28 марта 2024, 16:14

Цитата дня:

Одно из неприятных свойств нашего времени состоит в том, что те, кто испытывает уверенность, глупы, а те, кто обладает хоть каким-то воображением и пониманием, исполнены сомнений и нерешительности. Бертран Рассел


VPN не все клиентские ПК пингуются

Автор Алексей М, 27 марта 2018, 12:49

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

Вниз

Алексей М

Организовано две сети прямо как в известной статье на вашем ресурсе.

Первый вопрос:
1. ВСЕ ПК СФ пингуют сервера СЦО и успешно подключают ресурсы.
2. Но ПК СЦО пигуют и видят ресурсы только компютера СК СФ, т.е. пигуются 192.168.1.2 и 10.8.0.2
ПК 192.168.1.3 или 192.168.1.178 (DHCP) не пингуются из сети СЦО.
(Хотя в обратную сторону пинг проходит)
В чём тут может быть дело?

Второй вопрос:
Как организовать общение по чату, например vypress,  две эти сети?
ps: сервер и клиент VPN и "маршрутизация и удаленный" стартован на Win7

Какие настройки предоставить?





Уваров А.С.

1. Проверяйте настройки брандмауэров, при этом следует помнить, что пинг - это не показатель доступности узла.

2. Никак, Vypress - широковещательный чат, мы бы вообще не рекомендовали его использовать. Возьмите нормальные средства коммуникации, тот же Jabber.


Алексей М

пинг - это не показатель доступности узла.
Но и простое обращение к ресурсам узла \\192.168.1.3 выдает ошибку подключения. Хотя, если то же самое делать из сети 1.0 то будет высвечен расшаренный принтер.
Брандмауэр я отключил в "Центре управления сетями и"

Если обратиться к \\192.168.1.2 из сети 0.0 то ресурсы отображаются.




Уваров А.С.

Маршрутизация правильно настроена? Сделайте трассировку.

Алексей М

E:\DOC>tracert 192.168.1.3
Трассировка маршрута к 192.168.1.3 с максимальным числом прыжков 30
  1    <1 мс     *       <1 мс  ServerOVPN [192.168.0.177]
  2    13 ms    14 ms    11 ms  10.8.0.2
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
  5     *        *        *     Превышен интервал ожидания для запроса.
  6     *        *        *     Превышен интервал ожидания для запроса.
  7     *        *        *     Превышен интервал ожидания для запроса.
  8     *        *        *     Превышен интервал ожидания для запроса.
  9
E:\DOC>tracert 192.168.1.2
Трассировка маршрута к 192.168.1.2 с максимальным числом прыжков 30
  1    <1 мс     *       <1 мс  ServerOVPN [192.168.0.177]
  2     *        *        *     Превышен интервал ожидания для запроса.
  3    13 ms    12 ms    11 ms  192.168.1.2


И еще после рестарта сервиса появилось предупреждение:
Fri Mar 30 15:25:09 2018 Initialization Sequence Completed
Fri Mar 30 15:26:02 2018 194.123.123.254 peer info: IV_VER=2.4.5
Fri Mar 30 15:26:02 2018 194.123.123.254 peer info: IV_PLAT=win
Fri Mar 30 15:26:02 2018 194.123.123.254 peer info: IV_PROTO=2
Fri Mar 30 15:26:02 2018 194.123.123.254 peer info: IV_NCP=2
Fri Mar 30 15:26:02 2018 194.123.123.254 peer info: IV_LZ4=1
Fri Mar 30 15:26:02 2018 194.123.123.254 peer info: IV_LZ4v2=1
Fri Mar 30 15:26:02 2018 194.123.123.254 peer info: IV_LZO=1
Fri Mar 30 15:26:02 2018 194.123.123.254 peer info: IV_COMP_STUB=1
Fri Mar 30 15:26:02 2018 194.123.123.254 peer info: IV_COMP_STUBv2=1
Fri Mar 30 15:26:02 2018 194.123.123.254 peer info: IV_TCPNL=1
Fri Mar 30 15:26:02 2018 194.123.123.254 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1542', remote='link-mtu 1550'
Fri Mar 30 15:26:02 2018 194.123.123.254 WARNING: 'cipher' is used inconsistently, local='cipher BF-CBC', remote='cipher AES-256-GCM'
Fri Mar 30 15:26:02 2018 194.123.123.254 WARNING: 'auth' is used inconsistently, local='auth SHA1', remote='auth [null-digest]'
Fri Mar 30 15:26:02 2018 194.123.123.254 WARNING: 'keysize' is used inconsistently, local='keysize 128', remote='keysize 256'
Fri Mar 30 15:26:02 2018 194.123.123.254 [office1] Peer Connection Initiated with [AF_INET6]::ffff:194.123.123.254:1194

