URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 87445
[ Назад ]
Исходное сообщение
"Что нужно открыть для OpenVPN?"
Отправлено IvanSCW , 27-Ноя-09 12:18 
Наша компания арендует в офисе другой компании одну комнату, в которой стоит пару компьютеров. Поставил на одном из компьютеров OpenVPN для создания канала в нашу сеть. Админ той, другой сети просит описать то, что куда соединяется и что нужно открыть для OpenVPN. Вот конфиг клиента:

client

dev tun

proto udp

remote x.y.z.w 1194

resolv-retry infinite

nobind

persist-key
persist-tun

ca ca.crt
cert client.crt
key client.key

tls-auth ta.key 1

comp-lzo

verb 3

Что еще нужно открыть, кроме соедниния по udp порту 1194?? Телнетом на адрес x.y.z.w 1194 тоже не подключается. На сервере появляется строка TLS: Initial packet from... и все дальше думает и выкидывает TLS Error ... (check your network...)

Содержание
Сообщения в этом обсуждении
"Что нужно открыть для OpenVPN?"
Отправлено ze6ra , 27-Ноя-09 12:46 
>[оверквотинг удален]
>tls-auth ta.key 1
>
>comp-lzo
>
>verb 3
>
>Что еще нужно открыть, кроме соедниния по udp порту 1194?? Телнетом на
>адрес x.y.z.w 1194 тоже не подключается. На сервере появляется строка TLS:
>Initial packet from... и все дальше думает и выкидывает TLS Error
>... (check your network...)

сервер должен впускать udp на свой порт 1194 и выпускать со своего udp 1194 на любой порт.
клиент соответственно выпускать upd на удалённый 1194 и принимать udp с порта 1194.

в tls-auth на сервере должен ссылаться на тотже ключ что и клиент и параметр tls-auth direction должен быть равен 0.

telnet делаел tcp подключение c udp он не поможет.

"Что нужно открыть для OpenVPN?"
Отправлено ALex_hha , 27-Ноя-09 13:31 
Ты всегда можешь проверить с помощью tcpdump
"Что нужно открыть для OpenVPN?"
Отправлено IvanSCW , 01-Дек-09 10:39 
Блин, все равно не хочет подключаться

На серваке видно, что начинается соединение, появляется сообщение:

TLS: Initial packet from ... , sid ...

Потом думает и отваливается

TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity).

Я так понял админ в той сети еще ни чего не изменял, потому что все не может понять, что я от него хочу. Может проблема в другом...


"Что нужно открыть для OpenVPN?"
Отправлено ze6ra , 01-Дек-09 11:53 
>[оверквотинг удален]
>TLS: Initial packet from ... , sid ...
>
>Потом думает и отваливается
>
>TLS Error: TLS key negotiation failed to occur within 60 seconds (check
>your network connectivity).
>
>Я так понял админ в той сети еще ни чего не изменял,
>потому что все не может понять, что я от него хочу.
>Может проблема в другом...

Логи у openvpn ведутся не только на сервере но и у клиента.
Неплохо бы tcpdump задействовать.
Можно попробовать настроить тунель без TLS и шифрований.

"Что нужно открыть для OpenVPN?"
Отправлено IvanSCW , 01-Дек-09 11:58 
У меня все крутиться на win платформе


У клиента:

OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Control Channel Authentication: using 'c:\Program Files\OpenVPN\easy-rsa\keys\ta.key' as a OpenVPN static key file
Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
LZO compression initialized
UDPv4 link local: [undef]
UDPv4 link remote: x.y.z.w:41194
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
TLS Error: TLS handshake failed
TCP/UDP: Closing socket
SIGUSR1[soft,tls-error] received, process restarting
Restart pause, 2 second(s)

IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Re-using SSL/TLS context
LZO compression initialized
UDPv4 link local: [undef]
UDPv4 link remote: x.y.z.w:41194
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
TLS Error: TLS handshake failed
TCP/UDP: Closing socket
SIGUSR1[soft,tls-error] received, process restarting
Restart pause, 2 second(s)
IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
.....

