The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenVPN  TCP/UDP: Incoming packet rejected"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"OpenVPN  TCP/UDP: Incoming packet rejected"  +/
Сообщение от elja_1989 email(ok) on 28-Июн-09, 23:08 
Всем здрасте. У меня есть сервер, на нем стоит OpenVPN. Есть ещё 1 сервер, на нём тоже стоит OpenVPN(это уже не мой сервер). Суть задачи в том что бы запустить на моём сервере OpenVPN сервер и клиент одновременно.

Проблема возникла на стадии запуска клиента:
зарускаю так. openvpn --config <тут пусть к конфигу клиента для подключения>
подключение идёт.идёт.. и в 1 прекрасный момент начинает выдавать такое.

----------------------------------------------------------------------------------------
Sun Jun 28 22:03:14 2009 TCP/UDP: Incoming packet rejected from 1.4.6.148:19252[2], expected peer address: 93.84.114.192:5000 (allow this incoming source address/port by removing --remote or adding --float)
Sun Jun 28 22:03:14 2009 TCP/UDP: Incoming packet rejected from 1.8.177.9:11933[2], expected peer address: 93.84.114.192:5000 (allow this incoming source address/port by removing --remote or adding --float)
Sun Jun 28 22:03:16 2009 TCP/UDP: Incoming packet rejected from 1.6.6.195:17525[2], expected peer address: 93.84.114.192:5000 (allow this incoming source address/port by removing --remote or adding --float)
Sun Jun 28 22:03:17 2009 TCP/UDP: Incoming packet rejected from 1.8.177.9:11933[2], expected peer address: 93.84.114.192:5000 (allow this incoming source address/port by removing --remote or adding --float)
Sun Jun 28 22:03:17 2009 TCP/UDP: Incoming packet rejected from 1.4.6.148:19252[2], expected peer address: 93.84.114.192:5000 (allow this incoming source address/port by removing --remote or adding --float)
Sun Jun 28 22:03:18 2009 TCP/UDP: Incoming packet rejected from 1.6.6.195:17525[2], expected peer address: 93.84.114.192:5000 (allow this incoming source address/port by removing --remote or adding --float)
Sun Jun 28 22:03:19 2009 TCP/UDP: Incoming packet rejected from 1.8.177.9:11933[2], expected peer address: 93.84.114.192:5000 (allow this incoming source address/port by removing --remote or adding --float)
Sun Jun 28 22:03:19 2009 TCP/UDP: Incoming packet rejected from 1.4.6.148:19252[2], expected peer address: 93.84.114.192:5000 (allow this incoming source address/port by removing --remote or adding --float)
Sun Jun 28 22:03:20 2009 TCP/UDP: Incoming packet rejected from 1.6.6.195:17525[2], expected peer address: 93.84.114.192:5000 (allow this incoming source address/port by removing --remote or adding --float)
Sun Jun 28 22:03:20 2009 TCP/UDP: Incoming packet rejected from 1.8.177.9:11933[2], expected peer address: 93.84.114.192:5000 (allow this incoming source address/port by removing --remote or adding --float)
Sun Jun 28 22:03:21 2009 TCP/UDP: Incoming packet rejected from 1.6.6.195:17525[2], expected peer address: 93.84.114.192:5000 (allow this incoming source address/port by removing --remote or adding --float)

----------------------------------------------------------------------------------------


Как с этим бороться и что делать?
Более подробный рисунок http://www.imagebam.com/image/9f877840475438

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "OpenVPN  TCP/UDP: Incoming packet rejected"  +/
Сообщение от nadirx2 (ok) on 28-Июн-09, 23:19 
>[оверквотинг удален]
>or adding --float)
>Sun Jun 28 22:03:21 2009 TCP/UDP: Incoming packet rejected from 1.6.6.195:17525[2], expected
>peer address: 93.84.114.192:5000 (allow this incoming source address/port by removing --remote
>or adding --float)
>
>----------------------------------------------------------------------------------------
>
>
>Как с этим бороться и что делать?
>Более подробный рисунок http://www.imagebam.com/image/9f877840475438

93.84.114.192:5000 ?


