Помогите настроить VPN соединение между офисами

[blqs]

есть 2 офиса

офис 1:
роутер - wan ip xxx и local ip 20.0 настроены проброс портов
сервер zentyal  на гипервизоре local ip 20.254

офис 2. просто, сотрудники. Есть интернет.


Как получить доступ из другого офиса к этому серверу?


Сервер Zentyal
Создаем ВПН сервер с именем HQ в панели управления.
Автоматически создается сертификат.
В конфигурации UDP 11195 (в роутере перенаправление 11195 192ю168ю2ю254 11195)
впн адрес 192.168.90.0/24
сертификат сервера vpn-HQ
Client authorization by common name:    disable
:   
Enable it if you only have one network interface +
Allow client-to-client connections: +

List of Advertised Networks: 192.168.20.0/24


Создаю доп сертификат для клиентов
save & restart

Download Client Bundle:
Windows
certificate clients: certclient
Server address: router WAN IP

Скачиваю и кидаю на клиенте, в конфиг. Подключаюсь:
______________________________________________________________________
Tue Jun 12 14:35:13 2012 OpenVPN 2.3-alpha1 Win32-MSVC++ [SSL (OpenSSL)] [LZO2] [PF_INET6] [IPv6 payload 20110522-1 (2.2.0)] built on Feb 21 2012
Tue Jun 12 14:35:13 2012 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.10:25340
Tue Jun 12 14:35:13 2012 Need hold release from management interface, waiting...
Tue Jun 12 14:35:14 2012 MANAGEMENT: Client connected from [AF_INET]127.0.0.10:25340
Tue Jun 12 14:35:14 2012 MANAGEMENT: CMD 'state on'
Tue Jun 12 14:35:14 2012 MANAGEMENT: CMD 'log all on'
Tue Jun 12 14:35:14 2012 MANAGEMENT: CMD 'hold off'
Tue Jun 12 14:35:14 2012 MANAGEMENT: CMD 'hold release'
Tue Jun 12 14:35:14 2012 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
Tue Jun 12 14:35:14 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Jun 12 14:35:14 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue Jun 12 14:35:14 2012 UDPv4 link local: [undef]
Tue Jun 12 14:35:14 2012 UDPv4 link remote: [AF_INET]+++REAL+IP+++:11195
Tue Jun 12 14:35:14 2012 MANAGEMENT: >STATE:1339500914,WAIT,,,
______________________________________________________________________
Интерфейс тап не поднимается на кдлиенте, так и весит (нет сетевого кабеля).
Получаю сообщение Connecting to HQ-client has failed

Подскажите как настроить. Очень нужно. С впн столкнулся впервые.

[mravil]

А Zentyal принимает соединения на порту 11195 из локальной сети, на правильном ли интерфейсе слушает OpenVPN демон порт 11195?

[YOBA]

Client authorization by common name:    disable

<...>

Создаю доп сертификат для клиентов

На мой взгляд, вам необходимо сделать так: "Client authorization by common name: enable"
И выбрать там сертификат, тот же, который вы выберете при "скачать клиентский бандл".

Поправьте меня, если я не прав.

[mravil]

При выборе авторизации по никнейму будет разрешен доступ лишь тому юзеру, которого мы выбираем. К примеру: пусть к нашему серверу имеют доступ по VPN 10 пользователей, для них сгенерированы cертификаты, но вдруг необходимо резрешить доступ лишь пользователю admin - в этом случае мы выбираем Client authorization by common name: admin. В итоге, даже при рабочем сертификате доступа, клиент glavbuh не пройдет авторизацию, так как не выполнено "дополнительное" условие.

[mravil]

Что касаемо вопроса "что делать?". Роутер на linux? Если да, то подгрузить модули ядра для работы с туннелями, на всякий случай. В топике "Кто нибудь сможет это повторить я уже описвал список модулей для GRE туннеля , поищите... я честно признаюсь, лень искать и копипастить