Не работающий Openvpn

Обсуждение ПО и его настройки
Ответить
DarkBlade
Сообщения: 1
Зарегистрирован: 20 июн 2013, 10:44

20 июн 2013, 11:51

Добрый день всем!
Имееется роутер Mikrotik 2011UAS-2HnD, RouterOS v5.20. На нем настроен Openvpn-сервер следующей конфигурации:

###
interface ovpn-server server print
enabled: yes
port: 1194
mode: ip
netmask: 24
mac-address: FE:5D:25:2C:19:5E
max-mtu: 1500
keepalive-timeout: 60
default-profile: ovpn
certificate: cert2
require-client-certificate: yes
auth: sha1,md5
cipher: blowfish128,aes128
###
ppp profile print

name="ovpn" local-address=10.16.0.49 remote-address=ovpn-pool use-mpls=no use-compression=no use-vj-compression=no use-encryption=no only-one=default change-tcp-mss=default

###
ip pool print

1 ovpn-pool 10.16.0.50-10.16.0.100

###
ppp secret print
# NAME SERVICE CALLER-ID PASSWORD PROFILE
0 user any pass ovpn

К нему коннектится клиент - роутер с dd-wrt+Optware.

На нем конфигурация:
dev tun
proto tcp-client
remote 192.168.1.1 1194 # Remote OpenVPN Servername or IP address
ca /opt/keys/ca.crt
cert /opt/keys/client-bach.crt
key opt/keys/client-bach.key
tls-client
ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key
verb 3
cipher AES-128-CBC
auth SHA1
pull
auth-user-pass /opt/keys/auth.cfg


Вроде настроил все, как написано в мануалах. В файервол разрешающее правило тоже добавил:

1 ;;; OpenVPN
chain=input action=accept protocol=tcp dst-port=1194

Изначально, после настройки роутеры соединились и проработали так пару дней. Потом соединение внезапно обвалилось и с тех пор я не могу больше заставить их соединиться.

Вот лог клиента при попытке соединения:
Sun Jun 16 21:14:34 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Jun 16 21:14:34 2013 Re-using SSL/TLS context
Sun Jun 16 21:14:34 2013 Control Channel MTU parms [ L:1559 D:140 EF:40 EB:0 ET:0 EL:0 ]
Sun Jun 16 21:14:34 2013 Socket Buffers: R=[87380->131072] S=[16384->131072]
Sun Jun 16 21:14:34 2013 Data Channel MTU parms [ L:1559 D:1450 EF:59 EB:4 ET:0 EL:0 ]
Sun Jun 16 21:14:34 2013 Local Options hash (VER=V4): '30065675'
Sun Jun 16 21:14:34 2013 Expected Remote Options hash (VER=V4): '37840390'
Sun Jun 16 21:14:34 2013 Attempting to establish TCP connection with 91.205.216.108:1194 [nonblock]
Sun Jun 16 21:14:35 2013 TCP connection established with 192.168.1.1:1194
Sun Jun 16 21:14:35 2013 TCPv4_CLIENT link local: [undef]
Sun Jun 16 21:14:35 2013 TCPv4_CLIENT link remote: 192.168.1.1:1194
Sun Jun 16 21:15:20 2013 [UNDEF] Inactivity timeout (--ping-restart), restarting
Sun Jun 16 21:15:20 2013 TCP/UDP: Closing socket
Sun Jun 16 21:15:20 2013 SIGUSR1[soft,ping-restart] received, process restarting
Sun Jun 16 21:15:20 2013 Restart pause, 5 second(s)

Клиент не получает ответа от сервера за заданный промежуток времени и отваливается...
А вот логи самого Микротика абсолютно чисты, без малейшего намека хотя бы на попытку коннекта откуда-нибудь.
Время на обоих роутерах синхронизируется с одним и тем же сервером.
Разрешающее правило файрвола стоит первым в списке, перед всеми запрещающими.


Кто настраивал подобные конфигурации поделитесь мыслями по поводу, бо мои закончились, а сделать надо на вчера .


CepeLLlka
Сообщения: 9
Зарегистрирован: 09 сен 2013, 14:20

21 ноя 2013, 20:17

У меня такая же фигня.. только у мя в логах пишет, 17:50:39 ovpn,info TCP connection established from *.*.*.*


Неужели никто не сталкивался???


Troglodit
Сообщения: 2
Зарегистрирован: 24 янв 2014, 15:24

24 янв 2014, 15:40

Та же проблема на модели 951G RouterOS 6.3.
Может кто-нибудь уже разобрался?
Проблема возникает при включенном режиме Require Client Certificate


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

24 янв 2014, 16:01

Обновитесь до актуальных версий 6.7 или 5.25
взять отсюда: http://www.mikrotik.com/download


Troglodit
Сообщения: 2
Зарегистрирован: 24 янв 2014, 15:24

24 янв 2014, 16:56

Обновил версию,но результат тот же.
Меня смущают логи клиента, когда пытаюсь соединиться к микротику
WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

Клиент OpenVPN под Windows. Без проверки сертификатов все работает.
В логах микротика:
TCP connection established from ***.***.***.***


В клиенте:
Fri Jan 24 18:08:21 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Jan 24 18:08:21 2014 Attempting to establish TCP connection with [AF_INET]***.***.***.***:1194
Fri Jan 24 18:08:21 2014 MANAGEMENT: >STATE:1390572501,TCP_CONNECT,,,
Fri Jan 24 18:08:21 2014 TCP connection established with [AF_INET]***.***.***.***:1194
Fri Jan 24 18:08:21 2014 TCPv4_CLIENT link local: [undef]
Fri Jan 24 18:08:21 2014 TCPv4_CLIENT link remote: [AF_INET]***.***.***.***:1194
Fri Jan 24 18:08:21 2014 MANAGEMENT: >STATE:1390572501,WAIT,,,
Fri Jan 24 18:08:21 2014 Connection reset, restarting [0]


Ответить