私の目標:

Debian squeezeを実行して、会社のnetcupからvServerにopenVPNをセットアップしたいと思います。クライアントからサーバーへのVPN接続のみが必要です。クライアントはお互いを見ることができないはずです。また、サーバーは他のサービスへのゲートウェイとして機能する必要はありません。

私のセットアップ:

1つのDebiansqueeze vServer、3つのWindows 7クライアント、2つのOS X Lionクライアント、クライアントはすべて私の192.168.xxホームサブネットにあり、サーバーのファイアウォールにはまだ制限が設定されていません。クライアントのファイアウォールは発信接続をブロックしません。この投稿によると、例外としてICMPv4プロトコルが追加されました:OpenVPNサーバーはクライアントにpingを実行できませんサブネットには、WLANルーターとインターネットプロバイダーへのゲートウェイであるfritz.boxルーターがあります。WLANルーターにはファイアウォールがありますが、制限も設定されていません。

私の制限:

これはopenVPNサーバーが実行されている仮想サーバーであるため、制限があります。1)tunデバイス "tun1"を最初にロック解除し、固定アドレス(10.240.43.1)を割り当てる必要がありました。これは、2)ifconfigの変更のために変更できません。 IPテーブルと同様に許可されていません(これは、仮想テクノロジーが複数の顧客に1つのカーネルを使用しているため、1人の顧客がセットアップを変更できないためです)、つまり3)IPv4転送を有効/無効にできません(はい、ルートとしてログインしています)、ほぼ同じですがわずかに異なる問題を持つ50以上の投稿をすでに見つけたので、これを言っています。

これまでに機能するもの:

クライアントは、Windows7およびOSXLionからopenVPNGUIクライアントを介してdebianマシンのopenVPNサーバーに接続できます。クライアントには、目的のサブネット(10.240.43.x)でIPアドレスが割り当てられます。ログにはエラーは示されません。最後に例を掲載します。

一度はうまくいったこと(そしてこれは私を夢中にさせている):

2番目のWindows7クライアントでopenVPNをセットアップすると、接続が確立され、IPアドレスが割り当てられ、クライアントはtunインターフェイスのアドレスでサーバーにpingを実行できます。同じmacbookでOSXを起動してセットアップしましたが、機能しませんでした。翌日Windows 7を起動したときに、server.confまたはopenvpnのクライアント構成に何も変更を加えていませんでした。他のWindows7およびOSXクライアントと同じ悲惨な状況でした。これは、少なくとも一度は構成に問題がなかったに違いないことを意味します。それ以来、何が起こったのかを理解しようとしています。誰かが私に何か間違ったことをしているところを教えていただければ幸いです(私はこれはまだ新しいですが、英語も私の第一言語ではありません)

正しく構成されたopenVPN接続について読んだ内容に基づいて、何が機能するか:

ping。クライアントから10.240.43.1(サーバーはインターフェイスIPを調整)またはサーバーから10.240.43.xx(<-クライアントIP)にpingを実行したいと思います。サーバーがクライアントまたはクライアントにpingを実行すると、タイムアウトが発生します。また、tracert(Windowsの場合)を試行しても、最初のノードに到達しません。これは、理解していれば、fritz.boxルーターになります。それは正しく。また、openVPNに接続しているときに、別のパブリックIPアドレスが必要であることも読みましたが、取得できません。プロバイダーから取得した動的IPアドレスと同じままです。注Windowsのクライアント構成ファイルにカスタム構成を追加して、Windowsがそれを識別されていないネットワークとして扱わないようにしました。これは実際に機能しました。しかし、これは私の問題を解決しません。私は見つけたすべての関連する投稿を実際に試しましたので、別の「同様の」質問にリダイレクトしないでください。

編集:特にこれ:OpenVPN構成-Windows 7クライアントとDebianサーバー、貧しい人は単一の応答さえも受け取らず、コメントだけです..しかし、彼は同じ問題ではないにしても、非常に似ています。

前もって感謝します!


DebianSqueezeのserver.conf

port 1194 proto udp

-10.xxxアドレスの昇順:

topology subnet

dev tun1

-ifconfigの操作を防止します。そうしないと、サーバーでopenvpnデーモンを再起動するときにエラーが発生します-サーバーにルートを追加できません:

ifconfig-noexec route-noexec

ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key dh /etc/openvpn/easy-rsa/keys/dh1024.pem

server 10.240.43.0 255.255.255.0

ifconfig-pool-persist ipp.txt

push "dhcp-option DNS 10.240.43.1" ;push "route 10.240.43.0 255.255.255.0" ;push "redirect-gateway def1"

keepalive 10 120

tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0 comp-lzo

user nobody group nobody

persist-key persist-tun status openvpn-status.log verb 3


Windowsクライアント構成の一例:client1.opvn

client

dev tun1

dev-node openVPN

proto udp

remote public-ip-address-of-my-server 1194

Windowsの「不明なネットワーク」/「不明なネットワーク」を回避するためのダミーのデフォルトゲートウェイ:

route-metric 50 route 0.0.0.0 0.0.0.0 10.240.43.1

resolv-retry infinite

nobind

persist-key persist-tun

ca "C:\Program Files (x86)\OpenVPN\config\ca.crt" cert "C:\Program Files (x86)\OpenVPN\config\client1.crt" key "C:\Program Files (x86)\OpenVPN\config\client1.key"

ns-cert-type server

tls-auth "C:\Program Files (x86)\OpenVPN\config\ta.key" 1

comp-lzo verb 3


openVPNが接続され、IPアドレスが割り当てられている場合のWindowsクライアントでのroute print-4の出力:

===========================================================================
Schnittstellenliste
 22...00 ff 14 5f fc a5 ......TAP-Windows Adapter V9
 21...00 ff 8a b4 4f 15 ......TeamViewer VPN Adapter
 16...00 18 de 68 09 6c ......Intel(R) PRO/Wireless 3945ABG-Netzwerkverbindug
 11...00 15 c5 b7 7d 12 ......Broadcom 440x 10/100-integrierter Controller
  1...........................Software Loopback Interface 1
 18...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter
 19...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 15...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #2
 17...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #4
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.72     20
          0.0.0.0          0.0.0.0      10.240.43.1      10.240.43.8     50
      10.240.43.0    255.255.255.0   Auf Verbindung       10.240.43.8    286
      10.240.43.8  255.255.255.255   Auf Verbindung       10.240.43.8    286
    10.240.43.255  255.255.255.255   Auf Verbindung       10.240.43.8    286
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      192.168.1.0    255.255.255.0   Auf Verbindung      192.168.1.72    276
     192.168.1.72  255.255.255.255   Auf Verbindung      192.168.1.72    276
    192.168.1.255  255.255.255.255   Auf Verbindung      192.168.1.72    276
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.1.72    276
        224.0.0.0        240.0.0.0   Auf Verbindung       10.240.43.8    286
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306    
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.1.72    276
  255.255.255.255  255.255.255.255   Auf Verbindung       10.240.43.8    286
===========================================================================
Ständige Routen:
  Keine

サーバーに接続したときのopenVPNステータスログの出力:

