|
После установки win10 перестало работать одно из нескольких подключений OpenVPN | ☑ | ||
---|---|---|---|---|
0
1СникКривые Руки
08.01.21
✎
19:49
|
Прошу помочь советом.
Стояло 6 лет win 8.1, но решил перейти на Win10 по ряду причин. Все нормально, НО! ОДНО из соединений OpenVPN перестало работать. Итак. Есть несколько настроенных соединений OpenVPN с расширением ovpn и последняя версия OpenVPN 64 битная. Но из 3 соединений на разные сервера одно не работает. Причем не работает то, которое самое нужное. Остальные 2 соединения на другие сервера - работают и на старой и на новой винде. Ставил старый винт с win8.1, вычищал OpenVPN и все заново переставлял - все работает, как и работало. А на новой,- что только не делал - и запуск под Администратором, и установку предыдущих версий и проч. 2 соединения работают, а это самое главное - нет. Системные администраторы на работе из дома под собой проверили (у них win10) - работает нормально. Прошу помочь советом - что делать и куда смотреть. |
|||
1
1СникКривые Руки
08.01.21
✎
19:50
|
вот запись куска нормального журнала
Wed Jan 06 12:40:47 2021 OPTIONS IMPORT: timers and/or timeouts modified Wed Jan 06 12:40:47 2021 OPTIONS IMPORT: --sndbuf/--rcvbuf options modified Wed Jan 06 12:40:47 2021 Socket Buffers: R=[65536->524288] S=[65536->524288] Wed Jan 06 12:40:47 2021 OPTIONS IMPORT: --ifconfig/up options modified Wed Jan 06 12:40:47 2021 OPTIONS IMPORT: route options modified Wed Jan 06 12:40:47 2021 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified Wed Jan 06 12:40:47 2021 Outgoing Data Channel: Cipher 'BF-CBC' initialized with 128 bit key Wed Jan 06 12:40:47 2021 WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). Wed Jan 06 12:40:47 2021 Outgoing Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication Wed Jan 06 12:40:47 2021 Incoming Data Channel: Cipher 'BF-CBC' initialized with 128 bit key Wed Jan 06 12:40:47 2021 WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). Wed Jan 06 12:40:47 2021 Incoming Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication Wed Jan 06 12:40:47 2021 WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks. Wed Jan 06 12:40:47 2021 interactive service msg_channel=412 |
|||
2
1СникКривые Руки
08.01.21
✎
19:51
|
вот куска соединения с ошибкой
2021-01-08 19:19:07 OPTIONS IMPORT: timers and/or timeouts modified 2021-01-08 19:19:07 OPTIONS IMPORT: --sndbuf/--rcvbuf options modified 2021-01-08 19:19:07 Socket Buffers: R=[65536->524288] S=[65536->524288] 2021-01-08 19:19:07 OPTIONS IMPORT: --ifconfig/up options modified 2021-01-08 19:19:07 OPTIONS IMPORT: route options modified 2021-01-08 19:19:07 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified 2021-01-08 19:19:07 OPTIONS ERROR: failed to negotiate cipher with server. Add the server's cipher ('BF-CBC') to --data-ciphers (currently 'AES-256-GCM:AES-128-GCM') if you want to connect to this server. 2021-01-08 19:19:07 ERROR: Failed to apply push options 2021-01-08 19:19:07 Failed to open tun/tap interface 2021-01-08 19:19:07 SIGUSR1[soft,process-push-msg-failed] received, process restarting 2021-01-08 19:19:07 MANAGEMENT: >STATE:1610122747,RECONNECTING,process-push-msg-failed,,,,, 2021-01-08 19:19:07 Restart pause, 5 second(s) |
|||
3
1СникКривые Руки
08.01.21
✎
19:51
|
Ошибка после
OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified Комп один и тот же. |
|||
4
Йохохо
08.01.21
✎
20:00
|
failed to negotiate cipher with server. Add the server's cipher ('BF-CBC')
|
|||
5
1СникКривые Руки
08.01.21
✎
20:19
|
нашел причину - на англоязычном сайте.
