Не могу настроить openvpn

0

1

С новым годом. Помогите разобраться. поставил openVPN, со стороны сервера показывает что поднят, однако коннекта с клиентом нет.

Лог сервера

Mon Jan  1 18:52:04 2018 us=411222 Current Parameter Settings:
Mon Jan  1 18:52:04 2018 us=411245   config = '/etc/openvpn/server.conf'
Mon Jan  1 18:52:04 2018 us=411251   mode = 1
Mon Jan  1 18:52:04 2018 us=411256   persist_config = DISABLED
Mon Jan  1 18:52:04 2018 us=411261   persist_mode = 1
Mon Jan  1 18:52:04 2018 us=411266   show_ciphers = DISABLED
Mon Jan  1 18:52:04 2018 us=411270   show_digests = DISABLED
Mon Jan  1 18:52:04 2018 us=411274   show_engines = DISABLED
Mon Jan  1 18:52:04 2018 us=411279   genkey = DISABLED
Mon Jan  1 18:52:04 2018 us=411283   key_pass_file = '[UNDEF]'
Mon Jan  1 18:52:04 2018 us=411288   show_tls_ciphers = DISABLED
Mon Jan  1 18:52:04 2018 us=411292   connect_retry_max = 0
Mon Jan  1 18:52:04 2018 us=411297 Connection profiles [0]:
Mon Jan  1 18:52:04 2018 us=411303   proto = udp
Mon Jan  1 18:52:04 2018 us=411307   local = '[UNDEF]'
Mon Jan  1 18:52:04 2018 us=411312   local_port = '1194'
Mon Jan  1 18:52:04 2018 us=411316   remote = '[UNDEF]'
Mon Jan  1 18:52:04 2018 us=411320   remote_port = '1194'
Mon Jan  1 18:52:04 2018 us=411324   remote_float = DISABLED
Mon Jan  1 18:52:04 2018 us=411329   bind_defined = DISABLED
Mon Jan  1 18:52:04 2018 us=411333 NOTE: --mute triggered...
Mon Jan  1 18:52:04 2018 us=411355 268 variation(s) on previous 20 message(s) suppressed by --mute
Mon Jan  1 18:52:04 2018 us=411361 OpenVPN 2.4.0 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 18 2017
Mon Jan  1 18:52:04 2018 us=411387 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.08
Mon Jan  1 18:52:04 2018 us=412286 Diffie-Hellman initialized with 2048 bit key
Mon Jan  1 18:52:04 2018 us=412765 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Jan  1 18:52:04 2018 us=412779 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Jan  1 18:52:04 2018 us=412795 TLS-Auth MTU parms [ L:1622 D:1184 EF:66 EB:0 ET:0 EL:3 ]
Mon Jan  1 18:52:04 2018 us=412946 ROUTE_GATEWAY 10.0.0.1
Mon Jan  1 18:52:04 2018 us=413582 TUN/TAP device tun0 opened
Mon Jan  1 18:52:04 2018 us=413605 TUN/TAP TX queue length set to 100
Mon Jan  1 18:52:04 2018 us=413615 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Mon Jan  1 18:52:04 2018 us=413627 /sbin/ip link set dev tun0 up mtu 1500
Mon Jan  1 18:52:04 2018 us=415218 /sbin/ip addr add dev tun0 local 192.168.35.1 peer 192.168.35.2
Mon Jan  1 18:52:04 2018 us=416922 /sbin/ip route add 192.168.35.0/24 via 192.168.35.2
Mon Jan  1 18:52:04 2018 us=417745 /sbin/ip route add 192.168.35.0/24 via 192.168.35.2
RTNETLINK answers: File exists
Mon Jan  1 18:52:04 2018 us=418559 ERROR: Linux route add command failed: external program exited with error status: 2
Mon Jan  1 18:52:04 2018 us=418589 Data Channel MTU parms [ L:1622 D:1450 EF:122 EB:406 ET:0 EL:3 ]
Mon Jan  1 18:52:04 2018 us=418874 Could not determine IPv4/IPv6 protocol. Using AF_INET
Mon Jan  1 18:52:04 2018 us=418897 Socket Buffers: R=[212992->212992] S=[212992->212992]
Mon Jan  1 18:52:04 2018 us=418911 UDPv4 link local (bound): [AF_INET][undef]:1194
Mon Jan  1 18:52:04 2018 us=418917 UDPv4 link remote: [AF_UNSPEC]
Mon Jan  1 18:52:04 2018 us=418925 GID set to nogroup
Mon Jan  1 18:52:04 2018 us=418935 UID set to nobody
Mon Jan  1 18:52:04 2018 us=418943 MULTI: multi_init called, r=256 v=256
Mon Jan  1 18:52:04 2018 us=418969 IFCONFIG POOL: base=192.168.35.4 size=62, ipv6=0
Mon Jan  1 18:52:04 2018 us=418993 IFCONFIG POOL LIST
Mon Jan  1 18:52:04 2018 us=419024 Initialization Sequence Completed

лог клиента

Mon Jan 01 21:02:30 2018 OpenVPN 2.4.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Sep 26 2017
Mon Jan 01 21:02:30 2018 Windows version 6.2 (Windows 8 or greater) 64bit
Mon Jan 01 21:02:30 2018 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Enter Management Password:
Mon Jan 01 21:02:30 2018 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Mon Jan 01 21:02:30 2018 Need hold release from management interface, waiting...
Mon Jan 01 21:02:30 2018 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Mon Jan 01 21:02:30 2018 MANAGEMENT: CMD 'state on'
Mon Jan 01 21:02:30 2018 MANAGEMENT: CMD 'log all on'
Mon Jan 01 21:02:30 2018 MANAGEMENT: CMD 'echo all on'
Mon Jan 01 21:02:30 2018 MANAGEMENT: CMD 'hold off'
Mon Jan 01 21:02:30 2018 MANAGEMENT: CMD 'hold release'
Mon Jan 01 21:02:30 2018 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Mon Jan 01 21:02:30 2018 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Jan 01 21:02:30 2018 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Jan 01 21:02:30 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]82.146.47.46:1194
Mon Jan 01 21:02:30 2018 Socket Buffers: R=[65536->65536] S=[65536->65536]
Mon Jan 01 21:02:30 2018 UDP link local: (not bound)
Mon Jan 01 21:02:30 2018 UDP link remote: [AF_INET]82.146.47.46:1194
Mon Jan 01 21:02:30 2018 MANAGEMENT: >STATE:1514822550,WAIT,,,,,,
Mon Jan 01 21:03:30 2018 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Jan 01 21:03:30 2018 TLS Error: TLS handshake failed
Mon Jan 01 21:03:30 2018 SIGUSR1[soft,tls-error] received, process restarting
Mon Jan 01 21:03:30 2018 MANAGEMENT: >STATE:1514822610,RECONNECTING,tls-error,,,,,
Mon Jan 01 21:03:30 2018 Restart pause, 5 second(s)
Mon Jan 01 21:03:35 2018 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Mon Jan 01 21:03:35 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]82.146.47.46:1194
Mon Jan 01 21:03:35 2018 Socket Buffers: R=[65536->65536] S=[65536->65536]
Mon Jan 01 21:03:35 2018 UDP link local: (not bound)
Mon Jan 01 21:03:35 2018 UDP link remote: [AF_INET]82.146.47.46:1194
Mon Jan 01 21:03:35 2018 MANAGEMENT: >STATE:1514822615,WAIT,,,,,,

Ссылка

←	Помогите разобраться, почему не работает VPN (авторизация успешна)

host & dig

→

И вас с новым годом! Смотрю не очень «быстро» настраиваете :)
Mon Jan 1 18:52:04
и
Mon Jan 01 21:02:30 2018

Конфиги показывайте сервера и клиента.

anc ★★★★★
(01.01.18 21:35:57 MSK)

Ответ на: комментарий от anc 01.01.18 21:35:57 MSK

Опыта мало вот и долго.

Конфиг сервера.

mode server
daemon vpn-server
#local 203.0.113.42
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem  # либо dh1024.pem, в зависимости от размера ключа
tls-server
tls-auth ta.key 0
cipher AES-256-CBC
server 192.168.35.0 255.255.255.0
push "redirect-gateway"
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 4
mute 20
client-to-client
#client-config-dir ccd
route 192.168.35.0 255.255.255.0

Конфиг клиента

client
remote 82.146.47.46
redirect-gateway def1
port 1194
dev tun
proto udp
resolv-retry infinite
nobind
pull
#user nobody #на windows клиенте все равно не работают
#group nogroup 
persist-key
persist-tun
ca ca.crt
cert user1.crt
key user1.key
tls-client
tls-auth ta.key 1
#auth CHA512
cipher AES-256-CBC
comp-lzo
mute 20
verb 3
log openvpn.log

boss119
(01.01.18 21:54:31 MSK) автор топика

Ответ на: комментарий от boss119 01.01.18 21:54:31 MSK

сетевая конфигурация


Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         10.0.0.1        0.0.0.0         UG    0      0        0 ens3
10.0.0.1        0.0.0.0         255.255.255.255 UH    0      0        0 ens3
192.168.35.0    192.168.35.2    255.255.255.0   UG    0      0        0 tun0
192.168.35.2    0.0.0.0         255.255.255.255 UH    0      0        0 tun0


ens3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 82.146.47.46  netmask 255.255.255.255  broadcast 82.146.47.46
        inet6 fe80::5054:ff:fe67:b45b  prefixlen 64  scopeid 0x20<link>
        ether 52:54:00:67:b4:5b  txqueuelen 1000  (Ethernet)
        RX packets 309128  bytes 395665295 (377.3 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 153215  bytes 89198087 (85.0 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1  (Local Loopback)
        RX packets 4519  bytes 1788090 (1.7 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 4519  bytes 1788090 (1.7 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 192.168.35.1  netmask 255.255.255.255  destination 192.168.35.2
        inet6 fe80::f9f3:22b:14a9:61b3  prefixlen 64  scopeid 0x20<link>
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 100  (UNSPEC)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 11  bytes 528 (528.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

boss119
(01.01.18 22:12:20 MSK) автор топика

Ответ на: комментарий от boss119 01.01.18 22:12:20 MSK

Хм. За мелкими исключениями, не имеющими отношения к работе тунеля как такового, у вас все верно. Остаться однин момент в генерации сертификатов/ключей, где-то в этой части накосячили.
ЗЫ Как обычно рекомендую использовать полные пути в конфигах. В вашем случае я про серверный.

anc ★★★★★
(02.01.18 21:43:14 MSK)

Ссылка

Я всегда настраивал по этому гайду для хомячков: https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-ser...

~~DELIRIUM~~ ☆☆☆☆☆
(02.01.18 21:45:32 MSK)

Ссылка

Ответ на: комментарий от boss119 01.01.18 21:54:31 MSK

# не вижу порт
remote 82.146.47.46
# это клиент должен от сервера получать
redirect-gateway def1
# o_0
port 1194

Radjah ★★★★★
(02.01.18 22:18:13 MSK)

Ответ на: комментарий от Radjah 02.01.18 22:18:13 MSK

# не вижу порт

А он есть ниже

# это клиент должен от сервера получать
redirect-gateway def1

никто никому не должен

Как писал выше у ТС правильные конфиги, хотя бы в той части что бы тунель стартанул. Все остальное вкуснотеево.

anc ★★★★★
(02.01.18 22:40:57 MSK)

Установил SoftEther VPN завелась с полпинка, для работы всем устраивает. Всем спасибо.

boss119
(03.01.18 15:30:35 MSK) автор топика

Ссылка

Ответ на: комментарий от anc 02.01.18 22:40:57 MSK

Через жопу делать весело и интересно, примерно как в ногу стрелять, но зачем?

Radjah ★★★★★
(03.01.18 18:00:41 MSK)

Ответ на: комментарий от Radjah 03.01.18 18:00:41 MSK

Я и «через жопность» особо не увидел. Или вы только про redirect-gateway ? В целом даже это не супер «через жопность», может оно так надо было.

anc ★★★★★
(04.01.18 00:29:45 MSK)

Ответ на: комментарий от anc 04.01.18 00:29:45 MSK

Редиректами я закрыл воможность захода через тезнический домен и прямого айпи в обход сертификата.

Что касается первоначального вопроса - файрвол резал пакеты на компе клиента. Перенастроил и openVPN протокол заработал. Однако остаюсб на SoftEther VPN, он универсальней - работает и с openVPN клиентами и даже просто через L2TP, да и в обслуживании ппроще, а встроенный DHCP NAT позволил запустить его один раз под юзером и забыть о руте.

boss119
(06.01.18 00:42:44 MSK) автор топика

Ответ на: комментарий от boss119 06.01.18 00:42:44 MSK

softether не считая своего протокола, в остальном комбайн. Вещь вроде годная, не нравиться только факт комбайна.

anc ★★★★★
(06.01.18 02:06:39 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Помогите разобраться, почему не работает VPN (авторизация успешна)

Admin

host & dig

→

Похожие темы