openvpn：build立连接，不能ping服务器tun接口（debian服务器，windows＆os x客户端）

我的目标：

我想在公司的netcup的vServer上设置openVPN，运行Debian squeeze。我只需要从客户端到服务器的VPN连接; 客户端不应该能够看到对方，服务器也不需要作为其他服务的网关。

我的设置：

1，Debian挤vServer，3个Windows 7客户端，2个OS X Lion客户端，客户端全部在我的192.168.xx主子网中，服务器上的防火墙没有设置限制，客户端防火墙不阻塞外出连接，根据这个post添加ICMPv4协议作为例外： OpenVPN服务器不能ping客户端。在子网中有一个WLAN路由器和fritz.box路由器，这是我的互联网提供商的网关。 WLAN路由器有一个防火墙，但也没有设置限制。

我的限制：

因为这是一个虚拟服务器，运行的openVPN服务器有一些限制：1）tun设备“tun1”必须首先解锁，并得到一个固定的地址（10.240.43.1），我不能改变，因为2）修改ifconfig （我知道这是因为虚拟技术为多个客户使用一个内核，因此不允许一个客户修改他们的设置），这意味着3）我不能启用/禁用IPv4转发（是的，我是不允许的以root身份login），只是说这是因为我已经find了几乎相同，但稍有不同的问题的50+职位。

到目前为止，

客户端可以通过OpenVPN GUI客户端从Windows 7和OS X Lion连接到Debian计算机上的openVPN服务器，客户端在所需的子网（10.240.43.x）中获得分配的IP地址，日志不会显示任何错误。我会在最后发表一个例子。

什么一直工作（这是让我发疯）：

在第二个Windows 7客户端上设置openVPN时，build立了一个连接，分配一个IP地址，客户端可以在tun接口的地址上ping服务器。我很开心，我在同一台MacBook上启动了OS X，在那里设置了它，但是没有起作用。当我第二天启动到Windows 7时，在server.conf或openvpn的客户端configuration中没有任何改变，与其他Windows 7和OS X客户端有相同的痛苦。这对我来说意味着至less这个configuration一定是可以的，至less从这个时候开始，我想知道发生了什么，如果有人能指出我在哪里做错事（我是还是新的，英文也不是我的第一语言）

根据我所了解的有关正确configuration的OpenVPN连接，应该如何工作：

平。我想从客户端ping 10.240.43.1（服务器tun接口IP）或从服务器ping 10.240.43.xx（< – client IP）。当服务器ping客户端或客户端ping服务器，当我尝试tracert（在Windows中），我甚至没有到达第一个节点，如果我理解的话，这将是我的fritz.box路由器那是正确的。我还读到，我应该有一个不同的公共IP地址，当我连接到OpenVPN，但我没有得到一个，它保持了我从提供者那里dynamic的。注意我在Windows的客户端configuration文件中添加了一个自定义的configuration，以防止Windows将其视为一个不明身份的networking，这实际上工作。然而，这并没有解决我的问题..我真的尝试了每一个相关的职位，我可以find，所以请不要将我redirect到另一个“类似”的问题..

编辑：尤其是这一个： OpenVPN的configuration – Windows 7客户端和Debian服务器，可怜的家伙甚至没有得到一个单一的答复，只是评论..但他有一个非常相似的，如果不是相同的问题..

提前致谢！

Debian Squeeze上的server.conf

端口1194原始udp

-10.xxx地址升序：

拓扑子网

dev tun1

– 防止ifconfig操作，否则会在服务器上重新启动openvpn守护进程时出现错误 – 无法在我的服务器上添加路由：

ifconfig-noexec route-noexec

ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/server.crt密钥/etc/openvpn/easy-rsa/keys/server.key dh / etc / openvpn /easy-rsa/keys/dh1024.pem

服务器10.240.43.0 255.255.255.0

ifconfig-pool-persist ipp.txt

按“dhcp-option DNS 10.240.43.1”;按“路由10.240.43.0 255.255.255.0”;按“redirect网关def1”

保持活力10 120

tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0 comp-lzo

用户没人组没人

persist-key persist-tun status openvpn-status.log verb 3

一个Windows客户端configuration示例：client1.opvn

客户

dev tun1

dev-node openVPN

原始udp

远程公共ip地址我的服务器1194

虚拟默认网关，以解决Windows“未知networking”/“未知networking”问题：

route-metric 50 route 0.0.0.0 0.0.0.0 10.240.43.1

resolv-retry无限

nobind

坚持不懈的坚持

C：Program Files（x86）\ OpenVPN \ config \ ca.crt“cert”C：\ Program Files（x86）\ OpenVPN \ config \ client1.crt“key”C：\ Program Files（x86）\ OpenVPN \ CONFIG \ client1.key”

ns-cert-type服务器

tls-auth“C：\ Program Files（x86）\ OpenVPN \ config \ ta.key”

comp-lzo动词3

在openVPN连接和IP地址分配时，在Windows客户机上输出路由打印-4：

=========================================================================== Schnittstellenliste 22...00 ff 14 5f fc a5 ......TAP-Windows Adapter V9 21...00 ff 8a b4 4f 15 ......TeamViewer VPN Adapter 16...00 18 de 68 09 6c ......Intel(R) PRO/Wireless 3945ABG-Netzwerkverbindug 11...00 15 c5 b7 7d 12 ......Broadcom 440x 10/100-integrierter Controller 1...........................Software Loopback Interface 1 18...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter 19...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface 15...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #2 17...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #4 =========================================================================== IPv4-Routentabelle =========================================================================== Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.72 20 0.0.0.0 0.0.0.0 10.240.43.1 10.240.43.8 50 10.240.43.0 255.255.255.0 Auf Verbindung 10.240.43.8 286 10.240.43.8 255.255.255.255 Auf Verbindung 10.240.43.8 286 10.240.43.255 255.255.255.255 Auf Verbindung 10.240.43.8 286 127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306 127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306 127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306 192.168.1.0 255.255.255.0 Auf Verbindung 192.168.1.72 276 192.168.1.72 255.255.255.255 Auf Verbindung 192.168.1.72 276 192.168.1.255 255.255.255.255 Auf Verbindung 192.168.1.72 276 224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306 224.0.0.0 240.0.0.0 Auf Verbindung 192.168.1.72 276 224.0.0.0 240.0.0.0 Auf Verbindung 10.240.43.8 286 255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306 255.255.255.255 255.255.255.255 Auf Verbindung 192.168.1.72 276 255.255.255.255 255.255.255.255 Auf Verbindung 10.240.43.8 286 =========================================================================== Ständige Routen: Keine

当连接到服务器时输出openVPN状态日志：

 Sat Jan 19 23:21:17 2013 OpenVPN 2.3.0 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Jan 8 2013 Sat Jan 19 23:21:17 2013 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340 Sat Jan 19 23:21:17 2013 Need hold release from management interface, waiting... Sat Jan 19 23:21:17 2013 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340 Sat Jan 19 23:21:17 2013 MANAGEMENT: CMD 'state on' Sat Jan 19 23:21:17 2013 MANAGEMENT: CMD 'log all on' Sat Jan 19 23:21:18 2013 MANAGEMENT: CMD 'hold off' Sat Jan 19 23:21:18 2013 MANAGEMENT: CMD 'hold release' Sat Jan 19 23:21:18 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables Sat Jan 19 23:21:18 2013 Control Channel Authentication: using 'C:\Program Files (x86)\OpenVPN\config\ta.key' as a OpenVPN static key file Sat Jan 19 23:21:18 2013 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Sat Jan 19 23:21:18 2013 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Sat Jan 19 23:21:18 2013 Socket Buffers: R=[8192->8192] S=[8192->8192] Sat Jan 19 23:21:18 2013 UDPv4 link local: [undef] Sat Jan 19 23:21:18 2013 UDPv4 link remote: [AF_INET][[public server ip]]:1194 Sat Jan 19 23:21:18 2013 MANAGEMENT: >STATE:1358634078,WAIT,,, Sat Jan 19 23:21:18 2013 MANAGEMENT: >STATE:1358634078,AUTH,,, Sat Jan 19 23:21:18 2013 TLS: Initial packet from [AF_INET][[public server ip]]:1194, sid=473dff0c 89fc085c Sat Jan 19 23:21:18 2013 VERIFY OK: depth=1, C=AT, ST=Tyrol, L=Innsbruck, O=[[custom company name]], OU=General, CN=openvpn-eq, name=openvpn-[[custom name]], emailAddress=[[custom mail address]] Sat Jan 19 23:21:18 2013 VERIFY OK: nsCertType=SERVER Sat Jan 19 23:21:18 2013 VERIFY OK: depth=0, C=AT, ST=Tyrol, L=Innsbruck, O=[[custom company name]], OU=General, CN=openvpn-eq, name=openvpn-[[custom name]], emailAddress=[[custom mail address]] Sat Jan 19 23:21:19 2013 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Sat Jan 19 23:21:19 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Sat Jan 19 23:21:19 2013 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Sat Jan 19 23:21:19 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Sat Jan 19 23:21:19 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA Sat Jan 19 23:21:19 2013 [openvpn-eq] Peer Connection Initiated with [AF_INET][[public server ip]]3:1194 Sat Jan 19 23:21:20 2013 MANAGEMENT: >STATE:1358634080,GET_CONFIG,,, Sat Jan 19 23:21:22 2013 SENT CONTROL [openvpn-eq]: 'PUSH_REQUEST' (status=1) Sat Jan 19 23:21:22 2013 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 10.240.43.1,route-gateway 10.240.43.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.240.43.8 255.255.255.0' Sat Jan 19 23:21:22 2013 OPTIONS IMPORT: timers and/or timeouts modified Sat Jan 19 23:21:22 2013 OPTIONS IMPORT: --ifconfig/up options modified Sat Jan 19 23:21:22 2013 OPTIONS IMPORT: route-related options modified Sat Jan 19 23:21:22 2013 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified Sat Jan 19 23:21:22 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0 Sat Jan 19 23:21:22 2013 MANAGEMENT: >STATE:1358634082,ASSIGN_IP,,10.240.43.8, Sat Jan 19 23:21:22 2013 open_tun, tt->ipv6=0 Sat Jan 19 23:21:22 2013 TAP-WIN32 device [openVPN] opened: \\.\Global\{145FFCA5-1EBD-49E6-9CA2-42B832968EFE}.tap Sat Jan 19 23:21:22 2013 TAP-Windows Driver Version 9.9 Sat Jan 19 23:21:22 2013 Set TAP-Windows TUN subnet mode network/local/netmask = 10.240.43.0/10.240.43.8/255.255.255.0 [SUCCEEDED] Sat Jan 19 23:21:22 2013 Notified TAP-Windows dºÀRr Sat Jan 19 23:21:22 2013 Successful ARP Flush on interface [22] {145FFCA5-1EBD-49E6-9CA2-42B832968EFE} Sat Jan 19 23:21:27 2013 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up Sat Jan 19 23:21:27 2013 MANAGEMENT: >STATE:1358634087,ADD_ROUTES,,, Sat Jan 19 23:21:27 2013 C:\Windows\system32\route.exe ADD 0.0.0.0 MASK 0.0.0.0 10.240.43.1 METRIC 50 Sat Jan 19 23:21:27 2013 Route addition via IPAPI succeeded [adaptive] Sat Jan 19 23:21:27 2013 Initialization Sequence Completed Sat Jan 19 23:21:27 2013 MANAGEMENT: >STATE:1358634087,CONNECTED,SUCCESS,10.240.43.8,[[public server ip]]

服务器路由：

 Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.233.133.2 * 255.255.255.255 UH 0 0 0 tun1 10.241.162.2 * 255.255.255.255 UH 0 0 0 * static.88-198-1 gw.netcup.net 255.255.255.255 UGH 0 0 0 eth0 10.240.43.2 * 255.255.255.255 UH 0 0 0 tun1 xx.xx.xx.xx * 255.255.255.192 U 0 0 0 eth0 10.233.133.0 10.233.133.2 255.255.255.0 UG 0 0 0 tun1 xx.xx.228.0 * 255.255.254.0 U 0 0 0 eth0 xx.xx.240.0 * 255.255.252.0 U 0 0 0 eth0 xx.xx.232.0 * 255.255.248.0 U 0 0 0 eth0 10.20.0.0 * 255.255.0.0 U 0 0 0 * default gw.netcup.net 0.0.0.0 UG 0 0 0 eth0

你是否以pipe理员身份运行openvpngui？（右键单击，以pipe理员身份运行）？它作为添加路由的常见错误需要提升权限。（当然是在Windows Vista / 7/8上）。

这可能不是所期望的解决scheme，但是我可以把问题追踪到只有一个密钥/证书对正确地工作，对我来说，解决scheme是从Linux-vServer虚拟化技术切换到基于KVM的技术，该技术解决了所有问题，因为我可以我自己控制什么设备，我想要使用，现在每个客户端（WIndows，OS X ..）可以连接没有问题，并访问服务器上的服务。