為啥OPENVPN CLient端和sever端相互ping 不通

為啥OPENVPN CLient端和sever端相互ping 不通

各位大蝦 我在linux安裝了openvpn 2.0.2
在windows 2000安裝了openvpn 2.0.4

雙方啟動正常 windows 2000 TAP獲得10.8.0.4  sever端好象有兩個
Tap1 tap0 都是10.8.0.1 (不知道怎麼會事）

在client端ping 10.8.0.4可以 可是ping 10.8.0.1不通
在server端ping 10.8.0.1可以 可是ping 10.8.0.4不通

在client端  arp -a

看不到10.8.0.1

看看大家有什麼高招

server.conf

#申明本機使用的IP地址，也可以不說明
;local a.b.c.d
#申明使用的埠，默認1194
port 2194
#申明使用的協議，默認使用UDP，如果使用HTTP proxy，必須使用TCP協議
;proto tcp
proto udp
#申明使用的設備可選tap和tun，tap是二層設備，支持鏈路層協議。
#tun是ip層的點對點協議，限制稍微多一些，本人習慣使用TAP設備
dev tap
;dev tun
#OpenVPN使用的ROOT CA，使用build-ca生成的，用於驗證客戶是證書是否合法
ca ca.crt
#Server使用的證書文件
cert server.crt
#Server使用的證書對應的key，注意文件的許可權，防止被盜
key server.key # This file should be kept secret
#CRL文件的申明，被吊銷的證書鏈，這些證書將無法登錄
crl-verify vpncrl.pem
#上面提到的生成的Diffie-Hellman文件
dh dh1024.pem
server 10.8.0.0 255.255.255.0 #等效於以上命令
#用於記錄某個Client獲得的IP地址，類似於dhcpd.lease文件，
#防止openvpn重新啟動后「忘記」Client曾經使用過的IP地址
ifconfig-pool-persist ipp.txt
#Bridge狀態下類似DHCPD的配置，為客戶分配地址，由於這裡工作在路由模式，所以不使用
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
#通過VPN Server往Client push路由，client通過pull指令獲得Server push的所有選項並應用
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
#VPN啟動后，在VPN Server上增加的路由，VPN停止后自動刪除
;route 10.9.0.0 255.255.255.252
#Run script or shell command cmd to validate client
#virtual addresses or routes. 具體查看manual
;learn-address ./script
#其他的一些需要PUSH給Client的選項
#
#使Client的默認網關指向VPN，讓Client的所有Traffic都通過VPN走
;push "redirect-gateway"
#DHCP的一些選項，具體查看Manual
;push "dhcp-option DNS 10.8.0.1"
;push "dhcp-option WINS 10.8.0.1"
#如果可以讓VPN Client之間相互訪問直接通過openvpn程序轉發，
#不用發送到tun或者tap設備后重新轉發，優化Client to Client的訪問效率
client-to-client
#如果Client使用的CA的Common Name有重複了，或者說客戶都使用相同的CA
#和keys連接VPN，一定要打開這個選項，否則只允許一個人連接VPN
;duplicate-cn
#NAT後面使用VPN，如果VPN長時間不通信，NAT Session可能會失效，
#導致VPN連接丟失，為防止之類事情的發生，keepalive提供一個類似於ping的機制，
#下面表示每10秒通過VPN的Control通道ping對方，如果連續120秒無法ping通，
#認為連接丟失，並重新啟動VPN，重新連接
#（對於mode server模式下的openvpn不會重新連接）。
keepalive 10 120
#上面提到的HMAC防火牆，防止DOS攻擊，對於所有的控制信息，都使用HMAC signature，
#沒有HMAC signature的控制信息不予處理，注意server端後面的數字肯定使用0，client使用1
tls-auth ta.key 0 # This file is secret
#對數據進行壓縮，注意Server和Client一致
comp-lzo
#定義最大連接數
;max-clients 100
#定義運行openvpn的用戶
user nobody
group nobody
#通過keepalive檢測超時后，重新啟動VPN，不重新讀取keys，保留第一次使用的keys
persist-key
#通過keepalive檢測超時后，重新啟動VPN，一直保持tun或者tap設備是linkup的，
#否則網路連接會先linkdown然後linkup
persist-tun
#定期把openvpn的一些狀態信息寫到文件中，以便自己寫程序計費或者進行其他操作
status openvpn-status.log
#記錄日誌，每次重新啟動openvpn后刪除原有的log信息
log /var/log/openvpn.log
#和log一致，每次重新啟動openvpn后保留原有的log信息，新信息追加到文件最後
;log-append openvpn.log
#相當於debug level，具體查看manual
verb 3


