Проблема с OpenVPN

Темы, которые не попадают в остальные категории.
Ответить
k_quiet
Сообщения: 79
Зарегистрирован: Вт дек 02, 2003 12:48 am
Откуда: Astrakhan

Проблема с OpenVPN

Сообщение k_quiet »

WTWare Pro 4.6.1
Установлена на жесткий. При попытке настроить Open VPN загружаясь долго висит прогрессбар потом говорит "Open VPN failed" и всё.... Из под Винды с этими же ключами все ок. Вот лог OpenVPN - сервера:

Mon Oct 11 11:37:13 2010 MULTI: multi_create_instance called
Mon Oct 11 11:37:13 2010 94.***.***.85:10540 Re-using SSL/TLS context
Mon Oct 11 11:37:13 2010 94.***.***.85:10540 LZO compression initialized
Mon Oct 11 11:37:13 2010 94.***.***.85:10540 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Oct 11 11:37:13 2010 94.***.***.85:10540 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Oct 11 11:37:13 2010 94.***.***.85:10540 Local Options hash (VER=V4): 'f7df56b8'
Mon Oct 11 11:37:13 2010 94.***.***.85:10540 Expected Remote Options hash (VER=V4): 'd79ca330'
Mon Oct 11 11:37:13 2010 94.***.***.85:10540 TLS: Initial packet from 94.***.***.85:10540, sid=d5459bea 358d2f77
Mon Oct 11 11:37:14 2010 94.***.***.85:10540 VERIFY OK: depth=1, /C=RU/ST=AST/L=Astrakhan/O=*******/emailAddress=k_quiet@mail.ru
Mon Oct 11 11:37:14 2010 94.***.***.85:10540 VERIFY OK: depth=0, /C=RU/ST=AST/O=*******/OU=Kirova_01/CN=Kirova_01/emailAddress=k_quiet@mail.ru
Mon Oct 11 11:37:14 2010 94.***.***.85:10540 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Oct 11 11:37:14 2010 94.***.***.85:10540 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Oct 11 11:37:14 2010 94.***.***.85:10540 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Oct 11 11:37:14 2010 94.***.***.85:10540 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Oct 11 11:37:14 2010 94.***.***.85:10540 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Mon Oct 11 11:37:14 2010 94.***.***.85:10540 [Kirova_01] Peer Connection Initiated with 94.***.***.85:10540
Mon Oct 11 11:37:17 2010 Kirova_01/94.***.***.85:10540 PUSH: Received control message: 'PUSH_REQUEST'
Mon Oct 11 11:37:17 2010 Kirova_01/94.***.***.85:10540 SENT CONTROL [Kirova_01]: 'PUSH_REPLY,route 192.168.168.0 255.255.255.0 10.1.0.1,ping 10,ping-restart 120,ifconfig 10.1.0.4 255.255.255.0' (status=1)
Mon Oct 11 11:37:19 2010 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Mon Oct 11 11:37:21 2010 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Mon Oct 11 11:37:22 2010 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
// и так еще примерно 30 строк ///
Mon Oct 11 11:40:40 2010 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Mon Oct 11 11:40:41 2010 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Mon Oct 11 11:40:41 2010 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Mon Oct 11 11:40:43 2010 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Mon Oct 11 11:41:17 2010 Kirova_01/94.***.***.85:10540 [Kirova_01] Inactivity timeout (--ping-restart), restarting
Mon Oct 11 11:41:17 2010 Kirova_01/94.***.***.85:10540 SIGUSR1[soft,ping-restart] received, client-instance restarting

Судя по логу авторизация проходит успешно, в чем дело не понятно. Что делать?
aka
Разработчик
Разработчик
Сообщения: 11806
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Проблема с OpenVPN

Сообщение aka »

Разбираться. Я ничего не понимаю в OpenVPN.

