openvpn - client -server - problem z po

[witer30]

Witam wszystkich.
Potrzebuję pomocy bo jestem zielony a chciałbym zrozumieć o co chodzi z tym vpnem, bo czym więcej czytam to tym bardziej dochodzę do wniosku że nic nie wiem.

Mam sytuację:
komp1 - ruter1 - interent - ruter2 -komp2
Chciałbym uruchomić dostęp do komp1 z komp2 tak aby pewne aplikacje mogły się połączyć. Na komp1 jest zainstalowany winxp a na komp2 win7 64bit.

IP komputera komp1: 192.168.1.14
IP zewnetrzne rutera1: A.B.C.D
IP komputera komp2: 192.168.0.4
IP zewnetrzne rutera2: E.F.G.H

Na komputerze komp1 zainstalowałem openvpn i wygenerowałem certyfikaty wg instrukcji http://disaderp.eu/openvpn/
config servera vpn:

Kod: Zaznacz cały

;local a.b.c.d


port 1194
;proto tcp
proto udp


;dev tap
dev tun


;dev-node MyTap




ca ca.crt
cert server.crt
key server.key  # This file should be kept secret


dh dh1024.pem




server 10.8.0.0 255.255.255.0


ifconfig-pool-persist ipp.txt


;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
;server-bridge
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"


;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
;learn-address ./script
;push "redirect-gateway def1 bypass-dhcp"


;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"


;client-to-client




;duplicate-cn


keepalive 10 120
;tls-auth ta.key 0 # This file is secret
;cipher BF-CBC        # Blowfish (default)
;cipher AES-128-CBC   # AES
;cipher DES-EDE3-CBC  # Triple-DES


comp-lzo


;user nobody
;group nobody




persist-key
persist-tun


status openvpn-status.log


;log         openvpn.log
;log-append  openvpn.log
ug connection problems
# 9 is extremely verbose
verb 3
;mute 20

config klienta zainstalowanego na komp2:

Kod: Zaznacz cały

client


;dev tap
dev tun


;dev-node MyTap




;proto tcp
proto udp
remote A.B.C.D 1194
;remote A.B.C.D 1194


;remote-random


resolv-retry infinite


nobind


;user nobody
;group nobody


# Try to preserve some state across restarts.
persist-key
persist-tun


;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]


;mute-replay-warnings


ca ca.crt
cert jolanta.crt
key jolanta.key


ns-cert-type server


;tls-auth ta.key 1


;cipher x


comp-lzo


verb 3


;mute 20

Router prze komp1 to netia spot. ustawiłem przekierowanie portu:

Kod: Zaznacz cały

[TABLE="width: 1614"]
[TR]
[TD="class: GRID"][TABLE="width: 406"]
[TR]
[TD]192.168.1.14[/TD]
[/TR]
[/TABLE]
[/TD]
[TD="class: GRID"][color=#008000]192.168.1.14[/color][/TD]
[TD="class: GRID"]openvpn - UDP 1194 -> 1194[/TD]
[/TR]
[/TABLE]

Zapora sieciowa routera1 jest ustawiona aby odrzucać połączenia przychodzące. z racji iż jestem zielony to nie wiem czy przekierowanie portu wystarczy?
Firewalle powyłączane na komp1 i komp2.
No i przy próbie połączenia nie łączy się komp2 z komp1, próbuje bez końca i nic.

Mam coś takiego w kliencie:

Kod: Zaznacz cały

Mon Jan 20 22:54:04 2014 OpenVPN 2.3.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013
Mon Jan 20 22:54:04 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Mon Jan 20 22:54:04 2014 Need hold release from management interface, waiting...
Mon Jan 20 22:54:05 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Mon Jan 20 22:54:05 2014 MANAGEMENT: CMD 'state on'
Mon Jan 20 22:54:05 2014 MANAGEMENT: CMD 'log all on'
Mon Jan 20 22:54:05 2014 MANAGEMENT: CMD 'hold off'
Mon Jan 20 22:54:05 2014 MANAGEMENT: CMD 'hold release'
Mon Jan 20 22:54:05 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Jan 20 22:54:05 2014 UDPv4 link local: [undef]
Mon Jan 20 22:54:05 2014 UDPv4 link remote: [AF_INET]A.B.C.D:1194
[I][color=#ff8c00]>STATE:1390254845,WAIT,,,

I ten komunikat ciągle mi się powtarza.
Czy możecie pomóc mi to dopieścić? Jako że brak wiedzy stanowi barierę w tym momencie. Po prostu już nie wiem o co chodzi. Z góry dziękuję za pomoc i wskazówki.

Pozdrawiam,
witer

[pone13]

Jak uruchamiasz klienta w Windows 7 - uruchamiasz go jako administrator?
Wklej zrzut ekranu z tym przekierowaniem na spocie.

[witer30]

dziękuję za odzew.
Zaporę w netia spot mam tak

przekierowanie portu

klienta mam uruchomionego jako admin

[pone13]

Ciężko stwierdzić co jest nie tak, powinno być ok.
Może dla testu na chwilkę wyłącz firewall na spocie całkowicie i spróbuj wtedy nawiązać połączenie pozwoli to wykluczyć problem z blokowaniem ruchu.
Sprawdź też ustawienia firewall'a na komputerze klienta.

[witer30]

firewalle powyłączane wszędzie, komp1, kom2 no i router i niestety ale to samo...
czy możliwe że klucze źle wygenerowane...?
nie miałem żadnego komunikatu o błędzie...

[witer30]

a jeszcze pytanie czy istnieje sposób aby sprawdzić czy mogę się dostać przez ten port na komp1 aby zobaczyć czy wina leży po stronie openvpn i konfiguracji czy raczej sieci i łączności...
masz jakiś pomysł jak to zrobić...

[pone13]

Żeby sprawdzić port to możesz spróbować zeskanować porty serwera, lub włącz na komp1 serwer telnet.
W tym celu uruchom services.msc i uruchom telnet lub wpisz w wierszu polecenia net start telnet.
Na routerze przekieruj port 23 do komp1.
Na komp2 uruchom putty i spróbuj połączyć się z komp1 na porcie 23, przy udanym połączeniu
powinno pojawić się zapytanie o login i hasło.
Więcej info w razie problemów: http://technet.microsoft.com/pl-pl/libr ... roc_enable.
Co do błędnych certyfikatów to wyświetliłyby się błędy, a ty nie masz nawet jeszcze połączenia z serwerem.
Sprawdź jeszcze czy masz interfejs tun w windowsie utworzony w połączeniach sieciowych.
Wklej też logi klienta i serwera podczas prób połączenia powinny byś w folderze 'program files\openvpn\log'.

[witer30]

dzięki za podpowiedź,
znalazłem na ruterze wyzwalanie portów

Załącznik wyzwalanie portow.png nie jest już dostępny

może to jest problemem...

[pone13]

Możesz spróbować skonfigurować może to coś zmieni.
Generalnie (w większości routerów) przekierowanie portów (mechanizm NAT) z reguły nie wymaga dodatkowego odblokowania portu
skoro i tak go przekierowujesz .

[witer30]

witam, oto logi z servera:

Kod: Zaznacz cały

Wed Jan 22 01:02:09 2014 OpenVPN 2.3.2 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013Wed Jan 22 01:02:09 2014 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Wed Jan 22 01:02:09 2014 Diffie-Hellman initialized with 2048 bit key
Wed Jan 22 01:02:09 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Jan 22 01:02:09 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Wed Jan 22 01:02:09 2014 open_tun, tt->ipv6=0
Wed Jan 22 01:02:09 2014 TAP-WIN32 device [Połączenie lokalne 6] opened: \\.\Global\{678D14C7-B7EE-4CF2-B44E-11149CBD508D}.tap
Wed Jan 22 01:02:09 2014 TAP-Windows Driver Version 9.9 
Wed Jan 22 01:02:09 2014 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.1/255.255.255.252 on interface {678D14C7-B7EE-4CF2-B44E-11149CBD508D} [DHCP-serv: 10.8.0.2, lease-time: 31536000]
Wed Jan 22 01:02:09 2014 Sleeping for 10 seconds...
Wed Jan 22 01:02:19 2014 NOTE: FlushIpNetTable failed on interface [524291] {678D14C7-B7EE-4CF2-B44E-11149CBD508D} (status=259) : Brak dalszych danych.  
Wed Jan 22 01:02:19 2014 C:\WINDOWS\system32\route.exe ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.2
Wed Jan 22 01:02:19 2014 Route addition via IPAPI succeeded [adaptive]
Wed Jan 22 01:02:19 2014 UDPv4 link local (bound): [undef]
Wed Jan 22 01:02:19 2014 UDPv4 link remote: [undef]
Wed Jan 22 01:02:19 2014 MULTI: multi_init called, r=256 v=256
Wed Jan 22 01:02:19 2014 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Wed Jan 22 01:02:19 2014 IFCONFIG POOL LIST
Wed Jan 22 01:02:19 2014 Initialization Sequence Completed

log z klienta

Kod: Zaznacz cały

Wed Jan 22 01:02:27 2014 OpenVPN 2.3.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013
Enter Management Password:
Wed Jan 22 01:02:27 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Wed Jan 22 01:02:27 2014 Need hold release from management interface, waiting...
Wed Jan 22 01:02:28 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Wed Jan 22 01:02:28 2014 MANAGEMENT: CMD 'state on'
Wed Jan 22 01:02:28 2014 MANAGEMENT: CMD 'log all on'
Wed Jan 22 01:02:28 2014 MANAGEMENT: CMD 'hold off'
Wed Jan 22 01:02:28 2014 MANAGEMENT: CMD 'hold release'
Wed Jan 22 01:02:28 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Jan 22 01:02:28 2014 UDPv4 link local: [undef]
Wed Jan 22 01:02:28 2014 UDPv4 link remote: [AF_INET]A.B.C.D:1194
Wed Jan 22 01:02:28 2014 MANAGEMENT: >STATE:1390348948,WAIT,,,
Wed Jan 22 01:03:28 2014 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Jan 22 01:03:28 2014 TLS Error: TLS handshake failed
Wed Jan 22 01:03:28 2014 SIGUSR1[soft,tls-error] received, process restarting
Wed Jan 22 01:03:28 2014 MANAGEMENT: >STATE:1390349008,RECONNECTING,tls-error,,
Wed Jan 22 01:03:28 2014 Restart pause, 2 second(s)
Wed Jan 22 01:03:30 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Jan 22 01:03:30 2014 UDPv4 link local: [undef]
Wed Jan 22 01:03:30 2014 UDPv4 link remote: [AF_INET]A.B.C.D:1194
Wed Jan 22 01:03:30 2014 MANAGEMENT: >STATE:1390349010,WAIT,,,
Wed Jan 22 01:04:30 2014 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Jan 22 01:04:30 2014 TLS Error: TLS handshake failed
Wed Jan 22 01:04:30 2014 SIGUSR1[soft,tls-error] received, process restarting
Wed Jan 22 01:04:30 2014 MANAGEMENT: >STATE:1390349070,RECONNECTING,tls-error,,
Wed Jan 22 01:04:30 2014 Restart pause, 2 second(s)
Wed Jan 22 01:04:32 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Jan 22 01:04:32 2014 UDPv4 link local: [undef]
Wed Jan 22 01:04:32 2014 UDPv4 link remote: [AF_INET]A.B.C.D:1194
Wed Jan 22 01:04:32 2014 MANAGEMENT: >STATE:1390349072,WAIT,,,
Wed Jan 22 01:04:36 2014 SIGTERM[hard,] received, process exiting
Wed Jan 22 01:04:36 2014 MANAGEMENT: >STATE:1390349076,EXITING,SIGTERM,,

firewall na serwerze wyłączony...
Wszystko przeinstalowane i przekierowanie na ruterze zrobione
plik konfiguracyjny servera

Kod: Zaznacz cały

;local 192.164.1.14
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
;server-bridge
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
;push "redirect-gateway def1 bypass-dhcp"
;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"
;client-to-client
;duplicate-cn
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
;log         openvpn.log
;log-append  openvpn.log
verb 3
;mute 20

plik konfiguracyjny klienta

Kod: Zaznacz cały

client
dev tun
proto udp
remote A.B.C.D 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert klient1.crt
key klient1.key
ns-cert-type server
comp-lzo
verb 3
;mute 20

no za głowe niewiem o co chodzi... i czemu nie przechodzi...

co do telnet to nie mogę się dobić, jak na innym kompie w sieci uruchimiłem partedmagic to nie było problemu... Ale do tego z winxp nie daje rady, wyskakuje mi network errror... no i nie wiem co jest nie tak, firewall wyłączony więc nie blokuje, przez ruter przechodzi bo testowany na innym kompie...

późno już więc może jutro wieczorem zerkne... Będę wdzięczny za pomoc...