Помогите с конфигом ВПН

[801]

Пожалуйста, обратите внимание, что пользователь заблокирован
Конфиг с корпа, работники им пользуются под win через OpenVPN и он должен работать. Загружаю в клиент OpenVPN, коннект есть, но трафик идет мимо и ИП не меняется. Так же пробовал под линукс, такая же проблема. Другие конфиги работают, явно дело в конфиге.

Код:
Скопировать в буфер обмена
client

# Dev Name can be changed to tun<x> for Linux only
dev tun

# Comment out and change the TAP device name for Windows client
#dev-node "xxxx.com_xxxxx"

proto tcp

#remote xxxxxx-2c.xxxx.com
remote xxxxxxx-1a.xxxx.com

pull

resolv-retry infinite
nobind

tls-client
key-direction 0
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
xxx
-----END OpenVPN Static key V1-----
</tls-auth>

remote-cert-tls server
auth-nocache
cipher AES-256-CBC
keepalive 5 30

persist-key
persist-tun

socket-flags TCP_NODELAY

verb 2
status xxxx-xxxxxx.status

<ca>
-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN RSA PRIVATE KEY-----
xxx
-----END RSA PRIVATE KEY-----
</key>

 

[Benihowy]

Benihowy сказал(а):
Скорей всего проблема в key-direction 0. Попробуйте убрать это значение в клиенте и на сервере в строке tls-auth "адрес файла" 0 (либо 1) не писать эту цифру. То есть просто tls-auth "адрес файла"

Пожалуйста, обратите внимание, что пользователь заблокирован

Спасибо! Но у меня нет доступа к серверу, только клиент конфиг который компания разослала всем работникам компаний. Убрал key-direction 0, менял на 1, в таком случае нет даже коннекта.

 

[801]

Обычно сервер сам должен пушить роуты
How to push a gateway and route to an OpenVPN client?
I need to setup a OpenVPN network which will probably grow to a serval hundreds of clients in the next few months. Some of the clients are servers and others are devices that need services, hosted ...
serverfault.com
Если нет, то копайте в сторону настройки маршрутов со стороны клиента. Только не факт, что это поможет, т.к. это таки сильно зависит от настроек сервера.

 

[Pernat1y]

Пожалуйста, обратите внимание, что пользователь заблокирован
Попробую, спасибо! Самое странное, я вижу переписки работников, у них все работает из коробки, привязок никаких нет, работники на удаленки.

 

[801]

При чем тут вообще роуты, роуты отдаются после конекта, а его нет.
ЛОги в студию

 

[reeves]

reeves сказал(а):
При чем тут вообще роуты, роуты отдаются после конекта, а его нет.
ЛОги в студию

Пожалуйста, обратите внимание, что пользователь заблокирован

Коннект есть

Код:
Скопировать в буфер обмена
⏎[Nov 25, 2021, 13:06:47] Frame=512/2048/512 mssfix-ctrl=1250
⏎[Nov 25, 2021, 13:06:47] UNUSED OPTIONS
4 [pull]
5 [resolv-retry] [infinite]
6 [nobind]
7 [tls-client]
11 [auth-nocache]
14 [persist-key]
15 [persist-tun]
16 [socket-flags] [TCP_NODELAY]
17 [verb] [2]
18 [status] [xxxx-xxxxxx.status]
⏎[Nov 25, 2021, 13:06:47] EVENT: RESOLVE ⏎[Nov 25, 2021, 13:06:47] EVENT: WAIT ⏎[Nov 25, 2021, 13:06:47] WinCommandAgent: transmitting bypass route to x.xxx.x.xxx
{
"host" : "x.xxx.x.xxx",
"ipv6" : false
}

⏎[Nov 25, 2021, 13:06:47] Connecting to [xxxxxxxxx-1a.xxxx.com]:1194 (x.xxx.x.xxx) via TCPv4
⏎[Nov 25, 2021, 13:06:47] EVENT: CONNECTING ⏎[Nov 25, 2021, 13:06:47] Tunnel Options:V4,dev-type tun,link-mtu 1559,tun-mtu 1500,proto TCPv4_CLIENT,keydir 0,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-client
⏎[Nov 25, 2021, 13:06:47] Creds: UsernameEmpty/PasswordEmpty
⏎[Nov 25, 2021, 13:06:47] Peer Info:
IV_VER=3.git::c2153df1
IV_PLAT=win
IV_NCP=2
IV_TCPNL=1
IV_PROTO=30
IV_CIPHERS=AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305:AES-256-CBC
IV_AUTO_SESS=1
IV_GUI_VER=OCWindows_3.3.2-2475
IV_SSO=openurl,crtext

⏎[Nov 25, 2021, 13:06:47] SSL Handshake: peer certificate: CN=openvpn, 2048 bit RSA, cipher: TLS_AES_256_GCM_SHA384 TLSv1.3 Kx=any Au=any Enc=AESGCM(256) Mac=AEAD

⏎[Nov 25, 2021, 13:06:47] Session is ACTIVE
⏎[Nov 25, 2021, 13:06:47] EVENT: GET_CONFIG ⏎[Nov 25, 2021, 13:06:47] Sending PUSH_REQUEST to server...
⏎[Nov 25, 2021, 13:06:47] OPTIONS:
0 [sndbuf] [393216]
1 [rcvbuf] [393216]
2 [route] [192.168.108.0] [255.255.255.0]
3 [topology] [net30]
4 [ping] [5]
5 [ping-restart] [30]
6 [route] [172.30.78.0] [255.255.255.0]
7 [route] [172.30.81.0] [255.255.255.0]
8 [route] [10.255.0.0] [255.255.0.0]
9 [ifconfig] [192.168.108.89] [192.168.108.90]
10 [peer-id] [0]
11 [cipher] [AES-256-GCM]

⏎[Nov 25, 2021, 13:06:47] PROTOCOL OPTIONS:
cipher: AES-256-GCM
digest: NONE
key-derivation: OpenVPN PRF
compress: NONE
peer ID: 0
control channel: tls-auth enabled
⏎[Nov 25, 2021, 13:06:47] EVENT: ASSIGN_IP ⏎[Nov 25, 2021, 13:06:47] CAPTURED OPTIONS:
Session Name: xxxxxxxxx-1a.xxxx.com
Layer: OSI_LAYER_3
Remote Address: x.xxx.x.xxx
Tunnel Addresses:
192.168.108.89/30 -> 192.168.108.90 [net30]
Reroute Gateway: IPv4=0 IPv6=0 flags=[ IPv4 ]
Block IPv6: no
Add Routes:
192.168.108.0/24
172.30.78.0/24
172.30.81.0/24
10.255.0.0/16
Exclude Routes:
DNS Servers:
Search Domains:

⏎[Nov 25, 2021, 13:06:48] SetupClient: transmitting tun setup list to \\.\pipe\agent_ovpnconnect
{
"allow_local_dns_resolvers" : false,
"confirm_event" : "e80e000000000000",
"destroy_event" : "9c0e000000000000",
"tun" :
{
"adapter_domain_suffix" : "",
"add_routes" :
[
{
"address" : "192.168.108.0",
"gateway" : "",
"ipv6" : false,
"metric" : -1,
"net30" : false,
"prefix_length" : 24
},
{
"address" : "172.30.78.0",
"gateway" : "",
"ipv6" : false,
"metric" : -1,
"net30" : false,
"prefix_length" : 24
},
{
"address" : "172.30.81.0",
"gateway" : "",
"ipv6" : false,
"metric" : -1,
"net30" : false,
"prefix_length" : 24
},
{
"address" : "10.255.0.0",
"gateway" : "",
"ipv6" : false,
"metric" : -1,
"net30" : false,
"prefix_length" : 16
}
],
"block_ipv6" : false,
"layer" : 3,
"mtu" : 0,
"remote_address" :
{
"address" : "x.xxx.x.xxx",
"ipv6" : false
},
"reroute_gw" :
{
"flags" : 256,
"ipv4" : false,
"ipv6" : false
},
"route_metric_default" : -1,
"session_name" : "xxxxxxxxx-1a.xxxx.com",
"tunnel_address_index_ipv4" : 0,
"tunnel_address_index_ipv6" : -1,
"tunnel_addresses" :
[
{
"address" : "192.168.108.89",
"gateway" : "192.168.108.90",
"ipv6" : false,
"metric" : -1,
"net30" : true,
"prefix_length" : 30
}
]
},
"wintun" : false
}
POST np://[\\.\pipe\agent_ovpnconnect]/tun-setup : 200 OK
TAP ADAPTERS:
guid='{15D7368B-E15E-446D-94EE-6DEC40B9FD39}' index=2 name='Local Area Connection'
Open TAP device "Local Area Connection" PATH="\\.\Global\{15D7368B-E15E-446D-94EE-6DEC40B9FD39}.tap" SUCCEEDED
TAP-Windows Driver Version 9.24
ActionDeleteAllRoutesOnInterface iface_index=2
netsh interface ip set interface 2 metric=1
Ok.
netsh interface ip set address 2 static 192.168.108.89 255.255.255.252 gateway=192.168.108.90 store=active
IPHelper: add route 192.168.108.0/24 2 192.168.108.90 metric=-1
IPHelper: add route 172.30.78.0/24 2 192.168.108.90 metric=-1
IPHelper: add route 172.30.81.0/24 2 192.168.108.90 metric=-1
IPHelper: add route 10.255.0.0/16 2 192.168.108.90 metric=-1
ipconfig /flushdns
Windows IP Configuration
Successfully flushed the DNS Resolver Cache.
TAP: ARP flush succeeded
TAP handle: 340b000000000000
⏎[Nov 25, 2021, 13:06:48] Connected via TUN_WIN
⏎[Nov 25, 2021, 13:06:48] EVENT: CONNECTED xxxxxxxxx-1a.xxxx.com:1194 (x.xxx.x.xxx) via /TCPv4 on TUN_WIN/192.168.108.89/ gw=[192.168.108.90/]⏎

 

[801]

ну а дальше ?
route print если венда или ip r если линух
пингуй СЕРЫЙ айпи шлюза,
если пингуется, то пингуй дальше машины за шлюзом
если НЕ пингуется шлюз, смотри снифером пакеты, о тебя ушли в сторону шлюза, а обратно пришли ?