покажи нам server.conf и client.conf

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "OpenVPN  TCP/UDP: Incoming packet rejected"  +/
Сообщение от elja_1989 email(ok) on 29-Июн-09, 00:37 
client:
dev tun1
client
remote 93.84.114.192 5000
ca /etc/openvpn/test/ca.crt
cert /etc/openvpn/test/test.crt
key /etc/openvpn/test/test.key
proto udp
comp-lzo
sndbuf 131072
rcvbuf 131072
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
verb 3
;route-noexec


server:
dev tun

server 10.8.0.0 255.255.255.0

push "route 80.94.162.0 255.255.255.0"
push "route 1.0.0.0 255.0.0.0"
push "route 194.158.198.0 255.255.255.0"
push "route 193.232.92.0 255.255.255.0"
push "route 195.222.70.0 255.255.255.0"
push "route 217.23.115.0 255.255.255.0"
push "route 91.149.189.0 255.255.255.0"
push "route 93.87.113.0 255.255.255.0"
push "route 81.25.32.0 255.255.255.0"
push "route 212.98.171.0 255.255.255.0"
push "route 80.94.160.0 255.255.255.0"
push "route 80.94.164.0 255.255.255.0"
push "route 80.94.231.0 255.255.255.0"
push "route 213.184.238.0 255.255.255.0"
push "route 213.184.225.0 255.255.255.0"
push "route 212.98.160.0 255.255.255.0"
push "route 87.252.241.0 255.255.255.0"
push "route 91.149.162.0 255.255.255.0"
push "route 217.21.32.0 255.255.255.0"
push "route 217.21.61.0 255.255.255.0"
push "route 213.184.232.0 255.255.255.0"
push "route 217.23.119.0 255.255.255.0"
push "route 217.21.38.0 255.255.255.0"
push "redirect-gateway"
tls-server
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
proto udp
port 1195
keepalive 10 120
verb 3
client-to-client
log-append /var/log/openvpn.log
ifconfig-pool-persist ipp.txt
persist-key
persist-tun


У второго сервера есть кака-то хитрая настройка - редирект, но я точно не знаю. Сервер частный и владельцы его мне не известны. если в клиентском конфиге узазывать route-noexec то редиректа можно добится и с помощью роутов. Таблицы маршрутизации присутствуют тоже, но помойму пока что дело не в этом

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "OpenVPN  TCP/UDP: Incoming packet rejected"  +/
Сообщение от elja_1989 email(ok) on 29-Июн-09, 00:53 
Ну разумеется в конфиг VPN сервера ещё придётся добавить строчку, которая добавит новую подсеть. Но пока задача хотябы стартануть VPN клиент.

p.s. система на моём сервере - Debian. Ребят тока если отвечаете, то говорите более понятно, а то я с линуксом имею дело только пару недель.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "OpenVPN  TCP/UDP: Incoming packet rejected"  +/
Сообщение от elja_1989 email(ok) on 29-Июн-09, 08:59 
И кстати и мой сервер и клиент(если под виндой стартовать) для чужого сервера поотдельности работают нормально.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "OpenVPN  TCP/UDP: Incoming packet rejected"  +/
Сообщение от nadirx2 (ok) on 29-Июн-09, 09:31 
>[оверквотинг удален]
>ifconfig-pool-persist ipp.txt
>persist-key
>persist-tun
>
>
>У второго сервера есть кака-то хитрая настройка - редирект, но я точно
>не знаю. Сервер частный и владельцы его мне не известны. если
>в клиентском конфиге узазывать route-noexec то редиректа можно добится и с
>помощью роутов. Таблицы маршрутизации присутствуют тоже, но помойму пока что дело
>не в этом

сделай verb 4

запускай client и затем покажи подробные логи.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "OpenVPN  TCP/UDP: Incoming packet rejected"  +/
Сообщение от nadirx2 (ok) on 29-Июн-09, 09:43 
>[оверквотинг удален]
>ifconfig-pool-persist ipp.txt
>persist-key
>persist-tun
>
>
>У второго сервера есть кака-то хитрая настройка - редирект, но я точно
>не знаю. Сервер частный и владельцы его мне не известны. если
>в клиентском конфиге узазывать route-noexec то редиректа можно добится и с
>помощью роутов. Таблицы маршрутизации присутствуют тоже, но помойму пока что дело
>не в этом

openvpn --remote 93.84.114.192 5000 \
        --dev tun1 \
        --verb 4 \
        --secret test.key

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "OpenVPN  TCP/UDP: Incoming packet rejected"  +/
Сообщение от ALex_hha (ok) on 29-Июн-09, 12:35 
А почему нельзя сразу подключаться клиентом к другому VPN серверу? Зачяем вы подняли еще один VPN сервер?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "OpenVPN  TCP/UDP: Incoming packet rejected"  +/
Сообщение от elja_1989 email(ok) on 29-Июн-09, 12:57 
>А почему нельзя сразу подключаться клиентом к другому VPN серверу? Зачяем вы
>подняли еще один VPN сервер?

я и подключаюсь VPN-ом к другому серверу(читай внимательнее). VPN сервер подняли для расширения области видимости пользователей(опять же читайте внимательнее).

p.s. если вы подумали, что я подключаюсь сам к себе, то этого я не делаю. А по вопросам "зачем мне это нужно?" - всё упирается в расход трафика, а следовательно в деньги, если я такое сделаю я нехило сэкономлю на своём трафике.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "OpenVPN  TCP/UDP: Incoming packet rejected"  +/
Сообщение от elja_1989 email(ok) on 29-Июн-09, 15:27 
Такс.. клиента поднял. Не знаю что было, но сегодня сутра все эти ошибки пропали.
Зато возник второй вопрос:
мой сервер раздаёт ip в диапазоне 10.8.0.0/24
чужой сервер раздаёт ip в диапазоне 10.5.1.0/24

я прописал роуты на сервере на нужные мне ип через шлюз, который появляется при подключение впн клиента ( у меня он = 10.5.1.253 ). На моём сервере также стоит веб админка, у неё есть компонент http tunneling. С её помощью теперь я уже могу заходить на нужные мне ресуры.

В конфиг сервера я добавил новую подсеть
push "route 10.5.1.0 255.255.255.0"

Но у пользователей на эти ресурсы доступа всё также нет. Что делать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "OpenVPN  TCP/UDP: Incoming packet rejected"  +/
Сообщение от reader (ok) on 30-Июн-09, 00:41 
>[оверквотинг удален]
>появляется при подключение впн клиента ( у меня он = 10.5.1.253
>). На моём сервере также стоит веб админка, у неё есть
>компонент http tunneling. С её помощью теперь я уже могу заходить
>на нужные мне ресуры.
>
>В конфиг сервера я добавил новую подсеть
>push "route 10.5.1.0 255.255.255.0"
>
>Но у пользователей на эти ресурсы доступа всё также нет. Что делать?
>

а машины за чужим сервером и сам чужой сервер знает где искать ваших пользователей? маршруты у чужих есть?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "OpenVPN  TCP/UDP: Incoming packet rejected"  +/
Сообщение от elja_1989 email(ok) on 30-Июн-09, 11:04 
Нет не знает. VPN у нас используется немного подругому - для выхода в интернет, а точнее мой сервер, как и чужой доступен через нашего провайдера по гостевому доступу. Наши гостевые ресурсы сильно ограничены, а у серверов доступных интернет ресурсов намного больше. Вот и VPN расширяет наши "возможности".

А вообще это обязательно что бы "машины за чужим сервером и сам чужой сервер знает где искать ваших пользователей", а то ведь ip достурные через на VPN врятли знаю где искать нашу подсеть.

А реально сделать вообще, то что я задумал без маршрутов у чужых?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "OpenVPN  TCP/UDP: Incoming packet rejected"  +/
Сообщение от reader (ok) on 30-Июн-09, 11:25 
>Нет не знает. VPN у нас используется немного подругому - для выхода
>в интернет, а точнее мой сервер, как и чужой доступен через
>нашего провайдера по гостевому доступу. Наши гостевые ресурсы сильно ограничены, а
>у серверов доступных интернет ресурсов намного больше. Вот и VPN расширяет
>наши "возможности".
>
>А вообще это обязательно что бы "машины за чужим сервером и сам
>чужой сервер знает где искать ваших пользователей", а то ведь ip
>достурные через на VPN врятли знаю где искать нашу подсеть.