Последний инсталятор и другой который пользовал - не работают на win10. сказали нужна версия 2.4.9 для win10. поставил ее и все заработало |
|||
6
1СникКривые Руки
08.01.21
✎
20:19
|
тема закрыта
|
|||
7
Доктор Манхэттен
08.01.21
✎
23:26
|
(0) OpenVPN - зло. Нужно использовать стандартную VPN.
|
|||
8
Злопчинский
09.01.21
✎
00:37
|
(7) вот например стандартный впн у меня не работал. потому что серый айпи. при этом опен впн - работал
|
|||
9
Доктор Манхэттен
09.01.21
✎
00:39
|
(8) >> потому что серый айпи
Сомнительно |
|||
10
Злопчинский
09.01.21
✎
00:45
|
(9) я хз сомнительно или нет. но заставить подключаться по штатному ВПН - не получилось. Порезfys пакеты у провайдера видимо. купил за 150р/месяц белый айпи - все стало мгновенно хорошо. и по штатному ВПН.
|
|||
11
DJ Anthon
09.01.21
✎
08:38
|
(7) ее блочат некоторые провайдеры. в забайкальском крае - ТТК, а там он очень популярен.
(5) да, в ней куча глюков, пришлось искать старую. |
|||
12
DJ Anthon
09.01.21
✎
08:40
|
(10) к сожалению, не могу заставить бабушек покупать домой всякие белые айпи ((
|
|||
13
Провинциальный 1сник
09.01.21
✎
08:50
|
(7) Стандартная vpn с имитацией диалапа - убога до невозможности.
|
|||
14
Провинциальный 1сник
09.01.21
✎
08:57
|
(11) А я давно замечаю, что как только какое-то ПО вылижут до идеального состояния - сразу делается рефакторинг с нуля на каком-то новомодном тулките или среде разработке, и всё работать перестает нормально. Неоднократно такое замечал. Эффект шила в попе у разработчиков что ли такой..
|
|||
15
Йохохо
09.01.21
✎
09:00
|
(11) WireGuard работает по своему протоколу, на произвольном порту, русифицирован и конфиг можно юзеру по почте отправить. Я еще не донастроил, но вроде перспективно)
|
|||
16
DJ Anthon
09.01.21
✎
09:17
|
(15) у меня микротик, он умеет поднимать pptp и openvpn. pptp заблочили, я перешел на openvpn. а WireGuard линевый, я в нем не спец. да и переводить килотонны мануалов на русский, а потом еще на понятный русский неохота. а по опенвпну есть мануалы для ламеров, я по ним все настроил. да, было сначала страшно, но буквально все настраивается за полчаса, не знаю, почему раньше не попробовал все это дело. единственная проблема, что опенвпн, поднятый на роутере ASUS работает не так, как на микротике - он пропускает в интернет после коннекта к впн, а микротиковский впн блочит все, пока не отключишься. это даже лучше для клиентов, чтобы работали и не отвлекались, причину найти не могу, но для работы достаточно.
|
|||
17
Йохохо
09.01.21
✎
09:26
|
(16) для меня наоборот микротик это макось с диалектом на ингрише. опенвпн не хочу т.к. древний интерфейс, а проблема как раз в домохозяйках удаленщицах с зверцд вин 7, пптп то работает. ВайрГвард тоже с глюками, но мб факультативно доковыряю
|
|||
18
Злопчинский
09.01.21
✎
15:36
|
(16) "а микротиковский впн блочит все, пока не отключишься."
маршрутизацию надо поправить может быть. такое и на стандартном ВПН бывает - подключаешься - ВПН работает, а в инет - фиг. мне сисадмин маршрутизацию подстраивал в таком случае и все ок становилось. |
|||
19
NorthWind
09.01.21
✎
16:08
|
(16) это не VPN блочит, это на клиентской машине надо разрулить маршруты, чтобы в подключение VPN ходил только тот трафик, который относится к локальной сети предприятия, куда ты подключаешься, а все остальное - в инет. В более-менее свежих виндах можно сделать просто, например, командлетом из повершелла:
Add-VpnConnectionRoute -ConnectionName "Ваш-VPN-интерфейс" -DestinationPrefix УдаленнаяПодсетьКудаКидатьПакеты причем, если я правильно помню, будучи раз введенной, эта команда навсегда запомнится для данного подключения. На более старых виндах можно делать командой route add, но это придется делать каждый раз при установке соединения. |
|||
20
NorthWind
09.01.21
✎
16:10
|
если работаете иногда на андроидном телефоне/планшете через VPN, то там все еще проще. В стандартном VPN-клиенте есть поле ввода "Маршруты пересылки". Вот туда и прописываете подсеть локалки предприятия, с которой работаете. И вуаля - после того как загорится значок VPN в прямоугольнике, доступ в инет у дрюши не пропадет.