"Что нужно открыть для OpenVPN?"
Отправлено ze6ra , 01-Дек-09 13:04 
Есть такая программа tcpdump


"Что нужно открыть для OpenVPN?"
Отправлено IvanSCW , 01-Дек-09 16:51 
Посмотрел другим анализатором трафика. Похоже что так и есть, пакеты с внутреннего адреса 192.168.21.18 уходят на внешний адрес, но обратных пакетов я не вижу. Как сформулировать это для местного админа?
"Весь трафик приходящий из интернета на порт 1194 перенаправлять на такие то ip-шники"?
"Что нужно открыть для OpenVPN?"
Отправлено IvanSCW , 01-Дек-09 18:02 
А на локальной машине openvpn привязывается к какому то конкретному порту?

"Что нужно открыть для OpenVPN?"
Отправлено PavelR , 01-Дек-09 18:06 
>А на локальной машине openvpn привязывается к какому то конкретному порту?

Посольку по пути у вас есть неопределенный NAT, попробуйте настроить openvpn на работу по tcp (с обеих сторон).

"Что нужно открыть для OpenVPN?"
Отправлено Алексей , 15-Июл-11 13:49 
>>А на локальной машине openvpn привязывается к какому то конкретному порту?
> Посольку по пути у вас есть неопределенный NAT, попробуйте настроить openvpn на
> работу по tcp (с обеих сторон).

Два дня боролся с этой проблемой, сменил протокол на TCP, все заработало!!!
Видимо такие udp пакеты режутся на уровне провайдера

"Что нужно открыть для OpenVPN?"
Отправлено FelikZ , 22-Мрт-16 02:34 
>>>А на локальной машине openvpn привязывается к какому то конкретному порту?
>> Посольку по пути у вас есть неопределенный NAT, попробуйте настроить openvpn на
>> работу по tcp (с обеих сторон).
> Два дня боролся с этой проблемой, сменил протокол на TCP, все заработало!!!
> Видимо такие udp пакеты режутся на уровне провайдера

Тоже самое, помогло.

"Что нужно открыть для OpenVPN?"
Отправлено Le0n , 17-Май-16 21:36 
>>>>А на локальной машине openvpn привязывается к какому то конкретному порту?
>>> Посольку по пути у вас есть неопределенный NAT, попробуйте настроить openvpn на
>>> работу по tcp (с обеих сторон).
>> Два дня боролся с этой проблемой, сменил протокол на TCP, все заработало!!!
>> Видимо такие udp пакеты режутся на уровне провайдера
> Тоже самое, помогло.

У меня была та же серия ошибок (судя по вашим логам).
Это означает (вероятно), что не совпадают алгоритмы хешей аутентификации.
Решилось следующим образом:
На обоих сторонах (в конфигах сервера и клиента) добавил строку:
auth SHA512

Запахало сходу...

"Что нужно открыть для OpenVPN?"
Отправлено Alex , 03-Сен-19 16:07 
>[оверквотинг удален]
>>>> работу по tcp (с обеих сторон).
>>> Два дня боролся с этой проблемой, сменил протокол на TCP, все заработало!!!
>>> Видимо такие udp пакеты режутся на уровне провайдера
>> Тоже самое, помогло.
> У меня была та же серия ошибок (судя по вашим логам).
> Это означает (вероятно), что не совпадают алгоритмы хешей аутентификации.
> Решилось следующим образом:
> На обоих сторонах (в конфигах сервера и клиента) добавил строку:
> auth SHA512
> Запахало сходу...

"Что нужно открыть для OpenVPN?"
Отправлено Лэйла , 03-Май-20 13:55 
>>>А на локальной машине openvpn привязывается к какому то конкретному порту?
>> Посольку по пути у вас есть неопределенный NAT, попробуйте настроить openvpn на
>> работу по tcp (с обеих сторон).
> Два дня боролся с этой проблемой, сменил протокол на TCP, все заработало!!!
> Видимо такие udp пакеты режутся на уровне провайдера

Спасибо! Сменила провайдера с ростелеком на мегафон, и сразу подключилось!