конечно, иначе они будут слать ответы на ваши пакеты не туда куда надо.
>
>А реально сделать вообще, то что я задумал без маршрутов у чужых?
>

SNAT на серверах

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "OpenVPN  TCP/UDP: Incoming packet rejected"  +/
Сообщение от elja_1989 email(ok) on 30-Июн-09, 15:02 
>SNAT на серверах

На серверах или на моём сервере?
я так понял через айпитэйблс нужно сделать перенаправление.. Если так, то прошу вас помогите плиз, а то я в этой фтуке) плохо шарю. Что писать?

route -p add 188.128.84.0 mask 255.255.252.0 %ip%
route -p add 93.186.224.0 mask 255.255.252.0 %ip%
route -p add 93.186.228.0 mask 255.255.252.0 %ip%
route -p add 93.186.232.0 mask 255.255.248.0 %ip%
route -p add 91.198.174.0 mask 255.255.255.0 %ip%
route -p add 205.188.0.0 mask 255.255.0.0 %ip%
route -p add 64.12.0.0 mask 255.255.0.0 %ip%

вот это список ип которые я хочу вытащить. как перенаправить? или я вообще несу бред?)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "OpenVPN  TCP/UDP: Incoming packet rejected"  +/
Сообщение от reader (ok) on 30-Июн-09, 16:28 
>>SNAT на серверах
>
>На серверах или на моём сервере?

если к чужим машинам, за чужим сервером вы будите обращаться по их ip, то только на вашем, но маршрут к вашему ip_vpn они должны знать, если с сервера вы с ними общаетесь, значит этот маршрут они знают
>[оверквотинг удален]
>route -p add 188.128.84.0 mask 255.255.252.0 %ip%
>route -p add 93.186.224.0 mask 255.255.252.0 %ip%
>route -p add 93.186.228.0 mask 255.255.252.0 %ip%
>route -p add 93.186.232.0 mask 255.255.248.0 %ip%
>route -p add 91.198.174.0 mask 255.255.255.0 %ip%
>route -p add 205.188.0.0 mask 255.255.0.0 %ip%
>route -p add 64.12.0.0 mask 255.255.0.0 %ip%
>
>вот это список ип которые я хочу вытащить. как перенаправить? или я
>вообще несу бред?)

не нужно перенаправление, если к этим сетям вы хотите обращаться через vpn, то и прописывайте маршруты на своем сервере к этим сетям через ip_vpn чужего сервера, а на своем сервере делайте SNAT всего что уходит через vpn_интерфейс

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "OpenVPN  TCP/UDP: Incoming packet rejected"  +/
Сообщение от elja_1989 email(ok) on 02-Июл-09, 10:53 
Как нистранно проблема появилась опять... Не знаю, что и делать.
У меня есть предположений, может это происходит из-за того, что моё сетевое подключение на сервере имет доступ ко все 1.0.0.0/255.0.0.0 и когда подключаюсь к ВПН, то оно тоже должно сделать так, чтобы я видел 1.0.0.0/255.0.0.0 Может поэтому оно выдаёт такое конфликты?

----------------------------------------------------------------------------------------

