Доброе... Поскажите пожалуйста. Есть openvpn 2.2.2 (Думаю стоит обновить до последней или нет?))) суть проблемы такая: из локальной сети подключается нормально. Но стоит пробовать подключаться из не локалки), то на сервере в логах появляется следующее:
Thu Apr 10 17:36:30 2014 192.168.1.1:65464 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Apr 10 17:36:30 2014 192.168.1.1:65464 TLS Error: TLS handshake failedНа клиенте все зависает на этом месте:
Thu Apr 10 16:14:15 2014 Local Options hash (VER=V4): 'a5d50645'
Thu Apr 10 16:14:15 2014 Expected Remote Options hash (VER=V4): '14d315e7'
Thu Apr 10 16:14:15 2014 UDPv4 link local: [undef]
Thu Apr 10 16:14:15 2014 UDPv4 link remote: 5.*.*.*:1194
Thu Apr 10 16:14:15 2014 TLS: Initial packet from 5.*.*.*:1194,
sid=8e9352f1 d6a7b290Вот конфиг сервера:
port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 10.8.1.0 255.255.255.0"
client-config-dir ccd
route 10.8.3.0 255.255.255.0
route 10.8.4.0 255.255.255.0
route 10.8.5.0 255.255.255.0
route 10.8.6.0 255.255.255.0
route 10.8.7.0 255.255.255.0
route 10.8.8.0 255.255.255.0
keepalive 5 240
tls-server
tls-auth /etc/openvpn/keys/ta.key 0.
tls-timeout 120
auth SHA512
cipher AES-256-CBC # AES
comp-lzo
status-version 2
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
log-append /etc/openvpn/openvpn-tun.log
verb 3
mute 10
management localhost 7557
Вот клиент:
client
dev tun
remote 5.*.*.* 1194
remote 192.168.1.155 1194
proto udp
resolv-retry infinite
nobind
pull
ca ca.crt
cert client.crt
key client.key
dh dh2048.pem
tls-client
tls-auth ta.key 1
auth-nocache
auth SHA512
cipher AES-256-CBC
keysize 256
ns-cert-type server
comp-lzo
persist-key
persist-tun
verb 3
route-method exe
route-delay 2
А вот iptables:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
#-A INPUT -i tun -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -p tcp --dport 1194 -j ACCEPT
-A INPUT -p udp --dport 1194 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 1194 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 1194 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 7557 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 7557 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
У меня ощущение. что пакету режуться, на роутере проброс портанастроен. Сервер пингуется из интернета. Где то правилах может ... А вообще цель такая. что клинты подключаются к серверу и видят только нужные сервисы, ни какого интернета. такая закрытая локалка с https сайтами и фтп.
Что еще нужно показать. что бы картина была более ясной... Что сделать, чтобы люди из инета могли нормально подключиться? Ось: CentOS 6.5 x 64 Спасибо.
