Openvpn, найди ошибку в генетическом коде

0

2

Отчаянно пытаюсь запустить openvpn клиента с Windows 7. Сервер на Debian. Выдает это:
Лог клиента

Wed Dec 20 12:12:27 2017 us=601093 config = 'lel.ovpn'
Wed Dec 20 12:12:27 2017 us=601093 mode = 0
Wed Dec 20 12:12:27 2017 us=601093 show_ciphers = DISABLED
Wed Dec 20 12:12:27 2017 us=601093 show_digests = DISABLED
Wed Dec 20 12:12:27 2017 us=601093 show_engines = DISABLED
Wed Dec 20 12:12:27 2017 us=601093 genkey = DISABLED
Wed Dec 20 12:12:27 2017 us=601093 key_pass_file = '[UNDEF]'
Wed Dec 20 12:12:27 2017 us=601093 show_tls_ciphers = DISABLED
Wed Dec 20 12:12:27 2017 us=601093 connect_retry_max = 0
Wed Dec 20 12:12:27 2017 us=601093 Connection profiles [0]:
Wed Dec 20 12:12:27 2017 us=601093 proto = tcp-client
Wed Dec 20 12:12:27 2017 us=601093 local = '[UNDEF]'
Wed Dec 20 12:12:27 2017 us=601093 local_port = '[UNDEF]'
Wed Dec 20 12:12:27 2017 us=601093 remote = '192.168.0.173'
Wed Dec 20 12:12:27 2017 us=601093 remote_port = '1194'
Wed Dec 20 12:12:27 2017 us=601093 remote_float = DISABLED
Wed Dec 20 12:12:27 2017 us=601093 bind_defined = DISABLED
Wed Dec 20 12:12:27 2017 us=601093 bind_local = DISABLED
Wed Dec 20 12:12:27 2017 us=601093 bind_ipv6_only = DISABLED
Wed Dec 20 12:12:27 2017 us=601093 NOTE: --mute triggered...
Wed Dec 20 12:12:27 2017 us=601093 271 variation(s) on previous 20 message(s) suppressed by --mute
Wed Dec 20 12:12:27 2017 us=601093 OpenVPN 2.4.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Sep 26 2017
Wed Dec 20 12:12:27 2017 us=601093 Windows version 6.1 (Windows 7) 64bit
Wed Dec 20 12:12:27 2017 us=601093 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10
Enter Management Password:
Wed Dec 20 12:12:27 2017 us=616679 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Wed Dec 20 12:12:27 2017 us=616679 Need hold release from management interface, waiting...
Wed Dec 20 12:12:28 2017 us=99845 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Wed Dec 20 12:12:28 2017 us=208947 MANAGEMENT: CMD 'state on'
Wed Dec 20 12:12:28 2017 us=208947 MANAGEMENT: CMD 'log all on'
Wed Dec 20 12:12:28 2017 us=318049 MANAGEMENT: CMD 'echo all on'
Wed Dec 20 12:12:28 2017 us=318049 MANAGEMENT: CMD 'hold off'
Wed Dec 20 12:12:28 2017 us=333635 MANAGEMENT: CMD 'hold release'
Wed Dec 20 12:12:28 2017 us=333635 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Dec 20 12:12:28 2017 us=583011 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Dec 20 12:12:28 2017 us=583011 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Dec 20 12:12:28 2017 us=583011 Control Channel MTU parms [ L:1623 D:1182 EF:68 EB:0 ET:0 EL:3 ]
Wed Dec 20 12:12:28 2017 us=583011 Data Channel MTU parms [ L:1623 D:1450 EF:123 EB:406 ET:0 EL:3 ]
Wed Dec 20 12:12:28 2017 us=583011 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1559,tun-mtu 1500,proto TCPv4_CLIENT,keydir 1,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-client'
Wed Dec 20 12:12:28 2017 us=583011 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1559,tun-mtu 1500,proto TCPv4_SERVER,keydir 0,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-server'
Wed Dec 20 12:12:28 2017 us=583011 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.0.173:1194
Wed Dec 20 12:12:28 2017 us=583011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Dec 20 12:12:28 2017 us=583011 Attempting to establish TCP connection with [AF_INET]192.168.0.173:1194 [nonblock]
Wed Dec 20 12:12:28 2017 us=583011 MANAGEMENT: >STATE:1513746748,TCP_CONNECT,,,,,,
Wed Dec 20 12:12:29 2017 us=596101 TCP connection established with [AF_INET]192.168.0.173:1194
Wed Dec 20 12:12:29 2017 us=596101 TCP_CLIENT link local: (not bound)
Wed Dec 20 12:12:29 2017 us=596101 TCP_CLIENT link remote: [AF_INET]192.168.0.173:1194
Wed Dec 20 12:12:29 2017 us=596101 MANAGEMENT: >STATE:1513746749,WAIT,,,,,,
Wed Dec 20 12:12:29 2017 us=596101 Connection reset, restarting [0]
Wed Dec 20 12:12:29 2017 us=596101 TCP/UDP: Closing socket
Wed Dec 20 12:12:29 2017 us=596101 SIGUSR1[soft,connection-reset] received, process restarting
Wed Dec 20 12:12:29 2017 us=596101 MANAGEMENT: >STATE:1513746749,RECONNECTING,connection-reset,,,,,
Wed Dec 20 12:12:29 2017 us=596101 Restart pause, 5 second(s)

Лог Сервера

Wed Dec 20 12:12:28 2017 us=385620 MULTI: multi_create_instance called
Wed Dec 20 12:12:28 2017 us=385724 Re-using SSL/TLS context
Wed Dec 20 12:12:28 2017 us=385744 LZO compression initialized
Wed Dec 20 12:12:28 2017 us=385848 Control Channel MTU parms [ L:1588 D:212 EF:112 EB:0 ET:0 EL:0 ]
Wed Dec 20 12:12:28 2017 us=385876 Data Channel MTU parms [ L:1588 D:1450 EF:88 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Dec 20 12:12:28 2017 us=385913 Local Options String: 'V4,dev-type tun,link-mtu 1588,tun-mtu 1500,proto TCPv4_SERVER,comp-l
zo,keydir 0,cipher BF-CBC,auth SHA512,keysize 128,tls-auth,key-method 2,tls-server'
Wed Dec 20 12:12:28 2017 us=385925 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1588,tun-mtu 1500,proto TCPv4_CLI
ENT,comp-lzo,keydir 1,cipher BF-CBC,auth SHA512,keysize 128,tls-auth,key-method 2,tls-client'
Wed Dec 20 12:12:28 2017 us=385947 Local Options hash (VER=V4): '4edee331'
Wed Dec 20 12:12:28 2017 us=385964 Expected Remote Options hash (VER=V4): 'd5c45101'
Wed Dec 20 12:12:28 2017 us=385997 TCP connection established with [AF_INET]172.16.1.37:50731
Wed Dec 20 12:12:28 2017 us=386012 TCPv4_SERVER link local: [undef]
Wed Dec 20 12:12:28 2017 us=386024 TCPv4_SERVER link remote: [AF_INET]172.16.1.37:50731
RWed Dec 20 12:12:29 2017 us=383392 172.16.1.37:50731 TLS: Initial packet from [AF_INET]172.16.1.37:50731, sid=28d68d9e b4704356
Wed Dec 20 12:12:29 2017 us=383434 172.16.1.37:50731 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]172.16.1.37:50731
Wed Dec 20 12:12:29 2017 us=383486 172.16.1.37:50731 Fatal TLS error (check_tls_errors_co), restarting
Wed Dec 20 12:12:29 2017 us=383502 172.16.1.37:50731 SIGUSR1[soft,tls-error] received, client-instance restarting
Wed Dec 20 12:12:29 2017 us=383561 TCP/UDP: Closing socket

Конфиг сервера

dev tun0
port 1194
proto tcp
comp-lzo yes
verb 5
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
tls-server
local 192.168.0.173
server 10.10.0.0 255.255.255.0
push «route 192.168.0.0 255.255.255.0»
push «route 192.168.100.0 255.255.255.0»
push «dhcp-option DNS 192.168.0.5 192.168.0.25»
push «dhcp-option DOMAIN lolumed.local»
route 10.10.0.0 255.255.255.255
client-config-dir /etc/openvpn/ccd
crl-verify /etc/openvpn/easy-rsa/keys/crl.pem
keepalive 10 120
log /var/log/openvpn.log
status /var/log/openvpn-status.log
user nobody
group nogroup
cipher AES-256-CBC
tls-cipher DHE-RSA-AES256-SHA
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0
auth SHA512
max-clients 50
persist-key
persist-tun

Конфиг клиента

client
remote 192.168.0.173
port 1194
#redirect-gateway def1
dev tun
proto tcp
resolv-retry infinite
nobind
pull
persist-key
persist-tun
ca ca.crt
cert lolumed.crt
key lolumed.key
tls-client
tls-auth ta.key 1
cipher AES-256-CBC
mute 20
verb 4
log openvpn.log

Такие дела, где я допустил ошибку?

Ссылка

←	XenServer 6.5 проблема со свободным местом на storage

DHCP-сервер

→

www.linux.org.ru/help/lorcode.md

auth SHA512 пропиши на клиенте и сервере.

Radjah ★★★★★
(20.12.17 09:43:30 MSK)
Последнее исправление: Radjah 20.12.17 09:44:03 MSK (всего исправлений: 1)

на сервере «Fatal TLS error (check_tls_errors_co)» - что-то с сертификатами не так.

vel ★★★★★
(20.12.17 09:55:19 MSK)

Ссылка

Ответ на: комментарий от Radjah 20.12.17 09:43:30 MSK

cut не пашет почему-то. прописал ауты, начал уже ближе цеплятся, теперь засыпает ошибками. CRL: cannot read: /etc/openvpn/easy-rsa/keys/crl.pem: Permission denied (errno=13) Специально прописал 755 на файлик, но как-то это не помогает.

lolumed
(20.12.17 10:34:01 MSK) автор топика

Ответ на: комментарий от lolumed 20.12.17 10:34:01 MSK

Новые логи

Сервер: https://pastebin.com/8xaRZngS
Клиент: https://pastebin.com/4pWn19Da

lolumed
(20.12.17 10:54:29 MSK) автор топика

Ответ на: Новые логи от lolumed 20.12.17 10:54:29 MSK

Выключил crl проверку. Очень криво, но запустился тунель. Выдает теперь ошибки write to TUN/TAP : Unknown error (code=122).

lolumed
(20.12.17 12:20:04 MSK) автор топика

Ответ на: комментарий от lolumed 20.12.17 12:20:04 MSK

вот тебе скрипт для создания сервера: https://github.com/Nyr/openvpn-install. Либо запусти либо сравни

~~Jopich1~~ ☆
(20.12.17 12:23:17 MSK)

Ответ на: комментарий от lolumed 20.12.17 12:20:04 MSK

Продолжаем

Сервер начал цепляться, но пакеты дропает
Выхлоп сервера: https://pastebin.com/gU1KknVC
Выхлоп клиента: https://pastebin.com/ppf9HtBj
Особенно смущает вот эта строчка:Options error: Unrecognized option or missing or extra parameter(s) in [PUSH-OPTIONS]:3: dhcp-option (2.4.4).
Что с этим можно сделать?

lolumed
(21.12.17 10:59:44 MSK) автор топика

мои рабочие:

конфиг клиента:

client
dev tun
port 1194
proto udp

remote MY-IP-HERE 1194             # VPN server IP : PORT
nobind

ca "C:/Program Files/OpenVPN/config/bvn13-home/ca.crt"
cert "C:/Program Files/OpenVPN/config/bvn13-home/bvn13book.crt"
key "C:/Program Files/OpenVPN/config/bvn13-home/bvn13book.key"

comp-lzo
persist-key
persist-tun

remote-cert-tls	server
auth		SHA256
cipher		AES-256-CBC

verb 3

auth-nocache

#route-nopull
route 195.82.146.0 255.255.255.0

конфиг сервера:

port 1194
proto udp
dev tun

ca      /etc/openvpn/easy-rsa/keys/ca.crt    # generated keys
cert    /etc/openvpn/easy-rsa/keys/server.crt
key     /etc/openvpn/easy-rsa/keys/server.key  # keep secret
dh      /etc/openvpn/easy-rsa/keys/dh2048.pem

server 10.9.8.0 255.255.255.0  # internal tun0 connection IP
ifconfig-pool-persist ipp.txt

keepalive 10 120


remote-cert-tls client
#tls-version-min 1.2
auth            SHA256
cipher          AES-256-CBC
#ncp-ciphers    AES-256-GCM:AES-128-GCM:AES-256-CBC
tls-cipher      TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA


comp-lzo         # Compression - must be turned on at both end
persist-key
persist-tun

status /var/log/openvpn-status.log
log-append /var/log/openvpn.log

verb 3  # verbose mode
client-to-client

bvn13 ★★★★★
(21.12.17 11:04:28 MSK)

Ответ на: комментарий от bvn13 21.12.17 11:04:28 MSK

Спасибо конечно, но тут логи выдают ошибку на домен и dhcp, мне бы это поправить, а то в этой сетке нужен и домен и все дела, что в твоих конфигах не предусмотрено

lolumed
(21.12.17 11:24:10 MSK) автор топика

Ответ на: комментарий от lolumed 21.12.17 11:24:10 MSK

Всяко разно поигрался с конфигами, занимательно, что если поставить udp - TLS хэндшейк не проходит

lolumed
(21.12.17 11:48:44 MSK) автор топика

Ссылка

Ответ на: Продолжаем от lolumed 21.12.17 10:59:44 MSK

Конфиги покажите или они полностью совпадат с теми что в заголовке?