WTware использует такой конфиг:

client
dev tun
proto udp
nobind
ca /etc/ca.crt
cert /etc/client.crt
key /etc/client.key
ns-cert-type server
comp-lzo
verb 1
daemon
remote 1.2.3.4 1194

Отдай этот конфиг клиенту vpn в виндовсе, который "все ок". Пути только к ключам правильные и вместо 1.2.3.4 IP сервера напиши. И смотри, что скажет сервер и что поменять в конфиге сервера, чтобы виндовс с таким конфигом подключилась. Потом расскажи :)
k_quiet
Сообщения: 79
Зарегистрирован: Вт дек 02, 2003 12:48 am
Откуда: Astrakhan

Re: Проблема с OpenVPN

Сообщение k_quiet »

проблема понятна. разный тип DEV. а как можно поменять конфиг? т.е. отредактировать ручками?
aka
Разработчик
Разработчик
Сообщения: 11806
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Проблема с OpenVPN

Сообщение aka »

Конфиг втвари никак не поменять. Меняй конфиг сервера.
k_quiet
Сообщения: 79
Зарегистрирован: Вт дек 02, 2003 12:48 am
Откуда: Astrakhan

Re: Проблема с OpenVPN

Сообщение k_quiet »

dev - тип виртуального устройства туннеля. Может принимать значение tun или tap. Тun позволяет создавать только соединения типа точка-точка, tap виртуальные сегменты Еthernet.

дело в том, что dev=tun не поддерживает широковещательные запросы и на нем не будет нормальной ethernet сети.

как сделать чтоб работало dev=tap?
aka
Разработчик
Разработчик
Сообщения: 11806
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Проблема с OpenVPN

Сообщение aka »

Никак не сделать. В конфиге openvpn по умолчанию написано tun. Поэтому так сложилось.
k_quiet
Сообщения: 79
Зарегистрирован: Вт дек 02, 2003 12:48 am
Откуда: Astrakhan

Re: Проблема с OpenVPN

Сообщение k_quiet »

Тогда пожалуй будет честным написать в описании WtWare "поддержки OpenVPN нет и не будет", т.к. если у меня двадцать терминалов мне надо на Win-сервере создать 20 виртуальных сетевых адаптеров. А если 100 - то 100 адаптеров. Это просто бред.

P.S. Вот небольшой ликбез:
http://www.ru.kurlix.de/index.php?optio ... &Itemid=27
http://www.ru.kurlix.de/index.php?optio ... &Itemid=27
aka
Разработчик
Разработчик
Сообщения: 11806
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Проблема с OpenVPN

Сообщение aka »

В описании WTware честно написано, что WTware это клиент службы терминалов Windows Terminal Services. Сейчас в планах - уменьшить задержку звука, сделать перенаправление микрофона, затем большая работа по перенаправлению USB. Это все функции клиента службы терминалов, которые никто не может заменить. Поддержка кофеварок, OpenVPN и подобного вторична и выполняется по остаточному принципу. Потому, что если клиенту нужно получить более функциональную поддержку кофеварок, OpenVPN и подобного, он всегда может поставить для этой задачи специальное устройство.

И покажи пожалуйста, где написано, что для второго tun соединения необходимо делать второй адаптер.
k_quiet
Сообщения: 79
Зарегистрирован: Вт дек 02, 2003 12:48 am
Откуда: Astrakhan

Re: Проблема с OpenVPN

Сообщение k_quiet »

Продолжение истории. Вернее начало.

Заморочка с Open VPN нужна мне для того чтобы заставить работать принтер в удаленной подсети и чтобы на него могли печатать остальные клиенты этой подсети, естественно все эти киенты - WtWare. И клиент к которому подключен принтер тоже. Все это безобразие попадает на сервер терминалов через ADSL-модем с проброшенным портом 3389, что само по себе очень хреново (плохо), т.к. сервер смотрит в инет через статику на ADSL-модеме портом 3389 и любой человек с любой точки зная статику попадает на вход терм.сервера и все, немного социальной инженерии и кирдык серваку. Вариант с использование Open VPN решил бы эту проблему, а заодно и проблему принтера тоже, но увы. Кофеварки.... мать их. Заставить принтер работать через usbip не удалось, т.к. при подключении к wtware-клиенту в локальной сети сервера все замечательно. А при подключении в удаленной подсети - болт. Не видит сервер принтер через два ADSL-модема. Может нам денег каких-нибудь заплатить за персональную доработку, за изменение tun на tap.

