А подскажите, плз, по openvpn
Есть серв на centos, поднял, сконфигурировал, запустил. Клиент не подключается, порт открыт, не коннектится к серваку. Логи самого сервиса пустые, полез в syslog, а там она такого насрал…
MULTI: REAP range 112 -> 128
MULTI TCP: multi_tcp_action a=TA_TUN_READ p=0
MULTI TCP: multi_tcp_dispatch a=TA_TUN_READ mi=0x00000000
MULTI TCP: multi_tcp_post TA_TUN_READ -> TA_UNDEF

и так каждую секунду. Несмотря на то, что клиент уже и не пытается подключиться.
Я так понял, это форвард с тсп на удп, несмотря на то, что сервак на тсп, клиент тоже. Логи засирает просто адски.
В чем причина может быть?

Tagged with →  

38 Responses to Openvpn на centos

  1. YmxIT:

    lsmod | grep tun
    cat /proc/sys/net/ipv4/ip_forward

  2. Nafer:

    tun 17051 1

    Форвардинг включен

  3. YmxIT:

    в логах openvpn пусто? verb какой стоит?
    ну и сами конфиги тоже кинь

  4. Nafer:

    verb 7
    cat /etc/openvpn/openvpn-status.log
    OpenVPN CLIENT LIST
    Updated,Thu Oct 11 12:22:14 2012
    Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
    ROUTING TABLE
    Virtual Address,Common Name,Real Address,Last Ref
    GLOBAL STATS
    Max bcast/mcast queue length,0
    END

    конфиг
    port 1149
    proto tcp
    dev tap0
    ca /etc/openvpn/easy-rsa/keys/ca.crt
    cert /etc/openvpn/easy-rsa/keys/server.crt
    key /etc/openvpn/easy-rsa/keys/server.key
    dh /etc/openvpn/easy-rsa/keys/dh1024.pem
    server-bridge 192.168.13.0 255.255.255.0 192.168.13.80 192.168.13.120
    push «route 192.168.13.0 255.255.255.0»
    persist-key
    persist-tun
    comp-lzo
    status /etc/openvpn/openvpn-status.log
    log /etc/openvpn/openvpn.log
    verb 7

  5. YmxIT:

    и вообще чем больше кинешь тем лучше 🙂

  6. Nafer:

    конфиг клиента
    client
    dev tap0
    proto tcp
    remote xxx.xxx.xxx.xxx 1149
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    ca ca.crt
    cert client.crt
    key client.key
    ns-cert-type server
    comp-lzo
    verb 3

  7. YmxIT:

    tap пробовал ставить? что тогда пишет?

  8. YmxIT:

    ну всмысле tun

  9. Nafer:

    сделал tunб все равно срет тем же самым

  10. Too:

    первая строчка ок, вторая — по дефолту нолик, у меня в рабочем конфиге нолик — т.е. с таким же успехом можно было предложить результат вывода ls и rm -rf /* показать.

  11. Too:

    форвардинг не нужен.

  12. Too:

    а почему tap, а не tun? ось клиента какая? сервер, как я уже догадался, никсовый.

  13. Nafer:

    нужен, потому что шлюз и нат

  14. Too:

    service openvpn stop
    openvpn —config /etc/openvpn/server.conf
    и client.conf (на клиенте соответственно). ось клиента.
    Что выдает?

  15. Nafer:

    клиент винда ХР х86

  16. Too:

    ну влияет он на openvpn без раутов примерно как погода на марсе на жизнь млекопитающих. Скажем так — пруф базовой работоспособности vpn это хождение icmp от клиента к серверу.

  17. Too:

    во, понятно теперь, откуда пляски.
    Настоятельно рекомендую поменять dev на tun0 на сервере и на tun на клиенте. Вчера, буквально, плясали по этой проблеме — винда имеет несколько специфические особенности при работе с опенвпн:
    Ребут нужен после инсталла tap сетевого интерфейса.
    Запускать от админа.
    По крайней мере справедливо для win7/8.
    Логи клиента в студию?
    Есть ли никсовый клиент для чистоты эксперимента?

  18. Too:

    еще вопросы — а зачем tcp? патсаны из соседнего двора говорят что tcp оверхед большой и если ты вааще не одупляешь, зачем тебе тэцэпэ (ну там потусоваться с пивком вдали от чужих глаз!), то тэцэпэ тебе и не нужно — и удп твоя опция!

  19. Nafer:

    да пох на клиента. Почему он в логи срет?

  20. Too:

    фиговые логи видать
    service openvpn stop
    openvpn ––config /etc/openvpn/server.conf

    чо говорит?