|
|||
21
Йохохо
09.01.21
✎
16:27
|
(19) там есть route -p . Но возможно микротик не учитывает дефаулт гейтвей, они же гордые, им подавай пряморуких
|
|||
22
Провинциальный 1сник
09.01.21
✎
17:32
|
(19) Чтобы задать маршрут к удаленной сети через впн, не меняя шлюза по умолчанию, нужно указывать идентификатор сетевого интерфейса, а он при каждом подключении разный. Так что route -p не катит..
|
|||
23
mistеr
09.01.21
✎
17:36
|
(5) Вопрос чисто из любопытства. Зачем тебе OpenVPN, если тебе пофиг на "INSECURE cipher"?
|
|||
24
ДедМорроз
09.01.21
✎
17:36
|
Начиная с windows 8,есть возможность указывать маршруты в привязке в сетевому соединению,тогда они будут включаться только при его установке.
Но,печальна ситуация,когда какая-то подсесть организации совпадает с подсетью провайдера. |
|||
25
Провинциальный 1сник
09.01.21
✎
19:16
|
(24) "Но,печальна ситуация,когда какая-то подсесть организации совпадает с подсетью провайдера."
Скорее не с подсетью провайдера, а с подсетью клиента. У них от роутера часто 192.168.x и в организации та же. Провайдеры же обычно используют более экзотические серые подсети, 100 или 172. |
|||
26
NorthWind
09.01.21
✎
20:37
|
(25) ну тут уже сисадмин организации злобная буратина... По крайней мере можно сделать какую-нибудь 192.168.112.*, а не 192.168.0.* или 1.*
|
|||
27
ДедМорроз
09.01.21
✎
23:33
|
Провайдеры пытаются раздать подсети так,чтобы они в разных регионах не повторялись - от этого "экзотические" номера и получаются.
|
|||
28
ДедМорроз
09.01.21
✎
23:35
|
У клиентов,как раз,все более просто,стандартные для роутеров подсети 0, 1 или 2.
Более экзотические варианты встречаются,если кто-то прописывает вручную. |
|||
29
DJ Anthon
10.01.21
✎
08:05
|
(17) так вот у меня как раз PPTP-то и не работает, я был бы рад его использовать. А удаленщицам кидаю только дистриб по почте, в котором все зашито, им надо только установить, ничего настраивать не надо, все прописано в конфиге. насчет того, что это макось на инглише - к ней хотя бы мануалы есть русские. для остального софта надо штудировать все на английском. сейчас посмотрел этот WireGuard - русского не нашел.
(18) в инете есть сотня советов и все они сводятся к одному - поменять маршрут, только вот для этого должно одно условие соблюдаться - подсети должны быть разные. а у меня они одинаковые. то есть и в офисе подсетка 192.168.1.1, и у большинства юзеров дома тоже 192.168.1.1. в офисе не вариант менять подсеть - там все айпи в оборудовании зашиты, на это год надо, чтобы все заменить, так как штатного сисадмина там нет. у домохозяек дома менять тоже не вариант, они, как правило, не знают пароля от роутера, да и ехать к ним не вариант, их много и они далеко. я надеялся настроить так, чтобы только 1-2 адреса открыть из офиса, грубо говоря, объединить сетки, но роутеры мне показывают хер. даже если я пытаюсь указать шлюз офиса, интернета все равно нет. самое интересное, что на роутере ASUS впн спокойно все объединял сам и я даже не думал, что эта проблема вообще возникнет. тут вроде есть толковые сисдамины, но они говорят - единственный способ - менять подсетку в офисе на другие адреса. не буду. мне за это не платят. |
|||
30
DJ Anthon
10.01.21
✎
08:08
|
(19) у меня openvpn. куда эту вашу команду вводить? и да, у опенвпн есть аналогичная команда в конфиге, поверьте, я ее вводил и сотни ее вариаций, не получается. могу даже вам конфигу подключения скинуть, чтобы вы поэкспериментировали. факт остается, пптп я не могу юзать, хотя он мне сначала нравился
|
|||
31
DJ Anthon
10.01.21
✎
08:14
|
(21) где-то в роутере надо прописывать, чтобы он впновских юзеров пускал в инет. но мне туда сказали не лазить, разрешили только сервер опенвпн дали поднять. поэтому я ничего не могу проверить.
