Error failed to apply push options failed to open tun tap interface

Выделенный сервер своими руками

Навигация

Облако тегов

Мои контакты

mail:
admin@dedicatesupport.com

Партнеры

Друзья

Счетчики

Ошибка OpenVPN: Cannot open TUN/TAP dev /dev/net/tun:

Иногда при инсталляции, старте OpenVPN возникает ошибка, которая в /var/log/massages выглядит примерно так:

server openvpn[xxx]: Note: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
server openvpn[xxx]: Cannot allocate TUN/TAP dev dynamically

Чаще всего это означает, что устройства(файла) по указанному пути /dev/net/tun на самом деле нет. Значит создадим его. Иногда нет не только файла /dev/net/tun, но и каталога /dev/net/. Тогда и его нужно будет создать.

mkdir /dev/net
mknod /dev/net/tun c 10 200

Так же на всякий случай не мешает проверить скомпилирован ли модуль tun командой

lsmod | grep tun

и если его нет, попробовать его загрузить с помощью команды

Привет! Помогите ,пожалуйста,

Привет! Помогите ,пожалуйста, я пробовала так как указано выше и мне выжало ошибку:

# mkdir /dev/net
mkdir: cannot create directory ‘/dev/net’: File exists
root@test:

# mknod /dev/net/tun c 10 200
mknod: ‘/dev/net/tun’: File exists
root@test:

# lsmod | grep tun
root@test:

# modprobe tun
modprobe: ERROR: could not insert ‘tun’: Unknown symbol in module, or unknown parameter (see dmesg)

спасибо! Красава.

Выдает

Выдает ошибку.
[root@324b5c39d5 /]# modprobe tun
FATAL: Could not load /lib/modules/2.6.32-042stab090.4/modules.dep: No such file or directory

Спасибо! Помог с виртуальными

Спасибо!
Помог с виртуальными машинами XEN на debian 5

Спасибо, умный

Спасибо, умный человек!
Настраивал OVPN на Android, очень помогло!

Правда нужно было перед каждым подключением набирать это в терминале.
Чтобы упростить жизнь и запускать скрипт одной кнопкой — можно качнуть GScript с Маркета.

Я вставил туда такое:

#!/system/bin/sh
modprobe tun
lsmod | grep tun
exit 0

Может пригодиться кому 😉

Просто спас! Спасибо большое!

Просто спас! Спасибо большое!

а если выдает you must difine

а если выдает you must difine TUN/TAP в логе при старте OpenVPN. Что делать?

Источник

OpenVPN Support Forum

Community Support Forum

Can’t connect with Windows to OVPN server

Can’t connect with Windows to OVPN server

Post by commy » Fri Apr 30, 2021 8:11 pm

I’m trying to connect to an OpenVPN server which is basically my router.
I receive this error:

2021-04-30 14:39:25 OPTIONS IMPORT: timers and/or timeouts modified
2021-04-30 14:39:25 OPTIONS IMPORT: —ifconfig/up options modified
2021-04-30 14:39:25 OPTIONS IMPORT: route options modified
2021-04-30 14:39:25 OPTIONS ERROR: failed to negotiate cipher with server. Configure —data-ciphers-fallback if you want to connect to this server.
2021-04-30 14:39:25 ERROR: Failed to apply push options
2021-04-30 14:39:25 Failed to open tun/tap interface
2021-04-30 14:39:25 SIGUSR1[soft,process-push-msg-failed] received, process restarting
2021-04-30 14:39:25 MANAGEMENT: >STATE:1619786365,RECONNECTING,process-push-msg-failed.
2021-04-30 14:39:25 Restart pause, 5 second(s)

I just searched for the error and found some users saying just add «ncp-disable» in my OpenVPN config on the client. But then I get this error message which I don’t understand:

2021-04-30 14:51:49 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless «allow-compression yes» is also set.
2021-04-30 14:51:49 DEPRECATED OPTION: ncp-disable. Disabling cipher negotiation is a deprecated debug feature that will be removed in OpenVPN 2.6
Options error: —ncp-disable needs an explicit —cipher or —data-ciphers-fallback config option
Use —help for more information.

Please could you help me?
If I have to add something to my config (like ncp disable. ) will this affect the security level?

Here is my current config:

client
dev tun
proto udp
remote ***HOSTNAME*** 1194
resolv-retry infinite
nobind
persist-key
persist-tun
pkcs12 NAS.p12
comp-lzo
verb 3
remote-cert-tls server
ncp-disable

Thanks a lot

Re: Can’t connect with Windows to OVPN server

Post by TinCanTech » Fri Apr 30, 2021 8:29 pm

Re: Can’t connect with Windows to OVPN server

Post by commy » Sat May 01, 2021 7:06 am

Thanks for your quick reply!!

I found this site too but I still don’t get it
Do I have to know the OpenVPN version which uses my router? What should I try to add to the config, something like data-ciphers . ?

Re: Can’t connect with Windows to OVPN server

Post by commy » Sat May 01, 2021 11:15 am

Ok. I just found out that my router Easybox uses OpenVPN 2.3.6 as server.

So I would need to add „—cipher“ to my config?

Re: Can’t connect with Windows to OVPN server

Post by TinCanTech » Sat May 01, 2021 11:51 am

Re: Can’t connect with Windows to OVPN server

Post by commy » Sat May 01, 2021 1:58 pm

Sadly I cant modify such parameters on the server.

Any chance to solve the issue on client side (maybe in the .ovpn file)?
Should I try an older OpenVPN client

Re: Can’t connect with Windows to OVPN server

Post by TinCanTech » Sat May 01, 2021 2:21 pm

Re: Can’t connect with Windows to OVPN server

Post by commy » Sat May 01, 2021 4:09 pm

Re: Can’t connect with Windows to OVPN server

Post by TinCanTech » Sat May 01, 2021 4:12 pm

Try reading the log on your iOS device and also look for the log on your server.

You may need to consult your router manual ..

Re: Can’t connect with Windows to OVPN server

Post by commy » Sat May 01, 2021 6:27 pm

The log on iOS has the information. Thanks for the hint !

cipher: BF-CBC
digest: SHA1
compress: LZO_STUB
peer ID: -1

I removed now the «ncp disable» line from my config and added «cipher BF-CBC».

Aaaaaaaand it works!!

The log just shows some WARNINGS about security. I think the one is about COMPRESSION and the other about SWEET32 attacks.

Any chance to avoid those insecurities?

Sat May 01 20:30:51 2021 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless «allow-compression yes» is also set.
Sat May 01 20:30:51 2021 DEPRECATED OPTION: —cipher set to ‘BF-CBC’ but missing in —data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore —cipher for cipher negotiations. Add ‘BF-CBC’ to —data-ciphers or change —cipher ‘BF-CBC’ to —data-ciphers-fallback ‘BF-CBC’ to silence this warning.
Sat May 01 20:31:00 2021 WARNING: this configuration may cache passwords in memory — use the auth-nocache option to prevent this
Sat May 01 20:31:00 2021 WARNING: INSECURE cipher (BF-CBC) with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a —cipher with a larger block size (e.g. AES-256-CBC). Support for these insecure ciphers will be removed in OpenVPN 2.6.
Sat May 01 20:31:04 2021 WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks.

Re: Can’t connect with Windows to OVPN server

Post by TinCanTech » Sat May 01, 2021 6:55 pm

The log just shows some WARNINGS about security. I think the one is about COMPRESSION and the other about SWEET32 attacks.

Any chance to avoid those insecurities?

Re: Can’t connect with Windows to OVPN server

Post by commy » Sat May 01, 2021 7:04 pm

Ok. I now just changed in the config to this:

Now the WARNINGS disappeared.
I think I should add the cipher AES-256-CBC line to my OVPN config on the iPhone?

The log on Windows just shows this error:
Sat May 01 21:02:45 2021 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless «allow-compression yes» is also set.
Sat May 01 21:02:45 2021 DEPRECATED OPTION: —cipher set to ‘AES-256-CBC’ but missing in —data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore —cipher for cipher negotiations. Add ‘AES-256-CBC’ to —data-ciphers or change —cipher ‘AES-256-CBC’ to —data-ciphers-fallback ‘AES-256-CBC’
Sat May 01 21:02:51 2021 WARNING: this configuration may cache passwords in memory — use the auth-nocache option to prevent this
Sat May 01 21:03:06 2021 Authenticate/Decrypt packet error: cipher final failed
Sat May 01 21:03:17 2021 Authenticate/Decrypt packet error: cipher final failed
Sat May 01 21:03:27 2021 Authenticate/Decrypt packet error: cipher final failed

I think the Compression error will only go away with another server config?
Deprecated Option? Don’t know.
And cipher final failed? Don’t know too.

Re: Can’t connect with Windows to OVPN server

Post by TinCanTech » Sat May 01, 2021 7:14 pm

Re: Can’t connect with Windows to OVPN server

Post by commy » Sat May 01, 2021 7:23 pm

Ok, I think I have to live with this issue because I can’t change the compression

What about the other two errors?
Sat May 01 21:02:45 2021 DEPRECATED OPTION: —cipher set to ‘AES-256-CBC’ but missing in —data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore —cipher for cipher negotiations. Add ‘AES-256-CBC’ to —data-ciphers or change —cipher ‘AES-256-CBC’ to —data-ciphers-fallback ‘AES-256-CBC’
Sat May 01 21:03:06 2021 Authenticate/Decrypt packet error: cipher final failed

You helped me a lot sir, many thanks again! I really appreciate this

Re: Can’t connect with Windows to OVPN server

Post by TinCanTech » Sat May 01, 2021 7:49 pm

Re: Can’t connect with Windows to OVPN server

Post by commy » Sun May 02, 2021 10:23 am

Re: Can’t connect with Windows to OVPN server

Post by TinCanTech » Sun May 02, 2021 4:40 pm

Re: Can’t connect with Windows to OVPN server

Post by ninaaa » Sun May 02, 2021 10:29 pm

Hello,
ask for support, can’t get to my openvpn server (this is physically far away)

Sun May 02 11:34:22 2021 OpenVPN 2.4.7 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 25 2019
Sun May 02 11:34:22 2021 Windows version 6.1 (Windows 7) 64bit
Sun May 02 11:34:22 2021 library versions: OpenSSL 1.1.0j 20 Nov 2018, LZO 2.10
Sun May 02 11:34:22 2021 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Sun May 02 11:34:22 2021 Need hold release from management interface, waiting.
Sun May 02 11:34:23 2021 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Sun May 02 11:34:23 2021 MANAGEMENT: CMD ‘state on’
Sun May 02 11:34:23 2021 MANAGEMENT: CMD ‘log all on’
Sun May 02 11:34:23 2021 MANAGEMENT: CMD ‘echo all on’
Sun May 02 11:34:23 2021 MANAGEMENT: CMD ‘bytecount 5’
Sun May 02 11:34:23 2021 MANAGEMENT: CMD ‘hold off’
Sun May 02 11:34:23 2021 MANAGEMENT: CMD ‘hold release’
Sun May 02 11:34:23 2021 MANAGEMENT: CMD ‘password [. ]’
Sun May 02 11:34:23 2021 Outgoing Control Channel Encryption: Cipher ‘AES-256-CTR’ initialized with 256 bit key
Sun May 02 11:34:23 2021 Outgoing Control Channel Encryption: Using 256 bit message hash ‘SHA256’ for HMAC authentication
Sun May 02 11:34:23 2021 Incoming Control Channel Encryption: Cipher ‘AES-256-CTR’ initialized with 256 bit key
Sun May 02 11:34:23 2021 Incoming Control Channel Encryption: Using 256 bit message hash ‘SHA256’ for HMAC authentication
Sun May 02 11:34:23 2021 MANAGEMENT: >STATE:xxxxx,
Sun May 02 11:34:23 2021 TCP/UDP: Preserving recently used remote address: [AF_INET]xxxxx
Sun May 02 11:34:23 2021 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun May 02 11:34:23 2021 UDP link local: (not bound)
Sun May 02 11:34:23 2021 UDP link remote: [AF_INET]xxxxxxxxx
Sun May 02 11:34:23 2021 MANAGEMENT: >STATE:xxxx
Sun May 02 11:35:23 2021 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun May 02 11:35:23 2021 TLS Error: TLS handshake failed

Источник

После установки win10 перестало работать одно из нескольких подключений OpenVPN

вот запись куска нормального журнала

Wed Jan 06 12:40:47 2021 OPTIONS IMPORT: timers and/or timeouts modified
Wed Jan 06 12:40:47 2021 OPTIONS IMPORT: —sndbuf/—rcvbuf options modified
Wed Jan 06 12:40:47 2021 Socket Buffers: R=[65536->524288] S=[65536->524288]
Wed Jan 06 12:40:47 2021 OPTIONS IMPORT: —ifconfig/up options modified
Wed Jan 06 12:40:47 2021 OPTIONS IMPORT: route options modified
Wed Jan 06 12:40:47 2021 OPTIONS IMPORT: —ip-win32 and/or —dhcp-option options modified
Wed Jan 06 12:40:47 2021 Outgoing Data Channel: Cipher ‘BF-CBC’ initialized with 128 bit key
Wed Jan 06 12:40:47 2021 WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a —cipher with a larger block size (e.g. AES-256-CBC).
Wed Jan 06 12:40:47 2021 Outgoing Data Channel: Using 160 bit message hash ‘SHA1’ for HMAC authentication
Wed Jan 06 12:40:47 2021 Incoming Data Channel: Cipher ‘BF-CBC’ initialized with 128 bit key
Wed Jan 06 12:40:47 2021 WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a —cipher with a larger block size (e.g. AES-256-CBC).
Wed Jan 06 12:40:47 2021 Incoming Data Channel: Using 160 bit message hash ‘SHA1’ for HMAC authentication
Wed Jan 06 12:40:47 2021 WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks.
Wed Jan 06 12:40:47 2021 interactive service msg_channel=412

вот куска соединения с ошибкой

2021-01-08 19:19:07 OPTIONS IMPORT: timers and/or timeouts modified
2021-01-08 19:19:07 OPTIONS IMPORT: —sndbuf/—rcvbuf options modified
2021-01-08 19:19:07 Socket Buffers: R=[65536->524288] S=[65536->524288]
2021-01-08 19:19:07 OPTIONS IMPORT: —ifconfig/up options modified
2021-01-08 19:19:07 OPTIONS IMPORT: route options modified
2021-01-08 19:19:07 OPTIONS IMPORT: —ip-win32 and/or —dhcp-option options modified
2021-01-08 19:19:07 OPTIONS ERROR: failed to negotiate cipher with server. Add the server’s cipher (‘BF-CBC’) to —data-ciphers (currently ‘AES-256-GCM:AES-128-GCM’) if you want to connect to this server.
2021-01-08 19:19:07 ERROR: Failed to apply push options
2021-01-08 19:19:07 Failed to open tun/tap interface
2021-01-08 19:19:07 SIGUSR1[soft,process-push-msg-failed] received, process restarting
2021-01-08 19:19:07 MANAGEMENT: >STATE:1610122747,RECONNECTING,process-push-msg-failed.
2021-01-08 19:19:07 Restart pause, 5 second(s)

OPTIONS IMPORT: —ip-win32 and/or —dhcp-option options modified

Источник

Hi there,

I’m trying to connect to an OpenVPN server which is basically my router.
I receive this error:

2021-04-30 14:39:25 OPTIONS IMPORT: timers and/or timeouts modified
2021-04-30 14:39:25 OPTIONS IMPORT: —ifconfig/up options modified
2021-04-30 14:39:25 OPTIONS IMPORT: route options modified
2021-04-30 14:39:25 OPTIONS ERROR: failed to negotiate cipher with server. Configure —data-ciphers-fallback if you want to connect to this server.
2021-04-30 14:39:25 ERROR: Failed to apply push options
2021-04-30 14:39:25 Failed to open tun/tap interface
2021-04-30 14:39:25 SIGUSR1[soft,process-push-msg-failed] received, process restarting
2021-04-30 14:39:25 MANAGEMENT: >STATE:1619786365,RECONNECTING,process-push-msg-failed,,,,,
2021-04-30 14:39:25 Restart pause, 5 second(s)

I just searched for the error and found some users saying just add «ncp-disable» in my OpenVPN config on the client. But then I get this error message which I don’t understand:

2021-04-30 14:51:49 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless «allow-compression yes» is also set.
2021-04-30 14:51:49 DEPRECATED OPTION: ncp-disable. Disabling cipher negotiation is a deprecated debug feature that will be removed in OpenVPN 2.6
Options error: —ncp-disable needs an explicit —cipher or —data-ciphers-fallback config option
Use —help for more information.

Please could you help me?
If I have to add something to my config (like ncp disable…) will this affect the security level?

Here is my current config:

client
dev tun
proto udp
remote ***HOSTNAME*** 1194
resolv-retry infinite
nobind
persist-key
persist-tun
pkcs12 NAS.p12
comp-lzo
verb 3
remote-cert-tls server
ncp-disable

Thanks a lot

Whenever I try to use OpenVPN profiles with the OpenVPN 2.5 client from https://openvpn.net/community-downloads/ (I have tried the new fourth generation and legacy third-generation .ovpn files from https://www.privateinternetaccess.com/helpdesk/kb/articles/where-can-i-find-your-ovpn-files ) on the Windows OpenVPN v11.19.0.0 client, I get the following error messages in my log:

DEPRECATED OPTION: —cipher set to ‘aes-128-cbc’ but missing in —data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore —cipher for cipher negotiations. Add ‘aes-128-cbc’ to —data-ciphers or change —cipher ‘aes-128-cbc’ to —data-ciphers-fallback ‘aes-128-cbc’ to silence this warning.

OPTIONS ERROR: failed to negotiate cipher with server. Add the server’s cipher (‘BF-CBC’) to —data-ciphers (currently ‘AES-256-GCM:AES-128-GCM:AES-128-CBC’) if you want to connect to this server.

ERROR: Failed to apply push options

Failed to open tun/tap interface

This is a serious problem because I cannot use the OpenVPN client to connect to PIA servers at all. Did anyone actually test this? This needs to be fixed soon. I cannot use this VPN when the entire service is broken on the server side. Please look into this, The server-side cipher needs to be updated in order to work, see https://openvpn.net/vpn-server-resources/change-encryption-cipher-in-access-server/

Edit: This also happens on Android and I have no option to roll back to 2.4, so we’re stuck adding the «ncp-disable» option as a janky workaround.

   1СникКривыеРуки

08.01.21 — 19:49

Прошу помочь советом.

Стояло 6 лет win 8.1, но решил перейти на Win10 по ряду причин.

Все нормально, НО!

ОДНО из соединений OpenVPN перестало работать.

Итак.

Есть несколько настроенных соединений OpenVPN с расширением ovpn и последняя версия OpenVPN 64 битная.

Но из 3 соединений на разные сервера одно не работает. Причем не работает то, которое самое нужное.

Остальные 2 соединения на другие сервера — работают и на старой и на новой винде.

Ставил старый винт с win8.1, вычищал OpenVPN и все заново переставлял — все работает, как и работало.

А на новой,- что только не делал — и запуск под Администратором, и установку предыдущих версий и проч.

2 соединения работают, а это самое главное — нет.

Системные администраторы на работе из дома под собой проверили (у них win10) — работает нормально.

Прошу помочь советом — что делать и куда смотреть.

   1СникКривыеРуки

1 — 08.01.21 — 19:50

   1СникКривыеРуки

2 — 08.01.21 — 19:51

   1СникКривыеРуки

3 — 08.01.21 — 19:51

   Йохохо

4 — 08.01.21 — 20:00

failed to negotiate cipher with server.  Add the server’s cipher (‘BF-CBC’)

   1СникКривыеРуки

5 — 08.01.21 — 20:19

   1СникКривыеРуки

6 — 08.01.21 — 20:19

тема закрыта

   Доктор Манхэттен

7 — 08.01.21 — 23:26

(0) OpenVPN — зло. Нужно использовать стандартную VPN.

   Злопчинский

8 — 09.01.21 — 00:37

(7) вот например стандартный впн у меня не работал. потому что серый айпи. при этом опен впн — работал

   Доктор Манхэттен

9 — 09.01.21 — 00:39

   Злопчинский

10 — 09.01.21 — 00:45

(9) я хз сомнительно или нет. но заставить подключаться по штатному ВПН — не получилось. Порезfys пакеты у провайдера видимо. купил за 150р/месяц белый айпи — все стало мгновенно хорошо. и по штатному ВПН.

   DJ Anthon

11 — 09.01.21 — 08:38

(7) ее блочат некоторые провайдеры. в забайкальском крае — ТТК, а там он очень популярен.

(5) да, в ней куча глюков, пришлось искать старую.

   DJ Anthon

12 — 09.01.21 — 08:40

(10) к сожалению, не могу заставить бабушек покупать домой всякие белые айпи ((

   Провинциальный 1сник

13 — 09.01.21 — 08:50

(7) Стандартная vpn с имитацией диалапа — убога до невозможности.

   Провинциальный 1сник

14 — 09.01.21 — 08:57

(11) А я давно замечаю, что как только какое-то ПО вылижут до идеального состояния — сразу делается рефакторинг с нуля на каком-то новомодном тулките или среде разработке, и всё работать перестает нормально. Неоднократно такое замечал. Эффект шила в попе у разработчиков что ли такой..

   Йохохо

15 — 09.01.21 — 09:00

(11) WireGuard работает по своему протоколу, на произвольном порту, русифицирован и конфиг можно юзеру по почте отправить. Я еще не донастроил, но вроде перспективно)

   DJ Anthon

16 — 09.01.21 — 09:17

(15) у меня микротик, он умеет поднимать pptp и openvpn. pptp заблочили, я перешел на openvpn. а WireGuard линевый, я в нем не спец. да и переводить килотонны мануалов на русский, а потом еще на понятный русский неохота. а по опенвпну есть мануалы для ламеров, я по ним все настроил. да, было сначала страшно, но буквально все настраивается за полчаса, не знаю, почему раньше не попробовал все это дело. единственная проблема, что опенвпн, поднятый на роутере ASUS работает не так, как на микротике — он пропускает в интернет после коннекта к впн, а микротиковский впн блочит все, пока не отключишься. это даже лучше для клиентов, чтобы работали и не отвлекались, причину найти не могу, но для работы достаточно.

   Йохохо

17 — 09.01.21 — 09:26

(16) для меня наоборот микротик это макось с диалектом на ингрише. опенвпн не хочу т.к. древний интерфейс, а проблема как раз в домохозяйках удаленщицах с зверцд вин 7, пптп то работает. ВайрГвард тоже с глюками, но мб факультативно доковыряю

   Злопчинский

18 — 09.01.21 — 15:36

(16) «а микротиковский впн блочит все, пока не отключишься.»

маршрутизацию надо поправить может быть. такое и на стандартном ВПН бывает — подключаешься — ВПН работает, а в инет — фиг. мне сисадмин маршрутизацию подстраивал в таком случае и все ок становилось.

   NorthWind

19 — 09.01.21 — 16:08

   NorthWind

20 — 09.01.21 — 16:10

если работаете иногда на андроидном телефоне/планшете через VPN, то там все еще проще. В стандартном VPN-клиенте есть поле ввода «Маршруты пересылки». Вот туда и прописываете подсеть локалки предприятия, с которой работаете. И вуаля — после того как загорится значок VPN в прямоугольнике, доступ в инет у дрюши не пропадет.

   Йохохо

21 — 09.01.21 — 16:27

(19) там есть route -p . Но возможно микротик не учитывает дефаулт гейтвей, они же гордые, им подавай пряморуких

   Провинциальный 1сник

22 — 09.01.21 — 17:32

(19) Чтобы задать маршрут к удаленной сети через впн, не меняя шлюза по умолчанию, нужно указывать идентификатор сетевого интерфейса, а он при каждом подключении разный. Так что route -p не катит..

   mistеr

23 — 09.01.21 — 17:36

(5) Вопрос чисто из любопытства. Зачем тебе OpenVPN, если тебе пофиг на «INSECURE cipher»?

   ДедМорроз

24 — 09.01.21 — 17:36

Начиная с windows 8,есть возможность указывать маршруты в привязке в сетевому соединению,тогда они будут включаться только при его установке.

Но,печальна ситуация,когда какая-то подсесть организации совпадает с подсетью провайдера.

   Провинциальный 1сник

25 — 09.01.21 — 19:16

(24) «Но,печальна ситуация,когда какая-то подсесть организации совпадает с подсетью провайдера.»

Скорее не с подсетью провайдера, а с подсетью клиента. У них от роутера часто 192.168.x и в организации та же. Провайдеры же обычно используют более экзотические серые подсети, 100 или 172.

   NorthWind

26 — 09.01.21 — 20:37

(25) ну тут уже сисадмин организации злобная буратина… По крайней мере можно сделать какую-нибудь 192.168.112.*, а не 192.168.0.* или 1.*

   ДедМорроз

27 — 09.01.21 — 23:33

Провайдеры пытаются раздать подсети так,чтобы они в разных регионах не повторялись — от этого «экзотические» номера и получаются.

   ДедМорроз

28 — 09.01.21 — 23:35

У клиентов,как раз,все более просто,стандартные для роутеров подсети 0, 1 или 2.

Более экзотические варианты встречаются,если кто-то прописывает вручную.

   DJ Anthon

29 — 10.01.21 — 08:05

(17) так вот у меня как раз PPTP-то и не работает, я был бы рад его использовать. А удаленщицам кидаю только дистриб по почте, в котором все зашито, им надо только установить, ничего настраивать не надо, все прописано в конфиге. насчет того, что это макось на инглише — к ней хотя бы мануалы есть русские. для остального софта надо штудировать все на английском. сейчас посмотрел этот WireGuard — русского не нашел.

(18) в инете есть сотня советов и все они сводятся к одному — поменять маршрут, только вот для этого должно одно условие соблюдаться — подсети должны быть разные. а у меня они одинаковые. то есть и в офисе подсетка 192.168.1.1, и у большинства юзеров дома тоже 192.168.1.1. в офисе не вариант менять подсеть — там все айпи в оборудовании зашиты, на это год надо, чтобы все заменить, так как штатного сисадмина там нет. у домохозяек дома менять тоже не вариант, они, как правило, не знают пароля от роутера, да и ехать к ним не вариант, их много и они далеко. я надеялся настроить так, чтобы только 1-2 адреса открыть из офиса, грубо говоря, объединить сетки, но роутеры мне показывают хер. даже если я пытаюсь указать шлюз офиса, интернета все равно нет. самое интересное, что на роутере ASUS впн спокойно все объединял сам и я даже не думал, что эта проблема вообще возникнет. тут вроде есть толковые сисдамины, но они говорят — единственный способ — менять подсетку в офисе на другие адреса. не буду. мне за это не платят.

   DJ Anthon

30 — 10.01.21 — 08:08

(19) у меня openvpn. куда эту вашу команду вводить? и да, у опенвпн есть аналогичная команда в конфиге, поверьте, я ее вводил и сотни ее вариаций, не получается. могу даже вам конфигу подключения скинуть, чтобы вы поэкспериментировали. факт остается, пптп я не могу юзать, хотя он мне сначала нравился

   DJ Anthon

31 — 10.01.21 — 08:14

(21) где-то в роутере надо прописывать, чтобы он впновских юзеров пускал в инет. но мне туда сказали не лазить, разрешили только сервер опенвпн дали поднять. поэтому я ничего не могу проверить.

   Доктор Манхэттен

32 — 10.01.21 — 08:31

(13) Не используй имитацию диалапа.

   Йохохо

33 — 10.01.21 — 08:32

(30) это в настройках отправляемых клиенту должно быть, что то про пуш роут афаир

   spectre1978

34 — 10.01.21 — 08:40

(30) команду вводить на той машине, которая подключается к удаленной сети.

   Провинциальный 1сник

35 — 10.01.21 — 09:26

(32) Штатные впн в винде по другому не умеют

   Провинциальный 1сник

36 — 10.01.21 — 09:31

(27) Скорее, чтобы не пересечься со стандартной подсетью бытовых роутеров. А там в 99% случаев 192.168.x, так что выбор 100 или 172 серой сети наиболее логичен, некоторые провайдеры дают 10 — но это уже есть риск наткнуться на такую подсеть у клиента..

   spectre1978

37 — 10.01.21 — 14:11

(29) если подсети совпадают, тогда пипец. В этом случае маршрутизация не будет нормально работать.

   Йохохо

38 — 10.01.21 — 14:27

(37) если пиринга нет между клиентами, иногда тошнит но работает)

   ДедМорроз

39 — 10.01.21 — 15:20

Вариант такой

Делаем для vpn свою подсеть и для нее же пишем правила трансляции для всех машин,которые в офисе должны быть доступны,то есть каждой выделяем ещё и адрес из созданной для vpn сети.

Сетей для vpn сделать как минимум две,чтобы в случае совпадения клиенту можно было дать другую.

Тогда никаких маршрутов не надо,но нужно правила трансляции писать правильно,чтобы пакеты уходили назад с обратной подменой ip-адреса.

   ДедМорроз

40 — 10.01.21 — 15:26

   DJ Anthon

41 — 10.01.21 — 17:20

(37) самое смешное, что адреса не совпадают (ну, кроме шлюзов, конечно). но если честно, мне вообще все это непонятно. при соединении вообще создаются адреса 10.0.0.х, для чего они тогда нужны? почему бы не выдавать адреса по DHCP? куча адресов свободна, но как их настроить, хз. в мануалах все все по одной схеме делают, шаг влево, шаг вправо — ничего не работает. я вообще хотел бы, чтобы можно было половину одной сетки объединить с половиной другой. или по маске какой-нибудь. там, до 200-х адресов пусть будут домашние адреса, после — офисные. но так низзя (

   DJ Anthon

42 — 10.01.21 — 17:21

(40) вот, это у меня и не получается. надо всего пару адресов прокинуть, я писал маршруты до них.

   Доктор Манхэттен

43 — 11.01.21 — 07:30

(35) Все она умеет. Обнови винду до десятки.

(41) похоже ты делал по мануалу лан2лан, это без маршрутов не работает конечно

I have a windows 10 client that is connecting and seems to be working, but I do see a warning in the OpenVPN GUI (on windows 10):

You have specified redirect-gateway and redirect-private at the same time (or the same option multiple times). This is not well supported and may lead to unexpected results

I did try to google this, but the top results take me to OpenVPN standalone server topics and not OpenVPN built into pfsense. I’ll keep looking, but I’m hoping that someone can assist with solving this since I’m using OpenVPN within pfsense and not standalone.

I used ‘viscosity inline config’ as the profile, which is what I have done in the past based on the file name the OpenVPN client is set to use. I can’t connect if I use any of the other ‘windows’ profiles, I don’t know where else I should check for the specific redirect-gateway and/or redirect-private options.

2.4.5-RELEASE-p1 (amd64)
built on Tue Jun 02 17:51:54 EDT 2020
FreeBSD 11.3-STABLE
The system is on the latest version.

Thanks.

Viscosity is proprietary and you should use this config only with the Viscosity Client.
For OpenVPN Client use Inline Configurations Most Clients

-Rico

@Rico I used viscosity with my last pfsense setup, which was a few years ago, and I don’t recall this Warning, but I don’t want to use the viscosity config if I should be using something else, for windows 10.

Here is what I see when using a ‘Most Clients’ profile.

WARNING: You have specified redirect-gateway and redirect-private at the same time (or the same option multiple times). This is not well supported and may lead to unexpected results (same as viscosity profile)

OPTIONS ERROR: failed to negotiate cipher with server. Add the server's cipher ('AES-128-CBC') to --data-ciphers (currently 'AES-128-GCM') if you want to connect to this server. (very well could be something I may need to correct, I just used OpenVPN server defaults, to my knowledge)

ERROR: Failed to apply push options (I am using a push option in my config, which was also on my last pfsense box and worked, here is the entry… push "route 10.10.15.0 255.255.255.0"

Failed to open tun/tap interface

Since I don’t often set up OpenVPN on pfsense, I forget which profile I used in the past (this is being used at home and I only set it up when I upgrade pfsense, which isn’t very often). However, I have been taking better notes for my installs since I have to pick certain profiles and change certain settings. This may be why I used viscosity config, in the past, I probably tried with other profile options and had these errors. It could very well be that I am doing something wrong, but since viscosity config worked, I just assumed it was the profile I was using. I don’t seem to have any issues with my iOS profile and my Mac OS profile, only with windows 10 profile/OpenVPN client.

Thanks.

Failed to open tun/tap interface looks like a broken Windows OpenVPN Installation to me. Uninstall the OpenVPN Client, Reboot Windows, Install the 2.4.9 package (https://swupdate.openvpn.org/community/releases/openvpn-install-2.4.9-I601-Win10.exe), Reboot and try again.

Push routes via the IPv4 Local network(s) box, not Custom options.

-Rico

@Rico The route I am pushing is a network on the other end of the pfsense OpenVPN server I am connecting to. Meaning, I am connecting with OpenVPN client on windows 10 to site 1 and the network I am pushing is on site 2, which is connected via IPSEC to site 1. It works as expected, as far as I know.

My windows 10 OpenPVN install is 2.5, I can upgrade to 2.9 as you recommend, but I also have another pfsense box (a friends OpenVPN server) that I sometimes connect to and make changes, if needed. Will the current profile I have for that network break with 2.9?

Thanks

It’s 2.4.9 — not 2.9
Version 2.4.9 is the exact same version as pfSense 2.4.5-p1 is running:

[2.4.5-RELEASE][admin@xxx]/root: openvpn --version
OpenVPN 2.4.9 armv6-portbld-freebsd11.3 [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD] built on May  4 2020

I’d just want to make sure all Options/Parameters match 100%, there are some changes in 2.5

-Rico

@Rico Thanks, I just realized I mis-read the version number. Ok, let me try 2.4.9 and see if that makes a difference.

@Rico I uninstalled 2.5, rebooted and installed 2.4.9, imported the Most Clients profile and wasn’t even prompted for a user/password, it popped up an error message «connecting to the management interface failed» and pointed me to the log file, here is what the log file shows.

Options error: Unrecognized option or missing or extra parameter(s) in most-clients-profile.ovpn:4: data-ciphers (2.4.9) Use --help for more information.

I was able to connect using the viscosity profile, that I have been using, and this time there are no Warnings, which is good, but you stated that I shouldn’t be using the viscosity profile. I do want to use the correct method, I guess getting Most Clients profile working is the new issue.

I do think I know why I had 2.5….One of the export options is windows 10, which I didn’t realize meant current OpenVPN client, I took it as the current version of windows. That exports as an exe, which upgraded me to 2.5 (before making this thread, yesterday). I do see there is an option for 2.4.9 as a client export, but we haven’t discussed that. Shouldn’t that be the option I should be using over most clients, since I am now running 2.4.9?

Thanks.

Please post your Server configuration via screenshots.

-Rico

This post is deleted!

I deleted the post with the link to the screenshots since it the topic/discussion has gone stale.

Модератор: SLEDopit