forum.opennet.ru - "Что нужно открыть для OpenVPN?" (14)

"Что нужно открыть для OpenVPN?"

Форум Открытые системы на сервере (Сеть. проблемы, диагностика / Другая система)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Что нужно открыть для OpenVPN?"	+1 +/–
Сообщение от IvanSCW (ok), 27-Ноя-09, 12:18
Наша компания арендует в офисе другой компании одну комнату, в которой стоит пару компьютеров. Поставил на одном из компьютеров OpenVPN для создания канала в нашу сеть. Админ той, другой сети просит описать то, что куда соединяется и что нужно открыть для OpenVPN. Вот конфиг клиента: client dev tun proto udp remote x.y.z.w 1194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert client.crt key client.key tls-auth ta.key 1 comp-lzo verb 3 Что еще нужно открыть, кроме соедниния по udp порту 1194?? Телнетом на адрес x.y.z.w 1194 тоже не подключается. На сервере появляется строка TLS: Initial packet from... и все дальше думает и выкидывает TLS Error ... (check your network...)
Ответить \| Правка \| Cообщить модератору

Оглавление

gt оверквотинг удален сервер должен впускать udp на свой порт 1194 и выпускать, ze6ra (ok), 12:46 , 27-Ноя-09, (1)
Ты всегда можешь проверить с помощью tcpdump, ALex_hha (ok), 13:31 , 27-Ноя-09, (2)

Блин, все равно не хочет подключатьсяНа серваке видно, что начинается соединение, IvanSCW (ok), 10:39 , 01-Дек-09, (3)

gt оверквотинг удален Логи у openvpn ведутся не только на сервере но и у клиен, ze6ra (ok), 11:53 , 01-Дек-09, (4)

У меня все крутиться на win платформеУ клиента OpenVPN 2 0 9 Win32-MinGW SSL , IvanSCW (ok), 11:58 , 01-Дек-09, (5)

Есть такая программа tcpdump, ze6ra (ok), 13:04 , 01-Дек-09, (6)

Посмотрел другим анализатором трафика Похоже что так и есть, пакеты с внутренне, IvanSCW (ok), 16:51 , 01-Дек-09, (7)

А на локальной машине openvpn привязывается к какому то конкретному порту , IvanSCW (ok), 18:02 , 01-Дек-09, (8)

Посольку по пути у вас есть неопределенный NAT, попробуйте настроить openvpn на , PavelR (??), 18:06 , 01-Дек-09, (9)

Два дня боролся с этой проблемой, сменил протокол на TCP, все заработало Видим, Алексей (??), 13:49 , 15-Июл-11, (10)

Тоже самое, помогло , FelikZ (?), 02:34 , 22-Мрт-16, (11)

У меня была та же серия ошибок судя по вашим логам Это означает вероятно , чт, Le0n (?), 21:36 , 17-Май-16, (12)

gt оверквотинг удален , Alex (??), 16:07 , 03-Сен-19, (13)

Спасибо Сменила провайдера с ростелеком на мегафон, и сразу подключилось , Лэйла (?), 13:55 , 03-Май-20, (14)

Сообщения [Сортировка по времени | RSS]

1. "Что нужно открыть для OpenVPN?" +/–

Сообщение от ze6ra (ok), 27-Ноя-09, 12:46

>[оверквотинг удален]
>tls-auth ta.key 1
>
>comp-lzo
>
>verb 3
>
>Что еще нужно открыть, кроме соедниния по udp порту 1194?? Телнетом на
>адрес x.y.z.w 1194 тоже не подключается. На сервере появляется строка TLS:
>Initial packet from... и все дальше думает и выкидывает TLS Error
>... (check your network...)
сервер должен впускать udp на свой порт 1194 и выпускать со своего udp 1194 на любой порт.
клиент соответственно выпускать upd на удалённый 1194 и принимать udp с порта 1194.
в tls-auth на сервере должен ссылаться на тотже ключ что и клиент и параметр tls-auth direction должен быть равен 0.
telnet делаел tcp подключение c udp он не поможет.

Ответить | Правка | Наверх | Cообщить модератору

2. "Что нужно открыть для OpenVPN?" +/–

Сообщение от ALex_hha (ok), 27-Ноя-09, 13:31

Ты всегда можешь проверить с помощью tcpdump

Ответить | Правка | Наверх | Cообщить модератору

3. "Что нужно открыть для OpenVPN?" +/–

Сообщение от IvanSCW (ok), 01-Дек-09, 10:39

Блин, все равно не хочет подключаться
На серваке видно, что начинается соединение, появляется сообщение:
TLS: Initial packet from ... , sid ...
Потом думает и отваливается
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity).
Я так понял админ в той сети еще ни чего не изменял, потому что все не может понять, что я от него хочу. Может проблема в другом...

