• XSS.stack #1 – первый литературный журнал от юзеров форума

Помогите с конфигом ВПН

Отслеживать
801

801

ripper
КИДАЛА
Регистрация
01.08.2019
Сообщения
109
Реакции
61
Гарант сделки
2
Пожалуйста, обратите внимание, что пользователь заблокирован
Конфиг с корпа, работники им пользуются под win через OpenVPN и он должен работать. Загружаю в клиент OpenVPN, коннект есть, но трафик идет мимо и ИП не меняется. Так же пробовал под линукс, такая же проблема. Другие конфиги работают, явно дело в конфиге.

Код: 
client

# Dev Name can be changed to tun<x> for Linux only
dev tun

# Comment out and change the TAP device name for Windows client
#dev-node "xxxx.com_xxxxx"

proto tcp

#remote xxxxxx-2c.xxxx.com
remote xxxxxxx-1a.xxxx.com

pull

resolv-retry infinite
nobind

tls-client
key-direction 0
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
xxx
-----END OpenVPN Static key V1-----
</tls-auth>

remote-cert-tls server
auth-nocache
cipher AES-256-CBC
keepalive 5 30

persist-key
persist-tun

socket-flags TCP_NODELAY

verb 2
status xxxx-xxxxxx.status

<ca>
-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN RSA PRIVATE KEY-----
xxx
-----END RSA PRIVATE KEY-----
</key>
 
Скорей всего проблема в key-direction 0. Попробуйте убрать это значение в клиенте и на сервере в строке tls-auth "адрес файла" 0 (либо 1) не писать эту цифру. То есть просто tls-auth "адрес файла"
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Benihowy сказал(а):
Скорей всего проблема в key-direction 0. Попробуйте убрать это значение в клиенте и на сервере в строке tls-auth "адрес файла" 0 (либо 1) не писать эту цифру. То есть просто tls-auth "адрес файла"
Спасибо! Но у меня нет доступа к серверу, только клиент конфиг который компания разослала всем работникам компаний. Убрал key-direction 0, менял на 1, в таком случае нет даже коннекта.
 
Обычно сервер сам должен пушить роуты

How to push a gateway and route to an OpenVPN client?

I need to setup a OpenVPN network which will probably grow to a serval hundreds of clients in the next few months. Some of the clients are servers and others are devices that need services, hosted ...
serverfault.com
Если нет, то копайте в сторону настройки маршрутов со стороны клиента. Только не факт, что это поможет, т.к. это таки сильно зависит от настроек сервера.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Попробую, спасибо! Самое странное, я вижу переписки работников, у них все работает из коробки, привязок никаких нет, работники на удаленки.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
reeves сказал(а):
При чем тут вообще роуты, роуты отдаются после конекта, а его нет.
ЛОги в студию
Коннект есть

Код: 
⏎[Nov 25, 2021, 13:06:47] Frame=512/2048/512 mssfix-ctrl=1250
⏎[Nov 25, 2021, 13:06:47] UNUSED OPTIONS
4 [pull]
5 [resolv-retry] [infinite]
6 [nobind]
7 [tls-client]
11 [auth-nocache]
14 [persist-key]
15 [persist-tun]
16 [socket-flags] [TCP_NODELAY]
17 [verb] [2]
18 [status] [xxxx-xxxxxx.status]
⏎[Nov 25, 2021, 13:06:47] EVENT: RESOLVE ⏎[Nov 25, 2021, 13:06:47] EVENT: WAIT ⏎[Nov 25, 2021, 13:06:47] WinCommandAgent: transmitting bypass route to x.xxx.x.xxx
{
    "host" : "x.xxx.x.xxx",
    "ipv6" : false
}

⏎[Nov 25, 2021, 13:06:47] Connecting to [xxxxxxxxx-1a.xxxx.com]:1194 (x.xxx.x.xxx) via TCPv4
⏎[Nov 25, 2021, 13:06:47] EVENT: CONNECTING ⏎[Nov 25, 2021, 13:06:47] Tunnel Options:V4,dev-type tun,link-mtu 1559,tun-mtu 1500,proto TCPv4_CLIENT,keydir 0,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-client
⏎[Nov 25, 2021, 13:06:47] Creds: UsernameEmpty/PasswordEmpty
⏎[Nov 25, 2021, 13:06:47] Peer Info:
IV_VER=3.git::c2153df1
IV_PLAT=win
IV_NCP=2
IV_TCPNL=1
IV_PROTO=30
IV_CIPHERS=AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305:AES-256-CBC
IV_AUTO_SESS=1
IV_GUI_VER=OCWindows_3.3.2-2475
IV_SSO=openurl,crtext

⏎[Nov 25, 2021, 13:06:47] SSL Handshake: peer certificate: CN=openvpn, 2048 bit RSA, cipher: TLS_AES_256_GCM_SHA384  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(256) Mac=AEAD

⏎[Nov 25, 2021, 13:06:47] Session is ACTIVE
⏎[Nov 25, 2021, 13:06:47] EVENT: GET_CONFIG ⏎[Nov 25, 2021, 13:06:47] Sending PUSH_REQUEST to server...
⏎[Nov 25, 2021, 13:06:47] OPTIONS:
0 [sndbuf] [393216]
1 [rcvbuf] [393216]
2 [route] [192.168.108.0] [255.255.255.0]
3 [topology] [net30]
4 [ping] [5]
5 [ping-restart] [30]
6 [route] [172.30.78.0] [255.255.255.0]
7 [route] [172.30.81.0] [255.255.255.0]
8 [route] [10.255.0.0] [255.255.0.0]
9 [ifconfig] [192.168.108.89] [192.168.108.90]
10 [peer-id] [0]
11 [cipher] [AES-256-GCM]

⏎[Nov 25, 2021, 13:06:47] PROTOCOL OPTIONS:
  cipher: AES-256-GCM
  digest: NONE
  key-derivation: OpenVPN PRF
  compress: NONE
  peer ID: 0
  control channel: tls-auth enabled
⏎[Nov 25, 2021, 13:06:47] EVENT: ASSIGN_IP ⏎[Nov 25, 2021, 13:06:47] CAPTURED OPTIONS:
Session Name: xxxxxxxxx-1a.xxxx.com
Layer: OSI_LAYER_3
Remote Address: x.xxx.x.xxx
Tunnel Addresses:
  192.168.108.89/30 -> 192.168.108.90 [net30]
Reroute Gateway: IPv4=0 IPv6=0 flags=[ IPv4 ]
Block IPv6: no
Add Routes:
  192.168.108.0/24
  172.30.78.0/24
  172.30.81.0/24
  10.255.0.0/16
Exclude Routes:
DNS Servers:
Search Domains:

⏎[Nov 25, 2021, 13:06:48] SetupClient: transmitting tun setup list to \\.\pipe\agent_ovpnconnect
{
    "allow_local_dns_resolvers" : false,
    "confirm_event" : "e80e000000000000",
    "destroy_event" : "9c0e000000000000",
    "tun" :
    {
        "adapter_domain_suffix" : "",
        "add_routes" :
        [
            {
                "address" : "192.168.108.0",
                "gateway" : "",
                "ipv6" : false,
                "metric" : -1,
                "net30" : false,
                "prefix_length" : 24
            },
            {
                "address" : "172.30.78.0",
                "gateway" : "",
                "ipv6" : false,
                "metric" : -1,
                "net30" : false,
                "prefix_length" : 24
            },
            {
                "address" : "172.30.81.0",
                "gateway" : "",
                "ipv6" : false,
                "metric" : -1,
                "net30" : false,
                "prefix_length" : 24
            },
            {
                "address" : "10.255.0.0",
                "gateway" : "",
                "ipv6" : false,
                "metric" : -1,
                "net30" : false,
                "prefix_length" : 16
            }
        ],
        "block_ipv6" : false,
        "layer" : 3,
        "mtu" : 0,
        "remote_address" :
        {
            "address" : "x.xxx.x.xxx",
            "ipv6" : false
        },
        "reroute_gw" :
        {
            "flags" : 256,
            "ipv4" : false,
            "ipv6" : false
        },
        "route_metric_default" : -1,
        "session_name" : "xxxxxxxxx-1a.xxxx.com",
        "tunnel_address_index_ipv4" : 0,
        "tunnel_address_index_ipv6" : -1,
        "tunnel_addresses" :
        [
            {
                "address" : "192.168.108.89",
                "gateway" : "192.168.108.90",
                "ipv6" : false,
                "metric" : -1,
                "net30" : true,
                "prefix_length" : 30
            }
        ]
    },
    "wintun" : false
}
POST np://[\\.\pipe\agent_ovpnconnect]/tun-setup : 200 OK
TAP ADAPTERS:
guid='{15D7368B-E15E-446D-94EE-6DEC40B9FD39}' index=2 name='Local Area Connection'
Open TAP device "Local Area Connection" PATH="\\.\Global\{15D7368B-E15E-446D-94EE-6DEC40B9FD39}.tap" SUCCEEDED
TAP-Windows Driver Version 9.24
ActionDeleteAllRoutesOnInterface iface_index=2
netsh interface ip set interface 2 metric=1
Ok.
netsh interface ip set address 2 static 192.168.108.89 255.255.255.252 gateway=192.168.108.90 store=active
IPHelper: add route 192.168.108.0/24 2 192.168.108.90 metric=-1
IPHelper: add route 172.30.78.0/24 2 192.168.108.90 metric=-1
IPHelper: add route 172.30.81.0/24 2 192.168.108.90 metric=-1
IPHelper: add route 10.255.0.0/16 2 192.168.108.90 metric=-1
ipconfig /flushdns
Windows IP Configuration
Successfully flushed the DNS Resolver Cache.
TAP: ARP flush succeeded
TAP handle: 340b000000000000
⏎[Nov 25, 2021, 13:06:48] Connected via TUN_WIN
⏎[Nov 25, 2021, 13:06:48] EVENT: CONNECTED xxxxxxxxx-1a.xxxx.com:1194 (x.xxx.x.xxx) via /TCPv4 on TUN_WIN/192.168.108.89/ gw=[192.168.108.90/]⏎
 
ну а дальше ?
route print если венда или ip r если линух
пингуй СЕРЫЙ айпи шлюза,
если пингуется, то пингуй дальше машины за шлюзом
если НЕ пингуется шлюз, смотри снифером пакеты, о тебя ушли в сторону шлюза, а обратно пришли ?
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх