Имя: Пароль:
IT
Админ
Не работает маршрут
,
0 BGV-Service
 
02.02.15
11:54
Есть два интерфейса: физический и VPN

C:\Windows\system32>ipconfig

Настройка протокола IP для Windows


Ethernet adapter Подключение по локальной сети 2:

   DNS-суффикс подключения . . . . . :
   IPv4-адрес. . . . . . . . . . . . : 10.8.4.10
   Маска подсети . . . . . . . . . . : 255.255.255.252
   Основной шлюз. . . . . . . . . :

Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . : bgv.local
   IPv4-адрес. . . . . . . . . . . . : 192.168.16.11
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.16.155


Добавлен постоянный маршрут:

C:\Windows\system32>route print
===========================================================================
Список интерфейсов
13...00 ff 3d 0e 37 34 ......TAP-Windows Adapter V9
11...f4 6d 04 08 b5 90 ......Realtek PCIe GBE Family Controller
  1...........................Software Loopback Interface 1
12...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
15...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0   192.168.16.155    192.168.16.11     10
         10.8.4.8  255.255.255.252         On-link         10.8.4.10    276
        10.8.4.10  255.255.255.255         On-link         10.8.4.10    276
        10.8.4.11  255.255.255.255         On-link         10.8.4.10    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link         10.8.4.10     21
    192.168.0.255  255.255.255.255         On-link         10.8.4.10    276
     192.168.16.0    255.255.255.0         On-link     192.168.16.11    266
    192.168.16.11  255.255.255.255         On-link     192.168.16.11    266
   192.168.16.255  255.255.255.255         On-link     192.168.16.11    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.16.11    266
        224.0.0.0        240.0.0.0         On-link         10.8.4.10    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.16.11    266
  255.255.255.255  255.255.255.255         On-link         10.8.4.10    276
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
      192.168.0.0    255.255.255.0        10.8.4.10       1
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика   Сетевой адрес            Шлюз
  1    306 ::1/128                  On-link
  1    306 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует

Но пакеты к узлу 192.168.0.2 почему-то упорно пытаются идти через физический интерфейс

C:\Windows\system32>tracert 192.168.0.2

Трассировка маршрута к 192.168.0.2 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  192.168.16.155
1 eRik
 
02.02.15
12:22
в качестве бреда, маршрутизация включена?
ipconfig /all
2 eRik
 
02.02.15
12:36
а вообще правильно будет не добавлять постоянный маршрут, а в конфиг сервера openvpn добавить установку маршрута при поднятии линка впн:

push "route 192.168.0.0 255.255.255.0"

ибо кто его знает, как винда отреагирует на маршрут вникуда, когда линк еще не поднят. может задизейблит его, потому и не работает.
3 BGV-Service
 
02.02.15
13:12
(1) Включена:

C:\Windows\system32>ipconfig /all

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : Test
   Основной DNS-суффикс  . . . . . . : bgv.local
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Да
   WINS-прокси включен . . . . . . . : Нет
   Порядок просмотра суффиксов DNS . : bgv.local



(2) Такой параметр присутствует в конфиге сервера, однако клиент его почему-то не подхватывает, поэтому всегда прописывал вручную, и всё работало, а сегодня почему-то не хочет. Маршрут пробовал добавлять даже когда линк поднят. Безрезультатно.
4 Exec
 
02.02.15
13:15
Погляди параметры приёма мартрутов на клиенте:

#route-method exe # если Windows Vista
#route-delay 2    # если Windows Vista
5 BGV-Service
 
02.02.15
13:16
(4) Такие и стоят. Windows 7.
6 BGV-Service
 
02.02.15
13:32
Я тут вот, о чём подумал. Из-за прокси может такое быть? На шлюзе, откуда ломлюсь, настроен кэширующий прозрачный прокси, соответственно, трафик принудительно заворачивается через порт 3128.
7 Exec
 
02.02.15
13:38
Глянь лог соединения, есть коннект вообще или нет? Там всё видно будет. Если нет - то может и прокси.
8 eRik
 
02.02.15
13:38
(3) а в логах сервера что пишет, когда не подхватывает маршрут? вообще команда нормальная, а то может в конфиге что напутали?
у меня в логах так пишет
Sat Jan 17 14:21:26 2015 do******e/195.*.*.203:64499 SENT CONTROL [do******e]: 'PUSH_REPLY,route 192.168.2.0 255.255.255.0,route 172.17.172.1,topology net30,ping 15,ping-restart 60,ifconfig 172.17.1.1 172.17.1.2' (status=1)
и нормально маршрут передается и принимается на удаленке, там, кстати, семерка и стоит.
9 BGV-Service
 
02.02.15
13:50
(7) Коннект есть

(8)
Mon Feb  2 13:42:09 2015 us=505825 MULTI: multi_create_instance called
Mon Feb  2 13:42:09 2015 us=505953 Re-using SSL/TLS context
Mon Feb  2 13:42:09 2015 us=505990 LZO compression initialized
Mon Feb  2 13:42:09 2015 us=506017 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1392)
Mon Feb  2 13:42:09 2015 us=506142 Control Channel MTU parms [ L:1496 D:212 EF:112 EB:0 ET:0 EL:0 ]
Mon Feb  2 13:42:09 2015 us=506206 Data Channel MTU parms [ L:1496 D:1450 EF:104 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Feb  2 13:42:09 2015 us=506451 Local Options String: 'V4,dev-type tun,link-mtu 1496,tun-mtu 1392,proto TCPv4_SERVER,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-server'
Mon Feb  2 13:42:09 2015 us=506490 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1496,tun-mtu 1392,proto TCPv4_CLIENT,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-client'
Mon Feb  2 13:42:09 2015 us=506533 Local Options hash (VER=V4): '2715047d'
Mon Feb  2 13:42:09 2015 us=506570 Expected Remote Options hash (VER=V4): '3841a07e'
Mon Feb  2 13:42:09 2015 us=506615 TCP connection established with [AF_INET]195.*.*.*:50216
Mon Feb  2 13:42:09 2015 us=506644 TCPv4_SERVER link local: [undef]
Mon Feb  2 13:42:09 2015 us=506672 TCPv4_SERVER link remote: [AF_INET]195.*.*.*:50216
RMon Feb  2 13:42:10 2015 us=466870 195.*.*.*:50216 TLS: Initial packet from [AF_INET]195.*.*.*:50216, sid=6e673502 08718c02
WRRWRWRWWWWRWRWWWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRRRRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRWRMon Feb  2 13:42:11 2015 us=745463 195.*.*.*:50216 VERIFY OK: depth=1, C=RU, ST=RU, L=Moscow, O=ZiON, OU=DD, CN=vpn.****.**, name=server, emailAddress=admin@****.**
Mon Feb  2 13:42:11 2015 us=745874 195.*.*.*:50216 VERIFY OK: depth=0, C=RU, ST=RU, L=Moscow, O=ZiON, OU=DD, CN=BGV, name=server, emailAddress=admin@****.**
WRWRWRWRWRWRWRWRWRWRMon Feb  2 13:42:12 2015 us=9362 195.*.*.*:50216 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1496', remote='link-mtu 1604'
Mon Feb  2 13:42:12 2015 us=9424 195.*.*.*:50216 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1392', remote='tun-mtu 1500'
Mon Feb  2 13:42:12 2015 us=9766 195.*.*.*:50216 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Mon Feb  2 13:42:12 2015 us=9805 195.*.*.*:50216 Data Channel Encrypt: Using 512 bit message hash 'SHA512' for HMAC authentication
Mon Feb  2 13:42:12 2015 us=9836 195.*.*.*:50216 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Mon Feb  2 13:42:12 2015 us=9867 195.*.*.*:50216 Data Channel Decrypt: Using 512 bit message hash 'SHA512' for HMAC authentication
WWWRRMon Feb  2 13:42:12 2015 us=270780 195.*.*.*:50216 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Mon Feb  2 13:42:12 2015 us=270860 195.*.*.*:50216 [BGV] Peer Connection Initiated with [AF_INET]195.*.*.*:50216
Mon Feb  2 13:42:12 2015 us=270918 BGV/195.*.*.*:50216 MULTI_sva: pool returned IPv4=10.8.4.6, IPv6=(Not enabled)
Mon Feb  2 13:42:12 2015 us=271055 BGV/195.*.*.*:50216 MULTI: Learn: 10.8.4.6 -> BGV/195.*.*.*:50216
Mon Feb  2 13:42:12 2015 us=271088 BGV/195.*.*.*:50216 MULTI: primary virtual IP for BGV/195.*.*.*:50216: 10.8.4.6
RMon Feb  2 13:42:14 2015 us=484093 BGV/195.*.*.*:50216 PUSH: Received control message: 'PUSH_REQUEST'
Mon Feb  2 13:42:14 2015 us=484163 BGV/195.*.*.*:50216 send_push_reply(): safe_cap=940
Mon Feb  2 13:42:14 2015 us=484234 BGV/195.*.*.*:50216 SENT CONTROL [BGV]: 'PUSH_REPLY,route 192.168.0.0 255.255.255.0,dhcp-option DNS 8.8.8.8,route 10.8.4.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.4.6 10.8.4.5' (status=1)
WWWWRRRW

10.8.4.6 - это я уже сервер перенастраивал, потому IPшник другой.
10 eRik
 
02.02.15
14:16
Похоже, сервер нормально отдает настойки, а логах клиента что на этот счет есть? С прокси, пожалуй, проще отключить его минут на 10, если есть такая возожность, да потестировать как будет без него.
11 Exec
 
02.02.15
14:42
(0) вот у меня кусок лога, окончания установки соединения, передачи маршрута (вин 7):
===
Mon Feb 02 14:21:58 2015 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Mon Feb 02 14:21:58 2015 PUSH: Received control message: 'PUSH_REPLY,route 172.18.0.0 255.255.255.192,route 172.18.0.1,topology net30,ping 30,ping-restart 120,ifconfig 172.18.0.6 172.18.0.5'
Mon Feb 02 14:21:58 2015 OPTIONS IMPORT: timers and/or timeouts modified
Mon Feb 02 14:21:58 2015 OPTIONS IMPORT: --ifconfig/up options modified
Mon Feb 02 14:21:58 2015 OPTIONS IMPORT: route options modified
Mon Feb 02 14:21:58 2015 Preserving previous TUN/TAP instance: OpenVPN
Mon Feb 02 14:21:58 2015 Initialization Sequence Completed
===

Может у тебя прав не хватает у юзера, который опенвпн-клиент стартует?

=== конфиг моего клиента ===
client
dev tun
proto udp
remote IP_удалённого_сервера # (ip ovpn сервера)
port 2000
#route-method exe # глючил, закаментил
#route-delay 2    # глючил, закаментил
resolv-retry infinite
ca ca-comtel.crt
cert client.crt
key client.key
tls-client
tls-auth ta-comtel.key 1
auth MD5
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
verb 3
============================

Адаптер стартует вместе со службой (вместо клиента - службу юзаю)
12 Exec
 
02.02.15
14:50
Со стороны сервера у тебя похоже всё норм, клиентскую сторону пинать
13 Мутабор
 
02.02.15
14:53
Про (0) маршрут прописывается на IP второго конца, а не на IP твоего интерфейса. Интерфейс прописывается в случае ppp соединения.
14 BGV-Service
 
02.02.15
14:54
(11) Точно! Права, блин! =D
Спасибо огромное!
15 arsik
 
гуру
02.02.15
14:54
На клиенте не добавляется маршрут из конфига опенвпн из-за недостатка прав. Или службой запускай или UEB rkbtyn jn bvtyb flvbybcnhfnjhf pfgecrfq/
16 arsik
 
гуру
02.02.15
14:54
ГУИ клиент от имени администратора запускай.
17 arsik
 
гуру
02.02.15
14:55
Аа. Поздно, не увидел (11)
18 Мутабор
 
02.02.15
14:56
в (9) ifconfig 10.8.4.6 10.8.4.5, а никак не 10.8.4.10, если в свойстве сетевой казан IP смени его на DHCP.
19 BGV-Service
 
02.02.15
15:11
(17) =)

(18) Не. 10.8.4.10 - это старый IPшник. Я сервер перенастраивал в процессе, IP сменился на 10.8.4.6 - писал выше.
В общем, ладно. Проблема решена, всем спасибо за участие!
2 + 2 = 3.9999999999999999999999999999999...