Ответить | Правка | Наверх | Cообщить модератору

4. "Что нужно открыть для OpenVPN?" +/–

Сообщение от ze6ra (ok), 01-Дек-09, 11:53

>[оверквотинг удален]
>TLS: Initial packet from ... , sid ...
>
>Потом думает и отваливается
>
>TLS Error: TLS key negotiation failed to occur within 60 seconds (check
>your network connectivity).
>
>Я так понял админ в той сети еще ни чего не изменял,
>потому что все не может понять, что я от него хочу.
>Может проблема в другом...
Логи у openvpn ведутся не только на сервере но и у клиента.
Неплохо бы tcpdump задействовать.
Можно попробовать настроить тунель без TLS и шифрований.

Ответить | Правка | Наверх | Cообщить модератору

5. "Что нужно открыть для OpenVPN?" +/–

Сообщение от IvanSCW (ok), 01-Дек-09, 11:58

У меня все крутиться на win платформе

У клиента:
OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Control Channel Authentication: using 'c:\Program Files\OpenVPN\easy-rsa\keys\ta.key' as a OpenVPN static key file
Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
LZO compression initialized
UDPv4 link local: [undef]
UDPv4 link remote: x.y.z.w:41194
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
TLS Error: TLS handshake failed
TCP/UDP: Closing socket
SIGUSR1[soft,tls-error] received, process restarting
Restart pause, 2 second(s)
IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Re-using SSL/TLS context
LZO compression initialized
UDPv4 link local: [undef]
UDPv4 link remote: x.y.z.w:41194
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
TLS Error: TLS handshake failed
TCP/UDP: Closing socket
SIGUSR1[soft,tls-error] received, process restarting
Restart pause, 2 second(s)
IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
.....

Ответить | Правка | Наверх | Cообщить модератору

6. "Что нужно открыть для OpenVPN?" +/–

Сообщение от ze6ra (ok), 01-Дек-09, 13:04

Есть такая программа tcpdump

Ответить | Правка | Наверх | Cообщить модератору

7. "Что нужно открыть для OpenVPN?" +/–

Сообщение от IvanSCW (ok), 01-Дек-09, 16:51

Посмотрел другим анализатором трафика. Похоже что так и есть, пакеты с внутреннего адреса 192.168.21.18 уходят на внешний адрес, но обратных пакетов я не вижу. Как сформулировать это для местного админа?
"Весь трафик приходящий из интернета на порт 1194 перенаправлять на такие то ip-шники"?

Ответить | Правка | Наверх | Cообщить модератору

8. "Что нужно открыть для OpenVPN?" +/–

Сообщение от IvanSCW (ok), 01-Дек-09, 18:02

А на локальной машине openvpn привязывается к какому то конкретному порту?

Ответить | Правка | Наверх | Cообщить модератору

9. "Что нужно открыть для OpenVPN?" +/–

Сообщение от PavelR (??), 01-Дек-09, 18:06

>А на локальной машине openvpn привязывается к какому то конкретному порту?
Посольку по пути у вас есть неопределенный NAT, попробуйте настроить openvpn на работу по tcp (с обеих сторон).

Ответить | Правка | Наверх | Cообщить модератору

10. "Что нужно открыть для OpenVPN?" +/–

Сообщение от Алексей (??), 15-Июл-11, 13:49

>>А на локальной машине openvpn привязывается к какому то конкретному порту?
> Посольку по пути у вас есть неопределенный NAT, попробуйте настроить openvpn на
> работу по tcp (с обеих сторон).
Два дня боролся с этой проблемой, сменил протокол на TCP, все заработало!!!
Видимо такие udp пакеты режутся на уровне провайдера

Ответить | Правка | Наверх | Cообщить модератору

11. "Что нужно открыть для OpenVPN?" +/–

Сообщение от FelikZ (?), 22-Мрт-16, 02:34

>>>А на локальной машине openvpn привязывается к какому то конкретному порту?
>> Посольку по пути у вас есть неопределенный NAT, попробуйте настроить openvpn на
>> работу по tcp (с обеих сторон).
> Два дня боролся с этой проблемой, сменил протокол на TCP, все заработало!!!
> Видимо такие udp пакеты режутся на уровне провайдера
Тоже самое, помогло.

Ответить | Правка | Наверх | Cообщить модератору

12. "Что нужно открыть для OpenVPN?" +/–

Сообщение от Le0n (?), 17-Май-16, 21:36

>>>>А на локальной машине openvpn привязывается к какому то конкретному порту?
>>> Посольку по пути у вас есть неопределенный NAT, попробуйте настроить openvpn на
>>> работу по tcp (с обеих сторон).
>> Два дня боролся с этой проблемой, сменил протокол на TCP, все заработало!!!
>> Видимо такие udp пакеты режутся на уровне провайдера
> Тоже самое, помогло.
У меня была та же серия ошибок (судя по вашим логам).
Это означает (вероятно), что не совпадают алгоритмы хешей аутентификации.
Решилось следующим образом:
На обоих сторонах (в конфигах сервера и клиента) добавил строку:
auth SHA512
Запахало сходу...

Ответить | Правка | Наверх | Cообщить модератору

13. "Что нужно открыть для OpenVPN?" +/–

Сообщение от Alex (??), 03-Сен-19, 16:07

>[оверквотинг удален]
>>>> работу по tcp (с обеих сторон).
>>> Два дня боролся с этой проблемой, сменил протокол на TCP, все заработало!!!
>>> Видимо такие udp пакеты режутся на уровне провайдера
>> Тоже самое, помогло.
> У меня была та же серия ошибок (судя по вашим логам).
> Это означает (вероятно), что не совпадают алгоритмы хешей аутентификации.
> Решилось следующим образом:
> На обоих сторонах (в конфигах сервера и клиента) добавил строку:
> auth SHA512
> Запахало сходу...

Ответить | Правка | Наверх | Cообщить модератору

14. "Что нужно открыть для OpenVPN?" +/–

Сообщение от Лэйла (?), 03-Май-20, 13:55

>>>А на локальной машине openvpn привязывается к какому то конкретному порту?
>> Посольку по пути у вас есть неопределенный NAT, попробуйте настроить openvpn на
>> работу по tcp (с обеих сторон).
> Два дня боролся с этой проблемой, сменил протокол на TCP, все заработало!!!
> Видимо такие udp пакеты режутся на уровне провайдера
Спасибо! Сменила провайдера с ростелеком на мегафон, и сразу подключилось!

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Что нужно открыть для OpenVPN?"	+/–
Сообщение от ze6ra (ok), 27-Ноя-09, 12:46
>[оверквотинг удален] >tls-auth ta.key 1 > >comp-lzo > >verb 3 > >Что еще нужно открыть, кроме соедниния по udp порту 1194?? Телнетом на >адрес x.y.z.w 1194 тоже не подключается. На сервере появляется строка TLS: >Initial packet from... и все дальше думает и выкидывает TLS Error >... (check your network...) сервер должен впускать udp на свой порт 1194 и выпускать со своего udp 1194 на любой порт. клиент соответственно выпускать upd на удалённый 1194 и принимать udp с порта 1194. в tls-auth на сервере должен ссылаться на тотже ключ что и клиент и параметр tls-auth direction должен быть равен 0. telnet делаел tcp подключение c udp он не поможет.
Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Что нужно открыть для OpenVPN?"	+/–
Сообщение от ALex_hha (ok), 27-Ноя-09, 13:31
Ты всегда можешь проверить с помощью tcpdump
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Что нужно открыть для OpenVPN?"	+/–
	Сообщение от IvanSCW (ok), 01-Дек-09, 10:39
	Блин, все равно не хочет подключаться На серваке видно, что начинается соединение, появляется сообщение: TLS: Initial packet from ... , sid ... Потом думает и отваливается TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity). Я так понял админ в той сети еще ни чего не изменял, потому что все не может понять, что я от него хочу. Может проблема в другом...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Что нужно открыть для OpenVPN?"	+/–
	Сообщение от ze6ra (ok), 01-Дек-09, 11:53
	>[оверквотинг удален] >TLS: Initial packet from ... , sid ... > >Потом думает и отваливается > >TLS Error: TLS key negotiation failed to occur within 60 seconds (check >your network connectivity). > >Я так понял админ в той сети еще ни чего не изменял, >потому что все не может понять, что я от него хочу. >Может проблема в другом... Логи у openvpn ведутся не только на сервере но и у клиента. Неплохо бы tcpdump задействовать. Можно попробовать настроить тунель без TLS и шифрований.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Что нужно открыть для OpenVPN?"	+/–
	Сообщение от IvanSCW (ok), 01-Дек-09, 11:58
	У меня все крутиться на win платформе У клиента: OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port. WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. Control Channel Authentication: using 'c:\Program Files\OpenVPN\easy-rsa\keys\ta.key' as a OpenVPN static key file Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication LZO compression initialized UDPv4 link local: [undef] UDPv4 link remote: x.y.z.w:41194 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) TLS Error: TLS handshake failed TCP/UDP: Closing socket SIGUSR1[soft,tls-error] received, process restarting Restart pause, 2 second(s) IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port. WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. Re-using SSL/TLS context LZO compression initialized UDPv4 link local: [undef] UDPv4 link remote: x.y.z.w:41194 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) TLS Error: TLS handshake failed TCP/UDP: Closing socket SIGUSR1[soft,tls-error] received, process restarting Restart pause, 2 second(s) IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port. .....
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Что нужно открыть для OpenVPN?"	+/–
	Сообщение от ze6ra (ok), 01-Дек-09, 13:04
	Есть такая программа tcpdump
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Что нужно открыть для OpenVPN?"	+/–
	Сообщение от IvanSCW (ok), 01-Дек-09, 16:51
	Посмотрел другим анализатором трафика. Похоже что так и есть, пакеты с внутреннего адреса 192.168.21.18 уходят на внешний адрес, но обратных пакетов я не вижу. Как сформулировать это для местного админа? "Весь трафик приходящий из интернета на порт 1194 перенаправлять на такие то ip-шники"?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Что нужно открыть для OpenVPN?"	+/–
	Сообщение от IvanSCW (ok), 01-Дек-09, 18:02
	А на локальной машине openvpn привязывается к какому то конкретному порту?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Что нужно открыть для OpenVPN?"	+/–
	Сообщение от PavelR (??), 01-Дек-09, 18:06
	>А на локальной машине openvpn привязывается к какому то конкретному порту? Посольку по пути у вас есть неопределенный NAT, попробуйте настроить openvpn на работу по tcp (с обеих сторон).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Что нужно открыть для OpenVPN?"	+/–
	Сообщение от Алексей (??), 15-Июл-11, 13:49
	>>А на локальной машине openvpn привязывается к какому то конкретному порту? > Посольку по пути у вас есть неопределенный NAT, попробуйте настроить openvpn на > работу по tcp (с обеих сторон). Два дня боролся с этой проблемой, сменил протокол на TCP, все заработало!!! Видимо такие udp пакеты режутся на уровне провайдера
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Что нужно открыть для OpenVPN?"	+/–
	Сообщение от FelikZ (?), 22-Мрт-16, 02:34
	>>>А на локальной машине openvpn привязывается к какому то конкретному порту? >> Посольку по пути у вас есть неопределенный NAT, попробуйте настроить openvpn на >> работу по tcp (с обеих сторон). > Два дня боролся с этой проблемой, сменил протокол на TCP, все заработало!!! > Видимо такие udp пакеты режутся на уровне провайдера Тоже самое, помогло.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Что нужно открыть для OpenVPN?"	+/–
	Сообщение от Le0n (?), 17-Май-16, 21:36
	>>>>А на локальной машине openvpn привязывается к какому то конкретному порту? >>> Посольку по пути у вас есть неопределенный NAT, попробуйте настроить openvpn на >>> работу по tcp (с обеих сторон). >> Два дня боролся с этой проблемой, сменил протокол на TCP, все заработало!!! >> Видимо такие udp пакеты режутся на уровне провайдера > Тоже самое, помогло. У меня была та же серия ошибок (судя по вашим логам). Это означает (вероятно), что не совпадают алгоритмы хешей аутентификации. Решилось следующим образом: На обоих сторонах (в конфигах сервера и клиента) добавил строку: auth SHA512 Запахало сходу...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Что нужно открыть для OpenVPN?"	+/–
	Сообщение от Alex (??), 03-Сен-19, 16:07
	>[оверквотинг удален] >>>> работу по tcp (с обеих сторон). >>> Два дня боролся с этой проблемой, сменил протокол на TCP, все заработало!!! >>> Видимо такие udp пакеты режутся на уровне провайдера >> Тоже самое, помогло. > У меня была та же серия ошибок (судя по вашим логам). > Это означает (вероятно), что не совпадают алгоритмы хешей аутентификации. > Решилось следующим образом: > На обоих сторонах (в конфигах сервера и клиента) добавил строку: > auth SHA512 > Запахало сходу...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Что нужно открыть для OpenVPN?"	+/–
	Сообщение от Лэйла (?), 03-Май-20, 13:55
	>>>А на локальной машине openvpn привязывается к какому то конкретному порту? >> Посольку по пути у вас есть неопределенный NAT, попробуйте настроить openvpn на >> работу по tcp (с обеих сторон). > Два дня боролся с этой проблемой, сменил протокол на TCP, все заработало!!! > Видимо такие udp пакеты режутся на уровне провайдера Спасибо! Сменила провайдера с ростелеком на мегафон, и сразу подключилось!
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору