首页 > 学技术 > 技术网文 > VPN > 正文

[精华] [原创]用OpenVPN构建安全VPN [OpenVPN + CA]

来源 chinaunix.net 酷勤网整理

[原创]用OpenVPN构建安全VPN [OpenVPN + CA]

一直想写一片关于VPN配置方面的文章,由于时间等等很多问题,一直没有落实,现在终于和大家见面了,由于本人知识有限也并非专业从事这方面工作的,难免有错误,望指正,共同提高。
自从认识VPN以来,一直在找寻一个容易配置、功能强大、支持多系统的VPN程序,由于一直没有找到合适的软件,Linux下的FreeSWAN、OpenBSD FreeBSD下的IPSec、Windows下的PPTP都试了试,始终不能满足自己的要求,直到OpenVPN的出现。
关于各种VPN软件或者硬件的优缺点,在这里我就不再叙述了,因为这个掺杂着很多人为的因素在里边(萝卜好吃还是青菜好吃?),一个软件:稳定、符合自己的要求、自己用的习惯就是一个好软件。
对于OpenVPN,在CU的VPN版面也有过很多的讨论,其中也不乏精华的文章,但是都是使用Static key验证的,从字面上就可以看出来Static key使用的就是预先生成的key对数据进行加密和解密,也就是常说的对称试加密,加密和解密双方必须预先知道加密的Key。本文讨论的是基于TLS加密方式,使用CA验证VPN Client的身份,OpenVPN使用TLS加密是通过使用公开密钥(非对称密钥,加密解密使用不同的key,一个称为Public key,另一个是Private key)对数据进行加密的,对于TLS传输的工作原理,大家可以去Google一下,资料一大堆。对于OpenVPN使用TLS mode,首先Server和Client要有相同CA签发的证书,双方通过交换证书验证双方的合法性以决定是否建立VPN连接,然后使用对方CA把自己目前使用的数据加密方法(类似于密钥)加密后发送给对方,由于使用对方CA加密的,所以只有对方CA对应的Private key才能解密该字串,保证了此密钥的安全性,并且此密钥定期改变,对于窃听者来说,可能还没有破解出密钥,通信双方已经更换密钥了。
我个人对OpenVPN的感觉(或者说是我使用OpenVPN的理由),NAT穿透力特强,支持HTTP代理,对动态地址支持很好,可配置性强,配置安全,开源便于二次开发...其他没有想好:)。
关于OpenVPN的相关内容可以在http://openvpn.net上找到。

下面开始正式讨论OpenVPN的安装和配置方法,本文是在Fedora Core 2环境下配置的,由于机器在网络中不是在网关的位置,所以使用NAT方式来访问内网,否则还涉及到配置网络设备的路由。假设我的VPN Server有2块网卡,eth0对外,IP:61.1.1.2 eth1对内,IP:192.168.1.2,内网地址:192.168.0.0/16
本文除配置文件中行首的"#"是注释外,其他行首的"#"都是提示符,如果在非配置文件一行中第二次出现"#"说明后面的是注释,书写命令时可以省略。

获取并安装Openvpn:
首先检查系统是否安装lzo实时压缩工具
$rpm -qa | grep lzo
如果没有安装可以在http://www.oberhumer.com/opensource/lzo/找到并安装,安装方法详见压缩包中的INSTALL文件,当然也可以用rpm包安装,记住一定要安装lzo-devel开头的那个包,因为OpenVPN需要使用lzo的头文件。
$wget http://mesh.dl.sourceforge.net/sourceforge/openvpn/openvpn-2.0_rc16.tar.gz
$tar -zxvf openvpn-2.0_rc16.tar.gz
$cd openvpn-2.0_rc16
$./configure
$make
$su 
#make install
按照INSTALL文件中的说明,做如下操作:
#mknod /dev/net/tun c 10 200 #创建一个tun设备
#echo "alias char-major-10-200 tun" >;>; /etc/modprobe.conf
#echo 1 >; /proc/sys/net/ipv4/ip_forward #打开系统的转发功能
接下来就生成服务器客户端需要使用的keys了,为了方便,我们使用OpenVPN包自带的脚本生成。
#mkdir /etc/openvpn
#cp -r easy-rsa /etc/openvpn #切换到OpenVPN源代码目录执行
修改vars 文件
-------------CUT Here-------------
# easy-rsa parameter settings

# NOTE: If you installed from an RPM,
# don't edit this file in place in
# /usr/share/openvpn/easy-rsa --
# instead, you should copy the whole
# easy-rsa directory to another location
# (such as /etc/openvpn) so that your
# edits will not be wiped out by a future
# OpenVPN package upgrade.

# This variable should point to
# the top level of the easy-rsa
# tree.
export D=`pwd`

# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=$D/openssl.cnf

# Edit this variable to point to
# your soon-to-be-created key
# directory.
#
# WARNING: clean-all will do
# a rm -rf on this directory
# so make sure you define
# it correctly!
export KEY_DIR=$D/keys

# Issue rm -rf warning
echo NOTE: when you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

# Increase this to 2048 if you
# are paranoid.  This will slow
# down TLS negotiation performance
# as well as the one-time DH parms
# generation process.
export KEY_SIZE=1024

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
# 定义你所在的国家,2个字符
export KEY_COUNTRY=CN
# 你所在的省份
export KEY_PROVINCE=Liaoning
# 你所在的城市
export KEY_CITY=Shenyang
# 你所在的组织
export KEY_ORG="ELM OpenVPN ORG"
# 你的单位
export KEY_OU="OpenVPN Service"
# 你的邮件地址
export KEY_EMAIL="elm@elm.freetcp.com"
-------------CUT Here-----------------
修改后保存,下面我们开始什成keys,以下为shell命令 "#" 为提示符
#. vars #使修改的变量生效
NOTE: when you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/keys
#./clean-all #初始化keys目录,创建所需要的文件和目录
#./build-ca #什成Root CA证书,用于签发Server和Client证书,请保护好keys/ca.key文件。
Generating a 1024 bit RSA private key
........................++++++
.............++++++
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]: #如果无需修改,直接回车
State or Province Name (full name) [Liaoning]:
Locality Name (eg, city) [Shenyang]:
Organization Name (eg, company) [ELM OpenVPN ORG]:
Organizational Unit Name (eg, section) [OpenVPN Service]:
Common Name (eg, your name or your server's hostname) []:OpenVPN Root CA
Email Address [elm@elm.freetcp.com]:

# ls keys
ca.crt  ca.key  index.txt  serial
我们可以看到ca.crt ca.key文件已经什成了。
下面我们为服务器生成 Diffie-Hellman 文件
# ./build-dh #TLS server 需要使用的一个文件
Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
..+..............................................................+....................................................................+....+........+.........+....................................................+.+..................................................................................................................................................................+.......................................+.................................+.............+.................................................................................+.......................................................+.............................++*++*++*

创建并签发VPN Server使用的CA
# ./build-key-server server    # server 为创建后的文件名,分别为server.crt server.key
Generating a 1024 bit RSA private key
......................++++++
...............++++++
writing new private key to 'server.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]:
State or Province Name (full name) [Liaoning]:
Locality Name (eg, city) [Shenyang]:
Organization Name (eg, company) [ELM OpenVPN ORG]:
Organizational Unit Name (eg, section) [OpenVPN Service]:
Common Name (eg, your name or your server's hostname) []:Server No.1
Email Address [elm@elm.freetcp.com]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'CN'
stateOrProvinceName   :PRINTABLE:'Liaoning'
localityName          :PRINTABLE:'Shenyang'
organizationName      :PRINTABLE:'ELM OpenVPN ORG'
organizationalUnitName:PRINTABLE:'OpenVPN Service'
commonName            :PRINTABLE:'Server No.1'
emailAddress          :IA5STRING:'elm@elm.freetcp.com'
Certificate is to be certified until Feb 26 14:43:44 2015 GMT (3650 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

接下来为VPN Client颁发CA证书,如果以后要为其他Client颁发证书,直接使用build-key命令签发新证书。
# ./build-key elm
Generating a 1024 bit RSA private key
........++++++
....................++++++
writing new private key to 'elm.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]:
State or Province Name (full name) [Liaoning]:
Locality Name (eg, city) [Shenyang]:
Organization Name (eg, company) [ELM OpenVPN ORG]:
Organizational Unit Name (eg, section) [OpenVPN Service]:
Common Name (eg, your name or your server's hostname) []:ELM      #注意Common Name最好不要相同,如果相同[server要加duplicate-cn选项],那么Email地址也不能相同
Email Address [elm@elm.freetcp.com]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'CN'
stateOrProvinceName   :PRINTABLE:'Liaoning'
localityName          :PRINTABLE:'Shenyang'
organizationName      :PRINTABLE:'ELM OpenVPN ORG'
organizationalUnitName:PRINTABLE:'OpenVPN Service'
commonName            :PRINTABLE:'ELM'
emailAddress          :IA5STRING:'elm@elm.freetcp.com'
Certificate is to be certified until Feb 26 14:45:36 2015 GMT (3650 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
为防止恶意攻击(如DOS、UDP port flooding),我们生成一个"HMAC firewall"
#openvpn --genkey --secret keys/ta.key
生成证书吊销链文件,防止日后有人丢失证书,被非法用户接入VPN
#./make-crl vpncrl.pem
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf

到现在为止,一切准备就绪,下面开始写配置文件,为了缩小篇幅,把原有注释都去掉了。
Server使用的配置文件server.conf
----------------CUT Here-------------
#申明本机使用的IP地址,也可以不说明
;local a.b.c.d
#申明使用的端口,默认1194
port 1194
#申明使用的协议,默认使用UDP,如果使用HTTP proxy,必须使用TCP协议
;proto tcp
proto udp
#申明使用的设备可选tap和tun,tap是二层设备,支持链路层协议。
#tun是ip层的点对点协议,限制稍微多一些,本人习惯使用TAP设备
dev tap
;dev tun
#OpenVPN使用的ROOT CA,使用build-ca生成的,用于验证客户是证书是否合法
ca ca.crt
#Server使用的证书文件
cert server.crt
#Server使用的证书对应的key,注意文件的权限,防止被盗
key server.key  # This file should be kept secret
#CRL文件的申明,被吊销的证书链,这些证书将无法登录
crl-verify vpncrl.pem
#上面提到的生成的Diffie-Hellman文件
dh dh1024.pem
#这是一条命令的合集,如果你是OpenVPN的老用户,就知道这条命令的来由
#这条命令等效于:
# mode server #OpenVPN工作在Server模式,可以支持多client同时动态接入
# tls-server #使用TLS加密传输,本端为Server,Client端为tls-client
#
# if dev tun: #如果使用tun设备,等效于以下配置
#   ifconfig 10.8.0.1 10.8.0.2  #设置本地tun设备的地址
#   ifconfig-pool 10.8.0.4 10.8.0.251 #说明OpenVPN使用的地址池(用于分配给客户),分别是起始地址、结束地址
#   route 10.8.0.0 255.255.255.0 #增加一条静态路由,省略下一跳地址,下一跳为对端地址,这里是: 10.8.0.2
#   if client-to-client: #如果使用client-to-client这个选项
#     push "route 10.8.0.0 255.255.255.0" #把这条路由发送给客户端,客户连接成功后自动加入路由表,省略了下一跳地址: 10.8.0.1
#   else
#     push "route 10.8.0.1" #否则发送本条路由,这是一个主机路由,省略了子网掩码和下一跳地址,分别为: 255.255.255.255 10.8.0.1
#
# if dev tap: #如果使用tap设备,则等效于以下命令
#   ifconfig 10.8.0.1 255.255.255.0 #配置tap设备的地址
#   ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 #客户端使用的地址池,分别是起始地址、结束地址、子网掩码
#   push "route-gateway 10.8.0.1" #把环境变量route-gateway传递给客户机
#
server 10.8.0.0 255.255.255.0 #等效于以上命令
#用于记录某个Client获得的IP地址,类似于dhcpd.lease文件,
#防止openvpn重新启动后“忘记”Client曾经使用过的IP地址
ifconfig-pool-persist ipp.txt
#Bridge状态下类似DHCPD的配置,为客户分配地址,由于这里工作在路由模式,所以不使用
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
#通过VPN Server往Client push路由,client通过pull指令获得Server push的所有选项并应用
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
#VPN启动后,在VPN Server上增加的路由,VPN停止后自动删除
;route 10.9.0.0 255.255.255.252
#Run script or shell command cmd to validate client
#virtual addresses or routes. 具体查看manual
;learn-address ./script
#其他的一些需要PUSH给Client的选项
#
#使Client的默认网关指向VPN,让Client的所有Traffic都通过VPN走
;push "redirect-gateway"
#DHCP的一些选项,具体查看Manual
;push "dhcp-option DNS 10.8.0.1"
;push "dhcp-option WINS 10.8.0.1"
#如果可以让VPN Client之间相互访问直接通过openvpn程序转发,
#不用发送到tun或者tap设备后重新转发,优化Client to Client的访问效率
client-to-client
#如果Client使用的CA的Common Name有重复了,或者说客户都使用相同的CA
#和keys连接VPN,一定要打开这个选项,否则只允许一个人连接VPN
;duplicate-cn
#NAT后面使用VPN,如果VPN长时间不通信,NAT Session可能会失效,
#导致VPN连接丢失,为防止之类事情的发生,keepalive提供一个类似于ping的机制,
#下面表示每10秒通过VPN的Control通道ping对方,如果连续120秒无法ping通,
#认为连接丢失,并重新启动VPN,重新连接
#(对于mode server模式下的openvpn不会重新连接)。
keepalive 10 120
#上面提到的HMAC防火墙,防止DOS攻击,对于所有的控制信息,都使用HMAC signature,
#没有HMAC signature的控制信息不予处理,注意server端后面的数字肯定使用0,client使用1
tls-auth ta.key 0 # This file is secret
#对数据进行压缩,注意Server和Client一致
comp-lzo
#定义最大连接数
;max-clients 100
#定义运行openvpn的用户
user nobody
group nobody
#通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys
persist-key
#通过keepalive检测超时后,重新启动VPN,一直保持tun或者tap设备是linkup的,
#否则网络连接会先linkdown然后linkup
persist-tun
#定期把openvpn的一些状态信息写到文件中,以便自己写程序计费或者进行其他操作
status openvpn-status.log
#记录日志,每次重新启动openvpn后删除原有的log信息
log         /var/log/openvpn.log
#和log一致,每次重新启动openvpn后保留原有的log信息,新信息追加到文件最后
;log-append  openvpn.log
#相当于debug level,具体查看manual
verb 3
--------------Cut Here-----------------
把server.conf文件保存到/etc/opennvpn目录中,并把使用easy-rsa下的脚本什成的key都复制到/etc/openvpn目录下,命令如下:
#cd /etc/openvpn
#cp easy-rsa/keys/ca.crt .
#cp easy-rsa/keys/server.crt .
#cp easy-rsa/keys/server.key .
#cp easy-rsa/keys/dh1024.pem .
#cp easy-rsa/keys/ta.key .
#cp easy-rsa/keys/vpncrl.pem .
创建OpenVPN启动脚本,可以在源代码目录中找到,在sample-scripts目录下的openvpn.init文件,将其复制到/etc/init.d/目录中,改名为openvpn
然后运行:
#chkconfig --add openvpn
#chkconfig openvpn on
立即启动openenvpn
#/etc/init.d/openvpn start

接下来配置客户端的配置文件client.conf:
Linux或Unix下使用扩展名为.conf Windows下使用的是.ovpn,并把需要使用的keys复制到配置文件所在目录ca.crt elm.crt elm.key ta.key
-------------Cut Here---------------------
# 申明我们是一个client,配置从server端pull过来,如IP地址,路由信息之类“Server使用push指令push过来的”
client

#指定接口的类型,严格和Server端一致
dev tap
;dev tun

# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one.  On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap

# 使用的协议,与Server严格一致
;proto tcp
proto udp

#设置Server的IP地址和端口,如果有多台机器做负载均衡,可以多次出现remote关键字

remote 61.1.1.2 1194
;remote my-server-2 1194

# 随机选择一个Server连接,否则按照顺序从上到下依次连接
;remote-random

# 始终重新解析Server的IP地址(如果remote后面跟的是域名),
# 保证Server IP地址是动态的使用DDNS动态更新DNS后,Client在自动重新连接时重新解析Server的IP地址
# 这样无需人为重新启动,即可重新接入VPN
resolv-retry infinite

# 在本机不邦定任何端口监听incoming数据,Client无需此操作,除非一对一的VPN有必要
nobind

# 运行openvpn用户的身份,旧版本在win下需要把这两行注释掉,新版本无需此操作
user nobody
group nobody

#在Client端增加路由,使得所有访问内网的流量都经过VPN出去
#当然也可以在Server的配置文件里头设置,Server配置里头使用的命令是
# push "route 192.168.0.0 255.255.255.0"
route 192.168.0.0 255.255.0.0

# 和Server配置上的功能一样 如果使用了chroot或者su功能,最好打开下面2个选项,防止重新启动后找不到keys文件,或者nobody用户没有权限启动tun设备
persist-key
persist-tun

# 如果你使用HTTP代理连接VPN Server,把Proxy的IP地址和端口写到下面
# 如果代理需要验证,使用http-proxy server port [authfile] [auth-method]
# 其中authfile是一个2行的文本文件,用户名和密码各占一行,auth-method可以省略,详细信息查看Manual
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# 对于无线设备使用VPN的配置,看看就明白了
# Wireless networks often produce a lot
# of duplicate packets.  Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# Root CA 文件的文件名,用于验证Server CA证书合法性,通过easy-rsa/build-ca生成的ca.crt,和Server配置里的ca.crt是同一个文件
ca ca.crt
# easy-rsa/build-key生成的key pair文件,上面生成key部分中有提到,不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。
cert elm.crt
key elm.key

# Server使用build-key-server脚本什成的,在x509 v3扩展中加入了ns-cert-type选项
# 防止VPN client使用他们的keys + DNS hack欺骗vpn client连接他们假冒的VPN Server
# 因为他们的CA里没有这个扩展
ns-cert-type server

# 和Server配置里一致,ta.key也一致,注意最后参数使用的是1
tls-auth ta.key 1

# 压缩选项,和Server严格一致
comp-lzo

# Set log file verbosity.
verb 4
--------------Cut Here---------------------
Linux下Client的OpenVPN的安装方法一样,只是配置文件和keys上的不同,只要把client.conf ca.crt elm.crt elm.key ta.key复制到/etc/openvpn目录即可启动VPN。
Win下OpenVPN的安装,WIN下有图形界面的OpenVPN-GUI程序,下载地址http://openvpn.se
下载安装,默认下一步就OK了,安装完事后在托盘上出现一个新的图标,把client.ovpn ca.crt elm.crt elm.key ta.key文件拷贝到C:\Program Files\openvpn\config目录下,然后点右键connect就OK了。
对于LinuxServer使用NAT的一些说明:
首先要把系统的Forward打开,可以通过如下命令实现
echo 1 >; /proc/sys/net/ipv4/ip_forward
或者使用
sysctl -w net.ipv4.ip_forward=1
或者修改/etc/sysctl.conf文件,增加
net.ipv4.ip_forward = 1
设定SNAT的规则,使用iptables命令
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth1 -j SNAT --to-source 192.168.1.2
OK,OpenVPN Client可以访问内网了。

由于是第一次写这么详细的文档,有很多地方写的不详细,有很多东西可能我认为是很容易理解的,但是可能没有从一个初学者的角度去考虑问题,还希望大家多提意见,以便改进,由于本人不是专业从事VPN的研究,本文难免有错误之处,还往指正。
国外很多软件都有Howto,但是OpenVPN没有Howto,希望大家能在本文+其他static key的文章上,形成一个不是很全面的HOWTO。
本文是本人在实验+一字一句的敲上去,如果转载,麻烦注明出处,谢谢
Blog: http://elm.blog.edu.cn

--ELM
2005.03.01草于沈阳


 wheel 回复于:2005-03-02 17:17:42

是基于FC3?那是2.6的核的了?
是用
wget -c http://ftp.freshrpms.net/pub/freshrpms/redhat/9/lzo/lzo-devel-1.08-fr2.i386.rpm

wget -c http://ftp.freshrpms.net/pub/freshrpms/redhat/9/lzo/lzo-1.08-fr2.i386.rpm
吗?
应该是
echo "alias char-major-10-200 tun" >;>;/etc/modprobe.conf

成client.crt就已经是空的(=0bytes),有可能是Common Name (eg, your name or your server's hostname) []:没写就直接回车了.也可能是Sign the certificate? [y/n]:y这没打Y直接回车了.


------------------------------------------------------------------------------------
客户端启动启动:也是
#/etc/init.d/openvpn start (/etc/openvpn/client.conf时起客户)
(/etc/openvpn/server.conf都有时)
出tap0和tap1

[ 本帖最后由 wheel 于 2007-3-6 17:04 编辑 ]

 wenzk 回复于:2005-03-02 22:07:26

OpenVPN对系统的要求不是很严,不怎么挑系统的
我用过FC2 RH7.3 Win2000 XP其他系统没有测试过

 wangli2000_cn 回复于:2005-03-03 10:21:23

我的系统是rh9 在
[root@wl2004 easy-rsa]# ./build-key elm
的时候出现在以下错误.
Generating a 1024 bit RSA private key
..++++++
.......++++++
writing new private key to 'elm.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]:
State or Province Name (full name) [ChongQing]:
Locality Name (eg, city) [YuBei]:
Organization Name (eg, company) [CQ]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:xywl
Email Address [wangli2000_cn@126.com]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'CN'
stateOrProvinceName   :PRINTABLE:'ChongQing'
localityName          :PRINTABLE:'YuBei'
organizationName      :PRINTABLE:'CQAudit'
commonName            :PRINTABLE:'xywl'
emailAddress          :IA5STRING:'wangli2000_cn@126.com'
Certificate is to be certified until Mar  1 02:13:59 2015 GMT (3650 days)
Sign the certificate? [y/n]:y
failed to update database
TXT_DB error number 2
请大虾指导.

 wenzk 回复于:2005-03-03 10:37:01

引用:原帖由 "wheel" 发表:
是基于FC3?那是2.6的核的了?
是用
wget -c http://ftp.freshrpms.net/pub/freshrpms/redhat/9/lzo/lzo-devel-1.08-fr2.i386.rpm

wget -c http://ftp.freshrpms.net/pub/freshrpms/redhat/9/lzo/lzo-1.08-fr2..........


呵呵,应该是叫modprobe.conf文件,不加好像也可以用
由于我在linux下都是使用自己制作RPM包,然后用RPM包安装OpenVPN的

 wenzk 回复于:2005-03-03 10:41:56

引用:原帖由 "wangli2000_cn" 发表:
failed to update database
TXT_DB error number 2
请大虾指导.


Common Name (eg, your name or your server's hostname) []:xywl 

记住,Common Name类似于一个人的ID似的,在签发CA的时候你输入的所有信息不能有相同的,否则就出现类似于给同一个人颁发2张身份证似的

 wheel 回复于:2005-03-03 10:45:22

下面我们为服务器生成 Diffie-Hellman 文件 
# ./build-dh #TLS server 需要使用的一个文件 
Generating DH parameters, 1024 bit long safe prime, generator 2 
This is going to take a long time 
..+..............................................................+....................................................................+....+........+.........+....................................................+.+..................................................................................................................................................................+.......................................+.................................+.............+.................................................................................+.......................................................+.............................++*++*++* 
这段的结果是这样吗?
[root@cqs easy-rsa]#  ./build-dh #TLS server
Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
.....++*++*++*
[root@cqs easy-rsa]#      
创建并签发VPN Server使用的CA

 wheel 回复于:2005-03-03 10:52:09

到现在为止,一切准备就绪,下面开始写配置文件,为了缩小篇幅,把原有注释都去掉了。 
Server使用的配置文件server.conf
请问
server.conf放在那?/etc/openvpn/easy-rsa/server.conf
还是/etc/openvpn
还是 
cp -arf sample-config-files /etc/openvpn/
 vi /etc/openvpn/sample-config-files/server.conf

 wenzk 回复于:2005-03-03 10:52:14

引用:原帖由 "wheel"] easy-rsa 发表:
#      
创建并签发VPN Server使用的CA


回显的字符有长有短,这个无所谓了:)

 wheel 回复于:2005-03-03 10:58:49

我是问是直接打
 ./build-dh #TLS server吗?
还是 ./build-dh回车
TLS serve 回车

 wenzk 回复于:2005-03-03 10:59:09

引用:原帖由 "wheel" 发表:
到现在为止,一切准备就绪,下面开始写配置文件,为了缩小篇幅,把原有注释都去掉了。 
Server使用的配置文件server.conf
请问
server.conf放在那?/etc/openvpn/easy-rsa/server.conf
还是/etc/openvpn


verb 3 
--------------Cut Here----------------- 
把server.conf文件保存到/etc/opennvpn目录中,并把使用easy-rsa下的脚本什成的key都复制到/etc/openvpn目录下,命令如下: 
#cd /etc/openvpn 
#cp easy-rsa/keys/ca.crt . 
#cp easy-rsa/keys/server.crt . 
#cp easy-rsa/keys/server.key . 
#cp easy-rsa/keys/dh1024.pem . 
#cp easy-rsa/keys/ta.key . 
#cp easy-rsa/keys/vpncrl.pem .

 wenzk 回复于:2005-03-03 11:02:39

引用:原帖由 "wheel" 发表:
我是问是直接打
 ./build-dh #TLS server吗?
还是 ./build-dh回车
TLS serve 回车


shell下一行命令"#"后头是注释,不执行的

 wheel 回复于:2005-03-03 11:20:08

server 10.8.0.0 255.255.255.0 #等效于以上命令 
#用于记录某个Client获得的IP地址,类似于dhcpd.lease文件, 
#防止openvpn重新启动后“忘记”Client曾经使用过的IP地址
这10.8.0.0应该改成我的内网网段把?

 wenzk 回复于:2005-03-03 12:12:48

引用:原帖由 "wheel" 发表:
server 10.8.0.0 255.255.255.0 #等效于以上命令 
#用于记录某个Client获得的IP地址,类似于dhcpd.lease文件, 
#防止openvpn重新启动后“忘记”Client曾经使用过的IP地址
这10.8.0.0应该改成我的内网网段把?


server后面写的IP地址是你VPN接入后的使用的IP地址

记得在看OpenVPN的文档的时候,有一个人用一句非常形象的话说了一下VPN是什么样的东西,一根很长的、且安全的电缆从你的机器连接到VPN对端机器。

对于这对电缆两端的网卡也必需有地址,server后面的地址就是为这些“网卡”用的

 wheel 回复于:2005-03-03 14:14:21

sudo /etc/init.d/openvpn start
Starting openvpn:                                          [  确定  ]
[root@cqs openvpn]# ifconfig

tap0      Link encap:Ethernet  HWaddr 00:FF:ED:56:C3:B5
          inet addr:10.8.0.1  Bcast:10.8.0.255  Mask:255.255.255.0
          inet6 addr: fe80::2ff:edff:fe56:c3b5/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 b)  TX bytes:238 (238.0 b)
为啥还没配客户端就有tap0 了?
如果
使用iptables命令 
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth1 -j SNAT --to-source 192.168.1.2
那别人不是只要设ip为10.8.0.2 就可以连上来了?CA有啥用那?

 wheel 回复于:2005-03-03 15:14:46

# easy-rsa/build-key生成的key pair文件,上面生成key部分中有提到,不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。 
cert elm.crt 
key elm.key

/etc/openvpn/easy-rsa/keys下的文件吗?

 wheel 回复于:2005-03-03 15:56:39

在客户端
 ls /etc/openvpn/
ca.crt  client.conf  elm.crt  elm.key  ta.key
对吗?
客户端有了这文件是否可以直接
/etc/rc.d/init.d/openvpn start

 wheel 回复于:2005-03-03 16:27:59

客户端
 /etc/rc.d/init.d/openvpn start
Starting openvpn:                                          [失败]
请问如何联系你?
我的server的ip是200.200.199.254和192.168.1.72
客户端是192.168.1.146
 cat /etc/openvpn/client.conf
#指定接口的类型,严格和Server端一致
dev tap
;dev tun

# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap

# 使用的协议,与Server严格一致
;proto tcp
proto udp

#设置Server的IP地址和端口,如果有多台机器做负载均衡,可以多次出现remote关键字

remote 192.168.1.72 1194
;remote my-server-2 1194

# 随机选择一个Server连接,否则按照顺序从上到下依次连接
;remote-random

# 始终重新解析Server的IP地址(如果remote后面跟的是域名),
# 保证Server IP地址是动态的使用DDNS动态更新DNS后,Client在自动重新连接时重新解析Server的IP地址
# 这样无需人为重新启动,即可重新接入VPN
;resolv-retry infinite

# 在本机不邦定任何端口监听incoming数据,Client无需此操作,除非一对一的VPN有必要
nobind

# 运行openvpn用户的身份,旧版本在win下需要把这两行注释掉,新版本无需此操作
user nobody
group nobody

#在Client端增加路由,使得所有访问内网的流量都经过VPN出去
#当然也可以在Server的配置文件里头设置,Server配置里头使用的命令是
# push "route 192.168.0.0 255.255.255.0"
route 200.200.199.0 255.255.0.0

# 和Server配置上的功能一样
persist-key
;persist-tun

# 如果你使用HTTP代理连接VPN Server,把Proxy的IP地址和端口写到下面
# 如果代理需要验证,使用http-proxy server port [authfile] [auth-method]
# 其中authfile是一个2行的文本文件,用户名和密码各占一行,auth-method可以省略,详细信息查看Manual
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# 对于无线设备使用VPN的配置,看看就明白了
# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# Root CA 文件的文件名,用于验证Server CA证书合法性,通过easy-rsa/build-ca生成的ca.crt,和Server配置里的ca.crt是同一个文件
ca ca.crt
# easy-rsa/build-key生成的key pair文件,上面生成key部分中有提到,不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。
cert elm.crt
key elm.key

# Server使用build-key-server脚本什成的,在x509 v3扩展中加入了ns-cert-type选项
# 防止VPN client使用他们的keys + DNS hack欺骗vpn client连接他们假冒的VPN Server
# 因为他们的CA里没有这个扩展
ns-cert-type server

# 和Server配置里一致,ta.key也一致,注意最后参数使用的是1
tls-auth ta.key 1

# 压缩选项,和Server严格一致
comp-lzo

# Set log file verbosity.
verb 4
[root@localhost ~]#

 wangli2000_cn 回复于:2005-03-03 16:45:16

server.conf在那里啊.

 wenzk 回复于:2005-03-03 16:52:44

引用:原帖由 "wheel"] openvpn 发表:
# ifconfig

tap0      Link encap:Ethernet  HWaddr 00:FF:ED:56:C3:B5
          inet addr:10.8.0.1  Bcast:10.8.0.255  Mask:255.255.255.0
          inet6 addr: fe80::2ff:edff:fe56:c3b5/64 Sc..........


在server模式下工作,只要openvpn启动起来了,网卡就起来了

tap0网卡的所有数据是通过VPN那个通道出去的,如果你的VPN连接没有成功,你设置网卡的IP地址是没有用的

CA是用来验证身份和加密传输的,如果你的CA和keys不对,VPN没有办法连接成功,VPN通道不能建立

 wenzk 回复于:2005-03-03 16:55:19

引用:原帖由 "wheel" 发表:
# easy-rsa/build-key生成的key pair文件,上面生成key部分中有提到,不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。 
cert elm.crt 
key elm.key

/etc/openvpn/easy-rsa/keys下的文件吗?


你使用./build-key <name>; 命令
就会在easy-rsa/keys/生成<name>;.crt   <name>;.key文件,这两个文件替换上面的文件

 wheel 回复于:2005-03-03 16:59:04

为何客户端起不来阿?
我的server.conf在vpn 的server上
/etc/openvpn/server.conf
#申明本机使用的IP地址,也可以不说明
;local a.b.c.d
#申明使用的端口,默认1194
port 1194
#申明使用的协议,默认使用UDP,如果使用HTTP proxy,必须使用TCP协议
;proto tcp
proto udp
#申明使用的设备可选tap和tun,tap是二层设备,支持链路层协议。
#tun是ip层的点对点协议,限制稍微多一些,本人习惯使用TAP设备
dev tap
;dev tun
#OpenVPN使用的ROOT CA,使用build-ca生成的,用于验证客户是证书是否合法
ca ca.crt
#Server使用的证书文件
cert server.crt
#Server使用的证书对应的key,注意文件的权限,防止被盗
key server.key # This file should be kept secret
#CRL文件的申明,被吊销的证书链,这些证书将无法登录
crl-verify vpncrl.pem
#上面提到的生成的Diffie-Hellman文件
dh dh1024.pem
#这是一条命令的合集,如果你是OpenVPN的老用户,就知道这条命令的来由
#这条命令等效于:
# mode server #OpenVPN工作在Server模式,可以支持多client同时动态接入
# tls-server #使用TLS加密传输,本端为Server,Client端为tls-client
#
# if dev tun: #如果使用tun设备,等效于以下配置
# ifconfig 10.8.0.1 10.8.0.2 #设置本地tun设备的地址
# ifconfig-pool 10.8.0.4 10.8.0.251 #说明OpenVPN使用的地址池(用于分配给客户),分别是起始地址、结束地址
# route 10.8.0.0 255.255.255.0 #增加一条静态路由,省略下一跳地址,下一跳为对端地址,这里是: 10.8.0.2
# if client-to-client: #如果使用client-to-client这个选项
# push "route 10.8.0.0 255.255.255.0" #把这条路由发送给客户端,客户连接成功后自动加入路由表,省略了下一跳地址: 10.8.0.1
# else
# push "route 10.8.0.1" #否则发送本条路由,这是一个主机路由,省略了子网掩码和下一跳地址,分别为: 255.255.255.255 10.8.0.1
#
# if dev tap: #如果使用tap设备,则等效于以下命令
# ifconfig 10.8.0.1 255.255.255.0 #配置tap设备的地址
# ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 #客户端使用的地址池,分别是起始地址、结束地址、子网掩码
# push "route-gateway 10.8.0.1" #把环境变量route-gateway传递给客户机
#
server 10.8.0.0 255.255.255.0 #等效于以上命令

#用于记录某个Client获得的IP地址,类似于dhcpd.lease文件,
#防止openvpn重新启动后“忘记”Client曾经使用过的IP地址
ifconfig-pool-persist ipp.txt
#Bridge状态下类似DHCPD的配置,为客户分配地址,由于这里工作在路由模式,所以不使用
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
#通过VPN Server往Client push路由,client通过pull指令获得Server push的所有选项并应用
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
#VPN启动后,在VPN Server上增加的路由,VPN停止后自动删除
;route 10.9.0.0 255.255.255.252
#Run script or shell command cmd to validate client
#virtual addresses or routes. 具体查看manual
;learn-address ./script
#其他的一些需要PUSH给Client的选项
#
#使Client的默认网关指向VPN,让Client的所有Traffic都通过VPN走
push "redirect-gateway"
#DHCP的一些选项,具体查看Manual
;push "dhcp-option DNS 10.8.0.1"
;push "dhcp-option WINS 10.8.0.1"
#如果可以让VPN Client之间相互访问直接通过openvpn程序转发,
#不用发送到tun或者tap设备后重新转发,优化Client to Client的访问效率
client-to-client
#如果Client使用的CA的Common Name有重复了,或者说客户都使用相同的CA
#和keys连接VPN,一定要打开这个选项,否则只允许一个人连接VPN
;duplicate-cn
#NAT后面使用VPN,如果VPN长时间不通信,NAT Session可能会失效,
#导致VPN连接丢失,为防止之类事情的发生,keepalive提供一个类似于ping的机制,
#下面表示每10秒通过VPN的Control通道ping对方,如果连续120秒无法ping通,
#认为连接丢失,并重新启动VPN,重新连接
#(对于mode server模式下的openvpn不会重新连接)。
keepalive 10 120
#上面提到的HMAC防火墙,防止DOS攻击,对于所有的控制信息,都使用HMAC signature,
#没有HMAC signature的控制信息不予处理,注意server端后面的数字肯定使用0,client使用1
tls-auth ta.key 0 # This file is secret
#对数据进行压缩,注意Server和Client一致
comp-lzo
#定义最大连接数
;max-clients 100
#定义运行openvpn的用户
user nobody
group nobody
#通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys
persist-key
#通过keepalive检测超时后,重新启动VPN,一直保持tun或者tap设备是linkup的,
#否则网络连接会先linkdown然后linkup
persist-tun
#定期把openvpn的一些状态信息写到文件中,以便自己写程序计费或者进行其他操作
status openvpn-status.log
#记录日志,每次重新启动openvpn后删除原有的log信息
log /var/log/openvpn.log
#和log一致,每次重新启动openvpn后保留原有的log信息,新信息追加到文件最后
;log-append openvpn.log
#相当于debug level,具体查看manual
verb 3

 wenzk 回复于:2005-03-03 17:02:31

引用:原帖由 "wheel" 发表:
在客户端
 ls /etc/openvpn/
ca.crt  client.conf  elm.crt  elm.key  ta.key
对吗?
客户端有了这文件是否可以直接
/etc/rc.d/init.d/openvpn start


对,如果有问题,看看/var/log/openvpn.log文件,帖出来

 wenzk 回复于:2005-03-03 17:06:00

引用:原帖由 "wheel"]alhost ~]#
 发表:


QQ: 616621
MSN: zhankaowen#hotmail.com

 wenzk 回复于:2005-03-03 17:08:58

引用:原帖由 "wangli2000_cn"]server.conf在那里啊.
 发表:


在文章的内容里头有说法的,或者使用sample-config下的server.conf稍加修改就OK了

 wenzk 回复于:2005-03-03 17:11:36

引用:原帖由 "wheel" 发表:
为何客户端起不来阿?
我的server.conf在vpn 的server上
/etc/openvpn/server.conf
#申明本机使用的IP地址,也可以不说明
;local a.b.c.d
#申明使用的端口,默认1194
port 1194
#申明使用的协议,默认使用UDP..........


给我看log,/var/log/openvpn.log文件

win下的是C:\Program Files\OpenVPN\logs\主要看什么提示

 wheel 回复于:2005-03-03 17:41:49

客户端没有
/var/log/openvpn.log
server有
Thu Mar  3 16:43:42 2005 OpenVPN 2.0_rc16 i686-pc-linux [SSL] [LZO] [EPOLL] built on Mar  3 2005
Thu Mar  3 16:43:42 2005 Diffie-Hellman initialized with 1024 bit key
Thu Mar  3 16:43:42 2005 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Thu Mar  3 16:43:42 2005 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Mar  3 16:43:42 2005 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Mar  3 16:43:42 2005 TLS-Auth MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Mar  3 16:43:42 2005 TUN/TAP device tap0 opened
Thu Mar  3 16:43:42 2005 /sbin/ifconfig tap0 10.8.0.1 netmask 255.255.255.0 mtu 1500 broadcast 10.8.0.255
Thu Mar  3 16:43:42 2005 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:23 ET:32 EL:0 AF:3/1 ]
Thu Mar  3 16:43:42 2005 GID set to nobody
Thu Mar  3 16:43:42 2005 UID set to nobody
Thu Mar  3 16:43:42 2005 UDPv4 link local (bound): [undef]:1194
Thu Mar  3 16:43:42 2005 UDPv4 link remote: [undef]
Thu Mar  3 16:43:42 2005 MULTI: multi_init called, r=256 v=256
Thu Mar  3 16:43:42 2005 IFCONFIG POOL: base=10.8.0.2 size=253
Thu Mar  3 16:43:42 2005 IFCONFIG POOL LIST
Thu Mar  3 16:43:42 2005 Initialization Sequence Completed
Thu Mar  3 17:08:14 2005 event_wait : Interrupted system call (code=4)
Thu Mar  3 17:08:14 2005 TCP/UDP: Closing socket
Thu Mar  3 17:08:14 2005 Closing TUN/TAP interface
Thu Mar  3 17:08:14 2005 SIGTERM[hard,] received, process exiting
~

 wheel 回复于:2005-03-03 18:19:54

客户端起来了!!!
cat /etc/openvpn/client.conf
client
dev tap
;dev tun
;dev-node MyTap
;proto tcp
proto udp
remote 192.168.1.72 1194
;remote my-server-2 1194
;remote-random
;resolv-retry infinite
;nobind
user nobody
group nobody
route 200.200.199.0 255.255.0.0
persist-key
;persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;mute-replay-warnings
ca ca.crt
cert elm.crt
key elm.key
ns-cert-type server
tls-auth ta.key 1
comp-lzo
log /var/log/openvpn.log
verb 4

 wenzk 回复于:2005-03-03 18:53:27

引用:原帖由 "wheel"]rt # 发表:

;mute-replay-warnings
ca ca.crt
cert elm.crt
key elm.key
ns-cert-type server
tls-auth ta.key 1
comp-lzo
log /var/log/openvpn.log
verb 4


你的192.168.1.146肯能openssl的库文件有问题,导致有TLS验证错误

在你本机我把client也启动起来了,有一点小错误,刚才还没有看出来

client启动日志应该是:
---------------------------------------------------------------------------
Thu Mar  3 18:46:44 2005 us=782366 Current Parameter Settings:
Thu Mar  3 18:46:44 2005 us=782640   config = 'client.conf.bak'
Thu Mar  3 18:46:44 2005 us=782722   mode = 0
Thu Mar  3 18:46:44 2005 us=782766   persist_config = DISABLED
Thu Mar  3 18:46:44 2005 us=782804   persist_mode = 1
Thu Mar  3 18:46:44 2005 us=782838   show_ciphers = DISABLED
Thu Mar  3 18:46:44 2005 us=782874   show_digests = DISABLED
Thu Mar  3 18:46:44 2005 us=782909   show_engines = DISABLED
Thu Mar  3 18:46:44 2005 us=782949   genkey = DISABLED
Thu Mar  3 18:46:44 2005 us=782986   key_pass_file = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=783021   show_tls_ciphers = DISABLED
Thu Mar  3 18:46:44 2005 us=783057   proto = 0
Thu Mar  3 18:46:44 2005 us=783091   local = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=783129   remote_list[0] = {'192.168.1.72', 1194}
Thu Mar  3 18:46:44 2005 us=783176   remote_random = DISABLED
Thu Mar  3 18:46:44 2005 us=783215   local_port = 1194
Thu Mar  3 18:46:44 2005 us=783249   remote_port = 1194
Thu Mar  3 18:46:44 2005 us=783285   remote_float = DISABLED
Thu Mar  3 18:46:44 2005 us=783320   ipchange = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=783354   bind_local = DISABLED
Thu Mar  3 18:46:44 2005 us=783391   dev = 'tap'
Thu Mar  3 18:46:44 2005 us=783426   dev_type = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=783460   dev_node = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=783495   tun_ipv6 = DISABLED
Thu Mar  3 18:46:44 2005 us=783529   ifconfig_local = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=783562   ifconfig_remote_netmask = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=783596   ifconfig_noexec = DISABLED
Thu Mar  3 18:46:44 2005 us=783630   ifconfig_nowarn = DISABLED
Thu Mar  3 18:46:44 2005 us=783664   shaper = 0
Thu Mar  3 18:46:44 2005 us=783713   tun_mtu = 1500
Thu Mar  3 18:46:44 2005 us=783753   tun_mtu_defined = ENABLED
Thu Mar  3 18:46:44 2005 us=783790   link_mtu = 1500
Thu Mar  3 18:46:44 2005 us=783867   link_mtu_defined = DISABLED
Thu Mar  3 18:46:44 2005 us=783920   tun_mtu_extra = 32
Thu Mar  3 18:46:44 2005 us=783956   tun_mtu_extra_defined = ENABLED
Thu Mar  3 18:46:44 2005 us=783992   fragment = 0
Thu Mar  3 18:46:44 2005 us=784028   mtu_discover_type = -1
Thu Mar  3 18:46:44 2005 us=784062   mtu_test = 0
Thu Mar  3 18:46:44 2005 us=784096   mlock = DISABLED
Thu Mar  3 18:46:44 2005 us=784131   keepalive_ping = 0
Thu Mar  3 18:46:44 2005 us=784169   keepalive_timeout = 0
Thu Mar  3 18:46:44 2005 us=784203   inactivity_timeout = 0
Thu Mar  3 18:46:44 2005 us=784237   ping_send_timeout = 0
Thu Mar  3 18:46:44 2005 us=784271   ping_rec_timeout = 120
Thu Mar  3 18:46:44 2005 us=784304   ping_rec_timeout_action = 2
Thu Mar  3 18:46:44 2005 us=784337   ping_timer_remote = DISABLED
Thu Mar  3 18:46:44 2005 us=784372   remap_sigusr1 = 0
Thu Mar  3 18:46:44 2005 us=784406   explicit_exit_notification = 0
Thu Mar  3 18:46:44 2005 us=784440   persist_tun = DISABLED
Thu Mar  3 18:46:44 2005 us=784473   persist_local_ip = DISABLED
Thu Mar  3 18:46:44 2005 us=784506   persist_remote_ip = DISABLED
Thu Mar  3 18:46:44 2005 us=784542   persist_key = ENABLED
Thu Mar  3 18:46:44 2005 us=784577   mssfix = 1450
Thu Mar  3 18:46:44 2005 us=784611   passtos = DISABLED
Thu Mar  3 18:46:44 2005 us=784648   resolve_retry_seconds = 1000000000
Thu Mar  3 18:46:44 2005 us=784703   connect_retry_seconds = 5
Thu Mar  3 18:46:44 2005 us=784741   username = 'nobody'
Thu Mar  3 18:46:44 2005 us=784777   groupname = 'nobody'
Thu Mar  3 18:46:44 2005 us=784812   chroot_dir = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=784845   cd_dir = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=784878   writepid = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=784912   up_script = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=784946   down_script = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=784980   down_pre = DISABLED
Thu Mar  3 18:46:44 2005 us=785015   up_restart = DISABLED
Thu Mar  3 18:46:44 2005 us=785049   up_delay = DISABLED
Thu Mar  3 18:46:44 2005 us=785081   daemon = DISABLED
Thu Mar  3 18:46:44 2005 us=785115   inetd = 0
Thu Mar  3 18:46:44 2005 us=785148   log = ENABLED
Thu Mar  3 18:46:44 2005 us=785184   suppress_timestamps = DISABLED
Thu Mar  3 18:46:44 2005 us=785259   nice = 0
Thu Mar  3 18:46:44 2005 us=785300   verbosity = 4
Thu Mar  3 18:46:44 2005 us=785337   mute = 0
Thu Mar  3 18:46:44 2005 us=785371   gremlin = 0
Thu Mar  3 18:46:44 2005 us=785403   status_file = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=785437   status_file_version = 1
Thu Mar  3 18:46:44 2005 us=785471   status_file_update_freq = 60
Thu Mar  3 18:46:44 2005 us=785507   occ = ENABLED
Thu Mar  3 18:46:44 2005 us=785541   rcvbuf = 65536
Thu Mar  3 18:46:44 2005 us=785576   sndbuf = 65536
Thu Mar  3 18:46:44 2005 us=785615   socks_proxy_server = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=785654   socks_proxy_port = 0
Thu Mar  3 18:46:44 2005 us=785709   socks_proxy_retry = DISABLED
Thu Mar  3 18:46:44 2005 us=785749   fast_io = DISABLED
Thu Mar  3 18:46:44 2005 us=785785   comp_lzo = ENABLED
Thu Mar  3 18:46:44 2005 us=785820   comp_lzo_adaptive = ENABLED
Thu Mar  3 18:46:44 2005 us=785856   route_script = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=785889   route_default_gateway = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=785926   route_noexec = DISABLED
Thu Mar  3 18:46:44 2005 us=785961   route_delay = 0
Thu Mar  3 18:46:44 2005 us=785995   route_delay_window = 30
Thu Mar  3 18:46:44 2005 us=786028   route_delay_defined = DISABLED
Thu Mar  3 18:46:44 2005 us=786065   route 200.200.199.0/255.255.0.0/nil/nil
Thu Mar  3 18:46:44 2005 us=786103   management_addr = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=786138   management_port = 0
Thu Mar  3 18:46:44 2005 us=786171   management_user_pass = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=786207   management_log_history_cache = 250
Thu Mar  3 18:46:44 2005 us=786242   management_echo_buffer_size = 100
Thu Mar  3 18:46:44 2005 us=786277   management_query_passwords = DISABLED
Thu Mar  3 18:46:44 2005 us=786313   management_hold = DISABLED
Thu Mar  3 18:46:44 2005 us=786350   shared_secret_file = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=786387   key_direction = 2
Thu Mar  3 18:46:44 2005 us=786423   ciphername_defined = ENABLED
Thu Mar  3 18:46:44 2005 us=786458   ciphername = 'BF-CBC'
Thu Mar  3 18:46:44 2005 us=786494   authname_defined = ENABLED
Thu Mar  3 18:46:44 2005 us=786531   authname = 'SHA1'
Thu Mar  3 18:46:44 2005 us=786566   keysize = 0
Thu Mar  3 18:46:44 2005 us=786600   engine = DISABLED
Thu Mar  3 18:46:44 2005 us=786635   replay = ENABLED
Thu Mar  3 18:46:44 2005 us=786670   mute_replay_warnings = DISABLED
Thu Mar  3 18:46:44 2005 us=786730   replay_window = 64
Thu Mar  3 18:46:44 2005 us=786771   replay_time = 15
Thu Mar  3 18:46:44 2005 us=786810   packet_id_file = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=786847   use_iv = ENABLED
Thu Mar  3 18:46:44 2005 us=786882   test_crypto = DISABLED
Thu Mar  3 18:46:44 2005 us=786917   tls_server = DISABLED
Thu Mar  3 18:46:44 2005 us=786952   tls_client = ENABLED
Thu Mar  3 18:46:44 2005 us=786989   key_method = 2
Thu Mar  3 18:46:44 2005 us=787023   ca_file = 'ca.crt'
Thu Mar  3 18:46:44 2005 us=787055   dh_file = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=787089   cert_file = 'elm.crt'
Thu Mar  3 18:46:44 2005 us=787122   priv_key_file = 'elm.key'
Thu Mar  3 18:46:44 2005 us=787156   pkcs12_file = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=787192   cipher_list = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=787227   tls_verify = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=787261   tls_remote = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=787295   crl_file = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=787330   ns_cert_type = 64
Thu Mar  3 18:46:44 2005 us=787363   tls_timeout = 2
Thu Mar  3 18:46:44 2005 us=787398   renegotiate_bytes = 0
Thu Mar  3 18:46:44 2005 us=787432   renegotiate_packets = 0
Thu Mar  3 18:46:44 2005 us=787470   renegotiate_seconds = 3600
Thu Mar  3 18:46:44 2005 us=787507   handshake_window = 60
Thu Mar  3 18:46:44 2005 us=787543   transition_window = 3600
Thu Mar  3 18:46:44 2005 us=787578   single_session = DISABLED
Thu Mar  3 18:46:44 2005 us=787613   tls_exit = DISABLED
Thu Mar  3 18:46:44 2005 us=787650   tls_auth_file = 'ta.key'
Thu Mar  3 18:46:44 2005 us=787742   server_network = 0.0.0.0
Thu Mar  3 18:46:44 2005 us=787834   server_netmask = 0.0.0.0
Thu Mar  3 18:46:44 2005 us=787881   server_bridge_ip = 0.0.0.0
Thu Mar  3 18:46:44 2005 us=787923   server_bridge_netmask = 0.0.0.0
Thu Mar  3 18:46:44 2005 us=787962   server_bridge_pool_start = 0.0.0.0
Thu Mar  3 18:46:44 2005 us=788004   server_bridge_pool_end = 0.0.0.0
Thu Mar  3 18:46:44 2005 us=788040   ifconfig_pool_defined = DISABLED
Thu Mar  3 18:46:44 2005 us=788079   ifconfig_pool_start = 0.0.0.0
Thu Mar  3 18:46:44 2005 us=788117   ifconfig_pool_end = 0.0.0.0
Thu Mar  3 18:46:44 2005 us=788155   ifconfig_pool_netmask = 0.0.0.0
Thu Mar  3 18:46:44 2005 us=788190   ifconfig_pool_persist_filename = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=788226   ifconfig_pool_persist_refresh_freq = 600
Thu Mar  3 18:46:44 2005 us=788261   ifconfig_pool_linear = DISABLED
Thu Mar  3 18:46:44 2005 us=788297   n_bcast_buf = 256
Thu Mar  3 18:46:44 2005 us=788330   tcp_queue_limit = 64
Thu Mar  3 18:46:44 2005 us=788366   real_hash_size = 256
Thu Mar  3 18:46:44 2005 us=788402   virtual_hash_size = 256
Thu Mar  3 18:46:44 2005 us=788437   client_connect_script = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=788473   learn_address_script = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=788508   client_disconnect_script = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=788545   client_config_dir = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=788586   ccd_exclusive = DISABLED
Thu Mar  3 18:46:44 2005 us=788625   tmp_dir = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=788660   push_ifconfig_defined = DISABLED
Thu Mar  3 18:46:44 2005 us=788718   push_ifconfig_local = 0.0.0.0
Thu Mar  3 18:46:44 2005 us=788762   push_ifconfig_remote_netmask = 0.0.0.0
Thu Mar  3 18:46:44 2005 us=788802   enable_c2c = DISABLED
Thu Mar  3 18:46:44 2005 us=788837   duplicate_cn = DISABLED
Thu Mar  3 18:46:44 2005 us=788872   cf_max = 0
Thu Mar  3 18:46:44 2005 us=788905   cf_per = 0
Thu Mar  3 18:46:44 2005 us=788937   max_clients = 1024
Thu Mar  3 18:46:44 2005 us=788969   client_cert_not_required = DISABLED
Thu Mar  3 18:46:44 2005 us=789013   username_as_common_name = DISABLED
Thu Mar  3 18:46:44 2005 us=789056   auth_user_pass_verify_script = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=789091   auth_user_pass_verify_script_via_file = DISABLED
Thu Mar  3 18:46:44 2005 us=789125   client = ENABLED
Thu Mar  3 18:46:44 2005 us=789158   pull = ENABLED
Thu Mar  3 18:46:44 2005 us=789191   auth_user_pass_file = '[UNDEF]'
Thu Mar  3 18:46:44 2005 us=789234 OpenVPN 2.0_rc16 i686-pc-linux [SSL] [LZO] [EPOLL] built on Mar  3 2005
Thu Mar  3 18:46:44 2005 us=789386 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  O
penVPN 2.0-beta16 and earlier used 5000 as the default port.
Thu Mar  3 18:46:44 2005 us=789433 WARNING: you are using user/group/chroot without persist-key/persist-tun -- this may cause restarts to fail
Thu Mar  3 18:46:44 2005 us=792374 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Thu Mar  3 18:46:44 2005 us=792479 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Mar  3 18:46:44 2005 us=792536 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Mar  3 18:46:44 2005 us=792657 LZO compression initialized
Thu Mar  3 18:46:44 2005 us=793050 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Mar  3 18:46:44 2005 us=793251 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:23 ET:32 EL:0 AF:3/1 ]
Thu Mar  3 18:46:44 2005 us=793357 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 1,cipher BF-CBC
,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Thu Mar  3 18:46:44 2005 us=793398 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 0,cip
her BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Thu Mar  3 18:46:44 2005 us=793493 Local Options hash (VER=V4): '13a273ba'
Thu Mar  3 18:46:44 2005 us=793558 Expected Remote Options hash (VER=V4): '360696c5'
Thu Mar  3 18:46:44 2005 us=794819 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Thu Mar  3 18:46:44 2005 us=794936 Socket Buffers: R=[110592->;131072] S=[110592->;131072]
Thu Mar  3 18:46:44 2005 us=795017 UDPv4 link local: [undef]
Thu Mar  3 18:46:44 2005 us=795065 UDPv4 link remote: 192.168.1.72:1194
Thu Mar  3 18:46:44 2005 us=810246 TLS: Initial packet from 192.168.1.72:1194, sid=1de7ebdf dc3c0174
Thu Mar  3 18:46:44 2005 us=865823 VERIFY OK: depth=1, /C=CN/ST=Liaoning/L=Shenyang/O=ELM_OpenVPN_ORG/CN=ROOT_CA/emailAddress=chenqs@clo.com.cn
Thu Mar  3 18:46:44 2005 us=866523 VERIFY OK: nsCertType=SERVER
Thu Mar  3 18:46:44 2005 us=866587 VERIFY OK: depth=0, /C=CN/ST=Liaoning/O=ELM_OpenVPN_ORG/CN=Server/emailAddress=chenqs@clo.com.cn
Thu Mar  3 18:46:44 2005 us=988885 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Mar  3 18:46:44 2005 us=988975 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Mar  3 18:46:44 2005 us=989102 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Mar  3 18:46:44 2005 us=989152 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Mar  3 18:46:44 2005 us=989373 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Mar  3 18:46:44 2005 us=989480 [Server] Peer Connection Initiated with 192.168.1.72:1194
Thu Mar  3 18:46:46 2005 us=48628 SENT CONTROL [Server]: 'PUSH_REQUEST' (status=1)
Thu Mar  3 18:46:46 2005 us=50063 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway,route-gateway 10.8.0.1,ping 10,ping-restart 120,i
fconfig 10.8.0.2 255.255.255.0'
Thu Mar  3 18:46:46 2005 us=50205 OPTIONS IMPORT: timers and/or timeouts modified
Thu Mar  3 18:46:46 2005 us=50251 OPTIONS IMPORT: --ifconfig/up options modified
Thu Mar  3 18:46:46 2005 us=50285 OPTIONS IMPORT: route options modified
Thu Mar  3 18:46:46 2005 us=54587 TUN/TAP device tap1 opened
Thu Mar  3 18:46:46 2005 us=54724 TUN/TAP TX queue length set to 100
Thu Mar  3 18:46:46 2005 us=54819 /sbin/ifconfig tap1 10.8.0.2 netmask 255.255.255.0 mtu 1500 broadcast 10.8.0.255
Thu Mar  3 18:46:46 2005 us=61089 /sbin/route add -net 192.168.1.72 netmask 255.255.255.255 gw 192.168.1.1
Thu Mar  3 18:46:46 2005 us=110708 /sbin/route del -net 0.0.0.0 netmask 0.0.0.0
Thu Mar  3 18:46:46 2005 us=115697 /sbin/route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.8.0.1
Thu Mar  3 18:46:46 2005 us=121058 /sbin/route add -net 200.200.199.0 netmask 255.255.0.0 gw 10.8.0.1
route: netmask doesn't match route address
Usage: route [-nNvee] [-FC] [<AF>;]           List kernel routing tables
       route [-v] [-FC] {add|del|flush} ...  Modify routing table for AF.

       route {-h|--help} [<AF>;]              Detailed usage syntax for specified AF.
       route {-V|--version}                  Display version/author and exit.

        -v, --verbose            be verbose
        -n, --numeric            don't resolve names
        -e, --extend             display other/more information
        -F, --fib                display Forwarding Information Base (default)
        -C, --cache              display routing cache instead of FIB

  <AF>;=Use '-A <af>;' or '--<af>;'; default: inet
  List of possible address families (which support routing):
    inet (DARPA Internet) inet6 (IPv6) ax25 (AMPR AX.25)
    netrom (AMPR NET/ROM) ipx (Novell IPX) ddp (Appletalk DDP)
    x25 (CCITT X.25)
Thu Mar  3 18:46:46 2005 us=126109 ERROR: Linux route add command failed: shell command exited with error status: 4
Thu Mar  3 18:46:46 2005 us=126239 GID set to nobody
Thu Mar  3 18:46:46 2005 us=126318 UID set to nobody
Thu Mar  3 18:46:46 2005 us=126362 Initialization Sequence Completed

 wheel 回复于:2005-03-03 19:14:50

客户端的 /var/log/messages文件

Mar  3 19:12:23 localhost openvpn[29339]:   client = ENABLED
Mar  3 19:12:23 localhost openvpn[29339]:   pull = ENABLED
Mar  3 19:12:23 localhost openvpn[29339]:   auth_user_pass_file = '[UNDEF]'
Mar  3 19:12:23 localhost openvpn[29339]: OpenVPN 2.0_rc16 i686-pc-linux [SSL] [LZO] [EPOLL] built on Mar  3 2005
Mar  3 19:12:23 localhost openvpn[29339]: IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Mar  3 19:12:23 localhost openvpn[29339]: WARNING: file 'elm.key' is group or others accessible
Mar  3 19:12:23 localhost openvpn[29339]: WARNING: file 'ta.key' is group or others accessible
Mar  3 19:12:23 localhost openvpn[29339]: Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Mar  3 19:12:23 localhost openvpn[29339]: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mar  3 19:12:23 localhost openvpn[29339]: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mar  3 19:12:23 localhost openvpn[29339]: LZO compression initialized
Mar  3 19:12:23 localhost openvpn[29339]: Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Mar  3 19:12:23 localhost openvpn[29339]: Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:23 ET:32 EL:0 AF:3/1 ]
Mar  3 19:12:23 localhost openvpn[29339]: Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 1,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Mar  3 19:12:23 localhost openvpn[29339]: Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 0,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Mar  3 19:12:23 localhost openvpn[29339]: Local Options hash (VER=V4): '13a273ba'
Mar  3 19:12:23 localhost openvpn[29339]: Expected Remote Options hash (VER=V4): '360696c5'
Mar  3 19:12:23 localhost openvpn:  succeeded
Mar  3 19:12:23 localhost openvpn[29340]: Socket Buffers: R=[110592->;131072] S=[110592->;131072]
Mar  3 19:12:23 localhost openvpn[29340]: UDPv4 link local: [undef]
Mar  3 19:12:23 localhost openvpn[29340]: UDPv4 link remote: 192.168.1.72:1194
Mar  3 19:12:23 localhost openvpn[29340]: TLS Error: Unroutable control packet received from 192.168.1.72:1194 (si=3 op=P_ACK_V1)
Mar  3 19:12:24 localhost openvpn[29340]: TLS Error: Unroutable control packet received from 192.168.1.72:1194 (si=3 op=P_CONTROL_V1)
Mar  3 19:12:24 localhost last message repeated 7 times
Mar  3 19:12:25 localhost openvpn[29340]: TLS Error: Unroutable control packet received from 192.168.1.72:1194 (si=3 op=P_ACK_V1)
Mar  3 19:12:27 localhost openvpn[29340]: TLS Error: Unroutable control packet received from 192.168.1.72:1194 (si=3 op=P_CONTROL_V1)
Mar  3 19:12:27 localhost last message repeated 7 times
Mar  3 19:12:27 localhost openvpn[29340]: TLS Error: Unroutable control packet received from 192.168.1.72:1194 (si=3 op=P_ACK_V1)
Mar  3 19:12:28 localhost openvpn[29340]: TLS Error: Unroutable control packet received from 192.168.1.72:1194 (si=3 op=P_CONTROL_V1)
Mar  3 19:12:28 localhost last message repeated 7 times
Mar  3 19:12:29 localhost openvpn[29340]: TLS Error: Unroutable control packet received from 192.168.1.72:1194 (si=3 op=P_ACK_V1)
Mar  3 19:12:30 localhost openvpn[29340]: TLS Error: Unroutable control packet received from 192.168.1.72:1194 (si=3 op=P_CONTROL_V1)
Mar  3 19:12:30 localhost last message repeated 7 times
Mar  3 19:12:31 localhost openvpn[29340]: event_wait : Interrupted system call (code=4)
Mar  3 19:12:31 localhost openvpn[29340]: OpenVPN STATISTICS
Mar  3 19:12:31 localhost openvpn[29340]: Updated,Thu Mar  3 19:12:31 2005
Mar  3 19:12:31 localhost openvpn[29340]: TUN/TAP read bytes,0
Mar  3 19:12:31 localhost openvpn[29340]: TUN/TAP write bytes,0
Mar  3 19:12:31 localhost openvpn[29340]: TCP/UDP read bytes,4744
Mar  3 19:12:31 localhost openvpn[29340]: TCP/UDP write bytes,168
Mar  3 19:12:31 localhost openvpn[29340]: Auth read bytes,0
Mar  3 19:12:31 localhost openvpn[29340]: pre-compress bytes,0
Mar  3 19:12:31 localhost openvpn[29340]: post-compress bytes,0
Mar  3 19:12:31 localhost openvpn[29340]: pre-decompress bytes,0
Mar  3 19:12:31 localhost openvpn[29340]: post-decompress bytes,0
Mar  3 19:12:31 localhost openvpn[29340]: END
Mar  3 19:12:31 localhost openvpn[29340]: TLS Error: Unroutable control packet received from 192.168.1.72:1194 (si=3 op=P_ACK_V1)
Mar  3 19:12:32 localhost openvpn[29340]: TLS Error: Unroutable control packet received from 192.168.1.72:1194 (si=3 op=P_CONTROL_V1)
Mar  3 19:12:32 localhost last message repeated 7 times
Mar  3 19:12:33 localhost openvpn[29340]: TLS Error: Unroutable control packet received from 192.168.1.72:1194 (si=3 op=P_ACK_V1)
Mar  3 19:12:34 localhost openvpn[29340]: TLS Error: Unroutable control packet received from 192.168.1.72:1194 (si=3 op=P_CONTROL_V1)
Mar  3 19:12:34 localhost last message repeated 7 times
Mar  3 19:12:35 localhost openvpn[29340]: TLS Error: Unroutable control packet received from 192.168.1.72:1194 (si=3 op=P_ACK_V1)

 wheel 回复于:2005-03-03 19:24:01

Mar  3 19:12:31 localhost openvpn[29340]: TLS Error: Unroutable control packet received from 192.168.1.72:1194 (si=3 op=P_ACK_V1)
Mar  3 19:12:32 localhost openvpn[29340]: TLS Error: Unroutable control packet received from 192.168.1.72:1194 (si=3 op=P_CONTROL_V1)
Mar  3 19:12:32 localhost last message repeated 7 times
Mar  3 19:12:33 localhost openvpn[29340]: TLS Error: Unroutable control packet received from 192.168.1.72:1194 (si=3 op=P_ACK_V1)
Mar  3 19:12:34 localhost openvpn[29340]: TLS Error: Unroutable control packet received from 192.168.1.72:1194 (si=3 op=P_CONTROL_V1)
Mar  3 19:12:34 localhost last message repeated 7 times
Mar  3 19:12:35 localhost openvpn[29340]: TLS Error: Unroutable control packet received from 192.168.1.72:1194 (si=3 op=P_ACK_V1)

是那的问题阿?

 wheel 回复于:2005-03-03 19:29:21

服务端应该没问题把,,如果是我就把客户端格了作过了
cat /etc/openvpn/server.conf
local 192.168.1.72
port 1194
;proto tcp
proto udp
dev tap
;dev tun
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
crl-verify vpncrl.pem
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
;route 10.9.0.0 255.255.255.252
;learn-address ./script
push "redirect-gateway"
;push "dhcp-option DNS 10.8.0.1"
;push "dhcp-option WINS 10.8.0.1"
client-to-client
;duplicate-cn
keepalive 10 120
tls-auth ta.key 0 # This file is secret
comp-lzo
;max-clients 100
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
;log-append openvpn.log
verb 4

 wenzk 回复于:2005-03-03 19:29:54

引用:原帖由 "wheel" 发表:
TLS Error: Unroutable control packet received from 192.168.1.72:1194 (si=3 op=P_ACK_V1)

是那的问题阿?


这个问题重来都没有遇到过,需要发现原因,多试几次其他机器就知道了

 wenzk 回复于:2005-03-03 19:40:47

引用:原帖由 "wheel" 发表:
服务端应该没问题把,,如果是我就把客户端格了作过了
cat /etc/openvpn/server.conf
local 192.168.1.72
port 1194
;proto tcp
proto udp
dev tap
;dev tun
ca ca.crt
cert server.crt
key server.key # ..........


服务器没有问题,刚才在rddesktop的时候断了,速度有点慢,连上后就好多了:)

 wheel 回复于:2005-03-03 19:45:40

Mar  3 19:42:36 localhost openvpn[29409]: TLS: Initial packet from 192.168.1.72:1194, sid=a4c56f25 278c7eaa
Mar  3 19:42:36 localhost openvpn[29409]: VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=CN/ST=Liaoning/L=Shenyang/O=ELM_OpenVPN_ORG/CN=ROOT_CA/emailAddress=chenqs@clo.com.cn
Mar  3 19:42:36 localhost openvpn[29409]: TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Mar  3 19:42:36 localhost openvpn[29409]: TLS Error: TLS object ->; incoming plaintext read error
Mar  3 19:42:36 localhost openvpn[29409]: TLS Error: TLS handshake failed
Mar  3 19:42:37 localhost openvpn[29409]: Fatal TLS error (check_tls_errors_co), restarting
Mar  3 19:42:37 localhost openvpn[29409]: TCP/UDP: Closing socket
Mar  3 19:42:37 localhost openvpn[29409]: SIGUSR1[soft,tls-error] received, process restarting
Mar  3 19:42:37 localhost openvpn[29409]: Restart pause, 5 second(s)

 wheel 回复于:2005-03-03 20:04:35

windows下客户端也报错阿
Thu Mar 03 23:59:55 2005 us=923806 LZO compression initialized
Thu Mar 03 23:59:55 2005 us=924006 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Mar 03 23:59:55 2005 us=925556 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:23 ET:32 EL:0 AF:3/1 ]
Thu Mar 03 23:59:55 2005 us=925630 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 1,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Thu Mar 03 23:59:55 2005 us=925652 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 0,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Thu Mar 03 23:59:55 2005 us=925693 Local Options hash (VER=V4): '13a273ba'
Thu Mar 03 23:59:55 2005 us=925721 Expected Remote Options hash (VER=V4): '360696c5'
Thu Mar 03 23:59:55 2005 us=925767 Socket Buffers: R=[8192->;8192] S=[8192->;8192]
Thu Mar 03 23:59:55 2005 us=925797 UDPv4 link local: [undef]
Thu Mar 03 23:59:55 2005 us=925815 UDPv4 link remote: 192.168.1.72:1194
Thu Mar 03 23:59:55 2005 us=931433 TLS: Initial packet from 192.168.1.72:1194, sid=75c4433d 186e72f7
Thu Mar 03 23:59:56 2005 us=21579 VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=CN/ST=Liaoning/L=Shenyang/O=ELM_OpenVPN_ORG/CN=ROOT_CA/emailAddress=chenqs@clo.com.cn
Thu Mar 03 23:59:56 2005 us=21756 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu Mar 03 23:59:56 2005 us=21777 TLS Error: TLS object ->; incoming plaintext read error
Thu Mar 03 23:59:56 2005 us=21792 TLS Error: TLS handshake failed
Thu Mar 03 23:59:56 2005 us=21968 TCP/UDP: Closing socket
Thu Mar 03 23:59:56 2005 us=22092 SIGUSR1[soft,tls-error] received, process restarting
Thu Mar 03 23:59:56 2005 us=22110 Restart pause, 2 second(s)
Thu Mar 03 23:59:58 2005 us=10401 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Thu Mar 03 23:59:58 2005 us=10477 Re-using SSL/TLS context
Thu Mar 03 23:59:58 2005 us=10551 LZO compression initialized
Thu Mar 03 23:59:58 2005 us=10652 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Mar 03 23:59:58 2005 us=10984 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:23 ET:32 EL:0 AF:3/1 ]
Thu Mar 03 23:59:58 2005 us=11080 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 1,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Thu Mar 03 23:59:58 2005 us=11103 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 0,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Thu Mar 03 23:59:58 2005 us=11139 Local Options hash (VER=V4): '13a273ba'
Thu Mar 03 23:59:58 2005 us=11167 Expected Remote Options hash (VER=V4): '360696c5'
Thu Mar 03 23:59:58 2005 us=11242 Socket Buffers: R=[8192->;8192] S=[8192->;8192]
Thu Mar 03 23:59:58 2005 us=11265 UDPv4 link local: [undef]
Thu Mar 03 23:59:58 2005 us=11284 UDPv4 link remote: 192.168.1.72:1194
Thu Mar 03 23:59:58 2005 us=11560 TCP/UDP: Closing socket
Thu Mar 03 23:59:58 2005 us=11640 SIGTERM[hard,] received, process exiting

 wenzk 回复于:2005-03-03 20:46:45

引用:原帖由 "wheel"]eceived, process exiting
 发表:


经检查确认,是你现在那台server 1.72生成的证书和签发的证书有点问题,传到别的机器上用openssl verify -CAfile ca.crt elm.crt出错

换其他机器生成证书就OK了:)

good,luck

由于你在server的配置文件上写了
push "redirect-gateway"
所以连接上后把你原有的网关都给删除了

现在那两台机器已经无法访问了

 wangli2000_cn 回复于:2005-03-04 00:39:05

求助.
[root@wl2004 openvpn]# /etc/init.d/openvpn start
Starting openvpn:                                          [失败]
less /var/log/openvpn.log
options error: --server directive network/netmask combination is invalid
Use --help for more information.

 wangli2000_cn 回复于:2005-03-04 00:43:50

我知道了是server.conf中的server 192.100.0.0 255.255.0.0的问题.

 wenzk 回复于:2005-03-04 08:10:47

大家使用的时候最好把所有的中外注释都给去掉,否则怕有问题

 wheel 回复于:2005-03-04 09:22:10

我的server是192.168.1.72
好了。。。/etc/openvpn/server.conf
;local 192.168.1.72
port 1194
;proto tcp
proto udp
dev tap
;dev tun
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
;crl-verify vpncrl.pem
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
;route 10.9.0.0 255.255.255.252
;learn-address ./script
;push "dhcp-option DNS 10.8.0.1"
;push "dhcp-option WINS 10.8.0.1"
client-to-client
;duplicate-cn
keepalive 10 120
tls-auth ta.key 0 # This file is secret
comp-lzo
;max-clients 100
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
;log-append openvpn.log
verb 4
cat /etc/openvpn/client.conf
client
dev tap
;dev tun
;dev-node MyTap
;proto tcp
proto udp
remote 192.168.1.72 1194
;remote my-server-2 1194
;remote-random
;resolv-retry infinite
nobind
;user nobody
;group nobody
#route 200.200.199.0 255.255.0.0
persist-key
persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;mute-replay-warnings
ca ca.crt
cert elm.crt
key elm.key
ns-cert-type server
tls-auth ta.key 1
comp-lzo
#log /var/log/openvpn.log
verb 4

 feng0909 回复于:2005-03-10 11:41:19

用#做的注释是蓝色的,可是用;做的注释跟代码是一样的呀。

 wenzk 回复于:2005-03-10 11:48:11

引用:原帖由 "feng0909"]用#做的注释是蓝色的,可是用;做的注释跟代码是一样的呀。
 发表:


这是vim的设置问题

在openvpn的配置里头习惯把解释部分用#注释
命令,暂时不用的用;注释

 gouya 回复于:2005-03-10 13:59:51

楼主你好............本人完全按照你的方法配置的OPENVPN,配置软件如下:
服务器为RH9.0:有公网IP,配置文件如下:
[root@localhost openvpn]# cat server.conf
port 1194
;proto tcp
proto udp
dev tap
;dev tun
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
crl-verify vpncrl.pem
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;push "dhcp-option DNS 10.8.0.1"
;push "dhcp-option WINS 10.8.0.1"
client-to-client
;duplicate-cn
keepalive 10 120
tls-auth ta.key 0 # This file is secret
comp-lzo
;max-clients 100
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
;log-append openvpn.log
verb 3
服务器端日志:

Thu Mar 10 13:47:04 2005 218.27.63.205:1169 Re-using SSL/TLS context
Thu Mar 10 13:47:04 2005 218.27.63.205:1169 LZO compression initialized
Thu Mar 10 13:47:04 2005 218.27.63.205:1169 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 E
T:0 EL:0 ]
Thu Mar 10 13:47:04 2005 218.27.63.205:1169 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:23 ET
:32 EL:0 AF:3/1 ]
Thu Mar 10 13:47:04 2005 218.27.63.205:1169 Local Options hash (VER=V4): '360696c5'
Thu Mar 10 13:47:04 2005 218.27.63.205:1169 Expected Remote Options hash (VER=V4): '13a273ba'
Thu Mar 10 13:47:04 2005 218.27.63.205:1169 TLS: Initial packet from 218.27.63.205:1169, sid=cfa7
38fb 79a0836f
Thu Mar 10 13:47:04 2005 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Mar 10 13:47:04 2005 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Mar 10 13:47:04 2005 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Mar 10 13:47:05 2005 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Mar 10 13:47:05 2005 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Mar 10 13:47:05 2005 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Thu Mar 10 13:47:05 2005 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)

客户端配置文件:

client 
dev tap 
;dev tun 

# Windows needs the TAP-Win32 adapter name 
# from the Network Connections panel 
# if you have more than one. On XP SP2, 
# you may need to disable the firewall 
# for the TAP adapter. 
;dev-node MyTap 

;proto tcp 
proto udp 

remote 210.83.50.247 1194 
;remote my-server-2 1194 

;remote-random 

resolv-retry infinite 

nobind 

route 192.168.0.0 255.255.252.0 

persist-key 
persist-tun 

;http-proxy-retry # retry on connection failures 
;http-proxy [proxy server] [proxy port #] 

ca ca.crt 
cert elm.crt 
key elm.key 

ns-cert-type server 

tls-auth ta.key 1 

comp-lzo 
log openvpn.log
# Set log file verbosity. 
verb 4 
客户端日志文件:

Thu Mar 10 13:44:48 2005 us=536362 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Mar 10 13:44:48 2005 us=538386 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:23 ET:32 EL:0 AF:3/1 ]
Thu Mar 10 13:44:48 2005 us=538460 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 1,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Thu Mar 10 13:44:48 2005 us=538477 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 0,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Thu Mar 10 13:44:48 2005 us=538510 Local Options hash (VER=V4): '13a273ba'
Thu Mar 10 13:44:48 2005 us=538533 Expected Remote Options hash (VER=V4): '360696c5'
Thu Mar 10 13:44:48 2005 us=538586 Socket Buffers: R=[8192->;8192] S=[8192->;8192]
Thu Mar 10 13:44:48 2005 us=538614 UDPv4 link local: [undef]
Thu Mar 10 13:44:48 2005 us=538630 UDPv4 link remote: 210.83.50.247:1194
Thu Mar 10 13:44:48 2005 us=600776 TLS: Initial packet from 210.83.50.247:1194, sid=90fa608e bed6c988
Thu Mar 10 13:44:48 2005 us=811971 VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=CN/ST=Liaoning/L=Shenyang/O=ELM_OpenVPN_ORG/OU=OpenVPN_Service/CN=OpenVPN_Root_CA/emailAddress=elm@elm.freetcp.com
Thu Mar 10 13:44:48 2005 us=812163 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu Mar 10 13:44:48 2005 us=812186 TLS Error: TLS object ->; incoming plaintext read error
Thu Mar 10 13:44:48 2005 us=812197 TLS Error: TLS handshake failed
Thu Mar 10 13:44:48 2005 us=812366 TCP/UDP: Closing socket
Thu Mar 10 13:44:48 2005 us=812464 SIGUSR1[soft,tls-error] received, process restarting
Thu Mar 10 13:44:48 2005 us=812482 Restart pause, 2 second(s)
Thu Mar 10 13:44:50 2005 us=811752 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Thu Mar 10 13:44:50 2005 us=811808 Re-using SSL/TLS context
Thu Mar 10 13:44:50 2005 us=811851 LZO compression initialized
Thu Mar 10 13:44:50 2005 us=811951 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Mar 10 13:44:50 2005 us=812083 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:23 ET:32 EL:0 AF:3/1 ]
Thu Mar 10 13:44:50 2005 us=812133 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 1,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Thu Mar 10 13:44:50 2005 us=812148 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 0,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Thu Mar 10 13:44:50 2005 us=812176 Local Options hash (VER=V4): '13a273ba'
Thu Mar 10 13:44:50 2005 us=812198 Expected Remote Options hash (VER=V4): '360696c5'
Thu Mar 10 13:44:50 2005 us=812239 Socket Buffers: R=[8192->;8192] S=[8192->;8192]
Thu Mar 10 13:44:50 2005 us=812261 UDPv4 link local: [undef]
Thu Mar 10 13:44:50 2005 us=812275 UDPv4 link remote: 210.83.50.247:1194
Thu Mar 10 13:44:50 2005 us=843070 TLS: Initial packet from 210.83.50.247:1194, sid=bcffe364 4db57cd7
Thu Mar 10 13:44:51 2005 us=50302 VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=CN/ST=Liaoning/L=Shenyang/O=ELM_OpenVPN_ORG/OU=OpenVPN_Service/CN=OpenVPN_Root_CA/emailAddress=elm@elm.freetcp.com
Thu Mar 10 13:44:51 2005 us=50485 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu Mar 10 13:44:51 2005 us=50507 TLS Error: TLS object ->; incoming plaintext read error
Thu Mar 10 13:44:51 2005 us=50518 TLS Error: TLS handshake failed
Thu Mar 10 13:44:51 2005 us=50702 TCP/UDP: Closing socket
Thu Mar 10 13:44:51 2005 us=50801 SIGUSR1[soft,tls-error] received, process restarting
Thu Mar 10 13:44:51 2005 us=50820 Restart pause, 2 second(s)
Thu Mar 10 13:44:53 2005 us=50170 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Thu Mar 10 13:44:53 2005 us=50226 Re-using SSL/TLS context
Thu Mar 10 13:44:53 2005 us=50265 LZO compression initialized
Thu Mar 10 13:44:53 2005 us=50358 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Mar 10 13:44:53 2005 us=50488 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:23 ET:32 EL:0 AF:3/1 ]
Thu Mar 10 13:44:53 2005 us=50534 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 1,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Thu Mar 10 13:44:53 2005 us=50549 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 0,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Thu Mar 10 13:44:53 2005 us=50577 Local Options hash (VER=V4): '13a273ba'
Thu Mar 10 13:44:53 2005 us=50600 Expected Remote Options hash (VER=V4): '360696c5'
Thu Mar 10 13:44:53 2005 us=50633 Socket Buffers: R=[8192->;8192] S=[8192->;8192]
Thu Mar 10 13:44:53 2005 us=50653 UDPv4 link local: [undef]
Thu Mar 10 13:44:53 2005 us=50666 UDPv4 link remote: 210.83.50.247:1194
Thu Mar 10 13:44:53 2005 us=81506 TLS: Initial packet from 210.83.50.247:1194, sid=9f128875 ed38d642
Thu Mar 10 13:44:53 2005 us=306013 VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=CN/ST=Liaoning/L=Shenyang/O=ELM_OpenVPN_ORG/OU=OpenVPN_Service/CN=OpenVPN_Root_CA/emailAddress=elm@elm.freetcp.com
Thu Mar 10 13:44:53 2005 us=306184 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu Mar 10 13:44:53 2005 us=306205 TLS Error: TLS object ->; incoming plaintext read error
Thu Mar 10 13:44:53 2005 us=306217 TLS Error: TLS handshake failed
Thu Mar 10 13:44:53 2005 us=306389 TCP/UDP: Closing socket
Thu Mar 10 13:44:53 2005 us=306539 SIGUSR1[soft,tls-error] received, process restarting
Thu Mar 10 13:44:53 2005 us=306562 Restart pause, 2 second(s)

证书CA完全按照http://www.linuxaid.com.cn/forum/showdoc.jsp?l=1&i=85071所做,唯一不同的是我用的是RH9.0,而lzo用的是:lzo-1.08-3.1.fc2.dag.i386.rpm,可是出现奇怪问题。

在LAN内有两台XP其中一台能正常连接到服务器,一切工作正常,另一台则连接不成功,出现上面的错误日志。两台客户端的配置文件和CA完全一样.

请斑竹帮忙看看问题出在哪里。

谢谢~~~~~~~~~~~~~~~~

 wenzk 回复于:2005-03-10 18:12:24

请问两台机器是否使用相同的keys?

正常来说是不太可能这样的

 gouya 回复于:2005-03-10 19:09:25

刚开始使用相同的KEYS,后来换做不同的KEYS了也不行........


奇怪的是.....这台机器能上LAN内的一台OPENVPNSERVER(CA.CRT等文件都换为LAN内VPNSERVER的),一点问题也没有,可就是不能上外网的那个。...

郁闷中.......


怎么才能吊销一个KEYS呢?

 wenzk 回复于:2005-03-10 19:51:08

ca.crt在双方的机器上应该是一样的

在keys目录下有01.pem 02.pem ......等等文件,如果哪个证书需要吊销
直接./revoke-crt xx.pem即可,xx是被吊销正的的serial number
然后使用make-crl生成吊销证书的列表

 gouya 回复于:2005-03-11 00:13:21

感谢楼主的支持。。。。。。。。。。

我的问题基本上解决了。。。今天晚上换了个服务器,还是出现问题。

后来有重新安装了以下2000系统。。。。问题仍旧出现,无奈之下换个个硬盘,重新安装2000,结果好用了。。。。。这是又把,原来的硬盘接回来,就是刚才死活连接不上的那个2000系统,结果竟然也可以连上了。。。。我晕死了。。。。。。呵呵~~~~~~~~~~说的都没人相信。可事实就是这样的。

在次请教你个问题:

1、能不能在将客户端去往服务器端的广播包屏蔽掉。
2、能不能对客户端静态的分配IP地址。
3、一个KEYS原则上是不上只能,有一个客户端连接,能不能有多个连接。


谢谢~~~~~~~~~~同志们。

 wenzk 回复于:2005-03-11 00:23:47

1 不知道怎么搞
2 相对固定的,下次重新连接IP也固定了,修改配置文件,客户可以指定IP地址的
3 把duplicate-cn打开就可以了

<