Topic: sme 9 e vpn

[killrob]

Io ho rifatto il certificato più volte utilizzando il link che avevi postato tu precedentemente ho anche cercato parecchio in rete il tipo di errore, ma non sono situazioni nemmeno simili alla mia. Tanto per esempio in 4 o 5 soluzioni che avevo individuato grazie a google ho notato che, lato server, il dev è sempre impostato a tun, nella mia configurazione invece il dev è impostato a tap0, ho provato a cambiarlo (utilizzando prima tun e poi tun0) con il risultato che openvpn nemmeno partiva e così l'ho rimesso a tap0.
In ogni modo il certificato l'ho reimpostato esattamente come mi hai detto tu ma il problema non si risolve.
Ribadisco che tutte le porte ed i firewall, sia client che SME server, sono impostati correttamente per consentire il traffico in e out sulla porta 1194. Forse dovrei provare a cambiare porta per vedere che succede.

[killrob]

https://forums.openvpn.net/viewtopic.php?t=21278

qui dicono che probabilmente non è stato creato un certificato ssl server.
ho seguito le sue istruzioni, andando a controllare i files .pem, visto che non ho i crt e questo è il risultato:

Code: [Select]

[root@sassone01 pub]# ls
cacert.pem  cacrl.pem  cert.pem  dh.pem
[root@sassone01 pub]# openssl verify -CAfile cacert.pem -purpose sslserver cert.pem
cert.pem: OK
come vedi mi dice che il certificato è ok.

[ReetP]

La modalità "Bridge" usa "tap" e "routed" usa "tun".

Non cambiare questo.

Sei molto abile nel cambiare molte cose senza cercare effettivamente di correggere l'errore segnalato ed è difficile dire cosa sia cosa. Devi essere metodico. Le impostazioni predefinite per la maggior parte delle opzioni funzioneranno se il tuo server è configurato correttamente.

Stai usando PHPKI? È molto più facile con questo.

Il tuo SERVER ha bisogno di un certificato SERVER

Il CLIENTE necessita di un certificato CLIENT.

Non sono la stessa cosa.

https://wiki.contribs.org/OpenVPN_Bridge#Using_PHPki_to_manage_the_certificates

Nota che ogni fine richiede:

Certificato CA.
Certificato server o client
Chiave privata del server o del client
Tasto DH

Quando si imposta PHPKI per la prima volta, viene generato un certificato di origine CA

Quindi si genera un server e un certificato client che sono firmati dalla CA.

Potrebbe essere necessario tornare indietro, distruggere tutti i certificati, ripristinare le impostazioni di openvpn e ricominciare da capo (non preoccuparti - questo mi ha richiesto diversi tentativi per ottenere da solo!)

Non mi hai ancora detto che tipo di hardware del server hai?

---------

Bridge mode uses tap and routed uses tun.

Don't change this.

You are wildy changing lots of things without actually trying to fix the error reported and it is difficult to tell what is what. You must be methodical. The default settings for most options will work if your server is set up correctly.

Are you using PHPKI ? It is much easier with this.

Your SERVER needs a SERVER certificate

Your CLIENT needs a CLIENT certificate.

They are not the same.

https://wiki.contribs.org/OpenVPN_Bridge#Using_PHPki_to_manage_the_certificates

Note that each end requires:

CA Certificate
Server or Client certificate
Server or Client private key
DH key

When you first setup PHPKI you generate a CA root certificate

You then generate a Server and a Client certificate which are signed by the CA.

You may need to go back, destroy all the certificates, reset your openvpn settings and start again (don't worry - this took me several attempts to get right myself !)

You have still not told me what sort of server hardware you have ??

[killrob]

Ok ora ho capito l'errore.
Ho creato solo il certificato server e non il certificato client. Rettifico e provo.
Grazie mille

Ok provato e funziona
Grazie di nuovo per avermi aperto gli occhi

[ReetP]

Molto bene !
Sempre bello quando funziona

----

Very good !
Always nice when it works

[killrob]

Rieccomi qui...

il collegamento funziona, nel senso che si collega alla vpn creata su SME senza problemi e mi assegna l'indirizzo IP che mi aspetto, peccato che non mi fa navigare nella rete interna.
L'errore che ricevo da windows 10 è 0x80004005 e naturalmente non ha un minimo di significato.
Il log di openvpn mi riporta questo errore:

Code: [Select]

MULTI ROUTE: route quota (256) exceeded for killrob/xxx.xxx.xxx.xxx:46512 (see --max-routes-per-client option)
Utilizzando io su windows OpenVPN non so proprio dove andare a configurare quel parametro

[ReetP]

https://forums.openvpn.net/viewtopic.php?t=24927

Etc etc etc......

Google

"openvpn MULTI ROUTE: route quota (256) exceeded"

[killrob]

Mi spiace che tu pensi che io non abbia cercato su google prima di postare qui, e non vorrei nemmeno essere considerato scortese ma, cosa c'entra il post che mi hai linkato con il mio problema?
Io ho un problema di route quota nel post che mi hai linkato:

Code: [Select]

Work-Laptop/Public.IP.From.ISP:12804 MULTI: bad source address from client [192.168.1.2], packet dropped
non mi sembra si riferiscano alla stessa cosa.

In rete ho trovato riferimenti a cambiare dei parametri di configurazione per il route quota sul client ma io uso openvpnGUI e quel parametro non c'è.
Ho postato le configurazioni lato server e client in precedenza e non vedo il parametro per configurare max-routes-per-client.
Me lo puoi indicare nei file di configurazione che ho postato?
Da SME quel parametro non è settabile.
Sul client nemmeno.

[ReetP]

Hai chiesto informazioni su questa "route quota exceeded"

Ora stai chiedendo "Multi bad source address"

Se leggi, capiresti che potrebbero non essere uguali.

You asked about "route quota exceeded".

Now you are asking about "Multi bad source address"

If you read you would understand they may not be the same.

https://serverfault.com/questions/646130/multi-bad-source-address-from-client-any-one-off-solutions#695555


Il tuo sistema collega fondamentalmente quale è la parte più difficile. Gli errori che stai vedendo sono problemi di rete. C'è un'enorme quantità di informazioni su questi e devi cercare ogni errore, conoscerlo, comprenderlo e poi sistemarlo.

Non esiste un'unica soluzione. Varia da rete a rete a seconda della configurazione. Non c'è una semplice correzione o bacchetta magica. Solo alcune ricerche e un duro lavoro


Your system basically connects which is the hardest part.

The errors that you are seeing are network issues.

There is a huge amount of information on these and you have got to research each error, learn about it, understand it, and then fix it.

There is no single solution. It varies from network to network depending on your setup. There is no simple fix or magic wand. Just some research and hard work.

[killrob]

probabilmente non ci siamo capiti.
Io ho questo errore
"openvpn MULTI ROUTE: route quota (256) exceeded"

e tu mi hai linkato un post con questo errore:
"Work-Laptop/Public.IP.From.ISP:12804 MULTI: bad source address from client [192.168.1.2], packet dropped"

che con il mio errore non c'entra niente.

Maybe there is a misunderstanding.

I have this error:
"openvpn MULTI ROUTE: route quota (256) exceeded"

and you linked me a post with this error:
"Work-Laptop/Public.IP.From.ISP:12804 MULTI: bad source address from client [192.168.1.2], packet dropped"

surely are not the same error
i asked about the first error, not the second (that you linked me as example)

In a previous post i wrote my server and client configuration.
Can you kindly tell me in which configuration file (server or client) is the parameter "max_routes_per_client" so i can change it?
I would like to remember you that the server is a SME 9.2 configured as server&gateway and that i used PHPki and the GUI interface in SME control panel to setup Openvpn. For the client (windows 10- 64bit) i use openvpn GUI.

[ReetP]

Scusa - in qualche modo i collegamenti pubblicati sono stati mescolati.

Non ho risposte specifiche alle tue domande. Ho appena avuto una buona ricerca che è ciò che devi veramente fare.

Prima hai detto questo:
« Reply #20 on: Yesterday at 03:05:28 AM »

MULTI ROUTE: route quota (256) exceeded for killrob/xxx.xxx.xxx.xxx:46512 (see --max-routes-per-client option)

https://forums.openvpn.net/viewtopic.php?t=21847

Tuttavia, sospetto che ci sia qualcosa di sbagliato nella tua configurazione sia nella configurazione del client che nella configurazione del server - quanti percorsi stai impostando? Dubito che tu abbia più di 256 set up?

Allora hai detto questo:
« Reply #22 on: Today at 02:25:10 AM »

Work-Laptop/Public.IP.From.ISP:12804 MULTI: bad source address from client [192.168.1.2], packet dropped

https://forums.openvpn.net/viewtopic.php?t=24927

https://serverfault.com/questions/646130/multi-bad-source-address-from-client-any-one-off-solutions#695555

Questo può probabilmente essere ignorato - ho il sospetto che questo è quando il tuo client è NAT'd alcuni dove (vedi il primo link sopra) e il server non sa come instradare determinati pacchetti.


-----------------------


Sorry - somehow the posted links got mixed.

I don't have specific answers to your questions. I have just had a good search which is what you really need to do.

You first said this:
« Reply #20 on: Yesterday at 03:05:28 AM »

MULTI ROUTE: route quota (256) exceeded for killrob/xxx.xxx.xxx.xxx:46512 (see --max-routes-per-client option)

https://forums.openvpn.net/viewtopic.php?t=21847

However, I suspect that there is something wrong in your configuration in either the client config or the server config - how many routes are you setting? I doubt you have more than 256 set up?

Then you said this:
« Reply #22 on: Today at 02:25:10 AM »

Work-Laptop/Public.IP.From.ISP:12804 MULTI: bad source address from client [192.168.1.2], packet dropped

https://forums.openvpn.net/viewtopic.php?t=24927

https://serverfault.com/questions/646130/multi-bad-source-address-from-client-any-one-off-solutions#695555

This can probably be ignored - I suspect this is when your client is NAT'd some where (see the first link above) and the server doesn't know how to route certain packets.

[killrob]

You can ignore the second error, is not my situation, i have only the routes quota exceeding limit error.
I will see the post you had linked