Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Redhat/Fedora - [решено] проблемы с openvpn в centos7

Ответить
Настройки темы
Redhat/Fedora - [решено] проблемы с openvpn в centos7

Ветеран


Сообщения: 523
Благодарности: 27

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: zip openvpn.zip
(16.5 Kb, 0 просмотров)
Здравствуйте, уже дней 4-5 мучаюсь с настройками openvpn на Centos7
перебрал уже огромное множество мануалов.

остановился на этом: https://www.dmosk.ru/miniinstruktion...envpn-easyrsa3

итог: смог настроить подключение на одном клиенте с Windows 10 через Openvpn-gui с сервером на centos7.
долго не получалось элементарное действие с генерацией других ключей: жаловался на сертификат ca - в итоге пришлось создавать все заново.
конфиг оставил тот же. сейчас нет подключения между клиентом и сервером!

но теперь пишет

на клиенте:
Код: Выделить весь код
Tue Jul 28 19:09:12 2020 Re-using SSL/TLS context
Tue Jul 28 19:09:12 2020 Control Channel MTU parms [ L:1623 D:1210 EF:40 EB:0 ET:0 EL:3 ]
Tue Jul 28 19:09:12 2020 Data Channel MTU parms [ L:1623 D:1450 EF:123 EB:406 ET:0 EL:3 ]
Tue Jul 28 19:09:12 2020 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1543,tun-mtu 1500,proto TCPv4_CLIENT,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Tue Jul 28 19:09:12 2020 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1543,tun-mtu 1500,proto TCPv4_SERVER,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Tue Jul 28 19:09:12 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]213.159.209.98:1094
Tue Jul 28 19:09:12 2020 Socket Buffers: R=[65536->65536] S=[65536->65536]
Tue Jul 28 19:09:12 2020 Attempting to establish TCP connection with [AF_INET]213.159.209.98:1094 [nonblock]
Tue Jul 28 19:09:12 2020 MANAGEMENT: >STATE:1595952552,TCP_CONNECT,,,,,,
Tue Jul 28 19:11:12 2020 TCP: connect to [AF_INET]213.159.209.98:1094 failed: Unknown error
Tue Jul 28 19:11:12 2020 SIGUSR1[connection failed(soft),init_instance] received, process restarting
Tue Jul 28 19:11:12 2020 MANAGEMENT: >STATE:1595952672,RECONNECTING,init_instance,,,,,
Tue Jul 28 19:11:12 2020 Restart pause, 160 second(s)
Tue Jul 28 19:13:52 2020 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Jul 28 19:13:52 2020 Re-using SSL/TLS context
Tue Jul 28 19:13:52 2020 Control Channel MTU parms [ L:1623 D:1210 EF:40 EB:0 ET:0 EL:3 ]
Tue Jul 28 19:13:52 2020 Data Channel MTU parms [ L:1623 D:1450 EF:123 EB:406 ET:0 EL:3 ]
Tue Jul 28 19:13:52 2020 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1543,tun-mtu 1500,proto TCPv4_CLIENT,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Tue Jul 28 19:13:52 2020 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1543,tun-mtu 1500,proto TCPv4_SERVER,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Tue Jul 28 19:13:52 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]213.159.209.98:1094
Tue Jul 28 19:13:52 2020 Socket Buffers: R=[65536->65536] S=[65536->65536]
Tue Jul 28 19:13:52 2020 Attempting to establish TCP connection with [AF_INET]213.159.209.98:1094 [nonblock]
Tue Jul 28 19:13:52 2020 MANAGEMENT: >STATE:1595952832,TCP_CONNECT,,,,,,
Tue Jul 28 19:15:52 2020 TCP: connect to [AF_INET]213.159.209.98:1094 failed: Unknown error
Tue Jul 28 19:15:52 2020 SIGUSR1[connection failed(soft),init_instance] received, process restarting
Tue Jul 28 19:15:52 2020 MANAGEMENT: >STATE:1595952952,RECONNECTING,init_instance,,,,,
Tue Jul 28 19:15:52 2020 Restart pause, 300 second(s)
на сервере
Код: Выделить весь код
Tue Jul 28 18:45:48 2020 us=383212 library versions: OpenSSL 1.0.2k-fips  26 Jan 2017, LZO 2.06
Tue Jul 28 18:45:48 2020 us=384838 Diffie-Hellman initialized with 2048 bit key
Tue Jul 28 18:45:48 2020 us=385700 TLS-Auth MTU parms [ L:1623 D:1210 EF:40 EB:0 ET:0 EL:3 ]
Tue Jul 28 18:45:48 2020 us=386224 ROUTE_GATEWAY 10.0.0.1
Tue Jul 28 18:45:48 2020 us=398279 TUN/TAP device tun0 opened
Tue Jul 28 18:45:48 2020 us=398376 TUN/TAP TX queue length set to 100
Tue Jul 28 18:45:48 2020 us=398420 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Tue Jul 28 18:45:48 2020 us=398464 /sbin/ip link set dev tun0 up mtu 1500
Tue Jul 28 18:45:48 2020 us=409049 /sbin/ip addr add dev tun0 local 192.168.10.1 peer 192.168.10.2
Tue Jul 28 18:45:48 2020 us=412058 /sbin/ip route add 192.168.10.0/24 via 192.168.10.2
Tue Jul 28 18:45:48 2020 us=414590 Data Channel MTU parms [ L:1623 D:1450 EF:123 EB:406 ET:0 EL:3 ]
Tue Jul 28 18:45:48 2020 us=415252 Could not determine IPv4/IPv6 protocol. Using AF_INET
Tue Jul 28 18:45:48 2020 us=415313 Socket Buffers: R=[87380->87380] S=[16384->16384]
Tue Jul 28 18:45:48 2020 us=415350 Listening for incoming TCP connection on [AF_INET][undef]:1094
Tue Jul 28 18:45:48 2020 us=415382 TCPv4_SERVER link local (bound): [AF_INET][undef]:1094
Tue Jul 28 18:45:48 2020 us=415402 TCPv4_SERVER link remote: [AF_UNSPEC]
Tue Jul 28 18:45:48 2020 us=415433 GID set to nobody
Tue Jul 28 18:45:48 2020 us=415463 UID set to nobody
Tue Jul 28 18:45:48 2020 us=415501 MULTI: multi_init called, r=256 v=256
Tue Jul 28 18:45:48 2020 us=415558 IFCONFIG POOL: base=192.168.10.4 size=62, ipv6=0
Tue Jul 28 18:45:48 2020 us=415606 IFCONFIG POOL LIST
Tue Jul 28 18:45:48 2020 us=415674 MULTI: TCP INIT maxclients=1024 maxevents=1028
Tue Jul 28 18:45:48 2020 us=415749 Initialization Sequence Completed
конфиг клиента:
Код: Выделить весь код
client

;dev tap
dev tun

;dev-node OpenVPN

proto tcp
;proto udp

remote 213.159.209.98 1094
resolv-retry infinite 

nobind 

;user nobody
;group nobody

persist-key
persist-tun

# Ключи: первым идёт публичный ключ центра сертификации
# затем публичный ключ сервера
# затем приватный ключ сервера
ca C:\\OpenVPN\\certs\\ca.crt
cert C:\\OpenVPN\\certs\\victor-client.crt
key C:\\OpenVPN\\certs\\victor-client.key
#dh /etc/openvpn/certs/dh.pem
#tls-auth ta.key 1

;ns-cert-type server

;route 192.168.10.0 255.255.255.0
 
# При перезагрузке сервера, клиенту будет назначен его прежний IP адрес
#ifconfig-pool-persist ipp.txt 
 
# Эта настройка делает так, что при подключении к VPN
# для клиентов сервер VPN становится шлюзом по умолчанию
#push "redirect-gateway def1 bypass-dhcp"
 
# Выбор криптографических шифров
# У клиентов должно быть также
#cipher AES-256-CBC
 
# Включение сжатия и отправка настройки клиенту
;compress lz4-v2
;push "compress lz4-v2"
 
# Максимальное число одновременно подключённых клиентов
;max-clients 100

# обрезается и перезаписывается каждую минуту
#status openvpn-status.log
status C:\\OpenVPN\\log\\openvpn-status.log 1
status-version 3
#log-append C:\\OpenVPN\\log\\openvpn-client.log

# По умолчанию логи идут в syslog 
# "log" означает перезапись файла журнала при каждом запуске OpenVPN,
# а "log-append" означает дополнение журнала
# Используйте только одну, а не обе!
;log         openvpn.log
log-append  openvpn.log
 
# Уровень вербальности
#
# 0 тихий, кроме фатальных ошибок
# 4 подходит для обычного использования
# 5 и 6 помогают в отладке при решении проблем с подключением
# 9 крайне вербальный
verb 6
конфиг сервера:
Код: Выделить весь код
# Какой порт использовать
# Значением по умолчанию является 1194
# я использую 53 порт, мимикрируя под DNS трафик
# ещё такая настройка иногда помогает обойти
# перехватывающие порталы (Captive Portals)
port 1094 
#port 53
 
# TCP или UDP протокол. Рекомендуется UDP 
proto tcp
;proto udp
 
# Не нужно менять
;dev tap
dev tun
 
# Ключи
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/victor-server.crt
key /etc/openvpn/keys/victor-server.key
dh /etc/openvpn/certs/dh.pem
 
# Будет создана виртуальная локальная сеть
# Здесь указываются её параметры
# Не нужно ничего менять без особых причин
server 192.168.10.0 255.255.255.0
;iroute 192.168.8.0 255.255.255.0
 
# При перезагрузке сервера, клиенту будет назначен его прежний IP адрес
ifconfig-pool-persist ipp.txt
client-to-client
 
# Эта настройка делает так, что при подключении к VPN
# для клиентов сервер VPN становится шлюзом по умолчанию
push "redirect-gateway def1 bypass-dhcp"
 
 
# Если раскомментировать эту настройку, 
# то для нескольких клиентов можно использовать одну и ту же пару
# приватный-публичный ключ,
# но это не рекомендуется
;duplicate-cn
 
# Пинговать удалённый узел каждые 10 секунд
# и считать его упавшим, если он не ответил за 120 секунд
keepalive 10 120
 
# Дополнительная защита для DoS атак и флудинга портов UDP
# благодаря созданию "HMAC файервола"
# за счёт добавления дополнительной подписи к SSL/TLS
# Файл ta.key был создан во время генерирования ключей,
# он должен быть доставлен также каждому клиенту
###remote-cert-tls client
###tls-auth /etc/openvpn/certs/ta.key 0 # Этот файл нужно хранить в секрете
 
# Выбор криптографических шифров
# У клиентов должно быть также
cipher AES-256-CBC
 
# Включение сжатия и отправка настройки клиенту
;compress lz4-v2
;push "compress lz4-v2"
 
# Максимальное число одновременно подключённых клиентов
;max-clients 100
 
# Понижение привилегий демона OpenVPN
# после запуска
#
# Только для не Windows систем.
user nobody
group nobody
 
# Хранить ключи в памяти, на случай, если не получается
# получить к ним доступ из-за понижения привилегий
persist-key
persist-tun
 
# Короткий файл текущего статус
# содержит текущие соединения
# обрезается и перезаписывается каждую минуту
status openvpn-status.log
 
# По умолчанию логи идут в syslog 
# "log" означает перезапись файла журнала при каждом запуске OpenVPN,
# а "log-append" означает дополнение журнала
# Используйте только одну, а не обе!
;log         openvpn.log
;log-append  openvpn.log
 
# Уровень вербальности
#
# 0 тихий, кроме фатальных ошибок
# 4 подходит для обычного использования
# 5 и 6 помогают в отладке при решении проблем с подключением
# 9 крайне вербальный
verb 6
 
# Предупреждать клиента, что сервер перезапускается
# чтобы клиенты могли автоматически переподключиться.
;t

;explicit-exit-notify 1
файервол отключил, пакеты проверял tcpdump port 1094 - доходят, но почему то далее ничего не просиходит, хотя по сути конфиг такой же как и в случае перед созданием новых ключей.
перезагружал сервак и клиент - ничего не меняется: висит на подключении и особо информации другой не выводит.

лог клиента приложен к посту.

Отправлено: 19:27, 28-07-2020

 

Старожил


Сообщения: 322
Благодарности: 58

Профиль | Отправить PM | Цитировать


на стороне клиента почему отключили? исправьте и выложите результаты

Код: Выделить весь код
# Выбор криптографических шифров
# У клиентов должно быть также
#cipher AES-256-CBC

Отправлено: 08:03, 29-07-2020 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Ветеран


Сообщения: 523
Благодарности: 27

Профиль | Отправить PM | Цитировать


Цитата Ageron:
на стороне клиента почему отключили? исправьте и выложите результаты »
исправил, тоже самое

Отправлено: 11:46, 29-07-2020 | #3


Ветеран


Сообщения: 523
Благодарности: 27

Профиль | Отправить PM | Цитировать


проблема решилась путем смены файервола firewalld на iptables и его настройкой.

Отправлено: 02:47, 30-07-2020 | #4



Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Redhat/Fedora - [решено] проблемы с openvpn в centos7

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Интернет - OpenVPN zippi Программное обеспечение Windows 34 24-05-2018 18:59
VPN - Проблемы с подключением к OpenVPN серверу на MAC OS X KirillVt Сетевые технологии 0 30-09-2015 18:19
Debian/Ubuntu - [решено] Проблемы с автозапуском двух копий OpenVPN VladDV Общий по Linux 2 29-09-2011 09:48
Openvpn Return76 Программное обеспечение Linux и FreeBSD 1 03-10-2010 02:56
VPN - Openvpn & windows 7 - проблемы antikiller_bm Сетевые технологии 1 31-10-2009 11:00




 
Переход