• Zarejestrowany: 2014-10-18
  • Posty: 144

Temat: OpenVPN w trybie TUN, rozłącza, sieć jest niezidentyfikowana

Witam, utworzyłem połączenie VPN według poradnika"OpenWrt - konfiguracja serwera OpenVPN w trybie TUN" bez sekcji "Przekierowanie całego ruchu klientów przez tunel vpn". Mam teraz taki problem, że połączenie jest zrywane, a sieć jest niezidentyfikowana publiczna. Jak temu zaradzić?

Łączyłem się do IP lokalnego i zewnętrznego. Na obu jest ten sam problem. Konfiguracja OpenVPN wygląda następująco:

client
    ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
    cert "C:\\Program Files\\OpenVPN\\config\\asrock-karnas-local.crt"
    dev tun
    key "C:\\Program Files\\OpenVPN\\config\\asrock-karnas-local.key"
    log "C:\\Program Files\\OpenVPN\\config\\openvpn.log"
    proto udp
    remote 192.168.1.1 1194
    remote-cert-tls server
    verb 3

Status połączenia:

Mon Nov 07 20:30:33 2016 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {D676A980-8577-4EF1-9F3B-29AD769C07B3} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Mon Nov 07 20:30:33 2016 Successful ARP Flush on interface [24] {D676A980-8577-4EF1-9F3B-29AD769C07B3}
Mon Nov 07 20:30:38 2016 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Mon Nov 07 20:30:38 2016 MANAGEMENT: >STATE:1478547038,ADD_ROUTES,,,
Mon Nov 07 20:30:38 2016 C:\Windows\system32\route.exe ADD 192.168.1.0 MASK 255.255.255.0 10.8.0.5
Mon Nov 07 20:30:38 2016 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=35 and dwForwardType=4
Mon Nov 07 20:30:38 2016 Route addition via IPAPI succeeded [adaptive]
Mon Nov 07 20:30:38 2016 C:\Windows\system32\route.exe ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
Mon Nov 07 20:30:38 2016 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=35 and dwForwardType=4
Mon Nov 07 20:30:38 2016 Route addition via IPAPI succeeded [adaptive]
Mon Nov 07 20:30:38 2016 Initialization Sequence Completed
Mon Nov 07 20:30:38 2016 MANAGEMENT: >STATE:1478547038,CONNECTED,SUCCESS,10.8.0.6,192.168.1.1
Mon Nov 07 20:32:33 2016 [OpenWrt Server] Inactivity timeout (--ping-restart), restarting
Mon Nov 07 20:32:33 2016 C:\Windows\system32\route.exe DELETE 10.8.0.1 MASK 255.255.255.255 10.8.0.5
Mon Nov 07 20:32:33 2016 Route deletion via IPAPI succeeded [adaptive]
Mon Nov 07 20:32:33 2016 C:\Windows\system32\route.exe DELETE 192.168.1.0 MASK 255.255.255.0 10.8.0.5
Mon Nov 07 20:32:33 2016 Route deletion via IPAPI succeeded [adaptive]
Mon Nov 07 20:32:33 2016 Closing TUN/TAP interface
Mon Nov 07 20:32:33 2016 SIGUSR1[soft,ping-restart] received, process restarting
Mon Nov 07 20:32:33 2016 MANAGEMENT: >STATE:1478547153,RECONNECTING,ping-restart,,
Mon Nov 07 20:32:33 2016 Restart pause, 2 second(s)
Mon Nov 07 20:32:35 2016 Socket Buffers: R=[65536->65536] S=[65536->65536]
Mon Nov 07 20:32:35 2016 UDPv4 link local (bound): [undef]
Mon Nov 07 20:32:35 2016 UDPv4 link remote: [AF_INET]192.168.1.1:1194
Mon Nov 07 20:32:35 2016 MANAGEMENT: >STATE:1478547155,WAIT,,,
Mon Nov 07 20:32:35 2016 MANAGEMENT: >STATE:1478547155,AUTH,,,
Mon Nov 07 20:32:35 2016 TLS: Initial packet from [AF_INET]192.168.1.1:1194, sid=8bb5374b ce7151df
Mon Nov 07 20:32:36 2016 VERIFY OK: depth=1, C=PL, ST=Greater Poland, L=Rawicz, O=Home, OU=Home, CN=OpenWrt Server, name=Router, emailAddress=wojciech.karnasiewicz@outlook.com
Mon Nov 07 20:32:36 2016 Validating certificate key usage
Mon Nov 07 20:32:36 2016 ++ Certificate has key usage  00a0, expects 00a0
Mon Nov 07 20:32:36 2016 VERIFY KU OK
Mon Nov 07 20:32:36 2016 Validating certificate extended key usage
Mon Nov 07 20:32:36 2016 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Mon Nov 07 20:32:36 2016 VERIFY EKU OK
Mon Nov 07 20:32:36 2016 VERIFY OK: depth=0, C=PL, ST=Greater Poland, L=Rawicz, O=Home, OU=Home, CN=OpenWrt Server, name=Router, emailAddress=wojciech.karnasiewicz@outlook.com
Mon Nov 07 20:32:36 2016 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Nov 07 20:32:36 2016 WARNING: this cipher's block size is less than 128 bit (64 bit).  Consider using a --cipher with a larger block size.
Mon Nov 07 20:32:36 2016 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Nov 07 20:32:36 2016 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Nov 07 20:32:36 2016 WARNING: this cipher's block size is less than 128 bit (64 bit).  Consider using a --cipher with a larger block size.
Mon Nov 07 20:32:36 2016 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Nov 07 20:32:36 2016 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Mon Nov 07 20:32:36 2016 [OpenWrt Server] Peer Connection Initiated with [AF_INET]192.168.1.1:1194
Mon Nov 07 20:32:37 2016 MANAGEMENT: >STATE:1478547157,GET_CONFIG,,,
Mon Nov 07 20:32:39 2016 SENT CONTROL [OpenWrt Server]: 'PUSH_REQUEST' (status=1)
Mon Nov 07 20:32:39 2016 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route 10.8.0.1,topology net30,ifconfig 10.8.0.6 10.8.0.5'
Mon Nov 07 20:32:39 2016 OPTIONS IMPORT: --ifconfig/up options modified
Mon Nov 07 20:32:39 2016 OPTIONS IMPORT: route options modified
Mon Nov 07 20:32:39 2016 ROUTE_GATEWAY 192.168.1.1/255.255.255.0 I=17 HWADDR=d0:50:99:2e:3c:c1
Mon Nov 07 20:32:39 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Nov 07 20:32:39 2016 MANAGEMENT: >STATE:1478547159,ASSIGN_IP,,10.8.0.6,
Mon Nov 07 20:32:39 2016 open_tun, tt->ipv6=0
Mon Nov 07 20:32:39 2016 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{D676A980-8577-4EF1-9F3B-29AD769C07B3}.tap
Mon Nov 07 20:32:39 2016 TAP-Windows Driver Version 9.21 
Mon Nov 07 20:32:39 2016 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {D676A980-8577-4EF1-9F3B-29AD769C07B3} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Mon Nov 07 20:32:39 2016 Successful ARP Flush on interface [24] {D676A980-8577-4EF1-9F3B-29AD769C07B3}
Mon Nov 07 20:32:44 2016 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Mon Nov 07 20:32:44 2016 MANAGEMENT: >STATE:1478547164,ADD_ROUTES,,,
Mon Nov 07 20:32:44 2016 C:\Windows\system32\route.exe ADD 192.168.1.0 MASK 255.255.255.0 10.8.0.5
Mon Nov 07 20:32:44 2016 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=35 and dwForwardType=4
Mon Nov 07 20:32:44 2016 Route addition via IPAPI succeeded [adaptive]
Mon Nov 07 20:32:44 2016 C:\Windows\system32\route.exe ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
Mon Nov 07 20:32:44 2016 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=35 and dwForwardType=4
Mon Nov 07 20:32:44 2016 Route addition via IPAPI succeeded [adaptive]
Mon Nov 07 20:32:44 2016 Initialization Sequence Completed
Mon Nov 07 20:32:44 2016 MANAGEMENT: >STATE:1478547164,CONNECTED,SUCCESS,10.8.0.6,192.168.1.1

2 Odpowiedź przez kams

  • kams
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2016-10-18
  • Posty: 27

Odp: OpenVPN w trybie TUN, rozłącza, sieć jest niezidentyfikowana

Podejrzewam że na serwerze masz włączoną kompresję danych dlatego tak się dzieje.
Spróbuj dopisać do konfiguracji klienta na openwrt

uci set openvpn.client.comp_lzo=yes
uci commit openvpn
/etc/init.d/openvpn restart

Jak nie pomoże to podeślij log z serwera

3 Odpowiedź przez karnasw (edytowany przez karnasw 2016-11-07 21:21:04)

  • Zarejestrowany: 2014-10-18
  • Posty: 144

Odp: OpenVPN w trybie TUN, rozłącza, sieć jest niezidentyfikowana

Wyrzuca mi invalid argument po wpisaniu:

root@OpenWrt:~# uci set openvpn.client.comp_lzo=yes
uci: Invalid argument

4 Odpowiedź przez kams (edytowany przez kams 2016-11-07 22:21:40)

  • kams
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2016-10-18
  • Posty: 27

Odp: OpenVPN w trybie TUN, rozłącza, sieć jest niezidentyfikowana

Zainstaluj uci

opkg update
opkg install uci

wykonaj jeszcze raz polecenie

uci set openvpn.client.comp_lzo=yes

Zamiast client podaj nazwę dla swojego połączenia openvpn
Jak nie zadziała to podeślij wynik polecenia 

uci show openvpn

@Edit

Poprawka Spróbuj inaczej dopisz w pliku konfiguracyjnym klienta pod
verb 3
dopisz
comp-lzo=yes

5 Odpowiedź przez karnasw

  • Zarejestrowany: 2014-10-18
  • Posty: 144

Odp: OpenVPN w trybie TUN, rozłącza, sieć jest niezidentyfikowana

W ogólnie nie łączy po dopisaniu comp-lzo=yes.

Z tego co widzę to równo co 2 minuty wyrzuca to:

[OpenWrt Server] Inactivity timeout (--ping-restart), restarting

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,913

Odp: OpenVPN w trybie TUN, rozłącza, sieć jest niezidentyfikowana

Taki komunikat często pojawia się jak masz dwóch klientów (lub serwer widzi dwa połączenia) z tym samym certyfikatem z tym samym polem CN.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez karnasw (edytowany przez karnasw 2016-11-07 23:04:23)

  • Zarejestrowany: 2014-10-18
  • Posty: 144

Odp: OpenVPN w trybie TUN, rozłącza, sieć jest niezidentyfikowana

Zbadam to.

A jak wygląda sprawa sieci niezidentyfikowanej publicznej w centrum sieci windows? Nie powinno być tam prywatnego i zidentyfikowanego połączenia?

8 Odpowiedź przez mar_w (edytowany przez mar_w 2016-11-08 00:55:09)

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: OpenVPN w trybie TUN, rozłącza, sieć jest niezidentyfikowana

A dla mnie dziwnie to wygląda, gdy klient openvpn łączy się z serwerem openvpn, który jest w tej samej sieci LAN, w dodatku w trybie routowania.

karnasw napisał/a:

client
...
dev tun
...
remote 192.168.1.1 1194

Połączenie zostaje zestawione, ale potem lecą pingi, które są gubione przez zapętlenie lub złe trasowanie w "nowej" tablicy routingu i połączenie jest restartowane. Tak mi to wygląda.
Może niech autor pokaże tablicę routingu na Windowsie-cliencie.

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

9 Odpowiedź przez karnasw

  • Zarejestrowany: 2014-10-18
  • Posty: 144

Odp: OpenVPN w trybie TUN, rozłącza, sieć jest niezidentyfikowana

Jak łączę się po zewnętrznym IP to jest to samo.

10 Odpowiedź przez khain

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: OpenVPN w trybie TUN, rozłącza, sieć jest niezidentyfikowana

Dodaj do konfigu serwera:

keepalive             10 120

Pierwsza wartość oznacza wysłanie pinga przez tunel co 10 sekund, jeśli nie będzie odpowiedzi w ciągu 120 sekund to zrestartuje połączenie. To powinno pomóc, jeśli nie to zwiększ te wartości.

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

11 Odpowiedź przez karnasw

  • Zarejestrowany: 2014-10-18
  • Posty: 144

Odp: OpenVPN w trybie TUN, rozłącza, sieć jest niezidentyfikowana

Jeszcze mam pytanie co do ca.crt. Czy ten plik jest wspólny dla wszystkich klientów?

12 Odpowiedź przez khain (edytowany przez khain 2016-11-08 08:54:11)

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: OpenVPN w trybie TUN, rozłącza, sieć jest niezidentyfikowana

Tak. Jest to Certificate Authority które podpisuje/wydaje certyfikaty serwera i klientów.

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

13 Odpowiedź przez karnasw

  • Zarejestrowany: 2014-10-18
  • Posty: 144

Odp: OpenVPN w trybie TUN, rozłącza, sieć jest niezidentyfikowana

Keepalive rozwiązał problem rozłączania. Jak wygląda sprawa sieci niezidentyfikowanej publicznej w centrum sieci windows? Po konfiguracji na Gargoyle wydawało mi się, że sieć była prywatna i poprawnie zidentyfikowana.

14 Odpowiedź przez khain (edytowany przez khain 2016-11-08 12:24:54)

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: OpenVPN w trybie TUN, rozłącza, sieć jest niezidentyfikowana

karnasw napisał/a:

Jak wygląda sprawa sieci niezidentyfikowanej publicznej w centrum sieci windows?

Masz trzy grupy reguł firewalla w Windows: Domain, Home, Public. W zależności do jakiej grupy masz wrzuconą sieć w tunelu vpn to takie reguły będą stosowane.

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

15 Odpowiedź przez karnasw

  • Zarejestrowany: 2014-10-18
  • Posty: 144

Odp: OpenVPN w trybie TUN, rozłącza, sieć jest niezidentyfikowana

Nijak nie mogę zmienić sieci OpenVPN na prywatną. Gdzieś wyczytałem, że musi być ustawiony 'gateway' po stronie serwera.

16 Odpowiedź przez khain

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: OpenVPN w trybie TUN, rozłącza, sieć jest niezidentyfikowana

Próbowałeś tego: http://www.sajdyk.pl/2014/02/zmiana-lok … zenia.html

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

17 Odpowiedź przez karnasw

  • Zarejestrowany: 2014-10-18
  • Posty: 144

Odp: OpenVPN w trybie TUN, rozłącza, sieć jest niezidentyfikowana

Tak próbowałem, ustawiłem bramę domyślną na TAP-Adapter chwilę identyfikowało i wciąż została publiczna. W menedżerze sieci mogę zmienić tylko wszystkie połączenia niezdefiniowane na prywatne, a tego nie chcę. Chyba ten temat również sobie odpuszczę, jeżeli ktoś ma Gargoyle i skonfigurowany tam OpenVPN po GUI proszę o informację czy tam również sieć OpenVPN jest niezdefiniowana i publiczna.

Pozdrawiam.

18 Odpowiedź przez Cultstyle

  • Skąd: Wrocław
  • Zarejestrowany: 2015-07-16
  • Posty: 83

Odp: OpenVPN w trybie TUN, rozłącza, sieć jest niezidentyfikowana

Cześć karnasw,
Bardzo proszę napisz czy udało Ci się rozwiązać problem identyfikacji sieci ? mam ten sam problem i skończyły się pomysły na rozwiązanie go.