push «dhcp-option DNS 192.168.0.5 192.168.0.25»

отдельными строками должно быть.

push "dhcp-option DNS 192.168.0.5"
push "dhcp-option DNS 192.168.0.25"

anc ★★★★★
(22.12.17 06:10:39 MSK)

Ответ на: комментарий от anc 22.12.17 06:10:39 MSK

Прописал отдельными строками. Клиент теперь не выдает ошибок вообще, но сервер пакеты все равно дропает. Видимо проблема с прописанными путями.
Конфиг полностью совпадает, единственное, что crl verify закоментил.
Он почему-то всегда ловит ipшник - 10.10.10.6, чтобы я не прописал в ccd, даже вставил ipp.txt с путем, но получает всегда этот. В ccd прописано вот это:
ifconfig-push 10.10.10.41 10.10.10.42
push «dhcp-option DNS 192.168.0.25»
push «route 192.168.100.0 255.255.255.0»

lolumed
(22.12.17 09:57:13 MSK) автор топика

Ответ на: комментарий от lolumed 22.12.17 09:57:13 MSK

Больше ставлю на ошибку написания имени клиента. Типа не печатный символ попался, пробел... чтобы голову не ломать создайте еще одного и проверьте, только ничего не копипасте от старого

anc ★★★★★
(22.12.17 12:10:47 MSK)

Ответ на: комментарий от anc 22.12.17 12:10:47 MSK

Сделал нового пользователя, пересоздал серты. Все то же самое,только цепляется в 10.10.10.10, хотя прописан пусть от 41.

lolumed
(25.12.17 06:28:56 MSK) автор топика

Ссылка

Ответ на: комментарий от Jopich1 20.12.17 12:23:17 MSK

Психанул, запуржил сервер и поставил этим скриптом новый. Что интересно, так это то, что ошибка все та же, ничего не поменялось. Сервер так же дропает пакеты.
swork/172.16.x.x:58229 MULTI: bad source address from client [fe80::2d22:e5e3:fccf:bb82]
прописал в конфиге роут к ипшке и в ссд. Пинг проходит в обе стороны, но в интернет не пускает. Пробовал всяко разно извращаться с адаптерами со стороны клиента - опять же ничего.

lolumed
(25.12.17 12:21:03 MSK) автор топика

Ответ на: комментарий от lolumed 25.12.17 12:21:03 MSK

Покажите конфиги того что получилось

anc ★★★★★
(25.12.17 16:31:39 MSK)

Ответ на: комментарий от anc 25.12.17 16:31:39 MSK

сервер -https://pastebin.com/hZ3a9FZi Клиент -https://pastebin.com/RszKWvnk В ссд прописана строка iroute 172.16.1.0 255.255.255.0.
В логах сервера соответственно дропы.

lolumed
(27.12.17 06:38:42 MSK) автор топика

Ответ на: комментарий от lolumed 27.12.17 06:38:42 MSK

Сертификатов в конфиге клиента не вижу.

Radjah ★★★★★
(27.12.17 07:36:21 MSK)

Ответ на: комментарий от Radjah 27.12.17 07:36:21 MSK

Потому что я их не скопировал, они дальше есть.

lolumed
(27.12.17 07:40:42 MSK) автор топика

Ответ на: комментарий от lolumed 27.12.17 07:40:42 MSK

iptables выглядит вот так:
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -j SNAT --to-source 192.168.0.173
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
фовардинг раскоментил, я уже не понимаю где может скрываться ошибка

lolumed
(27.12.17 07:48:59 MSK) автор топика

Ответ на: комментарий от lolumed 27.12.17 07:48:59 MSK

-A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -j SNAT --to-source 192.168.0.173

Определись уже.

Radjah ★★★★★
(27.12.17 07:51:50 MSK)

Ответ на: комментарий от Radjah 27.12.17 07:51:50 MSK

Убрал строчку с маскарадом - начало пускать на некоторые сайт, но все равно куча дропов, но это прогресс.

lolumed
(27.12.17 08:07:24 MSK) автор топика

Ответ на: комментарий от lolumed 27.12.17 08:07:24 MSK

Все, этот пост пишу уже из под тунеля. Все пашет, дропы есть, но в работе это не ощущается. Всем спасибо, я полностью оправдал заголовок темы.

lolumed
(27.12.17 08:53:46 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	XenServer 6.5 проблема со свободным местом на storage

Admin

DHCP-сервер

→

Новые логи

Продолжаем

Похожие темы