client ovpn
# 申明我們是一個client，配置從server端pull過來，如IP地址，路由信息之類「Server使用push指令push過來的」
client

#指定介面的類型，嚴格和Server端一致
dev tap
;dev tun

# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap

# 使用的協議，與Server嚴格一致
;proto tcp
proto udp

#設置Server的IP地址和埠，如果有多台機器做負載均衡，可以多次出現remote關鍵字

remote 192.168.1.157 2194
;remote my-server-2 1194

# 隨機選擇一個Server連接，否則按照順序從上到下依次連接
;remote-random

# 始終重新解析Server的IP地址（如果remote後面跟的是域名），
# 保證Server IP地址是動態的使用DDNS動態更新DNS后，Client在自動重新連接時重新解析Server的IP地址
# 這樣無需人為重新啟動，即可重新接入VPN
resolv-retry infinite

# 在本機不邦定任何埠監聽incoming數據，Client無需此操作，除非一對一的VPN有必要
nobind

# 運行openvpn用戶的身份，舊版本在win下需要把這兩行註釋掉，新版本無需此操作
user nobody
group nobody

#在Client端增加路由，使得所有訪問內網的流量都經過VPN出去
#當然也可以在Server的配置文件裡頭設置，Server配置裡頭使用的命令是
# push "route 192.168.0.0 255.255.255.0"
route 192.177.1.0 255.255.255.0

# 和Server配置上的功能一樣 如果使用了chroot或者su功能，最好打開下面2個選項，防止重新啟動后找不到keys文件，或者nobody用戶沒有許可權啟動tun設備
persist-key
persist-tun

# 如果你使用HTTP代理連接VPN Server，把Proxy的IP地址和埠寫到下面
# 如果代理需要驗證，使用http-proxy server port
# 其中authfile是一個2行的文本文件，用戶名和密碼各佔一行，auth-method可以省略，詳細信息查看Manual
;http-proxy-retry # retry on connection failures
;http-proxy

# 對於無線設備使用VPN的配置，看看就明白了
# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# Root CA 文件的文件名，用於驗證Server CA證書合法性，通過easy-rsa/build-ca生成的ca.crt，和Server配置里的ca.crt是同一個文件
ca ca.crt
# easy-rsa/build-key生成的key pair文件，上面生成key部分中有提到，不同客戶使用不同的keys修改以下兩行配置並使用他們的keys即可。
cert elm.crt
key elm.key

# Server使用build-key-server腳本什成的，在x509 v3擴展中加入了ns-cert-type選項
# 防止VPN client使用他們的keys ＋ DNS hack欺騙vpn client連接他們假冒的VPN Server
# 因為他們的CA里沒有這個擴展
ns-cert-type server

# 和Server配置里一致，ta.key也一致，注意最後參數使用的是1
tls-auth ta.key 1

# 壓縮選項，和Server嚴格一致
comp-lzo

# Set log file verbosity.
verb 6

問題出在你有兩個TAP,DOWN掉一個吧

還有看一下ROUTE

我也是一樣

偶的也是，誰知道是什麼原因呀！

給點詳細信息，路由表狀態，網路結構等等

我的也是這種情況，剛才發現關了伺服器端的2003遠程訪問NAT服務就好了，可能有衝突

Tags: