作者 主題: openvpn linux server和linux client  (閱讀 8424 次)

0 會員 與 1 訪客 正在閱讀本文。

treble

  • 活潑的大學生
  • ***
  • 文章數: 215
    • 檢視個人資料
    • 牛的大腦
openvpn linux server和linux client
« 於: 2008-10-20 15:07 »
我想要linux vpn server對linux vpn client
我參考了http://www.study-area.org/tips/openvpn.html
http://openvpn.net/index.php/documentation/howto.html
以下是我的實作過程,但結果失敗,那位大大可以指點我一下


我在linux的server和client安裝lzo和openvpn
rpmbuild --rebuild http://openvpn.net/release/lzo-1.08-4.rf.src.rpm
rpm -ivh /usr/src/redhat/RPMS/i386/lzo-*.rpm
wget http://openvpn.net/release/openvpn-2.0.2.tar.gz
rpmbuild -tb openvpn-2.0.2.tar.gz
rpm -ivh /usr/src/redhat/RPMS/i386/openvpn-2.0.2-1.i386.rpm
 
..............server(192.168.100.102)設定部份

複製easy-rsa/和server.conf到/etc/openvpn/

設定CA環境
在easy-rsa內編輯vars如下
export KEY_COUNTRY=co
export KEY_PROVINCE=pr
export KEY_CITY=ci
export KEY_ORG=or
export KEY_EMAIL=me@em
. ./vars
./clean-all

./build-ca     //Common Name選ca
./build-key-server vpn1   //Common Name選vpn1
./build-dh

編輯server.conf
dev tap
;dev tun
ca ca.crt
cert vpn1.crt
key vpn1.key 

openvpn server.conf

.................... client(192.168.100.101)設定部份

複製easy-rsa/和client.conf到/etc/openvpn/

在easy-rsa內編輯vars如同server
. ./vars
./clean-all

./build-ca     //Common Name選ca
./build-key client1   //Common Name選client1

編輯client.conf
dev tap
;dev tun
dev-node OpenVPN_Tap
remote 192.168.100.102 1194
ca ca.crt
cert vpnxp1.crt
key vpnxp1.key
ns-cert-type server

openvpn client.conf

...........................

client會顯示

Mon Oct 20 14:59:03 2008 OpenVPN 2.0.2 i386-redhat-linux-gnu [SSL] [LZO] [EPOLL] built on Oct 19 2008
Mon Oct 20 14:59:03 2008 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Mon Oct 20 14:59:03 2008 LZO compression initialized
Mon Oct 20 14:59:03 2008 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Oct 20 14:59:03 2008 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Oct 20 14:59:03 2008 Local Options hash (VER=V4): 'd79ca330'
Mon Oct 20 14:59:03 2008 Expected Remote Options hash (VER=V4): 'f7df56b8'
Mon Oct 20 14:59:03 2008 UDPv4 link local: [undef]
Mon Oct 20 14:59:03 2008 UDPv4 link remote: 192.168.100.102:1194
Mon Oct 20 14:59:03 2008 TLS: Initial packet from 192.168.100.102:1194, sid=57469d22 e6aa3360
Mon Oct 20 14:59:03 2008 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: /C=co/ST=pr/L=ci/O=or/OU=test/CN=or_CA/emailAddress=me@em
Mon Oct 20 14:59:03 2008 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Mon Oct 20 14:59:03 2008 TLS Error: TLS object -> incoming plaintext read error
Mon Oct 20 14:59:03 2008 TLS Error: TLS handshake failed
Mon Oct 20 14:59:03 2008 TCP/UDP: Closing socket
Mon Oct 20 14:59:03 2008 SIGUSR1[soft,tls-error] received, process restarting
Mon Oct 20 14:59:03 2008 Restart pause, 2 second(s)
Mon Oct 20 14:59:05 2008 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Mon Oct 20 14:59:05 2008 Re-using SSL/TLS context
Mon Oct 20 14:59:05 2008 LZO compression initialized
Mon Oct 20 14:59:05 2008 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Oct 20 14:59:05 2008 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Oct 20 14:59:05 2008 Local Options hash (VER=V4): 'd79ca330'
Mon Oct 20 14:59:05 2008 Expected Remote Options hash (VER=V4): 'f7df56b8'
Mon Oct 20 14:59:05 2008 UDPv4 link local: [undef]
Mon Oct 20 14:59:05 2008 UDPv4 link remote: 192.168.100.102:1194
Mon Oct 20 14:59:05 2008 TLS Error: Unroutable control packet received from 192.168.100.102:1194 (si=3 op=P_CONTROL_V1)
Mon Oct 20 14:59:05 2008 TLS Error: Unroutable control packet received from 192.168.100.102:1194 (si=3 op=P_CONTROL_V1)
Mon Oct 20 14:59:05 2008 TLS Error: Unroutable control packet received from 192.168.100.102:1194 (si=3 op=P_CONTROL_V1)
Mon Oct 20 14:59:05 2008 TLS Error: Unroutable control packet received from 192.168.100.102:1194 (si=3 op=P_CONTROL_V1)
Mon Oct 20 14:59:05 2008 TLS: Initial packet from 192.168.100.102:1194, sid=479e019b 167d7034
Mon Oct 20 14:59:05 2008 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: /C=co/ST=pr/L=ci/O=or/OU=test/CN=or_CA/emailAddress=me@em
Mon Oct 20 14:59:05 2008 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Mon Oct 20 14:59:05 2008 TLS Error: TLS object -> incoming plaintext read error
Mon Oct 20 14:59:05 2008 TLS Error: TLS handshake failed
Mon Oct 20 14:59:05 2008 TCP/UDP: Closing socket
Mon Oct 20 14:59:05 2008 SIGUSR1[soft,tls-error] received, process restarting
Mon Oct 20 14:59:05 2008 Restart pause, 2 second(s)
Mon Oct 20 14:59:07 2008 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Mon Oct 20 14:59:07 2008 Re-using SSL/TLS context
Mon Oct 20 14:59:07 2008 LZO compression initialized
Mon Oct 20 14:59:07 2008 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Oct 20 14:59:07 2008 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Oct 20 14:59:07 2008 Local Options hash (VER=V4): 'd79ca330'
Mon Oct 20 14:59:07 2008 Expected Remote Options hash (VER=V4): 'f7df56b8'
Mon Oct 20 14:59:07 2008 UDPv4 link local: [undef]
Mon Oct 20 14:59:07 2008 UDPv4 link remote: 192.168.100.102:1194
Mon Oct 20 14:59:07 2008 TLS Error: Unroutable control packet received from 192.168.100.102:1194 (si=3 op=P_CONTROL_V1)
Mon Oct 20 14:59:07 2008 TLS Error: Unroutable control packet received from 192.168.100.102:1194 (si=3 op=P_CONTROL_V1)
Mon Oct 20 14:59:07 2008 TLS Error: Unroutable control packet received from 192.168.100.102:1194 (si=3 op=P_CONTROL_V1)
Mon Oct 20 14:59:07 2008 TLS Error: Unroutable control packet received from 192.168.100.102:1194 (si=3 op=P_CONTROL_V1)
Mon Oct 20 14:59:07 2008 TLS Error: Unroutable control packet received from 192.168.100.102:1194 (si=3 op=P_CONTROL_V1)
Mon Oct 20 14:59:07 2008 TLS Error: Unroutable control packet received from 192.168.100.102:1194 (si=3 op=P_CONTROL_V1)
Mon Oct 20 14:59:07 2008 TLS Error: Unroutable control packet received from 192.168.100.102:1194 (si=3 op=P_CONTROL_V1)
Mon Oct 20 14:59:07 2008 TLS Error: Unroutable control packet received from 192.168.100.102:1194 (si=3 op=P_CONTROL_V1)
Mon Oct 20 14:59:09 2008 TLS Error: Unroutable control packet received from 192.168.100.102:1194 (si=3 op=P_CONTROL_V1)
Mon Oct 20 14:59:09 2008 TLS Error: Unroutable control packet received from 192.168.100.102:1194 (si=3 op=P_CONTROL_V1)
Mon Oct 20 14:59:09 2008 TLS Error: Unroutable control packet received from 192.168.100.102:1194 (si=3 op=P_CONTROL_V1)
Mon Oct 20 14:59:09 2008 TLS Error: Unroutable control packet received from 192.168.100.102:1194 (si=3 op=P_CONTROL_V1)
Mon Oct 20 14:59:09 2008 TLS Error: Unroutable control packet received from 192.168.100.102:1194 (si=3 op=P_CONTROL_V1)
Mon Oct 20 14:59:09 2008 TLS Error: Unroutable control packet received from 192.168.100.102:1194 (si=3 op=P_CONTROL_V1)
Mon Oct 20 14:59:09 2008 TLS Error: Unroutable control packet received from 192.168.100.102:1194 (si=3 op=P_CONTROL_V1)
Mon Oct 20 14:59:09 2008 TLS Error: Unroutable control packet received from 192.168.100.102:1194 (si=3 op=P_CONTROL_V1)
Mon Oct 20 14:59:09 2008 TLS Error: Unroutable control packet received from 192.168.100.102:1194 (si=3 op=P_ACK_V1)
Mon Oct 20 14:59:10 2008 event_wait : Interrupted system call (code=4)
Mon Oct 20 14:59:10 2008 TCP/UDP: Closing socket
Mon Oct 20 14:59:10 2008 SIGINT[hard,] received, process exiting


server會顯示
Mon Oct 20 11:16:27 2008 OpenVPN 2.1_rc2 i386-redhat-linux-gnu [SSL] [LZO2] [EPOLL] built on Mar  3 2007
Mon Oct 20 11:16:27 2008 Diffie-Hellman initialized with 1024 bit key
Mon Oct 20 11:16:27 2008 TLS-Auth MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Oct 20 11:16:27 2008 TUN/TAP device tap0 opened
Mon Oct 20 11:16:27 2008 TUN/TAP TX queue length set to 100
Mon Oct 20 11:16:27 2008 /sbin/ip link set dev tap0 up mtu 1500
Mon Oct 20 11:16:27 2008 /sbin/ip addr add dev tap0 10.8.0.1/24 broadcast 10.8.0.255
Mon Oct 20 11:16:27 2008 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Oct 20 11:16:27 2008 Socket Buffers: R=[109568->131072] S=[109568->131072]
Mon Oct 20 11:16:27 2008 UDPv4 link local (bound): [undef]:1194
Mon Oct 20 11:16:27 2008 UDPv4 link remote: [undef]
Mon Oct 20 11:16:27 2008 MULTI: multi_init called, r=256 v=256
Mon Oct 20 11:16:27 2008 IFCONFIG POOL: base=10.8.0.2 size=253
Mon Oct 20 11:16:27 2008 IFCONFIG POOL LIST
Mon Oct 20 11:16:27 2008 Initialization Sequence Completed
Mon Oct 20 14:57:00 2008 MULTI: multi_create_instance called
Mon Oct 20 14:57:00 2008 192.168.100.101:32774 Re-using SSL/TLS context
Mon Oct 20 14:57:00 2008 192.168.100.101:32774 LZO compression initialized
Mon Oct 20 14:57:00 2008 192.168.100.101:32774 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Oct 20 14:57:00 2008 192.168.100.101:32774 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Oct 20 14:57:00 2008 192.168.100.101:32774 Local Options hash (VER=V4): 'f7df56b8'
Mon Oct 20 14:57:00 2008 192.168.100.101:32774 Expected Remote Options hash (VER=V4): 'd79ca330'
Mon Oct 20 14:57:00 2008 192.168.100.101:32774 TLS: Initial packet from 192.168.100.101:32774, sid=34f1ad26 9267d3b5
Mon Oct 20 14:57:02 2008 192.168.100.101:32774 TLS: new session incoming connection from 192.168.100.101:32774
Mon Oct 20 14:57:04 2008 192.168.100.101:32774 TLS: new session incoming connection from 192.168.100.101:32774
Mon Oct 20 14:57:08 2008 192.168.100.101:32774 write UDPv4 [ECONNREFUSED|ECONNREFUSED|ECONNREFUSED|ECONNREFUSED]: Connection refused (code=111)
Mon Oct 20 14:57:08 2008 read UDPv4 [ECONNREFUSED|ECONNREFUSED]: Connection refused (code=111)
Mon Oct 20 14:57:10 2008 192.168.100.101:32774 write UDPv4 [ECONNREFUSED|ECONNREFUSED]: Connection refused (code=111)
Mon Oct 20 14:57:12 2008 192.168.100.101:32774 write UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Mon Oct 20 14:57:14 2008 192.168.100.101:32774 write UDPv4 [ECONNREFUSED|ECONNREFUSED]: Connection refused (code=111)
Mon Oct 20 14:57:16 2008 192.168.100.101:32774 write UDPv4 [ECONNREFUSED|ECONNREFUSED|ECONNREFUSED]: Connection refused (code=111)
« 上次編輯: 2008-10-20 15:10 由 treble »
[牛的大腦  http://systw.net ] 用來放一些筆記資料
[單字我朋友  http://systw.net/word ] 練英文用的
2分鐘檢測你的單字能力 http://systw.net/word/q.php

Yanny

  • 憂鬱的高中生
  • ***
  • 文章數: 177
    • 檢視個人資料
回覆: openvpn linux server和linux client
« 回覆 #1 於: 2008-10-20 17:32 »
妳有把client.conf 和 server.conf放在一起嗎?

treble

  • 活潑的大學生
  • ***
  • 文章數: 215
    • 檢視個人資料
    • 牛的大腦
回覆: openvpn linux server和linux client
« 回覆 #2 於: 2008-10-20 19:10 »
妳有把client.conf 和 server.conf放在一起嗎?

不懂大大的意思@@
當server的那台以server.conf來跑
當client的那台以client.conf來跑
所以應該算是沒放一起
[牛的大腦  http://systw.net ] 用來放一些筆記資料
[單字我朋友  http://systw.net/word ] 練英文用的
2分鐘檢測你的單字能力 http://systw.net/word/q.php

Yanny

  • 憂鬱的高中生
  • ***
  • 文章數: 177
    • 檢視個人資料
回覆: openvpn linux server和linux client
« 回覆 #3 於: 2008-10-21 09:15 »
我的意思是說client.conf和server.conf放在同一個目錄下會有問題,你想要做的是Linux 當vpn Server ,windows 當vpn client,是這樣嗎?你的作業系統是什麼?妳在網內連還是網外連,網外連就還要設定firewall!
« 上次編輯: 2008-10-21 09:18 由 kc19800322 »

treble

  • 活潑的大學生
  • ***
  • 文章數: 215
    • 檢視個人資料
    • 牛的大腦
回覆: openvpn linux server和linux client
« 回覆 #4 於: 2008-10-21 09:51 »
了解,以下是我的配置
clinet是fedora 6,目錄下只有client.conf
server是fedora 6,目錄下只有server.conf
兩台電腦都在內網
« 上次編輯: 2008-10-22 21:52 由 treble »
[牛的大腦  http://systw.net ] 用來放一些筆記資料
[單字我朋友  http://systw.net/word ] 練英文用的
2分鐘檢測你的單字能力 http://systw.net/word/q.php

廉價勞工

  • 活潑的大學生
  • ***
  • 文章數: 213
    • 檢視個人資料
回覆: openvpn linux server和linux client
« 回覆 #5 於: 2008-10-21 17:04 »
以前遇過,有點忘了
試試看在server設定檔內加上
local 192.168.100.102 (or 101 ? 這邊忘記是server端還是client端IP)

試試看這樣能不能通 , 或者改了之後log有沒有什麼改變再來討論看看
錢少、事多、離家遠…
位低、權輕、責任重…

treble

  • 活潑的大學生
  • ***
  • 文章數: 215
    • 檢視個人資料
    • 牛的大腦
回覆: openvpn linux server和linux client
« 回覆 #6 於: 2008-10-21 20:58 »
我在server.conf加上
local 192.168.100.102
但還是一樣,client端還是會出現TLS Error: Unroutable control packet received from 192.168.100.102:1194
[牛的大腦  http://systw.net ] 用來放一些筆記資料
[單字我朋友  http://systw.net/word ] 練英文用的
2分鐘檢測你的單字能力 http://systw.net/word/q.php

廉價勞工

  • 活潑的大學生
  • ***
  • 文章數: 213
    • 檢視個人資料
回覆: openvpn linux server和linux client
« 回覆 #7 於: 2008-10-22 09:05 »
檢查看看是否server跟client時間不同步?
或者sever跟client使用了相同的common name?

將server端跟client端時間同步後
再重新生成一次client的key試試看
錢少、事多、離家遠…
位低、權輕、責任重…

Yanny

  • 憂鬱的高中生
  • ***
  • 文章數: 177
    • 檢視個人資料
回覆: openvpn linux server和linux client
« 回覆 #8 於: 2008-10-22 09:18 »
我沒架過Linux to Linux,我只架過 windows to Linux
引用
clinet是fedora 6,目錄下只有client.conf
server是fedora 6,目錄下只有client.conf
為什麼Server 要放client.conf,Server要放server.conf,是你打錯字嗎?
或許你可以參考這篇,希望對你有幫助!
http://www.thebakershome.net/openvpn_tutorial

treble

  • 活潑的大學生
  • ***
  • 文章數: 215
    • 檢視個人資料
    • 牛的大腦
回覆: openvpn linux server和linux client
« 回覆 #9 於: 2008-10-22 21:54 »
打錯字歹勢,現己修正,server是讀server.conf
改謝各位大大的建議,我來試試看
[牛的大腦  http://systw.net ] 用來放一些筆記資料
[單字我朋友  http://systw.net/word ] 練英文用的
2分鐘檢測你的單字能力 http://systw.net/word/q.php

treble

  • 活潑的大學生
  • ***
  • 文章數: 215
    • 檢視個人資料
    • 牛的大腦
回覆: openvpn linux server和linux client
« 回覆 #10 於: 2008-10-23 20:39 »
server跟client時間有同步
sever跟client使用不同的common name
研究大大的文章中@@
[牛的大腦  http://systw.net ] 用來放一些筆記資料
[單字我朋友  http://systw.net/word ] 練英文用的
2分鐘檢測你的單字能力 http://systw.net/word/q.php

treble

  • 活潑的大學生
  • ***
  • 文章數: 215
    • 檢視個人資料
    • 牛的大腦
回覆: openvpn linux server和linux client
« 回覆 #11 於: 2008-10-25 20:49 »
感謝各位大大
我試成功了,但之後的route要在調整一下才可以互通
主要是參考這篇http://macblog2.wordpress.com/2005/06/15/%E4%BD%BF%E7%94%A8-openvpn/
linux方面,client.conf都和文章裡mac的client.conf一樣
最後在執行openvpn client.conf即可

以下是其他實驗的報告
client我以同樣的方式用在xp上,無法成功
他會出現
Sat Oct 25 16:30:17 2008 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
然後openvpn gui是顯示黃色
但我的防火牆都是關的
不過倒是有一點我很納悶,在xp的網路連線裡的openvpn_tap是顯示網路電纜線己拔除
我刪掉在用C:\Program Files\OpenVPN\bin\addtap.bat新增還是一樣
我在懷疑是不是因為這個關係@@
« 上次編輯: 2008-10-25 20:54 由 treble »
[牛的大腦  http://systw.net ] 用來放一些筆記資料
[單字我朋友  http://systw.net/word ] 練英文用的
2分鐘檢測你的單字能力 http://systw.net/word/q.php