|
|||
32
Доктор Манхэттен
10.01.21
✎
08:31
|
(13) Не используй имитацию диалапа.
|
|||
33
Йохохо
10.01.21
✎
08:32
|
(30) это в настройках отправляемых клиенту должно быть, что то про пуш роут афаир
|
|||
34
spectre1978
10.01.21
✎
08:40
|
(30) команду вводить на той машине, которая подключается к удаленной сети.
|
|||
35
Провинциальный 1сник
10.01.21
✎
09:26
|
(32) Штатные впн в винде по другому не умеют
|
|||
36
Провинциальный 1сник
10.01.21
✎
09:31
|
(27) Скорее, чтобы не пересечься со стандартной подсетью бытовых роутеров. А там в 99% случаев 192.168.x, так что выбор 100 или 172 серой сети наиболее логичен, некоторые провайдеры дают 10 - но это уже есть риск наткнуться на такую подсеть у клиента..
|
|||
37
spectre1978
10.01.21
✎
14:11
|
(29) если подсети совпадают, тогда пипец. В этом случае маршрутизация не будет нормально работать.
|
|||
38
Йохохо
10.01.21
✎
14:27
|
(37) если пиринга нет между клиентами, иногда тошнит но работает)
|
|||
39
ДедМорроз
10.01.21
✎
15:20
|
Вариант такой
Делаем для vpn свою подсеть и для нее же пишем правила трансляции для всех машин,которые в офисе должны быть доступны,то есть каждой выделяем ещё и адрес из созданной для vpn сети. Сетей для vpn сделать как минимум две,чтобы в случае совпадения клиенту можно было дать другую. Тогда никаких маршрутов не надо,но нужно правила трансляции писать правильно,чтобы пакеты уходили назад с обратной подменой ip-адреса. |
|||
40
ДедМорроз
10.01.21
✎
15:26
|
Опять же,на клиенте таблица роутинга имеет приоритеты,и если адреса не пересекаются,то даже для одной сети можно маршруты разделить.
Просто,из двух машин с одним и тем же ip-адресом клиент будет всегда видеть только одну. Если у клиента подсеть 192.168.1.х Но в ней нет машины 192.168.1.80,которая в офисе сервер,то пишем маршрут по маске только до него,то есть маску 255.255.255.255 и метрику 1,тогда пакеты на сервер пойдут в vpn,а вся остальная сеть 192.168.1.x по стандартному маршруту с метрикой в районе 200 будет прекрасно доступна. Конечно,выдать по vpn адрес из той же сети 192.168.1.x напрямую не получится - таблица маршрутов испортится,и ничего не будет работать. |
|||
41
DJ Anthon
10.01.21
✎
17:20
|
(37) самое смешное, что адреса не совпадают (ну, кроме шлюзов, конечно). но если честно, мне вообще все это непонятно. при соединении вообще создаются адреса 10.0.0.х, для чего они тогда нужны? почему бы не выдавать адреса по DHCP? куча адресов свободна, но как их настроить, хз. в мануалах все все по одной схеме делают, шаг влево, шаг вправо - ничего не работает. я вообще хотел бы, чтобы можно было половину одной сетки объединить с половиной другой. или по маске какой-нибудь. там, до 200-х адресов пусть будут домашние адреса, после - офисные. но так низзя (
|
|||
42
DJ Anthon
10.01.21
✎
17:21
|
(40) вот, это у меня и не получается. надо всего пару адресов прокинуть, я писал маршруты до них.
|
|||
43
Доктор Манхэттен
11.01.21
✎
07:30
|
(35) Все она умеет. Обнови винду до десятки.
|
|||
44
Йохохо
11.01.21
✎
07:34
|
(41) похоже ты делал по мануалу лан2лан, это без маршрутов не работает конечно
|
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |