OpenVPN: грабли

[beldmit]

Некоторое время ушло на борьбу с тем, что OpenVPN на работу не поднимался с виндового ноутбука. Точнее, поднимался, но тут же падал, перезапускал соединение и так до бесконечности. Зайти по SSH на сервер при этом не получалось.

Проблем оказалось две. Во-первых, я пытался запустить OpenVPN с ноута в то время, как он был запущен у меня с домашнего компа с теми же ключами. Это работать не будет.

Вторая, более очевидная проблема — то, что под виндами надо запускать OpenVPN с правами администратора. Без этого роутинг не устанавливается.

В общем, спасибо nasse за терпение.

Comments

[bowhill]

Сам я такой вариант не пробовал, но возможность работы нескольких клиентов с одним набором ключей может регулироваться на серверной стороне параметром duplicate-cn. Вариант конфигурации клиента через ccd при этом, по всей видимости, работать не будет. В версии OpenVPN 2.4 для Windows можно использовать Interactive Service вместо прав администратора.

[qkowlew]

Грабли, да.

https://qkowlew.livejournal.com/196854.html - Решение 2. Я писал. :)

[qkowlew]

у меня с домашнего компа с теми же ключами

Ничто не мешает настроить сервер чтобы давал разные ip и пускал обоих.

[beldmit]

VPN-сервер?

[stanislavvv]

duplicate-cn таки решает.

Один из офисных конфигов:

```
# cat /etc/openvpn/office-tun.conf | grep -v ^#
port 11194
dev tun_vpn
topology subnet
server 10.83.222.0 255.255.255.0
mode server
tls-server
duplicate-cn
dh dh1024.pem
ca CA.crt
cert office.crt
key office.key
crl-verify crl.pem
user nobody
group nogroup
comp-lzo
push "comp-lzo"
push "route 10.0.0.0 255.0.0.0"
push "route 192.168.0.0 255.255.0.0"
ping 15
persist-tun
persist-key
verb 3
status /var/tmp/openvpn-status-tcp
```

Подсетка 10.83.222 выбрана для непересечения с обычными локалками типа 192.168. или 172.16
Коннектиться с одним ключом может хоть вся подсетка. По-крайней мере, три клиента одного меня (комп, планшет, телефон) туда точно подключались.