И еще. Про создание соединения и про добавление еще адаптеров подробно написано в статьях из моего предидущего поста. Хотя из фразы "соединение точка-точка" и так все понятно.
aka
Разработчик
Разработчик
Сообщения: 11806
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Проблема с OpenVPN

Сообщение aka »

k_quiet писал(а):И еще. Про создание соединения и про добавление еще адаптеров подробно написано в статьях из моего предидущего поста. Хотя из фразы "соединение точка-точка" и так все понятно.
Пожалуйста, покажи мне, где это написано явно. Статьи я прочитал, такого смысла в них не нашел. И из фразы "соединение точка-точка" мне не понятно, почему звезда не может быть множеством соединений точка-точка.
shdn777
Сообщения: 110
Зарегистрирован: Чт ноя 02, 2006 12:24 pm
Откуда: Omsk
Контактная информация:

Re: Проблема с OpenVPN

Сообщение shdn777 »

k_quiet - в этом случае я точно за aka
Поясню - k_quiet что вам мешает поставить железяку(роутер) которая сделает нормальный закрытый туннель между сетями - это даст вам все , и защищенный туннель и не надо маяться с пробросом портов, не надо настраивать VPN на каждом терминале - да и много что еще !

VPN на терминальном клиенте имеет смысл если их 1-2шт на удаленной точке (ИМХО) 8)
k_quiet
Сообщения: 79
Зарегистрирован: Вт дек 02, 2003 12:48 am
Откуда: Astrakhan

Re: Проблема с OpenVPN

Сообщение k_quiet »

to aka:
явно это написано здесь:
Затем с помощью меню «Пуск –> Программы –> Open –> VPNAdd a new TAP-win32 virtual ethernet adapter» создаем еще один виртуальный интерфейс и переименовываем его во FreeBSD.

и здесь:
Затем создаем конфигурационные файлы наших туннелей.

Файл windows-freebsd.ovpn:
remote 80.80.20.129
dev-node FreeBSD
dev tun
port 5001
ifconfig 10.3.0.2 10.3.0.1
secret static.txt
ping 10
verb 3
route 10.10.120.0 255.255.255.0 10.3.0.1
auth MD5
cipher DES-CBC
comp-lzo

Файл windows-linux.ovpn:
remote 80.80.20.131
dev tun
dev-node Linux
port 5002
ifconfig 10.3.0.5 10.3.0.6
secret static.txt
ping 10
verb 3
route 10.10.140.0 255.255.255.0 10.3.0.6
tun-mtu 1500
comp-lzo


Как мы видим подсеть одна, но два виртуальных адаптера и по одному конфигу для каждого, в каждом из которых прописан тунель точка-точка. Это особенность Open VPN при использовании режима tun.

to shdn777:
терминалов планируется 2-4, а самих удаленных точек 5-10. Вот такая заморочка.
shdn777
Сообщения: 110
Зарегистрирован: Чт ноя 02, 2006 12:24 pm
Откуда: Omsk
Контактная информация:

Re: Проблема с OpenVPN

Сообщение shdn777 »

k_quiet присмотрись к http://mikc.ru/product.php?id_catalog=2&id_position=193 (там и OpenVPN тоже есть) - не примите за рекламу просто у самого в эксплуатации таких штук 10 - 15 , не нарадуюсь там сетями можно крестиком вышивать !
aka
Разработчик
Разработчик
Сообщения: 11806
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Проблема с OpenVPN

Сообщение aka »

k_quiet
Оттуда же, из второй твоей статьи:
Но если необходимо развернуть OpenVPN как VPN-концентратор для большого числа пользователей, то маршрутизация обеспечивает более высокую гибкость.
Т.е. либо можно таки зарулить через один интерфейс (попробуй наконец, а?), либо "большое число" интерфейсов не представляет никаких проблем кроме субъективно-эстетических.

Сейчас я по организационным обстоятельствам не могу собрать 4.6 версию. Через неделю-две выйдет наконец 4.9 со звуком (звуковой траффик уменьшится в восемь раз, еу суперкруто :)), и если к тому времени не решишь задачу как-то иначе - подними еще раз эту тему. Попробуем как-нибудь выкрутиться.
k_quiet
Сообщения: 79
Зарегистрирован: Вт дек 02, 2003 12:48 am
Откуда: Astrakhan

Re: Проблема с OpenVPN

Сообщение k_quiet »

Вобщем продолжение истории:

OpenVPN заработал! В версиях OpenVPN старше 2.1 появился параметр 'topology subnet', который заставляет работать OpenVPN в режиме 'tun' как мне надо. В итоге в трех разных удаленных офисах стоит по три терминала с WtWare которые грузятся с USB Flash, подключаются к серваку по OpenVPN через ADSL-роутер D-Link 2500, в один из терминалов в каждом офисе воткнут Samsung SCX-4220 на который могут печатать пользователи с любых(!!!!) терминалов любого офиса! Статический адрес только в офисе где стоит терминальный сервер, в остальных офисах адреса динамические. Машин кроме сервака с Windows в офисах нет вообще! Но! HP P1006 так запустить и не удалось. То есть задание на него отправляется, он моргает лампочкой, жужжит, и усе. Хотя при подключении к терминалу в локальной (не удаленной) сети с сервером он печатал.
aka
Разработчик
Разработчик
Сообщения: 11806
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Проблема с OpenVPN

Сообщение aka »

k_quiet писал(а):задание на него отправляется, он моргает лампочкой, жужжит, и усе. Хотя при подключении к терминалу в локальной (не удаленной) сети с сервером он печатал.
Может, таймауты и все такое? Принтер думает, что ему отвечает комп рядом. А тут пакеты ходят через Антарктиду, паузы между пакетами непонятной длины, но всегда большие...
Shaaarnir
Сообщения: 365
Зарегистрирован: Ср дек 24, 2008 2:55 pm
Откуда: Україна 🇺🇦, Харків
Контактная информация:

Re: Проблема с OpenVPN

Сообщение Shaaarnir »

k_quiet писал(а):Вобщем продолжение истории:

OpenVPN заработал! В версиях OpenVPN старше 2.1 появился параметр 'topology subnet', который заставляет работать OpenVPN в режиме 'tun' как мне надо. В итоге в трех разных удаленных офисах стоит по три терминала с WtWare которые грузятся с USB Flash, подключаются к серваку по OpenVPN через ADSL-роутер D-Link 2500, в один из терминалов в каждом офисе воткнут Samsung SCX-4220 на который могут печатать пользователи с любых(!!!!) терминалов любого офиса! Статический адрес только в офисе где стоит терминальный сервер, в остальных офисах адреса динамические. Машин кроме сервака с Windows в офисах нет вообще! Но! HP P1006 так запустить и не удалось. То есть задание на него отправляется, он моргает лампочкой, жужжит, и усе. Хотя при подключении к терминалу в локальной (не удаленной) сети с сервером он печатал.
А Вы могли бы подробнее объяснить как у вас построено?
А то моему руководству понравилась новая фича в ВТВаре5 (а именно переключение между несколькими рабочими столами :) ), и нужно эту фичу сделать на удаленных точках. Соответственно стандартный удаленный способ подключения отпадает.
OpenVPN еще настраивать мне не доводилось.
Может какую ссылку бросите, на описание с чего начать.
k_quiet
Сообщения: 79
Зарегистрирован: Вт дек 02, 2003 12:48 am
Откуда: Astrakhan

Re: Проблема с OpenVPN

Сообщение k_quiet »

1. Принтер HP P1006 заработал - поиск по форуму рулит - USB 2.0 Disable

2. Если нет опыта настройки OpenVPN рекомендую ссылки в данном посте выше и очень полезна оказалась ветка форума на iXBT - http://forum.ixbt.com/topic.cgi?id=14:40906
Мы работаем на версии WtWare 4.6.9 на DHCP от Microsoft, ОС - Win Server 2003, OpenVPN 2.1
WtWare 5 пока не используем. Использование OpenVPN обусловленно наличием беспроводной сети в одном из офисов, соображениями безопасности - закрыт стандартный порт 3389, и самое важное в нашем случае возможность печати на принтеры клиентов в офисах при отсутствии драйверов на них самих, т.е. все драйвера на сервере.
Последний раз редактировалось k_quiet Вс дек 26, 2010 12:42 pm, всего редактировалось 1 раз.
Shaaarnir
Сообщения: 365
Зарегистрирован: Ср дек 24, 2008 2:55 pm
Откуда: Україна 🇺🇦, Харків
Контактная информация:

Re: Проблема с OpenVPN

Сообщение Shaaarnir »

Спасибо за ссылку ;)
el_angelo
Сообщения: 6
Зарегистрирован: Ср дек 21, 2011 9:34 pm

Не работает OpenVPN

Сообщение el_angelo »

Привет всем. Есть такая проблема, никак не могу разобраться как правильно настроить OpenVPN на клиенте WTware 5.0.7. Загрузка с USB flash.

У меня работает сервак OpenVPN на статическом адресе.
Копирую файлы с ключами в каталог configs на флешке, это ясно. Но дальше где прописать адрес VPN сервера? если при загрузк нажать del, там нет такого пункта про котрый в инструкции написано.
aka
Разработчик
Разработчик
Сообщения: 11806
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Не работает OpenVPN

Сообщение aka »

В 4.6.х работал openvpn, в 5.х его так и не перенесли по причине отсутствия спроса :?

Сильно надо? С глюками отладоччной версии бороться будешь?
Shaaarnir
Сообщения: 365
Зарегистрирован: Ср дек 24, 2008 2:55 pm
Откуда: Україна 🇺🇦, Харків
Контактная информация:

Re: Не работает OpenVPN

Сообщение Shaaarnir »

OpenVPN и мне нужен будет на 5 версии.
Но не прямо сейчас, где-то через месяц доберусь до удаленных офисов.
el_angelo
Сообщения: 6
Зарегистрирован: Ср дек 21, 2011 9:34 pm

Re: Не работает OpenVPN

Сообщение el_angelo »

Ну смотрте какая ситуация. На сколько мне известно, вообще пробем с OpenVPN особенно нет. Один раз настроил и что говорится забыл. Я готов потестировать и сообщать о появляющихся глюках, если в итоге они будут устранены.

Просто у меня много компов в разных организациях. большая часть используются как клиенты серверов терминалов.
Я хочу все эти компы перевести на wtware, предварительно снять с них жесткие диски и сделав загрузку с флешки. Это значительно облегчит задачу администрироания.
Но многие работаютодновоеменно с двумя серверами терминалов. И как правило, второй сервер находится вне офиса. А для правильной работы нужно настроить печать. А сделать это можно как я понял только путем организации VPN.

Функция "rdp_printer" у меня не работает.
Проброс порта на сервер средством usbip работает крайне не стабильно.
Единственное, что достаточно стабильно пашет, это "printer=usb", с настройкой на порт RAW 9100.
Но как на него будет печатать сервер, если находится в другой сети. Только, если бдет поднят VPN!
Или есть какие то другие решения?
aka
Разработчик
Разработчик
Сообщения: 11806
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Не работает OpenVPN

Сообщение aka »

el_angelo писал(а):На сколько мне известно, вообще пробем с OpenVPN особенно нет. Один раз настроил и что говорится забыл.
Да, я тоже не слышал о хронических проблемах втвари с openvpn. Просто втварь делается "по грамотному запросу". С начала 5.х версий запроса с готовностью тестировать до победы не было, вот и не прикрутили. Сделаем. Напиши мне письмо на aka@pxe.ru или на icq 89596217 чтоб быстрее контакт был.
el_angelo писал(а):второй сервер находится вне офиса. А для правильной работы нужно настроить печать. А сделать это можно как я понял только путем организации VPN.
...или функцией rdp_printer=.
el_angelo писал(а):Функция "rdp_printer" у меня не работает.
Так и пишет - "не работаю у тебя" русскими буквами? Давай ее починим, может не понадобится vpn поднимать. Загрузка по сети еще сильнее облегчает администрирование.
el_angelo писал(а):Единственное, что достаточно стабильно пашет, это "printer=usb", с настройкой на порт RAW 9100.
Механизм работы у rdp_printer= и printer= одинаковый. Если одно работает а второе не работает, то вероятно это наша ошибка. Логи давай - для начала лог после успешной отправки тестового задания на печать через printer= и лог со скриншотом проблемы с rdp_printer=.
hell
Сообщения: 124
Зарегистрирован: Вт авг 30, 2011 3:26 pm

Re: Не работает OpenVPN

Сообщение hell »

Кстате да ВПН нужная штука, если терминалы стоят вне офиса...
Ramirez
Сообщения: 38
Зарегистрирован: Пт мар 27, 2009 2:23 pm

Re: Не работает OpenVPN

Сообщение Ramirez »

Плюсодин :) нужно ВПН, тестить смогу.
Для сканеров надо, а не только для принтеров :)
aka
Разработчик
Разработчик
Сообщения: 11806
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Не работает OpenVPN

Сообщение aka »

Товарищи плюсодины, попробуйте 5.1.14. Должна поехать openvpn. Свежие доки тоже надо посмотреть:
http://forum.wtware.ru/viewtopic.php?t=8434
http://wtware.ru/openvpn.html
Ответить

Вернуться в «Остальное»