Sat Jan 19 23:21:17 2013 OpenVPN 2.3.0 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Jan  8 2013
Sat Jan 19 23:21:17 2013 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Sat Jan 19 23:21:17 2013 Need hold release from management interface, waiting...
Sat Jan 19 23:21:17 2013 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Sat Jan 19 23:21:17 2013 MANAGEMENT: CMD 'state on'
Sat Jan 19 23:21:17 2013 MANAGEMENT: CMD 'log all on'
Sat Jan 19 23:21:18 2013 MANAGEMENT: CMD 'hold off'
Sat Jan 19 23:21:18 2013 MANAGEMENT: CMD 'hold release'
Sat Jan 19 23:21:18 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Jan 19 23:21:18 2013 Control Channel Authentication: using 'C:\Program Files (x86)\OpenVPN\config\ta.key' as a OpenVPN static key file
Sat Jan 19 23:21:18 2013 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jan 19 23:21:18 2013 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jan 19 23:21:18 2013 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Jan 19 23:21:18 2013 UDPv4 link local: [undef]
Sat Jan 19 23:21:18 2013 UDPv4 link remote: [AF_INET][[public server ip]]:1194
Sat Jan 19 23:21:18 2013 MANAGEMENT: >STATE:1358634078,WAIT,,,
Sat Jan 19 23:21:18 2013 MANAGEMENT: >STATE:1358634078,AUTH,,,
Sat Jan 19 23:21:18 2013 TLS: Initial packet from [AF_INET][[public server ip]]:1194, sid=473dff0c 89fc085c
Sat Jan 19 23:21:18 2013 VERIFY OK: depth=1, C=AT, ST=Tyrol, L=Innsbruck, O=[[custom company name]], OU=General, CN=openvpn-eq, name=openvpn-[[custom name]], emailAddress=[[custom mail address]]
Sat Jan 19 23:21:18 2013 VERIFY OK: nsCertType=SERVER
Sat Jan 19 23:21:18 2013 VERIFY OK: depth=0, C=AT, ST=Tyrol, L=Innsbruck, O=[[custom company name]], OU=General, CN=openvpn-eq, name=openvpn-[[custom name]], emailAddress=[[custom mail address]]
Sat Jan 19 23:21:19 2013 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jan 19 23:21:19 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jan 19 23:21:19 2013 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jan 19 23:21:19 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jan 19 23:21:19 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sat Jan 19 23:21:19 2013 [openvpn-eq] Peer Connection Initiated with [AF_INET][[public server ip]]3:1194
Sat Jan 19 23:21:20 2013 MANAGEMENT: >STATE:1358634080,GET_CONFIG,,,
Sat Jan 19 23:21:22 2013 SENT CONTROL [openvpn-eq]: 'PUSH_REQUEST' (status=1)
Sat Jan 19 23:21:22 2013 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 10.240.43.1,route-gateway 10.240.43.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.240.43.8 255.255.255.0'
Sat Jan 19 23:21:22 2013 OPTIONS IMPORT: timers and/or timeouts modified
Sat Jan 19 23:21:22 2013 OPTIONS IMPORT: --ifconfig/up options modified
Sat Jan 19 23:21:22 2013 OPTIONS IMPORT: route-related options modified
Sat Jan 19 23:21:22 2013 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sat Jan 19 23:21:22 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sat Jan 19 23:21:22 2013 MANAGEMENT: >STATE:1358634082,ASSIGN_IP,,10.240.43.8,
Sat Jan 19 23:21:22 2013 open_tun, tt->ipv6=0
Sat Jan 19 23:21:22 2013 TAP-WIN32 device [openVPN] opened: \\.\Global\{145FFCA5-1EBD-49E6-9CA2-42B832968EFE}.tap
Sat Jan 19 23:21:22 2013 TAP-Windows Driver Version 9.9 
Sat Jan 19 23:21:22 2013 Set TAP-Windows TUN subnet mode network/local/netmask = 10.240.43.0/10.240.43.8/255.255.255.0 [SUCCEEDED]
Sat Jan 19 23:21:22 2013 Notified TAP-Windows dºÀRr
Sat Jan 19 23:21:22 2013 Successful ARP Flush on interface [22] {145FFCA5-1EBD-49E6-9CA2-42B832968EFE}
Sat Jan 19 23:21:27 2013 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Sat Jan 19 23:21:27 2013 MANAGEMENT: >STATE:1358634087,ADD_ROUTES,,,
Sat Jan 19 23:21:27 2013 C:\Windows\system32\route.exe ADD 0.0.0.0 MASK 0.0.0.0 10.240.43.1 METRIC 50
Sat Jan 19 23:21:27 2013 Route addition via IPAPI succeeded [adaptive]
Sat Jan 19 23:21:27 2013 Initialization Sequence Completed
Sat Jan 19 23:21:27 2013 MANAGEMENT: >STATE:1358634087,CONNECTED,SUCCESS,10.240.43.8,[[public server ip]]

サーバールート:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.233.133.2    *               255.255.255.255 UH    0      0        0 tun1
10.241.162.2    *               255.255.255.255 UH    0      0        0 *
static.88-198-1 gw.netcup.net   255.255.255.255 UGH   0      0        0 eth0
10.240.43.2     *               255.255.255.255 UH    0      0        0 tun1
xx.xx.xx.xx     *               255.255.255.192 U     0      0        0 eth0
10.233.133.0    10.233.133.2    255.255.255.0   UG    0      0        0 tun1
xx.xx.228.0     *               255.255.254.0   U     0      0        0 eth0
xx.xx.240.0     *               255.255.252.0   U     0      0        0 eth0
xx.xx.232.0     *               255.255.248.0   U     0      0        0 eth0
10.20.0.0       *               255.255.0.0     U     0      0        0 *
default         gw.netcup.net   0.0.0.0         UG    0      0        0 eth0
answer

管理者としてopenvpnguiを実行しましたか?(右クリック、管理者として実行)?ルートの追加には昇格された特権が必要であるため、よくあるエラーです。(もちろん、Windows Vista / 7/8の場合)。

これは望ましい解決策ではないかもしれませんが、問題を追跡できるのは1つのキーと証明書のペアだけでした。解決策は、Linux-vServer仮想化手法からKVMベースの手法に切り替えることでした。使用するtunデバイスを自分で制御すると、すべてのクライアント(WIndows、OS X ..)が問題なく接続し、サーバー上のサービスにアクセスできるようになります。