ПОИСК НЕИСПРАВНОСТЕЙ VPN ANDROID И ПРОТОКОЛ OPENVPN

ВАЖНО!

Перед началом поиска проблем убедитесь, что все галочки на страницах "Гостевой доступ", "Белый список", "Маршрут по умолчанию" в вашем персональном разделе системы сняты! Это поможет локализовать и исправить ошибку быстрее.

Помните, что настройки туннелей в системе VPNKI применяются при переподключении туннеля. Поэтому при изменении информации в личном кабинете системы всегда переподключайте все туннели в вашем аккаунте.

 

Шаг 1. Подключение

1.0. Если соединения нет, то первым делом проверьте, что ваш внешний IP адрес не заблокирован в нашей системе. Узнать свой белый IP адрес можно, например, задав в поиске Яндекса фразу "IP address". Запомните адрес, а потом посмотрите на перечень заблокированных IP адресов в нашей системе. Этот список можно найти на странице "Инструменты" - "Заблокированные IP адреса".

1.1. Самая рапространненая причина невозможности устрановления соединения - ошибка в имени пользователя и пароле.

1.2. Если вы несколько раз включали и выключали OpenVPN сервер на личной странице системы, то имеет смысл проверить файл ovpn. Зайдите в личный кабинет, посмотрите параметры включенного сервера. Вас должен интересовать порт, тип протокола (UDP или TCP), а также наличие или отсутствие шифрования. Затем откройте любым редактором загруженный файл профиля и сравните параметры с тем, что есть на сайте системы. Порт будет указан в сроке remote msk.vpnki.ru 3..... . Тип протокола в строке proto tcp или proto udp. Наличие или отсутствие шифрования будут указаны в строке cipher AES-128-CBC или cipher none.

1.4. Если вы все сделали верно, но соединение не устанавливается, то обратитесь к нам в форум.

Сформулируйте ситуацию, сообщите время/дату неуспешного подключения, тип используемого протокола, а также имя пользователя, чье соединение не установилось.

Результат этого шага - Соединение установлено.

Шаг 2. Подключение установлено, как мне проверить что я на верном пути?

2.1. После установления соединения ваше устройство автоматически получит адрес из сети 172.16.0.0/16.
После этого вы должны успешно пинговать адрес сервера vpnki путем выполнения команды ping 172.16.0.1 на своем устройстве.
Для Android существует множество утилит для пинга. Мы, например, используем утилиту Ping & DNS из Google Play. Она содержит в себе не только "пинговалку", но и прочие инстументы. К примеру можно посмотреть перечень интерфейсов, таблицу маршрутов (правда не полную) и прочую нужную информацию.

Если пинг не проходит, то убедитесь что новый интерфейс на вашей системе создался. В утилите Ping & DNS вы можете нажать кнопку Network Info и поискать в выводе интерфейс tunX.

Если интерфейс создан, адрес получен, то пинг адреса 172.16.0.1 должен быть успешным.

Результат этого шага - команда ping 172.16.0.1 выполняется успешно.

Шаг 3. Подключение установлено, пинг адреса 172.16.0.1 успешен. Что дальше?

Дальнейшие действия связаны с наличием маршрутной информации. Дело в том, что после подключения, адрес сервера VPNKI - 172.16.0.1 является адресом, напрямую подключенным к вашему устройству по каналу точка-точка. По этой причине ваше устройство "знает" об этом адресе и успешно пингует его.
Однако, на этом этапе, ваше устройство не обладает информацией о других адресах вашей сети VPNKI. Первым шагом будет являться "обучение" вашего устройства новому маршруту к сети VPNKI 172.16.0.0/16 .
Именно в этой сети находятся все ваши прочие туннели. Подключаясь по протоколу OpenVPN вы должны автоматически получить маршрут к сети 172.16.0.0/16.

Эта сеть должна быть доступна через адрес сервера VPNKI - 172.16.0.1 .

После записи маршрута в таблицу Android вы должны успешно выполнить пинг своего "другого устройства", подключенного к сети VPNKI по его адресу 172.16.x.x. Выполните команду ping 172.16.x.x

Однако обращаем внимание.

- второе устройство также должно содержать в своей таблице маршрутов путь к сети 172.16.0.0/16. Это необходимо для отправки ответов на ваш пинг.

- на втором вашем устройстве межсетевой экран не должен блокировать ответы на пакеты icmp. Проверить принципиальную возможность ответов устройства на пакеты утилиты ping вы можете с нашей страницы "Инструменты", указав адрес устройства. Если вы уверены, что устройство настроено правильно, но пинги с этой страницы не проходят, то смотрите настройки своего устройства, относящиеся к протоколу icmp.

Результат этого шага - наличие маршрута к сети 172.16.0.0/16 в таблице маршрутов Android устройства и успешный пинг вашего второго устройства по адресу 172.16.x.x.

Шаг 4. Пинг моего другого устройства по адресу 172.16.x.x успешен. А как выполнить пинг другого устройства по его внутреннему адресу 192.168.x.x?

Дальше начинается действие, ради которого все и затевалось - получение одним устройством c ОС Android доступа к внутренней сети, расположенной за вторым устройством (маршрутизатором). Эти действия связаны с наличием маршрутной информации о сети "за" маршуртизатором и почти аналогичны предыдущему шагу, но с некоторыми отличиями. Теперь нам необходимо не только обучить ваш Android "знанию" о сети 172.16.0.0/16, что было выполнено на предыдущем шаге/ Теперь ему необходимо дать информацию о сети, расположенной "за" маршрутизатором вашего второго туннеля.

Прежде чем приступить к этому шагу вы должны убедиться в том, что сеть "за" вашим маршрутизатором НЕ пересекается с сетью, в которую подключено ваше Андроид устройство. То есть, если ваш Андроид находится в сети 192.168.0.0/24 (например дом) и такая же сеть 192.168.0.0/24 расположена за вторым устройством (например дача), то такая конфигурация будет некорректной. Из этой ситуации есть два выхода:

- перенастроить одну из сетей на другую схему адресации, например 192.168.1.0/24.

- осуществить трансляцию портов на вашем втором устройстве в адрес, полученный от сети vpnki 172.16.x.x. Эту конфигурацию мы не будем рассматривать в рамках настоящего документа.

Стоит отметить, что маршрут о вашей "другой" сети поступит на ваш Андроид при установлении OpenVPN подключения автоматически.

Обращаем внимание:

- второе устройство (маршрутизатор) должно содержать в своей таблце маршрутов путь к сети 172.16.0.0/16 для отправки ответов на ваш пинг.

- на втором вашем устройстве (маршрутизаторе) межсетевой экране не должен блокировать ответы на пакеты icmp.

Результат этого шага - успешный пинг вашего второго устройства по его внутреннему адресу 192.168.1.x.

PS: В целях борьбы с зависшими сессиями мы принудительно отключаем пользовательские туннели с протоколом OpenVPN в 00:00 по Московскому времени. При правильной настройке соединения должны автоматически переустановиться.

Рекомендации по выбору тарифа

Если вы не планируете передачу видео трафика, то мы рекомендуем вам начинать с выбора тарифа PLAN-MYDEV. Если передача видео будет осуществляться, то стоит сразу начинать с PLAN-VIDEO. Если скорости хватать не будет, то в любое время вы можете изменить тариф на более скоростной.

Если вы используете нашу систему для решения бизнес задач, то можно начать с аналогичных тарифов с приставкой BUSINESS-.

Контролировать объем переданного трафика вы можете на странице с графиками использования.

Узнать реальную скорость своего VPN соединения вы можете утилитой iperf3 на странице "Инструменты". Стоит отметить, что скорость передачи полезных данных будет зависеть от трех факторов:

• от типа используемого протокола VPN;

• типа используемого транспортного протокола - TCP или UDP;

• физической удаленности вашего устройства от нашего сервера.

Худшим вариантом по скорости окажется вариант, когда в качестве транспортного протокола для VPN соединения используется протокол TCP. При этом ваше устройство размещено далеко от сервера VPNKI. В этом случае, реальная скорость передачи данных будет определяться необходимостью подтверждения получения каждого пакета в протоколе TCP.

ДОПОЛНИТЕЛЬНО ПО ТЕМЕ КОНФИГУРАЦИИ УДАЛЕННОГО ДОСТУПА

• Рабочий стол Windows через RDP и OpenVPN. Ссылка здесь.

• Выставить FTP сервер в сеть Интернет через проброс TCP порта. Ссылка здесь.

ОБЩАЯ ИНФОРМАЦИЯ ОБ УДАЛЕННОМ ДОСТУПЕ

• Немного более подробно про IP адреса. Можно прочитать на нашем сайте.

• Про удалённый доступ к компьютеру можно. Можно почитать на нашем сайте.

• Про VPN и протоколы можно почитать здесь.

• Про выход в Интернет через VPN и центральный офис. Можно почитать здесь.