Thu Jul  2 09:28:47 2009 OpenVPN 2.0.9 i486-pc-linux-gnu [SSL] [LZO] [EPOLL] built on Sep 20 2007
Thu Jul  2 09:28:47 2009 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Thu Jul  2 09:28:47 2009 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Thu Jul  2 09:28:47 2009 WARNING: file '/etc/openvpn/test/*****.key' is group or others accessible
Thu Jul  2 09:28:47 2009 LZO compression initialized
Thu Jul  2 09:28:47 2009 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Jul  2 09:28:47 2009 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Jul  2 09:28:47 2009 Local Options hash (VER=V4): 'd3a7571a'
Thu Jul  2 09:28:47 2009 Expected Remote Options hash (VER=V4): '5b1533a2'
Thu Jul  2 09:28:47 2009 UDPv4 link local (bound): [undef]:1194
Thu Jul  2 09:28:47 2009 UDPv4 link remote: 93.84.114.192:5000
Thu Jul  2 09:28:47 2009 TLS: Initial packet from 93.84.114.192:5000, sid=6a7d9478 58396722
Thu Jul  2 09:28:47 2009 VERIFY OK: depth=1, /C=BY/ST=BR/L=BREST/O=OPENVPN/CN=OPENVPN_CA/emailAddress=ASMADEY@OPEN.BY
Thu Jul  2 09:28:47 2009 VERIFY OK: depth=0, /C=BY/ST=BR/L=BREST/O=OPENVPN/CN=server/emailAddress=ASMADEY@OPEN.BY
Thu Jul  2 09:28:48 2009 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1574', remote='link-mtu 1534'
Thu Jul  2 09:28:48 2009 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1532', remote='tun-mtu 1492'
Thu Jul  2 09:28:48 2009 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jul  2 09:28:48 2009 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jul  2 09:28:48 2009 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jul  2 09:28:48 2009 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jul  2 09:28:48 2009 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Jul  2 09:28:48 2009 [server] Peer Connection Initiated with 93.84.114.192:5000
Thu Jul  2 09:28:48 2009 TCP/UDP: Incoming packet rejected from 1.8.97.39:50795[2], expected peer address: 93.84.114.192:5000 (allow this incoming source address/port by removing --remote or adding --float)
Thu Jul  2 09:28:49 2009 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Thu Jul  2 09:28:49 2009 PUSH: Received control message: 'PUSH_REPLY,route 10.5.0.0 255.255.0.0,route 1.0.0.0 255.0.0.0,route 74.125.43.0 255.255.255.0,route 77.91.0.0 255.255.0.0,route 77.88.0.0 255.255.0.0,route 81.222.0.0 255.255.0.0,route 81.177.0.0 255.255.0.0,route 88.212.0.0 255.255.0.0,route 89.111.0.0 255.255.0.0,route 90.156.0.0 255.255.0.0,route 91.198.0.0 255.255.0.0,route 91.192.0.0 255.255.0.0,route 93.158.0.0 255.255.0.0,route 93.186.0.0 255.255.0.0,route 94.100.0.0 255.255.0.0,route 194.186.0.0 255.255.0.0,route 195.218.0.0 255.255.0.0,route 195.222.0.0 255.255.0.0,route 208.80.0.0 255.255.0.0,route 212.119.0.0 255.255.0.0,route 74.55.0.0 255.255.0.0,route 67.19.0.0 255.255.0.0,route 213.180.0.0 255.255.0.0,route 217.73.0.0 255.255.0.0,route 64.12.0.0 255.255.0.0,route 195.232.0.0 255.255.0.0,route 205.188.0.0 255.255.0.0,route 217.23.119.0 255.255.255.0,route 91.149.189.128 255.255.255.255,route 10.5.0.0 255.255.0.0,topology net30,ping 10,ping-restart 30,ifconfig 10.5.1.34 10.5.1.33'
Thu Jul  2 09:28:49 2009 Options error: Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:31: topology (2.0.9)
Thu Jul  2 09:28:49 2009 OPTIONS IMPORT: timers and/or timeouts modified
Thu Jul  2 09:28:49 2009 OPTIONS IMPORT: --ifconfig/up options modified
Thu Jul  2 09:28:49 2009 OPTIONS IMPORT: route options modified
Thu Jul  2 09:28:49 2009 TUN/TAP device tun2 opened
Thu Jul  2 09:28:49 2009 ifconfig tun2 10.5.1.34 pointopoint 10.5.1.33 mtu 1500
Thu Jul  2 09:28:49 2009 Initialization Sequence Completed
Thu Jul  2 09:28:50 2009 TCP/UDP: Incoming packet rejected from 1.8.97.39:50795[2], expected peer address: 93.84.114.192:5000 (allow this incoming source address/port by removing --remote or adding --float)
Thu Jul  2 09:28:53 2009 TCP/UDP: Incoming packet rejected from 1.8.97.39:50795[2], expected peer address: 93.84.114.192:5000 (allow this incoming source address/port by removing --remote or adding --float)

-------------------------------Так идёт очень долго(я нажал Ctrl+C)----------------------

Thu Jul  2 09:28:54 2009 event_wait : Interrupted system call (code=4)
Thu Jul  2 09:28:54 2009 TCP/UDP: Closing socket
Thu Jul  2 09:28:54 2009 Closing TUN/TAP interface
Thu Jul  2 09:28:54 2009 SIGINT[hard,] received, process exiting

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру