PROBLEMA Open VPN

Golem91 · 10 Novembre 2023

Buongiorno a tutti ragazzi io ho un problema con openVPN. In particolare noi abbiamo una zeroshell su di un server che gestisce la configurazione openVPN parte server e dei client che si collegano in remoto. Ora con la medesima configurazione client TUTTI i client si collegano correttamente al server meno che 3 client. Ora la cosa strana è che questi 3 client sono collegati in LAN ad una rete a cui sono collegati altri client che riescono a collegarsi al server con openVPN. Abbiamo verificato che le impostazioni dei client siano uguali a quelle dei client nella stessa lan a cui la vpn funziona(ip dhcp che da ipconfig appare con le stesse caratteristiche degli altri client "funzionanti". Appaiono ovviamente con ip diverso ma sulla stessa subnet nel giusto range di assegnazione e con dns e gateway giusti. Cosa potrebbe essere?

23-11-10 10:51:43 C:\WINDOWS\system32\route.exe ADD 10.212.3.2 MASK 255.255.255.224 192.168.250.254
2023-11-10 10:51:43 ERROR: route addition failed using service: Parametro non corretto. [status=87 if_index=42]
2023-11-10 10:51:43 C:\WINDOWS\system32\route.exe ADD 10.212.3.1 MASK 255.255.255.0 192.168.250.254
2023-11-10 10:51:43 ERROR: route addition failed using service: Parametro non corretto. [status=87 if_index=42]
2023-11-10 10:51:43 Initialization Sequence Completed
2023-11-10 10:51:43 MANAGEMENT: >STATE:1699609903,CONNECTED,ROUTE_ERROR,192.168.250.17,79.135.52.20,1205,192.168.3.23,54274

Questi gli errori riportati nel log

r3dl4nce · 10 Novembre 2023

La VPN si collega ma non riesce ad aggiungere le route.
Hai aggiornato il client OpenVPN all'ultima versione?

Golem91 · 10 Novembre 2023

r3dl4nce ha detto:
La VPN si collega ma non riesce ad aggiungere le route.
Hai aggiornato il client OpenVPN all'ultima versione?

Si nella versione precedentemente installata non restituiva errori, lo dava connesso ma poi non pingava. Ora che ho aggiornato all'ultima versione mi dice connesso con errori o qualcosa di simile e mi restituisce quelli. La cosa strana è che con la stessa configurazione si collegano tantissimi altri client senza problemi

r3dl4nce · 10 Novembre 2023

Puoi mettere il log completo di una connessione, magari eliminando nomi/certificati/ip ecc

Golem91 · 10 Novembre 2023

r3dl4nce ha detto:
Puoi mettere il log completo di una connessione, magari eliminando nomi/certificati/ip ecc

Si ho appena provato con un altro client e dice connesso con errore di rotte però in realtà funziona perfettamente.
Va bene cosi il log?

r3dl4nce · 10 Novembre 2023

In realtà solo 2 route danno error, le altre sono a posto.
Le route problematiche sono queste

10.212.3.2 / 27 che tra l'altro va in conflitto con la seconda ovvero 10.212.3.2 / 24

questo è un problema di configurazione delle route che sono in PUSH dal server, chi gestisce il server OpenVPN deve sistemare questo problema

Golem91 · 10 Novembre 2023

r3dl4nce ha detto:
In realtà solo 2 route danno error, le altre sono a posto.
Le route problematiche sono queste

10.212.3.2 / 27 che tra l'altro va in conflitto con la seconda ovvero 10.212.3.2 / 24

questo è un problema di configurazione delle route che sono in PUSH dal server, chi gestisce il server OpenVPN deve sistemare questo problema

Sono state sistemate quelle route ora si connette senza restituire errori ma continua a non pingarlo

2023-11-10 12:55:02 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
2023-11-10 12:55:02 Note: --cipher is not set. OpenVPN versions before 2.5 defaulted to BF-CBC as fallback when cipher negotiation failed in this case. If you need this fallback please add '--data-ciphers-fallback BF-CBC' to your configuration and/or add BF-CBC to --data-ciphers.
2023-11-10 12:55:02 Note: '--allow-compression' is not set to 'no', disabling data channel offload.
2023-11-10 12:55:02 OpenVPN 2.6.6 [git:v2.6.6/x] Windows-MSVC [SSL (OpenSSL)] [x] [x] [x] [x] [x] built on Aug 15 2023
2023-11-10 12:55:02 Windows version 10.0 (Windows 10 or greater), amd64 executable
2023-11-10 12:55:02 library versions: OpenSSL 3.1.2 1 Aug 2023, LZO 2.10
2023-11-10 12:55:02 DCO version: v0
2023-11-10 12:55:02 MANAGEMENT: TCP Socket listening on [AF_INET]x.x.x.x:x
2023-11-10 12:55:02 Need hold release from management interface, waiting...
2023-11-10 12:55:03 MANAGEMENT: Client connected from [AF_INET]x.x.x.x:xxxxx
2023-11-10 12:55:03 MANAGEMENT: CMD 'state on'
2023-11-10 12:55:03 MANAGEMENT: CMD 'log on all'
2023-11-10 12:55:03 MANAGEMENT: CMD 'echo on all'
2023-11-10 12:55:03 MANAGEMENT: CMD 'bytecount 5'
2023-11-10 12:55:03 MANAGEMENT: CMD 'state'
2023-11-10 12:55:03 MANAGEMENT: CMD 'hold off'
2023-11-10 12:55:03 NOTE: --mute triggered...
2023-11-10 12:55:04 3 variation(s) on previous 20 message(s) suppressed by --mute
2023-11-10 12:55:04 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
2023-11-10 12:55:04 TCP/UDP: Preserving recently used remote address: [AF_INET]x.x.x.x:xxxx
2023-11-10 12:55:04 Socket Buffers: R=[65536->65536] S=[65536->65536]
2023-11-10 12:55:04 Attempting to establish TCP connection with [AF_INET]x.x.x.x:xxxx
2023-11-10 12:55:04 MANAGEMENT: >STATE:x,TCP_CONNECT,,,,,,
2023-11-10 12:55:04 TCP connection established with [AF_INET]x.x.x.x:xxxx
2023-11-10 12:55:04 TCPv4_CLIENT link local: (not bound)
2023-11-10 12:55:04 TCPv4_CLIENT link remote: [AF_INET]x.x.x.x:xxxx
2023-11-10 12:55:04 MANAGEMENT: >STATE:1699617304,WAIT,,,,,,
2023-11-10 12:55:04 MANAGEMENT: >STATE:1699617304,AUTH,,,,,,
2023-11-10 12:55:04 TLS: Initial packet from [AF_INET]x.x.x.x:xxxx, sid=2e564b97 6fb3532a
2023-11-10 12:55:04 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2023-11-10 12:55:04 VERIFY OK: depth=1, O=example, OU=zeroshell f393, CN=ZeroShell
2023-11-10 12:55:04 VERIFY OK: depth=0, OU=Hosts, CN=zeroshell.example.com
2023-11-10 12:55:04 Control Channel: TLSv1.2, cipher TLSv1.2 x, peer certificate: 2048 bit RSA, signature: RSA-SHA256
2023-11-10 12:55:04 [zeroshell.example.com] Peer Connection Initiated with [AF_INET]x.x.x.x:xxxx
2023-11-10 12:55:04 TLS: move_session: dest=TM_ACTIVE src=TM_INITIAL reinit_src=1
2023-11-10 12:55:04 TLS: tls_multi_process: initial untrusted session promoted to trusted
2023-11-10 12:55:05 MANAGEMENT: >STATE:1699617305,GET_CONFIG,,,,,,
2023-11-10 12:55:05 SENT CONTROL [zeroshell.example.com]: 'PUSH_REQUEST' (status=1)
2023-11-10 12:55:06 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.250.254,,dhcp-option DNS 192.168.111.3,route remote_host 255.255.255.255 net_gateway 1,route 192.168.200.0 255.255.255.0,route 192.168.111.0 255.255.255.0,route 10.163.226.192 255.255.255.192,route 10.163.225.224 255.255.255.224,route 10.163.224.32 255.255.255.224,route 192.168.3.0 255.255.255.0,ping 5,ping-restart 60,ifconfig 192.168.250.16 255.255.255.0,peer-id 0,cipher AES-256-GCM'
2023-11-10 12:55:06 OPTIONS IMPORT: --ifconfig/up options modified
2023-11-10 12:55:06 OPTIONS IMPORT: route options modified
2023-11-10 12:55:06 OPTIONS IMPORT: route-related options modified
2023-11-10 12:55:06 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
2023-11-10 12:55:06 interactive service msg_channel=788
2023-11-10 12:55:06 open_tun
2023-11-10 12:55:06 CreateFile failed on tap-windows6 device: \\.\Global\{F8C28A42-24A2-41EE-BF91-AE8A4766E8CF}.tap: General failure (ERROR_GEN_FAILURE) (errno=31)
2023-11-10 12:55:06 tap-windows6 device [OpenVPN TAP-Windows6 #1] opened
2023-11-10 12:55:06 TAP-Windows Driver Version 9.26
2023-11-10 12:55:06 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.250.16/255.255.255.0 on interface {6935761A-C4CB-45AE-B0C9-58A4522289DD} [DHCP-serv: 192.168.250.0, lease-time: 31536000]
2023-11-10 12:55:06 Successful ARP Flush on interface [33] {6935761A-C4CB-45AE-B0C9-58A4522289DD}
2023-11-10 12:55:06 MANAGEMENT: >STATE:1699617306,ASSIGN_IP,,192.168.250.16,,,,
2023-11-10 12:55:06 IPv4 MTU set to 1500 on interface 33 using service
2023-11-10 12:55:06 Data Channel: cipher 'AES-256-GCM', peer-id: 0, compression: 'lzo'
2023-11-10 12:55:06 Timers: ping 5, ping-restart 60
2023-11-10 12:55:11 TEST ROUTES: 8/8 succeeded len=8 ret=1 a=0 u/d=up
2023-11-10 12:55:11 MANAGEMENT: >STATE:1699617311,ADD_ROUTES,,,,,,
2023-11-10 12:55:11 C:\WINDOWS\system32\route.exe ADD 192.168.1.0 MASK 255.255.255.0 192.168.250.254
2023-11-10 12:55:11 Route addition via service succeeded
2023-11-10 12:55:11 C:\WINDOWS\system32\route.exe ADD 79.135.52.20 MASK 255.255.255.255 192.168.3.2 METRIC 1
2023-11-10 12:55:11 Route addition via service succeeded
2023-11-10 12:55:11 C:\WINDOWS\system32\route.exe ADD 192.168.200.0 MASK 255.255.255.0 192.168.250.254
2023-11-10 12:55:11 Route addition via service succeeded
2023-11-10 12:55:11 C:\WINDOWS\system32\route.exe ADD 192.168.111.0 MASK 255.255.255.0 192.168.250.254
2023-11-10 12:55:11 Route addition via service succeeded
2023-11-10 12:55:11 C:\WINDOWS\system32\route.exe ADD 10.163.226.192 MASK 255.255.255.192 192.168.250.254
2023-11-10 12:55:11 Route addition via service succeeded
2023-11-10 12:55:11 C:\WINDOWS\system32\route.exe ADD 10.163.225.224 MASK 255.255.255.224 192.168.250.254
2023-11-10 12:55:11 Route addition via service succeeded
2023-11-10 12:55:11 C:\WINDOWS\system32\route.exe ADD 10.163.224.32 MASK 255.255.255.224 192.168.250.254
2023-11-10 12:55:11 Route addition via service succeeded
2023-11-10 12:55:11 C:\WINDOWS\system32\route.exe ADD 192.168.3.0 MASK 255.255.255.0 192.168.250.254
2023-11-10 12:55:11 Route addition via service succeeded
2023-11-10 12:55:11 Initialization Sequence Completed
2023-11-10 12:55:11 MANAGEMENT: >STATE:1699617311,CONNECTED,SUCCESS,192.168.250.16,79.135.52.20,1205,192.168.3.18,61813

r3dl4nce · 10 Novembre 2023

Quale IP non risponde al ping? Fai un traceroute -d passa dalla vpn? Potrebbe essere un problema di configurazione firewall nel server openvpn?

Inoltre Zeroshell è dismesso con l'ultima versione a 2 anni fa, direi che sia ora di cambiare server openvpn...

Zeroshell - Wikipedia

en.wikipedia.org

Golem91 · 10 Novembre 2023

r3dl4nce ha detto:
Quale IP non risponde al ping? Fai un traceroute -d passa dalla vpn? Potrebbe essere un problema di configurazione firewall nel server openvpn?

Inoltre Zeroshell è dismesso con l'ultima versione a 2 anni fa, direi che sia ora di cambiare server openvpn...

Zeroshell - Wikipedia

en.wikipedia.org

Però se fosse un problema del firewall perchè tutti gli altri user non hanno problemi? L'ip che non risponde è quello del server il 192.168.111.3 ma in realtà non pinga niente sulla subnet del server

Post unito automaticamente: 10 Novembre 2023

Questo il tracert verso l ip

r3dl4nce · 10 Novembre 2023

Dal log che hai postato vedo questo

Codice:

2023-11-10 12:55:06 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.250.16/255.255.255.0 on interface {6935761A-C4CB-45AE-B0C9-58A4522289DD} [DHCP-serv: 192.168.250.0, lease-time: 31536000]

...

2023-11-10 12:55:11 C:\WINDOWS\system32\route.exe ADD 192.168.111.0 MASK 255.255.255.0 192.168.250.254
2023-11-10 12:55:11 Route addition via service succeeded

Quindi suppongo che la subnet di openvpn sia 192.168.250.0/24 e l'IP del server openvpn sia 192.168.250.254

Come vedi da quel traceroute il ping a quel IP invece non sta passando dall'interfaccia della VPN. Vuol dire che hai una route su un'interfaccia con metrica che ha precedenza (più bassa) che instrada quel IP

lo pouoi vedere se fai un route print 192.168.111.* così vedi la situazione

Golem91 · 10 Novembre 2023

r3dl4nce ha detto:
Dal log che hai postato vedo questo

Codice:

2023-11-10 12:55:06 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.250.16/255.255.255.0 on interface {6935761A-C4CB-45AE-B0C9-58A4522289DD} [DHCP-serv: 192.168.250.0, lease-time: 31536000] ... 2023-11-10 12:55:11 C:\WINDOWS\system32\route.exe ADD 192.168.111.0 MASK 255.255.255.0 192.168.250.254 2023-11-10 12:55:11 Route addition via service succeeded

Quindi suppongo che la subnet di openvpn sia 192.168.250.0/24 e l'IP del server openvpn sia 192.168.250.254

Come vedi da quel traceroute il ping a quel IP invece non sta passando dall'interfaccia della VPN. Vuol dire che hai una route su un'interfaccia con metrica che ha precedenza (più bassa) che instrada quel IP

lo pouoi vedere se fai un route print 192.168.111.* così vedi la situazione

Ho provato e questa è la situazione che mi appare

r3dl4nce · 10 Novembre 2023

se scrivevi rout eprint 192.168.111.* avevi molte meno voci

Comunque come vedi la subnet 192.168.111.0/24 ha due route, ovvero tramite il gateway 192.168.3.248 sull'interfaccia con IP 192.168.3.18 e poi la route della VPN, questa ha metrica superiore quindi ha precedenza inferiore.
Devi capire perché hai impostato quella route statica (lo vedi nella sezione route permanenti) beh direi anche che ci sarebbe da rivedere completamente il routing mi sembra un gran casino ma vabbè, spero che il sistemista che ha fatto sta roba sappia quel che fa ma ho seri dubbi, se usa ancora zeroshell...

Golem91 · 10 Novembre 2023

r3dl4nce ha detto:
se scrivevi rout eprint 192.168.111.* avevi molte meno voci

Comunque come vedi la subnet 192.168.111.0/24 ha due route, ovvero tramite il gateway 192.168.3.248 sull'interfaccia con IP 192.168.3.18 e poi la route della VPN, questa ha metrica superiore quindi ha precedenza inferiore.
Devi capire perché hai impostato quella route statica (lo vedi nella sezione route permanenti) beh direi anche che ci sarebbe da rivedere completamente il routing mi sembra un gran casino ma vabbè, spero che il sistemista che ha fatto sta roba sappia quel che fa ma ho seri dubbi, se usa ancora zeroshell...

Eh purtroppo non sono un esperto tante cose non le so

mi hanno detto che il 3.248 è la zeroshell del server della sede dove sono questi 3 client e che la route statica che c'era tra le 2 zeroshell è down

r3dl4nce · 10 Novembre 2023

Ma scusa, visto che si parla di ambito business, non avete un sistemista che sappia cosa sta facendo? Perché, scusami se lo dico, ma non mi sembri particolarmente ferrato in networking.
Io ti ho fatto vedere dove sta il problema, chiaramente non posso sapere perché sia presente quella route statica, nonché una miliardata di altre route IMHO tutte da rivedere, questo è da capire avendo ben chiara la struttura di rete, le route di questa vpn, ecc.
Non è compito mio ma del sistemista che ti gestisce la ditta.

Golem91 · 10 Novembre 2023

r3dl4nce ha detto:
Ma scusa, visto che si parla di ambito business, non avete un sistemista che sappia cosa sta facendo? Perché, scusami se lo dico, ma non mi sembri particolarmente ferrato in networking.
Io ti ho fatto vedere dove sta il problema, chiaramente non posso sapere perché sia presente quella route statica, nonché una miliardata di altre route IMHO tutte da rivedere, questo è da capire avendo ben chiara la struttura di rete, le route di questa vpn, ecc.
Non è compito mio ma del sistemista che ti gestisce la ditta.

Assolutamente nessun offesa non sono io che mi occupo di queste cose il problema è proprio quello che il sistemista è andato via e ha lasciato questa situazione.
Grazie comunque per le risposte

Cerca

PROBLEMA Open VPN

Golem91

Utente Attivo

r3dl4nce

Golem91

Utente Attivo

r3dl4nce

Golem91

Utente Attivo

r3dl4nce

Golem91

Utente Attivo

r3dl4nce

Zeroshell - Wikipedia

Golem91

Utente Attivo

Zeroshell - Wikipedia

r3dl4nce

Golem91

Utente Attivo

r3dl4nce

Golem91

Utente Attivo

r3dl4nce

Golem91

Utente Attivo

Ci sono discussioni simili a riguardo, dai un'occhiata!

Entra

Discussioni Simili