Привет, ЛОР.
Сделал на aws виртуалку с девятой альмой и попробовал настроить в ней openvpn сервер. Мне он нужен работающий через tcp, т.к. с udp у меня пока проблема, из-за чего вообще openvpn и понадобился.
Но подключения так и не происходит, говорит, что за 60 сек. обмен ключами так и не произошёл.
server.conf:
port 1194
proto tcp
dev tun
ca ca.crt
cert issued/vpn.awsvm.crt
key private/vpn.awsvm.key # This file should be kept secret
dh dh.pem
server 10.1.2.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.2.0 255.255.255.0"
push "route 192.168.3.0 255.255.255.0"
push "route 192.168.4.0 255.255.255.0"
keepalive 10 60
cipher AES-256-GCM
compress lz4-v2
push "compress lz4-v2"
max-clients 10
user openvpn
group openvpn
persist-key
persist-tun
status /var/log/openvpn/status.log
log /var/log/openvpn/openvpn.log
log-append /var/log/openvpn/openvpn.log
verb 6
Лог подключения:
MULTI: multi_create_instance called
Re-using SSL/TLS context
LZ4v2 compression initializing
Control Channel MTU parms [ L:1624 D:1210 EF:40 EB:0 ET:0 EL:3 ]
Data Channel MTU parms [ L:1624 D:1450 EF:124 EB:406 ET:0 EL:3 ]
Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1552,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,cipher AES-256-GCM,auth [null-digest],keysize 256,key-method 2,tls-server'
Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1552,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher AES-256-GCM,auth [null-digest],keysize 256,key-method 2,tls-client'
TCP connection established with [AF_INET]1.2.3.4:34386
TCPv4_SERVER link local: (not bound)
TCPv4_SERVER link remote: [AF_INET]1.2.3.4:34386
1.2.3.4:34386 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
1.2.3.4:34386 TLS Error: TLS handshake failed
1.2.3.4:34386 Fatal TLS error (check_tls_errors_co), restarting
1.2.3.4:34386 SIGUSR1[soft,tls-error] received, client-instance restarting
TCP/UDP: Closing socket
# firewall-cmd --list-all
dmz (active)
target: default
icmp-block-inversion: no
interfaces: eth0
sources:
services: ssh
ports: 1194/tcp
protocols:
forward: yes
masquerade: yes
forward-ports:
source-ports:
icmp-blocks:
rich rules:
# firewall-cmd --direct --get-all-rules
ipv4 filter FORWARD 0 -i tun0 -o eth0 -j ACCEPT
ipv4 nat POSTROUTING 0 -o eth0 -j MASQUERADE
selinux ни на что не ругается, права чтения всех файлов в /etc/openvpn/server/ у пользователя openvpn есть, включая сертификаты.
В общем как-то не понятно, в чём проблема. Есть у кого какие-нибудь идеи, что я делаю не так?