Вроде бы понятно написано, но я вроде ничего не менял. Почему такое?

Уваров А.С.

Трассировка маршрута к 192.168.1.3 с максимальным числом прыжков 30
  1    <1 мс     *       <1 мс  ServerOVPN [192.168.0.177]
  2    13 ms    14 ms    11 ms  10.8.0.2
  3     *        *        *     Превышен интервал ожидания для запроса.
Добежали до интерфейса OpenVPN и дальше тишина...

Цитировать
Трассировка маршрута к 192.168.1.2 с максимальным числом прыжков 30
  1    <1 мс     *       <1 мс  ServerOVPN [192.168.0.177]
  2     *        *        *     Превышен интервал ожидания для запроса.
  3    13 ms    12 ms    11 ms  192.168.1.2
А вот здесь все прошло, но один из промежуточных узлов не отвечает на пинги.  Очень и очень похоже на работу брандмауэра или аналогичного ПО (антивирусы и т.д.).


Цитировать
Fri Mar 30 15:26:02 2018 194.123.123.254 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1542', remote='link-mtu 1550'
Fri Mar 30 15:26:02 2018 194.123.123.254 WARNING: 'cipher' is used inconsistently, local='cipher BF-CBC', remote='cipher AES-256-GCM'
Fri Mar 30 15:26:02 2018 194.123.123.254 WARNING: 'auth' is used inconsistently, local='auth SHA1', remote='auth [null-digest]'
Fri Mar 30 15:26:02 2018 194.123.123.254 WARNING: 'keysize' is used inconsistently, local='keysize 128', remote='keysize 256'
У вас с разных сторон отличается MTU, шифрование, длина ключа и т.д., проверяйте конфиги.



Алексей М

У вас с разных сторон отличается MTU, шифрование, длина ключа и т.д., проверяйте конфиги.
проверяйте конфиги.
Дело в том, что я конфиги не менял. Они совершенно не отличаются от тех, что в известной статье, как на сервере так и на клиенте.
Но когда я организовал на ОКлиенте автоматический старт как службы, появились эти предупреждения.
Если же я останавливаю службу (см. лог начиная с Mon Apr 02 12:23:32 ) и запускаю GUI с параметром --connect office1.ovpn  (хотя и других конфигов там и нет), то предупреждений WORRNING отсутсвуют. (см лог).

Что же пошло не так при запуске как служба?


Mon Apr 02 12:07:37 2018 OpenVPN 2.4.5 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Mar  1 2018
Mon Apr 02 12:07:37 2018 Windows version 6.1 (Windows 7) 32bit
Mon Apr 02 12:07:37 2018 library versions: OpenSSL 1.1.0f  25 May 2017, LZO 2.10
Mon Apr 02 12:07:37 2018 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Mon Apr 02 12:07:37 2018 open_tun
Mon Apr 02 12:07:37 2018 TAP-WIN32 device [OpenVPN] opened: \\.\Global\{570A1C83-36CD-45AE-B88A-0EF81B83D03C}.tap
Mon Apr 02 12:07:37 2018 Set TAP-Windows TUN subnet mode network/local/netmask = 10.8.0.0/10.8.0.1/255.255.255.0 [SUCCEEDED]
Mon Apr 02 12:07:37 2018 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.1/255.255.255.0 on interface {570A1C83-36CD-45AE-B88A-0EF81B83D03C} [DHCP-serv: 10.8.0.254, lease-time: 31536000]
Mon Apr 02 12:07:37 2018 Sleeping for 10 seconds...
Mon Apr 02 12:07:47 2018 Successful ARP Flush on interface [13] {570A1C83-36CD-45AE-B88A-0EF81B83D03C}
Mon Apr 02 12:07:47 2018 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Mon Apr 02 12:07:47 2018 env_block: add PATH=C:\Windows\System32;C:\Windows;C:\Windows\System32\Wbem
Mon Apr 02 12:07:47 2018 env_block: add PATH=C:\Windows\System32;C:\Windows;C:\Windows\System32\Wbem
Mon Apr 02 12:07:47 2018 env_block: add PATH=C:\Windows\System32;C:\Windows;C:\Windows\System32\Wbem
Mon Apr 02 12:07:47 2018 Could not determine IPv4/IPv6 protocol. Using AF_INET6
Mon Apr 02 12:07:47 2018 setsockopt(IPV6_V6ONLY=0)
Mon Apr 02 12:07:47 2018 UDPv6 link local (bound): [AF_INET6][undef]:1194
Mon Apr 02 12:07:47 2018 UDPv6 link remote: [AF_UNSPEC]
Mon Apr 02 12:07:47 2018 Initialization Sequence Completed
Mon Apr 02 12:08:12 2018 194.123.123.254 peer info: IV_VER=2.4.5
Mon Apr 02 12:08:12 2018 194.123.123.254 peer info: IV_PLAT=win
Mon Apr 02 12:08:12 2018 194.123.123.254 peer info: IV_PROTO=2
Mon Apr 02 12:08:12 2018 194.123.123.254 peer info: IV_NCP=2
Mon Apr 02 12:08:12 2018 194.123.123.254 peer info: IV_LZ4=1
Mon Apr 02 12:08:12 2018 194.123.123.254 peer info: IV_LZ4v2=1
Mon Apr 02 12:08:12 2018 194.123.123.254 peer info: IV_LZO=1
Mon Apr 02 12:08:12 2018 194.123.123.254 peer info: IV_COMP_STUB=1
Mon Apr 02 12:08:12 2018 194.123.123.254 peer info: IV_COMP_STUBv2=1
Mon Apr 02 12:08:12 2018 194.123.123.254 peer info: IV_TCPNL=1
Mon Apr 02 12:08:12 2018 194.123.123.254 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1542', remote='link-mtu 1550'
Mon Apr 02 12:08:12 2018 194.123.123.254 WARNING: 'cipher' is used inconsistently, local='cipher BF-CBC', remote='cipher AES-256-GCM'
Mon Apr 02 12:08:12 2018 194.123.123.254 WARNING: 'auth' is used inconsistently, local='auth SHA1', remote='auth [null-digest]'
Mon Apr 02 12:08:12 2018 194.123.123.254 WARNING: 'keysize' is used inconsistently, local='keysize 128', remote='keysize 256'
Mon Apr 02 12:08:12 2018 194.123.123.254 [office1] Peer Connection Initiated with [AF_INET6]::ffff:194.123.123.254:1194
Mon Apr 02 12:23:32 2018 read UDPv6: Unknown error (code=10054)
Mon Apr 02 12:23:32 2018 read UDPv6: Unknown error (code=10054)
Mon Apr 02 12:23:32 2018 read UDPv6: Unknown error (code=10054)
Mon Apr 02 12:23:33 2018 read UDPv6: Unknown error (code=10054)
Mon Apr 02 12:23:34 2018 read UDPv6: Unknown error (code=10054)
Mon Apr 02 12:23:35 2018 read UDPv6: Unknown error (code=10054)
Mon Apr 02 12:23:36 2018 read UDPv6: Unknown error (code=10054)
Mon Apr 02 12:23:36 2018 read UDPv6: Unknown error (code=10054)
Mon Apr 02 12:23:37 2018 read UDPv6: Unknown error (code=10054)
Mon Apr 02 12:23:38 2018 read UDPv6: Unknown error (code=10054)
Mon Apr 02 12:23:39 2018 read UDPv6: Unknown error (code=10054)
Mon Apr 02 12:23:40 2018 read UDPv6: Unknown error (code=10054)
Mon Apr 02 12:23:40 2018 read UDPv6: Unknown error (code=10054)
Mon Apr 02 12:23:41 2018 read UDPv6: Unknown error (code=10054)
Mon Apr 02 12:23:42 2018 read UDPv6: Unknown error (code=10054)
Mon Apr 02 12:23:43 2018 read UDPv6: Unknown error (code=10054)
Mon Apr 02 12:23:44 2018 read UDPv6: Unknown error (code=10054)
Mon Apr 02 12:23:44 2018 read UDPv6: Unknown error (code=10054)
Mon Apr 02 12:23:45 2018 read UDPv6: Unknown error (code=10054)
Mon Apr 02 12:23:46 2018 read UDPv6: Unknown error (code=10054)
Mon Apr 02 12:23:47 2018 read UDPv6: Unknown error (code=10054)
Mon Apr 02 12:23:48 2018 read UDPv6: Unknown error (code=10054)
Mon Apr 02 12:23:51 2018 office1/194.123.123.254 peer info: IV_VER=2.4.5
Mon Apr 02 12:23:51 2018 office1/194.123.123.254 peer info: IV_PLAT=win
Mon Apr 02 12:23:51 2018 office1/194.123.123.254 peer info: IV_PROTO=2
Mon Apr 02 12:23:51 2018 office1/194.123.123.254 peer info: IV_NCP=2
Mon Apr 02 12:23:51 2018 office1/194.123.123.254 peer info: IV_LZ4=1
Mon Apr 02 12:23:51 2018 office1/194.123.123.254 peer info: IV_LZ4v2=1
Mon Apr 02 12:23:51 2018 office1/194.123.123.254 peer info: IV_LZO=1
Mon Apr 02 12:23:51 2018 office1/194.123.123.254 peer info: IV_COMP_STUB=1
Mon Apr 02 12:23:51 2018 office1/194.123.123.254 peer info: IV_COMP_STUBv2=1
Mon Apr 02 12:23:51 2018 office1/194.123.123.254 peer info: IV_TCPNL=1
Mon Apr 02 12:23:51 2018 office1/194.123.123.254 peer info: IV_GUI_VER=OpenVPN_GUI_11

Алексей М

правда имеется отличие от статьи на сайте в строке server.ovpn:
dh "C:\\Program Files\\OpenVPN\\keys\\dh2048.pem"

Видимо пригенерации значение по умолчанию было 2048, а не 1024.
Влияеет ли это, скажем, серьезно на скорость обработки данных?

конфиги прикладываю на всякий случай.

Уваров А.С.

Судя по конфигам - все правильно, но все равно проверяйте, возможно запускается не тот конфиг, так как лог явно указывает на несоответствие параметров.

Алексей М

#9
10 апреля 2018, 09:58 Последнее редактирование: 10 апреля 2018, 10:00 от Алексей М
Очень и очень похоже на работу брандмауэра
Действительно, дело в брэндмауре.
Вначале я отключил брэндмаэр для "Частного профиля" и "Общего профиля". Это не помогло.
Тогда защел в Дополнительные настройки брэндмаэра и там еще включенным был "Профиль домена" (хотя этот комп не в домене)
Отключил профиль домена и все запинговоалось и ресурсы стали доступны из сети 0.0

По уму, конечно, надо включить брэндмаэр и дать нужные разрешения на соединения.


Вверх