OpenVPN

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
beren43
проходил мимо
Сообщения: 5
Зарегистрирован: 2017-03-13 22:06:22

OpenVPN

Непрочитанное сообщение beren43 » 2017-03-13 22:23:46

Здравствуйте. Настраиваю OpenVpnServer. Но клиенты не подключаются
Я делал так
1) easyrsa init-pki
2) easyrsa gen-dh
3) easyrsa build-ca nopass
3) easyrsa build-server-full gwr nopass
4)easyrsa build-client-full test21 nopass
5) cd /usr/local/share/easy-rsa/pki
6) openvpn --genkey --secret ta.key
7)mkdir /usr/local/etc/openvpn
8) cp ca.crt dh.pem ta.key issued/gw.crt private/gwr.key /usr/local/etc/openvpn
9)cp /usr/local/share/examples/openvpn/sample-config-files/server.conf /usr/local/etc/openvpn
10) В server.conf

Код: Выделить всё

port 2000
proto udp
dev tap0
ca ca.crt
cert gw.crt
key gw.key
dh dh.pem
client-config-dir ccd
auth MD5
mode server
tls-auth ta.key
ifconfig 10.127.213.1 255.255.255.128
route 192.168.0.1 255.255.255.0 10.127.213.2
keepalive 10 120
cipher BF-CBC
comp-lzo
persist-key
persist-tun
client-to-client
log         openvpn.log
log-append  openvpn.log
11) Создал в /usr/local/etc/openvpn/ccd
Файл test21.
В test21

Код: Выделить всё

ifconfig-push 10.127.213.3 255.255.255.128
push route 192.168.0.1 255.255.255.0 10.127.213.2
12) Cкопировал в C:\Program Files\OpenVPN\config
ca.crt
test21.crt
openvpn.opvpn
ta.key
test21.key
13) В openvpn.opvpn

Код: Выделить всё

remote мой WAN 2000
client
dev tap
auth MD5
cipher BF-CBC
ping 10
comp-lzo
proto udp
ca ca.crt
cert test21.crt
key test21.key
verb 3
14) При подключении ошибка

Код: Выделить всё

Mon Mar 13 22:16:39 2017 OpenVPN 2.3.14 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Feb  1 2017
Mon Mar 13 22:16:39 2017 Windows version 5.1 (Windows XP) 32bit
Mon Mar 13 22:16:39 2017 library versions: OpenSSL 1.0.2k  26 Jan 2017, LZO 2.09
Enter Management Password:
Mon Mar 13 22:16:39 2017 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Mon Mar 13 22:16:39 2017 Need hold release from management interface, waiting...
Mon Mar 13 22:16:40 2017 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Mon Mar 13 22:16:40 2017 MANAGEMENT: CMD 'state on'
Mon Mar 13 22:16:40 2017 MANAGEMENT: CMD 'log all on'
Mon Mar 13 22:16:40 2017 MANAGEMENT: CMD 'hold off'
Mon Mar 13 22:16:40 2017 MANAGEMENT: CMD 'hold release'
Mon Mar 13 22:16:40 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Mon Mar 13 22:16:40 2017 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Mar 13 22:16:40 2017 UDPv4 link local (bound): [undef]
Mon Mar 13 22:16:40 2017 UDPv4 link remote: [AF_INET]Мой WAn:2000
Mon Mar 13 22:16:40 2017 MANAGEMENT: >STATE:1489432600,WAIT,,,
Mon Mar 13 22:17:40 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Mar 13 22:17:40 2017 TLS Error: TLS handshake failed
Mon Mar 13 22:17:40 2017 SIGUSR1[soft,tls-error] received, process restarting
Mon Mar 13 22:17:40 2017 MANAGEMENT: >STATE:1489432660,RECONNECTING,tls-error,,
Mon Mar 13 22:17:40 2017 Restart pause, 2 second(s)
Mon Mar 13 22:17:42 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Mon Mar 13 22:17:42 2017 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Mar 13 22:17:42 2017 UDPv4 link local (bound): [undef]
Mon Mar 13 22:17:42 2017 UDPv4 link remote: [AF_INET]МОй WAN:2000
Mon Mar 13 22:17:42 2017 MANAGEMENT: >STATE:1489432662,WAIT,,,
Mon Mar 13 22:18:43 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Mar 13 22:18:43 2017 TLS Error: TLS handshake failed
Mon Mar 13 22:18:43 2017 SIGUSR1[soft,tls-error] received, process restarting
Mon Mar 13 22:18:43 2017 MANAGEMENT: >STATE:1489432723,RECONNECTING,tls-error,,
Mon Mar 13 22:18:43 2017 Restart pause, 2 second(s)
Mon Mar 13 22:18:45 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Mon Mar 13 22:18:45 2017 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Mar 13 22:18:45 2017 UDPv4 link local (bound): [undef]
Mon Mar 13 22:18:45 2017 UDPv4 link remote: [AF_INET]Мой WAn:2000
Mon Mar 13 22:18:45 2017 MANAGEMENT: >STATE:1489432725,WAIT,,,
Mon Mar 13 22:19:45 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Mar 13 22:19:45 2017 TLS Error: TLS handshake failed
Mon Mar 13 22:19:45 2017 SIGUSR1[soft,tls-error] received, process restarting
Mon Mar 13 22:19:45 2017 MANAGEMENT: >STATE:1489432785,RECONNECTING,tls-error,,
Mon Mar 13 22:19:45 2017 Restart pause, 2 second(s)
Mon Mar 13 22:19:47 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Mon Mar 13 22:19:47 2017 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Mar 13 22:19:47 2017 UDPv4 link local (bound): [undef]
Mon Mar 13 22:19:47 2017 UDPv4 link remote: [AF_INET]мой WAN:2000
Mon Mar 13 22:19:47 2017 MANAGEMENT: >STATE:1489432787,WAIT,,,
Mon Mar 13 22:20:47 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Mar 13 22:20:47 2017 TLS Error: TLS handshake failed
Mon Mar 13 22:20:47 2017 SIGUSR1[soft,tls-error] received, process restarting
Mon Mar 13 22:20:47 2017 MANAGEMENT: >STATE:1489432847,RECONNECTING,tls-error,,
Mon Mar 13 22:20:47 2017 Restart pause, 2 second(s)
Mon Mar 13 22:20:49 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Mon Mar 13 22:20:49 2017 Socket Buffers: R=[8192->8192] S=[8192->8192
]
Что я делаю не так ?
Последний раз редактировалось f_andrey 2017-03-13 22:29:26, всего редактировалось 1 раз.
Причина: Автору. пожалуйста, выбирайте соответствующий раздел форума

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

ShadowAGT
рядовой
Сообщения: 13
Зарегистрирован: 2016-08-17 17:49:49

OpenVPN

Непрочитанное сообщение ShadowAGT » 2017-03-13 22:55:20

beren43 писал(а): Mon Mar 13 22:19:47 2017 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Mar 13 22:19:47 2017 UDPv4 link local (bound): [undef]
Mon Mar 13 22:19:47 2017 UDPv4 link remote: [AF_INET]мой WAN:2000
Mon Mar 13 22:19:47 2017 MANAGEMENT: >STATE:1489432787,WAIT,,,
Mon Mar 13 22:20:47 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Mar 13 22:20:47 2017 TLS Error: TLS handshake failed
Mon Mar 13 22:20:47 2017 SIGUSR1[soft,tls-error] received, process restarting
Mon Mar 13 22:20:47 2017 MANAGEMENT: >STATE:1489432847,RECONNECTING,tls-error,,
Mon Mar 13 22:20:47 2017 Restart pause, 2 second(s)
Mon Mar 13 22:20:49 2017 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Ну кажется все очевидно. Проблема в SSL сертификатах. Может неправильно сгенеренные, может цепочка не та.
beren43 писал(а): Mon Mar 13 22:19:47 2017 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
А может вот это... Я б начал с того, что перегенерил сертификаты.

beren43
проходил мимо
Сообщения: 5
Зарегистрирован: 2017-03-13 22:06:22

OpenVPN

Непрочитанное сообщение beren43 » 2017-03-13 23:17:20

Переделал.
Тоже не может подключиться
Теперь в логах

Код: Выделить всё

Mon Mar 13 23:10:25 2017 OpenVPN 2.3.14 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Feb  1 2017
Mon Mar 13 23:10:25 2017 Windows version 5.1 (Windows XP) 32bit
Mon Mar 13 23:10:25 2017 library versions: OpenSSL 1.0.2k  26 Jan 2017, LZO 2.09
Mon Mar 13 23:10:25 2017 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Mon Mar 13 23:10:25 2017 Need hold release from management interface, waiting...
Mon Mar 13 23:10:26 2017 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Mon Mar 13 23:10:26 2017 MANAGEMENT: CMD 'state on'
Mon Mar 13 23:10:26 2017 MANAGEMENT: CMD 'log all on'
Mon Mar 13 23:10:26 2017 MANAGEMENT: CMD 'hold off'
Mon Mar 13 23:10:26 2017 MANAGEMENT: CMD 'hold release'
Mon Mar 13 23:10:26 2017 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Mon Mar 13 23:10:26 2017 Outgoing Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Mon Mar 13 23:10:26 2017 Incoming Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Mon Mar 13 23:10:26 2017 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Mar 13 23:10:26 2017 UDPv4 link local (bound): [undef]
Mon Mar 13 23:10:26 2017 UDPv4 link remote: [AF_INET]WAn:2000
Mon Mar 13 23:10:26 2017 MANAGEMENT: >STATE:1489435826,WAIT,,,
Что может быть ?

Отправлено спустя 5 минут 51 секунду:
И после исправлений C:\Program Files\OpenVPN\config\vpn.opvn

Код: Выделить всё

remote мой wan 2000
client
dev tap
auth MD5
ca ca.crt
cert test21.crt
key test21.key
cipher BF-CBC
ns-cert-type server
remote-cert-tls server
ns-cert-type server
tls-auth ta.key 1
ping 10
comp-lzo
proto udp
ca ca.crt
cert test21.crt
key test21.key
verb 3
Но в логах тоже самое

Код: Выделить всё

Mon Mar 13 23:10:25 2017 OpenVPN 2.3.14 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Feb  1 2017
Mon Mar 13 23:10:25 2017 Windows version 5.1 (Windows XP) 32bit
Mon Mar 13 23:10:25 2017 library versions: OpenSSL 1.0.2k  26 Jan 2017, LZO 2.09
Mon Mar 13 23:10:25 2017 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Mon Mar 13 23:10:25 2017 Need hold release from management interface, waiting...
Mon Mar 13 23:10:26 2017 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Mon Mar 13 23:10:26 2017 MANAGEMENT: CMD 'state on'
Mon Mar 13 23:10:26 2017 MANAGEMENT: CMD 'log all on'
Mon Mar 13 23:10:26 2017 MANAGEMENT: CMD 'hold off'
Mon Mar 13 23:10:26 2017 MANAGEMENT: CMD 'hold release'
Mon Mar 13 23:10:26 2017 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Mon Mar 13 23:10:26 2017 Outgoing Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Mon Mar 13 23:10:26 2017 Incoming Control Channel Authentication: Using 128 bit message hash 'MD5' for HMAC authentication
Mon Mar 13 23:10:26 2017 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Mar 13 23:10:26 2017 UDPv4 link local (bound): [undef]
Mon Mar 13 23:10:26 2017 UDPv4 link remote: [AF_INET]WAn:2000
Mon Mar 13 23:10:26 2017 MANAGEMENT: >STATE:1489435826,WAIT,,,

ShadowAGT
рядовой
Сообщения: 13
Зарегистрирован: 2016-08-17 17:49:49

OpenVPN

Непрочитанное сообщение ShadowAGT » 2017-03-14 5:05:24

beren43 писал(а): Переделал.
Тоже не может подключиться
Теперь в логах
Ну одной ошибкой уже меньше, правильно? Я бы для начала попробовал конфигурацию минимум. Убрал бы еще
beren43 писал(а): key test21.key
beren43 писал(а): ca ca.crt
cert test21.crt
key test21.key
два раза повторяется
beren43 писал(а): comp-lzo
тоже нафиг.
Сначала запустить ИМХО стОит с минимальной конфигурацией, в ней же будет явно проще найти проблему. А потом уже восстанавливать нужные параметры, если они реально вам нужны...

beren43
проходил мимо
Сообщения: 5
Зарегистрирован: 2017-03-13 22:06:22

OpenVPN

Непрочитанное сообщение beren43 » 2017-03-14 9:23:30

Если сделать tcpdump -ni rl0 port 2000,то я увижу пакеты от себя к серверу. Но не будет от сервера к себе. И не будет трафика на интерфейсе tap0.
Я использую pf. Может он блокирует ?