ПОИСК НЕИСПРАВНОСТЕЙ VPN WINDOWS 7, 8, 10 C  OPENVPN

ВАЖНО!

Перед началом поиска проблем убедитесь, что все галочки на страницах "Гостевой доступ", "Белый список", "Маршрут по умолчанию" в вашем персональном разделе системы сняты! Это поможет локализовать и исправить ошибку быстрее.

Помните, что настройки туннелей в системе VPNKI применяются при переподключении туннеля. Поэтому при изменении информации в личном кабинете системы всегда переподключайте все туннели в вашем аккаунте.

 

Шаг 1. Подключение

1.0. Если соединения нет, то первым делом проверьте, что ваш внешний IP адрес не заблокирован в нашей системе. Узнать свой белый IP адрес можно, например, задав в поиске Яндекса фразу "IP address". Запомните адрес, а потом посмотрите на перечень заблокированных IP адресов в нашей системе. Этот список можно найти на странице "Инструменты" - "Заблокированные IP адреса".

1.1. Самая рапространненая причина невозможности устрановления соединения - ошибка в имени пользователя и пароле.

1.2. Если вы несколько раз включали и выключали OpenVPN сервер на личной странице системы, то имеет смысл проверить файл ovpn. Зайдите в личный кабинет, посмотрите параметры включенного сервера. Вас должен интересовать порт, тип протокола (UDP или TCP), а также наличие или отсутствие шифрования. Затем откройте любым редактором загруженный файл профиля и сравните параметры с тем, что есть на сайте системы. Порт будет указан в сроке remote msk.vpnki.ru 3..... . Тип протокола в строке proto tcp или proto udp. Наличие или отсутствие шифрования будут указаны в строке cipher AES-128-CBC или cipher none.

1.3. Следующая причина - ваше соединение НЕ будет принято, если пользователь с таким именем уже подключен. В этом случае вы получите ошибку неуспешной авторизации.
Если вы некорректно оборвали первое соединение (например, отвалился канал к провайдеру) и начали устранавливать его еще раз, то в это случае наша система может вас не подключить. До того момента, пока не исчетет таймаут неактивности первой сессии на сервере.
В некоторых случаях этот таймаут может доходить до 5 минут.

Посмотреть это можно в журнале. Вы можете получить лог соединения OpenVPN в виде текстового файла на главной странице туннелей.

1.4. Если вы все сделали верно, но соединение не устанавливается, то обратитесь к нам в форум.

Сформулируйте ситуацию, сообщите время/дату неуспешного подключения, тип используемого протокола, а также имя пользователя, чье соединение не установилось.

Результат этого шага - Соединение установлено.

Шаг 2. Подключение установлено, как мне проверить что я на верном пути?

2.1. После установления соединения ваше устройство автоматически получит адрес из сети 172.16.0.0/16.
После этого вы должны успешно пинговать адрес сервера VPNKI путем выполнения команды ping 172.16.0.1 на своем компьютере.

Результат этого шага - команда ping 172.16.0.1 выполняется успешно.

Шаг 3. Подключение установлено, пинг адреса 172.16.0.1 успешен, что дальше?

Дальнейшие действия связаны с наличием маршрутной информации. Дело в том, что после подключения, адрес сервера VPNKI - 172.16.0.1 является адресом, напрямую подключенным к вашему устройству по каналу точка-точка. По этой причине ваше устройство "знает" об этом адресе и успешно пингует его.
Однако, на этом этапе, ваше устройство не обладает информацией о других адресах вашей сети vpnki. Первым шагом будет являться "обучение" вашего устройства новому маршруту к сети VPNKI 172.16.0.0/16 .
Именно в этой сети находятся все ваши прочие туннели. Подключаясь по протоколу OpenVPN вы должны автоматически получить маршрут к сети 172.16.0.0/16.

Эта сеть должна быть доступна через адрес сервера VPNKI - 172.16.0.1 .
Проверить это можно выполнив команду route print. В ее длинном выводе вы должны обнаружить следующую строку:

Сетевой адрес   Маска            Адрес шлюза    Интерфейс
172.16.0.0      255.255.0.0      On-link        172.16.x.x - выданный вам адрес

Если по какой-то причине данная строка не появилась то это означает, что маршрутная информация не получена. В этом случае имеет смысл разобраться в причине. Для этого свяжитесь с нами по адресу Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript..


После этого вы должны успешно выполнить пинг своего "другого устройства", подключенного к сети VPNKI по его адресу 172.16.x.x. Для этого выполните команду ping 172.16.x.x

Однако обращаем внимание:

- второе устройство также должно содержать в своей таблице маршрутов путь к сети 172.16.0.0/16. Это необходимо для знания о том - куда отправять ответы на ваш пинг.

- на втором вашем устройстве межсетевой экран не должен блокировать ответы на пакеты icmp. Проверить принципиальную возможность ответов устройства на пакеты утилиты ping вы можете с нашей страницы "Инструменты", указав адрес устройства. Если вы уверены, что устройство настроено правильно, но пинги с этой страницы не проходят, то смотрите настройки своего устройства, относящиеся к протоколу icmp.

Результат этого шага - наличие маршрута к сети 172.16.0.0/16 в таблице маршрутов Windows устройства и успешный пинг вашего второго устройства по адресу 172.16.x.x.

Шаг 4. Пинг моего другого устройства по адресу 172.16.x.x успешен. А как выполнить пинг другого устройства по его внутреннему адресу 192.168.x.x?

Дальше начинается действие, ради которого все и затевалось - получение одним устройством c ОС Windows доступа к внутренней сети, расположенной за устройством (маршрутизатором) в вашем другом туннеле. Эти действия связаны с наличием маршрутной информации о сети "за" маршуртизатором и почти аналогичны предыдущему шагу, но с некоторыми отличиями. Теперь нам необходимо не только обучить ваш Windows "знанию" о сети 172.16.0.0/16 . Это было выполнено на предыдущем шаге. Теперт надо дать ему информацию о сети, расположенной "за" маршрутизатором вашего второго туннеля.

Прежде чем приступить к этому шагу вы должны убедиться в том, что сеть "за" вашим маршрутизатором НЕ пересекается с сетью, в которую подключена ваша Windows машина. То есть, если ваш Windows находится в сети 192.168.0.0/24 (например дом) и такая же сеть 192.168.0.0/24 расположена за вторым устройством (например дача), то такая конфигурация будет некорректной и из нее есть два выхода:

- перенастроить одну из сетей на другую схему адресации, например 192.168.1.0/24.

- осуществить трансляцию портов на вашем втором устройстве в адрес, полученный от сети vpnki 172.16.x.x . Эту конфигурацию мы не будем рассматривать в рамках настоящего документа.

Итак, если вы имеете разные сети, то теперь нам необходимо сообщить вашему Windows устройству о наличии сети, например 192.168.1.0/24, расположенной за ваш вторым туннелем. Для этого вам необходимо на вашей персональной странице настроек VPNKI, для второго вашего туннеля (например дача) отметить галочкой то, что вы настраиваете маршуртизатор и за ним расположена сеть 192.168.1.0/24. Примененная на этой странице настройка добавит эту сеть в протокол OpenVPN и передаст в ваше Windows устройство при следующем подключении.

Проверить это вы сможете выполнив команду route print. В ее длинном выводе вы должны обнаружить следующую строку:

Сетевой адрес       Маска            Адрес шлюза         Интерфейс
192.168.1.0          255.255.255.0    on-link             172.16.x.x - выданный вам адрес

Если по какой-то причине данная строка не появилась это означает, что протокол OpenVPN корректно не отработал и маршрутная информация не получена. В этом случае имеет смысл разобраться в причине или добавить статический маршрут в ручном режиме.
В качестве обходного маневра вы можете прописать маршрут к сети 192.168.1.0/24 выполнив команду (с правами администратора!)
route add 192.168.1.0 mask 255.255.255.0 172.16.0.1

После этого вы должны успешно выполнить пинг своего "другого устройства", подключенного к сети VPNKI по его внутреннему адресу (например 192.168.1.1), выполнив команду ping 192.168.1.1

Однако обращаем внимание:

- второе устройство (маршрутизатор) должно содержать в своей таблце маршрутов путь к сети 172.16.0.0/16.Это нужно для отправки ответов на ваш пинг.

- на втором вашем устройстве (маршрутизаторе) межсетевой экране не должен блокировать ответы на пакеты icmp.

Результат этого шага - наличие маршрута к сети 192.168.1.0/24 в таблице маршрутов Windows устройства и успешный пинг вашего второго устройства по внутреннему адресу 192.168.1.x.

PS: В целях борьбы с зависшими сессиями мы принудительно отключаем пользовательские туннели с протоколом OpenVPN в 00:00 по Московскому времени. При правильной настройке соединения должны автоматически переустановиться.

ВАЖНО! ЕСЛИ СОЕДИНЕНИЕ В 00:00 НЕ ПЕРЕУСТАНАВЛИВАЕТСЯ, ТО ОЗНАКОМЬТЕСЬ С ЭТИМ ПОСТОМ НА ФОРУМЕ И ВНЕСИТЕ ИЗМЕНЕНИЯ В КОНФИГУРАЦИОННЫЙ ФАЙЛ OVPN.

Рекомендации по выбору тарифа

Если вы не планируете передачу видео трафика, то мы рекомендуем вам начинать с выбора тарифа PLAN-MYDEV. Если передача видео будет осуществляться, то стоит сразу начинать с PLAN-VIDEO. Если скорости хватать не будет, то в любое время вы можете изменить тариф на более скоростной.

Если вы используете нашу систему для решения бизнес задач, то можно начать с аналогичных тарифов с приставкой BUSINESS-.

Контролировать объем переданного трафика вы можете на странице с графиками использования.

Узнать реальную скорость своего VPN соединения вы можете утилитой iperf3 на странице "Инструменты". Стоит отметить, что скорость передачи полезных данных будет зависеть от трех факторов:

• от типа используемого протокола VPN;

• типа используемого транспортного протокола - TCP или UDP;

• физической удаленности вашего устройства от нашего сервера.

Худшим вариантом по скорости окажется вариант, когда в качестве транспортного протокола для VPN соединения используется протокол TCP. При этом ваше устройство размещено далеко от сервера VPNKI. В этом случае, реальная скорость передачи данных будет определяться необходимостью подтверждения получения каждого пакета в протоколе TCP.

ДОПОЛНИТЕЛЬНО ПО ТЕМЕ КОНФИГУРАЦИИ УДАЛЕННОГО ДОСТУПА

• Рабочий стол Windows через RDP и OpenVPN. Ссылка здесь.

• Выставить FTP сервер в сеть Интернет через проброс TCP порта. Ссылка здесь.

ОБЩАЯ ИНФОРМАЦИЯ ОБ УДАЛЕННОМ ДОСТУПЕ

• Немного более подробно про IP адреса. Можно прочитать на нашем сайте.

• Про удалённый доступ к компьютеру можно. Можно почитать на нашем сайте.

• Про VPN и протоколы можно почитать здесь.

• Про выход в Интернет через VPN и центральный офис. Можно почитать здесь.