LINUX.ORG.RU
ФорумAdmin

OpenVpn client не соединяется

 


0

1

Доброго времени суток господа. Мой вопрос таков...хочу настроить vpn туннель между двумя офисами. Первый: статический ip стоит Ubuntu его использую в качестве сервера(OpenVpn). Второй: клиент соответственно тоже Ubuntu (OpenVpn)

На данный момент имеется Server-работает а вот клиент говорит

Apr 16 16:29:52 gateway ovpn-client[4894]: LZO compression initialized

Apr 16 16:29:52 gateway ovpn-client[4894]: Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]

Apr 16 16:29:52 gateway ovpn-client[4894]: Socket Buffers: R=[212992->131072] S=[212992->131072]

Apr 16 16:29:52 gateway ovpn-client[4894]: Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]

Apr 16 16:29:52 gateway ovpn-client[4894]: Local Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2$

Apr 16 16:29:52 gateway ovpn-client[4894]: Expected Remote Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,ke$

Apr 16 16:29:52 gateway ovpn-client[4894]: Local Options hash (VER=V4): '504e774e'

Apr 16 16:29:52 gateway ovpn-client[4894]: Expected Remote Options hash (VER=V4): '14168603'

Apr 16 16:29:52 gateway ovpn-client[4895]: UDPv4 link local: [undef]

Apr 16 16:29:52 gateway ovpn-client[4895]: UDPv4 link remote: [AF_INET]x.x.x.x:1194

Apr 16 16:29:52 gateway ovpn-client[4895]: UDPv4 WRITE [42] to [AF_INET]x.x.x.x:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #1 ] [ ] pid=0 DATA len=0

Apr 16 16:29:54 gateway ovpn-client[4895]: UDPv4 WRITE [42] to [AF_INET]x.x.x.x:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #2 ] [ ] pid=0 DATA len=0

Apr 16 16:29:59 gateway ovpn-client[4895]: UDPv4 WRITE [42] to [AF_INET]x.x.x.x:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #3 ] [ ] pid=0 DATA len=0

Apr 16 16:30:07 gateway ovpn-client[4895]: UDPv4 WRITE [42] to [AF_INET]x.x.x.x:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #4 ] [ ] pid=0 DATA len=0

Apr 16 16:30:23 gateway ovpn-client[4895]: UDPv4 WRITE [42] to [AF_INET]x.x.x.x:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #5 ] [ ] pid=0 DATA len=0

подсеть Server(openvpn) я соответственно вижу 10.55.0.1 tcpdump запущенный на сервере ничего не дает. netcat с клиента тоже Рутера у меня нет На сервере port-forwarding настроен Подскажите что посмотреть еще?



Последнее исправление: zvergpincher (всего исправлений: 6)

Понял что не так

Apr 16 16:42:14 gateway ovpn-client[4895]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

Apr 16 16:42:14 gateway ovpn-client[4895]: TLS Error: TLS handshake failed

Apr 16 16:42:14 gateway ovpn-client[4895]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

Apr 16 16:42:14 gateway ovpn-client[4895]: TLS Error: TLS handshake failed

Как поступить? Перевыпуск ключа для клиента?

zvergpincher
() автор топика
Ответ на: комментарий от anonymous

Конфиги

server port 1194

proto udp

dev tun

ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt key /etc/openvpn/keys/server.key

dh /etc/openvpn/keys/dh1024.pem

server 10.55.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

client-config-dir ccd

keepalive 10 120

tls-server tls-auth /etc/openvpn/keys/ta.key 0 # This file is secret tls-timeout 120 auth SHA1

cipher BF-CBC

comp-lzo

max-clients 5

user nobody group nogroup

persist-key persist-tun

verb 6

mute 20

Client

dev tun

proto udp

remote x.x.x.x 1194

resolv-retry infinite

nobind

persist-key persist-tun

ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/client.crt key /etc/openvpn/keys/client.key

ns-cert-type server remote-cert-tls server

tls-client tls-auth /etc/openvpn/keys/ta.key 1 auth SHA1

cipher BF-CBC

comp-lzo

verb 6

zvergpincher
() автор топика
Ответ на: Понял что не так от zvergpincher

Ключ в норме

openssl verify -CAfile /etc/openvpn/keys/ca.crt /etc/openvpn/keys/client.crt /etc/openvpn/keys/client.crt: OK

zvergpincher
() автор топика
Ответ на: Конфиги от zvergpincher

настройка TLS сертификатов не разная ли? Попробуйте вообще закомментировать эти строки

bvn13 ★★★★★
()
Ответ на: комментарий от bvn13

Заремил

#tls-server #tls-auth /etc/openvpn/keys/ta.key 0 #tls-timeout 120 auth SHA1

#tls-client #tls-auth /etc/openvpn/keys/ta.key 1 #tls-timeout 120 auth SHA1

ситуация не изменилась...сдается мне что правила которые воротит zentyal который стоит на сервере мне не помогает а мешает но не могу его трогать.

zvergpincher
() автор топика
Ответ на: Заремил от zvergpincher

Извиняюсь за то что потревожил сообщество

Посмотрел и действительно пакеты drop идут от zentyal попробую победить...

zvergpincher
() автор топика
Ответ на: Извиняюсь за то что потревожил сообщество от zvergpincher

Продолжаю эпопею

tcpdump -i eth1 port 56789

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes

16:11:16.495578 IP клиентский ip.домен.41782 > мой домен.56789: UDP, length 42

16:11:18.879821 IP клиентский.домен.41782 > мой домен.56789: UDP, length 42

то есть пакеты идут...

zvergpincher
() автор топика
Ответ на: комментарий от handbrake

Вяжу два openvpn

Первая машина создана не мной и на ней поднят zentyal на ubuntu вторую машину поднял сам версии openvpn одинаковые! Хорошо попробую действительно перенести файлы но вопрос все еще открыт...снюхивание на внешнем интерфейсе еще ни о чем не говорит...внутрь то до адреса сервера openvpn я не стучусь поэтому сертификаты думаю не при делах но спасибо за совет...попробую.

zvergpincher
() автор топика
Ответ на: комментарий от xtraeft

Шикарное предложение

Эта мысль меня посещала)))

zvergpincher
() автор топика

Всем спасибо за советы

Туннель есть пока совершенно без секурности но поднялся! Буду пытать его дальше...

zvergpincher
() автор топика
Ответ на: Всем спасибо за советы от zvergpincher

Запытал я его и он поднялся

Опишу после полную процедуру а пока прошу помощи в маршрутизации между офисами...Центральный 192.168.1.0/16 удаленный 192.168.3.0/16 что где прописать чтобы увидеть все стороны сети?

zvergpincher
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin