрутизаторе в таблице ARP и DHCP мак адрес jail openvpn к ip 192.168.1.12 так изменилось состояние индикатора сети на ноутбуке с сообщением что подключение к нескольким сетям. Отвязал и все вернулось на свои места. )) Это не для обсуждения )). Но чувствую что что-то к чему то нужно привязать )
Еще заметил интересную аномалию, привязал в маршрутизаторе в таблице ARP и DHCP мак адрес jail openvpn к ip 192.168.1.12 так изменилось состояние индикатора сети на ноутбуке с сообщением что подключение к нескольким сетям. Отвязал и все вернулось на свои места. )) Это не для обсуждения )). Но чувствую что что-то к чему то нужно привязать )
Sugaroverdose
Dabbler
- Joined
- Aug 11, 2014
- Messages
- 36
Судя по логу, проблема в tls-auth, попробуйте заново скопировать ключ с сервера на клиента, либо для теста, вообще его выключить
- Status
Similar threads