  21. Nafer:

    сервак openvpn на шлюзе поднят, форвардинг для сети нужен, а не для впна

  22. Too:

    я понял уже, вопрос снят.

  23. Too:

    фиговые логи — это я к тому, что нафига смотреть в сислог, когда можно читать все из stdout при запуске в таком вот режиме.

  24. Nafer:

    ничего. вообще ничего.
    в логах опять
    Thu Oct 11 15:39:39 2012 us=248537 MULTI: REAP range 112 -> 128
    Thu Oct 11 15:39:39 2012 us=248600 MULTI TCP: multi_tcp_action a=TA_TIMEOUT p=0
    Thu Oct 11 15:39:39 2012 us=248620 MULTI TCP: multi_tcp_dispatch a=TA_TIMEOUT mi=0x00000000
    Thu Oct 11 15:39:39 2012 us=248638 MULTI TCP: multi_tcp_post TA_TIMEOUT -> TA_UNDEF
    Thu Oct 11 15:39:49 2012 us=248538 MULTI: REAP range 128 -> 144
    Thu Oct 11 15:39:49 2012 us=248649 MULTI TCP: multi_tcp_action a=TA_TIMEOUT p=0
    Thu Oct 11 15:39:49 2012 us=248668 MULTI TCP: multi_tcp_dispatch a=TA_TIMEOUT mi=0x00000000
    Thu Oct 11 15:39:49 2012 us=248686 MULTI TCP: multi_tcp_post TA_TIMEOUT -> TA_UNDEF
    Thu Oct 11 15:39:59 2012 us=248536 MULTI: REAP range 144 -> 160
    Thu Oct 11 15:39:59 2012 us=248601 MULTI TCP: multi_tcp_action a=TA_TIMEOUT p=0
    Thu Oct 11 15:39:59 2012 us=248621 MULTI TCP: multi_tcp_dispatch a=TA_TIMEOUT mi=0x00000000
    Thu Oct 11 15:39:59 2012 us=248640 MULTI TCP: multi_tcp_post TA_TIMEOUT -> TA_UNDEF

    единственное, на что жалуется — на существующий маршрут в таблице роутинга
    Thu Oct 11 15:35:39 2012 us=246532 /sbin/ip route add 192.168.13.0/24 via 192.168.13.2
    RTNETLINK answers: File exists
    Thu Oct 11 15:35:39 2012 us=248202 ERROR: Linux route add command failed: external program exited with error status: 2

  25. Too:

    #ip route чо говорит?

  26. Nafer:

    192.168.13.2 dev tun0 proto kernel scope link src 192.168.13.1
    178.209.112.240/29 dev eth0 proto kernel scope link src 178.209.112.242
    192.168.14.0/24 dev vlan14 proto kernel scope link src 192.168.14.1
    192.168.13.0/24 dev br0 proto kernel scope link src 192.168.13.1
    192.168.12.0/24 dev vlan12 proto kernel scope link src 192.168.12.1
    192.168.11.0/24 dev vlan11 proto kernel scope link src 192.168.11.1
    192.168.10.0/24 dev vlan10 proto kernel scope link src 192.168.10.1
    169.254.0.0/16 dev eth0 scope link metric 1002
    169.254.0.0/16 dev br0 scope link metric 1123
    169.254.0.0/16 dev vlan10 scope link metric 1129
    169.254.0.0/16 dev vlan11 scope link metric 1130
    169.254.0.0/16 dev vlan12 scope link metric 1131
    169.254.0.0/16 dev vlan14 scope link metric 1133
    default via 178.209.112.241 dev eth0

  27. Too:

    и давай в тупую — интерфейс при старте сервиса появляется вообще в ifconfig -a?

  28. Too:

    еще патсаны говорят что выше 6 verb не стоит подымать, много всякой чуши будет.
    и попробуй все таки proto udp.
    вроде больше ничего такого, что могло бы заставлять все это дело неработать с ходу не вижу.
    ну и контрольный линукс под рукой есть?

  29. Nafer:

    да сделаю сейчас, виртуальная площадка есть

  30. Too:

    и это, отчего у сервера dh /etc/openvpn/easy–rsa/keys/dh1024.pem есть, а у клиента нет? Я точно не знаю, нафиг он нужен, но это важные расхождения (у меня работает в обоих случаях без)

  31. Nafer:

    дык он и не нужен ему

  32. Too:

    ну, это было предположение.

  33. Nafer:

    не это ключ только для сервака

  34. Too:

    не, я не против, пожалуйста.

  35. Nafer:

    ваще да, на верб3 сидит и молчит. Походу я наебал сам себя

Добавить комментарий