Не работающий Openvpn
Добавлено: 20 июн 2013, 11:51
Добрый день всем!
Имееется роутер Mikrotik 2011UAS-2HnD, RouterOS v5.20. На нем настроен Openvpn-сервер следующей конфигурации:
###
interface ovpn-server server print
enabled: yes
port: 1194
mode: ip
netmask: 24
mac-address: FE:5D:25:2C:19:5E
max-mtu: 1500
keepalive-timeout: 60
default-profile: ovpn
certificate: cert2
require-client-certificate: yes
auth: sha1,md5
cipher: blowfish128,aes128
###
ppp profile print
name="ovpn" local-address=10.16.0.49 remote-address=ovpn-pool use-mpls=no use-compression=no use-vj-compression=no use-encryption=no only-one=default change-tcp-mss=default
###
ip pool print
1 ovpn-pool 10.16.0.50-10.16.0.100
###
ppp secret print
# NAME SERVICE CALLER-ID PASSWORD PROFILE
0 user any pass ovpn
К нему коннектится клиент - роутер с dd-wrt+Optware.
На нем конфигурация:
dev tun
proto tcp-client
remote 192.168.1.1 1194 # Remote OpenVPN Servername or IP address
ca /opt/keys/ca.crt
cert /opt/keys/client-bach.crt
key opt/keys/client-bach.key
tls-client
ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key
verb 3
cipher AES-128-CBC
auth SHA1
pull
auth-user-pass /opt/keys/auth.cfg
Вроде настроил все, как написано в мануалах. В файервол разрешающее правило тоже добавил:
1 ;;; OpenVPN
chain=input action=accept protocol=tcp dst-port=1194
Изначально, после настройки роутеры соединились и проработали так пару дней. Потом соединение внезапно обвалилось и с тех пор я не могу больше заставить их соединиться.
Вот лог клиента при попытке соединения:
Sun Jun 16 21:14:34 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Jun 16 21:14:34 2013 Re-using SSL/TLS context
Sun Jun 16 21:14:34 2013 Control Channel MTU parms [ L:1559 D:140 EF:40 EB:0 ET:0 EL:0 ]
Sun Jun 16 21:14:34 2013 Socket Buffers: R=[87380->131072] S=[16384->131072]
Sun Jun 16 21:14:34 2013 Data Channel MTU parms [ L:1559 D:1450 EF:59 EB:4 ET:0 EL:0 ]
Sun Jun 16 21:14:34 2013 Local Options hash (VER=V4): '30065675'
Sun Jun 16 21:14:34 2013 Expected Remote Options hash (VER=V4): '37840390'
Sun Jun 16 21:14:34 2013 Attempting to establish TCP connection with 91.205.216.108:1194 [nonblock]
Sun Jun 16 21:14:35 2013 TCP connection established with 192.168.1.1:1194
Sun Jun 16 21:14:35 2013 TCPv4_CLIENT link local: [undef]
Sun Jun 16 21:14:35 2013 TCPv4_CLIENT link remote: 192.168.1.1:1194
Sun Jun 16 21:15:20 2013 [UNDEF] Inactivity timeout (--ping-restart), restarting
Sun Jun 16 21:15:20 2013 TCP/UDP: Closing socket
Sun Jun 16 21:15:20 2013 SIGUSR1[soft,ping-restart] received, process restarting
Sun Jun 16 21:15:20 2013 Restart pause, 5 second(s)
Клиент не получает ответа от сервера за заданный промежуток времени и отваливается...
А вот логи самого Микротика абсолютно чисты, без малейшего намека хотя бы на попытку коннекта откуда-нибудь.
Время на обоих роутерах синхронизируется с одним и тем же сервером.
Разрешающее правило файрвола стоит первым в списке, перед всеми запрещающими.
Кто настраивал подобные конфигурации поделитесь мыслями по поводу, бо мои закончились, а сделать надо на вчера .
Имееется роутер Mikrotik 2011UAS-2HnD, RouterOS v5.20. На нем настроен Openvpn-сервер следующей конфигурации:
###
interface ovpn-server server print
enabled: yes
port: 1194
mode: ip
netmask: 24
mac-address: FE:5D:25:2C:19:5E
max-mtu: 1500
keepalive-timeout: 60
default-profile: ovpn
certificate: cert2
require-client-certificate: yes
auth: sha1,md5
cipher: blowfish128,aes128
###
ppp profile print
name="ovpn" local-address=10.16.0.49 remote-address=ovpn-pool use-mpls=no use-compression=no use-vj-compression=no use-encryption=no only-one=default change-tcp-mss=default
###
ip pool print
1 ovpn-pool 10.16.0.50-10.16.0.100
###
ppp secret print
# NAME SERVICE CALLER-ID PASSWORD PROFILE
0 user any pass ovpn
К нему коннектится клиент - роутер с dd-wrt+Optware.
На нем конфигурация:
dev tun
proto tcp-client
remote 192.168.1.1 1194 # Remote OpenVPN Servername or IP address
ca /opt/keys/ca.crt
cert /opt/keys/client-bach.crt
key opt/keys/client-bach.key
tls-client
ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key
verb 3
cipher AES-128-CBC
auth SHA1
pull
auth-user-pass /opt/keys/auth.cfg
Вроде настроил все, как написано в мануалах. В файервол разрешающее правило тоже добавил:
1 ;;; OpenVPN
chain=input action=accept protocol=tcp dst-port=1194
Изначально, после настройки роутеры соединились и проработали так пару дней. Потом соединение внезапно обвалилось и с тех пор я не могу больше заставить их соединиться.
Вот лог клиента при попытке соединения:
Sun Jun 16 21:14:34 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Jun 16 21:14:34 2013 Re-using SSL/TLS context
Sun Jun 16 21:14:34 2013 Control Channel MTU parms [ L:1559 D:140 EF:40 EB:0 ET:0 EL:0 ]
Sun Jun 16 21:14:34 2013 Socket Buffers: R=[87380->131072] S=[16384->131072]
Sun Jun 16 21:14:34 2013 Data Channel MTU parms [ L:1559 D:1450 EF:59 EB:4 ET:0 EL:0 ]
Sun Jun 16 21:14:34 2013 Local Options hash (VER=V4): '30065675'
Sun Jun 16 21:14:34 2013 Expected Remote Options hash (VER=V4): '37840390'
Sun Jun 16 21:14:34 2013 Attempting to establish TCP connection with 91.205.216.108:1194 [nonblock]
Sun Jun 16 21:14:35 2013 TCP connection established with 192.168.1.1:1194
Sun Jun 16 21:14:35 2013 TCPv4_CLIENT link local: [undef]
Sun Jun 16 21:14:35 2013 TCPv4_CLIENT link remote: 192.168.1.1:1194
Sun Jun 16 21:15:20 2013 [UNDEF] Inactivity timeout (--ping-restart), restarting
Sun Jun 16 21:15:20 2013 TCP/UDP: Closing socket
Sun Jun 16 21:15:20 2013 SIGUSR1[soft,ping-restart] received, process restarting
Sun Jun 16 21:15:20 2013 Restart pause, 5 second(s)
Клиент не получает ответа от сервера за заданный промежуток времени и отваливается...
А вот логи самого Микротика абсолютно чисты, без малейшего намека хотя бы на попытку коннекта откуда-нибудь.
Время на обоих роутерах синхронизируется с одним и тем же сервером.
Разрешающее правило файрвола стоит первым в списке, перед всеми запрещающими.
Кто настраивал подобные конфигурации поделитесь мыслями по поводу, бо мои закончились, а сделать надо на вчера .