LINUX.ORG.RU

Не работает OpenVPN

 


0

1

/** Centos 7 **/

Всем привет.

Конфигурация /etc/openvpn/server.conf:

port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key  # This file should be kept secret
dh /etc/openvpn/dh2048.pem
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
tls-crypt /etc/openvpn/myvpn.tlsauth
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
remote-cert-eku "TLS Web Client Authentication"

Запуск VPN-сервера:

[root@201197 ~]# openvpn /etc/openvpn/server.conf
Fri Apr  5 17:45:14 2019 OpenVPN 2.4.7 x86_64-redhat-linux-gnu [Fedora EPEL patched] [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Feb 20 2019
Fri Apr  5 17:45:14 2019 library versions: OpenSSL 1.0.2k-fips  26 Jan 2017, LZO 2.06
Fri Apr  5 17:45:14 2019 Diffie-Hellman initialized with 2048 bit key
Fri Apr  5 17:45:14 2019 Outgoing Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
Fri Apr  5 17:45:14 2019 Outgoing Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Fri Apr  5 17:45:14 2019 Incoming Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
Fri Apr  5 17:45:14 2019 Incoming Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Fri Apr  5 17:45:14 2019 TUN/TAP device tun0 opened
Fri Apr  5 17:45:14 2019 TUN/TAP TX queue length set to 100
Fri Apr  5 17:45:14 2019 /sbin/ip link set dev tun0 up mtu 1500
Fri Apr  5 17:45:14 2019 /sbin/ip addr add dev tun0 10.8.0.1/24 broadcast 10.8.0.255
Fri Apr  5 17:45:14 2019 Could not determine IPv4/IPv6 protocol. Using AF_INET
Fri Apr  5 17:45:14 2019 Socket Buffers: R=[212992->212992] S=[212992->212992]
Fri Apr  5 17:45:14 2019 UDPv4 link local (bound): [AF_INET][undef]:1194
Fri Apr  5 17:45:14 2019 UDPv4 link remote: [AF_UNSPEC]
Fri Apr  5 17:45:14 2019 GID set to nobody
Fri Apr  5 17:45:14 2019 UID set to nobody
Fri Apr  5 17:45:14 2019 MULTI: multi_init called, r=256 v=256
Fri Apr  5 17:45:14 2019 IFCONFIG POOL: base=10.8.0.2 size=252, ipv6=0
Fri Apr  5 17:45:14 2019 IFCONFIG POOL LIST
Fri Apr  5 17:45:14 2019 Initialization Sequence Completed

Висит минут 5 и далее:

Fri Apr  5 17:49:22 2019 188.170.175.91:3712 TLS: Initial packet from [AF_INET]188.170.175.91:3712, sid=a6471a08 704d2771
Fri Apr  5 17:49:28 2019 188.170.175.91:3712 TLS: new session incoming connection from [AF_INET]188.170.175.91:3712
Fri Apr  5 17:49:33 2019 188.170.175.91:3712 TLS: new session incoming connection from [AF_INET]188.170.175.91:3712

При попытке подключиться с клиента (Windows 10), запуск с правами Администратора, в журнале:

Fri Apr 05 17:49:22 2019 NOTE: --user option is not implemented on Windows
Fri Apr 05 17:49:22 2019 NOTE: --group option is not implemented on Windows
Fri Apr 05 17:49:22 2019 OpenVPN 2.4.7 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Feb 21 2019
Fri Apr 05 17:49:22 2019 Windows version 6.2 (Windows 8 or greater) 64bit
Fri Apr 05 17:49:22 2019 library versions: OpenSSL 1.1.0j  20 Nov 2018, LZO 2.10
Enter Management Password:
Fri Apr 05 17:49:22 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]89.223.27.230:1194
Fri Apr 05 17:49:22 2019 UDP link local (bound): [AF_INET][undef]:1194
Fri Apr 05 17:49:22 2019 UDP link remote: [AF_INET]89.223.27.230:1194
Fri Apr 05 17:49:23 2019 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
Fri Apr 05 17:49:23 2019 TLS_ERROR: BIO read tls_read_plaintext error
Fri Apr 05 17:49:23 2019 TLS Error: TLS object -> incoming plaintext read error
Fri Apr 05 17:49:23 2019 TLS Error: TLS handshake failed
Fri Apr 05 17:49:23 2019 SIGUSR1[soft,tls-error] received, process restarting
Fri Apr 05 17:49:28 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]89.223.27.230:1194

Подскажите пжл, в чем может быть дело?

Ответ на: комментарий от stranger-ru

Fri Apr 05 17:49:23 2019 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed

Вы, видимо, либо неправильно их создаете, либо неправильно их используете. Создавайте сертификаты через easy-rsa, и не забудьте, что для сервера нужно создавать server-сертификат, а для клиента — client-сертификат.

На компьютере, где создаете сертификаты, убедитесь, что установлено правильное время, и на всех остальных компьютерах тоже.

ValdikSS ★★★★★ ()
Последнее исправление: ValdikSS (всего исправлений: 1)
Ответ на: комментарий от ValdikSS

Вроде разобрался, подключился, работает.

Но вот в процессе подключения на клиенте падают warning-и, особенно смущает первый:

WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1436)
WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1436', remote='tun-mtu 1500'
WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this

Полный лог клиента:

Sat Apr 06 03:39:58 2019 OpenVPN 2.4.7 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Feb 21 2019
Sat Apr 06 03:39:58 2019 Windows version 6.2 (Windows 8 or greater) 64bit
Sat Apr 06 03:39:58 2019 library versions: OpenSSL 1.1.0j  20 Nov 2018, LZO 2.10
Enter Management Password:
Sat Apr 06 03:39:58 2019 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Sat Apr 06 03:39:58 2019 Need hold release from management interface, waiting...
Sat Apr 06 03:39:58 2019 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Sat Apr 06 03:39:58 2019 MANAGEMENT: CMD 'state on'
Sat Apr 06 03:39:58 2019 MANAGEMENT: CMD 'log all on'
Sat Apr 06 03:39:58 2019 MANAGEMENT: CMD 'echo all on'
Sat Apr 06 03:39:58 2019 MANAGEMENT: CMD 'bytecount 5'
Sat Apr 06 03:39:58 2019 MANAGEMENT: CMD 'hold off'
Sat Apr 06 03:39:58 2019 MANAGEMENT: CMD 'hold release'
Sat Apr 06 03:39:58 2019 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sat Apr 06 03:39:58 2019 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Apr 06 03:39:58 2019 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Apr 06 03:39:58 2019 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1436)
Sat Apr 06 03:39:58 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]89.223.27.111:1194
Sat Apr 06 03:39:58 2019 Socket Buffers: R=[65536->65536] S=[65536->65536]
Sat Apr 06 03:39:58 2019 UDP link local: (not bound)
Sat Apr 06 03:39:58 2019 UDP link remote: [AF_INET]89.223.27.111:1194
Sat Apr 06 03:39:58 2019 MANAGEMENT: >STATE:1554511198,WAIT,,,,,,
Sat Apr 06 03:39:58 2019 MANAGEMENT: >STATE:1554511198,AUTH,,,,,,
Sat Apr 06 03:39:58 2019 TLS: Initial packet from [AF_INET]89.223.27.111:1194, sid=3ed32b56 95d1d908
Sat Apr 06 03:39:58 2019 VERIFY OK: depth=1, C=US, ST=NY, L=New York, O=BK, OU=Community, CN=bk.example.com, name=server, emailAddress=bk2@example.com
Sat Apr 06 03:39:58 2019 VERIFY OK: depth=0, C=US, ST=NY, L=New York, O=BK, OU=Community, CN=server, name=server, emailAddress=bk2@example.com
Sat Apr 06 03:39:58 2019 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1436', remote='tun-mtu 1500'
Sat Apr 06 03:39:58 2019 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Sat Apr 06 03:39:58 2019 [server] Peer Connection Initiated with [AF_INET]89.223.27.111:1194
Sat Apr 06 03:39:59 2019 MANAGEMENT: >STATE:1554511199,GET_CONFIG,,,,,,
Sat Apr 06 03:39:59 2019 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Sat Apr 06 03:40:00 2019 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5,peer-id 0,cipher AES-256-GCM'
Sat Apr 06 03:40:00 2019 OPTIONS IMPORT: timers and/or timeouts modified
Sat Apr 06 03:40:00 2019 OPTIONS IMPORT: --ifconfig/up options modified
Sat Apr 06 03:40:00 2019 OPTIONS IMPORT: route options modified
Sat Apr 06 03:40:00 2019 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sat Apr 06 03:40:00 2019 OPTIONS IMPORT: peer-id set
Sat Apr 06 03:40:00 2019 OPTIONS IMPORT: WARNING: peer-id set, but link-mtu fixed by config - reducing tun-mtu to 1433, expect MTU problems
Sat Apr 06 03:40:00 2019 OPTIONS IMPORT: data channel crypto options modified
Sat Apr 06 03:40:00 2019 Data Channel: using negotiated cipher 'AES-256-GCM'
Sat Apr 06 03:40:00 2019 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Sat Apr 06 03:40:00 2019 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Sat Apr 06 03:40:00 2019 interactive service msg_channel=0
Sat Apr 06 03:40:00 2019 ROUTE_GATEWAY 192.168.43.1/255.255.255.0 I=21 HWADDR=84:4b:f5:7d:3f:0f
Sat Apr 06 03:40:00 2019 open_tun
Sat Apr 06 03:40:00 2019 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{C167081E-F6C3-43FC-9DA1-9B52BCC4E0BE}.tap
Sat Apr 06 03:40:00 2019 TAP-Windows Driver Version 9.21 
Sat Apr 06 03:40:00 2019 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {C167081E-F6C3-43FC-9DA1-9B52BCC4E0BE} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Sat Apr 06 03:40:00 2019 Successful ARP Flush on interface [15] {C167081E-F6C3-43FC-9DA1-9B52BCC4E0BE}
Sat Apr 06 03:40:00 2019 MANAGEMENT: >STATE:1554511200,ASSIGN_IP,,10.8.0.6,,,,
Sat Apr 06 03:40:05 2019 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up
Sat Apr 06 03:40:05 2019 C:\WINDOWS\system32\route.exe ADD 89.223.27.111 MASK 255.255.255.255 192.168.43.1
Sat Apr 06 03:40:05 2019 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=55 and dwForwardType=4
Sat Apr 06 03:40:05 2019 Route addition via IPAPI succeeded [adaptive]
Sat Apr 06 03:40:05 2019 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 10.8.0.5
Sat Apr 06 03:40:05 2019 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=35 and dwForwardType=4
Sat Apr 06 03:40:05 2019 Route addition via IPAPI succeeded [adaptive]
Sat Apr 06 03:40:05 2019 C:\WINDOWS\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 10.8.0.5
Sat Apr 06 03:40:05 2019 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=35 and dwForwardType=4
Sat Apr 06 03:40:05 2019 Route addition via IPAPI succeeded [adaptive]
Sat Apr 06 03:40:05 2019 MANAGEMENT: >STATE:1554511205,ADD_ROUTES,,,,,,
Sat Apr 06 03:40:05 2019 C:\WINDOWS\system32\route.exe ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
Sat Apr 06 03:40:05 2019 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=35 and dwForwardType=4
Sat Apr 06 03:40:05 2019 Route addition via IPAPI succeeded [adaptive]
Sat Apr 06 03:40:05 2019 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sat Apr 06 03:40:05 2019 Initialization Sequence Completed
Sat Apr 06 03:40:05 2019 MANAGEMENT: >STATE:1554511205,CONNECTED,SUCCESS,10.8.0.6,89.223.27.111,1194,,

Подскажите пжл. как решить, особенно первый?

stranger-ru ()
Ответ на: комментарий от stranger-ru

Не первый раз замечаю людей с выборочной способностью чтения. Вам же явно написано, где читать и что делать. Вы прочли текст по ссылке? Из него что-то непонятно?

Вы не приводите конфигурационный файл клиента, но там, видимо, используется опция tun-mtu. Не применяйте её, как и fragment и mssfix. В OpenVPN используются нормальные значения по умолчанию.

ValdikSS ★★★★★ ()
Ответ на: комментарий от ValdikSS

Не первый раз замечаю людей с выборочной способностью чтения. Вам же явно написано, где читать и что делать. Вы прочли текст по ссылке? Из него что-то непонятно?

Я переходил по ссылке, но она ведет просто на документацию общую, не на определенный раздел или описание параметра.

Конфиг клиента:

client
dev tun
proto udp
remote 89.223.27.111 1194
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
verb 3
ca ca.crt
cert client.crt
key client.key
tls-auth ta.key 1
cipher AES-256-CBC
link-mtu 1558
stranger-ru ()
Ответ на: комментарий от stranger-ru

cipher AES-256-CBC
link-mtu 1558

это добавил, т.к. были еще warning-и ругающиеся на несовпадения данных параметров на сервере и клиенте, после добавления данных параметров в конфиг клиента эти warning-и перестали выводиться.

stranger-ru ()
Ответ на: комментарий от ValdikSS

WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

C этим разобрался, добавил в конфиг клиента параметр: remote-cert-tls server - warning перестал выводиться.

А вот с этими:

WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1436)
WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1436', remote='tun-mtu 1500'
WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this

непонятно, что делать. У меня в конфиге клиента нет tun-mtu 1500, но когда пытаюсь его добавить в клиентский конфиг, то подключение падает (не подключается) с ошибкой:

Options error: only one of --tun-mtu or --link-mtu may be defined (note that --ifconfig implies --link-mtu 1500)
Use --help for more information.
stranger-ru ()

Мой вариант без гемороя.

curl -O https://raw.githubusercontent.com/Angristan/openvpn-install/master/openvpn-install.sh
chmod +x openvpn-install.sh
./openvpn-install.sh
flappyright ()
Ответ на: комментарий от stranger-ru

Все разобрался с этими warning-ами, удалил из клиентского конфига параметр link-mtu 1558 и добавил tun-mtu 1500, ушли ругательства.

Последнее уточнение, подскажите пжл, с Windows 10 клиента получилось подключиться, вроде все норм. А как теперь к этому VPN-серверу с Android-смартфона подключиться? В самом Android есть функционал подключения через VPN (без использования сторонних приложений), в этом функционале есть следующие типы подключений:

PPTP
L2TP/IPSec PSK
L2TP/IPSec RSA
IPSec Xauth PSK
IPSec Xauth RSA
IPSec Hybrid RSA

через какое из них необходимо подключаться и возможно ли вообще при таких настройках VPS-сервера подключиться к нему в Android-смартфоне? Если нет, то как правильно переконфигурировать VPN-сервер, чтобы была возможность подключаться и с Windows 10-машины и с Android-смартфона, с шифрованием?

stranger-ru ()
Ответ на: комментарий от nakita

Я подключался через эту прогу

Супер! Спасибо!

Мой вариант без гемороя.

Уже завелось, но попробую как-нибудь, интересно.

Всем ребят спасибо, реально помогли!

stranger-ru ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.