Configurare OpenVPN per accesso remoto alla rete aziendale
Configurare OpenVPN per accesso remoto alla rete aziendale.
Modalità non-TLS con static key encryption mode
Requisiti:
Server OpenVPN: WinXP o Win Server 2003
Client: Win 2000 o successivi
rete locale 192.168.30.0 / 24
scheda rete server OpenVPN: 192.168.30.11 / 24
Su server OpnVPN:
1. installare OpenVPN
2. creare una preshared key: openvpn.exe –genkey –secret key la chiave verrà creata nel file key, copiarla dal server al client tramite un mezzo sicuro.
3. rinominare la connessione di rete appena creata dall’installazione: tap
4. lasciare l’indirizzo TCP/IP della connessione OpenVPN in automatico
5. creare un bridge tra la connessione di rete fisica ed il tap, chiamandolo “tap-bridge”
6. assegnare al bridge un indirizzo IP della rete locale (la stessa subnet della connessione fisica) es 192.168.30.15 / 24. Da adesso in poi il server XP OpenVPN avrà sulla rete questo indirizzo
7. testare la rete da e verso il server
8. assicurarsi di avere la preshared key nella cartella config
9. creare il file di configurazione (es: server.ovpn) come segue:
dev tap
dev-node tap
secret key
ping 5
verb 3
mute 10
10. Importante - togliere dalla cartella config tutti gli altri file .ovpn
11a. far partire il file di configurazione con il tasto destro
11b. oppure far partire il servizio OpenVPN. Ricordarsi di metterlo in avvio automatico
Ricordarsi di pubblicare la porta UDP 5000, con PAT verso l’indirizzo privato del
server XP OpenVPN (nel caso: 192.168.30.15)
Su client
1. installare openvpn
2. dare alla scheda OpenVPN un indirizzo che fa parte della rete da raggiungere es: 192.168.30.16 /24
3. assicurarsi di avere la preshared key nella dir config
4. creare il file di configurazione (es: client.ovpn) come segue:
remote myserver.mydomain.com
dev tap
secret key
ping 5
verb 3
mute 10
5. far partire il file di configurazione con il tasto destro.
Tags: TCP/IP, Tecnica, TutorialRelated posts
Ho alcuni dubbi:
1) E’ necessario fare il bridge? Perchè?
2) Quando stabilisco la connessione, dovrei vedere la rete esterna in Risorse di rete del mio PC come se fosse una rete interna?
3) Nel file di log del server ho “NOTE: FlushIpNetTable failed on interface” che cosa significa?
4) Dopo che il server mi da “Initialization Sequence Completed” e cosi poi anche il client, non succede più nulla. Entrambi inviano i dati ma nessuno riceve.
Ciao. Grazie (Complimenti per il blog)
Il bridge è necessario per fare si che il client veda tutta la rete e non solo il server stesso.
Puoi vedere la rete in esplora risorse, ma devi operare delle modifiche sul file lmhost, trovi dettagli qui: http://www.andreabeggi.net/index.php?p=32
Per gli errori fai qualche ricerca su Google, ti conviene fare le cose per gradi partire da una configurazione il più semplice possibile e poi procedere per gradi. Do per scontato che tutto funzioni a livello di routing e di inoltro porte TCP, naturalmente…
Niente da fare.
Il client mi da “Peer Connection Initiated with 84.53.x.x:5000″.
Il server: “Initialization Sequence Completed”
ma quando faccio ping all’indirizzo del server che gli ho assegnato nelle proprieta TCP/IP del Tap, non ho nessuna risposta.
In effetti non ho fatto il bridge, ma dovrei almeno riuscire a vedere il server!
Quindi se ho capito bene Openvpn dovrebbe servire solo a farmi vedere la rete ip remota in locale. Per l’esplorazione delle cartelle e dei file sono necessarie ulteriori configurazioni (o magari altri software).
In pratica dopo che (forse) ho stabilito la connessione a parte fare ping, non ho nessun riscontro visivo per testare la connessione tra client e server?
Comunque grazie della risposta.
Non mi ricordo al volo qual’è la diagnostica del log che appare all’avvenuta connessione.
OpenVPN è una soluzione client-server che permette di collegare il tuo client alla rete anche attraverso un media non sicuro (internet), come se fosse fisicamente collegato. Una volta che la connessione è avvenuta, puoi fare tutto quello che fai in locale. Sfogliare la rete presuppone broadcast, che non passano. Quindi puoi raggiungere gli host sulla rete tramite il loro indirizzo es: \192.168.0.10dati Puoi anche usare il nome se punti ad un DNS sulla tua rete. Per sfogliare il dominio devi modificare il file lmhost.
Se non fai il bridge l’esempio non va bene, trovati un esempio sul sito per connettere due client.
Ciao
ottimo!
Helppppp !!!
dovrei connettermi con un altra sededi lavoro, per condividere i dati attraverso un server che nella rete locale si raggiunge tramite 129.0.0.100.
Mi hanno detto di questo Openvpn, ma per la configurazione mi ritrovo con acuni lati oscuri.
1) entrambi i pc devono generare la KEY ?
2) il file di configurazione deve essere unico per i 2 pc ?
3) entrambi i computer devono far partire il file ovpn ?
3) ci sarebbeuna guida facile per effettuare un collegamento e scrivere il file di configurazione ?
Spero di non essere stato tanto esigente :-))
grazie
ebbene, io c’e’ una cosa che non ho ben capito…
ho creato la connessione, l’ho rinominata tap, ma non ho capito cosa si intende per creare il bridge con la connessione fisica…
a me resta sempre come “scollegata” e le impostazioni sono uguali a quelle del collegamento fisico,
il mio problema e’ creare un collegamento da un portatile all’azienda…
Creare il bridge significa selezionare entrambe le connessione di rete (Ctrl-click su ciascuna), cliccare con il tasto destro e scegliere “Connessioni con bridging”
innanzitutto ringrazio per la tempestivita’ della risposta,
ho provato, ma non mi compare alcuna scelta simile, comapre solo il menu’ a tendina completamente oscurato.
attualmente sono su un sistema win2k con il openvpn 2.0, non so se magari dipende dalla versione o da qualche incompatibilita’…
Come specificato nel post, il bridging va fatto sul server, che DEVE essere 2003 oppure XP, poichè win2k non supporta il bridging….
ecco,infatti^^
chiedo scusa, il fatto e’ che siccome non posso mettermi a smanettare sul server, stavo facendo delle prove per entrambi su un win2k…
grazie mille!
Ciao e complimenti per la mini guida..avrei una domandina da fare…
Sono in un ambiente fastweb e devo collegare tre reti tra di loro,come faccio?
Per ogni rete scelgo un server,e poi come faccio a mettere in collegamento tutti i pc delle tre reti(facendo un bridge vero?)
mi spiego meglio.. pc A B C
Faccio la VPN tra A e B e poi da B a C?..
ILLUMINATEMI!!!
ciao e grazie
Luca: bella domanda…. non credo sia possibile fare una “triangolazione” del genere. Quello che si può fare è avere B come server e tutti i client della rete A e tutti i client della rete C si collegano a B.
Inoltre se le reti sono in FW, non funziona a meno che tu non abbia IP pubblici.
Grazie Andrea della risposta,quindi mi dici che OpenVPN non si può implementare nel mio scenario a me no che non abbia IP publici(ma alla fine me ne serve solo uno d’ip publico,per il server giusto?)
ultima domanda..
Ma ipotesi avessi questo ip pubblico,collegando i pc ad unico server,riuscirei a vedere in rete tutti i pc? di A B e C?
grazie ancora;-)
Si, un IP pubblico per il server, dovresti riuscire a vedere tutto da tutto, facendo il bridging sul server. E- una configurazione che non ho provato, pero’. Inoltre FW e’ un ambiente problematico. L’unica cosa che ti posso dire e’: prova, in teoria dovrebbe andare. Naturalmente non funziona il browsing della rete, devi usare gli IP, o il file lmhosts.
C:\Programmi\OpenVPN\config>openvpn sample.ovpn
Fri Apr 15 03:42:56 2005 OpenVPN 2.0_rc6 Win32-MinGW [SSL] [LZO] built on Dec 20
2004
Fri Apr 15 03:42:56 2005 WARNING: –ping should normally be used with –ping-res
tart or –ping-exit
Fri Apr 15 03:42:56 2005 Static Encrypt: Cipher ‘BF-CBC’ initialized with 128 bi
t key
Fri Apr 15 03:42:56 2005 Static Encrypt: Using 160 bit message hash ‘SHA1′ for H
MAC authentication
Fri Apr 15 03:42:56 2005 Static Decrypt: Cipher ‘BF-CBC’ initialized with 128 bi
t key
Fri Apr 15 03:42:56 2005 Static Decrypt: Using 160 bit message hash ‘SHA1′ for H
MAC authentication
Fri Apr 15 03:42:56 2005 LZO compression initialized
Fri Apr 15 03:42:56 2005 TAP-WIN32 device [tap] opened: \.\Global\{357983CD-26D
A-4D5E-B229-C52F59A3245A}.tap
Fri Apr 15 03:42:56 2005 TAP-Win32 Driver Version 8.1
Fri Apr 15 03:42:56 2005 TAP-Win32 MTU=1500
Fri Apr 15 03:42:56 2005 Notified TAP-Win32 driver to set a DHCP IP/netmask of 3
7.9.99.178/255.255.0.0 on interface {357983CD-26DA-4D5E-B229-C52F59A3245A} [DHCP
-serv: 37.9.0.0, lease-time: 31536000]
Fri Apr 15 03:42:56 2005 Successful ARP Flush on interface [3] {357983CD-26DA-4D
5E-B229-C52F59A3245A}
Fri Apr 15 03:42:56 2005 Data Channel MTU parms [ L:1577 D:1450 EF:45 EB:23 ET:3
2 EL:0 AF:3/1 ]
Fri Apr 15 03:42:56 2005 Local Options hash (VER=V4): ‘5e792ec3′
Fri Apr 15 03:42:56 2005 Expected Remote Options hash (VER=V4): ‘5e792ec3′
Fri Apr 15 03:42:56 2005 UDPv4 link local (bound): [undef]:5000
Fri Apr 15 03:42:56 2005 UDPv4 link remote: [undef]
QUESTO è QUANTO MI DA OPENVPN LANCIATO DA DENTRO IL SERVER (WINXP)…
…CREDO CI SIA QUALCOSA CHE NON VA
Potreste dirmi dove sbaglio per favore?
Ciccio, sei sicuro di aver seguito tutti i passi della guida? Bisognerebbe vedere i file di configurazione… Così a naso mi sembra un prob di indirizzi IP o di connessione.
ok, allora posto il mio conf. premetto che sono dietro uan rete fastweb, il mio ip locale è 37.9.99.178 e l’ip esterno è 213.140.6.106 che ha tutto il mio quartiere.
# Edit this file, and save to a .ovpn extension
# so that OpenVPN will activate it when run
# as a service.
# Change ‘myremote’ to be your remote host,
# or comment out to enter a listening
# server mode.
# remote 37.9.99.177
# Uncomment this line to use a different
# port number than the default of 5000.
; port 5000
# Choose one of three protocols supported by
# OpenVPN. If left commented out, defaults
# to udp.
; proto [tcp-server | tcp-client | udp]
# You must specify one of two possible network
# protocols, ‘dev tap’ or ‘dev tun’ to be used
# on both sides of the connection. ‘tap’ creates
# a VPN using the ethernet protocol while ‘tun’
# uses the IP protocol. You must use ‘tap’
# if you are ethernet bridging or want to route
# broadcasts. ‘tun’ is somewhat more efficient
# but requires configuration of client software
# to not depend on broadcasts. Some platforms
# such as Solaris, OpenBSD, and Mac OS X only
# support ‘tun’ interfaces, so if you are
# connecting to such a platform, you must also
# use a ‘tun’ interface on the Windows side.
# Enable ‘dev tap’ or ‘dev tun’ but not both!
dev tap
# This is a ‘dev tap’ ifconfig that creates
# a virtual ethernet subnet.
# 10.3.0.1 is the local VPN IP address
# and 255.255.255.0 is the VPN subnet.
# Only define this option for ‘dev tap’.
ifconfig 37.9.99.178 255.255.255.0
# This is a ‘dev tun’ ifconfig that creates
# a point-to-point IP link.
# 10.3.0.1 is the local VPN IP address and
# 10.3.0.2 is the remote VPN IP address.
# Only define this option for ‘dev tun’.
# Make sure to include the “tun-mtu” option
# on the remote machine, but swap the order
# of the ifconfig addresses.
;tun-mtu 1500
;ifconfig 37.9.99.178 37.9.99.178
# If you have fragmentation issues or misconfigured
# routers in the path which block Path MTU discovery,
# lower the TCP MSS and internally fragment non-TCP
# protocols.
;fragment 1300
;mssfix
# If you have set up more than one TAP-Win32 adapter
# on your system, you must refer to it by name.
;dev-node tap
# You can generate a static OpenVPN key
# by selecting the Generate Key option
# in the start menu.
#
# You can also generate key.txt manually
# with the following command:
# openvpn –genkey –secret key.txt
#
# key must match on both ends of the connection,
# so you should generate it on one machine and
# copy it to the other over a secure medium.
# Place key.txt in the same directory as this
# config file.
secret key.txt
# Uncomment this section for a more reliable
# detection when a system loses its connection.
# For example, dial-ups or laptops that travel
# to other locations.
#
# If this section is enabled and “myremote”
# above is a dynamic DNS name (i.e. dyndns.org),
# OpenVPN will dynamically “follow” the IP
# address of “myremote” if it changes.
; ping-restart 60
; ping-timer-rem
; persist-tun
; persist-key
; resolv-retry 86400
# keep-alive ping
ping 5
# enable LZO compression
comp-lzo
# moderate verbosity
verb 3
mute 10
Direi che sicuramente c’è qualcosa che non va nell’assegnazione degli indirizzi. Hai il client in casa, vero? Dietro FW non c’è modo di pubblicare un server…. E se è un client manca l’IP da chiamare.
veramente volevo essere visibile come server o client vpn da una qualsiasi macchina al di fuori di Fastweb. Comunque se hai un contatto icq o usi qualche chat tipo ircnet fammi sapere che evitiamo di spammacchiare qua sopra
# remote 37.9.99.177
comunque si, ho un altro pc nella rete lcoale, ma stavo cercando di fare delle prove. In realtà dovrei riuscire a comunicare con un pc alice. O meglio, vorrei riuscire a scambiare file, giocare online, creare un tunnel criptato per parlare tra me e un altro pc che non sia fw
Da dentro FW il server non lo puoi fare, a meno che tu non compri l’IP fisso da FW. Per fare un tunnel solo su alcune porte è meglio usare Zebedee o SSH, che sono molto più semplici da configurare. Di entrambi trovi spiegazioni sul mio blog.
Ciao ragazzi, io ho un problema a cui però temo non ci sia soluzione. Vi spiego, sperando che qualcuno mi possa aiutare:
Ho un pc FW senza IP pubblico a cui sono collegate 3 telecamere per videosorveglianza, che mandano attraverso un programmino il loro flusso video su internet, tramite la porta TCP 6861… Logicamente non riesco ad accedere al pc attraverso connessioni non FW! C’è qualche modo per aggirare il problema? Io temo che l’IP Pubblico di FW sia l’unica soluzione, ma per 4 euro al giorno…
@Alberto, corretto. L’unico modo che conosco, senza IP pubblico, è di creare un tunnel con partenza dalla macchina FW verso l’esterno. Questo presuppone un intervento manuale. Che io sappia esistono alcune soluzioni fatte apposta per FW, ti conviene cercare sui NG
Ma creando un tunnel posso rendere i miei video visibili in tutta internet o solo sul computer del tunnel?
Da quanto c’ho capito io se mai riuscissi a fare una cosa del genere ogni pacchetto in uscita dal pc sotto FW passerebbe per il pc esterno.. Quindi mi ritroverei ad usare la banda del pc esterno.. O sbaglio?
@Alberto, esatto. E l’indirizzo pubblico sarebbe quello del PC esterno.
Salve, io ho configurato questa soluzione VPN e devo dire che funziona….l’ho testata tra una rete che va su internet con ADSL e un portatile con collegamento analogico, e tutto funziona…
Mentre poi ho provato tra due reti ossia: la rete A con ADSL e la rete B con ADSL, nella rete B ci sta il client ed in questo caso se effettuo la connessione con la rete A non riesco a pingare nulla…Come mai con il notebook funziona e tra due reti con adsl no? Percaso si devono aprire le stesse porte che si aprono nel router della rete che contiene il server vpn anche nel router della rete client??
Se neppure il client in B pinga il server in A c’è qualcosa che crea problemi in mezzo. Le due reti sono su subnet diverse? Ci sono firewall? Restrizioni? ecc ecc ecc….
Ciao,
abbiamo un problema:
quando ci colleghiamo con due client contemporaneamente ad uno stesso server OPENVPN modalità “dev tap” (server: 10.0.0.1, client 1:10.0.0.2,client 2: 10.0.0.3) il primo che si era collegato “non funziona +” nel momento in cui il secondo si collega (non “pinga” + il 10.0.0.1 e viceversa nonostante la connessione OPENVPN sia ancora attiva). Idee?? TNX
Daniele
Ciao,
ho creato una rete con un server Win XP e 4 client Win XP, funziona tutto perfettamente, incluso un sistema voip con le RTC client.
L’unico problema che riscontro si manifesta quando devo accedere alle cartelle che si trovano nei vari pc si impiega parecchio tempo, ciò avviene anche se c’è attivo solo il server e 1 client. Una volta che si ha l’accesso alla cartella, il trasfermineto del file è veloce.
In attesa di una risposta ringrazio anticipatamente
@Lu: hai provato con un file lmhosts?
Ciao,
grazie x la risposta, il file lmhosts lo trovo in c:\windows\system32\drivers\etc?
Oppure devo crearlo e inserirlo nella cartella sopra citata?
E’ giusto così:
10.3.0.1 PIPPO #PRE
10.3.0.2 PLUTO #PRE
ecc…
Grazie x l’interessamento
@Lu: trovi come si fa qui: http://www.andreabeggi.net/?p=32
Ciao,
ho creato come dalla guida la vpn con openvpn solo che quando mi collego con 2 client sullo stesso server il primo client viene scollegato anche se la connessione sembra apparentemente funzionante…
grazie anticipatamente dall’aiuto
distinti saluti
Alfio
Ciao, dopo qualche giorno di tentativi sono riuscito ad impostare/configurare (con molta soddisfazione) alcuni pc su rete privata che lavorano come server OpenVPN per un client OpenVPN al lavoro in rete aziendale protetta da Firewall. Tutte le macchine montano XP SP2, e lasciando il client acceso al lavoro non appena accendo una macchina con server a casa il client al lavoro si “aggancia” permettendomi di attraversare il firewall e di vedere i PC che poi controllo tramite DescktopRemoto in ambedue le direzioni. Il sistema non mi funziona se utilizzo la modalità service, cioè senza effettuare il login utente sia il client che i server non mostrano cenni di funzionamento. Nella visualizzazione eventi del client trovo:
“Impossibile trovare la descrizione dell’ID evento ( 0 ) nell’origine ( OpenVPNService ). Il computer locale potrebbe non disporre delle necessarie informazioni nel Registro di sistema o dei file DLL necessari per visualizzare messaggi da un computer remoto. Utilizzare /AUXSOURCE= flag per recuperare la descrizione. Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico. Le seguenti informazioni sono parte dell’evento: OpenVPNService error: 32; Cannot open logfile: C:\Programmi\OpenVPN\log\xxxx.log.”
1) Oltre ad attivare il servizio in automatico (e poi come Account di Sistema Locale o come altro Account SPECIFICO?) c’è qualche altra cosa a cui porre attenzione che è stata tralasciata nei vari documenti di HELP e HOW-TO? Il TAP device si avvia automaticamente come servizio?
2) Ho letto e riletto gli how-to ma non sono ancora riuscito a capire COME diavolo passare i parametri (e QUALI parametri) tipo –up? e –down? per esecuzione di script (che script? come li compilo? dove sono?) all’avvio connessione, alla chiusura connessione ecc ecc.
desigabri
chiedo scusa…chiaramente era colpa mia: avendo configurato le connessioni ad utilizzare il proxy aziendale tramite interfaccia OpenVPN GUI, i file di impostazione per le connessioni non contenevano riferimenti a riguardo. Una volta inseriti i dati nei file di configurazione l’avvio delle connessioni come client tramite servizio hanno iniziato a funzionare. Da casa non avevo problemi perchè non utilizzo alcun server proxy e pertanto la configurazione che non conteneva riferimenti al proxy server funzionavano già (in questo caso come server).
Scusate il disturbo.
desigabri
grazie del post, tuttavia mi chiedo: io sfigato che sono sotto fastweb e non ho un ip pubblico, che cosa scrivo nel file di configurazione che si trova sulla macchina con IP pubblico ? come identifico insomma , nel file di configurazione di openvpn, l’IP del client fastweb ?
Fabio: sei sfigato, appunto. Se vuoi un IP pubblico da FW lo devi pagare.
In ogni caso, basta leggere il post, e accorgersi che nella configurazione del server, l’IP del client non c’è….
Ciao Andrea, volevo sapere se posso fare questo:
mi serve creare un nat sulla mia interfaccia fisica cosicche’ possa utilizzare un tap-win32 virtual device impostandolo con un ip di classe privata. Mi serve per utilizzare un software esclusivamente sull’interfaccia virtuale.Ora il nat dovrei installarlo con netsh, ho un po’ di difficolta’ a settare ip wan e ip lan ma ne usciro’ fuori al massimo utilizzo “condividi connessione” taanto non dovrebbero servirmi le funzionalita’ avanzate di routing. Non ho capito se il virtual device pero’ puo’ operare anche senza che la connessione fisica sia abilitata,in caso affermativo metterei il nat li’ e su un’altra virtual device il “client”; per ora cmq sto’ ancora cercando di capire perche’la virtual device mi da’ cavo scollegato anche assegnandogli una connessione funzionante, mi sa’ che mi sfugge qualche cosa.
Scesami so che non e’ un centro di informazione e che cerco di utilizzare programmi usati per altro,pero’ mi sfugge qualcosa.
ciao
Strak8, non è che ho capito benissimo cosa vuoi fare, ma forse ti può essere utile il Microsoft Loopback adaptor? E’ una i/f virtuale che funziona a tutti gli effetti. Fai una ricerca sul blog, mi pare di averne parlato
Ciao
, conosco il loopback adapter della microsoft, mi pare si possa utilizzare solo per test e cmq non credo ci possa girare sopra un nat.Cmq sicuramente un giretto di info me lo faccio :).
Praticamente non mi e’ chiaro se il tap-win32 puo’ operare anche da sola o sta’ in una sorta di bridge,per win 2000 come bridge usavo una scheda virtuale in promiscque mode con un tool di ntoskernel.com (mi pare) e cmq non mi e’ chiaro se il virtual device dipende dalla scheda fisica o no.
ciao ci’
;D
Sicuramente win2000 non fa bridge, quindi il tap è indipendente. Non credo dipenda dalla scheda fisica, ma direi che l’unica cosa per essere sicuri è provare.
ciao ho seguito alla lettera la tua guida tranne per il bridge (il server dovrebbe stare su un 2000 pro)
ma ricevo il seguente errore:
Thu Jun 23 11:24:07 2005 OpenVPN 2.0 Win32-MinGW [SSL] [LZO] built on Apr 17 200
5
Thu Jun 23 11:24:07 2005 IMPORTANT: OpenVPN’s default port number is now 1194, b
ased on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earl
ier used 5000 as the default port.
Thu Jun 23 11:24:07 2005 WARNING: –ping should normally be used with –ping-res
tart or –ping-exit
Thu Jun 23 11:24:07 2005 Cannot open file key file ‘key’: Impossibile trovare il
file specificato. (errno=2)
Thu Jun 23 11:24:07 2005 Exiting
Press any key to continue…
il key.txt è dentro C:\Programmi\OpenVPN\config\
ho capito… non davo il percorso del file…. scusa
rieccomi, io come server sto usando un 2000 server, ho settato tutto come dici tu, ma quando lancio il client ricevo questo messaggio:
Thu Jun 23 14:32:41 2005 OpenVPN 2.0 Win32-MinGW [SSL] [LZO] built on Apr 17 200
5
Thu Jun 23 14:32:41 2005 WARNING: –ping should normally be used with –ping-res
tart or –ping-exit
Thu Jun 23 14:32:41 2005 Static Encrypt: Cipher ‘BF-CBC’ initialized with 128 bi
t key
Thu Jun 23 14:32:41 2005 Static Encrypt: Using 160 bit message hash ‘SHA1′ for H
MAC authentication
Thu Jun 23 14:32:41 2005 Static Decrypt: Cipher ‘BF-CBC’ initialized with 128 bi
t key
Thu Jun 23 14:32:41 2005 Static Decrypt: Using 160 bit message hash ‘SHA1′ for H
MAC authentication
Thu Jun 23 14:32:41 2005 TAP-WIN32 device [tap] opened: \.\Global\{31B1289F-3CB
4-42B9-9CCC-5AAC2A118007}.tap
Thu Jun 23 14:32:41 2005 TAP-Win32 Driver Version 8.1
Thu Jun 23 14:32:41 2005 TAP-Win32 MTU=1500
Thu Jun 23 14:32:41 2005 Successful ARP Flush on interface [100663300] {31B1289F
-3CB4-42B9-9CCC-5AAC2A118007}
Thu Jun 23 14:32:41 2005 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:4 ET:32
EL:0 ]
Thu Jun 23 14:32:41 2005 Local Options hash (VER=V4): ‘8b888ddc’
Thu Jun 23 14:32:41 2005 Expected Remote Options hash (VER=V4): ‘8b888ddc’
Thu Jun 23 14:32:41 2005 UDPv4 link local (bound): [undef]:1194
Thu Jun 23 14:32:41 2005 UDPv4 link remote: [undef]
Thu Jun 23 14:33:59 2005 Peer Connection Initiated with 80.18.33.108:1194
Thu Jun 23 14:33:59 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:33:59 2005 Route: Waiting for TUN/TAP interface to come up…
Thu Jun 23 14:34:01 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:34:01 2005 Route: Waiting for TUN/TAP interface to come up…
Thu Jun 23 14:34:02 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:34:02 2005 Route: Waiting for TUN/TAP interface to come up…
Thu Jun 23 14:34:03 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:34:03 2005 Route: Waiting for TUN/TAP interface to come up…
Thu Jun 23 14:34:05 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:34:05 2005 Route: Waiting for TUN/TAP interface to come up…
Thu Jun 23 14:34:06 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:34:06 2005 Route: Waiting for TUN/TAP interface to come up…
Thu Jun 23 14:34:07 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:34:07 2005 Route: Waiting for TUN/TAP interface to come up…
Thu Jun 23 14:34:08 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:34:08 2005 Route: Waiting for TUN/TAP interface to come up…
Thu Jun 23 14:34:09 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:34:09 2005 Route: Waiting for TUN/TAP interface to come up…
Thu Jun 23 14:34:10 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:34:10 2005 Route: Waiting for TUN/TAP interface to come up…
Thu Jun 23 14:34:11 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:34:11 2005 Route: Waiting for TUN/TAP interface to come up…
Thu Jun 23 14:34:12 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:34:12 2005 Route: Waiting for TUN/TAP interface to come up…
Thu Jun 23 14:34:13 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:34:13 2005 Route: Waiting for TUN/TAP interface to come up…
Thu Jun 23 14:34:14 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:34:14 2005 Route: Waiting for TUN/TAP interface to come up…
Thu Jun 23 14:34:15 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:34:15 2005 Route: Waiting for TUN/TAP interface to come up…
Thu Jun 23 14:34:16 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:34:16 2005 Route: Waiting for TUN/TAP interface to come up…
Thu Jun 23 14:34:18 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:34:18 2005 Route: Waiting for TUN/TAP interface to come up…
Thu Jun 23 14:34:19 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:34:19 2005 Route: Waiting for TUN/TAP interface to come up…
Thu Jun 23 14:34:20 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:34:20 2005 Route: Waiting for TUN/TAP interface to come up…
Thu Jun 23 14:34:21 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:34:21 2005 Route: Waiting for TUN/TAP interface to come up…
Thu Jun 23 14:34:22 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:34:22 2005 Route: Waiting for TUN/TAP interface to come up…
Thu Jun 23 14:34:23 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:34:23 2005 Route: Waiting for TUN/TAP interface to come up…
Thu Jun 23 14:34:25 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:34:25 2005 Route: Waiting for TUN/TAP interface to come up…
Thu Jun 23 14:34:26 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:34:26 2005 Route: Waiting for TUN/TAP interface to come up…
Thu Jun 23 14:34:27 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:34:27 2005 Route: Waiting for TUN/TAP interface to come up…
Thu Jun 23 14:34:29 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:34:29 2005 Route: Waiting for TUN/TAP interface to come up…
Thu Jun 23 14:34:30 2005 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Thu Jun 23 14:34:30 2005 Initialization Sequence Completed With Errors
Ciao a tutti
dopo tanta ricerca devo dire che quì ho trovato l’unica guida italiana e l’unica guida rispetto a quella inglese che si capisce quasi tutto se non fosse x mia incapacità a comprendere questa guida. cmq proseguo….
Seguendo la guida ho installato OpenVPN(http://openvpn.net/release/openvpn-2.0-install.exe) su PC WindowsXP_SP2. Per la rete interna il PC usa la classe 192.168.2.2, nella rete c’è un ROUTER ADSL che ha 192.168.2.1 dove ho già provveduto ad aprire la porta 5000 sia in UDP che TCP.Quindi ricapitolando, Stazione Server :
PCServer : Win XP SP2 con IP 192.168.2.2
255.255.255.0
192.168.2.1
DNS1
DNS2
Router ADSL Della Rete Interna: 192.168.2.1
255.255.255.0
DNS1
DNS2
IP Pubblico Internet Dal Router: 81.105.84.95
con IP Pubblico Internet intendo l’IP con il quale accedo su internet, l’ip in questione è statico perchè assegnatoci dal fornitore ADSL.
Con in comando “openvpn.exe –genkey –secret key” creo il file “key” che non ha nessuna estensione.Questo file lo metto nella cartella “PCServer\Programmi\OpenVPN\Config” e in più me lo salvo da parte per poi usarlo quando configurerò il CLient.
OpenVPN ha installato un SKRete Virtuale con nome “TAP-Win32 Adapter V8″ alla quale è associata una RETE, il nome di questa rete l’ho rinominata in “tap” e non gli ho assegnato nessun IP, l’ho lasciato DINAMICO. Poi ho creato il BRIDGE tra “tap” e “LAN”(Connessione alla Rete Locale), il quale BRIDGE l’ho rinominato in “tap-bridge”.In fine sempre come da guida, al “tap-bridge” ho assegnato un IP che fà parte della rete locale, quindi 192.168.2.3. Ricapitolando :
PCServer : Win XP SP2 con IP “LAN” 192.168.2.2
255.255.255.0
192.168.2.1
DNS1
DNS2
PCServer : Win XP SP2 con IP “tap” Tutto Dinamico
PCServer : Win XP SP2 con IP “tap-bridge” 192.168.2.3
255.255.255.0
192.168.2.1
DNS1
DNS2
A questo punto mi rimane da configurare il file “server.ovpn”, e lo configuro come da guida, cioè :
dev tap
dev-node tap
secret key
ping 5
verb 3
mute 10
e lo salvo in “PCServer\Programmi\OpenVPN\Config” insieme al file “key” precedentemente generato. Nella cartella elimino tutti i file *.ovpn e lascio solo “server.ovpn”.
Terminato il tutto avvio il file è mi esce quando segue :
=========================================================
ased on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earl
ier used 5000 as the default port.
Thu Jun 30 10:58:59 2005 WARNING: –ping should normally be used with –ping-res
tart or –ping-exit
Thu Jun 30 10:58:59 2005 Static Encrypt: Cipher ‘BF-CBC’ initialized with 128 bi
t key
Thu Jun 30 10:58:59 2005 Static Encrypt: Using 160 bit message hash ‘SHA1′ for H
MAC authentication
Thu Jun 30 10:58:59 2005 Static Decrypt: Cipher ‘BF-CBC’ initialized with 128 bi
t key
Thu Jun 30 10:58:59 2005 Static Decrypt: Using 160 bit message hash ‘SHA1′ for H
MAC authentication
Thu Jun 30 10:58:59 2005 TAP-WIN32 device [tap] opened: \.\Global\{46CE181B-DA4
B-4117-B964-492C0FD9BE76}.tap
Thu Jun 30 10:58:59 2005 TAP-Win32 Driver Version 8.1
Thu Jun 30 10:58:59 2005 TAP-Win32 MTU=1500
Thu Jun 30 10:58:59 2005 NOTE: could not get adapter index for \DEVICE\TCPIP_{46
CE181B-DA4B-4117-B964-492C0FD9BE76}, status=55 : La risorsa o la periferica di r
ete specificata non Þ pi¨ disponibile.
Thu Jun 30 10:58:59 2005 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:4 ET:32
EL:0 ]
Thu Jun 30 10:58:59 2005 Local Options hash (VER=V4): ‘8b888ddc’
Thu Jun 30 10:58:59 2005 Expected Remote Options hash (VER=V4): ‘8b888ddc’
Thu Jun 30 10:58:59 2005 UDPv4 link local (bound): [undef]:1194
Thu Jun 30 10:58:59 2005 UDPv4 link remote: [undef]
=========================================================
nel momento in cui esce questo listato si attiva la connessione “tap”, ma dal listato noto qualcosa di strano che non mi spiego o non capisco.
Qualcuno potrebbe darmi qualke dritta?
Grazie
Ciao
Ciao Andrea! Ottima guida ma ho un problema..
Dunque, ti spiego la mia situazione: ho 2 pc collegati fisicamente tra loro attraverso una rete Lan a 100Mbit (192.168.0.0) a loro volta connessi, con altre 2 schede di rete, ad internet tramite lo stesso hub (il mio) di Fastweb (5.13.XX.XX).
Vorrei poter creare una Lan virtuale con un mio amico che ha Alice. Nn so bene con quale connessione devo fare il bridging e sopratutto che ip devo inserire.
Un’altra cosa, cosa significa quando scrivi es 192.168.30.15 / 24? Il 24 cosa significa? Dove va scritto? Grazie mille!
Luca D., non capisco che ti servono due schede di rete. A parte questo, non puoi fare tu da server per i soliti problemi di FW. Il tuo amico può farti da server e tu ti colleghi come client.
Il /24 significa subnet mask a 24 bit, cioè 255.255.255.0
Grazie Andrea per avermi risposto! Dunque, ora mi spiego meglio.
Le 2 schede di rete le ho in quanto in questo modo posso avere una rete interna a 100 mbit anzichè a 10 mbit (velocità dell’hub di Fastweb). I miei 2 Pc sono infatti collegati su due porte dell’hub per la connessione internet e contemporaneamente, tramite un cavo incrociato, direttamente tra loro. Per questo motivo ho due reti distinte, una con l’indirizzo 5.13.xx.xx e l’altra (quella interna) con l’indirizzo 192.168.0.0.
So che il mio amico deve fare da server ma nn mi sono molto chiari i passaggi che devo fare per poterci vedere. Nn so bene con quale connessione devo fare il brige..
Grazie ancora!
Luca, è inutilmente complicato. Prendi uno switch 10/100, che tanto ormai costano poco, ci attacchi tutto e hai 100 megabit tra i pc e 10 megabit tra i PC e l’hag.
Per il bridge dovrai fare delle prove, poichè non mi è chiaro come funziona il routing nel tuo caso.
Innanzi tutto complimenti per il sito e per le guide…
stile semplice e chiaro.
Avrei alcune domande da fare
Cosa intendi per :
“lasciare l’indirizzo TCP/IP della connessione OpenVPN in automatico”.
Te lo chiedo perchè ho modificato la mia configurazione e non mi ricordo la configurazione iniziale…
(Intendi DHCP oppure un indirizzo fisso?)
L’unico modo per vedere tuta la rete interna è attraverso un bridge di rete?
Se sì, è possibile configurare tale bridge su sistemi *UNIX
Volendo non potrei installare demoni VPN sui computer che intendo vedere nella rete interna ed omettere il bridge?
Potrei sfruttare la connessione internet della rete interna alla VPN da un altra “sede” lavorativa esterna?
Ti spiego la situazione
Ufficio A internet “libera” (Nessuna Limitazione Firewall)
Ufficio B internet con firewall
Potrei dall’ufficio B utilizzare la VPN e sfruttare la connessione internet della Rete dell’ufficio A…
spero di essere stato chiaro
Grazie,
Max
Ciao, sto provando openvpn in modalità certificato tra casa mia e la rete ospedaliera. Qui al lavoro ho openvpn 1.6.x per linux, mentre a casa ho la versione 2.x per windows.
la vpn di tipo routed si attiva ma ho problemi di routing credo, cioè da casa mia pingo bene solo il server openvpn! mentre dall’ospedale vengo visto benissimo!!
mi aiutate?
Max: intendo DHCP. Si, il bridge lo puoi fare anche con linux.
Puoi mettere demoni su tutte le macchine, ma devi usare porte diverse e forwardale tutte. Poco pratico.
Con le opportune regole di routing dovresti essere in grado. Violi le policy di sicurezza dell’azienda, però.
Enrico, mi sembra un problema di settaggio del server. Hai provato la configurazione “bridged”?
questa sera probero la vpn-bridge.
posto la configurazione del server:
————–
dev tun
tun-mtu 1500
tun-mtu-extra 32
cd /etc/openvpn
log-append /var/log/openvpn/vpn1
ifconfig 192.168.0.1 192.168.0.2
tls-server
dh dh1024.pem
ca ca.crt
cert server.crt
key server.key
port 1194
reneg-sec 1000
key-method 1
daemon
comp-lzo
ping 15
verb 3
————–
manualmente aggiungo la route giusta.
Ciao,
sto configurando opnvpa su di una macchina XP SP2. Configuro tutto, quando lancio l’applicativo questo mi risponde con:
Mon Jul 18 12:56:03 2005 OpenVPN 2.0 Win32-MinGW [SSL] [LZO] built on Apr 17 200
5
Mon Jul 18 12:56:03 2005 Diffie-Hellman initialized with 1024 bit key
Mon Jul 18 12:56:03 2005 TLS-Auth MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0
]
Mon Jul 18 12:56:03 2005 TAP-WIN32 device [openvpn] opened: \.\Global\{DE3410C1
-024B-4389-AEBF-3A1D4FAABBF7}.tap
Mon Jul 18 12:56:03 2005 TAP-Win32 Driver Version 8.1
Mon Jul 18 12:56:03 2005 TAP-Win32 MTU=1500
Mon Jul 18 12:56:03 2005 Sleeping for 10 seconds…
Mon Jul 18 12:56:13 2005 NOTE: could not get adapter index for \DEVICE\TCPIP_{DE
3410C1-024B-4389-AEBF-3A1D4FAABBF7}, status=55 : La risorsa o la periferica di r
ete specificata non Þ pi¨ disponibile.
Mon Jul 18 12:56:13 2005 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:23 ET:3
2 EL:0 AF:3/1 ]
Mon Jul 18 12:56:13 2005 UDPv4 link local (bound): [undef]:1194
Mon Jul 18 12:56:13 2005 UDPv4 link remote: [undef]
Mon Jul 18 12:56:13 2005 MULTI: multi_init called, r=256 v=256
Mon Jul 18 12:56:13 2005 IFCONFIG POOL: base=172.25.173.45 size=6
Mon Jul 18 12:56:13 2005 Initialization Sequence Completed.
L’errore sta nel fatto che windows non riesce a registrare l’interfaccia virtuale. Ho provato openvpn da un altro win xp sp2 inglese e da un windows 2003 ita ma sempre con lo stesso risultato. Non trovo niente neanche in internet che parli di questo errore.
Grazie,
Michele
Michele, ho avuto uno scambio di mail con un’altra persona su questo errore. Abbiamo fatto alcune prove e ci siamo accorti che, nonstante la diagnostica, la connessione funzionava perfettamente. Sono riuscito a collegarmi al suo PC da casa mia, attraverso Internet. La mia impressione è che sia una qualche incompatibiltà minore con XP. Comunque, funzionava.
Ciao andrea,
approfitto della tua disponibilità; purtroppo il collegamento continua a non funzionare ti riporto le configurazione del server e del client.
*SERVER*
port
proto tcp
dev tap
dev-node openvpn (nome della scheda tap, non del bridge)
cd “C:\Programmi\OpenVPN\easy-rsa\keys”
ca ca.crt
cert server.crt
key server.key
cd “C:\Programmi\OpenVPN\easy-rsa\keys”
dh dh1024.pem
server-bridge 255.255.255.0
persist-key
persist-tun
status openvpn-status.log
verb 3
*CLIENT*
client
dev tap
proto tcp
remote
resolv-retry infinite
nobind
persist-key
persist-tun
cd “C:\Programmi\OpenVPN\easy-rsa\keys”
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
comp-lzo
verb 3
Facendo un netstat -a sul server non vedo nessun tipo di connettività in ingrasso sulla porta selezionata per l’openvpn. Sul client, che cerca di collegarsi, la scehda di rete Tap Win-32 rimane sempre scollegata (sul server, invece, quando lancio l’applicativo la scheda risulta collegata).
Se hai qualche idea….
Grazie,
Michele
Quindi sul server funge, è il client che ha problemi. Non ho mai provato con i certificati, però…
La diagnostica che hai postato è del client?
Ciao Andrea,
come volevasi dimostrare l’errore era dovuto alla classica virgola di troppo in una riga di config del client….
Grazie, comunque, e ciao,
Michele
Scusa il disturbo, ma chiedo aiuto. Sono collegato con il mio computer ad un server remoto tramite OpenVPN. Tutto funzione bene.
Ora io vorrei anche utilizzare il mio computer come server per una mia rete ed utilizzare OpenVPN per permettere ad un computer situato a casa mia di accedere alla mia rete. Come devo fare? Mi puoi aiutare fornendomi i passaggi necessari a configurare il mio server?
Grazie. Mario
Ciao ho letto un po tutte queste informazioni, e mi sono dilettato a installare OpenVPn su un server windows 2003 pubblicandolo dalla porta 80 e tutto funziona, utilizzando le key, ma riesco a collegare un portatile solo alla volta, non riesco a capre la configurazione per utilizare piu key.
Server
port 80
proto tcp-server
dev tap
dev-node tap
secret key
ping 5
verb 3
mute 10
Client
proto tcp-client
remote serverremoto 80
dev tap
secret key
ping 5
verb 3
mute 10
Per il file key è sempre lo stesso nel mio casa..
Grazie e scusate se forse la soluzione è semplice ma è il primo giorno in cui mi imbatto in OpenVpn
ciao a tutti …
io ho realizzato la vpn come descritta da te andrea nel how to sopra… pero senza effettuare il bridging tra il tap e la connessione lan….
la mia domanda è se “risorse di rete” è l unico “luogo” dove poter vedere il pc remoto e le sue risorse condivise ..
Ho creato una rete Openvpn col metodo “tun”.
le due macchiene si connettono con ip 192.168.1.201 e 192.168.1.202 : fin qui tutto ok.
Le reti che si collegano sono ambedue 192.168.1.xxx
Il problema e’ che il “tun” sotto windows mi da sempre la netmask 255.255.255.252 e sulle mie reti la netmask è 255.
255.255.0 : riesco a “pingare” server e client OVPN, ma non le restanti macchine dellla rete.
P.S.: non risco ad utilizzare il bridge perchè riceve sempre errori di connessione della periferica virtuale (ho winXP SP2).
Grazie a chi mi può aiutare
Rik: il bridge è indispensabile.
Se lancio Openvpn senza bridge tutto ok, si connette sia come tun che come tap.
Se invece aggiungo la periferica al bridge la cosa non funziona più e ottengo il seguente errore:
Thu Oct 20 11:35:42 2005 NOTE: could not get adapter index for \DEVICE\TCPIP_{95
01E342-1FCC-4F32-B58E-1F0F9E9C71F0}, status=55 : La risorsa o la periferica di r
ete specificata non Þ pi¨ disponibile.
Ho risolto il problema: tutto sta nel fatto che non tutti gli IP funzionano, me devone essere accopiati.
Per esempio la coppia 192.168.1.102 sul bridge del server e 192.168.1.202 sul client funziona perfettamente.
Ciao,
mi associo ai complimenti per l’utile sito
Ho messo su un server windows 2003 ed ho configurato openvpn per il protocollo TCP impostando il bridge come lo hai definito nel tuo esempio iniziale. La connessione ad internet del server e’ fatta in dial-up trami PPPOE.
Funziona ma la cosa stranissima e’ che consente un utente per volta e quando un utente chiude la connesion vpn mi cade la connessione in Dial-up del server.
Mentre se uso upd mi consente conessioni multiple e la linea rimane sempre in piedi.
La cosa che mi interessa maggiornmente e’ capire per quale motivo quando il client chiude la connessione vpn fatta con il tcp cade la linea.
Hai qualche idea?
Ciao,
Gianpiero.
il tap-win32 adapter mi da sempre cavo di rete scollegato come fare ????
ciao andrea,
ho configurato un server e un client seguido il tuo howto,il router col quale mi collego ad internet gestisce questa rete: 192.168.1.1/24, il bridge sul server ha questo indirizzo: 192.168.1.10; il client ha questo indirizzo: 192.168.1.3;
ho creato il file key.dat e l’ho successivamente copiato nella cartella config del client.
dopo aver avviato il file server.ovpn sul server ho questo output:
Mon Jan 30 18:29:26 2006 OpenVPN 2.0.5 Win32-MinGW [SSL] [LZO] built on Nov 2 2005
Mon Jan 30 18:29:26 2006 IMPORTANT: OpenVPN’s default port number is now 1194, b ased on an official port number assignment by IANA.
OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Mon Jan 30 18:29:26 2006 WARNING: –ping should normally be used with –ping-res tart or –ping-exit
Mon Jan 30 18:29:26 2006 Static Encrypt: Cipher ‘BF-CBC’ initialized with 128 bi t key
Mon Jan 30 18:29:26 2006 Static Encrypt: Using 160 bit message hash ‘SHA1′ for H MAC authentication
Mon Jan 30 18:29:26 2006 Static Decrypt: Cipher ‘BF-CBC’ initialized with 128 bi t key Mon Jan 30 18:29:26 2006 Static Decrypt: Using 160 bit message hash ‘SHA1′ for H MAC authentication Mon Jan 30 18:29:26 2006 TAP-WIN32 device [tap]
opened: \\.\Global\{96AF2F3E-BAD
8-42E3-9674-598D740DDC87}.tap
Mon Jan 30 18:29:26 2006 TAP-Win32 Driver Version 8.1 Mon Jan 30 18:29:26 2006 TAP-Win32 MTU=1500
Mon Jan 30 18:29:26 2006 NOTE: could not get adapter index for \DEVICE\TCPIP_{96 AF2F3E-BAD8-42E3-9674-598D740DDC87}, status=55 : La risorsa o la periferica di rete specificata non Þ pi¨ disponibile.
Mon Jan 30 18:29:26 2006 Data Channel MTU parms [L:1576 D:1450 EF:44 EB:4 ET:32 EL:0 ]
Mon Jan 30 18:29:26 2006 Local Options hash (VER=V4):
‘8b888ddc’
Mon Jan 30 18:29:26 2006 Expected Remote Options hash
(VER=V4): ‘8b888ddc’
Mon Jan 30 18:29:26 2006 UDPv4 link local (bound):
[undef]:1194
Mon Jan 30 18:29:26 2006 UDPv4 link remote: [undef]
invece dopo aver avviato client.ovpn sul client ho questo output:
“Mon Jan 30 18:42:51 2006 OpenVPN 2.0.5 Win32-MinGW [SSL] [LZO] built on Nov 2 2005
Mon Jan 30 18:42:51 2006 IMPORTANT: OpenVPN’s default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earl
ier used 5000 as the default port.
Mon Jan 30 18:42:51 2006 WARNING: –ping should normally be used with –ping-restart or –ping-exit
Mon Jan 30 18:42:51 2006 Cannot open file key file ‘key’: Impossibile trovare il file specificato. (errno=2)
Mon Jan 30 18:42:51 2006 Exiting
Press any key to continue…
sai darmi un piccolo aiuto…
ti ringrazio anticipatamente per ogni tuo intervento.
Ciao a tutti
Anche io ho notato che ci sono problemi nel connettere 2 clients allo stesso server in modalità bridged. Alla connessione del secondo client sul server mi viene mostrato:
Tue Feb 07 11:45:09 2006 Authenticate/Decrypt packet error: bad packet ID (may b
e a replay): [ #1607 / time = (1139304746) Tue Feb 07 10:32:26 2006 ] — see the
man page entry for –no-replay and –replay-window for more info or silence thi
s warning with –mute-replay-warnings
e uno dei due non vede più la vpn..
Su ogni client (xp) è installato Openvpn, lanciato all’avvio come servizio; nella directory config è presente solo client.ovpn e la key (sono esattamente uguali: fatto il primo client ho copiato sul secondo gli stessi files).Il contenuto di client.ovpn di entrambi è
remote 10.0.2.10
dev tap
secret key
ping 5
verb 3
mute 10
Ho notato che nessuno ha risposto ai precedenti post contenenti la stessa domanda..come mai?
Ciao e grazie!
aggiungo la configurazione del server e qualche altra informazione su come sto effettuando la configurazione:
server.ovpn
dev tap
dev-node tap
secret key
ping 5
verb 3
mute 10
Quello che mi viene in mente è che questo tipo di configurazione sia un puro point-to-point, ovvero il secondo client che si cerca di collegare al server risulta un “intruso”.
server_bridged.ovpn
dev tap
dev-node tap
ca keys\\ca.crt
cert keys\\server.crt
key keys\\server.key
dh dh1024.pem
ifconfig-pool-persist ipp.txt
server-bridge 10.0.3.10 255.255.255.0 10.0.3.50 10.0.3.254
ping 5
verb 3
mute 10
Mi aspetto che questa configurazione sia più consona, ma non riesco a fare in modo che dall’altro lato venga accettato l’indirizzo che il server dovrebbe passare. Sul client xp ho ho configurato scheda di rete di openvpn in modo che prenda l’ip dinamico, ma anche questo non è servito. (naturalmente tutto è ok dal punto di vista dei certificati, la vpn viene su ma il client non riceve l’indirizzo)
Per Giuse:
All’indirizzo http://openvpn.net/static.html la risposta alla tua domanda.
Static Key disadvantages
* Limited scalability — one client, one server
[...] OpenVpn Gurutech.it Andrea Beggi [...]
Ditemi dove sto sbagliando, che mi viene da bestemmiare: ho installato openvpn pensando di settarlo in modalità bridge su windows xp sp2. L’indirizzo ip che ho su lan è 128.1.1.14 con netmask 255.255.0.0 (lo so che è un ip pubblico ma quelli che han realizzato la rete hanno cappellato e nn posso più cambiarli). Seleziono l’interfaccia lan e quella virtuale Tap-Win32 (lasciato con indirizzo ip dinamico) e le fondo magicamente in un bel bridge. Do un indirizzo ip della stessa sottorete lan (ho provato 128.1.1.14 o anche 128.1.1.30) al nuovo nato e… e nn riesco più a pingare niente; è come se fossi scollegato dal resto della lan! Che può essere? Ho installato Vmware che utilizza pure i bridge per le sue schede di rete virtuali. Può essere questo? Anche se ho trovato l’esempio di un tizio che ce lo aveva pure lui installato senza problemi. Vi chiedo aiuto onde nn morire schiumando rabbia… PS: @Andrea Grazie mille per l’utilissima guida
Uhm… Ho provato anche a casa da me, ma fa la stessa cosa. Fondo la scheda di rete lan e quella virtuale, assegno un indirizzo ip della mia sottorete al bridge uguale o anche diverso a quello che aveva la scheda di rete lan in precedenza) e nn riesco più a pingare niente e nessun. Direi che prob sbaglio qualcosa… ma cosa???
ciao…
premetto che sono agli inizi
sulla mia macchina xp prof ho configurato openVpn come server, ho solo una connessione adsl tramite modem usb, una scheda di rete montata ma inutilizzata dato che ho solo questo pc
un mio amico con identica situazione sta in ascolto con configurazione client
ho deciso di creare un Tunnel a liv.3 - Tun (non Brigding)
in modalita TCP
connessone stabilita, il ping risponde in entrambi i versi
e adesso inizia il bello
vorrei condividere le risorse di rete, magari una semplice condivisione di cartelle, ho provato con le indicazioni sul file lmhosts, ma non ne vengo a capo…. in risorse di rete non vedo le cartelle condivise del client
cosa devo fare…
grazie mille
X Cristiano: Credo dovresti usare una configurazione con bridge… Cmq inerentemente al problema che avevo riportato: Esso è riconducibile alle schede di rete che nn funzionano in modalità promiscua (trovato sul sito della microsoft). Il problema dovrebbe presentarsi solo con schede wireless, ma da me si presenta anche con scheda di rete cablata. Sullo stesso sito propongono anche una possibile soluzione che, nel mio caso però nn funziona. Ad ogni modo ho configurato il tutto su un’altra macchina con windows 2003 e funziona tutto. Ho perso un sacco di tempo a rompermi la testa per nulla.
Ciao a tutti e complimenti per le celerissime risposte!
io avrei una domanda…
Ho tirato su il server openvpn sotto una centos3.4 e ho un client WinXP; quando faccio la connessione mi da che è tutto collegato e la sessione è stata inizizlizzata correttamente, ma in realtà in ping dal client al server mi da esito negativo…controllando con il tcpdump ho scoperto che i pacchetti arrivano all’interfaccia tap0, ma questa nn gli risponde…premesso che per il momento ho il firewall tutto open, cosa potrebbe essere?
PS nn sono espertissimo, se avete una qualche idea la accolgo Mooolto volentieri!
grazie mille in anticipo
Salve a tutti,
vi spiego la mia configurazione.
Ho una lan a casa con 2 client winxp ed 1 server win2k3.
Sono collegato all’esterno (ip dinamico per ora…più avanti forse comprerò 1 ip pubblico) con un router adsl + firewall drytek che mi fa da nat ai 2 client interni.
Per ora vorrei solo accedere al server e non ai client, per recuperare dei documenti o files dal lavoro.
Al lavoro ho 2 adsl. 1 adsl su fastweb (centralina fastweb che gestisce anche i telefoni interni e router speedtouch alcatel) ed 1 su telecom sulla quale c’è una VPN (fatta fra 2 firewall sonicwall collegati a 2 router adsl netgear) con la sede (io sono in filiale).
Dal lavoro dunque vorrei accedere al mio server di casa.
Avendo un 1 ip pubblico dinamico dovrei reimpostarlo nel config di openvpn ogni volta che cambia vero?
E’ meglio passare dal gateway di fastweb o quello di telecom (ma passando di qui dovrei passare tramite il firewall sonicwall)?
Ciao,
dal mio ufficio ci si collega ad una server farm (accesso consentito da ip del mio ufficio).
Se io mi collego da casa verso la rete del mio ufficio tramite openvpn nessun problema…
Non riesco pero’ a connettermi alla server farm, in quanto anche se sono in vpn l’inidirizzo che utilizzo non è quello del mio ufficio.. è possibile mascherare il mio indirizzo utilizzando la vpn e fare in modo di ottenere quello dell’ ufficio quando faccio richieste verso l’esterno? Spero che si riesca a capire quello che volevo dire…
Grazie
Ciao Andrea,
ottima guida, l’unica in italiano trovata in rete.
ecco la mia configurazione:
PC A che vuol fare da server:
192.192.2.150
255.255.255.0
indirizzo pubblico: 82.187.124.105 connessione ADSL ip fisso
PC B che vuol fare da client:
192.192.1.150
255.255.255.0
indirizzo pubblico: 87.17.75.231 connessione ADSL ip dinamico
quindi vorrei connettere 2 adsl entrambe presenti nel mio ufficio.
seguo alla lettera tutto il procedimento, solo che dopo aver creato il tap gli dò un indirizzo fisso del tipo 192.192.2.151 e non dinamico in quanto il mio router non da la possiblità di connettersi in DHCP.
creo la key, (mi crea il key.txt) e lo rinomico a key (senza estensione) e lo metto in config
creo il file server.ovpn e lo lancio.
parte la videata msdos e mi dice che la lan è collegata.
mi sposto sul lato client:
metto il file key nel config e creo client.ovpn cosi come consigliato.
ORA IL DUBBIO:
visto che sul server ho messo un indirizzo preciso e non dhcp, cioè 192.192.2.151 provo a pingarlo dal client ma nulla.
provo anche a pingare dal client 192.192.2.150 ma nulla lo stesso.
in cosa ho sbagliato???????
grazie tante ragazzi!
e complimentoni ad Andrea
Usando sia un 2003 server che un xp quando tento di fare il bridging tra il tap virtuale e la connessione fisica, risulta comunque disabilitato (esiste ma disabilitato) il click su connessione con bridging…
Come posso risolvere?
Grazie in anticipo
Ciao, sono michele qualcuno sa se e come è possibile connettere due client allo stesso server con openvpn?
Grazie
Michele
Salve.. piccolo problema. Ho necessità di implementare una rete aziendale così fatta: sede centrale e 5 sedi remote. Tutte collegate tramite HDSL (primaria), adsl (1° backup) isdn (2° backup). Sto utilizzando tutti sistemi linux con schede seriali v35 (Tahoe) e zebra. Originariamente utilizzavo i cisco 1720 per gestire Hdsl e isdn di backup. Le sedi remote devono potersi loggare al dominio (sede centrale). Il mio problema sta nel far convivere lo zebra (ospfd) e Openvpn. Zebra gestisce correttamente i vari backup, ma openvpn ci mette oltre un minuto ad andare giù e ritirarsi su.. oltre al fatto che non riesco a pubblicare la rete lato server.. utilizzando dev tun.. Ho cercato di essere conciso al massimo, spero vivamente, anche se non ci conosciamo e sono nuovo del mondo linux, che possiate darmi una mano. Grazie.. Danilo.
Vorrei un chiarimento ho creato una openvpn tra un host e una lan. Succede questo che sia dal server della lan e da un pc della lan riesco a pingare il pc remoto. Analogamente riesco a fare dal pc remoto. Inoltre dal pc remoto riesco a vedere le risorse condivise del server della Lan. Non riesco a fare il contrario cioè dalla lan vedere le risorse condivise del pc remoto
Corrado, probabilmente devi creare sui client LAN una route statica che indica il server OpenVPN come router per i pacchetti destinati al client remoto. Va creata su tutti i client, oppure una volta sola nel gateway della rete.
Ho provato a fare add new Tap-win32 virtual ethernet adapter ma dalle connessioni di rete non trovo nessuna nuova connessione. Inoltre lanciando la start della vpn mi dice che il dispositivo non è installato e mi da il percorso per arrivare nel menù di openvpn per installare il dispositivo. Ma per winxp sp2 c’è qualche problema? Cosa posso fare?
Ciao Andrea, anzitutto complimenti per la tua guida che trovo molto semplice e completa.
Passo ora alla mia domanda:
Collegandomi in vpn non riesco a dire al mio client di utilizzare un indirizzo gateway predefinito(192.168.10.1).
Ho utilizzato la la stringa
push route gateway 192.168.10.1 , ma non mi assegna l’ip.
Utilizzando anche la stringa redirect-gateway l’ip assegnato come gateway è quello del server.. quindi non corretto!
Mi potresti dare una mano visto che non riesco a cavare una ragno dal buco?
Grazie 1000!
Ciao Andrea e complimenti per il sito utilissimo!!
Ho appena finito di installare openvpn lato server su un pc della lan aziendale (fedora core5) e la parte client sul mio xp di casa e tutto funziona nel senso che riesco a pingare correttamente.
Ora mi chiedo:
con la vpn creata, posso accedere da casa al webserver della lan aziendale in modo che riesca a navigare da casa nel sito interno dell’azienda? Passando ovviamente per il pc dell’azienda dove ho installato la parte server di openvpn. Grazie in anticipo e di nuovo complimenti!
Ciao Mario…volevo sapere….riesci anche a pingare da remoto un pc windows xp che “sta dietro” il server linux OpenVpn ? Se si, vorrei qualche dritta in merito…credo di aver fatto tutto correttamente ma riesco “a vedere” solo il server.
Saluti
Ciao Michele.
Credo che il problema sia quello di aggiungere una rotta sul server openvpn che punta alla tua lan.
Quindi se l’ind. virtuale del tuo server openvpn è 10.0.0.1 e la tua lan è 192.168.1.0/24 bisogna aggiungere una rotta che colleghi il server e la lan, cosicchè un client vpn che si trova altrove sia in grado di raggiungere la 192.168.1.0/24 passando per il 10.0.0.1
ECCO TUTTA LA PROCEDURA :)…..che non funziona COMPLETAMENTE!!!
brctl addbr br0
brctl addif br0 eth0
brctl addif br0 tap0
ifconfig eth0 0.0.0.0 promisc up
ifconfig tap0 0.0.0.0 promisc up
ifconfig br0 192.168.1.154 netmask 255.255.255.0 up &
route add default gw 192.168.1.1
############################################
############################################
il comando route mi da:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.1.0 * 255.255.255.0 U 0 0 0 tap0
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
default 192.168.1.1 0.0.0.0 UG 0 0 0 br0
########################
SERVER.CONF
########################
dev tap
proto udp
ifconfig 10.0.1.1 255.255.255.0
tls-server
key “/etc/openvpn/easy-rsa/keys/ca.key”
dh “/etc/openvpn/easy-rsa/keys/dh1024.pem”
cert “/etc/openvpn/easy-rsa/keys/ca.crt”
ca “/etc/openvpn/easy-rsa/keys/ca.crt”
local 192.168.1.154
lport 1194
verb 4
mode server
duplicate-cn
#ifconfig-poll 10.0.1.10 10.0.1.30
#mssfix 1450
push “ping 10″
push “ping-restart 60″
ping 10
########################
CLIENT
########################
remote IP-PUBBLICO
rport 1194
proto udp
tls-client
dev tap
tls-client
ifconfig 10.0.1.2 255.255.255.0
key.ca.key
ca ca.crt
cert ca.crt
pull
route 192.168.1.0 255.255.255.0 10.0.1.1
comp-lzo
verb4
############################################
############################################
ovviamente IP-FORWARDING abilitato con il comando
sysctl -w net.ipv4.ip_forward=1
############################################
ciao michele
per uno scenario di questo tipo (host-to-lan) credo bisogni usare la modalità tun anzichè tap, altrimenti il comando route non ha effetto. La modalità tap infatti trasporta trame di livello 2 mentre la tun arriva fino al livello 3.
Ciao
sarà anche giusto quello che dici…ma la maggior parte degli esempi che trovo in rete funzionano con la mia configurazione…credo che il mio errore sia un altro…ma non lo trovo…
Ciao, fantastica disponibilità e competenza alla quale vorrei sottoporre un (forse banale)quesito. Ho installato e configurato sia il server sia il client, dispongo di router ed ho attivato su dyndns.org un host (alias del mio), quale IP dovevo mettere su dyndns ? il server o il publico del router ?, quando connetto il client resta giallo, mi appare la richiesta password del router ? debbo attivare qualcosa sul router ? NAT (?) Virtual server(?) e se si come? Grazie.
ciao e grazie della disponibilità e competenza.
Avrei un problema forse banale con openVPN ma penso che questo sia il posto giusto per risolverlo. Ho installato sul PC a casa il client openVPN e funziona bene… accade però che dal momento della connessione VPN, la rete locale (un altro PC collegato con cavo cross) ne risenta. Ad esempio quest’altro PC non riesce più ad andare in internet (configurato con l’indirizzo gateway del pc con il client openVPN dove è configurata la condivisione della connessione ad internet). Un altro caso è che alcuni programmi risentano delle politiche di restrizione della rete alla quale mi collego in VPN (ad esmpio eMule e skype). Volevo sapere cosa potevo guardare o quali manuali consultare dato che ho cercato in internet ma non ho trovato ancora nulla.
grazie
ciao
Ciao, complimenti x la guida…. Ho un problema che si presenta quando creo più connessioni dalla mia macchina client. Mi spiego meglio: ho 2 server distinti ed un client, apro la connessione dal client ad un server e il tutto funge perfettamente, mentre non mi è possibile aprire la seconda connessione all’altro server mantenendo la prima aperta. OpenVPN_GUI mi risponde così:
- TCP/UDP: Socket bind failed on local address [undef]:1194: Address already in use (WSAEADDRINUSE)
la mia configurazione del client è la seguente (cambiano ovviamente gli indirizzi dei server e IP locali per le due connessioni:
(OpenvpnGUI v1.0.3)
remote indirizzo.server.remoto
rport 5000
dev tap
ifconfig 10.0.x.254 255.255.255.0
secret zmo.key
ping 10
verb 1
mute 10
comp-lzo
Ringrazio per ogni suggerimento, ciao
Ciao a tutti , sot cercando configurare Un server OpenVpn.
Il server e’ Endian Firewall, e vorrei collegarmi da un client win XP.
Ho confgiruato il server creando l’utente, e successivamente ho creato il certificato cacert.pem.
Sul client ho installato OpenVpnGui.
Adesso come creo il file .opvn ?
Avete quanche dritta?
Grazie infinite.
Ciao, volevo sapere…come faccio a collegare due reti lontane tramite OpenVPN utilizzando il Bridge in entrambe le reti e fare in modo di vedere tutti i PC (Rete A+Rete B) in risorse di rete?
Premetto che la Rete B stà dietro router di cui non conosco la password e non mi permette di aprire la porta 41218.
Pensavo di risolvere il problema utilizzando la Rete A come server (dove posso aprire la porta 41218) e la Rete B come client.
Leggendo i log di entrambi gli OpenVPN sembra che le due reti siano collegate, ma in risorse di rete non c’è nulla.
I file di configurazione sono questi:
Rete A
port 41218
dev tap
dev-node tap
secret key.txt
ping 5
verb 3
Rete B
remote 84.52.xx.xx
port 41218
dev tap
dev-node tap
secret key.txt
ping 5
verb 3
Ciao, vorrei fare in modo che possa collegarmi con una VPN ad un server linux con un indirizzo IP pubblico (ed una sola scheda di rete) ed ottenere un indirizzo IP da un range “come se fossi” nella stessa sottorete del server.
In realtà credo di esserci vicino, riesco a connettermi al server ed ottenere un indirizzo ip nel range prescelto però o due problemi:
- quando attivo il bridging è come se il server “perdesse” l’indirizzo ip, voglio dire che da quel momento posso accedere al server solo dalla vpn
- riesco a vedere il server (e dal server vedo me) ma non riesco a raggiungere gli altri indirizzi della sottorete del server (e viceversa)
Spero di essermi spiegato, allego i vari file che adopero:
script di avvio:
#!/bin/bash
iptables -A INPUT -i tap0 -j ACCEPT
iptables -A INPUT -i br0 -j ACCEPT
iptables -A FORWARD -i br0 -j ACCEPT
./bridge_start.sh
openvpn –cd /etc/openvpn/ –daemon –config assegnaip.ovpn
route add -net 0.0.0.0/0 gw
script del bridge:
#!/bin/bash
#################################
# Set up Ethernet bridge on Linux
# Requires: bridge-utils
#################################
# Define Bridge Interface
br=”br0″
# Define list of TAP interfaces to be bridged,
# for example tap=”tap0 tap1 tap2″.
tap=”tap0″
# Define physical ethernet interface to be bridged
# with TAP interface(s) above.
eth=”eth0″
eth_ip=”l’indirizzo ip pubblico del mio server linux es a.b.c.d”
eth_netmask=”255.255.255.0″
eth_broadcast=”a.b.c.255″
for t in $tap; do
openvpn –m