ребят такая проблема: подключается нормально с андроида (8.1) на tcp соединение, а интернета нет. При этом соединяюсь с этих конфигов с винды, все работает нормально. Есть еще отдельный конфинг сервера и клиента по udp, и виндовс и андроид все работает нормально. Т.е. из 4 клиентов (2 tcp и 2 udp (клиенты андроид и виндовс)) не работает(подключается,но интернета нет) только один клиент на андроиде по tcp. В чем может быть проблема? Приложение андроид 3.0.5.
конфиг tcp server
[spoiler]
# Внешний IP-адрес OpenVPN-сервера, на котором слушать запросы
local (ip servera)
# Какой TCP/UDP порт должен слушать OpenVPN?
# Если вы хотите запустить несколько OpenVPN процессов
# на одной машине, используйте различные номера
# портов для каждого процесса. Вы должны
# открыть этот порт в вашем файерволе.
port 554
#опция port-share, которая как раз позволяет
#OpenVPN-серверу использовать совместно с HTTPS-сервером один и тот же TCP-порт.
#Для настройки этой возможности, необходимо HTTPS-сервер перевесить на другой порт
#(например 4443) и в конфигурационный файл OpenVPN сервера добавить опции:
;port-share localhost 4443
# Вид протокола (tcp или udp)
;proto udp
proto tcp
# «dev tun» создаст маршрутизируемый IP туннель,
# «dev tap» создаст ethernet туннель.
# Используйте «dev tap0» если вам нужен мост
# и объедините полученный tap0 виртуальный интерфейс
# в режиме моста с вашим ethernet интерфейсом.
# Если вы хотите управлять правами доступа
# через VPN, вы должны создать правила файервола
# для TUN/TAP интерфейса.
# На не-Windows системах, вы можете указать
# явный номер устройствам, как например, tun0.
# В Windows, используйте для этого «dev-node».
# В большинстве систем, VPN не будет работать
# пока вы частично или польностью не отключите
# файервол для TUN/TAP интерфейса.
#Так же можно явно указывать номер виртуального интрефейса, например tun0.
dev tun
;dev tap
# Явное указание, что данный хост является TLS сервером
tls-server
# Расположение сертификатов и ключей
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh2048.pem
# Виртуальная сеть, которая будет установлена между клиентом и сервером
# Закоментируйте эту строку, если вы используете
# ethernet мост. Смотри man для получения дополнительной информации.
server 10.10.11.0 255.255.255.0
# Укажите хранить соответствие клиент <-> виртуальный IP адрес
# в файле. Если OpenVPN будет остановлен или
# перезапущен, переприсоединившиеся клиенты смогут получить
# тот же виртуальный IP адрес из пула, что был назначен ранее.
ifconfig-pool-persist /etc/openvpn/ipp.txt
# Установите серверный режим для ethernet моста.
# Вы должны сначала в своей ОС настроить мост
# между TAP и NIC интерфейсом.
# Затем вы должны вручную установить
# IP/маску на мост, к примеру 10.8.0.4/255.255.255.0.
# В заключении мы должны установить диапазон IP
# адресов в этой подсети для выделения клиентам
# (начало=10.8.0.50 конец=10.8.0.100).
# Оставьте эту строку закоментированной, если вы
# не используете ethernet мост.
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
# Установите клиенту соответствующие маршруты
# для возможности работать с другими подсетями
# за сервером. Помните, что эти подсети так же
# должны знать маршрут к клиентам
# адресного пула OpenVPN (10.10.10.0/255.255.255.0)
;push «route 192.168.10.0 255.255.255.0»
;push «route 192.168.20.0 255.255.255.0»
# Допустим вы хотите сделать различные права доступа
# на файерволе для различных групп клиентов
# Есть два способв:
# (1) Запустит несколько OpenVPN демонов, по одному на
# каждую группу, и настроить файервол на каждом TUN/TAP
# интерфейсе для каждой группы/демона соответственно.
# (2) (Advanced) Создать скрипт для динамической
# модификации файервола при подключении
# различных клиентов. Смотри man для получения
# дополнительной информации по learn-address скрипту.
;learn-address ./sсript
# Разрешаем клиентам обмениваться пакетами(по умолчанию клиент видит только сервер)
client-to-client
# Расскомментировать,если используется один ключ/сертификат или одно имя клиента(common name) на несколько клиентов
;duplicate-cn
# Проверяем соединение каждые 10 секунд, если его нет то через 120 секунд переподключаем
keepalive 10 120
# На стороне сервера 0, на стороне клиента 1
tls-auth /etc/openvpn/keys/ta.key 0
tls-timeout 120
# Включить сжатие на VPN линии.
# Если вы включаете это здесь, вы так же
# должны включить сжатие в конфиге клиента.
comp-lzo
# Максимальное количество клиентов
max-clients 2
# Назначаем пользователя и группу для работы с OpenVPN
user nobody
group nogroup
# Не перечитывать ключи после получения SIGUSR1 или ping-restart
persist-key
# Не закрывать или переоткрывать TUN\TAP устройство, после получения SIGUSR1 или ping-restart
persist-tun
# Записывать статус сервера OpenVPN
status /var/log/openvpn/openvpn-status.log
# Логи
log /var/log/openvpn/openvpn.log
# Установите необходимый уровень логирования.
#
# 0 - ничего, за исключением фатальных ошибок
# 4 - подойдет для получения общих сведений
# 5 и 6 пригодяться для отладки проблем соединения
# 9 - максимально возможная информация
verb 4
# Запрещает повтор сообщений. Не более 20
# идущих друг за другом сообщений одного типа
# будут направлены в лог.
mute 20
# шифрование
auth SHA512
cipher AES-256-CBC
# весь трафик идет через впн
# local опция в одной беспроводной сети
push «redirect-gateway def1 bypass-dhcp»
;push «redirect-gateway local def1»
;push «redirect-gateway def1» # эта опция под ?
[/spoiler]
конфиг tcp клиента
[spoiler]
remote-cert-tls server
client
auth-nocache
#Windows route method
;route-method exe
;route-delay 3
dev tun
proto tcp
;proto udp
remote (ip servera) 554
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert user1.crt
key user1.key
tls-auth ta.key 1
keepalive 10 120
comp-lzo
verb 4
mute 20
auth SHA512
cipher AES-256-CBC
[/spoiler]
надеюсь понятно обьяснил